ISO26262是IEC61508对E/E系统在道路车辆方面的功能安全要求的具体应用。它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。安全在汽车研发中是关键要素之一,新的功能不仅用于辅助驾驶,也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。
随着系统复杂性的提高,软件和机电设备的应用,来自系统失效和随机硬件失效的风险也日益增加,ISO26262,包括其导则,都为避免这些风险提供了可行性的要求和流程。
ISO26262:
• 提供了汽车生命周期(管理,研发,生产,运行,服务,拆解)和生命周期中必要的改装活动。
• 提供了决定风险等级的具体风险评估方法(汽车安全综合等级,ASILs)。
• 使用 ASILs方法来确定获得可接受的残余风险的必要安全要求。
• 提供了确保获得足够的和可接受的安全等级的有效性和确定性措施,以确保足够和可接受的安全水平。
• 根据危险的严重程度,暴露概率和可控性来应用安全要求,以避免不合理的风险。
汽车电子功能安全ISO 26262的第一个版本是2011正式发布,目前是ISO 26262:2018版本。
▌ISO 26262新版变更解析
1. 标准各章节整体变化
如下图所示为各部分标准,第二版标准新增 Part 11半导体应用指南与 Part 12摩托车应用。
可以看出,针对摩托车增加新的部分(Part 11),对于卡车与公共汽车的特殊要求穿插到现存的各章节中。此外,对于标准条款中的语言及措施,也做了更加准确的修改。
2. ISO 26262 Part 1-定义
主要更改有以下几点:
a. 对相关术语更加准确、清晰、易懂的定义。
b. 由于不同技术的应用,需要对相关术语进行更新。
c. 由于新的适用对象及新的技术的引入,新的相关术语也需要随之引入。
在第一版中,绝大多数相关术语得以保留。
3. ISO 26262 Part 2-功能安全管理
ISO 26262 Part2 的更改依据主要来源于过去5年内该部分累积的经验。
首先,原 Part 3的「影响分析」转移到 Part 2,其变化原因主要是对于安全计画影响分析是一项关键的技术输入。
其次,认可措施(Confirmation measures)也进行了重新调整:
a. 认可措施重心发生了改变,更加关注于与实际功能安全相关的内容;
b. 对于一些认可措施也要求QM级别3、根据之前的实践经验,对于低级别的独立性程度,认可措施也可以由协助者来完成。
另一个重大的改变是功能安全评估的范围从需求转为目标。
结构上的重大改变主要是产品的发布和功能安全评估的条款已经从 Part 4转移到 Part 2,为了更好的理解和强调该部分的应用独立于开发领域(系统、硬件或软件)。一个关于安全异常管理的章节新增进来,该章节涵盖安全异常、职责和必要的沟通。
最后,Part 2还增加了两个附录,附录C详细地描述了认可措施,并根据新的认可措施的范围进行调整。附录F给出了与网络安全交互与接口的指南。
网络安全目前仍然并不在新版本的范围内,但是 Part 2针对网络安全接口给出了相应的指导。
4. ISO 26262 Part 3-概念阶段
ISO 26262 Part3的变更内容是对危害分析和风险评估的描述与功能安全概念。因此,对于第二版 ISO 26262,包含卡车及公共汽车的相关变化是非常必要的,特别是危害分析与风险评估需要反映这些车辆的特征。对于危害分析与风险评估的基本概念及相关标准并没有发生改变,但是附录B(包括严重度、侦测性率及发生率)已经做出相应调整。
其中,一个重大的改变是:如果E1是几种不可能的情况的结合,E1/S3/C3由原来的ASIL A级转变为QM级别。
关于功能安全概念的相应条款变化不是特别大,对于危害分析与风险评估,附录里收录的案例明显减少,其主要原因在于强调附录里的案例仅仅是示例,并不能代表所有的情况,避免造成先入为主的印象,针对具体的场景在许多情况下,附录收录的案例并不是合适的。
5. ISO 26262 Part 4-产品开发:系统层面
如3.所述,为了整个标准的连贯与清晰,Part4 的部分内容已经转移到 Part2,主要包括:安全生命周期的启动,以及功能安全评估及产品的发布。
相比第一版,为了避免冗余繁杂,一个重要的变化点是第6章(技术安全要求的定义)及第7章(系统设计)合并,系统层面的技术安全要求、系统架构设计、需求分解等工作是平行迭代地推进开展,这一点在第6章中更好地展现。
6.ISO 26262 Part 5-产品开发:硬件层面
ISO 26262 Part 5并没有发生较大的改变,为了增强标准的理解性与可读性,进行了些微修正,如:对于第8章节,对于现场数据如何决定硬件元器件失效率做出了更精确的描述。
7. ISO 26262 Part 6-产品开发:软件层面
ISO 26262 Part 6并没有发生较大的改变,为了增强标准的理解性与可读性,进行了些微修正。
相比第一版标准,在软件单元整合与认证方面,主要的变化是更加实用和全盘地对验证活动的看待。对于单元测试,静态验证技术由原来的第8章(软件单元设计和实现)转移到第9章(软件单元验证),这表明两种方法领域相互交叉、相互渗透;在许多公司,这种智能混合验证技术已经被应用,单元验证方法被整合到同一个表中。
