隨著各行業引進一系列產品設計和測試的標準化流程，安全保障也日益規范化。ISO 26262是針對汽車零部件中的關鍵電氣和電子(E/E)系統的功能安全標準。ISO 26262基于IEC 61508制定，后者是電氣和電子系統的通用功能安全標準。本白皮書介紹了ISO 26262的關鍵部分及軟硬件認證。此外，本白皮書還涵蓋了ISO 26262的測試過程，以及符合ISO 26262規定的認證工具。

內容

• 背景
• ISO 26262的關鍵組成部分
• 硬件組件認證
• 軟件組件認證
• "在實踐中證明"的論據
• 應用于現有流程
• 測試工具認證

背景

隨著汽車行業復雜性的日益提升，人們加大了開發安全合規系統的力度。例如，現代汽車使用了油門線控等線控系統。駕駛員踩油門時，踏板中的傳感器將向電子控制單元發送信號。該控制單元會對多種因素進行分析，如發動機轉速、車輛速度及踏板位置，然后向油門傳遞指令。要測試和驗證油門線控這類系統，對汽車行業來說是個不小的挑戰。ISO 26262的目標是為所有汽車E/E系統提供統一的安全標準。

ISO 26262的國際標準草案(DIS)于2009年6月發布。自草案發布以來，ISO 26262在汽車行業的影響力逐漸加深。由于公開標準草案的面世，律師們將ISO 26262視為尖端技術標準。尖端技術是指一個設備或工藝在特定時間的最高發展水平。德國法律規定，汽車生產商通常要對產品故障導致的人身傷害承擔賠償責任。尖端技術都無法檢測的故障可獲得免責。[德國產品責任法(§ 823 Abs.1 BGB, § 1 ProdHaftG)]。

ISO 26262提供了一個通用的標準，可用于衡量系統在使用時的安全性。同時，該標準還提供了通用的詞匯表，用來指代系統的特定部分。這和其他安全關鍵應用領域保持一致：即提供一個通用的標準，衡量系統的安全性。

ISO 26262的關鍵組成部分ISO 26262采用分步系統，管理功能安全，并在系統、硬件及軟件層面規范產品開發。

ISO 26262標準提供了規范及推薦做法，貫穿了產品從概念開發到報廢的整個開發過程。ISO 26262詳細介紹了如何為系統或組件指定可接受的風險等級，以及記錄總體測試過程的方法。總體來說，ISO 26262：

定義汽車安全生命周期（管理、開發、生產、運行、服務、報廢），并支持在各生命周期階段中自定義必要的活動；

提供基于風險的具體方法，判定汽車的風險等級（汽車安全完整性等級，簡稱ASIL）；

使用ASIL指定項目的必要安全要求，以使殘余風險在可接受的范圍內；

提供驗證要求和確認方法，以確保實現有效且可接受的安全水平。

汽車安全生命周期ISO 26262共有10卷，用于系列量產車，包含針對汽車的章節。例如，ISO 26262的第7章對生產、運行、服務及報廢提出了明確的安全要求。

ISO 26262汽車安全生命周期描述了整個生產生命周期，包括對安全管理員的需求、安全計劃的制定以及確認方法的定義（包括安全檢查、審計及評估）。開發E/E系統及元件需要遵循這些要求。

本白皮書主要介紹生命周期的開發部分。ISO 26262的開發部分涉及了系統定義、系統設計、功能安全評估以及安全驗證。汽車安全完整性等級(ASIL)

ASIL是ISO 26262標準的重要組成部分，在開發過程的開始階段確定。它分析系統的預期功能，同時指出可能的危害。ASIL提出這樣一個問題：“如果車輛發生故障，駕駛員和相關道路使用者會怎樣？”

為了評估風險，ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及發生重大事件時可能帶來的后果的嚴重程度。ASIL不管系統所使用的技術，只關注駕駛員及其他道路使用者所受到的危害。

