車輛研究測試中心 研發處 底盤與系統驗證工程專案 陳柏睿

車輛產業是一個不允許系統失效發生的產業，因為一旦發生失效，車輛廠商將面臨官司賠償與商譽受損的巨大風險，為了防止系統失效的發生，必須有一套嚴謹且可靠的開發流程來讓系統開發工程師依循，因此車輛領域的專家即開始著手發展車輛領域之功能安全標準，ISO 26262在這樣的環境與需求下應運而生。

ISO 26262大約於2005年開始發展，於 2011年11月14日發行正式版本，該標準主要係調和IEC 61508而來，並著重於車輛電子/電機系統的功能安全，ISO 26262的適用範圍為3.5噸以下客車(passenger cars)上所搭載之電子/電機系統，為避免ISO 26262實施對車輛產業所造成的衝擊，目前全球之OEM廠、一階零組件廠、車用晶片商、開發工具商皆已開始著手於其產品開發過程中導入ISO 26262，或使其販售之軟硬體開發工具符合ISO 26262之要求。

ISO 26262標準包含10個部分(Part)，分別為：
Part 1:名詞解釋(Vocabulary)
Part 2:功能安全管理(Management of functional safety)
Part 3:概念階段(Concept phase)
Part 4:產品開發：系統層級(Product development: system level)
Part 5:產品開發：硬體次系統層級(Product development: hardware level)
Part 6:產品開發：軟體次系統層級(Product development: software level)
Part 7:生產與操作使用(Production and operation)
Part 8:支援流程(Supporting processes)
Part 9:ASIL等級界定與安全達成度分析(ASIL-oriented and safety-oriented analyses)
Part 10:ISO 26262指南(Guideline)

ISO 26262主要是依據安全生命週期來執行，此安全生命週期涵蓋了整個產品生命週期，從管理、開發、生產、經營、服務維修至報廢回收皆有規定應執行的方法與步驟，ISO 26262之安全生命週期主要由12個階段所組成，其模型如圖所示。安全生命週期之12個階段分別為：
(1)項目定義(Item definition)：定義相關功能、定義開發如何進行、是否使用或修改現有模組。
(2)安全生命週期初始化(Initiation of the safety lifecycle)：評估每個小階段的實行必要性。
(3)危害分析與風險評估(Hazard analysis & risk assessment)：依系統化方法進行危害與風險的界定及評估。
(4)功能安全概念(Functional safety concept)：依安全目標發展功能安全需求並配置到系統架構上。
(5)產品開發-系統層級(Product development - system level)：系統層級功能安全需求發展與執行。
(6)產品開發-硬體層級(Product development - hardware level)：硬體層級功能安全需求發展與執行。
(7)產品開發-軟體層級(Product development - software level)：軟體層級功能安全需求發展與執行。
(8)生產規劃(Production planning)：產品生產規劃。
(9)操作規劃(Operation planning)：產品操作規劃。
(10)生產核可(Release for production)：生產前確認相關功能安全需求皆被設計與實行。
(11)生產(Production)：關於組裝與製造之需求發展與執行。
(12)操作、服務與退役(Operation, service, and decommissioning)：關於產品監控、控制與回饋之需求發展與執行。

ISO 26262採用安全程度等級ASIL(automotive safety integrity levels)來評斷系統需符合之功能安全程度，ASIL等級程度由ASIL A(最低)~ASIL D(最高)，ASIL等級越高之系統功能安全考量需越嚴謹。

ISO 26262為目前全球重要之車輛功能安全設計標準，此標準因對安全生命週期與週期內之工作項目及產出物有詳細的定義，使得車輛系統功能安全之嚴謹與可靠度大幅提升，也因此國際車廠與零組件廠對於ISO 26262的重視程度相當高，於草案階段就開始逐步引進融入於原有之系統開發流程，國內亦有車廠與零組件廠開始進行ISO 26262之條文瞭解與導入評估。

考量ISO 26262之國內外發展趨勢，另為了提升產品嚴謹與可靠度並善盡產品責任，車輛中心於未來之系統開發流程將考量此標準，另亦建議車輛產業相關廠商，未來於車輛電子/電機相關保安系統開發上可逐步的將ISO 26262導入至系統開發流程內，如此作法除可加強設計產品之穩健性外亦有利於未來的商業推廣。

圖  ISO 26262之安全生命週期模型