汽車電子ISO 26262: 2018標(biāo)準(zhǔn)概述（二）

作者 |郭建 上?？匕部尚跑浖?chuàng)新研究院特聘專家

版塊 |鑒源論壇 · 觀模

摘要：安全在汽車研發(fā)中是關(guān)鍵要素之一，輔助駕駛、車輛的動(dòng)態(tài)控制等功能的研發(fā)和集成都需要加強(qiáng)安全系統(tǒng)研發(fā)，同時(shí)，需要為滿足所有預(yù)期的安全目標(biāo)提供證據(jù)。隨著系統(tǒng)復(fù)雜性的提高，軟件和機(jī)電設(shè)備的應(yīng)用，來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加。ISO 26262標(biāo)準(zhǔn)使得人們對(duì)安全相關(guān)功能有一個(gè)更好的理解，并盡可能明確地對(duì)它們進(jìn)行解釋，同時(shí)為避免這些風(fēng)險(xiǎn)提供了可行性的要求和流程。

我們將通過2次推文介紹ISO 26262：2018的國際標(biāo)準(zhǔn)。

上期推文鏈接：汽車電子ISO 26262: 2018標(biāo)準(zhǔn)概述（一）

ISO 26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC 61508派生出來的，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn)。

ISO 26262從2005年11月起正式開始制定，經(jīng)歷了大約6年左右的時(shí)間，已于2011年11月正式頒布，成為國際標(biāo)準(zhǔn)。中國也于2017年頒布了相應(yīng)的標(biāo)準(zhǔn)。在2018年，新的ISO 26262：2018國際標(biāo)準(zhǔn)頒布，增加了半導(dǎo)體和摩托車的規(guī)范標(biāo)準(zhǔn)。

ISO 26262為汽車安全提供了一個(gè)生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)、報(bào)廢）理念，并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃、設(shè)計(jì)、實(shí)施、集成、驗(yàn)證、確認(rèn)和配置）。

ISO 26262：2018國際標(biāo)準(zhǔn)共分為12部分，它們是：

第一部分：術(shù)語

第二部分：功能安全管理

第三部分：概念階段

第四部分：產(chǎn)品開發(fā)：系統(tǒng)層面

第五部分：產(chǎn)品開發(fā)：硬件層面

第六部分：產(chǎn)品開發(fā)：軟件層面

第七部分：生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢

第八部分：支持過程

第九部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析

第十部分：ISO 26262的指南

第十一部分：ISO 26262對(duì)半導(dǎo)體應(yīng)用的指南

第十二部分：ISO 26262對(duì)摩托車的適應(yīng)性

ISO 26262標(biāo)準(zhǔn)的架構(gòu)如圖1所示：

圖1 ISO 26262總體架構(gòu)圖

在本次推文中，針對(duì)ISO 26262：2018國際標(biāo)準(zhǔn)的第六部分到第十二部分做簡(jiǎn)要的介紹。

Part6

產(chǎn)品開發(fā)：軟件層面

軟件開發(fā)過程要確保一個(gè)合適且一致的軟件開發(fā)過程或開發(fā)方法，以確保合適的軟件開發(fā)環(huán)境。軟件開發(fā)的參考階段模型如圖2所示。

圖2軟件層產(chǎn)品開發(fā)的參考階段模型

例如，敏捷軟件開發(fā)的開發(fā)方法也適用于安全相關(guān)軟件的開發(fā)，但如果安全活動(dòng)被剪裁，則應(yīng)考慮ISO 26262-2:2018 6.4.5。然而，敏捷開發(fā)方法不能省略安全措施或忽視實(shí)現(xiàn)功能安全所需的基本文件、過程或安全完整性。

再如，基于測(cè)試的開發(fā)方法也可用于改善提高需求質(zhì)量，并提高可測(cè)性。

在安全需求規(guī)范子階段，要求規(guī)定或完善源自技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范的軟件安全需求；定義實(shí)施所需軟件的安全相關(guān)功能和屬性；完善ISO 26262-4:2018第6條中提出的軟硬件接口要求；驗(yàn)證軟件安全要求和軟硬件接口要求是否適合軟件開發(fā)，是否符合技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范。

