作者 |郭建 上海控安可信軟件創(chuàng)新研究院特聘專家
版塊 |
鑒源論壇 · 觀模
摘要:安全在汽車研發(fā)中是關(guān)鍵要素之一,輔助駕駛、車輛的動態(tài)控制等功能的研發(fā)和集成都需要加強(qiáng)安全系統(tǒng)研發(fā),同時,需要為滿足所有預(yù)期的安全目標(biāo)提供證據(jù)。隨著系統(tǒng)復(fù)雜性的提高,軟件和機(jī)電設(shè)備的應(yīng)用,來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險也日益增加。ISO 26262標(biāo)準(zhǔn)使得人們對安全相關(guān)功能有一個更好的理解,并盡可能明確地對它們進(jìn)行解釋,同時為避免這些風(fēng)險提供了可行性的要求和流程。
我們將通過2次推文介紹ISO 26262:2018的國際標(biāo)準(zhǔn)。
ISO 26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC 61508派生出來的,主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件,旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn)。
ISO 26262從2005年11月起正式開始制定,經(jīng)歷了大約6年左右的時間,已于2011年11月正式頒布,成為國際標(biāo)準(zhǔn)。中國也于2017年頒布了相應(yīng)的標(biāo)準(zhǔn)。在2018年,新的ISO 26262:2018國際標(biāo)準(zhǔn)頒布,增加了半導(dǎo)體和摩托車的規(guī)范標(biāo)準(zhǔn)。
ISO 26262為汽車安全提供了一個生命周期(管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)、報廢)理念,并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開發(fā)過程(包括需求規(guī)劃、設(shè)計、實施、集成、驗證、確認(rèn)和配置)。
ISO 26262:2018國際標(biāo)準(zhǔn)共分為12部分,它們是:
第一部分:術(shù)語
第二部分:功能安全管理
第三部分:概念階段
第四部分:產(chǎn)品開發(fā):系統(tǒng)層面
第五部分:產(chǎn)品開發(fā):硬件層面
第六部分:產(chǎn)品開發(fā):軟件層面
第七部分:生產(chǎn)、運營、服務(wù)和報廢
第八部分:支持過程
第九部分:以汽車安全完整性等級為導(dǎo)向和以安全為導(dǎo)向的分析
第十部分:ISO 26262的指南
第十一部分:ISO 26262對半導(dǎo)體應(yīng)用的指南
第十二部分:ISO 26262對摩托車的適應(yīng)性
ISO 26262:2018國際標(biāo)準(zhǔn)的架構(gòu)如圖1所示:
圖1 ISO 26262總體架構(gòu)圖
在本次推文中,針對ISO 26262:2018國際標(biāo)準(zhǔn)的第一部分到第五部分做簡要的介紹。
Part 1
術(shù)語
在Part1給出了185個術(shù)語的解釋,比2011版的增加了43個術(shù)語,并對相關(guān)術(shù)語的解釋更加準(zhǔn)確、清晰和易懂,由于技術(shù)的發(fā)展,又增加了一些新的術(shù)語的解釋。并給出了關(guān)于縮寫的解釋107個,比2011版的增加了56個,使得2018版更具有完整性。
Part2
功能安全管理
Part2對功能安全管理總署、功能安全的審核流程和要求做了詳細(xì)的介紹,確保參與安全生命周期建立并保持一種安全文化,以支持和鼓勵有效的成就,促進(jìn)與其他相關(guān)學(xué)科對功能安全的有效溝通;為功能安全制定并維護(hù)適當(dāng)?shù)慕M織規(guī)則和流程;制定和維護(hù)流程,以確保已識別的安全異常得到充分解決;建立并維護(hù)能力管理體系,以確保相關(guān)人員與其職責(zé)相稱;建立和維護(hù)質(zhì)量管理體系,以支持功能安全。