ASIL根據不同的安全要求分為A、B、C、D四個級別，其中D級擁有最安全的關鍵流程，測試規范最為嚴格。ISO 26262標準根據組件的ASIL級別，分別規定了最低測試要求，有助于確定測試時必須采取的方法。確定ASIL后，就決定了系統的安全目標，也就是確定了保證安全所需的系統行為。

比如，以雨刷系統為例。安全分析將確定喪失雨刷功能會對駕駛員的視線造成何種影響。ASIL給出指導，選擇適當的方法來使產品達到一定程度的完整性，旨在補充現有的安全做法。目前，汽車制造采用高安全標準，而ISO 26262旨在規范行業內的特定做法。

硬件組件認證

硬件認證有兩個主要目的：明確部件對整體系統的適應性，以及評估故障模式。基礎硬件組件可通過標準認證進行評估，但更復雜的部件要求通過ASIL分解及測試進行評估。硬件組件的認證通常是在一系列環境和操作條件下進行測試。接著，使用多種定量方法分析測試結果，寫入認證報告，同時隨附測試程序、假設及輸入標準。

軟件組件認證

認證軟件組件包括：確定功能要求、資源使用以及預測在故障和重載情況下的軟件行為。在實際應用的開發階段使用認證的軟件可大幅簡化該過程。通過認證的軟件組件通常是十分優秀的產品，可在項目中復用，包含庫、操作系統、數據庫及驅動軟件。

為了認證軟件組件，標準需要在正常操作條件下進行測試，并在系統中插入故障，以判定其如何應對非正常輸入。設計階段將分析并處理軟件錯誤，如運行時和數據錯誤。

“在實踐中證明”的論據

硬件及軟件組件可通過“在實踐中證明”的論據，證明其符合ISO 26262要求。若組件已在其他實際應用中無故障運行，則可適用該條款。ISO 26262也適用于在實踐中得到證明的早期系統。很多情況下，若某種系統已經在幾百萬輛汽車上得到驗證，則沒有必要重新檢驗其是否符合標準。例如，目前制造的汽車中，很多系統是按照ISO 26262發布前的高級別安全標準制造的。在實際應用過程中，這些安全關鍵組件運行良好、可靠。 在早期汽車中就已使用且一直未變的可靠系統仍可獲得ISO 26262認證。類似實際應用和得到廣泛部署的早期實際應用中的認證組件結合，極大地降低了總體系統復雜度。

應用于現有流程

執行類似于ISO 26262這樣的新標準，主要挑戰之一是將其應用于現有流程。對于新標準，需要使用試驗項目展示標準的實現，及其對現有流程的影響。目前的結果表明，ISO 26262符合業內現有的安全理念。各公司已經看到了在開發階段早期評估風險并進行危害分析的優勢，并開始將測試投入各流程中。

計劃執行ISO 26262的公司需要理解，我們的目的是在開發過程的早期階段分析風險、確立適當的安全要求，并通過開發中的測試最終滿足這些要求。

測試工具認證

測試是ISO 26262開發過程中的重要組成部分。安全關鍵系統必須合理應對測試場景，并在面對各種人為及環境輸入時維持在指定的安全范圍內。使用高質量測試系統可提高產品性能、提升質量及可靠性，同時降低返修率。據估計，與實際應用中相比，在生產中發現錯誤所產生的故障成本將降低10倍；若能在設計環節發現錯誤，故障成本又比在生產中發現降低10倍。測試通過發現缺陷并收集數據，可改進設計或流程，為您的組織創造價值。通過技術創新和妥善實踐方法推動流程創新，可大幅提升效率，降低花費。人們容易忽略工具，只考慮系統的設計。但實際上，工具對終端用戶的安全十分重要。

ISO 26262發現，使用廣泛應用的軟件工具可簡化或自動化開發電子、電氣及軟件元件（提供安全相關功能）所需的步驟及任務。介紹工具認證過程的細節前，需要定義工具認證的一個重要部分：工具置信度。工具置信度

通過工具的輸入和輸出，可開發典型（或參考）用例。分析用例便可確定工具置信度，簡稱TCL。TCL和ASIL決定了軟件工具要求的認證水平。要確定置信度，需要評估以下兩種因素：