在軟件架構(gòu)設(shè)計(jì)子階段，需要開發(fā)滿足軟件安全需求和其他軟件需求的軟件架構(gòu)設(shè)計(jì)；驗(yàn)證軟件體系結(jié)構(gòu)設(shè)計(jì)是否適合滿足所需具有ASIL的軟件安全需求；以便支持軟件的實(shí)施和驗(yàn)證。

在軟件的單元設(shè)計(jì)與實(shí)現(xiàn)子階段，需要根據(jù)軟件體系結(jié)構(gòu)設(shè)計(jì)、設(shè)計(jì)標(biāo)準(zhǔn)和相關(guān)軟件需求開發(fā)軟件單元設(shè)計(jì)，以支持軟件單元的實(shí)現(xiàn)和驗(yàn)證；按照規(guī)范實(shí)現(xiàn)軟件單元。

在軟件單元驗(yàn)證子階段，提供證據(jù)證明軟件單元設(shè)計(jì)滿足所分配的軟件需求；驗(yàn)證在安全分析階段所確定的安全措施是否得到了正確實(shí)現(xiàn)；提供證據(jù)證明所實(shí)現(xiàn)的軟件單元符合單元設(shè)計(jì)并滿足所分配的ASIL等級(jí)的軟件需求；提供充分證據(jù)證明軟件單元既不包含不需要的功能，也不包含關(guān)于功能安全的不需要的屬性。

在軟件集成和驗(yàn)證子階段，需要定義集成步驟并集成軟件元素，直到嵌入式軟件被完全集成；驗(yàn)證由軟件體系結(jié)構(gòu)級(jí)別的安全分析產(chǎn)生定義的安全措施是否得到了正確實(shí)現(xiàn)；提供證據(jù)證明集成的軟件單元和軟件組件符合軟件體系結(jié)構(gòu)設(shè)計(jì)的需求；提供充分證據(jù)證明集成軟件既不包含不需要的功能，也不包含關(guān)于功能安全的不需要的屬性。

在嵌入式軟件測(cè)試子階段，需要提供證據(jù)證明嵌入式軟件在目標(biāo)環(huán)境中執(zhí)行滿足軟件安全需求；既不包含不需要的功能，也不包含關(guān)于功能安全的不需要的屬性。

在軟件配置子階段，以實(shí)現(xiàn)針對(duì)不同應(yīng)用的軟件行為的受控改變；提供配置數(shù)據(jù)和校準(zhǔn)數(shù)據(jù)滿足所需ASIL等級(jí)要求的證據(jù)；提供特定應(yīng)用程序的嵌入式軟件及其校準(zhǔn)數(shù)據(jù)適合發(fā)布、用于生產(chǎn)的證據(jù)。

Part7

生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢

在生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢需要制定和維護(hù)擬安裝在道路車輛上的安全相關(guān)的元件或相關(guān)項(xiàng)的生產(chǎn)流程；可以根據(jù)組織在安全供應(yīng)鏈中的地位和生產(chǎn)的安全相關(guān)要素的復(fù)雜性，通過組織遵守IATF 16949或同等標(biāo)準(zhǔn)來實(shí)現(xiàn)。開發(fā)有關(guān)運(yùn)營、服務(wù)（維護(hù)和維修）和報(bào)廢的必要信息，以確保在車輛的整個(gè)生命周期中都能滿足功能安全。

在生產(chǎn)子階段，需要確保相關(guān)制造商或負(fù)責(zé)相關(guān)項(xiàng)和元件生產(chǎn)過程的人員或組織（車輛制造商、供應(yīng)商、次級(jí)供應(yīng)商等）在生產(chǎn)階段（或生產(chǎn)后）滿足功能安全。

在運(yùn)營、服務(wù)和報(bào)廢子階段，需要確保在車輛生命周期的各個(gè)子階段運(yùn)營、服務(wù)（維護(hù)和維修）和報(bào)廢期間滿足功能安全。

Part8

支持過程

支持過程階段包括分布式開發(fā)的接口、安全需求的規(guī)范及管理、配置管理、更改管理、驗(yàn)證、文檔管理、軟件工具使用的置信度、軟件組件的鑒定、硬件元素的評(píng)估、在用證明、超出ISO 26262范圍的連接的應(yīng)用程序、未根據(jù)ISO 26262開發(fā)的安全相關(guān)系統(tǒng)的集成。

