ISO 26262 是汽車業使用(yòng)的(de)功能性安全標準,其標題為「道路車輛-功能性安全」。
遵循此一標準對於汽車產品開發非常重要。OEM 代工、其供應商、汽車零件開發商都必須遵循此一標準。
在此,我們剖析 ISO 26262 以及 ASIL(汽車安全完整性等級),和(hé)開發團隊的(de)遵循標準指南(nán)。
ISO 26262 功能性安全綜覽
ISO 26262 是以風險為基礎的(de)安全標準,來自於 IEC 61508。適用(yòng)於車輛生產的(de)電機及/或電子系統,其中包括駕駛輔助、動力和(hé)車輛動態控制系統。
ISO 26262 涵蓋整個開發流程的(de)功能性安全層面:
需求規範 (Requirements specification) |
|
設計 (Design) |
|
執行 (Implementation) |
|
整合 (Integration) |
|
驗證 (Verification) |
|
確認 (Validation) |
|
認可(kě) (Configuration) |
ISO 26262 的(de)重要性
ISO 26262 旨在整個汽車設備與系統的(de)使用(yòng)壽命期間,保證安全。
每個階段都有特定步驟的(de)要求,這保證了(le)從最早的(de)概念到車輛廢用(yòng)為止的(de)安全。
遵循此一標準,可(kě)避免或控制系統性故障,您也(yě)會察覺或控制隨機的(de)硬體故障(或您可(kě)以減少故障的(de)影(yǐng)響)。
ISO 26262 架構
ISO 26262 由十個章(zhāng)節組成:
Part 1: 詞彙 (Vocabulary) |
|
Part 2: 功能性安全管理(lǐ) (Management of functional safety) |
|
Part 3: 概念階段 (Concept Phase) |
|
Part 4: 系統層級的(de)產品開發 (Product development at the system level) |
|
Part 5: 硬體層級的(de)產品開發 (Product development at the hardware level) |
|
Part 6: 軟體層級的(de)產品開發 (Product development at the software level) |
|
Part 7: 生產與操作 (Production and operation) |
|
Part 8: 支援流程 (Supporting processes) |
|
Part 9: ASIL 導向與安全導向分(fēn)析 (ASIL-oriented and safety-oriented analysis) |
|
Part 10: ISO 26262 方針 (Guideline on ISO 26262) |
ISO 26262 第六部分(fēn)(Part 6) 對軟體開發商而言是最重要的(de),其內容詳述開發商必須遵守以確保每一個元件安全的(de)步驟。
Part 6 包括幾個表格,定義為了(le)達到對此標準的(de)遵循而必須考慮的(de)方法。
ISO 26262 工具資格
任何使用(yòng)在車輛開發上的(de)工具必須為合格工具。ISO 26262 第八部分(fēn) (Part 8) 提供工具資格指南(nán)。
該部分(fēn)規定了(le)以下(xià)項目:
軟體工具合格計畫。 |
|
軟體工具文件存檔計畫。 |
|
軟體工具分(fēn)級計畫。 |
|
軟體工具合格報告。 |
某些工具比其他(tā)工具更容易合格—附帶合規性證書,讓合格流程更為簡單。
什(shén)麼是 ASIL(汽車安全完整性等級)?
ASIL — 汽車安全完整性等級— 是 ISO 26262 的(de)關鍵要素。ASIL 用(yòng)於測量特定系統元件的(de)風險。系統愈複雜,系統性故障和(hé)隨機硬體故障的(de)風險就愈高(gāo)。
ASIL 值從 A 到 D 分(fēn)為四種。ASIL A 風險等級最低,ASIL D 最高(gāo),所以 ASIL D 的(de)遵循要求會比 ASIL A 更嚴格。
在判斷 ASIL 時,還有第五個選擇:QM(品質管理(lǐ))。這用(yòng)於註解該項元件無須安全規定。(但能夠遵循以改善產品品質通(tōng)常是件好事。)
如何判斷 ASIL
ASIL 由三個因素決定:嚴重性、曝險可(kě)能性、可(kě)控制性。
嚴重性
嚴重性測量一項系統故障的(de)傷害有多(duō)嚴重,傷害包括人(rén)身與財產。
嚴重性分(fēn)為四個等級:
S0: 沒有傷害。 |
|
S1: 輕至中度傷害。 |
|
S2: 重度至有生命危險(可(kě)能存活)傷害。 |
|
S3: 有生命危險(不一定存活)至緻死傷害。 |
曝險可(kě)能性
曝險是特定故障會導緻安全危險的(de)狀況可(kě)能性。
每一種狀況的(de)可(kě)能性按五分(fēn)制排行:
E0: 非常不可(kě)能。 |
|
E1: 可(kě)能性極低(隻在很罕見的(de)操作狀況下(xià)會發生傷害)。 |
|
E2: 可(kě)能性低。 |
|
E3: 可(kě)能性中。 |
|
E4: 可(kě)能性高(gāo)(大(dà)部分(fēn)操作狀況下(xià)都會出現傷害)。 |
可(kě)控制性
可(kě)控制性是測量發生危險狀況時可(kě)避免傷害的(de)可(kě)能性。此一狀況可(kě)能是因為駕駛人(rén)的(de)行動或外部因素所導緻。
危險狀況的(de)可(kě)控制性以四分(fēn)制排行:
C0: 一般而言可(kě)以控制。 |
|
C1: 可(kě)以簡單控制。 |
|
C2: 通(tōng)常可(kě)以控制(大(dà)部分(fēn)駕駛人(rén)可(kě)採取行動避免傷害)。 |
|
C3: 難以控制或無法控制。 |
判斷 ASIL
一旦判斷了(le)嚴重性、可(kě)能性、可(kě)控制性,就可(kě)以決定 ASIL。第三部分(fēn)表格四(ISO 26262-3)對此提供了(le)指引。
根據嚴重性、曝險、可(kě)控制性,使用(yòng)這份表格判斷 ASIL。
ISO 26262 軟體合規性指南(nán)
無論是開發傳統汽車元件(如積體電路)或虛擬元件(如車輛虛擬機),遵循 ISO 26262 都十分(fēn)重要,務必在整個軟體開發生命週期都遵循此一標準。
但對開發團隊而言,遵循可(kě)能有困難。系統與程式代碼庫日益複雜,造成軟體的(de)驗證和(hé)批準有所困難。
以下(xià)說明(míng)如何將此變得(de)簡單。
建立需求規範可(kě)追溯性
滿足合規性並證明(míng)已經達成,是很無聊瑣碎的(de)過程。您必須將所有規範做(zuò)成文件並能追溯到其他(tā)工具上,包括測試、問題及程式源碼等。
建立需求規範可(kě)追溯性會讓驗證流程變得(de)簡單,尤其是配合 Helix ALM 這樣的(de)工具使用(yòng),可(kě)以幫助您管理(lǐ)開發過程中的(de)風險。
將所有文檔儲存在 Perforce 所提供的(de)版本控制器:Helix Core 之中,安全管理(lǐ)所有數位資產的(de)修正歷程。 您會得(de)到精細的(de)存取控制、高(gāo)可(kě)見度的(de)稽核日誌、強大(dà)的(de)密碼保全及安全的(de)複製。
如何透過 Helix 輕鬆符合 ISO 26262 規範?
在這篇白皮書中,您會瞭解到:
汽車開發者的(de)功能性安全挑戰。 |
|
加速 符合 ISO 26262 規範的(de) 7 個步驟。 |
|
Helix ALM 對符合 IS26262 標準所帶來的(de)幫助。 |