隨著各行業(yè)引進(jìn)一系列產(chǎn)品設(shè)計(jì)和測試的標(biāo)準(zhǔn)化流程，安全保障也日益規(guī)范化。ISO 26262是針對汽車零部件中的關(guān)鍵電氣和電子(E/E)系統(tǒng)的功能安全標(biāo)準(zhǔn)。ISO 26262基于IEC 61508制定，后者是電氣和電子系統(tǒng)的通用功能安全標(biāo)準(zhǔn)。本白皮書介紹了ISO 26262的關(guān)鍵部分及軟硬件認(rèn)證。此外，本白皮書還涵蓋了ISO 26262的測試過程，以及符合ISO 26262規(guī)定的認(rèn)證工具。

內(nèi)容

• 背景
• ISO 26262的關(guān)鍵組成部分
• 硬件組件認(rèn)證
• 軟件組件認(rèn)證
• "在實(shí)踐中證明"的論據(jù)
• 應(yīng)用于現(xiàn)有流程
• 測試工具認(rèn)證

背景

隨著汽車行業(yè)復(fù)雜性的日益提升，人們加大了開發(fā)安全合規(guī)系統(tǒng)的力度。例如，現(xiàn)代汽車使用了油門線控等線控系統(tǒng)。駕駛員踩油門時(shí)，踏板中的傳感器將向電子控制單元發(fā)送信號。該控制單元會(huì)對多種因素進(jìn)行分析，如發(fā)動(dòng)機(jī)轉(zhuǎn)速、車輛速度及踏板位置，然后向油門傳遞指令。要測試和驗(yàn)證油門線控這類系統(tǒng)，對汽車行業(yè)來說是個(gè)不小的挑戰(zhàn)。ISO 26262的目標(biāo)是為所有汽車E/E系統(tǒng)提供統(tǒng)一的安全標(biāo)準(zhǔn)。

ISO 26262的國際標(biāo)準(zhǔn)草案(DIS)于2009年6月發(fā)布。自草案發(fā)布以來，ISO 26262在汽車行業(yè)的影響力逐漸加深。由于公開標(biāo)準(zhǔn)草案的面世，律師們將ISO 26262視為尖端技術(shù)標(biāo)準(zhǔn)。尖端技術(shù)是指一個(gè)設(shè)備或工藝在特定時(shí)間的最高發(fā)展水平。德國法律規(guī)定，汽車生產(chǎn)商通常要對產(chǎn)品故障導(dǎo)致的人身傷害承擔(dān)賠償責(zé)任。尖端技術(shù)都無法檢測的故障可獲得免責(zé)。[德國產(chǎn)品責(zé)任法(§ 823 Abs.1 BGB, § 1 ProdHaftG)]。

ISO 26262提供了一個(gè)通用的標(biāo)準(zhǔn)，可用于衡量系統(tǒng)在使用時(shí)的安全性。同時(shí)，該標(biāo)準(zhǔn)還提供了通用的詞匯表，用來指代系統(tǒng)的特定部分。這和其他安全關(guān)鍵應(yīng)用領(lǐng)域保持一致：即提供一個(gè)通用的標(biāo)準(zhǔn)，衡量系統(tǒng)的安全性。

ISO 26262的關(guān)鍵組成部分ISO 26262采用分步系統(tǒng)，管理功能安全，并在系統(tǒng)、硬件及軟件層面規(guī)范產(chǎn)品開發(fā)。

ISO 26262標(biāo)準(zhǔn)提供了規(guī)范及推薦做法，貫穿了產(chǎn)品從概念開發(fā)到報(bào)廢的整個(gè)開發(fā)過程。ISO 26262詳細(xì)介紹了如何為系統(tǒng)或組件指定可接受的風(fēng)險(xiǎn)等級，以及記錄總體測試過程的方法?？傮w來說，ISO 26262：

定義汽車安全生命周期（管理、開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢），并支持在各生命周期階段中自定義必要的活動(dòng)；

提供基于風(fēng)險(xiǎn)的具體方法，判定汽車的風(fēng)險(xiǎn)等級（汽車安全完整性等級，簡稱ASIL）；

使用ASIL指定項(xiàng)目的必要安全要求，以使殘余風(fēng)險(xiǎn)在可接受的范圍內(nèi)；

提供驗(yàn)證要求和確認(rèn)方法，以確保實(shí)現(xiàn)有效且可接受的安全水平。

汽車安全生命周期ISO 26262共有10卷，用于系列量產(chǎn)車，包含針對汽車的章節(jié)。例如，ISO 26262的第7章對生產(chǎn)、運(yùn)行、服務(wù)及報(bào)廢提出了明確的安全要求。

