作者 |郭建 上海控安可信軟件創(chuàng)新研究院特聘專家

版塊 |

鑒源論壇 · 觀模

摘要：安全在汽車研發(fā)中是關(guān)鍵要素之一，輔助駕駛、車輛的動(dòng)態(tài)控制等功能的研發(fā)和集成都需要加強(qiáng)安全系統(tǒng)研發(fā)，同時(shí)，需要為滿足所有預(yù)期的安全目標(biāo)提供證據(jù)。隨著系統(tǒng)復(fù)雜性的提高，軟件和機(jī)電設(shè)備的應(yīng)用，來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加。ISO 26262標(biāo)準(zhǔn)使得人們對(duì)安全相關(guān)功能有一個(gè)更好的理解，并盡可能明確地對(duì)它們進(jìn)行解釋，同時(shí)為避免這些風(fēng)險(xiǎn)提供了可行性的要求和流程。

我們將通過2次推文介紹ISO 26262：2018的國際標(biāo)準(zhǔn)。

ISO 26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC 61508派生出來的，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn)。

ISO 26262從2005年11月起正式開始制定，經(jīng)歷了大約6年左右的時(shí)間，已于2011年11月正式頒布，成為國際標(biāo)準(zhǔn)。中國也于2017年頒布了相應(yīng)的標(biāo)準(zhǔn)。在2018年，新的ISO 26262：2018國際標(biāo)準(zhǔn)頒布，增加了半導(dǎo)體和摩托車的規(guī)范標(biāo)準(zhǔn)。

ISO 26262為汽車安全提供了一個(gè)生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)、報(bào)廢）理念，并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能性安全方面的整體開發(fā)過程（包括需求規(guī)劃、設(shè)計(jì)、實(shí)施、集成、驗(yàn)證、確認(rèn)和配置）。

ISO 26262：2018國際標(biāo)準(zhǔn)共分為12部分，它們是：

第一部分：術(shù)語

第二部分：功能安全管理

第三部分：概念階段

第四部分：產(chǎn)品開發(fā)：系統(tǒng)層面

第五部分：產(chǎn)品開發(fā)：硬件層面

第六部分：產(chǎn)品開發(fā)：軟件層面

第七部分：生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢

第八部分：支持過程

第九部分：以汽車安全完整性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分析

第十部分：ISO 26262的指南

第十一部分：ISO 26262對(duì)半導(dǎo)體應(yīng)用的指南

第十二部分：ISO 26262對(duì)摩托車的適應(yīng)性

ISO 26262：2018國際標(biāo)準(zhǔn)的架構(gòu)如圖1所示：

圖1 ISO 26262總體架構(gòu)圖

在本次推文中，針對(duì)ISO 26262：2018國際標(biāo)準(zhǔn)的第一部分到第五部分做簡(jiǎn)要的介紹。

Part 1

術(shù)語

在Part1給出了185個(gè)術(shù)語的解釋，比2011版的增加了43個(gè)術(shù)語，并對(duì)相關(guān)術(shù)語的解釋更加準(zhǔn)確、清晰和易懂，由于技術(shù)的發(fā)展，又增加了一些新的術(shù)語的解釋。并給出了關(guān)于縮寫的解釋107個(gè)，比2011版的增加了56個(gè)，使得2018版更具有完整性。

Part2

功能安全管理

Part2對(duì)功能安全管理總署、功能安全的審核流程和要求做了詳細(xì)的介紹，確保參與安全生命周期建立并保持一種安全文化，以支持和鼓勵(lì)有效的成就，促進(jìn)與其他相關(guān)學(xué)科對(duì)功能安全的有效溝通；為功能安全制定并維護(hù)適當(dāng)?shù)慕M織規(guī)則和流程；制定和維護(hù)流程，以確保已識(shí)別的安全異常得到充分解決；建立并維護(hù)能力管理體系，以確保相關(guān)人員與其職責(zé)相稱；建立和維護(hù)質(zhì)量管理體系，以支持功能安全。

