首页
关于我们
公司简介
专业团队
合作案例
产品详情
最新资讯
公司动态
知识分享
产品中心
ASPICE
ISO26262
ISO21434
敏捷SPICE
资质培训
工具链
DPAI
低空飞行器
机器人
工程服务
培训课程
联系我们
人才招聘
用心服务·专业技术·合作发展 13524704775
NEWS

最新资讯

当前位置:首页 - 最新资讯 - 知识分享

亚远景-面向软件定义汽车,ISO 26262 标准体系的演进方向

发表时间:2026-06-22 作者:亚远景科技 返回列表

面向软件定义汽车(SDV),ISO 26262 标准体系正经历从“静态合规”向“动态安全保证”的深刻演进。其核心方向主要体现在以下几个维度:


1. 从“一次性认证”转向“全生命周期持续保证”
在传统汽车中,功能安全往往被视为产品出厂前的一次性认证。而在软件定义汽车时代,随着集中式架构的引入和频繁的空中下载(OTA)更新,系统行为会持续改变。因此,功能安全演变为一个持续的过程,要求在整个架构和更新过程中进行持续的 ECU 测试、监控与回归测试。每一次软件发布都必须产生新的安全证据,并具备发现问题时的安全回滚流程。


2. 从“孤立组件安全”转向“系统级架构与跨域协同”
软件定义汽车将原本分散的功能集中到共享的计算平台上。当转向、制动和信息娱乐等系统共存时,一个区域的时序错误或资源冲突可能波及其他安全关键任务。因此,ISO 26262 的应用重心转向系统级架构设计,强调通过安全分区、安全孤岛和强大的资源管理来实现故障隔离。同时,合规性不再由单一供应商负责,而是需要芯片(SoC)供应商、中间件提供商、云平台和开发者在整个生态系统中协同证明安全性。


3. 与预期功能安全(SOTIF)及 AI 标准的深度融合
面对自动驾驶等复杂场景,仅解决系统故障是不够的。ISO 26262 正与预期功能安全标准(ISO 21448)以及专门针对人工智能的安全标准(ISO/PAS 8800)深度融合。未来的标准体系将不仅防范电子电气系统的随机硬件故障,还要应对因算法性能局限、传感器噪声或 AI 模型缺陷(如数据偏差、泛化能力不足)引发的不合理风险,构建“功能安全+预期功能安全+AI安全”的综合防线。


4. 应对 AI 与复杂软件的“范式重构”
随着 AI 在车载系统中的广泛应用,传统的基于静态需求分解的 V 模型正在被动态风险感知闭环所替代。新版标准(如正在制定中的第三版及2026版相关实践)对软件提出了更高要求:

  • 声明式建模与形式化契约: 强制要求高安全等级(如 ASIL-B 及以上)的软件组件提供形式化接口契约,明确输入域约束、输出行为不变量及最坏情况执行时间(WCET)边界。

  • 动态内存管控: 对 C 语言动态内存操作实施严格禁令或生命周期边界证明,强制采用静态内存池模式,以消除内存泄漏等不可预测风险。

  • 三维耦合评估: 取消“软件独立 ASIL 等级”概念,转而采用“功能-硬件-软件”三维耦合评估,确保安全机制在底层执行环境(如 TEE 隔离)中得到落实。

5. 自动化验证工具链与仿真驱动
为了应对软件定义汽车庞大的代码量和复杂的交互场景,标准演进高度依赖自动化工具链。这包括需求可追溯性图谱的自动生成、MC/DC 覆盖率与故障注入覆盖率的联合度量,以及基于模型(如 UML-SysML)的 FMEA 自动推演。同时,传统的故障分析方式正被“仿真驱动”取代,通过在数字世界中构建极端场景并进行故障注入,直观验证安全机制在真实运行环境中的有效性。


6. 功能安全与网络安全的深度协同
在网联化背景下,网络安全已成为功能安全的核心支柱。人为恶意制造的设备故障(如固件篡改、非法入侵)造成的危害不亚于硬件自身损坏。因此,ISO 26262 的演进与网络安全标准(ISO/SAE 21434)紧密结合,要求在芯片架构设计初期就同步规划硬件信任根、安全启动、运行状态实时校验及区域隔离等机制,使安全架构能够同时抵御自然故障与人为攻击。



推荐阅读:


亚远景-拒绝“为了评估而评估”:如何让 ASPICE 真正融入日常开发?

亚远景-ASPICE在供应链管理中的角色:如何利用标准评估和选择供应商

亚远景-ASPICE过程参考模型(PRM)解析与应用

亚远景-从仿真测试到实车验证:ISO/PAS 8800 的测试策略

亚远景-配置管理与ASPICE评估的契合点分析

亚远景-ASPICE评估:汽车软件开发过程评估的方法与经验总结



推荐服务:

点击查看亚远景ASPICE咨询、评估、“认证”、培训服务

点击查看亚远景ISO26262咨询、认证、培训服务

点击查看亚远景ASPICE、ISO26262培训课程

点击查看亚远景ASPICE、ISO26262实施工具-APMS研发过程管理平台





咨询