功能安全 Functional Safety ISO26262-2 中文翻译

ISO 26262-2 功能安全管理

译者：逯建枫

图1 ISO26262概览

1 范围

ISO26262适用于包含有一个或多个电子电气系统的安全相关系统，且该系统安装于车辆最大总质量为3500kg的一系列乘用车车型上。ISO26262不适用于特殊用途车辆（比如残疾人专用车辆）中的特殊电子电气系统。

在ISO26262发布日期之前已发布生产的、或已在开发过程中的系统及其零部件，不受此标准约束。在对ISO26262发布前生产的系统及其零部件进行开发或更改时，只需要使得更改的部分符合ISO26262的要求即可。

ISO26262阐述了E/E安全相关系统故障或系统相互作用故障可能导致的危害。ISO26262不涉及电击、火灾、烟雾、热量、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关危害，除非以上这些危害是由于E/E安全相关系统故障直接导致的。

ISO26262不涉及E/E系统的名义性能，尽管这些系统（例如主动和被动安全系统、制动系统、自适应巡航系统）有专门的性能标准。

ISO26262-2部分规定了汽车应用的功能安全管理要求，包括：

-相关组织的项目独立要求（全面安全管理），以及

-与安全生命周期的管理活动有关的具体项目要求（即概念阶段、产品开发期间以及生产发布后的管理）。

2 相关标准

略

3 术语、定义和缩略语

见ISO26262-1部分。

4 合规性要求

4.1 一般化要求

若声称符合ISO26262要求时，应当遵守每项要求，除非有以下其中一项：

a)计划按照ISO26262-2对安全活动进行裁剪，发现该要求不适用，或者

b)有缘由表明，不合规是可以接受的，且该缘由经评估符合ISO26262-2。

标记为“注释”或“示例”的信息仅用于指导理解或澄清相关要求，不应理解为要求本身或完整需求或详细需求。

安全活动的结果是以工作产品的形式输出的。“先决条件”是指作为前一阶段工作产品提供的信息。考虑到某条款的某些需求是ASIL依赖的或定制的，某些工作产品可能不需要作为先决条件。

“进一步的支持信息”是可以考虑的信息，但在某些情况下，ISO 26262不要求该信息作为前一阶段的工作产品，并且可以由非功能安全人员或组织外部人员提供。

4.2 表格释义

根据上下文信息，表格可能是规范性的或信息性的。表中列出的不同方法，有助于将置信度提升到符合相应要求的水平。表中每个方法都是：

a)连续条目（用最左边列中的序列号标记，例如1、2、3），或

b)一个可选条目（用数字和最左边一列中的字母标记，例如2a、2b、2c）。

对于连续条目，应按照ASIL的建议，考虑使用所有方法。如果要采用其他方法，应给出满足相应要求的理由。

对于替代条目，要根据ASIL的要求，采用适当的方法组合；至于表中是否有列出这些方法则无关紧要。若列出的这些方法的ASIL等级不相同，那么应当优先选择等级较高的方法。且要给出所选方法组合符合相应要求的理由。

注：选择将部分方法在表中列出来的根据是充分的。但是并不意味着对那些未被列出来的方法有偏见或抵制。

对每个方法，都要根据ASIL来判断使用对应方法的推荐程度，分类如下：

-“++”表示对于已标识ASIL，强烈推荐使用该方法；

-“+”表示该方法适用于已标识ASIL；

-“o”表示该方法不适用已标识ASIL。

4.2 ASIL相关要求和建议

各条款的需求和建议应符合ASIL A/B/C/D等级要求，除非另有规定。需求和建议会涉及到安全目标的ASIL。如果ASIL的分解是在开发早期阶段进行的，那么根据ISO26262-9:2011第5条的要求，那么分解活动需要遵守分解产生的ASIL。

如果ISO26262标准中的括号中给出了ASIL等级，那么相应的子条款应看作是建议而非ASIL 要求。上述括号的含义于ASIL分解相关的括号符号没有联系。

5 全面安全管理

5.1 目的

本条目的目的是为负责安全生命周期或在安全生命周期中执行安全活动的组织定义需求。本条目是ISO26262安全生命周期活动的前提。

5.2 概述

5.2.1 安全生命周期概述

ISO26262安全生命周期主要（见图2）包括概念、产品开发、生产、经营、服务和报废等安全活动阶段。关键管理任务就是规划、协调和记录安全生命周期各阶段的安全活动。

图2表示参考安全生命周期模型。允许对安全生命周期进行裁剪，包括子阶段的迭代。

注1：概念阶段、产品开发阶段，以及生产发布后的各项活动，会在后续各个标准中进行详细介绍：ISO26262-3（概念阶段）、ISO26262-4（系统产品开发）、ISO26262-5（硬件产品开发）、ISO26262-6（软件产品开发）和ISO26262-7（生产经营）。

注2：表A.1概述了功能安全管理各阶段的目标、先决条件和工作产品。

图2 安全生命周期

5.2.2 安全生命周期说明

ISO26262规定了安全生命周期某个阶段和子阶段的要求，但也会包括安全生命周期几个阶段或全部阶段的要求，例如功能安全管理要求。

关键的管理任务是规划、协调和跟踪那些鱼功能安全相关的活动。这些管理任务适用于安全生命周期的所有阶段。以下给出功能安全管理要求，用于区分：

-全面安全管理（见本条）；

-概念阶段和产品开发阶段的安全管理（见第6条）；

-项目投产后的安全管理（见第7条）。

以下描述解释了安全生命周期不同阶段和子阶段的定义，以及其他关键概念：

a)子阶段：相关项定义

安全生命周期的第一项任务是对相关项的功能、接口、环境条件、法规要求、已知危害等项目进行描述。假定其他相关项、元素、系统和组件的是确定的，来确定相关项的边界及接口。

b)子阶段：安全生命周期启动阶段

根据相关项定义，启动分为新相关项启动和已有相关项更新启动。

如果是已有相关项的需要更新，那么影响分析结果可能会导致安全生命周期调整（见