汽車電子ISO 26262: 2018標準概述（二）

作者 |郭建 上?？匕部尚跑浖?chuàng)新研究院特聘專家

版塊 |鑒源論壇 · 觀模

摘要：安全在汽車研發(fā)中是關鍵要素之一，輔助駕駛、車輛的動態(tài)控制等功能的研發(fā)和集成都需要加強安全系統(tǒng)研發(fā)，同時，需要為滿足所有預期的安全目標提供證據(jù)。隨著系統(tǒng)復雜性的提高，軟件和機電設備的應用，來自系統(tǒng)失效和隨機硬件失效的風險也日益增加。ISO 26262標準使得人們對安全相關功能有一個更好的理解，并盡可能明確地對它們進行解釋，同時為避免這些風險提供了可行性的要求和流程。

我們將通過2次推文介紹ISO 26262：2018的國際標準。

上期推文鏈接：汽車電子ISO 26262: 2018標準概述（一）

ISO 26262是從電子、電氣及可編程器件功能安全基本標準IEC 61508派生出來的，主要定位在汽車行業(yè)中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標準。

ISO 26262從2005年11月起正式開始制定，經(jīng)歷了大約6年左右的時間，已于2011年11月正式頒布，成為國際標準。中國也于2017年頒布了相應的標準。在2018年，新的ISO 26262：2018國際標準頒布，增加了半導體和摩托車的規(guī)范標準。

ISO 26262為汽車安全提供了一個生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務、報廢）理念，并在這些生命周期階段中提供必要的支持。該標準涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃、設計、實施、集成、驗證、確認和配置）。

ISO 26262：2018國際標準共分為12部分，它們是：

第一部分：術語

第二部分：功能安全管理

第三部分：概念階段

第四部分：產(chǎn)品開發(fā)：系統(tǒng)層面

第五部分：產(chǎn)品開發(fā)：硬件層面

第六部分：產(chǎn)品開發(fā)：軟件層面

第七部分：生產(chǎn)、運營、服務和報廢

第八部分：支持過程

第九部分：以汽車安全完整性等級為導向和以安全為導向的分析

第十部分：ISO 26262的指南

第十一部分：ISO 26262對半導體應用的指南

第十二部分：ISO 26262對摩托車的適應性

ISO 26262標準的架構如圖1所示：

圖1 ISO 26262總體架構圖

在本次推文中，針對ISO 26262：2018國際標準的第六部分到第十二部分做簡要的介紹。

Part6

產(chǎn)品開發(fā)：軟件層面

軟件開發(fā)過程要確保一個合適且一致的軟件開發(fā)過程或開發(fā)方法，以確保合適的軟件開發(fā)環(huán)境。軟件開發(fā)的參考階段模型如圖2所示。

圖2軟件層產(chǎn)品開發(fā)的參考階段模型

例如，敏捷軟件開發(fā)的開發(fā)方法也適用于安全相關軟件的開發(fā)，但如果安全活動被剪裁，則應考慮ISO 26262-2:2018 6.4.5。然而，敏捷開發(fā)方法不能省略安全措施或忽視實現(xiàn)功能安全所需的基本文件、過程或安全完整性。

再如，基于測試的開發(fā)方法也可用于改善提高需求質(zhì)量，并提高可測性。

在安全需求規(guī)范子階段，要求規(guī)定或完善源自技術安全概念和系統(tǒng)架構設計規(guī)范的軟件安全需求；定義實施所需軟件的安全相關功能和屬性；完善ISO 26262-4:2018第6條中提出的軟硬件接口要求；驗證軟件安全要求和軟硬件接口要求是否適合軟件開發(fā)，是否符合技術安全概念和系統(tǒng)架構設計規(guī)范。

在軟件架構設計子階段，需要開發(fā)滿足軟件安全需求和其他軟件需求的軟件架構設計；驗證軟件體系結構設計是否適合滿足所需具有ASIL的軟件安全需求；以便支持軟件的實施和驗證。

在軟件的單元設計與實現(xiàn)子階段，需要根據(jù)軟件體系結構設計、設計標準和相關軟件需求開發(fā)軟件單元設計，以支持軟件單元的實現(xiàn)和驗證；按照規(guī)范實現(xiàn)軟件單元。

在軟件單元驗證子階段，提供證據(jù)證明軟件單元設計滿足所分配的軟件需求；驗證在安全分析階段所確定的安全措施是否得到了正確實現(xiàn)；提供證據(jù)證明所實現(xiàn)的軟件單元符合單元設計并滿足所分配的ASIL等級的軟件需求；提供充分證據(jù)證明軟件單元既不包含不需要的功能，也不包含關于功能安全的不需要的屬性。