分布式開發(fā)的接口需要為開發(fā)活動(dòng)定義客戶和供應(yīng)商之間的交互和依賴關(guān)系；并描述職責(zé)分工；識(shí)別相關(guān)項(xiàng)和要素進(jìn)行分布式開發(fā)的流程及相關(guān)責(zé)任的分配。

安全需求的規(guī)范及管理要確保安全需求在其屬性和特性方面的正確規(guī)范；以及確保在整個(gè)安全生命周期中對(duì)安全需求的一致管理。

配置管理需要確保工作產(chǎn)品、相關(guān)項(xiàng)、要素及其生產(chǎn)的原理和一般條件能夠在任何時(shí)候以受控的方式進(jìn)行唯一識(shí)別和復(fù)制；并能確?？梢宰匪菰缙诎姹竞彤?dāng)前版本之間的關(guān)系和差異。

更改管理是在整個(gè)安全生命周期內(nèi)分析和控制安全相關(guān)的工作產(chǎn)品、相關(guān)項(xiàng)和要素的變更。

驗(yàn)證需要確保工作產(chǎn)品符合其需求。

文檔管理需要制定整個(gè)安全生命周期內(nèi)的文件管理策略，以促進(jìn)有效和可重復(fù)的文件管理過程。

軟件工具使用的置信度需要提供標(biāo)準(zhǔn)，以確定軟件工具在應(yīng)用時(shí)中所需的置信水平；在應(yīng)用軟件工具時(shí)，為軟件工具的資格鑒定提供手段，以創(chuàng)建證據(jù)，證明軟件工具適合用于支持ISO 26262系列標(biāo)準(zhǔn)所要求的活動(dòng)或任務(wù)。即，用戶可以依靠軟件工具的正確功能來完成ISO 26262標(biāo)準(zhǔn)系列所要求的那些活動(dòng)或任務(wù)。

軟件組件鑒定是為其在符合ISO 26262系列標(biāo)準(zhǔn)開發(fā)的相關(guān)項(xiàng)可重復(fù)使用提供證據(jù)。

硬件元素的評(píng)估確保功能行為足以滿足分配的安全需求，因此，由于硬件元件的系統(tǒng)故障而違反安全目標(biāo)或安全需求的風(fēng)險(xiǎn)應(yīng)該足夠低?；陔S機(jī)故障管理的使用適合性是由被評(píng)估硬件元件的集成在設(shè)計(jì)集成的下一個(gè)最高級(jí)別確定的。術(shù)語“硬件元件”指的是COTS硬件組件或部件，或者是定制硬件組件或部件，這些組件或部件最初不是根據(jù)ISO 26262系列標(biāo)準(zhǔn)開發(fā)或設(shè)計(jì)的，并且在符合ISO 26262標(biāo)準(zhǔn)的相關(guān)項(xiàng)或元件的上下文中被認(rèn)為是安全相關(guān)的，它們將會(huì)被集成在其中。更確切地說，硬件元件的評(píng)估是符合ISO 26262-5的一種替代方法。符合評(píng)估條件的硬件元素可以是特定應(yīng)用程序，也可以是標(biāo)準(zhǔn)元素。這些元件通常被開發(fā)用于許多行業(yè)，汽車或非汽車行業(yè)。

在用證明是為經(jīng)驗(yàn)證的使用論證提供指導(dǎo)。經(jīng)驗(yàn)證的使用論證是一種符合ISO 26262系列標(biāo)準(zhǔn)的替代方法，當(dāng)現(xiàn)場(chǎng)數(shù)據(jù)可用時(shí)，可在重復(fù)使用現(xiàn)有相關(guān)項(xiàng)或元素的情況下使用。

超出ISO 26262范圍的應(yīng)用程序要確保超出ISO 26262范圍的應(yīng)用，不會(huì)違反根據(jù)ISO 26262系列標(biāo)準(zhǔn)開發(fā)的基本車輛或相關(guān)項(xiàng)的安全目標(biāo)。

