什麼是 ISO 26262？

ISO 26262「道路車輛 – 功能安全性」是由國際標準組織 (ISO) 制定的國際安全性標準，提供道路車輛的安全性設計與開發電氣/電子 (E/E) 系統的準則。2011 年首次正式制定，並於 2018 年進行修訂。

ISO 26262 並非正式法規。而是建立一套最先進的產業特定安全性相關準則，讓車輛原始設備製造商 (OEM) 和其供應商在開發車輛中的電氣與電子系統時，能有把握地遵循這些規範。

整體而言，該標準可促進汽車產業與消費者之間重要利害關係人的信任。其衍生自國際電工委員會所制定的 IEC 61508 標準。

汽車電子元件的發展歷史悠久。自 1950 年代的第一代電晶體汽車收音機開始，我們見證了 1960 年代的電子點火系統發展、1970 年代的引擎控制單元、1980 年代的防鎖死煞車系統、1990 年代的資訊娛樂系統，以及 2000 年代的先進駕駛輔助系統。

車用電子成本佔車輛總成本的比例從 1970 年的 5% 上升至 2010 年的 35%，預測在 2030 年前將達到 50%。目前現代車輛中安裝的半導體晶片多達 3,000 顆。這反映了從機械系統到機電整合的整體轉移，這種轉變是由於性能和成本的改善所致。

舉例來說，在引擎控制器中使用機電整合系統，可進行即時計算來最佳化引擎性能，為車輛製造商展示數位技術的可能性。

事實上，數位感應器可以監控各種參數，例如油門位置、曲柄軸位置、大量氣流、溫度和排氣中的氧氣濃度，以大幅改善車輛的油耗。

這顯示使用 E/E 系統可達成之車輛功能的重大進步，因為僅靠機械系統是無法達成此目標的。在現代車輛中，機電整合系統可提供各種功能，包括：

• 動力轉向
• 先進駕駛輔助系統 (ADAS)
• 防鎖死煞車 
• 自動變速箱 (結合控制器晶片、速度感應器和半導體功率開關，以實現如根據地形的進行換檔變速等先進功能)

因此，為將 E/E 系統危害的風險降至最低，國際標準組織制定了一系列完整的功能安全性目標與規定 — 這些規定是根據汽車電氣/電子系統的功能安全性標準 IEC 61508 進行調整，以符合汽車產業特有的規格。

功能安全性規定

ISO 26262 安全性規定涵蓋車輛的整個生命週期，包括與開發、生產、運作、服務和除役等相關的活動。

第一版 ISO 26262 於 2011 年發佈 (ISO 26262:2011)，主要針對在最大總重量為 3,500 公斤上安裝「系列量產乘用車」的 E/E 系統功能安全性。修訂版於 2018 年發佈 (ISO 26262:2018)，涵蓋除輕型摩托車外的所有所有道路車輛。

與 IEC 61508 相同，ISO 26262 也是風險型標準，提供對 E/E 系統故障所造成的危害進行定性評估。

ISO 26262 的目的為：

• 功能安全性：ISO 26262 概述整個開發程序適用的功能安全性層面，包括需求規格、設計、實作、整合、核實、驗證和配置。標準旨在偵測故障情況，並定義如何應對這些情況，藉此保護道路使用者免於車輛電子元件和軟體故障時所造成的傷害。
• 汽車安全性生命週期：ISO 26262 提供全方位的架構，涵蓋汽車安全性的整個生命週期，包括管理、開發、生產、營運、服務與除役。它支援在這些階段量身訂做活動，以確保在車輛的整個生命週期中都能維持安全性。
• 風險管理：ISO 26262 將設計和開發 E/E 汽車系統的相關風險降至最低，以防止危害和潛在的危及生命的故障。力求達到可接受的剩餘風險水準，確保系統盡可能安全。該標準採用風險型方法，透過判定稱為汽車安全性完整性等級 (ASIL) 的風險等級，以協助規範達到可接受的剩餘風險水準。
• 驗證與確認：該標準提供驗證和確認措施的標準，以確保達到足夠且可接受的安全性等級。它強調在系統和車輛層級測試並驗證安全性機制的重要性。

