ISO 26262标准名称《道路车辆功能安全》是IEC 61508标准在汽车行业的具体应用。IEC 61508标准在2000年由国际电工委员会TC65委员会提出并制定，我国于2006年发布了系列标准《GB/T 20438 电气/ 电子/可编程电子安全相关系统的功能安全》共7个部分，等同采用IEC61508:1998。

ISO 26262基本框架

Part 1：定义

Part 2：功能安全管理

Part 3：概念阶段

Part 4：产品研发：系统级

Part 5：产品研发：硬件级

Part 6：产品研发：软件级

Part 7：生产和操作

Part 8：支持过程

Part 9：基于ASIL 和安全的分析

Part 10：ISO26262 导则

从ISO 26262的结构构成可以看到，标准涵盖了全生命周期的安全要求，功能安全管理、概念阶段、系统研发、硬件研发、软件研发、生产和操作过程、售后，但比例最大的是站在产品设计阶段这个时间节点上，考虑怎样从设计上实现产品安全，可以基于原有的功能实现安全，也可以额外添加功能，实现安全。总之，标准给设计研发阶段的流程要求和建议比较详细，是研发技术人员开发产品的好参考。标准的基本认知是系统过于复杂以后，复杂的相互作用，使得外人很难通过测试或者预测的方式，全面估计失效的位置和失效方式。因此使得预防显得非常重要。

IEC 61508中一段标准原文：“安全是指避免会造成人体健康损害或人身损伤的不可接受风险，而这种风险是由于对财产或环境的破坏而直接或者间接地导致的。

功能安全是整体安全的一部分，它依赖于一个系统或设备对其输入的正确响应。

例如，在电机绕组上装一个热传感器，可以在电机过热前实现断电的过热保护装置。是功能安全的一个例子。但采用特殊的隔热材料来抵御高温就不是功能安全的例子（虽然这也是实现安全的一个例子，并能抵御同样的危险）”

基于这段的定义和阐述，对功能安全有几个方面的理解。

理解一，功能安全在规定其他安全设计流程等细节之前，首先是一种意识，一种思考问题的角度，一种设计人员的方法论。从理论层面和流程层面，建立安全保障的防火墙。

理解二、IEC61508讨论的安全功能都是由电气、电子、可编程电子技术实现的，与机械的、材料的等等其他手段相区别，但可以同时施加在一个系统中。这个区分并不是说其余安全形势不重要或者安全效果没有电子电气的好，只是这个标准所提示的安全系统不对那些措施做出考虑和评价。

安全功能系统，可以与原来的功能系统融合在一起，也可以以独立的形式存在。

理解三、功能安全系统分两部分，功能安全要求和安全完整性要求。

安全功能要求，由危险分析决定，需要清晰阐述某个具体的安全功能的目的，实现方法；

安全完整性要求，由风险评估确定，按照一个安全功能能够完整执行的可能性的大小，安全等级划分成4个级别，SIL1最低，SIL4最高。安全等级越高，发生危险的概率越低。

安全功能要求，需要清晰表述的要素一般包括风险相关参数，风险发生频率，措施实施后造成最严重后果是怎样的，事故率上限是多少等等。

安全完整性也可以分成两部分看待，一个是指定系统的风险评估结果，具体落实到哪个安全措施必须实施，这个评估跟风险发生后的危害性高低、风险发生的频率有关。另一个是确定应对这个风险的安全措施的等级。风险越评估结果越严重，需要配置的安全等级也越高。

进一步说明安全完整性要求。原来系统中，可能出现危险的频率越高，则要求安全功能的等级必须相应提高。比如一个开门断电安全功能，系统开门频率是每天10次和每年1次，则对这个安全功能要求的安全等级前者比后者要高。总体上，安全功能追求的是人们能够接受的一个事故率的范围。