在軟件集成和驗證子階段，需要定義集成步驟并集成軟件元素，直到嵌入式軟件被完全集成；驗證由軟件體系結構級別的安全分析產(chǎn)生定義的安全措施是否得到了正確實現(xiàn)；提供證據(jù)證明集成的軟件單元和軟件組件符合軟件體系結構設計的需求；提供充分證據(jù)證明集成軟件既不包含不需要的功能，也不包含關于功能安全的不需要的屬性。

在嵌入式軟件測試子階段，需要提供證據(jù)證明嵌入式軟件在目標環(huán)境中執(zhí)行滿足軟件安全需求；既不包含不需要的功能，也不包含關于功能安全的不需要的屬性。

在軟件配置子階段，以實現(xiàn)針對不同應用的軟件行為的受控改變；提供配置數(shù)據(jù)和校準數(shù)據(jù)滿足所需ASIL等級要求的證據(jù)；提供特定應用程序的嵌入式軟件及其校準數(shù)據(jù)適合發(fā)布、用于生產(chǎn)的證據(jù)。

Part7

生產(chǎn)、運營、服務和報廢

在生產(chǎn)、運營、服務和報廢需要制定和維護擬安裝在道路車輛上的安全相關的元件或相關項的生產(chǎn)流程；可以根據(jù)組織在安全供應鏈中的地位和生產(chǎn)的安全相關要素的復雜性，通過組織遵守IATF 16949或同等標準來實現(xiàn)。開發(fā)有關運營、服務（維護和維修）和報廢的必要信息，以確保在車輛的整個生命周期中都能滿足功能安全。

在生產(chǎn)子階段，需要確保相關制造商或負責相關項和元件生產(chǎn)過程的人員或組織（車輛制造商、供應商、次級供應商等）在生產(chǎn)階段（或生產(chǎn)后）滿足功能安全。

在運營、服務和報廢子階段，需要確保在車輛生命周期的各個子階段運營、服務（維護和維修）和報廢期間滿足功能安全。

Part8

支持過程

支持過程階段包括分布式開發(fā)的接口、安全需求的規(guī)范及管理、配置管理、更改管理、驗證、文檔管理、軟件工具使用的置信度、軟件組件的鑒定、硬件元素的評估、在用證明、超出ISO 26262范圍的連接的應用程序、未根據(jù)ISO 26262開發(fā)的安全相關系統(tǒng)的集成。

分布式開發(fā)的接口需要為開發(fā)活動定義客戶和供應商之間的交互和依賴關系；并描述職責分工；識別相關項和要素進行分布式開發(fā)的流程及相關責任的分配。

安全需求的規(guī)范及管理要確保安全需求在其屬性和特性方面的正確規(guī)范；以及確保在整個安全生命周期中對安全需求的一致管理。

配置管理需要確保工作產(chǎn)品、相關項、要素及其生產(chǎn)的原理和一般條件能夠在任何時候以受控的方式進行唯一識別和復制；并能確?？梢宰匪菰缙诎姹竞彤斍鞍姹局g的關系和差異。

更改管理是在整個安全生命周期內(nèi)分析和控制安全相關的工作產(chǎn)品、相關項和要素的變更。

驗證需要確保工作產(chǎn)品符合其需求。

文檔管理需要制定整個安全生命周期內(nèi)的文件管理策略，以促進有效和可重復的文件管理過程。

軟件工具使用的置信度需要提供標準，以確定軟件工具在應用時中所需的置信水平；在應用軟件工具時，為軟件工具的資格鑒定提供手段，以創(chuàng)建證據(jù)，證明軟件工具適合用于支持ISO 26262系列標準所要求的活動或任務。即，用戶可以依靠軟件工具的正確功能來完成ISO 26262標準系列所要求的那些活動或任務。

軟件組件鑒定是為其在符合ISO 26262系列標準開發(fā)的相關項可重復使用提供證據(jù)。

硬件元素的評估確保功能行為足以滿足分配的安全需求，因此，由于硬件元件的系統(tǒng)故障而違反安全目標或安全需求的風險應該足夠低?；陔S機故障管理的使用適合性是由被評估硬件元件的集成在設計集成的下一個最高級別確定的。術語“硬件元件”指的是COTS硬件組件或部件，或者是定制硬件組件或部件，這些組件或部件最初不是根據(jù)ISO 26262系列標準開發(fā)或設計的，并且在符合ISO 26262標準的相關項或元件的上下文中被認為是安全相關的，它們將會被集成在其中。更確切地說，硬件元件的評估是符合ISO 26262-5的一種替代方法。符合評估條件的硬件元素可以是特定應用程序，也可以是標準元素。這些元件通常被開發(fā)用于許多行業(yè)，汽車或非汽車行業(yè)。