在软件整合和测试中也应用了相同的原理,在现代软件开发过程中,静态验证技术被应用于整合验证,因此这些验证方法都被收录在表12中;同时,为了改善可读性,第11章名称改为「嵌入式软件测试」;
此外,在第10章中(软件整合和验证)关于方法的相关文献已经被系统地整理并罗列在方法表中;附录B基于模型开发与附录E软件安全分析得到了进一步延伸,这两条针对重要地议题给了更重要地指引并反映目前实际的工业经验。
8. ISO 26262 Part 7 -生产、运行、服务和报废
为了增强对于 ISO 26262 Part 7(生产、运行、服务和报废)的可读性,结构、条款、示例等都做出了微调。
9. ISO 26262 Part 8-支持过程
ISO 26262 Part 8(生产、运行、服务和报废)是各种各样支持过程的归纳,对于每一条款的解释将独立地进行解释。其中,第6,7,8,10和14章节(安全要求的定义与管理,配置管理,变更管理,文件化及在用证明)并没有发生显著的变化。
第5章(分布式开发的接口)的关键变化是对客户与供应商之间的安全分工评估的描述。对于安全需求改变关于相应的协议与回馈做了更加详尽的描述。
第9章(验证)一个有趣的细节变动,是测试案例建议由不同作业者评估,而不是测试案例的作成者。
第11章(所使用软件工具的置信度)发生的改变不大,第二版中,对工具的开发与使用做出了更加详尽的说明。
第12章(软件组件的鉴定)发生了几项变化以加强对软件组件鉴定的需求。首先,软件组件鉴定的范围延伸,其中包括软件组件的需求、配置描述及应用手册等,这些变化旨在保障即使一个软件组件没有按照ISO 26262-6的标注,该组件也可以安全地嵌入整个软件架构中。
10. ISO 26262 Part 9-以汽车安全完整性等级为导向和以安全为导向的分析
该部分主要的变化是相关失效的分析。这部分允许根据系统结构及ASIL进行裁剪;附录C提供了相关模型,主要包括7种相关失效的起因,该模型可以为各层面(系统、软件、硬件)相关失效分析提供支持。
11. ISO 26262 Part 10
为了增强对于 ISO 26262 Part 10(指南)的可读性,结构、条款、示例等都做出了微调。
12. ISO 26262 Part 11:半导体应用指南
尽管对于 Part 5对于硬件层面已经有相关说明,但是关于半导体层面的要求还是有限的。因此,Part 11针对半导体技术应用,提供了相应的指导,主要包括两大条款与五个附录:
条款4:半导体组件及其分区
条款5:详尽的半导体技术与使用案例
附录A:以数位故障模式为例评价诊断
附录B:针对相关失效分析给出相应案例
附录C-E:对于不同的半导体产品类型,给出相应的定量分析案例
13. ISO 26262Part12:对摩托车的适用性
ISO 26262 :2018新增Part 12的主要原因是摩托车与乘用车有较大的区别,因此需要针对摩托车进行特殊说明, Part 12仅仅适用于摩托车,对于助力车(最高车速小于50km/h ,排量小于50cc)不适用。
Part 12与危害分析与风险评估有些许差异,首先定义了「摩托车安全完整性等级(MSIL)」,然后 MSIL向 ASIL转换,每一个 MSIL等级对应一个 ASIL等级,如:MSIL B对应ASIL A。
ISO 26262所推荐的定性和定量分析方法
ITEM软件可以方便分析和计算
ITEM ToolKit在功能安全中的主要应用与价值
IEC 61508和ISO 26262的随机失效率数据和计算
ITEM软件有参考标准且方便计算
随机失效率的计算,特别是缺少供应商数据时候,ITEM可以提供的常用标准有Telcordia、IEC 62380、Siemens SN29500、FIDES和NSWC等。
IEC 61508和ISO 26262的各种安全功能失效率计算
ITEM软件的FMECA功能可以方便计算
ITEM ToolKit FMECA可以计算各种失效概率的数据,以满足FMEDA分析和IEC 61508和ISO 26262的标准要求。可计算的失效概率有SFF(Safe Failure Fraction)、SPF(Single Point Faults)、RF( Residual Faults)、DMPF(Detected Multiple Point Faults)、LMP(Latent Multiple Point Faults)、SD(Safe Detected Faults) 和SU(Safe Undetected Faults )等。下面是ITEM截图。
IEC 61508/ISO 26262的PFD/PFH计算
ITEM软件的RBD功能可以方便计算
对于2选1、3选1、3选2( 1oo2、1oo3、2oo3)或者核电4选2(2oo4 ),ITEM的可靠性功能框图RBD功能可以计算IEC 61508/ISO 26262的PFD/PFH。 下图是ITEM软件RBD的分析截图。
ITEM软件的FTA功能可以方便计算
对于2选1、3选1、3选2( 1oo2、1oo3、2oo3)或者核电4选2(2oo4 ),ITEM的故障树FTA功能可以计算IEC 61508IEC 61508/ISO 26262的PFD/PFH。
右图是ITEM软件FTA的分析截图。