什么是功能安全？所謂的“功能安全”，就是通過安全功能和安全措施來避免不可容許的功能風險的技術(shù)總稱。功能安全（Functional Safety）的“功能”指的是監(jiān)控受控對象和控制器的安全裝置起的作用。通常我們將計算機作為安全裝置，如果控制器發(fā)生故障，則該計算機將會關閉受控對象，并向用戶發(fā)出危險警告。安全裝置所實現(xiàn)的這種安全性作用，被稱為“功能安全”。功能安全可以說是通過使用計算機等的安全裝置所設計出的安全措施。
但是，在這里不得不提醒大家，安全本身并不是通過增加某種電子安全設備來保證的，而是通過“去除”導致危險發(fā)生的設計或機械故障的安全機制來保證。這種安全機制被稱為“本質(zhì)安全”（IntrinsicSafety）。
舉個例子，這是一個非常經(jīng)典的例子：

比如在鐵路道口，我們常常有這樣的危險顧慮，就是有人或者車輛進入到了鐵道入口，和火車相撞，導致死亡。“本質(zhì)安全”就是從根本上避免危險的措施，把危險源直接“除掉”，方法是可以把這個鐵道道口改為立交橋。但是在某些情況或某些制約下，不能把鐵道道口“除掉”，自然就會想到附加一個安全設施，這就是功能安全。因為某些制約，不得不設置鐵路道口，但大家還要想避免這樣的交通事故，那怎么辦呢？這是功能安全。
歐美已經(jīng)頒布了成套的功能安全相關產(chǎn)品指令和設計標準，并深入到各個領域，在核電行業(yè)、石油、化工、電廠等過程工業(yè)，工業(yè)機器、電梯扶梯、智能電網(wǎng)、家電軟件評估、汽車行業(yè)、醫(yī)療軟件評估領域廣泛應用。
功能安全標準化的運動起源于20世紀90年代。

上世紀70年代開始，隨著各種現(xiàn)代化技術(shù)的發(fā)展及其廣泛的使用，以及工業(yè)生產(chǎn)過程的自動化程度越來越高，以電氣、電子、可編程電子產(chǎn)品的大量應用為標志的現(xiàn)代化控制系統(tǒng)越來越多的滲透到各個領域，參與著各種控制過程。

但是，工業(yè)文明在給人類帶來利益的同時，也帶來了災難。由于系統(tǒng)設計不合理、設備元器件故障或失效、軟件系統(tǒng)的故障導致的事故、人身傷害、環(huán)境污染，越來越頻繁的危及著我們的生命安全和賴以生存的環(huán)境。

人們開始認識到，必須采取措施，用標準和法規(guī)來規(guī)范領域內(nèi)安全相關系統(tǒng)的使用，使技術(shù)在安全的框架內(nèi)發(fā)展，使人類既能盡可能享受新技術(shù)帶來的安全和舒適，同時又能掌控危險。功能安全標準研究從此展開。

然而，安全控制系統(tǒng)或設備執(zhí)行安全功能時的可靠性問題，限制了用戶使用新技術(shù)的積極性。由于沒有公認的評價體系，制造商很難說服用戶使用新技術(shù)，尤其在關系人身財產(chǎn)安全的重要領域使用新技術(shù)。另外，不同行業(yè)對安全要求的不同，也限制了安全設備的產(chǎn)業(yè)化生產(chǎn)規(guī)模。制造商迫切需要一個公認的標準來建立一個與用戶對接的公共平臺。

