深圳市肯达信企业管理顾问有限公司

相比于第一版ISO 26262，第二版ISO 26262由较大变化。其变化的主要动机来源于第一版的实施经验、适用范围的拓展、改进的过程方法及工具、自动驾驶汽车带来的挑战。标准中的各部分都做出了相应的调整，并新增了两个部分。由于汽车领域科学技术的发展，在功能安全及SOTIF领域正面临较大的挑战，在第二版中将涉及到这些方面，并给出相应的指导。然而，在下一个5-10年内，汽车行业将发生革命性的变化，这就意味着第三版ISO 26262更新的是非常必要的。在未来5年内，The SOTIF PAS将被转化为国际标准，可能作为ISO 26262的一部分，也可能独立地作为一部分标准。

因此，相关标准的发展仍然是一个持续发展的任务，为工业领域提供持续的引导是一项巨大的挑战。

 ISO26262认证辅导黎小姐

ISO（国际标准组织）会阶段性地对标准进行评估，为了能更好地适应不断更新的技术需求，现对ISO 26262进行更新换版。其主要动机如下：

00001. 第一版ISO 26262经验的积累

00002. 适用范围向其他种类车辆的拓展

00003. 半导体层面功能安全的引入

00004. fail-operational系统的引入

第二版更新的原因

对于ISO26262标准更新的动机主要来源于该标准应用过程中的经验积累。在实际应用过程中，发现了许多可以完善的地方。随着方法与技术的不断改进，允许汽车生产商应用与第一版ISO26262不同甚至更加高效的过程方法。此外，语言组织与表达上仍有需要完善的空间。

适用范围的拓展：在第一版中，适用范围仅局限在重量不超过3.5t的乘用车。对于相近的交通车辆范围的延伸是必要且合理的，因此，第二版中，将卡车、公共汽车、摩托车也涵盖在内。

半导体层面的补充：ISO26262.2011第5部分对于硬件层面的要求更多是整体上的，很难顾及到半导体层面，因此需要针对半导体层面进一步增加相应说明。

对于自动驾驶功能来说，失效可操作系统是非常有必要的。在第一版ISO26262中，更多的注重失效安全系统，随着智能网联汽车的快速发展，第二版标准将同时注重失效可操作的系统(Fail-operational systems)。

失效可操作的系统(Fail-operational systems)：在其重要或主要系统损坏时，仍可正常完成正常或最终的重要动作的

失效安全(Fail-safe)系统 ：是指系统不运作时会处在安全状态，不会造成人员伤亡的系统。

3 第二版ISO26262细节变动

3.1 标准各章节整体变化

ISO26262第二部分（功能安全管理）的变动的依据主要来源于过去5年内该部分积累的经验。

首先，原第3部分的“影响分析”转移到第2部分（功能安全管理）。其变化原因主要是对于安全计划影响分析是一项关键的技术输入。

其次，认可措施也进行了重新调整。1、认可措施重心发生了改变，更加关注于与实际功能安全相关的内容；2、对于一些认可措施也要求QM级别3、根据之前的实践经验，对于低级别的独立性程度，认可措施也可以由助理来完成。

另一个重大的改变是功能安全评估的范围从需求转为目标。

结构上的重大改变主要是产品的发布和功能安全评估的条款已经从第4部分转移到第二部分，为了更好的理解和强调该部分的应用独立于开发领域（系统、硬件或软件）。一个关于安全异常管理的章节新增进来，该章节涵盖安全异常、职责和必要的沟通。

最后，第二部分还增加了两个附录。附录C详细地描述了认可措施，并根据新的认可措施的范围进行调整。附录F给出了与网络安全交互与接口的指南。网络安全目前仍然并不在新版本的范围内，但是第2部分针对网络安全接口给出了相应的指导。