ISO 26262汽車安全生命周期描述了整個(gè)生產(chǎn)生命周期，包括對安全管理員的需求、安全計(jì)劃的制定以及確認(rèn)方法的定義（包括安全檢查、審計(jì)及評估）。開發(fā)E/E系統(tǒng)及元件需要遵循這些要求。

本白皮書主要介紹生命周期的開發(fā)部分。ISO 26262的開發(fā)部分涉及了系統(tǒng)定義、系統(tǒng)設(shè)計(jì)、功能安全評估以及安全驗(yàn)證。汽車安全完整性等級(ASIL)

ASIL是ISO 26262標(biāo)準(zhǔn)的重要組成部分，在開發(fā)過程的開始階段確定。它分析系統(tǒng)的預(yù)期功能，同時(shí)指出可能的危害。ASIL提出這樣一個(gè)問題：“如果車輛發(fā)生故障，駕駛員和相關(guān)道路使用者會(huì)怎樣？”

為了評估風(fēng)險(xiǎn)，ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及發(fā)生重大事件時(shí)可能帶來的后果的嚴(yán)重程度。ASIL不管系統(tǒng)所使用的技術(shù)，只關(guān)注駕駛員及其他道路使用者所受到的危害。

ASIL根據(jù)不同的安全要求分為A、B、C、D四個(gè)級別，其中D級擁有最安全的關(guān)鍵流程，測試規(guī)范最為嚴(yán)格。ISO 26262標(biāo)準(zhǔn)根據(jù)組件的ASIL級別，分別規(guī)定了最低測試要求，有助于確定測試時(shí)必須采取的方法。確定ASIL后，就決定了系統(tǒng)的安全目標(biāo)，也就是確定了保證安全所需的系統(tǒng)行為。

比如，以雨刷系統(tǒng)為例。安全分析將確定喪失雨刷功能會(huì)對駕駛員的視線造成何種影響。ASIL給出指導(dǎo)，選擇適當(dāng)?shù)姆椒▉硎巩a(chǎn)品達(dá)到一定程度的完整性，旨在補(bǔ)充現(xiàn)有的安全做法。目前，汽車制造采用高安全標(biāo)準(zhǔn)，而ISO 26262旨在規(guī)范行業(yè)內(nèi)的特定做法。

硬件組件認(rèn)證

硬件認(rèn)證有兩個(gè)主要目的：明確部件對整體系統(tǒng)的適應(yīng)性，以及評估故障模式?；A(chǔ)硬件組件可通過標(biāo)準(zhǔn)認(rèn)證進(jìn)行評估，但更復(fù)雜的部件要求通過ASIL分解及測試進(jìn)行評估。硬件組件的認(rèn)證通常是在一系列環(huán)境和操作條件下進(jìn)行測試。接著，使用多種定量方法分析測試結(jié)果，寫入認(rèn)證報(bào)告，同時(shí)隨附測試程序、假設(shè)及輸入標(biāo)準(zhǔn)。

軟件組件認(rèn)證

認(rèn)證軟件組件包括：確定功能要求、資源使用以及預(yù)測在故障和重載情況下的軟件行為。在實(shí)際應(yīng)用的開發(fā)階段使用認(rèn)證的軟件可大幅簡化該過程。通過認(rèn)證的軟件組件通常是十分優(yōu)秀的產(chǎn)品，可在項(xiàng)目中復(fù)用，包含庫、操作系統(tǒng)、數(shù)據(jù)庫及驅(qū)動(dòng)軟件。

為了認(rèn)證軟件組件，標(biāo)準(zhǔn)需要在正常操作條件下進(jìn)行測試，并在系統(tǒng)中插入故障，以判定其如何應(yīng)對非正常輸入。設(shè)計(jì)階段將分析并處理軟件錯(cuò)誤，如運(yùn)行時(shí)和數(shù)據(jù)錯(cuò)誤。

“在實(shí)踐中證明”的論據(jù)