機械、電氣、電子及軟體領域的整合，會增加車輛系統故障的風險。因此，ISO 26262 提供全面的系統要求和程序指南，以降低這些風險。 

標準：

• 概述一個全面的安全性生命週期，涵蓋從概念階段到除役的多個階段的安全性檢查
• 著重於電氣和電子 (E/E) 系統的功能安全性，同解決這些系統與其他車輛系統的整合問題，以確保整體車輛安全性
• 強調要達到功能安全性，必須兼顧功能性開發活動 (例如規範要求、設計和實作)和品質導向的活動 (例如核實、驗證和確認措施)

以下是構成 ISO 26262 標準 12 個部分的細項：

第 1 部分：詞彙

第 1 部分概述整個標準中使用的術語、定義及縮寫 — 請特別注意「故障」、「錯誤」和「失敗」的定義。

第 2 部分：功能安全性管理

第 2 部分概述執行安全性相關活動的人員應確保的組織要求。 

第 3 部分：概念階段

第 3 部分說明如何在產品開發初期階段期間，為整合的每個項目 (系統或子系統) 執行危害分析與風險評估 (HARA)。它也說明如何透過功能性架構來解決所識別的危害。  

第 4 部分：系統層級的產品開發

第 4 部分涵蓋系統層級的技術架構設計、項目整合以及測試。在此開發階段中，工程師經常執行故障樹分析 (FTA) 以及故障模式效應分析 (FEMA)。

第 5 部分：硬體層級的產品開發

第 5 部分涉及硬體設計、整合與驗證，包括硬體指標的評估。

第 6 部分：軟體層級的產品開發

第 6 部分涉及軟體架構與單元設計、實作、整合與驗證。 

第 7 部分：生產、運作、服務、除役

第 7 部分概述安全性相關系統和項目的生產程序。其中還包括有關操作、服務和除役這些項目的詳細資訊。

第 8 部分：支援程序

第 8 部分描述在整個安全性生命週期中，支援程序的實施。舉例來說，其中概述變更管理要求、文件管理邀求、工具評估和資格要求等

第 9 部分：以汽車安全完整性等級 (ASIL) 為導向和以安全性為導向的分析

第 9 部分說明 ASIL 分解要求及安全性分析要求 (包括相依性失敗的分析及項目共存的標準)。

第 10 部分：ISO 26262 指南

第 10 部分提供 ISO 26262 各部分的其他說明。

第 11 部分：將該標準應用於半導體的指南

第 11 部分涉及半導體元件的開發、生產與運作。它說明不同的半導體技術與使用案例，並提供如何執行某些安全性生命週期活動的指引。

第 12 部分：ISO 26262 針對機車所做的調整

如同章節標題所示，第 12 部分說明 ISO 26262 針對機車所做的調整。

雖然不是法律強制規範，但 ISO 26262 是一項重要的安全性標準，可為車輛內的電氣和電子系統整合 (在其生命週期內) 提供保證。

此外，進一步採用透過 ASIL 評估風險的可靠方法。因此，ISO 26262 是一項全面性標準，涵蓋各種車輛類型和技術的完整汽車生命週期。

它是可靠的汽車功能安全性標準，能夠：

• 改善設計工作流程：ISO 26262 解決汽車系統中硬體和軟體整合的複雜性，並提供硬體開發和軟體開發的指引。
• 改善車輛安全性：ISO 26262 涉及汽車電子和電氣系統的整個安全性生命週期，為製造商、其供應商和代理商 (包括美國國家公路交通安全性管理局) 提供單一參考點，以確保完善的安全性管理開發、生產和測試程序。
• 提高信任：藉由遵守一套公認的標準，汽車產業製造商、供應商、消費者和其他利害關係人就能對車輛和零件的安全性有信心。

