背景

随着汽车行业复杂性的日益提升，人们加大了开发安全合规系统的力度。例如，现代汽车使用线控系统，如油门线控。司机踩油门时，踏板中的传感器将向电子控制元件发送信号。该控制单元将分析多种因素，如引擎速度、车辆速度及踏板位置。接着，控制单元将向油门传递指令。对油门线控这类系统进行测试和验证，对汽车行业造成了挑战。ISO 26262的目标是为汽车电气和电子系统提供统一的安全标准。

ISO 26262的国际标准草案(DIS)发布于2009年6月。自发布起，ISO 26262就获得了汽车行业的支持。标准草案生效后，律师将ISO 26262视为技术巅峰，即特定时期内某种设备或流程的最高发展水平。德国法律规定，汽车生产商通常要对产品故障导致的人身伤害承担赔偿责任。技术巅峰都无法检测的故障可获得免责。[德国产品责任法(§ 823 Abs.1 BGB, § 1 ProdHaftG)]。

ISO 26262提供了通用的标准，用于衡量系统在使用时的安全性。同时，该标准还提供了通用的词汇表，用户可使用该词汇表指代系统的特定部分。这和其他安全关键应用领域保持一致：即提供一个通用的标准，让用户可以衡量系统的安全性。

ISO 26262的关键部分

ISO 26262采用分步系统，管理功能安全，并在系统、硬件及软件层面管理产品开发。

ISO 26262标准提供规范及推荐做法，贯穿了产品开发的全过程（从概念开发到停运）。ISO 26262详细介绍了如何为系统或组件指定可接受的风险等级，以及记录总体测试流程的方法。总而言之，ISO 26262 提供汽车安全生命周期（管理、开发、生产、运行、服务、停运），并支持在各阶段中自定义必要的活动提供基于风险的方法，判定汽车的风险等级（汽车安全完整性等级，简称ASIL）使用ASIL指定项目的必要安全要求，以达到可接受的残余风险提供验证要求和确认方法，以确保实现有效且可接受的安全性汽车安全完整性等级(ASIL)ASIL是ISO 26262标准的关键部分。ASIL是在开发过程的开始阶段确定的。用户需要根据可能的危害，分析系统的预期功能。ASIL提出这样一个问题：“如果车辆发生故障，驾驶员和相关行人会怎样？”

为了评估风险的评估，ASIL需综合考虑暴露的可能性、驾驶员的控制能力以及关键事件发生时的严重性。ASIL不处理系统所使用的技术，而只关注对驾驶员及其他行人造成的危害。

不同的安全要求分为ASIL的A、B、C、D级别，其中D级为最高安全关键流程，测试规范最为严格。ISO 26262标准根据组件的ASIL级别，分别规定了最低测试要求。这有助于确定测试时必须采取的方法。确定ASIL后，就决定了系统的安全目标。即确定了保证安全所需的系统行为。

例如，让我们以雨刷系统为例。安全分析将确定丧失雨刷功能会对驾驶员的视线造成何种影响。ASIL指导如何选择适当的方法，以达到一定程度的产品完整性。本指南旨在补充目前的安全做法。目前，汽车制造采用高安全标准，ISO 26262旨在规范行业内的特定做法。

ISO26262从2011年颁布第一版起，至今已经11个年头。我国在2017年也同步颁布了GB/T 34590。虽然标准颁布及应用已经过去这么多年，但有些新接触这个标准的朋友还是不太了解，我在这里做一个简单的介绍，后续还会有针对标准内容及应用的专业内容解析。

标准起源：

从IEC61508（电子、电气及可编程器件功能安全标准）为基础，面向汽车领域专门发展而来。

适用范围：

总重不超过3.5吨乘用车上的，一个或多个E/E（电子/电气）系统的安全相关系统。

标准内容：

ISO 26262为汽车安全提供了一个全生命周期管理的理念（管理/开发/生产/经营/服务/报废），并涵盖涉及安全性功能方面的整体开发过程（需求规划/设计/实施/集成/验证/确认/配置）。

ISO 26262标准根据安全风险程度对系统或部件确定划分从A到D的安全等级， ASIL汽车安全完整性等级（Automotive Safety Integrity Level），其中A级最低，D级最高。伴随着ASIL等级的增加，针对系统硬件和软件开发流程的要求也随之增强。