硬件及軟件組件可通過“在實(shí)踐中證明”的論據(jù)，證明其符合ISO 26262要求。若組件已在其他實(shí)際應(yīng)用中無故障運(yùn)行，則可適用該條款。ISO 26262也適用于在實(shí)踐中得到證明的早期系統(tǒng)。很多情況下，若某種系統(tǒng)已經(jīng)在幾百萬輛汽車上得到驗(yàn)證，則沒有必要重新檢驗(yàn)其是否符合標(biāo)準(zhǔn)。例如，目前制造的汽車中，很多系統(tǒng)是按照ISO 26262發(fā)布前的高級別安全標(biāo)準(zhǔn)制造的。在實(shí)際應(yīng)用過程中，這些安全關(guān)鍵組件運(yùn)行良好、可靠。 在早期汽車中就已使用且一直未變的可靠系統(tǒng)仍可獲得ISO 26262認(rèn)證。類似實(shí)際應(yīng)用和得到廣泛部署的早期實(shí)際應(yīng)用中的認(rèn)證組件結(jié)合，極大地降低了總體系統(tǒng)復(fù)雜度。

應(yīng)用于現(xiàn)有流程

執(zhí)行類似于ISO 26262這樣的新標(biāo)準(zhǔn)，主要挑戰(zhàn)之一是將其應(yīng)用于現(xiàn)有流程。對于新標(biāo)準(zhǔn)，需要使用試驗(yàn)項(xiàng)目展示標(biāo)準(zhǔn)的實(shí)現(xiàn)，及其對現(xiàn)有流程的影響。目前的結(jié)果表明，ISO 26262符合業(yè)內(nèi)現(xiàn)有的安全理念。各公司已經(jīng)看到了在開發(fā)階段早期評估風(fēng)險(xiǎn)并進(jìn)行危害分析的優(yōu)勢，并開始將測試投入各流程中。

計(jì)劃執(zhí)行ISO 26262的公司需要理解，我們的目的是在開發(fā)過程的早期階段分析風(fēng)險(xiǎn)、確立適當(dāng)?shù)陌踩螅⑼ㄟ^開發(fā)中的測試最終滿足這些要求。

測試工具認(rèn)證

測試是ISO 26262開發(fā)過程中的重要組成部分。安全關(guān)鍵系統(tǒng)必須合理應(yīng)對測試場景，并在面對各種人為及環(huán)境輸入時(shí)維持在指定的安全范圍內(nèi)。使用高質(zhì)量測試系統(tǒng)可提高產(chǎn)品性能、提升質(zhì)量及可靠性，同時(shí)降低返修率。據(jù)估計(jì)，與實(shí)際應(yīng)用中相比，在生產(chǎn)中發(fā)現(xiàn)錯(cuò)誤所產(chǎn)生的故障成本將降低10倍；若能在設(shè)計(jì)環(huán)節(jié)發(fā)現(xiàn)錯(cuò)誤，故障成本又比在生產(chǎn)中發(fā)現(xiàn)降低10倍。測試通過發(fā)現(xiàn)缺陷并收集數(shù)據(jù)，可改進(jìn)設(shè)計(jì)或流程，為您的組織創(chuàng)造價(jià)值。通過技術(shù)創(chuàng)新和妥善實(shí)踐方法推動(dòng)流程創(chuàng)新，可大幅提升效率，降低花費(fèi)。人們?nèi)菀缀雎怨ぞ?，只考慮系統(tǒng)的設(shè)計(jì)。但實(shí)際上，工具對終端用戶的安全十分重要。

ISO 26262發(fā)現(xiàn)，使用廣泛應(yīng)用的軟件工具可簡化或自動(dòng)化開發(fā)電子、電氣及軟件元件（提供安全相關(guān)功能）所需的步驟及任務(wù)。介紹工具認(rèn)證過程的細(xì)節(jié)前，需要定義工具認(rèn)證的一個(gè)重要部分：工具置信度。工具置信度

通過工具的輸入和輸出，可開發(fā)典型（或參考）用例。分析用例便可確定工具置信度，簡稱TCL。TCL和ASIL決定了軟件工具要求的認(rèn)證水平。要確定置信度，需要評估以下兩種因素：

軟件工具出故障的可能性，以及錯(cuò)誤輸出對安全相關(guān)項(xiàng)目或開發(fā)中的元件會(huì)造成何種危害；

• 在輸出中預(yù)防或檢測該錯(cuò)誤的可能性。

工具置信度分為TCL1、TCL2、TCL3和TCL4，其中TCL4為最高置信度，TCL1為最低置信度。

生活不是日復(fù)一日的尋常，人生的意義在于活的精彩，愿你不被歲月抹去激情，不被年齡定義人生，做乘風(fēng)破浪，勇闖天涯的自己！

工具認(rèn)證過程

要根據(jù)ISO 26262對工具進(jìn)行認(rèn)證，需要滿足多項(xiàng)要求。例如，ASIL必須已經(jīng)確定。工具必須包含用戶手冊、獨(dú)特的標(biāo)識(shí)及版本號、功能描述、安裝過程以及環(huán)境（僅舉幾例）。ISO 26262要求提供以下工具認(rèn)證材料：

