功能安全體系ISO26262標(biāo)準(zhǔn)介紹
發(fā)布時間:2025-05-22 點擊:25
功能安全-ISO26262標(biāo)準(zhǔn)簡介
1背景
隨著汽車行業(yè)復(fù)雜性的日益提升,人們加大了開發(fā)安全合規(guī)系統(tǒng)的力度。例如,現(xiàn)代汽車使用線控系統(tǒng),如油門線控。司機踩油門時,踏板中的傳感器將向電子控制元件發(fā)送信號。該控制單元將分析多種因素,如引擎速度、車輛速度及踏板位置。接著,控制單元將向油門傳遞指令。對油門線控這類系統(tǒng)進行測試和驗證,對汽車行業(yè)造成了挑戰(zhàn)。ISO 26262的目標(biāo)是為汽車電氣和電子系統(tǒng)提供統(tǒng)一的安全標(biāo)準(zhǔn)。
ISO 26262的國際標(biāo)準(zhǔn)草案(DIS)發(fā)布于2009年6月。自發(fā)布起,ISO 26262就獲得了汽車行業(yè)的支持。標(biāo)準(zhǔn)草案生效后,律師將ISO 26262視為技術(shù)巔峰,即特定時期內(nèi)某種設(shè)備或流程的最高發(fā)展水平。德國法律規(guī)定,汽車生產(chǎn)商通常要對產(chǎn)品故障導(dǎo)致的人身傷害承擔(dān)賠償責(zé)任。技術(shù)巔峰都無法檢測的故障可獲得免責(zé)。
ISO 26262提供了通用的標(biāo)準(zhǔn),用于衡量系統(tǒng)在使用時的安全性。同時,該標(biāo)準(zhǔn)還提供了通用的詞匯表,用戶可使用該詞匯表指代系統(tǒng)的特定部分。這和其他安全關(guān)鍵應(yīng)用領(lǐng)域保持一致:即提供一個通用的標(biāo)準(zhǔn),讓用戶可以衡量系統(tǒng)的安全性。
2ISO 26262的關(guān)鍵部分
ISO 26262采用分步系統(tǒng),管理功能安全,并在系統(tǒng)、硬件及軟件層面管理產(chǎn)品開發(fā)。
ISO 26262標(biāo)準(zhǔn)提供規(guī)范及推薦做法,貫穿了產(chǎn)品開發(fā)的全過程(從概念開發(fā)到停運)。ISO 26262詳細介紹了如何為系統(tǒng)或組件指定可接受的風(fēng)險等級,以及記錄總體測試流程的方法。總而言之,ISO 26262:提供汽車安全生命周期(管理、開發(fā)、生產(chǎn)、運行、服務(wù)、停運),并支持在各階段中自定義必要的活動
提供基于風(fēng)險的方法,判定汽車的風(fēng)險等級(汽車安全完整性等級,簡稱ASIL)
使用ASIL指定項目的必要安全要求,以達到可接受的殘余風(fēng)險
提供驗證要求和確認(rèn)方法,以確保實現(xiàn)有效且可接受的安全性
汽車安全生命周期
ISO 26262共有10卷,用于系列量產(chǎn)車,并包含針對汽車的章節(jié)。例如,ISO 26262的第7章對生產(chǎn)、運行、服務(wù)及停運提出了明確的安全要求。
ISO 26262汽車安全生命周期描述了整個生產(chǎn)生命周期。包括對安全管理員的需求、安全計劃的開發(fā)以及確認(rèn)方法的定義(包括安全檢查、審計及評估)。這些要求用于開發(fā)電氣和電子系統(tǒng)及元件。
本白皮書主要介紹生命周期的開發(fā)部分。ISO 26262關(guān)于開發(fā)的部分包括定義系統(tǒng)、系統(tǒng)設(shè)計、功能安全評估以及安全驗證。
汽車安全完整性等級(ASIL)
ASIL是ISO 26262標(biāo)準(zhǔn)的關(guān)鍵部分。ASIL是在開發(fā)過程的開始階段確定的。用戶需要根據(jù)可能的危害,分析系統(tǒng)的預(yù)期功能。ASIL提出這樣一個問題:“如果車輛發(fā)生故障,駕駛員和相關(guān)行人會怎樣?”