于是，2000年5月，國際電工委員會正式發(fā)布了IEC61508標準，名為《電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》。IEC61508中，系統(tǒng)中的安全設備（減少風險的手段）由中繼控制器或PLC（Programmablelogic控制器）等設備構(gòu)成，我們把安全設備將實現(xiàn)其安全功能的可靠性的概率稱為安全完整性水平，即SIL（Safety Integrity Level）。換句話說，基于這個等級標準，即，如果與構(gòu)成安全系統(tǒng)的部件的故障率低，則由此構(gòu)成的整個安全系統(tǒng)的故障率也是低的。
但是，有一種觀點認為，在SIL定義中加入概率因素并不合適的。為什么不合適呢？那是因為功能安全標準不僅涉及了硬件部分，還涉及了軟件部分。僅論硬件故障發(fā)生的概率，除了初始故障和損耗故障以外，偶發(fā)故障基本是隨機發(fā)生的，如果把設計錯誤分開，那么加入概率因素是非常合適的。與此相對的軟件故障可不是隨機的了，所以軟件故障(bug)是很難去計算其發(fā)生的概率的。例如，如果軟件的設計中混入了bug，只要其發(fā)生路徑和條件具備，那么故障的發(fā)生概率就是百分百！

針對這個問題，對IEC61508重新修訂制定了ISO 26262標準。所以說ISO26262是從電子、電氣及可編程器件功能安全基本標準IEC61508派生出來的，主要定位在汽車行業(yè)中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標準。

ISO26262從2005年11月起正式開始制定，經(jīng)歷了大約6年左右的時間，于2011年11月正式頒布，成為國際標準。中國也已經(jīng)在積極進行相應國標的制定。

安全在將來的汽車研發(fā)中是關鍵要素之一，新的功能不僅用于輔助駕駛，也應用于車輛的動態(tài)控制和涉及到安全工程領域的主動安全系統(tǒng)。將來，這些功能的研發(fā)和集成必將加強安全系統(tǒng)研發(fā)過程的需求，同時，也為滿足所有預期的安全目的提供證據(jù)。

隨著系統(tǒng)復雜性的提高，軟件和機電設備的應用，來自系統(tǒng)失效和隨機硬件失效的風險也日益增加，制定ISO26262標準的目的是使得人們對安全相關功能有一個更好的理解，并盡可能明確地對它們進行解釋，同時為避免這些風險提供了可行性的要求和流程。

ISO 26262為汽車安全提供了一個生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務、報廢）理念，并在這些生命周期階段中提供必要的支持。該標準涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃、設計、實施、集成、驗證、確認和配置）。
ISO 26262 不同于IEC 61508，它“不是一個可靠性標準”，它并沒有為可接受失效概率設定準確的數(shù)字。ISO 26262基于概率論的定量危害分析僅限適用于硬件，其次，基于目標產(chǎn)品的使用條件和使用方法，針對整個系統(tǒng)進行危害分析和風險評估，識別出系統(tǒng)危害并對危害的風險等級——ASIL等級（Automotive Safety Integration Level，汽車安全完整性等級）進行評估。IEC61508定義了安全完整性等級 (SIL)，而 ISO26262 則定義了汽車安全完整性等級 (ASIL)。

ISO 26262標準根據(jù)安全風險程度對系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的四個安全需求等級（Automotive SafetyIntegrity Level 汽車安全完整性等級ASIL），其中A是最低的等級，D級為最高等級，需要最苛刻的安全需求。然后，針對每種危害確定至少一個安全目標，安全目標是系統(tǒng)的最高級別的安全需求，由安全目標導出系統(tǒng)級別的安全需求，再將安全需求分配到硬件和軟件。ASIL等級決定了對系統(tǒng)安全性的要求，ASIL等級越高，對系統(tǒng)的安全性要求越高，為實現(xiàn)安全付出的代價越高，意味著硬件的診斷覆蓋率越高，開發(fā)流程越嚴格，相應的開發(fā)成本增加、開發(fā)周期延長，技術(shù)要求嚴格。

伴隨著ASIL等級的增加，針對系統(tǒng)硬件和軟件開發(fā)流程的要求也隨之增強。對系統(tǒng)供應商而言，除了需要滿足現(xiàn)有的高質(zhì)量要求外還必須滿足這些因為安全等級增加而提出的更高的要求。