什么是ISO 26262？ — 汽车功能安全全解

什么是ISO 26262？

ISO 26262是针对汽车电气/电子系统功能安全（Functional Safety）的国际标准。简单来说，就是"确保软件故障不会导致人身伤害的方法论"。

汽车中搭载了制动器、转向系统、安全气囊、ADAS（高级驾驶辅助系统）等众多一旦故障就可能造成人身伤害的系统。ISO 26262为这类系统的整个开发过程提供了系统化保障安全的框架。它与ASPICE（流程质量标准）并列，是汽车软件开发的核心标准。

2011年发布了初版，目前使用的是2018年发布的第2版。适用范围已扩展到半导体和摩托车领域。

ASIL — 基于风险的安全等级

ISO 26262的核心概念是ASIL（Automotive Safety Integrity Level，汽车安全完整性等级）。通过分析系统故障时的风险程度，将其分为A到D四个等级。

• ASIL A — 最低风险。例：车内照明控制
• ASIL B — 中等风险。例：后视摄像头
• ASIL C — 较高风险。例：ABS、安全气囊
• ASIL D — 最高风险。例：电动助力转向（EPS）、自动紧急制动（AEB）

ASIL等级越高，要求的开发方法和验证越严格。ASIL D系统从需求分析到代码编写、测试，每个环节都需要最高水准的系统化管理。

ASIL等级由三个要素决定：严重度（Severity）— 事故发生时的损害程度，暴露度（Exposure）— 处于危险状况的频率，可控性（Controllability）— 驾驶员控制局面的能力。这三个要素的组合决定了ASIL等级。

V-Model与ISO 26262

ISO 26262遵循基于V-Model的开发流程。V-Model左侧是开发（需求→设计→实现），右侧是验证（单元测试→集成测试→系统测试）。

每个开发阶段都有对应的验证阶段，所有阶段都要求使用与ASIL等级相匹配的方法和产出物。例如，ASIL D要求单元测试达到MC/DC（Modified Condition/Decision Coverage）级别的代码覆盖率。

ISO 26262与ASPICE有何不同？

两者都是应用于汽车软件开发的标准，但目的不同。

ISO 26262聚焦于"安全"。其目的是确保软件故障不会导致事故。仅适用于安全相关系统。

ASPICE聚焦于"流程质量"。它评估软件开发流程是否系统化、可重复。即使与安全无关的系统也适用。

在实际工作中，两个标准会同时应用。用ASPICE体系化开发流程，用ISO 26262满足安全需求。由于流程阶段和产出物有大量重叠，做好一方的准备会让另一方的合规工作变得更加轻松。

实务中最困难的部分

ISO 26262合规中工作量最大的部分无疑是验证。

ASIL等级越高，要求的测试覆盖率水平越高，需求与测试之间的可追溯性是必须的，所有过程都需要文档化。手工操作既耗时又容易出错。

因此，越来越多的企业开始引入测试用例自动生成、覆盖率自动分析、可追溯性矩阵自动构建等自动化工具。

PopcornSAR的PARVIS正是为解决这些问题而开发的。在实际项目中，PARVIS-Verify实现了86.4%的测试覆盖率，应用PARVIS-Coder后MISRA-C合规率从40%提升到了94%。除了验证自动化，还通过ASPICE咨询支持ISO 26262合规策略的制定。同时，随着汽车网络安全日益重要，与ISO 21434网络安全标准的整合应对也变得越来越必要。

欢迎访问PARVIS产品页面了解更多详情。如果您正在考虑引入，请随时联系我们。