在功能安全管理中,包括依賴項目的安全管理和生產(chǎn)、運營、服務(wù)和報廢的安全管理。對于依賴項目的安全管理要確保參與概念階段或開發(fā)階段的組織在系統(tǒng)、硬件或軟件層面要求定義和分配有關(guān)安全活動的角色和責(zé)任;對相關(guān)項進(jìn)行影響分析,以識別相關(guān)項是新相關(guān)項、是對現(xiàn)有相關(guān)項修改、還是修改環(huán)境的現(xiàn)有相關(guān)項。在一個或多個修改需要的情況下,分析修改對功能安全的影響;對元素級別進(jìn)行影響分析,元素若被重新使用,需要評估重新使用的元素是否能夠遵守分配給該元素的安全要求,同時需要考慮元素被重新使用的操作環(huán)境;對于量身定制的安全活動,要提供相應(yīng)的理由,并審查所提供的理由;需要規(guī)劃安全活動;協(xié)調(diào)和跟蹤安全活動的進(jìn)展以符合安全計劃;需要計劃分布式開發(fā);確保安全活動在整個安全生命周期中能夠正確進(jìn)行;可以創(chuàng)建一個可理解的安全案例,為實現(xiàn)功能安全提供論據(jù);判斷設(shè)計是否實現(xiàn)了功能安全(即功能安全評估),或判斷對實現(xiàn)某一要素是否實現(xiàn)了功能安全或判斷工作產(chǎn)品的功能安全;在開發(fā)結(jié)束時,根據(jù)支持對所實現(xiàn)的功能安全提供證據(jù),決定相關(guān)項或元素是否可以發(fā)布用于生產(chǎn)。
對于生產(chǎn)、運營、服務(wù)和報廢的安全管理的目標(biāo)是需要定義負(fù)責(zé)實現(xiàn)和維護(hù)生產(chǎn)、運營、服務(wù)和報廢的功能安全的組織和人員的責(zé)任。
圖2說明了與安全生命周期相關(guān)的管理活動。
圖2 與安全生命周期有關(guān)的管理活動
在圖2中,ISO 26262:2018各部分的具體條款如下所示:“m-n”,其中“m”表示該部分的編號,“n”表示該條款的編號,例如“3-6”表示ISO 26262-3:2018第6條。
Part3
概念階段
在概念階段給出了相關(guān)項的定義、危害分析和風(fēng)險評估,以及功能安全概念。
在相關(guān)項的定義中,定義和描述相關(guān)項、相關(guān)項的功能、相關(guān)項對駕駛員的依賴程度以及與駕駛員、環(huán)境和車輛級別的其他相關(guān)項的交互;支持對相關(guān)項的準(zhǔn)確理解,以便執(zhí)行后續(xù)階段的活動能夠執(zhí)行。
在危害分析和風(fēng)險評估時,能夠識別并分類由相關(guān)項故障行為引起的危險事件;制定與預(yù)防或緩解危害事件相關(guān)的安全目標(biāo)及其相應(yīng)的ASIL等級,以避免不合理的風(fēng)險。
對于危害分析和風(fēng)險評估,可以用函數(shù)(F)描述,該函數(shù)有三個參數(shù):危害事件的發(fā)生頻率(f)、可控性(C),即通過相關(guān)人員的及時反應(yīng)避免特定危害或損害的能力,以及由此造成的危害或損害的潛在嚴(yán)重程度(S):
發(fā)生頻率f又受到兩個因素的影響,處于危害事件可能發(fā)生的頻率和持續(xù)時間。在ISO 26262中,被簡化為可能發(fā)生危害事件的概率(暴露,E)。另一個因素是相關(guān)項中故障的發(fā)生率,在危害分析和風(fēng)險評估過程中不考慮這一因素。因此,在危害分析和風(fēng)險評估中,E、S、C的分類會形成ASIL(automotive safety integrity level,汽車安全完整性等級)確定相關(guān)項的最低要求集,以控制或降低隨機(jī)硬件故障的概率,并避免系統(tǒng)故障。相關(guān)項的故障率并不能認(rèn)為是可以推理演繹的,因為可通過實現(xiàn)所得出的安全要求來避免不合理的殘余風(fēng)險。