為了評估風(fēng)險的評估,ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及關(guān)鍵事件發(fā)生時的嚴(yán)重性。ASIL不處理系統(tǒng)所使用的技術(shù),而只關(guān)注對駕駛員及其他行人造成的危害。
不同的安全要求分為ASIL的A、B、C、D級別,其中D級為最高安全關(guān)鍵流程,測試規(guī)范最為嚴(yán)格。ISO 26262標(biāo)準(zhǔn)根據(jù)組件的ASIL級別,分別規(guī)定了最低測試要求。這有助于確定測試時必須采取的方法。確定ASIL后,就決定了系統(tǒng)的安全目標(biāo)。即確定了保證安全所需的系統(tǒng)行為。
例如,讓我們以雨刷系統(tǒng)為例。安全分析將確定喪失雨刷功能會對駕駛員的視線造成何種影響。ASIL指導(dǎo)如何選擇適當(dāng)?shù)姆椒ǎ赃_到一定程度的產(chǎn)品完整性。本指南旨在補充目前的安全做法。目前,汽車制造采用高安全標(biāo)準(zhǔn),ISO 26262旨在規(guī)范行業(yè)內(nèi)的特定做法。
3硬件組件認(rèn)證
硬件認(rèn)證有兩個主要目的:展示部件如何適應(yīng)整體系統(tǒng),并評估故障模式。基礎(chǔ)硬件組件可通過標(biāo)準(zhǔn)資格評估,但更復(fù)雜的部件要求通過ASIL分解及測試進行評估。硬件組件的認(rèn)證通常是在一系列環(huán)境和操作條件下進行測試。接著,使用多種定量方法分析測試結(jié)果,并寫入資格報告,附帶測試程序、假設(shè)及輸入標(biāo)準(zhǔn)。
4軟件組件認(rèn)證
認(rèn)證軟件組件包括:確定功能要求、資源使用以及預(yù)測在故障和過載情況下的軟件行為。在實際應(yīng)用的開發(fā)階段使用認(rèn)證的軟件可大幅簡化該過程。認(rèn)證的軟件組件通常是優(yōu)秀的產(chǎn)品,可在項目中復(fù)用,包含庫、操作系統(tǒng)、數(shù)據(jù)庫及驅(qū)動軟件。
為了認(rèn)證軟件組件,標(biāo)準(zhǔn)要求在正常操作條件下進行測試,并在系統(tǒng)中插入故障,以判定其如何應(yīng)對非正常輸入。設(shè)計階段將分析并處理軟件錯誤,如運行時和數(shù)據(jù)錯誤。
5“在實踐中證明”的證據(jù)
硬件及軟件組件可通過“在實踐中證明”的證據(jù),證明其符合ISO 26262要求。若組件已在其他實際應(yīng)用中無故障運行,則可適用該條款。ISO 26262也適用于在實踐中得到證明的早期系統(tǒng)。很多情況下,若某種系統(tǒng)已經(jīng)在幾百萬輛汽車上得到驗證,則沒有必要重新檢驗其是否符合標(biāo)準(zhǔn)。例如,目前制造的汽車中,很多系統(tǒng)是按照ISO 26262發(fā)布前的高級別安全標(biāo)準(zhǔn)制造的。實際應(yīng)用過程中,這些安全關(guān)鍵部件運行良好。從更早期汽車就保持不變的可靠系統(tǒng)仍然符合ISO 26262認(rèn)證。類似實際應(yīng)用中的認(rèn)證組件,和獲得廣泛部署的早期實際應(yīng)用一起,極大地降低了總體系統(tǒng)復(fù)雜度。
6應(yīng)用于現(xiàn)有流程