以下是 ISO 26262 設計和驗證程序的高階概述：

1. 項目清單：「項目」一詞在 ISO 26262 中具有特定意思，描述在車輛層級執行功能 (或部分功能) 的系統 (或系統組合)。因此，其為程序中最高等級的識別物體，例如防鎖死煞車系統 (或稱 ABS)。
2. 概述頂層功能：概述每個項目 (包括子系統) 的功能需求。
3. 識別可能的危害：為每個項目執行危害分析與風險評估 (HARA)，參照一組預先定義的危險事件 — 例如因 ABS 故障而打滑。
4. 指派 ASIL：汽車安全性完整性等級 (範圍從 A (最不嚴重) 至 D (最嚴重，危及生命)) 是以三個因素為基礎，即暴露機率、可操控性和風險嚴重性。
5. 識別安全性目標：安全性目標源自於在 HARA 中認定為車輛層級最高等級安全性要求的危險事件。每個安全性目標都有 ASIL 等級，可能會與一或多個危險相關。
6. 具體說明功能安全性要求：執行故障樹分析 (FTA) 等安全性分析，以辨識可能導致違反安全性目標的危險事件根本原因；此分析有助於確立功能安全性概念 (FSC)。後者旨在具體說明解決相關錯誤影響所需的安全性措施，並將功能安全性要求分配給系統架構設計或外部措施。
7. 具體說明技術安全性要求：建立技術安全性概念 (TSC)，具體說明技術安全性要求，並設計符合上述功能安全性要求的系統架構。技術安全性要求會分配至系統項目。   
8. 設計產品：在產品設計過程中，工程師開發產品時必須符合上述技術安全性要求。
9. 核實與驗證：核實可讓安全性工程師根據安全性需求確認產品設計，而驗證可在實際情境中進行測試。

如同標準的第 8 部分所述，整個開發生命週期的支援程序 (生產、運作、變更管理和品質管理) 在滿足法規要求方面扮演至關重要的角色。

為確保符合標準，製造商及其供應商必須依照 ISO 26262 所提供的功能安全性準則來檢查其產品和流程，並遵循「確認措施」的程序。這些措施分為以下三類：

• 確認審查：判斷特定工作產品是否達到相關的 ISO 26262 目標和要求
• 功能安全性稽核：判斷實作的程序是否達到 ISO 26262 標準及要求
• 功能安全性評估：判斷是否已達成 ISO 26262 目標及要求。功能安全性評估應考量確認審查及功能安全性稽核的結果。

為了因應道路車輛電氣及/或電子系統日益複雜的問題而推出 ISO 26262。同樣的，設計符合規範項目的複雜性也隨之增加。

在此情況下，汽車工程師必須克服下列挑戰：

• 符合 ISO 26262 標準中的所有部分，考量各部分中所提供的廣泛目標和要求
• 待開發的系統越來越複雜 (軟體定義車輛架構、高度自動化駕駛系統、資訊娛樂系統等) 
• OEM 和供應商為第三方 OEM 設計晶片開發通用平台，而不瞭解其最終用途的安全性需求。在此情況下，設計師必須做出假設，確保他們提供這些假設的完整文件
• 需要監控廣泛的設計資料、相依性、智慧財產和文件
• 能夠追蹤開發過程中使用的每個工具、系統或項目的 IP 所有權。這表示工程師必須仔細評估、記錄並驗證每一供應商提供的 IP。

有鑑於上述挑戰，在沒有專業軟體工具的協助下，合乎 ISO 26262 標準顯然是幾近不可能達成的工作。

考慮到車輛召回的成本，大多數的汽車供應鏈 OEM 都需要符合 ISO 26262 標準的證據。

成功的開發專案以往通常仰賴多種專用工具拼湊，Ansys medini® analyze™ 軟體是一套便於使用的模型式全方位工具，專門用於對電氣與電子道路車輛系統的安全性分析進行作業。

Ansys medini analyze 軟體在汽車安全性設計上提供透明度，促進汽車產業主要利益相關者之間的信任與協同合作。該軟體實現：

• 模型式安全性分析
• 具備安全性屬性的系統建模語言 (SysML) 建模
• 功能安全性分析
• 主要安全性分析使用的方法包括故障模式效應與診斷分析 (FMEDA)、HARA、危害與可操作性 (HAZOP) 分析、故障模式與效應分析 (FMEA)、FTA、「預定機能安全性 (SOTIF)」標準，以及其他項目
• 系統、軟體和硬體層級的安全性分析
• 與需求管理工具整合
• 端對端的可追蹤性、工作流程，以及其他功能

不僅如此，Ansys SCADE® 產品系列除了提供 Ansys medini analyze 軟體之外，還提供模型式軟體開發環境：

• 模型式設計編輯器 
• 自動產生安全可靠的程式碼
• 測試功能
• 測試覆蓋率測量最高可達 MC/DC (修改條件/判斷覆蓋)
• 符合 AUTOSAR 規定

如果您有興趣簡化您的 ISO 26262 程序，請註冊取得 Ansys medini analyze 軟體試用版。

如果您想要減少高達 50% 的軟體設計與驗證成本，請註冊取得 Ansys SCADE 軟體免費試用版。

相關資源