未根據(jù)ISO 26262開發(fā)的安全相關(guān)系統(tǒng)的集成要確保未按照ISO 26262開發(fā)的系統(tǒng)或組件滿足集成到根據(jù)ISO 26262研發(fā)的相關(guān)項(xiàng)中所需的功能安全水平。

Part9

以汽車安全完整性等級(jí)（ASIL）為導(dǎo)向

和以安全為導(dǎo)向的分析

以汽車安全完整性等級(jí)（ASIL）為導(dǎo)向和以安全為導(dǎo)向的分析包括ASIL等級(jí)剪裁的需求分解、元素共存標(biāo)準(zhǔn)、相關(guān)故障分析、安全分析。

ASIL等級(jí)剪裁的需求分解確保在分解的下一個(gè)細(xì)節(jié)層次上將安全需求的分解是冗余安全需求，并將這些需求分配給足夠獨(dú)立的設(shè)計(jì)元素；以及按照允許的ASIL分解模式應(yīng)用ASIL分解。

元素共存標(biāo)準(zhǔn)包括與安全相關(guān)的子元素與非安全相關(guān)的子元素；分配了不同ASIL等級(jí)的安全相關(guān)子元素。

相關(guān)故障分析通過分析其潛在原因或引發(fā)因素，確認(rèn)在設(shè)計(jì)中充分實(shí)現(xiàn)了所需的獨(dú)立性或不受干擾的自由度；如有必要，確定安全措施以緩解可能的相關(guān)故障。

安全分析確保由于系統(tǒng)故障或隨機(jī)硬件故障導(dǎo)致的違反安全目標(biāo)的風(fēng)險(xiǎn)足夠低。根據(jù)應(yīng)用情況，可以通過以下方式實(shí)現(xiàn)：

? 識(shí)別在危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估過程中未識(shí)別的新危險(xiǎn)；

? 分別識(shí)別可能導(dǎo)致違反安全目標(biāo)或安全需求的故障；

?確定其潛在原因；

?分別支持故障預(yù)防或故障控制安全措施的定義；

?為安全概念的適用性提供證據(jù)；

?支持安全概念、安全要求的驗(yàn)證，以及設(shè)計(jì)要求和測(cè)試要求的識(shí)別。

Part10

ISO 26262的指南

該文檔給出在運(yùn)用ISO 26262開發(fā)時(shí)的一些指南，包括在相關(guān)項(xiàng)及定義、ISO 26262的關(guān)鍵概念、關(guān)于安全管理方面的、概念階段和系統(tǒng)開發(fā)階段、安全過程的需求架構(gòu)、硬件開發(fā)階段、超出ISO 26262的安全元素、在用元素驗(yàn)證、關(guān)于ASIL等級(jí)分解、具有安全相關(guān)可用性需求的系統(tǒng)開發(fā)指南、關(guān)于“使用軟件工具的信心”的備注、安全相關(guān)特殊特性等方面的指南。

Part11

ISO 26262對(duì)半導(dǎo)體應(yīng)用的指南

這是在ISO 26262：2018版新增加的部分。對(duì)半導(dǎo)體應(yīng)用的指南包括半導(dǎo)體元件及其劃分、具體的半導(dǎo)體技術(shù)和使用案例的指南。

在半導(dǎo)體元件及其劃分子階段，包括在如何考慮半導(dǎo)體元件、將半導(dǎo)體元件分成若干部分、考慮硬件的故障、錯(cuò)誤及失效模式、在系統(tǒng)層面關(guān)于半導(dǎo)體元件的安全分析、IP、半導(dǎo)體的基本故障率、半導(dǎo)體依賴故障分析、故障注入、生產(chǎn)與運(yùn)營、分布式開發(fā)的接口、確認(rèn)措施、硬件集成和驗(yàn)證的確認(rèn)等方面的指南。

具體的半導(dǎo)體技術(shù)和使用案例子階段，包括在數(shù)字元件和存儲(chǔ)器、模擬/混合信號(hào)元件、可編程邏輯器件、傳感器及轉(zhuǎn)換器等方面的指南。

