一、序言

1、 相互认识（自我介绍、学员介绍）

2、 道路车辆的安全性思考（车辆安全与展望）

3、 讨论：贵司产品如何影响车辆安全？又是如何管控的？

二、ISO26262：2011标准内容解读（10个部分）

1、ISO26262-1 适用范围和主要内容

1.1 ISO26262的前身（IEC61508）

1.2 ISO26262适用范围（5点：3.5T以下乘用车、E/E安全相关系统（如辅助驾驶、动态控制、主被动安全系统）、整个车辆生命周期、2011年后车辆的E/E安全相关系统、不适用为残疾人设计的特殊目的车辆的E/E系统）

1.3 ISO26262主要内容（10点：定义、功能安全管理、概念阶段、产品研发（系统级、硬件级、软件级）、生产和操作、支持过程、基于ASIL和安全的分析、ISO26262导则）

1.4 ISO26262应用价值（4点：提供车辆生命周期内必要的改装活动、提供了风险评估方法ASIL、通过ASIL获得可接受的残余风险的必要安全要求、提供确保获得足够的可可接受的安全等级的有效性和确定性措施）

互动交流：

1、 ISO26262是针对什么产品的安全标准？     2、企业应该如何建立和应用ISO26262标准？

2、ISO26262-2功能安全管理

2.1 项目安全生命周期（安全管理生命周期框图）

2.2 项目安全生命周期各阶段的认识与理解：

   - 项目定义                 - 安全生命周期的初始化               - 危险分析和风险评估

   - 功能安全概念             - 系统级产品研发                     - 硬件级产品研发

   - 软件级产品研发           - 生产计划和操作计划                 - 产品发布

   - 产品的操作、服务和拆解   - 可控性                             - 外部措施

   - 其它技术                 - 安全文化（安全经验传承、重视安全）

3、ISO26262-3 概念阶段

3.1 项目定义

3.1.1 项目信息：  - 法规要求，已知的国际和国际标准       - 类似功能、系统或元素达到的行为

        -   对项目预期行为的构想                        - 已知的失效模式和风险在内的项目缺陷造成的潜在影响

3.1.2 项目的边界条件以及相关项目之间的接口条件：

      - 项目的所有元素                               - 项目对其它项目或项目环境元素的相关影响

      - 其它项目，元素和环境对本项目的要求           - 子系统或者包含的元素中，对功能的单位和分配

      - 影响项目功能时，项目的运行情况

3.2 项目的安全生命周期

3.2.1 全新产品研发

3.2.2 现有产品升级改造

1. 做产品和使用环境分析，以制定出预期更改，并评估更改的影响

    a) 设计更改与执行更改                 b) 配置数据或校准数据的更改               c) 产品环境更改

2. 表述清楚产品使用前后条件的差别

    a) 操作条件和操作模式                 b) 环境接口             c) 安装特征，如：安装位置、配置和变化

    d) 环境条件范围，如：温度、湿度、海拔、震动、EMC和汽油标号等

3. 要明确定义产品变更以及影响范围

4. 影响到的服役产品，需要进行升级的，要逐一列出

5. 定制的相关安全活动应符合各个应用生命周期阶段的要求

    a) 定制应基于影响分析的结果                   b) 定制的结果应包括在符合ISO26262-2的安全计划中 

    c) 影响到的产品须返工，包括确认计划和验证计划

3.2.3 项目的危险分析和风险评估

    - 危险分析和风险评估的目的            - 危险分析和风险评估的步骤     

   - 情形分析和危险识别：  

      a.准备用来进行评估的操作情况清单       b.系统的确定清单上的危险          c.风险定义

      d.明确相关操作条件和操作模式下危险事件的影响    e.对超出ISO262的风险，也要给予相应措施      

    - 对风险进行分级，设定安全目标，并按风险等级采取合理的措施

    - 风险的分类（3个指标）

         a)  伤害的严重性（4个等级，S0，S1，S2，S3）

        b)  操作条件下暴露于危险中的可能性（5个等级，E0，E1，E2，E3，E4）

        c)  危险事件的可控性（4个等级，C0，C1，C2，C3）

        d)  风险的ASIL等级表（4个等级，A、B、C、D）

3.2.4 功能安全概念

    - 基本的安全机制和安全措施：

     1) 故障检测和失效缓解措施     2) 安全状态转换        3) 故障容错机制        

      4) 故障检测和司机警示装置     5) 逻辑仲裁               6) 安全目标和功能安全要求的层次结构

      7) 功能安全要求的来源：

          a) 应从安全目标和安全状态来获得，并考虑预想架构、功能概念、操作模式和系统状态

