标准简介
ISO 26262:2018 是道路车辆功能安全国际标准,共 12 个部分,涵盖从概念阶段、系统/硬件/软件开发、生产、运营到退役的全生命周期。标准基于车辆级危害分析与风险评估(HARA)定义 ASIL A 至 ASIL D 四个汽车安全完整性等级,并针对每个等级提出相应的过程与技术要求。
ISO 26262 已成为汽车 OEM 与 Tier 1/2/3 供应商的事实准入要求,广泛应用于乘用车、卡车、客车、挂车与摩托车(2018 版扩展了适用范围)。本页汇总了官方文档、核心流程、认证机构与最佳实践,帮助组织建立可落地的功能安全体系。
ASIL 等级
基于危害分析与风险评估定义 ASIL A 至 ASIL D 四个汽车安全完整性等级,ASIL D 对最高风险场景要求最严格的安全措施。
硬件与软件安全
为硬件和软件开发提供详细要求,包括硬件架构指标、诊断覆盖率以及各 ASIL 等级下的软件验证方法。
完整安全生命周期
覆盖道路车辆 E/E 系统从概念、开发、生产、运营、服务到退役的完整安全生命周期。
list_alt 标准结构概览
- 术语与功能安全管理(第 1-2 部分)
- 概念阶段——危害分析与风险评估(第 3 部分)
- 系统级产品开发(第 4 部分)
- 硬件与软件级产品开发(第 5-6 部分)
- 生产、运营、服务与退役(第 7 部分)
- 支持过程与 ASIL 导向分析(第 8-9 部分)
- ISO 26262 应用指南与半导体(第 10-11 部分)
- 摩托车适用性调整(第 12 部分)
谁需要合规?
汽车整车厂、Tier 1/2/3 供应商、半导体制造商以及从事乘用车、卡车、客车、挂车和摩托车安全相关 E/E 系统开发的软件开发者(2018 版扩展了乘用车适用范围)。
关键要求
危害分析与风险评估(HARA)
系统识别车辆级危害,根据严重度、暴露概率和可控性划分 ASIL 等级(A-D),并为每个危害事件定义安全目标。
功能安全概念与技术安全概念
从安全目标导出功能安全需求并分配到系统要素;制定技术安全概念,包含可追溯至功能安全概念的具体硬件与软件安全需求。
硬件安全指标
证明符合与目标 ASIL 等级相适应的硬件架构指标——单点故障指标、潜伏故障指标以及随机硬件失效概率指标(PMHF)。
软件开发过程
遵循结构化软件开发过程,按 ASIL 等级要求执行设计原则、编码规范、验证方法(评审、分析、测试)及各阶段文档。
确认措施
由具备相应资质和独立性的合格人员执行确认评审、功能安全审核和功能安全评估,评估等级基于安全相关项的 ASIL。
实施路线图
准备范围、责任和监管背景
围绕安全相关电气电子系统、项目、组件、软件、硬件、生产、运行、服务和报废活动定义道路车辆功能安全生命周期范围。指定责任人,识别适用法律、客户、认证或市场准入驱动因素,并在整改前约定证据模型。
差距分析和基于风险的计划
依据 ISO 26262 期望和风险背景评估当前实践。审查安全管理、项目定义、HARA、ASIL 判定、功能和技术安全概念、系统/软件/硬件开发、验证、确认、生产放行和安全案例证据,并按法律暴露、客户影响、安全或隐私风险以及审核或提交准备度排列差距优先级。
实施控制、文档和证据
部署所需流程、控制、评审、培训、供应商控制和成文信息。围绕安全计划、项目定义、HARA 工作表、ASIL 理由、安全要求、架构评审、验证报告、确认结果、确认评审、安全案例和生产放行证据建立可追溯证据。
评审、审核并维护合规
在功能安全评估或客户审核前完成内部评审、准备度检查和纠正措施。产品、供应商、法律、客户、事件或运营变化后保持项目更新。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与改进
处罚与执行
ISO 26262 为自愿性标准,无直接监管处罚,但已成为行业事实要求。未能证明功能安全合规可能导致产品责任风险、被 OEM 供应链排除,以及在联合国 ECE 法规型式审批中被拒绝。
常见问题解答
谁需要 ISO 26262?
expand_more
ISO 26262 适用于活动落入安全相关电气电子系统、项目、组件、软件、硬件、生产、运行、服务和报废活动的组织。采用动因通常来自监管、客户、采购要求、市场准入,或证明组织能纪律化控制高影响风险的需要。
ISO 26262 的核心目的是什么?
expand_more
核心目的是为安全管理、项目定义、HARA、ASIL 判定、功能和技术安全概念、系统/软件/硬件开发、验证、确认、生产放行和安全案例证据建立可重复运行的项目。不同领域细节不同,但实践目标都是让义务可见、分配责任、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围和所有权。许多失败源于边界不清、缺少责任人,或证据与实际产品、服务、系统或数据流不匹配。
实施需要多长时间?
expand_more
聚焦实施通常需要数月。周期取决于成熟度、产品或场所数量、供应商参与度、技术复杂度、测试证据以及外部审查深度。
哪些证据最有用?
expand_more
有用证据包括安全计划、项目定义、HARA 工作表、ASIL 理由、安全要求、架构评审、验证报告、确认结果、确认评审、安全案例和生产放行证据。审核员、监管机构、客户或审评人员通常期望看到控制正在运行,而不仅是政策存在。
应如何管理供应商?
expand_more
供应商责任应通过合同和运行流程明确。高风险供应商需要尽职调查、下传要求、证据请求、绩效监控以及针对发现项或事件的升级路径。
项目应多久评审一次?
expand_more
评审频率应跟随风险和变化。年度评审很常见,但产品发布、事件、监管变化、客户要求、重大供应商或审核发现应更早触发专项评审。
可以与其他合规项目整合吗?
expand_more
可以。ISO 26262 通常可以与相关标准共享治理、培训、供应商管理、文件控制、问题跟踪、内部审核和管理评审,同时保留自身特定法律或技术证据。