ISO 26262第二版解讀
來自專欄汽車電子設計
摘要:2011年,汽車電子功能安全ISO 26262:2011正式發布,該標準已經在汽車電子功能安全領域廣泛應用。ISO(國際標準組織)會階段性地對標準進行評估,為了能更好地適應不斷更新的技術需求,現對ISO 26262進行更新換版。其主要動機如下:
- 第一版ISO 26262經驗的積累
- 適用範圍向其他種類車輛的拓展
- 半導體層面功能安全的引入
- fail-operational系統的引入
1 引言
ISO26262.2011(1)的發展和頒布對於汽車電子行業是一個重大的進步。在ISO26262.2011發布之前,IEC61508作為電子和電氣部件行業相關標準,而對於汽車電子領域並沒有特定的標準。由於IEC61508是一個通用的標準,對於汽車電子有些方面不是特別適應。汽車電子的快速發展給IEC61508帶來了較大的挑戰,因此非常有必要針對汽車電子領域形成特定的標準,鑒於此,ISO 26262應運而生。在ISO26262第一版發布的5年後,ISO(國際標準組織)對其進行評估,基於第一版進行完善並形成新的版本。
2第二版更新的原因
對於ISO26262標準更新的動機主要來源於該標準應用過程中的經驗積累。在實際應用過程中,發現了許多可以完善的地方。隨著方法與技術的不斷改進,允許汽車生產商應用與第一版ISO26262不同甚至更加高效的過程方法。此外,語言組織與表達上仍有需要完善的空間。
適用範圍的拓展:在第一版中,適用範圍僅局限在重量不超過3.5t的乘用車。對於相近的交通車輛範圍的延伸是必要且合理的,因此,第二版中,將卡車、公共汽車、摩托車也涵蓋在內。
半導體層面的補充:ISO26262.2011第5部分對於硬體層面的要求更多是整體上的,很難顧及到半導體層面,因此需要針對半導體層面進一步增加相應說明。
對於自動駕駛功能來說,失效可操作系統是非常有必要的。在第一版ISO26262中,更多的注重失效安全系統,隨著智能網聯汽車的快速發展,第二版標準將同時注重失效可操作的系統(Fail-operational systems)。
失效可操作的系統(Fail-operational systems):在其重要或主要系統損壞時,仍可正常完成正常或最終的重要動作的
失效安全(Fail-safe)系統 :是指系統不運作時會處在安全狀態,不會造成人員傷亡的系統。
3 第二版ISO26262細節變動
3.1 標準各章節整體變化
如下圖所示為各部分標準,第二版標準新增part11半導體應用指南與part12 ISO 26262摩托車應用。
可以看出,針對摩托車增加了一個新的部分(Part 11),對於卡車與公共汽車的特殊要求穿插到現存的各章節中。此外,對於標準條款中的語言及措施,也做了更加準確的修改。
3.2 ISO26262第一部分(術語)的變動
ISO26262第一部分(術語)的變動主要來源於以下幾點:
a對相關術語更加準確、清晰、易懂的定義。
b由於不同技術的應用,需要對相關術語進行更新。
c由於新的適用對象及新的技術的引入,新的相關術語也需要隨之引入。
在第一版中,絕大多數相關術語得以保留。
3.3 ISO26262第二部分(功能安全管理)的變動
ISO26262第二部分(功能安全管理)的變動的依據主要來源於過去5年內該部分積累的經驗。
首先,原第3部分的「影響分析」轉移到第2部分(功能安全管理)。其變化原因主要是對於安全計劃影響分析是一項關鍵的技術輸入。
其次,認可措施也進行了重新調整。1、認可措施重心發生了改變,更加關注於與實際功能安全相關的內容;2、對於一些認可措施也要求QM級別3、根據之前的實踐經驗,對於低級別的獨立性程度,認可措施也可以由助理來完成。
另一個重大的改變是功能安全評估的範圍從需求轉為目標。
結構上的重大改變主要是產品的發布和功能安全評估的條款已經從第4部分轉移到第二部分,為了更好的理解和強調該部分的應用獨立於開發領域(系統、硬體或軟體)。一個關於安全異常管理的章節新增進來,該章節涵蓋安全異常、職責和必要的溝通。
