功能安全管理

ISO26262的安全生命周期

        ISO26262的安全生命周期总结了概念阶段、开发阶段和生产服务阶段中最重要的安全活动。安全的核心管理任务是对安全生命周期的各阶段规划、协调以及验证。

                                                      ISO26262描述的汽车安全生命周期 

         图中从相关项定义到功能安全概念为止是概念阶段，产品开发到发布生产是开发阶段，之后为发布生产后阶段。

        在标准中，对安全生命周期的各个环节进行了如下介绍：

        相关项定义

        对所研发相关项的一个描述，是安全生命周期的初始化任务，包括相关项的功能、接口、环境条件、法规要求和危害等内容，也包括相关项的其他相关功能、系统和组件决定的接口和边界条件等内容。

        安全生命周期的初始化

        基于相关项定义，安全生命周期需要对相关项进行区分，确定是新产品研发，还是既有产品更改。如果是既有产品更改，影响分析的结果可以用来进行安全生命周期的拼接。

        危害分析和风险评估

        安全生命周期初始化之后，需按照ISO26262第3部分的要求进行危害分析和风险评估。危害分析和风险评估的流程要考虑危害暴露的可能性、可控性和严重性，以确定相关的ASIL等级。接下来为每一风险设立安全目标，并确定合适的ASIL等级。

        功能安全概念

        基于安全目标，功能安全概念需要考虑具体相关项的基本架构，对定位到每个相关项要素中的功能安全要求的具体化和细化。超出边界条件的系统或其他技术可以作为功能安全概念的一部分来考虑，但对其他技术的应用和外部措施的要求不在ISO26262考虑范围之内。

        系统级产品开发

        有了具体的功能安全概念之后，就需要按照ISO26262第4部分的要求进行系统级开发。系统级开发过程基于技术安全要求规范的V模型，V模型左侧下降分支包含技术安全要求的定义、系统架构、系统设计和实现，V模型右侧上升分支包含集成、验证、确认和功能安全评估。

        硬件级产品开发

        基于系统的设计规范，硬件级的产品研发要遵循ISO26262第5 部分的要求。硬件开发流程基于V模型概念，V模型左侧包含硬件要求的定义、硬件设计和实现，V模型右侧包含硬件集成和测试。

        软件级产品开发

        基于系统的设计规范，软件级的产品研发应遵循ISO26262第6部分的要求。软件开发流程基于V模型概念，V模型左侧包含软件要求的定义、软件架构设计和实现，V模型右侧包含软件集成、测试和软件要求验证。

        产品的生产、运行、服务和报废

        生产和运行计划包含相关的需求规范和系统级产品开发等方面。ISO26262第7部分给出了生产和操作的具体要求。产品的运行、服务和报废也应符合ISO26262第7部分中的相关要求。

 ISO26262产品开发V模型