執(zhí)行類似于ISO 26262這樣的新標(biāo)準(zhǔn)的主要挑戰(zhàn)之一是將其應(yīng)用于現(xiàn)有流程。對于新標(biāo)準(zhǔn),需要使用試驗項目展示如何實現(xiàn)該標(biāo)準(zhǔn),及其對現(xiàn)有流程的影響。目前的結(jié)果表明,ISO 26262符合業(yè)內(nèi)現(xiàn)有的安全理念。各公司已經(jīng)開始重視在開發(fā)階段評估風(fēng)險并進行危害分析,以及在各流程中進行測試。
計劃執(zhí)行ISO 26262的公司需要理解,目的是在開發(fā)過程的早期階段分析風(fēng)險、確立適當(dāng)?shù)陌踩螅⑼ㄟ^開發(fā)中的測試最終達到這些要求。
7測試工具認(rèn)證
測試是ISO 26262開發(fā)過程中的關(guān)鍵部分。安全關(guān)鍵系統(tǒng)必須合理應(yīng)對測試場景,并在面對各種人為及環(huán)境輸入時保持在指定的安全范圍內(nèi)。使用高質(zhì)量測試系統(tǒng)可提高產(chǎn)品性能、提升質(zhì)量及可靠性,并降低返修率。據(jù)估計,相比于在實際應(yīng)用中,在生產(chǎn)中發(fā)現(xiàn)的錯誤導(dǎo)致的故障花費將降低10倍;而若在設(shè)計環(huán)節(jié)發(fā)現(xiàn)錯誤,則又比生產(chǎn)中降低10倍的花費。通過發(fā)現(xiàn)錯誤并收集數(shù)據(jù),可改進設(shè)計或流程。測試為您的組織創(chuàng)造了價值。通過技術(shù)創(chuàng)新和最佳實踐方法推動流程創(chuàng)新,可大幅提升效率,降低花費。人們?nèi)菀缀雎怨ぞ撸豢紤]系統(tǒng)的設(shè)計。但實際上,工具對終端用戶的安全十分重要。
ISO 26262承認(rèn),使用廣泛應(yīng)用的軟件工具可簡化或自動化開發(fā)電子、電氣及軟件元素(提供安全相關(guān)功能)開發(fā)所需的步驟及任務(wù)。介紹工具認(rèn)證過程的細節(jié)前,需要定義一個工具認(rèn)證的重要部分:工具置信水平。
工具置信水平
通過工具的輸入和輸出,可開發(fā)典型(或參考)用例。分析用例便可確定工具置信水平,簡稱TCL。TCL和ASIL決定軟件工具要求的認(rèn)證水平。確定置信水平,需要評估一下兩種因素:
軟件工具出故障的可能性,以及錯誤輸出對開發(fā)中的安全相關(guān)項目或元素會造成何種危害
在輸出中預(yù)防或檢測該錯誤的可能性工具置信水平分為TCL1、TCL2、TCL3和TCL4.其中TCL4為最高置信水平,TCL1為最低置信水平。
工具認(rèn)證過程
在ISO 26262中,認(rèn)證工具有諸多要求。例如,必須已經(jīng)確定了ASIL。工具必須包含用戶手冊、獨特的標(biāo)識及版本號、功能描述、安裝過程以及環(huán)境(僅舉幾例)。ISO 2626要求以下認(rèn)證材料:
軟件工具認(rèn)證計劃
軟件工具文檔
軟件工具分類分析
軟件工具認(rèn)證報告
軟件工具認(rèn)證計劃
軟件工具認(rèn)證計劃(STQP)是在安全相關(guān)項目開發(fā)生命周期的早期創(chuàng)建的。它主要關(guān)注兩個方面:計劃軟件工具的認(rèn)證,以及能證明該工具符合所需置信水平的用例。
STQP必須包含的項目有:軟件工具獨特的標(biāo)識及版本號、用例、環(huán)境、描述、用戶手冊以及確定好的ASIL。
軟件工具分類分析
軟件工具分類分析(STCA)的主要目的是確定工具置信水平。確定TCL有兩個主要因素。第一個因素是工具影響(TI)。第二個因素是工具錯誤檢測(TD)。根據(jù)這兩個因素,選擇合適的TCL。
工具影響分為TI1和TI2.當(dāng)故障軟件工具不可能違反安全要求時,可選擇TI1.其他情況則選擇TI2.