危害分析和風(fēng)險評估子階段包括三個步驟:
第一步:場景分析和危害識別:場景分析和危險識別的目標(biāo)是識別可能導(dǎo)致危害事件的相關(guān)項的潛在非預(yù)期行為。場景分析和危害識別活動需要對相關(guān)項、及其功能和邊界進(jìn)行清晰的定義。它是基于相關(guān)項的行為;因此,相關(guān)項的詳細(xì)設(shè)計并不一定需要知道。
第二步:危害事件的分類:危害分類方案包括確定相關(guān)項危害事件的嚴(yán)重程度、暴露概率和可控性。嚴(yán)重程度表示對特定駕駛情況下潛在危害的估計,暴露概率由相應(yīng)的情況決定,可控性衡量了駕駛員或其他道路交通參與者在所考慮到的運行場景中避免所考慮到的事故的難易程度。對于每種危害,根據(jù)相關(guān)危害事件的數(shù)量,分類將產(chǎn)生一個或多個嚴(yán)重性、暴露概率和可控性的組合。
第三步:ASIL確定:確定所需的汽車安全完整性等級。
功能安全概念根據(jù)其安全目標(biāo)規(guī)定相關(guān)項的功能或降解功能的行為;根據(jù)其安全目標(biāo),規(guī)定有關(guān)檢測,控制相關(guān)故障的約束條件;規(guī)定相關(guān)項級別的策略或措施,以獲得所需的故障容錯,或通過相關(guān)項自身、駕駛員或外部措施充分減輕相關(guān)故障的影響;將功能安全要求分配給系統(tǒng)體系結(jié)構(gòu)設(shè)計或外部判定;驗證功能安全概念并規(guī)定安全驗證標(biāo)準(zhǔn)。
Part4
產(chǎn)品開發(fā):系統(tǒng)層面
系統(tǒng)開發(fā)過程包括技術(shù)安全概念、硬件層面的產(chǎn)品開發(fā)、軟件層面的產(chǎn)品開發(fā)、系統(tǒng)與相關(guān)項的集成和測試、安全確認(rèn)等必要活動,如圖3所示。在迭代過程中,開發(fā)了技術(shù)安全概念,并將技術(shù)安全需求和系統(tǒng)架構(gòu)設(shè)計結(jié)合起來。建立了系統(tǒng)體系結(jié)構(gòu),將技術(shù)安全需求分配到系統(tǒng)的元素,如果適用,還會分配其他技術(shù)到系統(tǒng)上。此外,還細(xì)化了技術(shù)安全需求,增加了系統(tǒng)架構(gòu)產(chǎn)生的需求,包括軟硬件接口(HSI)。根據(jù)體系結(jié)構(gòu)的復(fù)雜性,可以迭代地導(dǎo)出子系統(tǒng)的需求。
開發(fā)完成后,對硬件和軟件元素進(jìn)行集成和測試,形成一個項目,然后將其集成到車輛中。一旦在車輛級別集成,就要進(jìn)行安全確認(rèn),以提供與安全目標(biāo)相關(guān)的功能安全證據(jù)。
圖3安全的相關(guān)項開發(fā)的參考階段模型
在技術(shù)安全概念子階段,需要規(guī)定有關(guān)系統(tǒng)元素及其實現(xiàn)所需接口的功能、依賴性、約束和屬性的技術(shù)安全要求;規(guī)定系統(tǒng)元素和接口中實施的安全機(jī)制的技術(shù)安全要求;在生產(chǎn)、運行、服務(wù)和報廢期間系統(tǒng)及其元素的功能安全要求;驗證技術(shù)安全需求是否適合在系統(tǒng)級別實現(xiàn)功能安全,并與功能安全需求一致。開發(fā)滿足安全需求且與非安全相關(guān)需求不沖突的系統(tǒng)架構(gòu)設(shè)計和技術(shù)安全概念;分析系統(tǒng)架構(gòu)設(shè)計,以防止故障,并得出為生產(chǎn)和服務(wù)所需的與安全相關(guān)的專用屬性;以驗證系統(tǒng)架構(gòu)設(shè)計和技術(shù)安全概念是否滿足其各自的ASIL等級的安全需求。
在系統(tǒng)與相關(guān)項的集成和測試階段,需要定義集成步驟并集成系統(tǒng)元素,直到系統(tǒng)完全集成;驗證由系統(tǒng)架構(gòu)級別的安全分析得出定義的安全措施是否能夠進(jìn)行恰當(dāng)?shù)膶崿F(xiàn);根據(jù)系統(tǒng)架構(gòu)設(shè)計,提供集成系統(tǒng)元素滿足其安全要求的證據(jù)。
