ISO 26262道路車輛功能安全標準,共分10個部分章節,標準為了追求道路安全議題之嚴謹,而犧牲了易讀性,使得整套標準不容易理解。
顧問近期於網路上閱讀 ISO 26262相關解析的內容心得,再加上顧問自己的理解,幫助大家較快速的理解 ISO 26262。
ISO 26262系統應用的整體脈絡
建議先把描述整體思維的「引言」部分讀懂,對 ISO 26262來說,標準中的每個部分章節(Part)的引言都是一樣的,但千萬別忽略,它會告訴你,為什麼要制定這個標準/部分章節,或者說這個標準/部分章節可以解決了什麼問題。對於標準制定目的的準確把握,有利於提高後續理解條文的效率。
再者,談到ISO 26262標準的脈絡思維,隨著電動汽車的發展,自動駕駛、智慧汽車已經出現。中國也訂出2019年國內汽車銷售中,電動車應有一定的比例,這使得電子電氣系統在汽車領域的應用比例越來越大,對安全的影響性也就越大。
在系統越來越複雜的事實面前,電子電氣功能開發與安全考慮的系統化,是預防系統性失效的必要手段。ISO 26262著重在「系統」和「整體生命週期」的高度,統籌電子電氣系統的功能安全,從提出產品概念階段開始,覆蓋系統開發、硬體開發、軟體開發、生產運行和售後服務,以系統的方法,指導產品全生命週期的安全事項的實施。
ISO 26262提供系統產品劃分安全等級的具體方法,使得整個行業有統一的參考系統,全部資訊都會以文件化的形式留存,形成可以追根溯源的產品安全管理系統;標準還提供了稽核方法,使安全系統形成 PDCA的循環系統。
瞭解 ISO 26262標準整體架構
架構就是標準通過怎樣的形式來實現基本脈絡,如ISO 26262這樣一組標準,可以透過橫向與縱向兩個層面來理解:
橫向:每個部分(Part)之間的結構分布為何;
縱向:每一個部分的標準內部,其條文與條文之間按照怎樣的結構敘述問題。
ISO 26262中值得一提的地方是,因條文不易理解與比較,所以會有指南章節,可以在瀏覽了引言和全部標準的標題以後,閱讀第10部分「指引」。
下列為 ISO 26262 Part 1~Part 10架構:
- Part 1:定義
- Part 2:功能安全管理
- Part 3:概念階段
- Part 4:產品研發:系統層級
- Part 5:產品研發:硬體層級
- Part 6:產品研發:軟體層級
- Part 7:生產和運作
- Part 8:支援過程
- Part 9:基於 ASIL與安全的分析
- Part 10:ISO 26262指引
理解 ISO 26262每個標準的表達方式
有了前面的理解以後,開始翻閱每個單獨的標準,先不進行深入理解,觀察每個一級標題之間的邏輯關係,並大略看過如下的內容。
歸納發現,ISO 26262典型的敘述模式是:
- 總則;
- 技術安全要求的定義;
- 系統設計;
- 相關項目整合和測試;
- 安全確認;
- 功能安全評估。
可以理解成講述a.原則、b.定義、c.設計、d.測試、e.確認、f.安全評估,是按照實際研發的步驟添加安全要求、安全措施以及安全評估的部分。
章節中確定的分標題中往往都以,「本章輸入」「本章工作結果」命名,實際上每個章節作為流程中的一個步驟,用這樣的命名形式,明確提示訊息流的必要內容,相關內容在標準附錄A匯總成一個表格,在一頁紙裡可看到全部的輸入輸出要求,可以對操作過程產生比較全面的認知。
掌握了每個流程的輸入和輸出,帶著問題,去標準中的相應章節查找對應的詳細操作方法,這樣閱讀和使用標準,一定會帶來事半功倍的效果,按照這樣的理解方法,以下是對 Part 4~8的標準概述:
ISO 26262 Part 4 系統開發
ISO26262中描述的系統層級產品開發流程。
系統開發,與功能安全相關的操作包括:建立系統架構並確定系統安全目標和安全等級;把系統的安全目標和安全等級分配給子系統,常見的一級子系統就是軟體和硬體系統,也可以是其他技術類型的子系統,其後逐步分解直至無法分解的子系統;子系統之間的接口作為一種衍生出來的項目,也需要對其作出功能安全要求和等級劃分。