例如,假設(shè)某工具在執(zhí)行特定軟件功能時,會在文檔中產(chǎn)生錯誤字符。這僅僅是一個小錯誤,并不違反測試時的安全要求。該錯誤造成的是TI1類別的工具影響。若工具造成的錯誤以任何形式改變了系統(tǒng)行為,則選擇TI2.
工具錯誤檢測分為TD1、TD2和TD3.TD1代表對工具檢測錯誤的能力有高度的置信,而TD3則代表很低的置信水平,即只能隨機檢測出錯誤。
例如,假設(shè)某工具用于檢測設(shè)計模型的錯誤。該工具對模型執(zhí)行靜態(tài)分析。當(dāng)靜態(tài)分析良好時,該工具不能檢測模型中的所有可能違規(guī)行為。還有一點值得注意的是,這并不一定意味著該模型是錯誤的,而僅僅表明需要額外的測試。該例是一種中等程度的置信水平,即TD2.
根據(jù)所需置信水平,一旦確定了工具影響(TI)和工具錯誤檢測(TD),就確定了TCL的級別。多個用例可能導(dǎo)致不同的TCL。出現(xiàn)這種情況時,請使用最高級別的TCL。對每個軟件工具,用戶需進行工具分類。
軟件工具文檔
為確保正確使用軟件工具,必須提供多種信息。
功能描述
安裝過程描述
用戶手冊
操作環(huán)境
異常狀態(tài)下的預(yù)期行為
軟件工具認(rèn)證報告
軟件工具認(rèn)證報告包含結(jié)論以及完成認(rèn)證且滿足要求的證據(jù)。任何驗證期間產(chǎn)生的故障或錯誤輸出都需在此進行分析和記錄。
從實踐中提升的置信
從實踐中提升置信是工具認(rèn)證的一個重要方面。若能證明某工具已經(jīng)符合認(rèn)證要求,就無需進一步的認(rèn)證。這將大幅降低開發(fā)過程中的花費及時間成本。然而,在開發(fā)該項目前,認(rèn)證要求必須在每個安全相關(guān)項目或元素上得到證明。為達到該要求,該工具必須證明:
曾經(jīng)為了相同的目的,在類似的用例中使用
該工具的規(guī)范保持不變
未在曾經(jīng)開發(fā)的安全相關(guān)項目中違反安全要求
例如,假設(shè)工具A用于驗證汽車X的ECU(引擎控制單元)。若測試工具A未違反任何安全要求,且保持不變,那么它就可用于檢測汽車Y的ECU,只要汽車Y的ECU用途與汽車X的ECU使用方法類似。
8下一步
欲知NI測試工具如何用于測試安全相關(guān)項目,請參考 NI測試安全兼容系統(tǒng)最佳實踐。該白皮書包含諸如模型回路測試和硬件回路測試等技術(shù),貫穿整個開發(fā)過程。此外,該白皮書還討論了組件重用的優(yōu)勢及效率提升。
企業(yè)iso9001質(zhì)量管理體系規(guī)范的作用和價值是什么
五星售后服務(wù)認(rèn)證機構(gòu)
深圳ISO三體系認(rèn)證辦理費用流程
國際iso9001認(rèn)證,什么是ISO9001國際認(rèn)證
G7認(rèn)證標(biāo)準(zhǔn)對紙張的穩(wěn)定性有什么要求
GAP認(rèn)證對生產(chǎn)規(guī)模的要求
ISO27001為企業(yè)帶來的益處
hse管理體系與ISO9001質(zhì)量體系有什么相同點?
