一、序言

1、 相互認識（自我介紹、學(xué)員介紹）

2、 道路車輛的安全性思考（車輛安全與展望）

3、 討論：貴司產(chǎn)品如何影響車輛安全？又是如何管控的？

二、ISO26262：2011標準內(nèi)容解讀（10個部分）

1、ISO26262-1 適用范圍和主要內(nèi)容

1.1 ISO26262的前身（IEC61508）

1.2 ISO26262適用范圍（5點：3.5T以下乘用車、E/E安全相關(guān)系統(tǒng)（如輔助駕駛、動態(tài)控制、主被動安全系統(tǒng)）、整個車輛生命周期、2011年后車輛的E/E安全相關(guān)系統(tǒng)、不適用為殘疾人設(shè)計的特殊目的車輛的E/E系統(tǒng)）

1.3 ISO26262主要內(nèi)容（10點：定義、功能安全管理、概念階段、產(chǎn)品研發(fā)（系統(tǒng)級、硬件級、軟件級）、生產(chǎn)和操作、支持過程、基于ASIL和安全的分析、ISO26262導(dǎo)則）

1.4 ISO26262應(yīng)用價值（4點：提供車輛生命周期內(nèi)必要的改裝活動、提供了風險評估方法ASIL、通過ASIL獲得可接受的殘余風險的必要安全要求、提供確保獲得足夠的可可接受的安全等級的有效性和確定性措施）

互動交流：

1、 ISO26262是針對什么產(chǎn)品的安全標準？     2、企業(yè)應(yīng)該如何建立和應(yīng)用ISO26262標準？

2、ISO26262-2功能安全管理

2.1 項目安全生命周期（安全管理生命周期框圖）

2.2 項目安全生命周期各階段的認識與理解：

   - 項目定義                 - 安全生命周期的初始化               - 危險分析和風險評估

   - 功能安全概念             - 系統(tǒng)級產(chǎn)品研發(fā)                     - 硬件級產(chǎn)品研發(fā)

   - 軟件級產(chǎn)品研發(fā)           - 生產(chǎn)計劃和操作計劃                 - 產(chǎn)品發(fā)布

   - 產(chǎn)品的操作、服務(wù)和拆解   - 可控性                             - 外部措施

   - 其它技術(shù)                 - 安全文化（安全經(jīng)驗傳承、重視安全）

3、ISO26262-3 概念階段

3.1 項目定義

3.1.1 項目信息：  - 法規(guī)要求，已知的國際和國際標準       - 類似功能、系統(tǒng)或元素達到的行為

        -   對項目預(yù)期行為的構(gòu)想                        - 已知的失效模式和風險在內(nèi)的項目缺陷造成的潛在影響

3.1.2 項目的邊界條件以及相關(guān)項目之間的接口條件：

      - 項目的所有元素                               - 項目對其它項目或項目環(huán)境元素的相關(guān)影響

      - 其它項目，元素和環(huán)境對本項目的要求           - 子系統(tǒng)或者包含的元素中，對功能的單位和分配

      - 影響項目功能時，項目的運行情況

3.2 項目的安全生命周期

3.2.1 全新產(chǎn)品研發(fā)

3.2.2 現(xiàn)有產(chǎn)品升級改造

1. 做產(chǎn)品和使用環(huán)境分析，以制定出預(yù)期更改，并評估更改的影響

    a) 設(shè)計更改與執(zhí)行更改                 b) 配置數(shù)據(jù)或校準數(shù)據(jù)的更改               c) 產(chǎn)品環(huán)境更改

