第十期
汽车功能安全标准ISO26262:2018的
关键变化(上)
郑威
用于开发安全关键系统的汽车功能安全标准ISO26262于2011年正式发布,已成功应用于汽车供应链的各个公司,并成为安全相关系统及其部件开发的框架。ISO26262:2018也就是第二版,从第一版中获得经验,将适用范围扩大至其他车辆类别,包括半导体指南和故障操作系统指南。本文介绍了其中的关键变化和更新,以及其背后的动因。
01 简介
ISO26262:2011的制定和发布是汽车行业功能安全向前迈出的一大步。在2011年之前,安全相关的汽车系统是根据IEC61508开发的。由于这是一个通用的安全标准,这要求汽车开发人员做出重大妥协。汽车系统安全生命周期的特殊性以及在方法和技术方面的不同最新技术使得IEC61508的应用具有挑战性。因此,汽车工业决定为安全关键系统的开发制定一个特定领域的标准ISO26262:2011,它引入了一种量身定制的危险分析和风险评估技术,以及包括生产和退役在内的汽车安全生命周期。
02 第二版的动因
标准第二版更新背后的主要动因是范围的扩展。在第一版中,范围仅限于3.5t以下的乘用车。第二版包括了摩托车、卡车和公共汽车。
其次,需要进一步解释和指导的领域是半导体的发展。由于ISO26262:2011,第5部分一般涉及硬件开发,因此很难将此部分应用于半导体开发。
第三,随着自动驾驶和自动驾驶功能的发展,故障操作系统成为必然趋势。由于第一版主要是为考虑故障安全系统而创建的,因此必须调查该标准的概念是否可用于故障操作应用。
最后,由于信息安全和预期功能的安全(SOTIF)越来越重要,因此增加了他们与功能安全的接口。
03 变更说明
1
影响所有部分的一般变更
首先,范围有了显著的扩展。
新范围:ISO26262适用于安全相关系统,包括一个或多个电气和/或电子(E/E)系统,并安装在系列生产道路车辆中,不包括轻便摩托车。ISO26262没有针对特殊车辆中的独特E/E系统,例如为残疾驾驶人设计的E/E系统。
注:存在其他专用的特定应用安全标准,可补充ISO 26262或相反。
旧范围:ISO26262旨在应用于安全相关系统,该系统包括一个或多个电气和/或电子(E/E)系统,并安装在最大车辆总质量高达3500kg的串联生产乘用车中。ISO26262未涉及特殊用途车辆(如为残疾驾驶员设计的车辆)中的独特E/E系统。
其次,新增了针对摩托车的要求,同时卡车和公共汽车的具体要求已完全融入标准中。
最后,另一个重要的澄清是更好地阐述每一条款中的目标部分。这些支持第二部分(功能安全管理)中安全评估的新目标定义和重点。
此外,为了消除标准中的冗余,第三部分(概念阶段)、第四部分(系统级产品开发)中的“启动安全生命周期[…]”条款,五(硬件级的产品开发)和六(软件级的产品开发)已被删除并合并到第二部分(功能安全管理)中。原因是这些条款主要是为了进一步完善安全计划。
2
ISO26262第一部分(词汇)的变更
ISO26262第一部分“词汇表”中的定义有更新和扩展:
由于不同技术的应用,某些定义需要更新(例如故障操作系统的容错时间间隔(FTTI)的定义)。
由于范围的扩大(如卡车和公共汽车)或由于新的应用领域(如故障操作)而新引入了某些定义。
3
ISO26262第二部分(功能安全管理)的变更
首先,第三部分中的“影响分析”已移至第二部分(功能安全管理)。原因是影响分析工作成果是创建安全计划的关键输入之一。
其次,为了允许更大的灵活性,对裁剪选项列表进行了扩展:可以同时执行阶段,并且可以省略不适用的阶段。
第三,有关确认措施的要求也得到了重大修改。首先,他们的重点已经改变了,他们更加强调内容及其充分性,以论证功能安全性,从而获得一种预先评估。其次,为了纠正第一版中的缺陷,质量管理还需要一些确认措施(例如“危害分析和风险评估”)。第三,根据实践经验,第二版将允许独立性较低的助理支持确认措施(以补偿I3评估员缺乏具体知识)。
第四,另一个主要改进是功能安全评估的范围已经从需求转移到目标。
第五,一个重要的结构改进是,为了更好地理解和强调它们独立于开发领域(系统、硬件或软件)应用,第四部分中的生产和功能安全评估条款的发布已转移到第二部分(功能安全管理)。