1背景
隨著汽車行業(yè)復(fù)雜性的日益提升,人們加大了開發(fā)安全合規(guī)系統(tǒng)的力度。例如,現(xiàn)代汽車使用線控系統(tǒng),如油門線控。司機踩油門時,踏板中的傳感器將向電子控制元件發(fā)送信號。該控制單元將分析多種因素,如引擎速度、車輛速度及踏板位置。接著,控制單元將向油門傳遞指令。對油門線控這類系統(tǒng)進行測試和驗證,對汽車行業(yè)造成了挑戰(zhàn)。ISO 26262的目標(biāo)是為汽車電氣和電子系統(tǒng)提供統(tǒng)一的安全標(biāo)準(zhǔn)。
ISO 26262的國際標(biāo)準(zhǔn)草案(DIS)發(fā)布于2009年6月。自發(fā)布起,ISO 26262就獲得了汽車行業(yè)的支持。標(biāo)準(zhǔn)草案生效后,律師將ISO 26262視為技術(shù)巔峰,即特定時期內(nèi)某種設(shè)備或流程的最高發(fā)展水平。德國法律規(guī)定,汽車生產(chǎn)商通常要對產(chǎn)品故障導(dǎo)致的人身傷害承擔(dān)賠償責(zé)任。技術(shù)巔峰都無法檢測的故障可獲得免責(zé)。
ISO 26262提供了通用的標(biāo)準(zhǔn),用于衡量系統(tǒng)在使用時的安全性。同時,該標(biāo)準(zhǔn)還提供了通用的詞匯表,用戶可使用該詞匯表指代系統(tǒng)的特定部分。這和其他安全關(guān)鍵應(yīng)用領(lǐng)域保持一致:即提供一個通用的標(biāo)準(zhǔn),讓用戶可以衡量系統(tǒng)的安全性。
2ISO 26262的關(guān)鍵部分
ISO 26262采用分步系統(tǒng),管理功能安全,并在系統(tǒng)、硬件及軟件層面管理產(chǎn)品開發(fā)。
ISO 26262標(biāo)準(zhǔn)提供規(guī)范及推薦做法,貫穿了產(chǎn)品開發(fā)的全過程(從概念開發(fā)到停運)。ISO 26262詳細介紹了如何為系統(tǒng)或組件指定可接受的風(fēng)險等級,以及記錄總體測試流程的方法。總而言之,ISO 26262:提供汽車安全生命周期(管理、開發(fā)、生產(chǎn)、運行、服務(wù)、停運),并支持在各階段中自定義必要的活動
提供基于風(fēng)險的方法,判定汽車的風(fēng)險等級(汽車安全完整性等級,簡稱ASIL)
使用ASIL指定項目的必要安全要求,以達到可接受的殘余風(fēng)險
提供驗證要求和確認(rèn)方法,以確保實現(xiàn)有效且可接受的安全性
汽車安全生命周期
ISO 26262共有10卷,用于系列量產(chǎn)車,并包含針對汽車的章節(jié)。例如,ISO 26262的第7章對生產(chǎn)、運行、服務(wù)及停運提出了明確的安全要求。
ISO 26262汽車安全生命周期描述了整個生產(chǎn)生命周期。包括對安全管理員的需求、安全計劃的開發(fā)以及確認(rèn)方法的定義(包括安全檢查、審計及評估)。這些要求用于開發(fā)電氣和電子系統(tǒng)及元件。
本白皮書主要介紹生命周期的開發(fā)部分。ISO 26262關(guān)于開發(fā)的部分包括定義系統(tǒng)、系統(tǒng)設(shè)計、功能安全評估以及安全驗證。
汽車安全完整性等級(ASIL)
ASIL是ISO 26262標(biāo)準(zhǔn)的關(guān)鍵部分。ASIL是在開發(fā)過程的開始階段確定的。用戶需要根據(jù)可能的危害,分析系統(tǒng)的預(yù)期功能。ASIL提出這樣一個問題:“如果車輛發(fā)生故障,駕駛員和相關(guān)行人會怎樣?”