2. 表述清楚產(chǎn)品使用前后條件的差別

    a) 操作條件和操作模式                 b) 環(huán)境接口             c) 安裝特征，如：安裝位置、配置和變化

    d) 環(huán)境條件范圍，如：溫度、濕度、海拔、震動、EMC和汽油標號等

3. 要明確定義產(chǎn)品變更以及影響范圍

4. 影響到的服役產(chǎn)品，需要進行升級的，要逐一列出

5. 定制的相關(guān)安全活動應(yīng)符合各個應(yīng)用生命周期階段的要求

    a) 定制應(yīng)基于影響分析的結(jié)果                   b) 定制的結(jié)果應(yīng)包括在符合ISO26262-2的安全計劃中 

    c) 影響到的產(chǎn)品須返工，包括確認計劃和驗證計劃

3.2.3 項目的危險分析和風險評估

    - 危險分析和風險評估的目的            - 危險分析和風險評估的步驟     

   - 情形分析和危險識別：  

      a.準備用來進行評估的操作情況清單       b.系統(tǒng)的確定清單上的危險          c.風險定義

      d.明確相關(guān)操作條件和操作模式下危險事件的影響    e.對超出ISO262的風險，也要給予相應(yīng)措施      

    - 對風險進行分級，設(shè)定安全目標，并按風險等級采取合理的措施

    - 風險的分類（3個指標）

         a)  傷害的嚴重性（4個等級，S0，S1，S2，S3）

        b)  操作條件下暴露于危險中的可能性（5個等級，E0，E1，E2，E3，E4）

        c)  危險事件的可控性（4個等級，C0，C1，C2，C3）

        d)  風險的ASIL等級表（4個等級，A、B、C、D）

3.2.4 功能安全概念

    - 基本的安全機制和安全措施：

     1) 故障檢測和失效緩解措施     2) 安全狀態(tài)轉(zhuǎn)換        3) 故障容錯機制        

      4) 故障檢測和司機警示裝置     5) 邏輯仲裁               6) 安全目標和功能安全要求的層次結(jié)構(gòu)

      7) 功能安全要求的來源：

          a) 應(yīng)從安全目標和安全狀態(tài)來獲得，并考慮預(yù)想架構(gòu)、功能概念、操作模式和系統(tǒng)狀態(tài)

          b) 要為每個安全目標設(shè)定至少一個功能安全要求

          c) 每個功能安全要求都要考慮以下內(nèi)容：

             1.操作模式   2.故障容錯時間間隔    3.安全狀態(tài)，過渡到安全狀態(tài)是否符合設(shè)備要求   

             4.急停操作間隔      5.功能冗余

          d) 警示和降級

          e) 如果安全狀態(tài)不能通過立即關(guān)閉來達到，則需指定一個緊急操作

              1) 這些動作應(yīng)該在功能安全概念中詳細描述

              2) 駕駛員或陷入危險中的人員可以使用的手段或者控制要在功能安全概念中詳細描述

       - 功能安全的分配：

           a) 研發(fā)安全架構(gòu)概念      

          b) 功能安全要求分配

              1.功能安全要求的分配應(yīng)該基于項目預(yù)想架構(gòu)的元素進行

              2.分配過程中，ASIL和功能安全要求考慮的內(nèi)容信息都要繼續(xù)傳承

              3.如果多個功能安全要求被分配到同一個架構(gòu)元素，則這個架構(gòu)元素應(yīng)以這些功能安全要求最高                     ASIL等級進行研發(fā)

              4.如果項目由超過一個的系統(tǒng)組成，則對于每個獨立系統(tǒng)和他們的接口的功能安全要求都要從考                    慮預(yù)想系統(tǒng)架構(gòu)的功能安全要求中獲得，而這些功能安全要求也都要被分配到系統(tǒng)中去

