作者 |郭建 上海控安可信軟件創新研究院特聘專家

版塊 |

鑒源論壇 · 觀模

摘要：安全在汽車研發中是關鍵要素之一，輔助駕駛、車輛的動態控制等功能的研發和集成都需要加強安全系統研發，同時，需要為滿足所有預期的安全目標提供證據。隨著系統復雜性的提高，軟件和機電設備的應用，來自系統失效和隨機硬件失效的風險也日益增加。ISO 26262標準使得人們對安全相關功能有一個更好的理解，并盡可能明確地對它們進行解釋，同時為避免這些風險提供了可行性的要求和流程。

我們將通過2次推文介紹ISO 26262：2018的國際標準。

ISO 26262是從電子、電氣及可編程器件功能安全基本標準IEC 61508派生出來的，主要定位在汽車行業中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件，旨在提高汽車電子、電氣產品功能安全的國際標準。

ISO 26262從2005年11月起正式開始制定，經歷了大約6年左右的時間，已于2011年11月正式頒布，成為國際標準。中國也于2017年頒布了相應的標準。在2018年，新的ISO 26262：2018國際標準頒布，增加了半導體和摩托車的規范標準。

ISO 26262為汽車安全提供了一個生命周期（管理、開發、生產、經營、服務、報廢）理念，并在這些生命周期階段中提供必要的支持。該標準涵蓋功能性安全方面的整體開發過程（包括需求規劃、設計、實施、集成、驗證、確認和配置）。

ISO 26262：2018國際標準共分為12部分，它們是：

第一部分：術語

第二部分：功能安全管理

第三部分：概念階段

第四部分：產品開發：系統層面

第五部分：產品開發：硬件層面

第六部分：產品開發：軟件層面

第七部分：生產、運營、服務和報廢

第八部分：支持過程

第九部分：以汽車安全完整性等級為導向和以安全為導向的分析

第十部分：ISO 26262的指南

第十一部分：ISO 26262對半導體應用的指南

第十二部分：ISO 26262對摩托車的適應性

ISO 26262：2018國際標準的架構如圖1所示：

圖1 ISO 26262總體架構圖

在本次推文中，針對ISO 26262：2018國際標準的第一部分到第五部分做簡要的介紹。

Part 1

術語

在Part1給出了185個術語的解釋，比2011版的增加了43個術語，并對相關術語的解釋更加準確、清晰和易懂，由于技術的發展，又增加了一些新的術語的解釋。并給出了關于縮寫的解釋107個，比2011版的增加了56個，使得2018版更具有完整性。

Part2

功能安全管理

Part2對功能安全管理總署、功能安全的審核流程和要求做了詳細的介紹，確保參與安全生命周期建立并保持一種安全文化，以支持和鼓勵有效的成就，促進與其他相關學科對功能安全的有效溝通；為功能安全制定并維護適當的組織規則和流程；制定和維護流程，以確保已識別的安全異常得到充分解決；建立并維護能力管理體系，以確保相關人員與其職責相稱；建立和維護質量管理體系，以支持功能安全。

在功能安全管理中，包括依賴項目的安全管理和生產、運營、服務和報廢的安全管理。對于依賴項目的安全管理要確保參與概念階段或開發階段的組織在系統、硬件或軟件層面要求定義和分配有關安全活動的角色和責任；對相關項進行影響分析，以識別相關項是新相關項、是對現有相關項修改、還是修改環境的現有相關項。在一個或多個修改需要的情況下，分析修改對功能安全的影響；對元素級別進行影響分析，元素若被重新使用，需要評估重新使用的元素是否能夠遵守分配給該元素的安全要求，同時需要考慮元素被重新使用的操作環境；對于量身定制的安全活動，要提供相應的理由，并審查所提供的理由；需要規劃安全活動；協調和跟蹤安全活動的進展以符合安全計劃；需要計劃分布式開發；確保安全活動在整個安全生命周期中能夠正確進行；可以創建一個可理解的安全案例，為實現功能安全提供論據；判斷設計是否實現了功能安全（即功能安全評估），或判斷對實現某一要素是否實現了功能安全或判斷工作產品的功能安全；在開發結束時，根據支持對所實現的功能安全提供證據，決定相關項或元素是否可以發布用于生產。