為了評估風(fēng)險的評估,ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及關(guān)鍵事件發(fā)生時的嚴(yán)重性。ASIL不處理系統(tǒng)所使用的技術(shù),而只關(guān)注對駕駛員及其他行人造成的危害。
不同的安全要求分為ASIL的A、B、C、D級別,其中D級為最高安全關(guān)鍵流程,測試規(guī)范最為嚴(yán)格。ISO 26262標(biāo)準(zhǔn)根據(jù)組件的ASIL級別,分別規(guī)定了最低測試要求。這有助于確定測試時必須采取的方法。確定ASIL后,就決定了系統(tǒng)的安全目標(biāo)。即確定了保證安全所需的系統(tǒng)行為。
例如,讓我們以雨刷系統(tǒng)為例。安全分析將確定喪失雨刷功能會對駕駛員的視線造成何種影響。ASIL指導(dǎo)如何選擇適當(dāng)?shù)姆椒ǎ赃_到一定程度的產(chǎn)品完整性。本指南旨在補充目前的安全做法。目前,汽車制造采用高安全標(biāo)準(zhǔn),ISO 26262旨在規(guī)范行業(yè)內(nèi)的特定做法。
3硬件組件認(rèn)證
硬件認(rèn)證有兩個主要目的:展示部件如何適應(yīng)整體系統(tǒng),并評估故障模式。基礎(chǔ)硬件組件可通過標(biāo)準(zhǔn)資格評估,但更復(fù)雜的部件要求通過ASIL分解及測試進行評估。硬件組件的認(rèn)證通常是在一系列環(huán)境和操作條件下進行測試。接著,使用多種定量方法分析測試結(jié)果,并寫入資格報告,附帶測試程序、假設(shè)及輸入標(biāo)準(zhǔn)。
4軟件組件認(rèn)證
認(rèn)證軟件組件包括:確定功能要求、資源使用以及預(yù)測在故障和過載情況下的軟件行為。在實際應(yīng)用的開發(fā)階段使用認(rèn)證的軟件可大幅簡化該過程。認(rèn)證的軟件組件通常是優(yōu)秀的產(chǎn)品,可在項目中復(fù)用,包含庫、操作系統(tǒng)、數(shù)據(jù)庫及驅(qū)動軟件。
為了認(rèn)證軟件組件,標(biāo)準(zhǔn)要求在正常操作條件下進行測試,并在系統(tǒng)中插入故障,以判定其如何應(yīng)對非正常輸入。設(shè)計階段將分析并處理軟件錯誤,如運行時和數(shù)據(jù)錯誤。
5“在實踐中證明”的證據(jù)
硬件及軟件組件可通過“在實踐中證明”的證據(jù),證明其符合ISO 26262要求。若組件已在其他實際應(yīng)用中無故障運行,則可適用該條款。ISO 26262也適用于在實踐中得到證明的早期系統(tǒng)。很多情況下,若某種系統(tǒng)已經(jīng)在幾百萬輛汽車上得到驗證,則沒有必要重新檢驗其是否符合標(biāo)準(zhǔn)。例如,目前制造的汽車中,很多系統(tǒng)是按照ISO 26262發(fā)布前的高級別安全標(biāo)準(zhǔn)制造的。實際應(yīng)用過程中,這些安全關(guān)鍵部件運行良好。從更早期汽車就保持不變的可靠系統(tǒng)仍然符合ISO 26262認(rèn)證。類似實際應(yīng)用中的認(rèn)證組件,和獲得廣泛部署的早期實際應(yīng)用一起,極大地降低了總體系統(tǒng)復(fù)雜度。
6應(yīng)用于現(xiàn)有流程
