道路车辆功能安全 ISO 26262标准（7）—生产运行

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识，希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题，欢迎评论沟通，共同进步。(*^▽^*)

1. 道路车辆功能安全ISO 26262标准

7. ISO 26262-7 生产运行

一、生产

1.目标

本条款的第一个目标是开发和维护生产过程中的被安装在道路车辆上的与安全相关的元素或项目。第二个目的是在生产过程中由相关制造商或人员负责该进程来实现功能安全（车辆制造商，供应商，二级供应商，组织等）。

2.建议和要求

1. 生产计划

1.1 生产流程应通过项目评估来计划，并通过考虑以下因素：

• 生产需求
• 存储、运输和硬件单元的处理条件，如，硬件元素的允许存储时间
• 经产品发布文档认可的配置
• 以前产品生产计划中积累的经验
• 生产过程中的适用性，生产资料，工具和测试设备，与安全有关的特殊特性
• 人员能力

1.2 生产计划应说明生产步骤，顺序和实现该项目，系统或元件的功能安全要求的方法。它应包括：

• 生产工艺流程和说明
• 生产工具和方法
• 可追溯性实现，如标签
• 若可以，适用于硬件开发的硬件单元专用措施的实施应符合 ISO26262-5:2011，9.4.2.4 中规定。

1.3 作为生产过程的一部分，流程应被定义，以确保正确的嵌入式软件和相关的校准数据被写入的 ECU。

例 1，使用校验和，从而使装载的可执行文件和配置数据的校验和与用于这个特定的模型和车辆配置的正确的校验和进行比较。

例 2，从写入的 ECU 软件读回的零件号与从材料规定的目标零件号比较，以及从特定车辆回读的已加载的校准数据和从材料规定的特定车辆的校准数据比较。

1.4 当开发生产控制计划，该控件的描述和项目的标准，系统或元件以及与安全相关的特殊特性应予以考虑。

1.5 顺序和控制步骤方法应在生产控制计划描述，再加上必要的测试设备，工具和测试标准。

1.6 合理的可预见的过程故障及其对功能安全的影响应该被识别，并实施适当的措施来解决相关过程失败。

1.7 系统硬件或软件开发层的安全要求的可生产性在生产计划中规定，并指定专门的人负责开发(见 ISO 26262 - 4,ISO 26262 - 5 和 ISO 26262 - 6)。

1.8 如果系统或元素在生产过程中需要改变，管理过程中所描述的条款ISO 26262 - 8:2011，应当遵守。

2. 试制批量产品

2.1 试制过程和控制措施应与目标生产工艺对应。

2.2 试制过程和目标生产工艺之间的差异应进行分析以确定生产过程的哪个部分可以在试制过程哪个部分在目标生产工艺中，并评估两个过程中重要的部分。

注：如果预生产过程中等于目标的生产过程中，评估的结果根据ISO26262-2:20116.4.9.4 可以在功能安全评估时使用（如生产过程能力的证明）。

例如：

偏差涉及生产速度，生产顺序和方法和或控制步骤，以及生产的必要手段，测试设备和工具。

3. 生产

3.1 生产过程及其控制措施应按计划实施和保持。

注：生产人员适当的培训是该实现的一部分。

3.2 生产过程中的失败（包括其授权范围内的与安全相关的特殊特性的偏差）和对功能安全潜在影响，应分析，应采取相应的措施，保持功能安全能力应当得到验证。 例如，这些措施可以包括执行进一步的控制措施,分类,处理和交换元素。

3.3 以下关于功能安全的能力应当评估和维护：

• 生产流程
• 生产方法
• 工具和测试设备

注 1：过程能力可以由周期性过程审核或执行流程步骤的每个人周期性资格认证来证明。

注 2：过程能力覆盖保持与安全相关的特殊特性的能力。

3.4 测试设备应当受到监控。

3.5 执行的控制应按照相关的生产控制计划，控制报告应当包括下列信息:控制日期,控制对象的识别和控制结果。

注 1：对于手动控制,控制对象和控制结果的识别就足够了。

注 2：控制对象的识别可以是车辆识别号码或车辆级的控制措施生产号或零件号或控制组件序列号。

注 3：控制结果可以由一个状态(如通过或失败)或一组数据边界条件的评价。

3.6 在生产中发布的版本，只有经过批准的配置才可以被生产，除非发布的产品文档的偏差是由相应负责人的授权。该生产文件版本过后应该更新授权的偏差。

3.7 在生产阶段出现的生产过程变更应当遵守条款 5。

二、运行、服务（保养和维护）和关闭

1. 目标

这一条款的目的是规定项目,系统或元素的客户信息、维修说明以及拆卸说明，以维护汽车生命周期的功能安全。

2. 概述

这一条款为开发维修说明和用户信息，包括用户需求手册和规划，执行和监控的维护工作，考虑到该项目的相关安全特点。

3. 要求和建议

1. 计划

1.1 操作，维修和保养过程的计划中应项目的评估，并考虑以下情况：

• 维护和修理的要求
• 要求应提供给用户的信息，确保车辆的安全运行
• 警告和降级概念
• 现场数据收集和分析的措施
• 储存，运输和处理硬件元素的条件
• 经批准的生产文档版本配置
• 涉及到的人员能力

1.2 维护计划应当描述维护步骤或活动顺序和方法、维护间隔和维护的必要手段和工具。

1.3 维修计划和维修指令应当描述如下:

• 工作步骤、规程、诊断程序和方法
• 维护工具和手段
• 控制步骤的顺序和方法，用于验证安全控制标准的特殊特性
• 项目，系统或元素配置，包括追溯性措施
• 项目、系统或元素允许的停止，和必要的修改
• 允许停止和修改的驾驶信息
• 替换零件条款

1.4 用户信息,包括用户手册,应当提供相关说明和关于物品的正确使用使用警告，以及以下信息:

• 相关的功能描述(即预期使用、状态信息或用户交互)和操作模式
• 客户行为的描述确保所需的可控制性的失效显示，表示警告和降级的信号
• 从客户中的警告和降级概念所表示的故障情况下预期的维修活动的描述
• 关于已知的危害作用的警告结果与第三方产品
• 关于安全的创新功能项警告，可能导致司机的误解或误用

1.5 分解说明书应说明活动之前被应用措施拆装，并且需要防止拆卸，处理过程的违反的安全目标的分解车辆，物品或其元素。

1.6 系统硬件或软件级安全需求在运行、维护和分解计划中规定, 并指定相关负责人负责开发(见 ISO 26262 - 4,ISO 26262 - 5 和 ISO 26262 - 6)。

2. 运行、维护（维修）和分解

2.1 现场监控过程，涉及到该项目功能安全事故应按计划实施符合ISO26262-2:2011，7.4.2.4，以便：

• 提供现场数据,应当分析来检测任何存在的功能性安全问题,如果发现,触发行动,解 决这些问题
• 提供所需的证据证明在使用参数，根据 ISO 26262 - 8:2011 条款 14

2.2 项目系统或其元素的维护、维修和拆除,应该被管理和记录按照维修计划,和保养、维修指令。

2.3 零部件的供应和他们的存储和运输根据 1.3 必须按计划执行。

2.4 如果后续生产变更是由操作,现场监测, 维护、修理或分解,按照 ISO 26262 - 8:2011 第八条款变更管理过程,应当遵守。

本文章是博主花费大量的时间精力进行梳理和总结而成，希望能帮助更多的小伙伴~  🙏🙏🙏

后续内容将持续更新，敬请期待(*^▽^*)

欢迎大家评论，点赞，收藏→→→