• 軟件工具認(rèn)證計(jì)劃
• 軟件工具文檔
• 軟件工具分類分析
• 軟件工具認(rèn)證報(bào)告

1. 軟件工具認(rèn)證計(jì)劃

軟件工具認(rèn)證計(jì)劃(STQP)是在安全相關(guān)項(xiàng)目開發(fā)生命周期的早期創(chuàng)建的。它主要關(guān)注兩個(gè)方面：計(jì)劃軟件工具的認(rèn)證，以及能證明該工具符合所需置信度的用例。

STQP必須包含的項(xiàng)目有：軟件工具獨(dú)特的標(biāo)識(shí)及版本號、用例、環(huán)境、描述、用戶手冊以及預(yù)先確定好的ASIL。2. 軟件工具分類分析軟件工具分類分析(STCA)的主要目的是確定工具置信度。確定TCL有兩個(gè)主要因素。第一個(gè)因素是工具影響(TI)。第二個(gè)因素是工具錯(cuò)誤檢測(TD)。根據(jù)這兩個(gè)因素，選擇合適的TCL。工具影響分為TI1和TI2兩類。當(dāng)確定發(fā)生故障的軟件工具絕對不會(huì)違反安全要求時(shí)，選擇TI1。對于所有其他情況，選擇TI2。例如，假設(shè)某工具在執(zhí)行特定軟件功能時(shí)，會(huì)在文檔中產(chǎn)生錯(cuò)誤字符。這僅僅是一個(gè)小錯(cuò)誤，并不違反測試時(shí)的安全要求。該錯(cuò)誤造成的是TI1類別的工具影響。若工具造成的錯(cuò)誤以任何形式改變了系統(tǒng)行為，則選擇TI2。

工具錯(cuò)誤檢測分為TD1至TD3幾類。TD1代表對工具檢測錯(cuò)誤的能力有高度的置信，而TD3則代表很低的置信度，即只能隨機(jī)檢測出錯(cuò)誤。

例如，假設(shè)某工具用于檢測設(shè)計(jì)模型的錯(cuò)誤。該工具對模型執(zhí)行靜態(tài)分析。當(dāng)靜態(tài)分析良好時(shí)，該工具不能檢測模型中的所有可能違規(guī)行為。還有一點(diǎn)值得注意的是，這并不一定意味著該模型不正確，僅表明需要進(jìn)行額外測試。這種情況屬于中等程度的置信度，即TD2。

根據(jù)所需置信度，一旦確定了工具影響(TI)和工具錯(cuò)誤檢測(TD)，就確定了TCL的級別。有時(shí)，多個(gè)用例可能產(chǎn)生不同的TCL。出現(xiàn)這種情況時(shí)，請使用最高級別的TCL。對每個(gè)軟件工具，用戶需進(jìn)行工具分類。

3. 軟件工具文檔

為確保正確使用軟件工具，必須提供多種信息。

功能描述

• 安裝過程描述
• 用戶手冊
• 運(yùn)行環(huán)境

異常狀態(tài)下的預(yù)期行為

4.軟件工具認(rèn)證報(bào)告

軟件工具認(rèn)證報(bào)告包含結(jié)論以及完成認(rèn)證且滿足要求的證據(jù)。任何驗(yàn)證期間產(chǎn)生的故障或錯(cuò)誤輸出都需在此進(jìn)行分析和記錄。

從實(shí)踐中提升的置信從實(shí)踐中提升置信是工具認(rèn)證的一個(gè)重要方面。若能證明某工具已經(jīng)符合認(rèn)證要求，就無需進(jìn)一步的認(rèn)證。這將大幅降低開發(fā)過程中的花費(fèi)及時(shí)間成本。然而，在用于項(xiàng)目開發(fā)前，每個(gè)安全相關(guān)項(xiàng)目或元件都必須證明已達(dá)到認(rèn)證要求。為證明這一點(diǎn)，該工具必須證明：

• 曾經(jīng)為了相同的目的，在類似的用例中使用過；
• 該工具的規(guī)范沒有改變；
• 未在曾經(jīng)開發(fā)的安全相關(guān)項(xiàng)目中違反安全要求。

例如，假設(shè)工具A用于驗(yàn)證汽車X的ECU（引擎控制單元）。若測試工具A未違反任何安全要求且沒有改變，那么它就可用于驗(yàn)證汽車Y的ECU，只要汽車Y的ECU用途與汽車X的ECU使用方法類似即可。

本文轉(zhuǎn)自：望安科技