第六,第二部分还介绍了安全异常的管理,总结了安全异常过程、职责和必要的沟通。
第七,第二部分(功能安全管理)有两个新附件扩展。附件C对确认措施作了详细说明,现予以扩展和调整,以适应新的确认措施范围。附件F就与信息安全的互动和接口提供了指导。信息安全仍然不在范围之内,但(主要是)第二部分(功能安全管理)就需要我们注意的两个领域之间的接口提供了信息指导。我们的目标肯定是尽可能地限制内容,但要在界面上提供足够的指导。这包括安全和安保管理;协调现场监测(事件报告、跟踪和解决);考虑“危险分析和风险评估”和“威胁分析”之间的接口(安全目标的沟通、危险信息);协调安全和安保相关安全和安保分析的设计和协调措施。
4
ISO26262第三部分(概念阶段)的变更
ISO26262第三部分“概念阶段”的主要内容是对“危险分析和风险评估”(HARA)和功能安全概念的描述,因此有必要在此处纳入与卡车和公共汽车相关的变更。尤其是危险分析和风险评估,需要反映这些车辆类别的具体情况。基本概念和规范部分没有改变,但附件B(载有关于严重性、暴露和可控性评级的资料性例子)相应地得到了扩展。
除了卡车和公共汽车的扩展外,危险分析和风险评估也得到了进一步的改进。一个重要的变化是,如果E1是几种不太可能的情况组合的结果,那么E1/S3/C3可以导致QM。关于功能安全概念的条款只进行了微小的变更、更新和澄清。
第三部分(概念阶段)的关键内容之一肯定是附件B,对HARA提供指导。这里主要的修改是简化了表格,显著减少了示例的数量。
5
ISO26262第四部分(系统级产品开发)的变更
ISO26262第四部分“系统级产品开发”中的一些条款(启动安全生命周期、功能安全评估、发布供生产)已移至第二部分,以提高清晰度和可理解性。
与第一版相比的一个重大变化是,第六条(技术安全要求规范)和第七条(系统设计)合并为一个条款,以消除冗余并反映当前的工业实践。定义系统级技术安全需求、设计系统架构和将定义的需求分配给硬件、软件或两者的步骤是并行和迭代执行的。新合并的第六条更好地反映了这一点。
此外,对系统集成和测试这一条款进行了改进。包含测试方法和导出测试用例的方法的表格在必要时稍作扩展和合并,以提高本条的可理解性。此外,该条款已重命名为系统和项集成和测试,以反映它可以也需要在项级别应用。
6
ISO26262第五部分(硬件级产品开发)的变更
ISO26262第五部分“硬件水平上的产品开发”没有面临任何根本性的变化,修改旨在提高可理解性和清晰度。例如,在第八条中,现在更准确地描述了如何使用现场数据来确定基本故障率。
第九条(随机硬件故障导致的安全目标违反评估)中增加了一个非常重要的澄清,该条规定,对于分布式系统,随机硬件故障(PMHF)目标值(100/100/10FIT)的概率度量可分别用于分布式系统的每个子系统。这反映了最初的意图。除此之外,一个注释反映了常见的工业实践,即如果超过PMHF目标值,则可以使用对剩余风险的定性评估作为论据。附件F给出了一个如何合理执行的例子。
7
ISO26262第六部分(软件级产品开发)的变更
ISO26262第六部分“软件级产品开发”的主要变化旨在提高可理解性和清晰度,只添加了很少的新内容。
在第七条“解决软件架构设计”中,表4和表5被略微扩展,其措辞有所改进。
与第一版相比,一个重大的改进是,在单元和一体化层面上对核查活动的看法更加务实和全面。从这个意义上说,在单元层次上,静态验证从第八条(软件单元设计和实现)移到第九条(软件单元验证),以反映这两个方法域紧密地相互作用和互补。这允许应用智能混合验证概念,这些概念已经被不同的公司使用。因此,单元验证方法集成到一个表中。
同样的原则也适用于软件集成和测试(第十条)。在现代软件开发环境中,集成验证的某些方面由静态验证方法处理(例如,接口一致性可以通过工具检查)。因此,这些方法已包含在表12中,以允许混合验证概念。为了提高可理解性,第十一条改为“嵌入式软件测试”。此外,第十条(软件集成和验证)中对方法的隐式引用已被专用方法表所取代。
两个附件得到了显著的扩展和改进:基于模型开发的附件B和软件安全分析的附件E。
转载自【TUV北德】公众号
全部评论 (0)