ISO26262电控开发流程概述.pdf

ISO26262电控开发流程概述

摘要：功能安全（FunctionalSafety）的要求是无论零部件或者安全相关

控制系统发生的失效是硬件随机失效还是系统失效，都需要使受控设备可靠地进

入和维持安全状态，避免对人员或者环境产生危害；本文从电控开发流程角度触

发，介绍功能安全流程的建立、要求及方法，并结合标准要求，给出完整的电控

开发流程体系。

关键词：功能安全；电控单元；ASIL等级

引言

在过去近40年中，功能安全的理念和技术不断发展，已经在全球范围深入

各个行业和领域，成为社会、行业、企业控制各种灾难性事故的有效措施。

ISO26262是欧洲多个知名主机厂及供应商共同讨论制定的，于2005年启动，

2011年底发布，2018年发布第二版，加入商用车。新版ISO26262标准为实现汽

车电子系统全生命周期内的功能安全起到了至关重要的指导作用，但对新版标准

的详细解读以及如何将其应用到实际的产品中，目前可供参考的应用案例还很少。

因此，以ISO26262新版标准作为指南，进行电控系统的产品开发，对于正确解

读和应用ISO26262标准具有重大参考意义。

1标准介绍

2018版的ISO26262标准主要包括12个部分，其体系结构图如图1所示[1、

2]

。

图1ISO26262标准体系结构

ISO26262标准的第一部分介绍相关术语；第二部分功能安全管理，定义了涉

及安全相关系统开发的组织和人员应满足的要求，定义功能安全管理指南及安全

计划，建立公司安全文化；第三部分概念阶段，主要是对危害分析和风险评估的

描述，导出功能安全目标，确定功能安全相关概念，导出客户需求；第四部分为

系统层面的产品开发，完成系统设计及安全分析，并按要求进行系统相关测试，

导出系统需求，FMEA及FTA概念；第五部分为硬件层面的产品开发，确定基于

ASIL等级的硬件安全指标，包含SPFM，LFM，PMHF指标，完成硬件安全分析及设

计；第六部分为软件层面的产品开发，包含软件开发指南、软件需求、软件实现、

软件验证计划、软件验证报告；第七部分为生产、运行、服务和报废过程中功能

安全相关的要求和建议；第八部分为是对支持过程的归纳；第九部分为基于汽车

安全完整性等级（ASIL）和安全的分析，明确ASIL等级的分配原则；第十部分

为对整个ISO26262标准的应用导则。相较于原版本，增加了一个新的部分

(Part11)来指导如何对汽车领域所应用的半导体应用ISO26262标准，同时新版

本对适用范围进行了合理延伸，除了原版本中的不超过3.5吨的乘用车，将卡车、

公共汽车、摩托车也涵盖在内，并添加了一个新的部分(Part12)来说明如何应用

于摩托车，而对于卡车和公共汽车的特殊要求则穿插于各个章节中。

2基于ISO26262电控开发流程搭建

功能安全标准同样遵循传统电控开发V流程。其开发大致分为六个阶段，分

别为概念阶段，系统设计阶段，软件设计阶段，硬件设计阶段，测试阶段和生产

服务报废阶段。

2.1概念阶段

概念阶段主要包含相关项定义，安全生命周期定义，危害分析和风险评估及

客户需求说明，并生成对应的交付物，为下一步的系统开发提供重要输入。

1）相关项定义是定义并描述相关项，及其与环境和其他相关项的依赖性和

相互影响；主要包含功能框图，接口，环境条件，法规要求和危害等。

2）安全生命周期指相关性从概念阶段到报废的整个阶段，根据产品是否新

开发来决定是否对生命周期进行裁剪。如果产品为新开发产品，按照完整生命周

期进行，如果是对已有产品的再次开发，则需要进行影响分析，根据需要对生命

周期进行裁减。整个安全生命周期如图2所示。

图2安全生命周期

3）危害分析和风险评估HARA

HARA分析分四个阶段，如表1所示。其目的是识别系统的危害，根据运用工

况，得到风险评估，从而得到安全目标及相应的安全等级（ASIL等级）。其中安

全目标是最高级别的安全需求，有安全目标导出系统安全需求，