ISO26262對軟體開發的規定
04-04
我們經常談ISO26262,經常說到這個系統的功能安全要求是ASILD,對硬體隨機失效率FIT值不能超過100等等,那不同安全等級要求的產品,對軟體開發過程的工作內容又有哪些要求呢?這些都在ISO26262的第六部分中有詳細的定義,標準中共計16張表,囊括了軟體開發過程中需求、架構、實現、測試所有環節的規定。
針對不同安全等級的產品,在ISO中對軟體開發過程有不同的規定,下面我從個人從業經歷出發,談一談容易被忽略的軟體工作內容。
Table1:一定要有一份建模或代碼規範,在《simulink建模tips》和《淺議怎樣提高汽車電子嵌入式軟體的開發質量》談到了部分的內容。
如果使用C作為開發語言,在26262中明確推薦MISRA C作為代碼規範。為什麼1b中要提到Usage of language subset這個概念呢?以C為例,標準C其實是一種非常靈活的編程語言,但是用於嵌入式系統開發這個場合,其在不同的開發平台應用與不同的晶元的通用性是受限的,因此才會有MISRA C這個規則所定義的C語言這個子集在汽車電子領域大行其道。我們在26262的前身61508的第七部分也可以看到,對安全系統要求比較高的系統,C語言是強烈不被推薦使用的,但是受限並且使用了靜態分析工具的C語言子集是強烈被推薦使用的。
- Table2和Table3:主要是講架構開發,對高安全等級(ASIL C/D)的產品,需要使用到Semi-formal notation,言下之意,不能使用自然語言描述了,至少需要用MS Office畫的流程圖,但是這種方式配置管理和版本管理很難搞,最好還是使用標準的UML工具。
- Table4:對於SafetyAnalysis之後功能安全要求比較高的模塊,必須要有產品從軟體上相應的安全手段來與之對應。這一塊是最難做的,也是企業常常忽略的,在做Audit的過程中往往也是最容易被Chanllenge的。
......
瀏覽完整文章請登錄http://www.ind4.net
推薦閱讀:
※做汽車電控的功能安全,需要對ISO26262理解到什麼程度?幹這一行前景怎麼樣?
※AUTOSAR與功能安全的關係(二)
※ISO26262 與 autosar 的關係?
※什麼是ISO 26262的功能安全
※功能安全中的軟體隔離(一)