最後,第二部分還增加了兩個附錄。附錄C詳細地描述了認可措施,並根據新的認可措施的範圍進行調整。附錄F給出了與網路安全交互與介面的指南。網路安全目前仍然並不在新版本的範圍內,但是第2部分針對網路安全介面給出了相應的指導。
3.4 ISO26262第3部分(概念階段)的變動
ISO26262第3部分的主要內容是對危害分析和風險評估的描述與功能安全概念。因此,對於第二版ISO26262,包含卡車及公共汽車的相關變化是非常必要的,特別是危害分析與風險評估需要反映這些車輛的特徵。對於危害分析與風險評估的基本概念及相關標準並沒有發生改變,但是附錄B(包括嚴重度、暴露概率及可控性)已經做出相應調整。
其中,一個重大的改變是:如果E1是幾種不可能的情況的結合,E1/S3/C3由原來的ASIL A級轉變為QM級。關於功能安全概念的相應條款變化不是特別大。對於危害分析與風險評估,附錄里收錄的案例明顯減少。其主要原因在於強調附錄里的案例僅僅是示例,並不能代表所有的情況,避免造成先入為主的印象。針對具體的場景在許多情況下,附錄收錄的案例並不是合適的。
3.5 ISO26262第4部分(產品開發:系統層面)的變動
如3.3所述,為了整個標準的連貫與清晰,第4部分中的部分內容已經轉移到第二部分,主要包括:(安全生命周期的啟動,功能安全評估及產品的發布)相比第一版,為了避免冗餘繁雜,一個重要的變化點是第6條(技術安全要求的定義)及第7條(系統設計)合併為一項條款。系統層面的技術安全要求、系統架構設計、需求分解等工作是平行迭代地推進開展,這一點在第6條中更好地體現。
3.6 ISO26262第5部分(產品開發:硬體層面)的變動
ISO26262第五部分(產品開發:硬體層面)並沒有發生較大的改變,為了增強標準的理解性與可讀性,進行了略微修正。如:對於第8條款,對於現場數據如何決定硬體元器件失效率做出了更精確的描述。
3.7 ISO26262第6部分(產品開發:軟體層面)的變動
ISO26262第五部分(產品開發:硬體層面)並沒有發生較大的改變,為了增強標準的理解性與可讀性,進行了略微修正。
相比第一版標準,在軟體單元集成與認證方面,主要的變化是更加實用和全盤地對驗證活動的看待。對於單元測試,靜態驗證技術由原來的第8條款(軟體單元設計和實現)轉移到第9條款(軟體單元測試),這表明兩種方法領域相互交叉相互滲透。在許多公司,這種智能混合驗證技術已經被應用;單元驗證方法被集成到同一個表中。
在軟體集成和測試中也應用了相同的原理,在現代軟體開發過程中,靜態驗證技術被應用於集成驗證,因此這些驗證方法都被收錄在表12中。同時,為了改善可讀性,第11條款名稱改為「嵌入式軟體測試」。此外,在第10條款中(軟體集成和驗證)關於方法的相關文獻已經被系統地梳理並羅列在方法表中。
此外,附錄B基於模型開發與附錄E軟體安全分析得到了進一步延伸。這兩條針對重要地議題給了更重要地指引並反映目前實際的工業經驗。
3.8 ISO26262第7部分(生產、運行、服務和報廢)的變動
為了增強對於ISO26262第7部分(生產、運行、服務和報廢)的可讀性,結構、條款、示例等都做出了微調。
3.9 ISO26262第8部分(支持過程)的變動
ISO26262第8部分(生產、運行、服務和報廢)是各種各樣支持過程的歸納,對於每一條款的解釋將獨立地進行解釋。其中,第6,7,8,10和14條款(安全要求的定義與管理,配置管理,變更管理,文檔化及在用證明)並沒有發生顯著的變化。
第5條款(分散式開發的介面)的關鍵變化是對客戶與供應商之間的安全分工評估的描述。對於安全需求改變關於相應的協議與反饋做了更加詳盡的描述。
第9條款(驗證)一個有趣的細節變動是測試案例建議由不同的人評估,而不是測試案例的作者。
第11條款(所使用軟體工具的置信度)發生的改變不大。第二版中,對工具的開發與使用做出了更加詳盡的說明。
第12條款(軟體組件的鑒定)發生了幾項變化以加強對軟體組件鑒定的需求。首先,軟體組件鑒定的範圍延伸,其中包括軟體組件的需求、配置描述及應用手冊等。這些變化旨在保障即使一個軟體組件沒有按照ISO26262-6的標註,該組件也可以安全地嵌入整個軟體架構中。