在功能安全管理中，包括依賴項(xiàng)目的安全管理和生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢的安全管理。對(duì)于依賴項(xiàng)目的安全管理要確保參與概念階段或開發(fā)階段的組織在系統(tǒng)、硬件或軟件層面要求定義和分配有關(guān)安全活動(dòng)的角色和責(zé)任；對(duì)相關(guān)項(xiàng)進(jìn)行影響分析，以識(shí)別相關(guān)項(xiàng)是新相關(guān)項(xiàng)、是對(duì)現(xiàn)有相關(guān)項(xiàng)修改、還是修改環(huán)境的現(xiàn)有相關(guān)項(xiàng)。在一個(gè)或多個(gè)修改需要的情況下，分析修改對(duì)功能安全的影響；對(duì)元素級(jí)別進(jìn)行影響分析，元素若被重新使用，需要評(píng)估重新使用的元素是否能夠遵守分配給該元素的安全要求，同時(shí)需要考慮元素被重新使用的操作環(huán)境；對(duì)于量身定制的安全活動(dòng)，要提供相應(yīng)的理由，并審查所提供的理由；需要規(guī)劃安全活動(dòng)；協(xié)調(diào)和跟蹤安全活動(dòng)的進(jìn)展以符合安全計(jì)劃；需要計(jì)劃分布式開發(fā)；確保安全活動(dòng)在整個(gè)安全生命周期中能夠正確進(jìn)行；可以創(chuàng)建一個(gè)可理解的安全案例，為實(shí)現(xiàn)功能安全提供論據(jù)；判斷設(shè)計(jì)是否實(shí)現(xiàn)了功能安全（即功能安全評(píng)估），或判斷對(duì)實(shí)現(xiàn)某一要素是否實(shí)現(xiàn)了功能安全或判斷工作產(chǎn)品的功能安全；在開發(fā)結(jié)束時(shí)，根據(jù)支持對(duì)所實(shí)現(xiàn)的功能安全提供證據(jù)，決定相關(guān)項(xiàng)或元素是否可以發(fā)布用于生產(chǎn)。

對(duì)于生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢的安全管理的目標(biāo)是需要定義負(fù)責(zé)實(shí)現(xiàn)和維護(hù)生產(chǎn)、運(yùn)營、服務(wù)和報(bào)廢的功能安全的組織和人員的責(zé)任。

圖2說明了與安全生命周期相關(guān)的管理活動(dòng)。

圖2 與安全生命周期有關(guān)的管理活動(dòng)

在圖2中，ISO 26262：2018各部分的具體條款如下所示：“m-n”，其中“m”表示該部分的編號(hào)，“n”表示該條款的編號(hào)，例如“3-6”表示ISO 26262-3：2018第6條。

Part3

概念階段

在概念階段給出了相關(guān)項(xiàng)的定義、危害分析和風(fēng)險(xiǎn)評(píng)估，以及功能安全概念。

在相關(guān)項(xiàng)的定義中，定義和描述相關(guān)項(xiàng)、相關(guān)項(xiàng)的功能、相關(guān)項(xiàng)對(duì)駕駛員的依賴程度以及與駕駛員、環(huán)境和車輛級(jí)別的其他相關(guān)項(xiàng)的交互；支持對(duì)相關(guān)項(xiàng)的準(zhǔn)確理解，以便執(zhí)行后續(xù)階段的活動(dòng)能夠執(zhí)行。

在危害分析和風(fēng)險(xiǎn)評(píng)估時(shí)，能夠識(shí)別并分類由相關(guān)項(xiàng)故障行為引起的危險(xiǎn)事件；制定與預(yù)防或緩解危害事件相關(guān)的安全目標(biāo)及其相應(yīng)的ASIL等級(jí)，以避免不合理的風(fēng)險(xiǎn)。

對(duì)于危害分析和風(fēng)險(xiǎn)評(píng)估，可以用函數(shù)（F）描述，該函數(shù)有三個(gè)參數(shù)：危害事件的發(fā)生頻率（f）、可控性（C），即通過相關(guān)人員的及時(shí)反應(yīng)避免特定危害或損害的能力，以及由此造成的危害或損害的潛在嚴(yán)重程度（S）：

發(fā)生頻率f又受到兩個(gè)因素的影響，處于危害事件可能發(fā)生的頻率和持續(xù)時(shí)間。在ISO 26262中，被簡(jiǎn)化為可能發(fā)生危害事件的概率（暴露，E）。另一個(gè)因素是相關(guān)項(xiàng)中故障的發(fā)生率，在危害分析和風(fēng)險(xiǎn)評(píng)估過程中不考慮這一因素。因此，在危害分析和風(fēng)險(xiǎn)評(píng)估中，E、S、C的分類會(huì)形成ASIL（automotive safety integrity level，汽車安全完整性等級(jí)）確定相關(guān)項(xiàng)的最低要求集，以控制或降低隨機(jī)硬件故障的概率，并避免系統(tǒng)故障。相關(guān)項(xiàng)的故障率并不能認(rèn)為是可以推理演繹的,因?yàn)榭赏ㄟ^實(shí)現(xiàn)所得出的安全要求來避免不合理的殘余風(fēng)險(xiǎn)。