在用證明是為經(jīng)驗證的使用論證提供指導。經(jīng)驗證的使用論證是一種符合ISO 26262系列標準的替代方法，當現(xiàn)場數(shù)據(jù)可用時，可在重復使用現(xiàn)有相關項或元素的情況下使用。

超出ISO 26262范圍的應用程序要確保超出ISO 26262范圍的應用，不會違反根據(jù)ISO 26262系列標準開發(fā)的基本車輛或相關項的安全目標。

未根據(jù)ISO 26262開發(fā)的安全相關系統(tǒng)的集成要確保未按照ISO 26262開發(fā)的系統(tǒng)或組件滿足集成到根據(jù)ISO 26262研發(fā)的相關項中所需的功能安全水平。

Part9

以汽車安全完整性等級（ASIL）為導向

和以安全為導向的分析

以汽車安全完整性等級（ASIL）為導向和以安全為導向的分析包括ASIL等級剪裁的需求分解、元素共存標準、相關故障分析、安全分析。

ASIL等級剪裁的需求分解確保在分解的下一個細節(jié)層次上將安全需求的分解是冗余安全需求，并將這些需求分配給足夠獨立的設計元素；以及按照允許的ASIL分解模式應用ASIL分解。

元素共存標準包括與安全相關的子元素與非安全相關的子元素；分配了不同ASIL等級的安全相關子元素。

相關故障分析通過分析其潛在原因或引發(fā)因素，確認在設計中充分實現(xiàn)了所需的獨立性或不受干擾的自由度；如有必要，確定安全措施以緩解可能的相關故障。

安全分析確保由于系統(tǒng)故障或隨機硬件故障導致的違反安全目標的風險足夠低。根據(jù)應用情況，可以通過以下方式實現(xiàn)：

? 識別在危險分析和風險評估過程中未識別的新危險；

? 分別識別可能導致違反安全目標或安全需求的故障；

?確定其潛在原因；

?分別支持故障預防或故障控制安全措施的定義；

?為安全概念的適用性提供證據(jù)；

?支持安全概念、安全要求的驗證，以及設計要求和測試要求的識別。

Part10

ISO 26262的指南

該文檔給出在運用ISO 26262開發(fā)時的一些指南，包括在相關項及定義、ISO 26262的關鍵概念、關于安全管理方面的、概念階段和系統(tǒng)開發(fā)階段、安全過程的需求架構、硬件開發(fā)階段、超出ISO 26262的安全元素、在用元素驗證、關于ASIL等級分解、具有安全相關可用性需求的系統(tǒng)開發(fā)指南、關于“使用軟件工具的信心”的備注、安全相關特殊特性等方面的指南。

Part11

ISO 26262對半導體應用的指南

這是在ISO 26262：2018版新增加的部分。對半導體應用的指南包括半導體元件及其劃分、具體的半導體技術和使用案例的指南。

在半導體元件及其劃分子階段，包括在如何考慮半導體元件、將半導體元件分成若干部分、考慮硬件的故障、錯誤及失效模式、在系統(tǒng)層面關于半導體元件的安全分析、IP、半導體的基本故障率、半導體依賴故障分析、故障注入、生產(chǎn)與運營、分布式開發(fā)的接口、確認措施、硬件集成和驗證的確認等方面的指南。

具體的半導體技術和使用案例子階段，包括在數(shù)字元件和存儲器、模擬/混合信號元件、可編程邏輯器件、傳感器及轉換器等方面的指南。

Part 12

ISO 26262對摩托車的適應性

為了使摩托車上的E/E系統(tǒng)符合ISO 26262系列標準，應滿足ISO 26262-2至ISO 26262-9的所有要求。一些需求可能需要一定程度的裁剪才能適用于摩托車。在這種情況下，這些量身定制的需求取代了ISO 26262系列標準的相應需求。

對于摩托車適用ISO 26262系列標準，需要在安全管理的安全文化、確認措施、關于生產(chǎn)、運營、服務和報廢等方面的說明；在概念階段的危害分析和風險評估、功能安全概念等方面的說明；在系統(tǒng)層的產(chǎn)品開發(fā)的技術安全概念、在相關項的集成與測試、安全的有效性方法的說明。

在安全管理的安全文化子階段確保參與執(zhí)行安全生命周期的組織，即負責安全生命周期或在安全生命周期中執(zhí)行安全活動的組織，需要建立并保持一種安全文化，支持和鼓勵有效地實現(xiàn)功能安全，并促進與功能安全相關的其他學科的有效溝通；為功能安全制定并維護適當?shù)慕M織特定規(guī)則和流程；以確保已識別的安全異常得到充分解決；建立并保持能力管理體系，以確保相關人員的能力與其職責相稱；建立和維護質(zhì)量管理體系，以支持功能安全。

