每月26日:TÜV北德功能安全日
第十一期
汽车功能安全标准ISO26262:2018的
关键变化(下)
郑威
用于开发安全关键系统的汽车功能安全标准ISO26262于2011年正式发布,已成功应用于汽车供应链的各个公司,并成为安全相关系统及其部件开发的框架。ISO26262:2018也就是第二版,从第一版中获得经验,将适用范围扩大至其他车辆类别,包括半导体指南和故障操作系统指南。本文介绍了其中的关键变化和更新,以及其背后的动因。
3.变更说明(接上期)
3.8
ISO26262第7部分(生产、操作、服务和退役)的变更
ISO26262第7部分“生产、操作、服务和退役”已进行了轻微的结构调整,并对一些条款、注释和示例进行了重新措辞,以便更好地理解。
3.9
ISO26262第8部分(支持过程)的变更
由于ISO26262第8部分“支持过程”是支持过程的异构集合,因此分别对变更单独的字句进行了说明。首先,第6条、第7条、第8条、第10条和第14条(分别为安全要求的规范和管理、配置管理、变更管理、文件管理和已证实的使用论证)没有发生显著变化。
在第5条“分布式开发中的接口”中,关键的变化是对客户和供应商之间关于安全评估工作划分的更进一步的描述及详细介绍了有关交换安全要求的规定和反馈。
在第9条“验证”中,有一个有趣的新内容出现在小的编辑上:增加了一个建议,即测试用例应该由不同于测试用例作者的人进行审查。
第11条“对使用软件工具的信心”的规范性部分没有明显改变。但是作为一个主要的改进,该条款的通用部分现在包含了开发和使用工具的不同方面的详细信息描述。
为了加强对合格软件组件的要求,第12条“软件组件的合格性”引入了一些变更。首先,对合格软件组件的规范要求有了显著的扩展,现在包括了V型另一侧对组件的要求、配置说明、应用手册等,对组件的预期验证结果提出了具体要求。这些更改旨在确保即使软件组件不是按照ISO26262-6开发的,也可以安全地集成到安全相关软件中。
在第13条“硬件元件评估”中,介绍了一种新的方法和过程,重点介绍了三类硬件元件。基本原理基本保持不变(低、中、高复杂度),但分类标准更加清晰。
3.10
ISO26262第9部分的变更(ASIL导向和安全导向分析)
关于汽车安全完整性水平(ASIL)分解,ISO26262第9部分“面向ASIL和面向安全的分析”有一个重大变化:不再需要根据原始ASIL执行确认措施。这一变化消除了不必要的高要求,这是不合理的较低的ASIL组件,开发作为安全元素的上下文(SEooC)。
另一个主要的变化是对依赖失效分析的扩展定义。规范部分允许根据ASIL、系统架构等定制严谨性和详细程度。此外,附录C提供了一个依赖模型,包括7种可在任何抽象级别(即系统、硬件和软件)上使用的相关故障。7个相关故障原因是:
共享资源(例如:两个微控制器的公共时钟)
共享信息输入(例如:软件的全局变量)
环境影响(例如:机械冲击)
系统耦合(例如:两个冗余函数使用的相同算法)
相同类型的部件(例如:两个通道使用相同的传感器)
通信(例如:两个软件组件之间的数据交换)
意外影响(例如:信号间串扰)
这个模型可以支持在所有抽象级别上分析相关故障,并且可以很容易地为特定的应用程序定制。
3.11
ISO26262第10部分的变更(ISO26262指南)
由于ISO26262第10部分“ISO 26262指南(参考)”是关于ISO26262规范部分应用的参考指南,因此它得到了显著的扩展。本文仅强调第10部分最重要的新内容:
时间模型(包括FTTI的解释)已经得到扩展,主要是由解决故障操作系统的需求驱动的,特别是包含紧急操作的体系结构变体非常重要。
简化的PMHF计算方法(依赖于故障模式、诊断和影响分析FMEDA)而不是基于故障树分析(FTA)的计算更为详细,可以解决更典型的安全机制模式。
对容错(即故障操作)E/E系统给出了广泛的指导,解决了开发此类产品时需要特别注意的安全生命周期的各个方面。
3.12
ISO26262第11部分的变更(在半导体中的应用指南)
这部分是新增的。尽管ISO26262标准第5部分在硬件层面上进行了开发,但其对半导体产品的适用性有限。在那里采用的工艺和方法很难为半导体的发展量身定做。因此,ISO26262第11部分“ISO 26262在半导体中的应用指南(资料性)”作为一个资料性部分启动,为ISO26262在半导体技术方面的应用提供指导。
ISO 26262第11部分由两个条款和五个附件组成:
第4章:半导体元件及其分割
第5章:特定半导体技术和用例
附录A:给出了评估诊断覆盖率的数字故障模式示例
附录B:给出了相关失效分析的示例
附录C-E:提供了不同半导体产品类型的定量分析示例
第4章对第5部分(硬件层面的产品开发)中未涉及的半导体特定问题给出了指导。这包括IP的处理、这些组件的故障率计算、相关故障分析的具体指导、故障注入的不同应用以及生产的具体指导。另一方面,第5章阐述了不同类型半导体产品的指南:数字、模拟、混合信号组件、可编程逻辑器件、多核微控制器、传感器和传感器。如上文所述,附件列举了具体例子。
3.13
ISO26262第12部分的变更(摩托车用ISO26262的改编)
这部分也是新增的。ISO26262第12部分“摩托车用ISO26262的改编”的主要原因是摩托车的最新技术与乘用车有着显著的不同。因此,ISO26262的某些方面在应用于摩托车之前需要进行调整。请注意:第12部分仅适用于摩托车,不适用于轻便摩托车(<50 km/h最高速度,<50 cc排量)。
第12部分的主要内容是略有不同的“危害分析和风险评估”方法。其基本原理是,与乘用车相比,驾驶员的动态行为和侧重点有所不同。第12部分“危险分析和风险评估”的基本概念是在第一步确定MSIL(摩托车安全完整性等级,从a到D)。然后,该MSIL被转换为ASIL,其中每个MSIL被分配到低于一个级别的ASIL,例如:MSIL B被转换为ASIL A。此外,用户手册中规定的标准保护环境始终被假定为在使用中。第12部分还通过附录B和C中的示例对“危害分析和风险评估”提供了实际指导。
从过程的角度来看,一个主要的简化是对于第2部分(功能安全管理)的确认措施,要求的独立性水平不那么严格。由于摩托车行业的公司规模较小,最初的要求远远超出了最先进的水平。
转载自【TUV北德】公众号
全部评论 (0)