對于生產、運營、服務和報廢的安全管理的目標是需要定義負責實現和維護生產、運營、服務和報廢的功能安全的組織和人員的責任。

圖2說明了與安全生命周期相關的管理活動。

圖2 與安全生命周期有關的管理活動

在圖2中，ISO 26262：2018各部分的具體條款如下所示：“m-n”，其中“m”表示該部分的編號，“n”表示該條款的編號，例如“3-6”表示ISO 26262-3：2018第6條。

Part3

概念階段

在概念階段給出了相關項的定義、危害分析和風險評估，以及功能安全概念。

在相關項的定義中，定義和描述相關項、相關項的功能、相關項對駕駛員的依賴程度以及與駕駛員、環境和車輛級別的其他相關項的交互；支持對相關項的準確理解，以便執行后續階段的活動能夠執行。

在危害分析和風險評估時，能夠識別并分類由相關項故障行為引起的危險事件；制定與預防或緩解危害事件相關的安全目標及其相應的ASIL等級，以避免不合理的風險。

對于危害分析和風險評估，可以用函數（F）描述，該函數有三個參數：危害事件的發生頻率（f）、可控性（C），即通過相關人員的及時反應避免特定危害或損害的能力，以及由此造成的危害或損害的潛在嚴重程度（S）：

發生頻率f又受到兩個因素的影響，處于危害事件可能發生的頻率和持續時間。在ISO 26262中，被簡化為可能發生危害事件的概率（暴露，E）。另一個因素是相關項中故障的發生率，在危害分析和風險評估過程中不考慮這一因素。因此，在危害分析和風險評估中，E、S、C的分類會形成ASIL（automotive safety integrity level，汽車安全完整性等級）確定相關項的最低要求集，以控制或降低隨機硬件故障的概率，并避免系統故障。相關項的故障率并不能認為是可以推理演繹的,因為可通過實現所得出的安全要求來避免不合理的殘余風險。

危害分析和風險評估子階段包括三個步驟：

第一步：場景分析和危害識別：場景分析和危險識別的目標是識別可能導致危害事件的相關項的潛在非預期行為。場景分析和危害識別活動需要對相關項、及其功能和邊界進行清晰的定義。它是基于相關項的行為；因此，相關項的詳細設計并不一定需要知道。

第二步：危害事件的分類：危害分類方案包括確定相關項危害事件的嚴重程度、暴露概率和可控性。嚴重程度表示對特定駕駛情況下潛在危害的估計，暴露概率由相應的情況決定，可控性衡量了駕駛員或其他道路交通參與者在所考慮到的運行場景中避免所考慮到的事故的難易程度。對于每種危害，根據相關危害事件的數量，分類將產生一個或多個嚴重性、暴露概率和可控性的組合。

第三步：ASIL確定：確定所需的汽車安全完整性等級。

功能安全概念根據其安全目標規定相關項的功能或降解功能的行為；根據其安全目標，規定有關檢測，控制相關故障的約束條件；規定相關項級別的策略或措施，以獲得所需的故障容錯，或通過相關項自身、駕駛員或外部措施充分減輕相關故障的影響；將功能安全要求分配給系統體系結構設計或外部判定；驗證功能安全概念并規定安全驗證標準。

Part4

產品開發：系統層面

系統開發過程包括技術安全概念、硬件層面的產品開發、軟件層面的產品開發、系統與相關項的集成和測試、安全確認等必要活動，如圖3所示。在迭代過程中，開發了技術安全概念，并將技術安全需求和系統架構設計結合起來。建立了系統體系結構，將技術安全需求分配到系統的元素，如果適用，還會分配其他技術到系統上。此外，還細化了技術安全需求，增加了系統架構產生的需求，包括軟硬件接口（HSI）。根據體系結構的復雜性，可以迭代地導出子系統的需求。