軟件工具出故障的可能性，以及錯誤輸出對安全相關項目或開發中的元件會造成何種危害；

• 在輸出中預防或檢測該錯誤的可能性。

工具置信度分為TCL1、TCL2、TCL3和TCL4，其中TCL4為最高置信度，TCL1為最低置信度。

生活不是日復一日的尋常，人生的意義在于活的精彩，愿你不被歲月抹去激情，不被年齡定義人生，做乘風破浪，勇闖天涯的自己！

工具認證過程

要根據ISO 26262對工具進行認證，需要滿足多項要求。例如，ASIL必須已經確定。工具必須包含用戶手冊、獨特的標識及版本號、功能描述、安裝過程以及環境（僅舉幾例）。ISO 26262要求提供以下工具認證材料：

• 軟件工具認證計劃
• 軟件工具文檔
• 軟件工具分類分析
• 軟件工具認證報告

1. 軟件工具認證計劃

軟件工具認證計劃(STQP)是在安全相關項目開發生命周期的早期創建的。它主要關注兩個方面：計劃軟件工具的認證，以及能證明該工具符合所需置信度的用例。

STQP必須包含的項目有：軟件工具獨特的標識及版本號、用例、環境、描述、用戶手冊以及預先確定好的ASIL。2. 軟件工具分類分析軟件工具分類分析(STCA)的主要目的是確定工具置信度。確定TCL有兩個主要因素。第一個因素是工具影響(TI)。第二個因素是工具錯誤檢測(TD)。根據這兩個因素，選擇合適的TCL。工具影響分為TI1和TI2兩類。當確定發生故障的軟件工具絕對不會違反安全要求時，選擇TI1。對于所有其他情況，選擇TI2。例如，假設某工具在執行特定軟件功能時，會在文檔中產生錯誤字符。這僅僅是一個小錯誤，并不違反測試時的安全要求。該錯誤造成的是TI1類別的工具影響。若工具造成的錯誤以任何形式改變了系統行為，則選擇TI2。

工具錯誤檢測分為TD1至TD3幾類。TD1代表對工具檢測錯誤的能力有高度的置信，而TD3則代表很低的置信度，即只能隨機檢測出錯誤。

例如，假設某工具用于檢測設計模型的錯誤。該工具對模型執行靜態分析。當靜態分析良好時，該工具不能檢測模型中的所有可能違規行為。還有一點值得注意的是，這并不一定意味著該模型不正確，僅表明需要進行額外測試。這種情況屬于中等程度的置信度，即TD2。

根據所需置信度，一旦確定了工具影響(TI)和工具錯誤檢測(TD)，就確定了TCL的級別。有時，多個用例可能產生不同的TCL。出現這種情況時，請使用最高級別的TCL。對每個軟件工具，用戶需進行工具分類。

3. 軟件工具文檔

為確保正確使用軟件工具，必須提供多種信息。

功能描述

• 安裝過程描述
• 用戶手冊
• 運行環境

異常狀態下的預期行為

4.軟件工具認證報告

軟件工具認證報告包含結論以及完成認證且滿足要求的證據。任何驗證期間產生的故障或錯誤輸出都需在此進行分析和記錄。

從實踐中提升的置信從實踐中提升置信是工具認證的一個重要方面。若能證明某工具已經符合認證要求，就無需進一步的認證。這將大幅降低開發過程中的花費及時間成本。然而，在用于項目開發前，每個安全相關項目或元件都必須證明已達到認證要求。為證明這一點，該工具必須證明：

• 曾經為了相同的目的，在類似的用例中使用過；
• 該工具的規范沒有改變；
• 未在曾經開發的安全相關項目中違反安全要求。

例如，假設工具A用于驗證汽車X的ECU（引擎控制單元）。若測試工具A未違反任何安全要求且沒有改變，那么它就可用于驗證汽車Y的ECU，只要汽車Y的ECU用途與汽車X的ECU使用方法類似即可。

本文轉自：望安科技