选择的专栏

ISO 26262 是从电气、电子及可编程电子安全相关系统的功能安全基本标准 IEC 61508 派生出来的。IEC 61508定义了安全完整性等级 (SIL)，而 ISO 26262 则定义了汽车安全完整性等级 (ASIL)。或许看起来 ASIL 同 SIL 相似，而那些熟稔于构建满足 IEC 61508 SIL 认证要求安全系统的专业人士，也应能将那些方法转用于 ISO 26262 的项目上。

随着新的ISO 26262标准的引入，安全相关功能的要求变得比以前更加具有挑战性。同时，它们也被定义得更加精确和清晰了。经过正式验证的系统和对现有解决方案的重用，在这里不再互相矛盾。硬件和软件中的通用安全模块可以提供经过验证的组件。

新近建立的汽车标准ISO 26262定义了开发安全相关的ECU软件的过程。对于各个的软件组件来说，都需要具有高等级的内在安全性，来确保得到的系统级的安全目标能符合标准。这对于出错的情况下，防止发生潜在的危险情况，也是必要的。

在遵循ISO 26262开发的电子控制单元（ECU）中，经常出现安全相关的软件和与非安全相关的软件并行使用的情况。传统上采用分区措施来避免相互干扰，但是这种分区通常会导致运行时间的开销和复杂化。完全遵循ISO 26262开发的AUTOSAR基础软件，可以最大限度地减少分区数量。

ISO 26262是2011年11月作为国际标准发布的汽车功能安全标准。该标准的目标是应用于总重量在3,500公斤以内的量产的乘用车的电子/电气（E/E）系统。KYB正在开发的电动助力转向系统（EPS）系统，负责作为汽车三大基本功能之一的“转向”（注1），所要求的安全水平也非常高。因此，确保系统的安全性是开发中最重要的任务。在本报告中，我们报告了在EPS开发中遵守ISO 26262的努力。

汽车上电子/电气系统（E/E）数量不断的增加，一些高端豪华轿车上有多达70多个ECU（Electronic Control Unit电子控制单元），其中安全气囊系统、制动系统、底盘控制系统、发动机控制系统以及线控系统等都是安全相关系统。当系统出现故障的时候，系统必须转入安全状态或者转换到降级模式，避免系统功能失效而导致人员伤亡。

近年来，汽车电子产业开始发现系统失效的问题，一旦发生失效，就有可能导致乘客生命安全受到威胁，而车辆厂商也将面临官司赔偿与商誉受损的巨大风险。为防止系统失效的发生，必须有一套严谨且可靠的开发流程来让系统开发工程师依循，因此车辆领域专家们开始着手开发车辆领域的功能安全标准，ISO 26262便在此环境与需求下应运而生。