              5.如果ASIL等級需要被拆解，則要符合ISO26262-9第五條款的要求

              6.如果安全要求被分配到其他技術(shù)的元素中，則無需考慮ASIL等級

           c) 如果功能安全概念依賴于其他技術(shù)的原色，則應(yīng)考慮：

              1.靠其它技術(shù)執(zhí)行的功能安全要求應(yīng)該從其相應(yīng)的元素中獲得并分配到元素中去

              2.明確與其他技術(shù)的接口的相關(guān)功能安全要求

              3.有應(yīng)其他技術(shù)執(zhí)行的功能安全要求要確保有具體的措施

           d) 依賴于外部風險較低措施的功能安全概念應(yīng)滿足以下要求：

              1.應(yīng)用于外面風險較低措施的功能安全要求應(yīng)該從相應(yīng)的外部風險較低措施中獲得并分配其中去

              2.明確與外部風險較低措施的接口的功能安全要求

              3.如果外部風險較低措施由E/E系統(tǒng)構(gòu)成，則功能安全要求可以用ISO26262來進行評估

              4.必須確保由外部風險較低措施執(zhí)行的功能安全要求的正確執(zhí)行

           e) 功能安全概念應(yīng)該按照ISO26262-8第九條款的要求來驗證與安全目標的一致性和符合性

           f) 項目安全確認的原則應(yīng)該學(xué)習(xí)的寫在功能安全概念中

           g) 功能安全要求的審核應(yīng)該闡明功能安全要求符合安全目標

4、ISO26262-4 系統(tǒng)級產(chǎn)品開發(fā)

4.1 系統(tǒng)級產(chǎn)品開發(fā)啟動              

4.2 技術(shù)安全需求制定（技術(shù)安全需求規(guī)范、安全機制、ASIL分解、潛在故障避免、產(chǎn)品/運行/維護和結(jié) 

     束、檢驗和確認）

4.3 系統(tǒng)設(shè)計（系統(tǒng)設(shè)計規(guī)范和技術(shù)安全概念、系統(tǒng)架構(gòu)設(shè)計約束、系統(tǒng)失效的避免措施、運行過程中隨

      機硬件失效的控制措施、硬件和軟件配置、硬件和軟件接口規(guī)范<HSI>、產(chǎn)品運行/維護和關(guān)閉要求、         系統(tǒng)設(shè)計驗證）

4.4 項目集成和測試（集成測試計劃制定、軟硬件集成與測試、系統(tǒng)集成和測試、測試目標和測試方法）

4.5 安全確認         4.6功能安全評估             4.7 產(chǎn)品發(fā)布

5、ISO26262-5 硬件級產(chǎn)品開發(fā)

5.1 硬件級產(chǎn)品開發(fā)初始化        5.2 硬件安全需求規(guī)范擬定      

5.3 硬件設(shè)計（硬件架構(gòu)設(shè)計、硬件詳細設(shè)計、安全分析、硬件設(shè)計驗證、生產(chǎn)/運行/服務(wù)和關(guān)閉）

5.4 硬件體系指標評估

6、ISO26262-6 軟件級產(chǎn)品開發(fā)

 6.1 軟件級產(chǎn)品開發(fā)啟動          6.2 軟件安全需求規(guī)范擬定       6.3 軟件體系設(shè)計  

 6.4 軟件單元設(shè)計和實現(xiàn)          6.5 軟件單元測試                     6.6 軟件集成和測試          

 6.7 軟件安全需求和驗證

7、ISO26262-7生產(chǎn)運行

   7.1 生產(chǎn)      7.2 運行、服務(wù)（保養(yǎng)和維護）和關(guān)閉

8、ISO26262-8支持過程

 8.1 分布式開發(fā)接口        8.2 安全需求規(guī)范和管理      8.3 配置管理       8.4 變更管理         8.5 驗證

 8.6 文檔                  8.7 可信的軟件工具          8.8 軟件組件證明       8.9 硬件組件證明      8.10 論證證明

9、ISO26262-9 面向汽車安全完整性等級（ASIL）和安全分析

 9.1 考慮ASIL裁剪等級分解要求        9.2 要素共存標準      9.3 關(guān)聯(lián)故障分析      9.4 安全分析

10、ISO26262-10 指南

互動練習(xí)：自由討論，答疑解惑