開發完成后，對硬件和軟件元素進行集成和測試，形成一個項目，然后將其集成到車輛中。一旦在車輛級別集成，就要進行安全確認，以提供與安全目標相關的功能安全證據。

圖3安全的相關項開發的參考階段模型

在技術安全概念子階段，需要規定有關系統元素及其實現所需接口的功能、依賴性、約束和屬性的技術安全要求；規定系統元素和接口中實施的安全機制的技術安全要求；在生產、運行、服務和報廢期間系統及其元素的功能安全要求；驗證技術安全需求是否適合在系統級別實現功能安全，并與功能安全需求一致。開發滿足安全需求且與非安全相關需求不沖突的系統架構設計和技術安全概念；分析系統架構設計，以防止故障，并得出為生產和服務所需的與安全相關的專用屬性；以驗證系統架構設計和技術安全概念是否滿足其各自的ASIL等級的安全需求。

在系統與相關項的集成和測試階段，需要定義集成步驟并集成系統元素，直到系統完全集成；驗證由系統架構級別的安全分析得出定義的安全措施是否能夠進行恰當的實現；根據系統架構設計，提供集成系統元素滿足其安全要求的證據。

在安全確認階段，需要提供證據，證明該相關項在集成到相應車輛中是實現了安全目標；并提供證據證明功能安全概念和技術安全概念適用于實現相關項的功能安全。

ISO 26262-4適用于系統的開發，ISO 26262-5和ISO 26262-6分別描述了硬件和軟件的開發要求。圖4是一個具有多級集成的系統示例，說明了ISO 26262-4、ISO 26262-5和ISO 26262-6標準的應用。

圖4 系統級產品開發的一個示例

Part5

產品開發：硬件層面

硬件級產品開發過程步驟，包括根據ISO 2626-4的技術安全概念得到在硬件開發層面產品開發的一般問題，然后獲得硬件安全需求規范，緊接著就要硬件設計、硬件架構度量的評估、隨機硬件故障導致違背安全目標的評估，以及最后的硬件集成與驗證。開發過程如圖5所示。

圖5 硬件層產品開發的參考階段模型

硬件層面的產品開發所需的活動和過程包括：技術安全概念的硬件實現；潛在硬件故障及其影響的分析；和與軟件開發的協調。

在硬件安全需求規范子階段規定硬件安全要求。它們來源于技術安全概念和系統架構設計規范；完善ISO 26262-4:2018，6.4.7中提出的軟硬件接口（HSI）規范；以及驗證硬件安全要求和軟硬件接口（HSI）規范是否符合技術安全概念和系統架構設計規范。

在硬件設計階段，創建硬件設計，支持以安全為導向的分析；以安全為導向的分析結果；以滿足硬件安全要求；軟硬件接口（HSI）規范；符合系統架構設計規范；及滿足所需的硬件設計屬性。

在該階段規定生產、運行、服務和報廢期間硬件的功能安全要求并提供相關信息。

硬件開發中及完成后，需要驗證硬件設計能夠滿足硬件安全要求和軟硬件接口（HSI）規范；用于開發集成在已開發硬件中的每個SEooC假設的有效性；安全相關特殊屬性在生產和服務過程中實現的功能安全的適用性。

在硬件架構度量的評估子階段，基于硬件體系結構度量。提供關于檢測和控制安全相關隨機硬件故障的相關項的硬件體系結構設計適用性的證據。

在隨機硬件故障導致違背安全目標的評估子階段，能夠提供證據證明由于相關項的隨機硬件故障導致的違反安全目標的殘余風險足夠低。

在硬件集成與驗證子階段，確保所開發的硬件符合硬件安全需求。

本文對ISO 26262：2018國際標準的第一部分到第五部分的內容做了一個簡單的介紹，我們將在下一次推文中對其的后半部分做介紹。

審核編輯：湯梓紅