概览
- 汽车行业国际标准
- ISO26262国际标准草案DIS: 06.2009发布
- 提供了一个通用标准, 用于衡量系统在使用时的安全性; 提供了通用词汇表, 指代系统特定部分
- 采用分步系统, 管理功能安全, 并在系统, 硬件及软件层面规范产品开发
ISO26262关键组成
- 定义汽车安全生命周期(管理,开发,生产,运行,服务,报废), 支持在各生命周期阶段自定义必要的活动
- 提供基于风险的具体方法, 判定汽车的风险等级(ASIL汽车安全完整性等级)
- 使用ASIL指定项目的必要安全要求, 使残余风险在可接受范围内
- 提供验证要求和确认方法, 确保实现有效且可接受的安全水平
汽车安全生命周期
- 描述整个生产生命周期, 包括对安全管理员的需求, 安全计划的制定及确认方法的定义(安全检查,审计,评估)
- 概念阶段
- 项目定义: 描述项目及环境及其他项目之间相关性和相互作用, 确保安全生命周期中定义的每项活动都得到准确实施
- 安全生命周期启动: 基于项目定义, 区分全新开发项目/改款项目来启动对应安全生命周期. 改款项目:识别变更部分进行影响分析后, 调整部分安全生命周期活动
- 风险分析&风险评估: 概念阶段核心, 识别会引起项目故障的危害并对其分类, 制定预防和减少这些危害相关的安全目标, 避免不合理风险
- 功能安全概念: 从安全目标引出功能安全要求, 分配给该项目初始结构元件/外部措施, 为符合安全目标, 功能安全概念包括安全措施, 包括应用于项目结构原件并在功能安全要求中详细列出的安全机制
- 产品开发阶段
- 概念阶段得到安全需求, 在技术安全中详细说明, 分解在系统层面的安全设计中; 完成系统及产品设计后, 技术安全需求规范分解到相应的软硬件技术安全需求规范内, 开展软硬件级产品设计
- 硬件层面: 必要活动和产品开发过程包括技术安全概念硬件实现, 潜在硬件故障, 影响分析, 与软件开发协调
- 软件层面: V模型流程, 遵循技术安全概念, 实施软件安全要求导出, 软件架构设计, 软件单体设计和细化. 在此基础上实施编码, 进行软件单元测试, 软件集成和集成测试, 软件安全要求的验证
- 生产&经营
- 生产: 由负责生产过程的相关制造商/个人/机构(车辆制造商,供应商等)实现功能安全; 在生产计划和控制中涵盖安全相关的特殊特性, 规定了确保在生产过程中实现功能安全的要求
- 经营,服务,报废: 制定了开发维修说明和用户信息要求, 包括用户手册与计划, 维修工作的执行和监控, 考虑了项目的安全相关的特殊特性
汽车安全完整性等级ASIL
- ISO26262标准的重要组成部分, 在开发过程的开始阶段确定, 分析系统的预期功能, 指出可能危害, 不关注系统使用的技术
- ASIL由不同安全要求分ABCD四级别, D级有最安全的关键流程, 测试规范最严格
- 由组件ASIL级别分别规定最低测试要求
- 比如,以雨刷系统为例。安全分析将确定丧失雨刷功能会对驾驶员的视线造成何种影响。ASIL给出指导,选择适当的方法来使产品达到一定程度的完整性,旨在补充现有的安全做法。目前,汽车制造采用高安全标准,而ISO26262旨在规范行业内的特定做法。
硬件组件认证
- 两个主要目的
- 明确部件对整体系统适应性
- 评估故障模式
- 基础硬件组件可通过标准认证进行评估, 更复杂的不见通过ASIL分解及测试进行评估
- 硬件认证在系列环境和操作条件下进行测试, 使用多种定量方法分析测试结果, 写入认证报告, 随附测试程序, 假设, 输入标准
软件组件认证
- 认证软件组件
- 确定功能要求
- 资源使用
- 预测在故障和重载情况下的软件行为
- 需要在正常操作条件下进行测试, 在系统中插入故障, 判定如何应对非正常输入
- 设计解读那分析并处理软件错误, 如运行时和数据错误
在实践中证明
硬件及软件组件可通过“在实践中证明”的论据,证明其符合ISO26262要求。若组件已在其他实际应用中无故障运行,则可适用该条款。ISO26262也适用于在实践中得到证明的早期系统。很多情况下,若某种系统已经在几百万辆汽车上得到验证,则没有必要重新检验其是否符合标准。例如,目前制造的汽车中,很多系统是按照ISO26262发布前的高级别安全标准制造的。在实际应用过程中,这些安全关键组件运行良好、可靠。在早期汽车中就已使用且一直未变的可靠系统仍可获得ISO26262认证。类似实际应用和得到广泛部署的早期实际应用中的认证组件结合,极大地降低了总体系统复杂度。
测试工具认证
工具置信度
- TCL和ASIL决定了软件工具要求的认证水平
- TCL评估因素
- 软件工具出故障的可能性, 错误输出对安全相关项目或开发中的元件会造成何种危害
- 输出中预防或检测该错误的可能性
- TCL1,TCL2,TCL3,TCL4(最高置信度)
工具认证过程
- 提供
- 软件工具认证计划(STQP):
- 计划软件工具的认证和能证明该工具符合所需置信度的用例
- 包括: 软件工具独特的标识和版本号, 用例, 环境, 描述, 用户手册, 预先确定的ASIL
- 软件工具文档: 功能描述,安装过程描述,用户手册,运行环境,异常状态下的预期行为
- 软件工具分类分析(STCA):确定工具置信度
- 工具影响(TI): TI1-TI2
- TI1:确定发生故障的软件工具绝不会违反安全要求时选TI1
- TI2:其他所有情况选TI2
- 工具错误检测(TD): TD1-TD3
- TD1:对工具检测错误的能力有高度置信
- TD2:中等置信度,不能检测所有可能违规行为,需要额外测试
- TD3:低置信度,只能随即检测出错误
- 工具影响(TI): TI1-TI2
- 软件工具认证报告: 包括结论及完成认证且满足要求的证据, 任何验证期间产生的故障/错误输出在此分析记录
- 软件工具认证计划(STQP):
实践中提升置信
从实践中提升置信是工具认证的一个重要方面。若能证明某工具已经符合认证要求,就无需进一步的认证。这将大幅降低开发过程中的花费及时间成本。然而,在用于项目开发前,每个安全相关项目或元件都必须证明已达到认证要求。为证明这一点,该工具必须证明:
- 曾经为了相同的目的,在类似的用例中使用过
- 该工具的规范没有改变
- 未在曾经开发的安全相关项目中违反安全要求。
例如,假设工具A用于验证汽车X的ECU(引擎控制单元)。若测试工具A未违反任何安全要求且没有改变,那么它就可用于验证汽车Y的ECU,只要汽车Y的ECU用途与汽车X的ECU使用方法类似即可。