危害分析和風(fēng)險(xiǎn)評(píng)估子階段包括三個(gè)步驟：

第一步：場(chǎng)景分析和危害識(shí)別：場(chǎng)景分析和危險(xiǎn)識(shí)別的目標(biāo)是識(shí)別可能導(dǎo)致危害事件的相關(guān)項(xiàng)的潛在非預(yù)期行為。場(chǎng)景分析和危害識(shí)別活動(dòng)需要對(duì)相關(guān)項(xiàng)、及其功能和邊界進(jìn)行清晰的定義。它是基于相關(guān)項(xiàng)的行為；因此，相關(guān)項(xiàng)的詳細(xì)設(shè)計(jì)并不一定需要知道。

第二步：危害事件的分類：危害分類方案包括確定相關(guān)項(xiàng)危害事件的嚴(yán)重程度、暴露概率和可控性。嚴(yán)重程度表示對(duì)特定駕駛情況下潛在危害的估計(jì)，暴露概率由相應(yīng)的情況決定，可控性衡量了駕駛員或其他道路交通參與者在所考慮到的運(yùn)行場(chǎng)景中避免所考慮到的事故的難易程度。對(duì)于每種危害，根據(jù)相關(guān)危害事件的數(shù)量，分類將產(chǎn)生一個(gè)或多個(gè)嚴(yán)重性、暴露概率和可控性的組合。

第三步：ASIL確定：確定所需的汽車安全完整性等級(jí)。

功能安全概念根據(jù)其安全目標(biāo)規(guī)定相關(guān)項(xiàng)的功能或降解功能的行為；根據(jù)其安全目標(biāo)，規(guī)定有關(guān)檢測(cè)，控制相關(guān)故障的約束條件；規(guī)定相關(guān)項(xiàng)級(jí)別的策略或措施，以獲得所需的故障容錯(cuò)，或通過相關(guān)項(xiàng)自身、駕駛員或外部措施充分減輕相關(guān)故障的影響；將功能安全要求分配給系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)或外部判定；驗(yàn)證功能安全概念并規(guī)定安全驗(yàn)證標(biāo)準(zhǔn)。

Part4

產(chǎn)品開發(fā)：系統(tǒng)層面

系統(tǒng)開發(fā)過程包括技術(shù)安全概念、硬件層面的產(chǎn)品開發(fā)、軟件層面的產(chǎn)品開發(fā)、系統(tǒng)與相關(guān)項(xiàng)的集成和測(cè)試、安全確認(rèn)等必要活動(dòng)，如圖3所示。在迭代過程中，開發(fā)了技術(shù)安全概念，并將技術(shù)安全需求和系統(tǒng)架構(gòu)設(shè)計(jì)結(jié)合起來。建立了系統(tǒng)體系結(jié)構(gòu)，將技術(shù)安全需求分配到系統(tǒng)的元素，如果適用，還會(huì)分配其他技術(shù)到系統(tǒng)上。此外，還細(xì)化了技術(shù)安全需求，增加了系統(tǒng)架構(gòu)產(chǎn)生的需求，包括軟硬件接口（HSI）。根據(jù)體系結(jié)構(gòu)的復(fù)雜性，可以迭代地導(dǎo)出子系統(tǒng)的需求。

開發(fā)完成后，對(duì)硬件和軟件元素進(jìn)行集成和測(cè)試，形成一個(gè)項(xiàng)目，然后將其集成到車輛中。一旦在車輛級(jí)別集成，就要進(jìn)行安全確認(rèn)，以提供與安全目標(biāo)相關(guān)的功能安全證據(jù)。

圖3安全的相關(guān)項(xiàng)開發(fā)的參考階段模型

在技術(shù)安全概念子階段，需要規(guī)定有關(guān)系統(tǒng)元素及其實(shí)現(xiàn)所需接口的功能、依賴性、約束和屬性的技術(shù)安全要求；規(guī)定系統(tǒng)元素和接口中實(shí)施的安全機(jī)制的技術(shù)安全要求；在生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間系統(tǒng)及其元素的功能安全要求；驗(yàn)證技術(shù)安全需求是否適合在系統(tǒng)級(jí)別實(shí)現(xiàn)功能安全，并與功能安全需求一致。開發(fā)滿足安全需求且與非安全相關(guān)需求不沖突的系統(tǒng)架構(gòu)設(shè)計(jì)和技術(shù)安全概念；分析系統(tǒng)架構(gòu)設(shè)計(jì)，以防止故障，并得出為生產(chǎn)和服務(wù)所需的與安全相關(guān)的專用屬性；以驗(yàn)證系統(tǒng)架構(gòu)設(shè)計(jì)和技術(shù)安全概念是否滿足其各自的ASIL等級(jí)的安全需求。