執(zhí)行類似于ISO 26262這樣的新標(biāo)準(zhǔn)的主要挑戰(zhàn)之一是將其應(yīng)用于現(xiàn)有流程。對于新標(biāo)準(zhǔn),需要使用試驗項目展示如何實現(xiàn)該標(biāo)準(zhǔn),及其對現(xiàn)有流程的影響。目前的結(jié)果表明,ISO 26262符合業(yè)內(nèi)現(xiàn)有的安全理念。各公司已經(jīng)開始重視在開發(fā)階段評估風(fēng)險并進行危害分析,以及在各流程中進行測試。
計劃執(zhí)行ISO 26262的公司需要理解,目的是在開發(fā)過程的早期階段分析風(fēng)險、確立適當(dāng)?shù)陌踩螅⑼ㄟ^開發(fā)中的測試最終達到這些要求。
7測試工具認(rèn)證
測試是ISO 26262開發(fā)過程中的關(guān)鍵部分。安全關(guān)鍵系統(tǒng)必須合理應(yīng)對測試場景,并在面對各種人為及環(huán)境輸入時保持在指定的安全范圍內(nèi)。使用高質(zhì)量測試系統(tǒng)可提高產(chǎn)品性能、提升質(zhì)量及可靠性,并降低返修率。據(jù)估計,相比于在實際應(yīng)用中,在生產(chǎn)中發(fā)現(xiàn)的錯誤導(dǎo)致的故障花費將降低10倍;而若在設(shè)計環(huán)節(jié)發(fā)現(xiàn)錯誤,則又比生產(chǎn)中降低10倍的花費。通過發(fā)現(xiàn)錯誤并收集數(shù)據(jù),可改進設(shè)計或流程。測試為您的組織創(chuàng)造了價值。通過技術(shù)創(chuàng)新和最佳實踐方法推動流程創(chuàng)新,可大幅提升效率,降低花費。人們?nèi)菀缀雎怨ぞ撸豢紤]系統(tǒng)的設(shè)計。但實際上,工具對終端用戶的安全十分重要。
ISO 26262承認(rèn),使用廣泛應(yīng)用的軟件工具可簡化或自動化開發(fā)電子、電氣及軟件元素(提供安全相關(guān)功能)開發(fā)所需的步驟及任務(wù)。介紹工具認(rèn)證過程的細節(jié)前,需要定義一個工具認(rèn)證的重要部分:工具置信水平。
工具置信水平
通過工具的輸入和輸出,可開發(fā)典型(或參考)用例。分析用例便可確定工具置信水平,簡稱TCL。TCL和ASIL決定軟件工具要求的認(rèn)證水平。確定置信水平,需要評估一下兩種因素:
軟件工具出故障的可能性,以及錯誤輸出對開發(fā)中的安全相關(guān)項目或元素會造成何種危害
在輸出中預(yù)防或檢測該錯誤的可能性工具置信水平分為TCL1、TCL2、TCL3和TCL4.其中TCL4為最高置信水平,TCL1為最低置信水平。
工具認(rèn)證過程
在ISO 26262中,認(rèn)證工具有諸多要求。例如,必須已經(jīng)確定了ASIL。工具必須包含用戶手冊、獨特的標(biāo)識及版本號、功能描述、安裝過程以及環(huán)境(僅舉幾例)。ISO 2626要求以下認(rèn)證材料:
軟件工具認(rèn)證計劃
軟件工具文檔
軟件工具分類分析
軟件工具認(rèn)證報告
軟件工具認(rèn)證計劃
軟件工具認(rèn)證計劃(STQP)是在安全相關(guān)項目開發(fā)生命周期的早期創(chuàng)建的。它主要關(guān)注兩個方面:計劃軟件工具的認(rèn)證,以及能證明該工具符合所需置信水平的用例。
STQP必須包含的項目有:軟件工具獨特的標(biāo)識及版本號、用例、環(huán)境、描述、用戶手冊以及確定好的ASIL。
軟件工具分類分析
軟件工具分類分析(STCA)的主要目的是確定工具置信水平。確定TCL有兩個主要因素。第一個因素是工具影響(TI)。第二個因素是工具錯誤檢測(TD)。根據(jù)這兩個因素,選擇合適的TCL。
工具影響分為TI1和TI2.當(dāng)故障軟件工具不可能違反安全要求時,可選擇TI1.其他情況則選擇TI2.