3.10 ISO26262第9部分(以汽車安全完整性等級為導向和以安全為導向的分析)的變動
該部分主要的變化是相關失效的分析。這部分允許根據系統結構及ASIL進行裁剪。附錄C提供了相關模型,主要包括7種相關失效的起因,該模型可以為各層面(系統、軟體、硬體)相關失效分析提供支持。
3.11 ISO26262第10部分(指南)的變動
為了增強對於ISO26262第10部分(指南)的可讀性,結構、條款、示例等都做出了微調。
3.12 ISO26262第11部分(半導體應用指南)的變動
儘管對於第5部分對於硬體層面已經有相關說明,但是關於半導體層面的要求還是有限的。因此,第11部分針對半導體技術應用,提供了相應的指導。
該部分核心主要包括兩大條款與五個附錄:
條款4:半導體組件及其分區
條款5:詳盡的半導體技術與使用案例
附錄A:以數字故障模式為例評價診斷
附錄B:針對相關失效分析給出相應案例
附錄C-E:對於不同的半導體產品類型,給出相應的定量分析案例
3.13 ISO26262第12部分(ISO26262對摩托車的適用性)的變動
ISO26262:2018新增第12部分(ISO26262對摩托車的適用性)的主要原因是摩托車與乘用車有較大的區別。因此需要針對摩托車進行特殊說明,第12部分僅僅適用於摩托車,對於助力車(最高車速小於50km/h,排量小於50cc)不適用。
第12部分與危害分析與風險評估有些許差異,首先定義了「摩托車安全完整性等級」(MSIL),然後MSIL向ASIL轉換,每一個MSIL等級對應一個ASIL等級,如:MSIL B對應ASIL A。
3.14 預期功能的安全性(SOTIF)
SOTIF是與功能安全非常接近的概念,2016年相關工作組提議去建設覆蓋這個工作領域的相關工作,ISO PAS 21448「道路車輛—預期功能安全性」目前在處於開發階段,該標準的相關開發人員正是ISO 26262標準的開發人員,而這一標準很可能被納入最新版的ISO 26262標準。
下圖體現了SOTIF相比功能安全的定義。可以看出,在兩種情況下,都涉及多功能行為及其風險,而其差異主要體現在多功能的起因。對於功能安全,通常著重考察電子電氣系統失效及故障,如軟體中的電容器短路或緩衝區溢出。而SOTIF更加註重技術的缺陷及系統相關定義。如圖像識別的精度,雷達的抗干擾性。在SOTIF案例中,沒有故障及失效。
預期功能的安全性與功能安全側重點
隨著智能駕駛汽車的發展,SOTIF的重要性也凸顯出來,為了能夠確保這些系統的安全,必須對安全進行全局考慮,而SOTIF正是基於這點考慮。PAS(目前仍在研發中)拓展了ISO 26262的V流程,包括SOTIF危害分析與風險評估,SOTIF概念及SOTIF相關驗證活動,這些過程將在PAS的條款及附錄中進一步詳細說明及闡述。由於該工作仍在進展中,更多的細節暫不能透漏。
4 總結
相比於第一版ISO 26262,第二版ISO 26262由較大變化。其變化的主要動機來源於第一版的實施經驗、適用範圍的拓展、改進的過程方法及工具、自動駕駛汽車帶來的挑戰。標準中的各部分都做出了相應的調整,並新增了兩個部分。由於汽車領域科學技術的發展,在功能安全及SOTIF領域正面臨較大的挑戰,在第二版中將涉及到這些方面,並給出相應的指導。然而,在下一個5-10年內,汽車行業將發生革命性的變化,這就意味著第三版ISO 26262更新的是非常必要的。在未來5年內,The SOTIF PAS將被轉化為國際標準,可能作為ISO 26262的一部分,也可能獨立地作為一部分標準。
因此,相關標準的發展仍然是一個持續發展的任務,為工業領域提供持續的引導是一項巨大的挑戰。
推薦閱讀:
※汽車晶元設計的新動向 | 半導體行業觀察
※統一診斷服務 (Unified diagnostic services , UDS) (五)
※【書籍動態】電子製圖設計以及DFX
※統一診斷服務 (Unified diagnostic services , UDS) (二)
※ISO26262對軟體開發的規定