安全確認,一般是對系統和子系統的測試,與安全目標分解過程相反,是自下而上的過程;從最基層的具備獨立功能的零件開始檢測,每一次整合形成一個新的上級系統,都需要按照這個系統最初設定的安全目標和安全等級進行相應測試,直至組合成最上層系統,完成相應測試;至此並未完全結束,還需要將系統裝車,參與整車的性能和功能安全測試,全部通過以後,系統設計過程才宣告完成。
ISO 26262第4部分「產品開發系統層面」,將說明系統開發的內容分成七個部分:
- 5 總則;
- 6 技術安全要求的定義;
- 7 系統設計;
- 8 相關項整合和測試;
- 9 安全確認;
- 10 功能安全評估;
- 11 生產發佈。
ISO 26262 Part 5 硬體開發
硬體開發過程,原則上與系統開發類似,其安全系統實施分6個部分說明:
- 5 啓動硬體層面產品開發;
- 6 定義硬體安全要求;
- 7 硬體設計;
- 8 硬體架構度量的評估;
- 9 隨機硬體失效導致違背安全目標的評估;
- 10 硬體整合和測試;
ISO 26262 Part 6 軟體開發
標準第6部分,軟體開發安全流程的要求,流程分6個部分
- 5 啓動軟體層面產品開發;
- 6 軟體安全要求的定義;
- 7 軟體架構設計;
- 8 軟體單元設計和實現;
- 9 軟體單元測試;
- 10 軟體整合和測試。
ISO 26262 Part 7 生產和運作
標準第7部分,按照兩部分表述:
- 5 生產;
- 6 運行、服務(維護與維修)和報廢。
描述了功能安全系統在生產過程、維修維護過程中相關的安全要求和負責組織及具體責任。
ISO 26262 Part 8 支援過程
ISO 26262 標準的第8 部分,是對功能安全系統應用過程中,一些重要節點或者應用場景的具體說明和指導,相關部分有10個:
- 5 分布式開發的接口;
- 6 安全要求的定義和管理;
- 7 配置管理;
- 8 變更管理;
- 9 驗證;
- 10 文檔;
- 11 使用軟體工具的置信度;
- 12 軟體組件的鑒定;
- 13 硬體組件的鑒定;
- 14 在用證明。
ISO 26262其餘部分
ISO 26262中的重點和難理解的地方在於,它制定的安全等級的「劃分方法」和在系統內如何「逐級分解」,「劃分」在 Part 3,「逐級分解」在 Part 9。
而安全等級的理解是這個標準的基本功,簡單敘述如下:
ASIL安全等級分解的原則
透過前幾個章節的危害分析和風險評估,會得出系統的安全目標和相應的 ASIL等級,從安全目標可以推導出開發階段的安全需求,安全需求繼承安全目標的 ASIL等級。
如果一個安全需求分解為兩個多餘的安全需求,那麼原來的安全需求的ASIL等級可以分解到兩個多餘的安全需求上。因為只有當兩個安全需求同時不滿足時,才導致系統的失效,所以多餘安全需求的 ASIL等級可以比原始的安全需求的 ASIL等級低。
ISO 26262 Part 9 提供了ASIL分解的原則,如下圖所示:
分解後的 ASIL等級後面括號里是指明原始需求的ASIL等級,比如ASIL D等級分解為ASIL C(D)和ASIL A(D)等,因為整合和需求的驗證仍然依據其原始的ASIL等級。
ASIL 分解可以在安全生命週期的多個階段進行,比如功能安全概念、系統設計、硬件設計、軟件設計階段。
而且ASIL等級可以分多次進行,比如ASIL D等級分為ASIL C(D)和ASIL A(D),ASIL C(D)還可以繼續分解為 ASIL B(D)和ASIL A(D )。
另外,值得提一下的是標準的 Part 2管理,其闡述功能安全思維在管理面的展現,定義不同階段,安全功能的負責組織,是整個功能安全體系的總協調和起點。
而 ISO 26262 Part 1 名詞定義,建議可以先概覽,隨著閱讀標準的其他部分,再回過頭來了解名詞定義。
ISO 26262 道路車輛功能安全標準並不容易懂,但如果有簡單的導讀脈絡,各位都可以逐步成為 ISO 26262的應用專家,ISO 26262基本上制定地相當完整,不同於一些車用國家標準東拚西湊,缺乏具體理論,也忽略了實務的應用。
參考資料:
- ISO26262-1 :2011
- 帮你理清 ISO 26262脉络
非常有用的導讀��
回覆刪除謝謝,您的支持是 ISO 顧問職人持續寫文的動力!
回覆刪除