在措施確認子階段確保參與概念階段或開發(fā)階段的組織在系統(tǒng)、硬件或軟件層面定義和分配有關安全活動的角色和責任；在相關項執(zhí)行影響分析，以識別相關項是新相關項、對現(xiàn)有相關項的修改還是具有修改環(huán)境的現(xiàn)有相關項；在一個或多個修改的情況下，分析已識別的修改對功能安全的影響；在重新使用現(xiàn)有元素的情況下，在元素級別執(zhí)行影響分析，以評估重新使用的元素是否能夠符合分配給該元素的安全需求，同時考慮元素被重新使用的操作環(huán)境；定義量身定制的安全活動，為量身定制提供相應的理由，并審查所提供的理由；規(guī)劃安全活動；根據(jù)安全計劃協(xié)調(diào)和跟蹤安全活動的進展；規(guī)劃分布式開發(fā)；確保安全活動在整個安全生命周期中正確進行；創(chuàng)建一個可理解的安全案例，為實現(xiàn)功能安全提供論據(jù)；判斷相關項是否實現(xiàn)了功能安全（即功能安全評估），或判斷對實現(xiàn)某一要素（即供應商執(zhí)行的功能安全評估活動）或工作產(chǎn)品的功能安全的貢獻（如確認審查）；在開發(fā)結束時，根據(jù)支持對所實現(xiàn)的功能安全性的信心的證據(jù)，決定相關項或元素是否可以發(fā)布用于生產(chǎn)。

在關于生產(chǎn)、運營、服務和報廢子階段定義負責實現(xiàn)和維護生產(chǎn)、運營、服務和報廢的功能安全的組織和人員的責任。

在概念階段的相關項定義子階段定義和描述相關項、其功能、對駕駛員的依賴性以及與駕駛員、環(huán)境和車輛級別的其他相關項的交互；支持對相關項的充分理解，從而可以執(zhí)行后續(xù)階段的活動。

在概念階段的危害分析和風險評估子階段規(guī)定進行摩托車特定危險分析和風險評估所需遵守的必要要求；識別和分類由相關項故障行為引起的危險事件；制定安全目標及其相應的ASIL等級，危險事件的預防或緩解，以避免不合理的風險。

功能安全概念子階段根據(jù)其安全目標規(guī)定相關項的功能或退化功能行為；根據(jù)其安全目標，規(guī)定有關適當和及時檢測和控制相關故障的約束條件；規(guī)定相關項級策略或措施，通過駕駛員或通過外部措施，以實現(xiàn)所需的容錯或充分減輕相關項相關故障的影響；將功能安全需求分配給系統(tǒng)架構設計或外部措施；驗證功能安全概念并規(guī)定安全驗證標準。

在系統(tǒng)層的產(chǎn)品開發(fā)的技術安全概念子階段規(guī)定有關系統(tǒng)元件及其實現(xiàn)所需接口的功能、依賴性、約束和財產(chǎn)的技術安全需求；規(guī)定關于在系統(tǒng)元件和接口中實施的安全機制的技術安全需求；規(guī)定生產(chǎn)、運行、服務和報廢期間系統(tǒng)及其元件的功能安全需求；驗證技術安全需求是否滿足實現(xiàn)系統(tǒng)級的功能安全，并與功能安全要求一致；制定滿足安全需求且與非安全相關需求不沖突的系統(tǒng)架構設計和技術安全概念；分析系統(tǒng)架構設計，以防止故障，并得出生產(chǎn)和服務所需的與安全相關的特殊特性；驗證系統(tǒng)架構設計和技術安全概念是否適合根據(jù)其各自的ASIL等級來滿足功能安全需求。

在相關項的集成與測試子階段定義集成步驟并集成系統(tǒng)元件，直到系統(tǒng)完全集成；驗證由系統(tǒng)架構級別的安全分析得出的安全措施是否得到了正確實施；根據(jù)系統(tǒng)架構設計提供集成系統(tǒng)元件滿足其安全需求的證據(jù)。

在安全的有效性子階段提供證據(jù)，證明該相關項在集成到相應車輛中實現(xiàn)了安全目標；提供證據(jù)證明功能安全概念和技術安全概念符合實現(xiàn)相關項的功能安全。

小結

今天的新能源車、自動駕駛等汽車的發(fā)展方向越來越依賴于電子系統(tǒng)和軟件。新系統(tǒng)的出現(xiàn)帶來了故障模式的新風險。車企在設計中努力識別和評估風險，并采取有效措施減少或消除這種風險，盡一切努力確保其產(chǎn)品的安全運行或使用。ISO 26262：2018國際標準的發(fā)布能夠幫助企業(yè)確保其電子電氣系統(tǒng)的功能安全，并在產(chǎn)品開發(fā)過程盡早識別和分析風險，建立安全目標，通過一個全面的驗證計劃實現(xiàn)這些目標。

審核編輯 黃宇