在安全確認(rèn)階段,需要提供證據(jù),證明該相關(guān)項在集成到相應(yīng)車輛中是實現(xiàn)了安全目標(biāo);并提供證據(jù)證明功能安全概念和技術(shù)安全概念適用于實現(xiàn)相關(guān)項的功能安全。
ISO 26262-4適用于系統(tǒng)的開發(fā),ISO 26262-5和ISO 26262-6分別描述了硬件和軟件的開發(fā)要求。圖4是一個具有多級集成的系統(tǒng)示例,說明了ISO 26262-4、ISO 26262-5和ISO 26262-6標(biāo)準(zhǔn)的應(yīng)用。
圖4 系統(tǒng)級產(chǎn)品開發(fā)的一個示例
Part5
產(chǎn)品開發(fā):硬件層面
硬件級產(chǎn)品開發(fā)過程步驟,包括根據(jù)ISO 2626-4的技術(shù)安全概念得到在硬件開發(fā)層面產(chǎn)品開發(fā)的一般問題,然后獲得硬件安全需求規(guī)范,緊接著就要硬件設(shè)計、硬件架構(gòu)度量的評估、隨機(jī)硬件故障導(dǎo)致違背安全目標(biāo)的評估,以及最后的硬件集成與驗證。開發(fā)過程如圖5所示。
圖5 硬件層產(chǎn)品開發(fā)的參考階段模型
硬件層面的產(chǎn)品開發(fā)所需的活動和過程包括:技術(shù)安全概念的硬件實現(xiàn);潛在硬件故障及其影響的分析;和與軟件開發(fā)的協(xié)調(diào)。
在硬件安全需求規(guī)范子階段規(guī)定硬件安全要求。它們來源于技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計規(guī)范;完善ISO 26262-4:2018,6.4.7中提出的軟硬件接口(HSI)規(guī)范;以及驗證硬件安全要求和軟硬件接口(HSI)規(guī)范是否符合技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計規(guī)范。
在硬件設(shè)計階段,創(chuàng)建硬件設(shè)計,支持以安全為導(dǎo)向的分析;以安全為導(dǎo)向的分析結(jié)果;以滿足硬件安全要求;軟硬件接口(HSI)規(guī)范;符合系統(tǒng)架構(gòu)設(shè)計規(guī)范;及滿足所需的硬件設(shè)計屬性。
在該階段規(guī)定生產(chǎn)、運行、服務(wù)和報廢期間硬件的功能安全要求并提供相關(guān)信息。
硬件開發(fā)中及完成后,需要驗證硬件設(shè)計能夠滿足硬件安全要求和軟硬件接口(HSI)規(guī)范;用于開發(fā)集成在已開發(fā)硬件中的每個SEooC假設(shè)的有效性;安全相關(guān)特殊屬性在生產(chǎn)和服務(wù)過程中實現(xiàn)的功能安全的適用性。
在硬件架構(gòu)度量的評估子階段,基于硬件體系結(jié)構(gòu)度量。提供關(guān)于檢測和控制安全相關(guān)隨機(jī)硬件故障的相關(guān)項的硬件體系結(jié)構(gòu)設(shè)計適用性的證據(jù)。
在隨機(jī)硬件故障導(dǎo)致違背安全目標(biāo)的評估子階段,能夠提供證據(jù)證明由于相關(guān)項的隨機(jī)硬件故障導(dǎo)致的違反安全目標(biāo)的殘余風(fēng)險足夠低。
在硬件集成與驗證子階段,確保所開發(fā)的硬件符合硬件安全需求。
本文對ISO 26262:2018國際標(biāo)準(zhǔn)的第一部分到第五部分的內(nèi)容做了一個簡單的介紹,我們將在下一次推文中對其的后半部分做介紹。
審核編輯:湯梓紅
-
汽車電子
+關(guān)注
關(guān)注
3026文章
7942瀏覽量
166924 -
ISO
+關(guān)注
關(guān)注
0文章
256瀏覽量
39586
發(fā)布評論請先 登錄
相關(guān)推薦
評論