          b) 要为每个安全目标设定至少一个功能安全要求

          c) 每个功能安全要求都要考虑以下内容：

             1.操作模式   2.故障容错时间间隔    3.安全状态，过渡到安全状态是否符合设备要求   

             4.急停操作间隔      5.功能冗余

          d) 警示和降级

          e) 如果安全状态不能通过立即关闭来达到，则需指定一个紧急操作

              1) 这些动作应该在功能安全概念中详细描述

              2) 驾驶员或陷入危险中的人员可以使用的手段或者控制要在功能安全概念中详细描述

       - 功能安全的分配：

           a) 研发安全架构概念      

          b) 功能安全要求分配

              1.功能安全要求的分配应该基于项目预想架构的元素进行

              2.分配过程中，ASIL和功能安全要求考虑的内容信息都要继续传承

              3.如果多个功能安全要求被分配到同一个架构元素，则这个架构元素应以这些功能安全要求最高                     ASIL等级进行研发

              4.如果项目由超过一个的系统组成，则对于每个独立系统和他们的接口的功能安全要求都要从考                    虑预想系统架构的功能安全要求中获得，而这些功能安全要求也都要被分配到系统中去

              5.如果ASIL等级需要被拆解，则要符合ISO26262-9第五条款的要求

              6.如果安全要求被分配到其他技术的元素中，则无需考虑ASIL等级

           c) 如果功能安全概念依赖于其他技术的原色，则应考虑：

              1.靠其它技术执行的功能安全要求应该从其相应的元素中获得并分配到元素中去

              2.明确与其他技术的接口的相关功能安全要求

              3.有应其他技术执行的功能安全要求要确保有具体的措施

           d) 依赖于外部风险较低措施的功能安全概念应满足以下要求：

              1.应用于外面风险较低措施的功能安全要求应该从相应的外部风险较低措施中获得并分配其中去

              2.明确与外部风险较低措施的接口的功能安全要求

              3.如果外部风险较低措施由E/E系统构成，则功能安全要求可以用ISO26262来进行评估

              4.必须确保由外部风险较低措施执行的功能安全要求的正确执行

           e) 功能安全概念应该按照ISO26262-8第九条款的要求来验证与安全目标的一致性和符合性

           f) 项目安全确认的原则应该学习的写在功能安全概念中

           g) 功能安全要求的审核应该阐明功能安全要求符合安全目标

4、ISO26262-4 系统级产品开发

4.1 系统级产品开发启动              

4.2 技术安全需求制定（技术安全需求规范、安全机制、ASIL分解、潜在故障避免、产品/运行/维护和结 

     束、检验和确认）

4.3 系统设计（系统设计规范和技术安全概念、系统架构设计约束、系统失效的避免措施、运行过程中随

      机硬件失效的控制措施、硬件和软件配置、硬件和软件接口规范<HSI>、产品运行/维护和关闭要求、         系统设计验证）

4.4 项目集成和测试（集成测试计划制定、软硬件集成与测试、系统集成和测试、测试目标和测试方法）

4.5 安全确认         4.6功能安全评估             4.7 产品发布

5、ISO26262-5 硬件级产品开发

5.1 硬件级产品开发初始化        5.2 硬件安全需求规范拟定      

5.3 硬件设计（硬件架构设计、硬件详细设计、安全分析、硬件设计验证、生产/运行/服务和关闭）

5.4 硬件体系指标评估

6、ISO26262-6 软件级产品开发

 6.1 软件级产品开发启动          6.2 软件安全需求规范拟定       6.3 软件体系设计  

 6.4 软件单元设计和实现          6.5 软件单元测试                     6.6 软件集成和测试          

 6.7 软件安全需求和验证

7、ISO26262-7生产运行

   7.1 生产      7.2 运行、服务（保养和维护）和关闭

8、ISO26262-8支持过程

 8.1 分布式开发接口        8.2 安全需求规范和管理      8.3 配置管理       8.4 变更管理         8.5 验证

 8.6 文档                  8.7 可信的软件工具          8.8 软件组件证明       8.9 硬件组件证明      8.10 论证证明

9、ISO26262-9 面向汽车安全完整性等级（ASIL）和安全分析

 9.1 考虑ASIL裁剪等级分解要求        9.2 要素共存标准      9.3 关联故障分析      9.4 安全分析

10、ISO26262-10 指南

互动练习：自由讨论，答疑解惑