如何实施ISO26262功能安全标准

功能安全对汽车至关重要，事关乘员和其他道路参与者的生命财产安全，很多E/E部件需要满足一定的功能安全等级。那么到底哪些E/E系统或功能需要符合功能安全？要求功能安全的EE部件又要如何去实施标准？有没有可以借鉴的案例？行业上下游许多朋友很焦虑，别急，千字跟你讲清楚。

1、适用

26262标准适用于道路车辆的电子电气（E/E）部件开发。安全带、气囊等这些非EE零件不适用，但是，如果存在电子单元，用于控制安全带缩紧、气囊弹出，则该电子部分适用。

安全，不止要考虑司机、乘客，也要考虑行人等其他道路参与者。场景来自于整车的使用，时间是整个生命周期。安全需求从整车目标出发，层层分解到软硬件模块，并分配不同ASIL等级。

2、危害分析和风险评估

在焦虑怎么去实施26262标准之前，首先要分析你的ECU在汽车整个生命周期中，有哪些场景，在这些场景中功能失效是否可能造成危险，然后对识别出的风险，评估其危险程度、暴露在危险中的概率、采取措施控制的可能性。可以根据过往质量记录、头脑风暴等方法。比如：

座椅通风。坏了就坏了，最多就是坐着不舒服，对人一点伤害也没有。这种正常质量管理就好。座椅加热，可能要求就要高一些，比如热失控，可能造成烫伤、座椅失火。

雨刮电控。高速上遇到大暴雨，但雨刮坏了，这种场景的确也挺危险的。但是，很容易发现，也能采取减速换到应急车道停车的措施。可能发生危险，但概率低，且基本可控。因此，也不一定到功能安全要求。

转向电控。非预期地失去侧向运动控制，在汽车转向系基本要求这份国标中，明确规定需要满足ASIL-D等级。汽车行驶过程中，尤其高速上，失去方向控制很可能发生严重事故，即使减速也不一定来得及。

3、安全目标和安全需求

根据之前识别的风险，针对性地提出安全目标。从整车目标出发，安全需求层层分解到软硬件模块，并分配不同ASIL等级。

为什么要从整车确定确定目标呢？因为使用场景和整车架构不一样。比如越野场景轿车就很少考虑，应急浮水也只有仰望U8才具备。又以转向为例，仰望采用e四方，即使传统转向系统失效，也可以通过两边轮胎不同转速来转向。

对于侧向运动控制能力这一目标来讲，可能常规结构的车和仰望需求就不一样：对前者，转向系统要保证不能失去助力；对仰望，允许转向系统失去助力。

对于常规转向系统电控，要达到ASIL-D等级，其中可能的一种方案，需要采用多相电机，ASIL-D的MCU芯片，冗余的转角位置、电流传感器。

3、产品开发

得到安全需求和等级后，下一步就进入到产品开发阶段，开发流程跟传统汽车电子的流程一致，可以将功能安全需求与其他功能需求并行处理。只是需要遵守标准中的特别要求，硬件着重安全措施，满足架构度量；软件强调安全开发流程，遵守标准方法。软硬结合实现ECU的安全机制，达到分配的安全。

4、参考案例

从危害分析到安全需求，属于概念阶段，标准第3部分。附录B有示例。

硬件设计，见标准第5部分。附录C是硬件架构度量计算方法，附录D是诊断覆盖率的评估。比如非易失存储的安全措施：

软件设计，见标准第6部分。方法分布于整个V模型开发流程中，对不同等级有不同的推荐方法。比如软件架构层面的错误处理机制：