ISO 26262 車輛安全完整性等級 Automotive Safety Integrity Level ASIL 簡介

關於ISO26262

功能安全是一種旨在確保系統以可接受的安全等級運作的方法論。ISO 26262 是一個汽車安全標準，它定義了確保車輛系統安全所需的必要安全指標。通過實施計劃的安全機制，車輛可以發出警告並達到安全狀態，以防止對人類造成危害

系統製造商負責分析系統故障可能對人員造成的潛在危害。鑑於系統包含眾多組件，重要的是包括能夠提升功能安全的特定組件。這些功能安全組件被設計成能夠獨立處理潛在故障，降低整個系統需要分析和應對隨機組件故障的需求。

定義

ISO 26262 規定汽車 OEM 和供應商從規格到生產上市都必須遵循功能安全開發流程，並詳實記錄(確保合規性)，以使其裝置得以在商用(搭載乘客用)車中運作。ISO2622 為汽車安全完整性等級，或所謂的 ASIL的風險分類系統勾勒出簡單概要，

其目的是減少因電氣與電子 (E/E) 系統故障所引發的可能危害。SO (國際標準化組織) 與國際電工委員會 (IEC) 密切合作。ISO 26262 規範於 2011 年作為 E/E 系統通用功能安全標準 IEC 61508 的改編版並正式公告。

原始設備/品牌製造商

Tier 1：子系統供應商，例如：ADAS

Tier 2：模組供應商，例如：相機

Tier 3：晶片供應商，例如：電源管理 IC

Tier 4：材料供應商，例如：智慧產權（IP）

ISO 26262 與其他汽車標準有何不同？

ISO 26262 著重功能安全，以確保汽車零組件能準確且準時發揮其功能。此規範提供一種基於專屬汽車特殊性的方法來確定風險等級 (又稱為ASIL)。

AEC-Q100 (由汽車電子協會制定) 著重於可靠度，更明確一點說是車用IC的壓力測試。

美國汽車工程師協會 (SAE) 長期以來提供評定汽車馬力的標準，現在則是透過 SAE J3061 定義網路安全的最佳做法。SAE 積極參與汽車自動化程度的定義，近期還制定了汽車測試的標準。

MISRA(汽車產業軟體可信度協會) 的指南著重於安全性，其中更定義在車輛控制系統內開發安全性、可靠性和可攜式軟體程式碼的流程。 

ISO 26262 如何運作？

• 指定一個詞彙表 (仔細定義「故障」、「錯誤」和「失效」等關鍵術語)

• 定義個別汽車產品安全生命週期的標準
  • 概念階段
  • 系統層級、硬體層級和軟體層級的產品開發
  • 生產和運作
  • 維修和報廢
• 提供一種專屬汽車特殊性且基於風險為考量的方法來確定風險等級 (ASILs)
  • 辨別並評估安全風險
  • 建立要求，以將這些風險降低到可接受的程度
  • 追蹤要求，以確保所交付產品的安全性夠高

要遵守 ISO 26262 需要大量的文件證明和測試，是曠日廢時的工作。此規範規定工程師需先針對他們使用的設計軟體的工具信賴度(Tool Confidence Levels)進行評估。

雖然 ISO 26262 有提供汽車安全專用的通用詞彙表，但在ASIL 分類中，某些定義所提供的資訊大於其規定性，為各家汽車零組件供應商保留進一步解釋的空間。因應此問題，SAE 發布了 J2980 – ISO 26262 ASIL 危害分類的注意事項，為危害等級的評估提供更明確的指南。

2018 年版本的 ISO 26262 中包含擴充版的詞彙表和更詳細的目標。

ISO 26262 有何優點？

ISO 26262 可確保汽車零組件打從一開始就具備高水準的安全性。從整體風險管理到單一元件的開發、生產、運作、維修和報廢，此規範可為整個汽車安全生命週期提供指南。透過 ISO 26262，OEM 也可對供應鏈進行審查，以確保不會在生產流程後期出現 E/E 的安全危害，因為屆時要解決相關問題得付出更高的成本。 

ISO 26262 證明，在越來越多的車用電子系統中，供應商會試著同時設計硬體與軟體來節省開發時間。ISO 26262 委員會概述了同時進行硬體/軟體開發與測試的廣泛指南，並指出兩者必須一起進行測試才能達到最高等級的安全性。