在系統(tǒng)與相關(guān)項(xiàng)的集成和測(cè)試階段，需要定義集成步驟并集成系統(tǒng)元素，直到系統(tǒng)完全集成；驗(yàn)證由系統(tǒng)架構(gòu)級(jí)別的安全分析得出定義的安全措施是否能夠進(jìn)行恰當(dāng)?shù)膶?shí)現(xiàn)；根據(jù)系統(tǒng)架構(gòu)設(shè)計(jì)，提供集成系統(tǒng)元素滿足其安全要求的證據(jù)。

在安全確認(rèn)階段，需要提供證據(jù)，證明該相關(guān)項(xiàng)在集成到相應(yīng)車輛中是實(shí)現(xiàn)了安全目標(biāo)；并提供證據(jù)證明功能安全概念和技術(shù)安全概念適用于實(shí)現(xiàn)相關(guān)項(xiàng)的功能安全。

ISO 26262-4適用于系統(tǒng)的開發(fā)，ISO 26262-5和ISO 26262-6分別描述了硬件和軟件的開發(fā)要求。圖4是一個(gè)具有多級(jí)集成的系統(tǒng)示例，說明了ISO 26262-4、ISO 26262-5和ISO 26262-6標(biāo)準(zhǔn)的應(yīng)用。

圖4 系統(tǒng)級(jí)產(chǎn)品開發(fā)的一個(gè)示例

Part5

產(chǎn)品開發(fā)：硬件層面

硬件級(jí)產(chǎn)品開發(fā)過程步驟，包括根據(jù)ISO 2626-4的技術(shù)安全概念得到在硬件開發(fā)層面產(chǎn)品開發(fā)的一般問題，然后獲得硬件安全需求規(guī)范，緊接著就要硬件設(shè)計(jì)、硬件架構(gòu)度量的評(píng)估、隨機(jī)硬件故障導(dǎo)致違背安全目標(biāo)的評(píng)估，以及最后的硬件集成與驗(yàn)證。開發(fā)過程如圖5所示。

圖5 硬件層產(chǎn)品開發(fā)的參考階段模型

硬件層面的產(chǎn)品開發(fā)所需的活動(dòng)和過程包括：技術(shù)安全概念的硬件實(shí)現(xiàn)；潛在硬件故障及其影響的分析；和與軟件開發(fā)的協(xié)調(diào)。

在硬件安全需求規(guī)范子階段規(guī)定硬件安全要求。它們來源于技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范；完善ISO 26262-4:2018，6.4.7中提出的軟硬件接口（HSI）規(guī)范；以及驗(yàn)證硬件安全要求和軟硬件接口（HSI）規(guī)范是否符合技術(shù)安全概念和系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范。

在硬件設(shè)計(jì)階段，創(chuàng)建硬件設(shè)計(jì)，支持以安全為導(dǎo)向的分析；以安全為導(dǎo)向的分析結(jié)果；以滿足硬件安全要求；軟硬件接口（HSI）規(guī)范；符合系統(tǒng)架構(gòu)設(shè)計(jì)規(guī)范；及滿足所需的硬件設(shè)計(jì)屬性。

在該階段規(guī)定生產(chǎn)、運(yùn)行、服務(wù)和報(bào)廢期間硬件的功能安全要求并提供相關(guān)信息。

硬件開發(fā)中及完成后，需要驗(yàn)證硬件設(shè)計(jì)能夠滿足硬件安全要求和軟硬件接口（HSI）規(guī)范；用于開發(fā)集成在已開發(fā)硬件中的每個(gè)SEooC假設(shè)的有效性；安全相關(guān)特殊屬性在生產(chǎn)和服務(wù)過程中實(shí)現(xiàn)的功能安全的適用性。

在硬件架構(gòu)度量的評(píng)估子階段，基于硬件體系結(jié)構(gòu)度量。提供關(guān)于檢測(cè)和控制安全相關(guān)隨機(jī)硬件故障的相關(guān)項(xiàng)的硬件體系結(jié)構(gòu)設(shè)計(jì)適用性的證據(jù)。

在隨機(jī)硬件故障導(dǎo)致違背安全目標(biāo)的評(píng)估子階段，能夠提供證據(jù)證明由于相關(guān)項(xiàng)的隨機(jī)硬件故障導(dǎo)致的違反安全目標(biāo)的殘余風(fēng)險(xiǎn)足夠低。

在硬件集成與驗(yàn)證子階段，確保所開發(fā)的硬件符合硬件安全需求。

本文對(duì)ISO 26262：2018國際標(biāo)準(zhǔn)的第一部分到第五部分的內(nèi)容做了一個(gè)簡(jiǎn)單的介紹，我們將在下一次推文中對(duì)其的后半部分做介紹。

審核編輯：湯梓紅