Part 12

ISO 26262對(duì)摩托車的適應(yīng)性

為了使摩托車上的E/E系統(tǒng)符合ISO 26262系列標(biāo)準(zhǔn)，應(yīng)滿足ISO 26262-2至ISO 26262-9的所有要求。一些需求可能需要一定程度的裁剪才能適用于摩托車。在這種情況下，這些量身定制的需求取代了ISO 26262系列標(biāo)準(zhǔn)的相應(yīng)需求。

對(duì)于摩托車適用ISO 26262系列標(biāo)準(zhǔn)，需要在安全管理的安全文化、確認(rèn)措施、關(guān)于生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢等方面的說明；在概念階段的危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全概念等方面的說明；在系統(tǒng)層的產(chǎn)品開發(fā)的技術(shù)安全概念、在相關(guān)項(xiàng)的集成與測(cè)試、安全的有效性方法的說明。

在安全管理的安全文化子階段確保參與執(zhí)行安全生命周期的組織，即負(fù)責(zé)安全生命周期或在安全生命周期中執(zhí)行安全活動(dòng)的組織，需要建立并保持一種安全文化，支持和鼓勵(lì)有效地實(shí)現(xiàn)功能安全，并促進(jìn)與功能安全相關(guān)的其他學(xué)科的有效溝通；為功能安全制定并維護(hù)適當(dāng)?shù)慕M織特定規(guī)則和流程；以確保已識(shí)別的安全異常得到充分解決；建立并保持能力管理體系，以確保相關(guān)人員的能力與其職責(zé)相稱；建立和維護(hù)質(zhì)量管理體系，以支持功能安全。

在措施確認(rèn)子階段確保參與概念階段或開發(fā)階段的組織在系統(tǒng)、硬件或軟件層面定義和分配有關(guān)安全活動(dòng)的角色和責(zé)任；在相關(guān)項(xiàng)執(zhí)行影響分析，以識(shí)別相關(guān)項(xiàng)是新相關(guān)項(xiàng)、對(duì)現(xiàn)有相關(guān)項(xiàng)的修改還是具有修改環(huán)境的現(xiàn)有相關(guān)項(xiàng)；在一個(gè)或多個(gè)修改的情況下，分析已識(shí)別的修改對(duì)功能安全的影響；在重新使用現(xiàn)有元素的情況下，在元素級(jí)別執(zhí)行影響分析，以評(píng)估重新使用的元素是否能夠符合分配給該元素的安全需求，同時(shí)考慮元素被重新使用的操作環(huán)境；定義量身定制的安全活動(dòng)，為量身定制提供相應(yīng)的理由，并審查所提供的理由；規(guī)劃安全活動(dòng)；根據(jù)安全計(jì)劃協(xié)調(diào)和跟蹤安全活動(dòng)的進(jìn)展；規(guī)劃分布式開發(fā)；確保安全活動(dòng)在整個(gè)安全生命周期中正確進(jìn)行；創(chuàng)建一個(gè)可理解的安全案例，為實(shí)現(xiàn)功能安全提供論據(jù)；判斷相關(guān)項(xiàng)是否實(shí)現(xiàn)了功能安全（即功能安全評(píng)估），或判斷對(duì)實(shí)現(xiàn)某一要素（即供應(yīng)商執(zhí)行的功能安全評(píng)估活動(dòng)）或工作產(chǎn)品的功能安全的貢獻(xiàn)（如確認(rèn)審查）；在開發(fā)結(jié)束時(shí)，根據(jù)支持對(duì)所實(shí)現(xiàn)的功能安全性的信心的證據(jù)，決定相關(guān)項(xiàng)或元素是否可以發(fā)布用于生產(chǎn)。

在關(guān)于生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢子階段定義負(fù)責(zé)實(shí)現(xiàn)和維護(hù)生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢的功能安全的組織和人員的責(zé)任。

在概念階段的相關(guān)項(xiàng)定義子階段定義和描述相關(guān)項(xiàng)、其功能、對(duì)駕駛員的依賴性以及與駕駛員、環(huán)境和車輛級(jí)別的其他相關(guān)項(xiàng)的交互；支持對(duì)相關(guān)項(xiàng)的充分理解，從而可以執(zhí)行后續(xù)階段的活動(dòng)。