例如,假設(shè)某工具在執(zhí)行特定軟件功能時,會在文檔中產(chǎn)生錯誤字符。這僅僅是一個小錯誤,并不違反測試時的安全要求。該錯誤造成的是TI1類別的工具影響。若工具造成的錯誤以任何形式改變了系統(tǒng)行為,則選擇TI2.
工具錯誤檢測分為TD1、TD2和TD3.TD1代表對工具檢測錯誤的能力有高度的置信,而TD3則代表很低的置信水平,即只能隨機檢測出錯誤。
例如,假設(shè)某工具用于檢測設(shè)計模型的錯誤。該工具對模型執(zhí)行靜態(tài)分析。當(dāng)靜態(tài)分析良好時,該工具不能檢測模型中的所有可能違規(guī)行為。還有一點值得注意的是,這并不一定意味著該模型是錯誤的,而僅僅表明需要額外的測試。該例是一種中等程度的置信水平,即TD2.
根據(jù)所需置信水平,一旦確定了工具影響(TI)和工具錯誤檢測(TD),就確定了TCL的級別。多個用例可能導(dǎo)致不同的TCL。出現(xiàn)這種情況時,請使用最高級別的TCL。對每個軟件工具,用戶需進行工具分類。
軟件工具文檔
為確保正確使用軟件工具,必須提供多種信息。
功能描述
安裝過程描述
用戶手冊
操作環(huán)境
異常狀態(tài)下的預(yù)期行為
軟件工具認(rèn)證報告
軟件工具認(rèn)證報告包含結(jié)論以及完成認(rèn)證且滿足要求的證據(jù)。任何驗證期間產(chǎn)生的故障或錯誤輸出都需在此進行分析和記錄。
從實踐中提升的置信
從實踐中提升置信是工具認(rèn)證的一個重要方面。若能證明某工具已經(jīng)符合認(rèn)證要求,就無需進一步的認(rèn)證。這將大幅降低開發(fā)過程中的花費及時間成本。然而,在開發(fā)該項目前,認(rèn)證要求必須在每個安全相關(guān)項目或元素上得到證明。為達到該要求,該工具必須證明:
曾經(jīng)為了相同的目的,在類似的用例中使用
該工具的規(guī)范保持不變
未在曾經(jīng)開發(fā)的安全相關(guān)項目中違反安全要求
例如,假設(shè)工具A用于驗證汽車X的ECU(引擎控制單元)。若測試工具A未違反任何安全要求,且保持不變,那么它就可用于檢測汽車Y的ECU,只要汽車Y的ECU用途與汽車X的ECU使用方法類似。
8下一步
欲知NI測試工具如何用于測試安全相關(guān)項目,請參考 NI測試安全兼容系統(tǒng)最佳實踐。該白皮書包含諸如模型回路測試和硬件回路測試等技術(shù),貫穿整個開發(fā)過程。此外,該白皮書還討論了組件重用的優(yōu)勢及效率提升。
企業(yè)iso9001質(zhì)量管理體系規(guī)范的作用和價值是什么
五星售后服務(wù)認(rèn)證機構(gòu)
深圳ISO三體系認(rèn)證辦理費用流程
國際iso9001認(rèn)證,什么是ISO9001國際認(rèn)證
G7認(rèn)證標(biāo)準(zhǔn)對紙張的穩(wěn)定性有什么要求
GAP認(rèn)證對生產(chǎn)規(guī)模的要求
ISO27001為企業(yè)帶來的益處
hse管理體系與ISO9001質(zhì)量體系有什么相同點?