• 提供基于风险的具体方法,判定汽车的风险等级(汽车安全完整性等级,简称ASIL);
• 使用ASIL指定项目的必要安全要求,以使残余风险在可接受的范围内;
• 提供验证要求和确认方法,以确保实现有效且可接受的安全水平。
汽车安全生命周期
ISO 26262共有10卷,用于系列量产车,包含针对汽车的章节。例如,ISO 26262的第7章对生产、运行、服务及报废提出了明确的安全要求。
ISO 26262汽车安全生命周期描述了整个生产生命周期,包括对安全管理员的需求、安全计划的制定以及确认方法的定义(包括安全检查、审计及评估)。开发E/E系统及元件需要遵循这些要求。
本白皮书主要介绍生命周期的开发部分。ISO 26262的开发部分涉及了系统定义、系统设计、功能安全评估以及安全验证。
汽车安全完整性等级(ASIL)
ASIL是ISO 26262标准的重要组成部分,在开发过程的开始阶段确定。它分析系统的预期功能,同时指出可能的危害。ASIL提出这样一个问题:“如果车辆发生故障,驾驶员和相关道路使用者会怎样?”
为了评估风险,ASIL需综合考虑暴露的可能性、驾驶员的控制能力以及发生重大事件时可能带来的后果的严重程度。ASIL不管系统所使用的技术,只关注驾驶员及其他道路使用者所受到的危害。
ASIL根据不同的安全要求分为A、B、C、D四个级别,其中D级拥有最安全的关键流程,测试规范最为严格。ISO 26262标准根据组件的ASIL级别,分别规定了最低测试要求,有助于确定测试时必须采取的方法。确定ASIL后,就决定了系统的安全目标,也就是确定了保证安全所需的系统行为。
比如,以雨刷系统为例。安全分析将确定丧失雨刷功能会对驾驶员的视线造成何种影响。ASIL给出指导,选择适当的方法来使产品达到一定程度的完整性,旨在补充现有的安全做法。目前,汽车制造采用高安全标准,而ISO 26262旨在规范行业内的特定做法。
