道路车辆功能安全 ISO 26262标准（3）—概念阶段

最新推荐文章于 2025-10-17 23:02:42 发布

原创

最新推荐文章于 2025-10-17 23:02:42 发布 · 671 阅读

7 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #人工智能 #自动驾驶 #功能测试 #汽车

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识，希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题，欢迎评论沟通，共同进步。(*^▽^*)

1. 道路车辆功能安全ISO 26262标准

3. ISO 26262-3 概念阶段

我们来具体看一下在概念阶段，ISO26262-3 对于项目定义、安全生命周期初始化和危险分析和风险评估的定义和要求。

一、项目定义

首先是项目定义阶段。项目定义，也就是对要进行研发的产品进行一个定义，进行一个描述。主要有两个目的：一个是定义和描述项目；一个是对项目有一个足够的理解，以便能够很好的完成安全生命周期中定义的每一个活动。

基于以上目的，要对项目进行明确、准确、正确的定义，就需要获得一些基本信息，ISO26262 中给出了一些建议如下：

1. 项目信息

项目的目的和功能
项目的非功能性要求，如操作要求、环境限制等
法规要求（特别是法律和法规），已知的国家和国际标准等
类似功能、系统或元素达到的行为
对项目预期行为的构想
已知的失效模式和风险在内的项目缺陷造成的潜在影响

2. 项目的边界条件以及相关项目之间的接口条件：

项目的所有元素
项目对其他项目或项目环境元素的相关影响
其他项目，元素和环境对本项目的要求
在系统或者包含的元素中，对功能的定位和分配
影响项目功能时，项目的运行情况

有了以上这些基本的信息，就可以对要进行的项目给出一个比较明确和具体的项目定义，明确项目的要求，从而使得对项目有一个足够的理解，能够指导后续工作，来很好的完成安全生命周期中定义的每一个活动。

二、项目的安全生命周期

那么，有了项目定义之后，就要确定项目的安全生命周期，对项目的安全生命周期进行初始化，也就是开始对项目的安全生命周期进行细化。而要进行细化，就要区分是项目是新产品研发还是既有产品的改造。

如果是全新的设备研发，则相关工作就得从安全生命周期的开始做起，项目定义之后就是项目危险分析和风险评估。

如果是既有产品的改造，那么从项目定义开始的这些流程都可以使用一些既有的文件对整个过程进行定制。

现有产品升级改造，就要注意以下一些问题：

1. 要做一个产品和使用环境的分析，以制定出预期更改，并评估这些更改产生的影响。

对项目的更改包括设计更改和执行更改。设计更改应该是由需求规范、功能和性能的增加或者成本的优化所致，执行更改不能影响项目的规格和性能，但可以影响执行特征。执行更改可以由软故障更改，使用新的研发成果或生产工具所致。
如果配置数据和校准数据的更改会影响到产品的行为，则更改须考虑这些数据。
对产品环境的更改应该是由产品要使用的新的目标环境或由于其他相关产品或元素升级而引发。

2. 要表述清楚产品使用的前后条件的差别，包括：

操作条件和操作模式
环境接口
安装特征，如：在车辆内部的位置，车辆的配置和变化等
环境条件的范围，如：温度，海拔，湿度，震动，EMC 和汽油标号等

3. 要明确给出产品变更的描述以及影响的范围。如果不能明确产品的变更和对环境数据影响的改变，则相关影响的分析数据都要进行记录。

4. 影响到的服役产品，需要进行升级的，要进行逐一列出。

5. 定制的相关安全活动应符合各个应用生命周期阶段的要求，包括：

定制应基于影响分析的结果。
定制的结果应包括在符合 ISO26262-2 的安全计划中。
影响到的产品须返工，包括确认计划和验证计划。

确定了以上这些基本信息之后，对所要进行的产品研发或者设备更改工作就有了一个清晰明确的定义，对产品的预期使用功能、环境，以及与相关设备的接口也有了一个明确的定义，接下来就可以进行危险分析和风险评估了。

三、项目的危险分析和风险评估

在概念阶段，ISO26262-3 给出了对危险分析和风险评估的要求。

危险分析和风险评估的目的和之前的 ISO13849,IEC62061 等的标准一样，都是为了将设备存在的危险识别出来，并根据危险的程度按照一定的原则对其进行分类，从而针对不同的风险设定具体的安全目标，并最终减小或消除风险，避免未知风险的发生。

也正是因为这样，危险分析、风险评估和 ASIL 等级的确定只是和避免风险有关的安全目标相关。通过对危险情况的系统评估，考虑引发危险的影响因素——伤害的严重性，暴露于危险中的可能性和危险的可控性，来确定安全目标和 ASIL 等级。而这三个指标都是针对产品的功能行为的，所以做危险分析和风险评估时，并不一定先要知道设计细节。

无内部安全机制的项目应在危险分析和风险评估过程中进行评估，拟实施或在以前的项目中已经实施的安全机制不在危险分析和风险评估考虑。在一个项目中，提供充分独立的外部评估措施是非常有效的。例如，如果有足够独立的证据证明，电子稳定控制系统可以通过增加控制来减少在底盘系统的故障影响。此举的目的是证明要实施或已经实施的项目的安全机制成立为功能安全概念的一部分。

危险分析和风险评估的第一步是情形分析和危险识别，即通过相关的情况分析将产品存在的风险识别出来。这就要考虑可能引发危险的操作环境和操作模式，并且要考虑在正确使用时和可预见的误使用时的情况。基于这样的考虑，我们应该通过大量的技术来系统分析，

注意以下一些方面：

1. 准备一个用来进行评估的操作情况清单。

2. 系统的确定清单上的危险。主要可以通过诸如：头脑风暴，检查列表，历史记录，FMEA，产品矩阵，以及