在概念階段的危害分析和風(fēng)險(xiǎn)評(píng)估子階段規(guī)定進(jìn)行摩托車特定危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估所需遵守的必要要求；識(shí)別和分類由相關(guān)項(xiàng)故障行為引起的危險(xiǎn)事件；制定安全目標(biāo)及其相應(yīng)的ASIL等級(jí)，危險(xiǎn)事件的預(yù)防或緩解，以避免不合理的風(fēng)險(xiǎn)。

功能安全概念子階段根據(jù)其安全目標(biāo)規(guī)定相關(guān)項(xiàng)的功能或退化功能行為；根據(jù)其安全目標(biāo)，規(guī)定有關(guān)適當(dāng)和及時(shí)檢測(cè)和控制相關(guān)故障的約束條件；規(guī)定相關(guān)項(xiàng)級(jí)策略或措施，通過駕駛員或通過外部措施，以實(shí)現(xiàn)所需的容錯(cuò)或充分減輕相關(guān)項(xiàng)相關(guān)故障的影響；將功能安全需求分配給系統(tǒng)架構(gòu)設(shè)計(jì)或外部措施；驗(yàn)證功能安全概念并規(guī)定安全驗(yàn)證標(biāo)準(zhǔn)。

在系統(tǒng)層的產(chǎn)品開發(fā)的技術(shù)安全概念子階段規(guī)定有關(guān)系統(tǒng)元件及其實(shí)現(xiàn)所需接口的功能、依賴性、約束和財(cái)產(chǎn)的技術(shù)安全需求；規(guī)定關(guān)于在系統(tǒng)元件和接口中實(shí)施的安全機(jī)制的技術(shù)安全需求；規(guī)定生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間系統(tǒng)及其元件的功能安全需求；驗(yàn)證技術(shù)安全需求是否滿足實(shí)現(xiàn)系統(tǒng)級(jí)的功能安全，并與功能安全要求一致；制定滿足安全需求且與非安全相關(guān)需求不沖突的系統(tǒng)架構(gòu)設(shè)計(jì)和技術(shù)安全概念；分析系統(tǒng)架構(gòu)設(shè)計(jì)，以防止故障，并得出生產(chǎn)和服務(wù)所需的與安全相關(guān)的特殊特性；驗(yàn)證系統(tǒng)架構(gòu)設(shè)計(jì)和技術(shù)安全概念是否適合根據(jù)其各自的ASIL等級(jí)來滿足功能安全需求。

在相關(guān)項(xiàng)的集成與測(cè)試子階段定義集成步驟并集成系統(tǒng)元件，直到系統(tǒng)完全集成；驗(yàn)證由系統(tǒng)架構(gòu)級(jí)別的安全分析得出的安全措施是否得到了正確實(shí)施；根據(jù)系統(tǒng)架構(gòu)設(shè)計(jì)提供集成系統(tǒng)元件滿足其安全需求的證據(jù)。

在安全的有效性子階段提供證據(jù)，證明該相關(guān)項(xiàng)在集成到相應(yīng)車輛中實(shí)現(xiàn)了安全目標(biāo)；提供證據(jù)證明功能安全概念和技術(shù)安全概念符合實(shí)現(xiàn)相關(guān)項(xiàng)的功能安全。

小結(jié)

今天的新能源車、自動(dòng)駕駛等汽車的發(fā)展方向越來越依賴于電子系統(tǒng)和軟件。新系統(tǒng)的出現(xiàn)帶來了故障模式的新風(fēng)險(xiǎn)。車企在設(shè)計(jì)中努力識(shí)別和評(píng)估風(fēng)險(xiǎn)，并采取有效措施減少或消除這種風(fēng)險(xiǎn)，盡一切努力確保其產(chǎn)品的安全運(yùn)行或使用。ISO 26262：2018國際標(biāo)準(zhǔn)的發(fā)布能夠幫助企業(yè)確保其電子電氣系統(tǒng)的功能安全，并在產(chǎn)品開發(fā)過程盡早識(shí)別和分析風(fēng)險(xiǎn)，建立安全目標(biāo)，通過一個(gè)全面的驗(yàn)證計(jì)劃實(shí)現(xiàn)這些目標(biāo)。

審核編輯 黃宇