2011年,汽車電子功能安全 ISO 26262:2011正式發佈,該標準已經在汽車電子功能安全領域廣泛應用。ISO(國際標準組織)會階段性地對標準進行評估,為了能更好地適應不斷更新的技術需求,ISO 26262於2018年正式改版,
其主要動機如下:
- 第一版 ISO 26262經驗的累積
- 適用範圍向其他種類車輛的拓展
- 半導體層面功能安全的引入
- Fail-operational系統的引入
ISO 26262 :2011的發展和頒布對於汽車電子行業是一個重大的進步,在 ISO 26262.2011發佈之前,IEC 61508作為電子和電氣部件行業相關標準,而對於汽車電子領域並沒有特定的標準。
由於 IEC 61508是一個通用的標準,對於汽車電子有些方面不是特別適應。汽車電子的快速發展給 IEC 61508帶來了較大的挑戰,因此非常有必要針對汽車電子領域形成特定的標準,鑑於此,ISO 26262應運而生。在 ISO 26262第一版發佈的5年後,ISO(國際標準組織)對其進行評估,基於第一版進行完善並形成新的版本。
ISO 26262改版的原因
對於 ISO 26262標準更新的動機,主要來源於該標準應用過程中的經驗累積,在實際應用過程中,發現了許多可以完善的地方。
隨著方法與技術的不斷改進,允許汽車生產商應用與第一版 ISO 26262不同,甚至更加高效的過程方法;此外,語言組織與表達上仍有需要完善的空間。
- 適用範圍的拓展:
在第一版中,適用範圍僅侷限在重量不超過3.5t的乘用車。對於相近的交通車輛範圍的延伸是必要且合理的,因此,第二版中,將卡車、公共汽車、摩托車也涵蓋在內。 - 半導體層面的補充:
ISO 26262 :2011 Part 5對於硬體層面的要求更多是整體上的,很難顧及到半導體層面,因此需要針對半導體層面進一步增加相應說明。 - 失效可操作的系統(Fail-operational systems):
對於自動駕駛功能來說,失效可操作系統是非常有必要的。在第一版 ISO 26262中,更多的注重失效安全(Fail-safe)系統,隨著智能網聯汽車的快速發展,第二版標準將同時注重失效可操作的系統。 - 失效可操作的系統:在其重要或主要系統損壞時,仍可正常完成正常或最終的重要動作的系統。
- 失效安全(Fail-safe)系統 :是指系統不運作時會處在安全狀態,不會造成人員傷亡的系統。
ISO 26262新版變動解析
1. 標準各章節整體變化
如下圖所示為各部分標準,第二版標準新增 Part 11半導體應用指南與 Part 12摩托車應用。
可以看出,針對摩托車增加新的部分(Part 11),對於卡車與公共汽車的特殊要求穿插到現存的各章節中。此外,對於標準條款中的語言及措施,也做了更加準確的修改。
2. ISO 26262 Part 1-定義
主要變動有以下幾點:
a. 對相關術語更加準確、清晰、易懂的定義。
b. 由於不同技術的應用,需要對相關術語進行更新。
c. 由於新的適用對象及新的技術的引入,新的相關術語也需要隨之引入。
在第一版中,絕大多數相關術語得以保留。
3. ISO 26262 Part 2-功能安全管理
ISO 26262 Part2 的變動的依據主要來源於過去5年內該部分累積的經驗。
首先,原 Part 3的「影響分析」轉移到 Part 2,其變化原因主要是對於安全計畫影響分析是一項關鍵的技術輸入。
其次,認可措施(Confirmation measures)也進行了重新調整:
a. 認可措施重心發生了改變,更加關注於與實際功能安全相關的內容;
b. 對於一些認可措施也要求QM級別3、根據之前的實踐經驗,對於低級別的獨立性程度,認可措施也可以由協助者來完成。
另一個重大的改變是功能安全評估的範圍從需求轉為目標。
結構上的重大改變主要是產品的發布和功能安全評估的條款已經從 Part 4轉移到 Part 2,為了更好的理解和強調該部分的應用獨立於開發領域(系統、硬體或軟體)。一個關於安全異常管理的章節新增進來,該章節涵蓋安全異常、職責和必要的溝通。
最後,Part 2還增加了兩個附錄,附錄C詳細地描述了認可措施,並根據新的認可措施的範圍進行調整。附錄F給出了與網絡安全交互與接口的指南。
網絡安全目前仍然並不在新版本的範圍內,但是 Part 2針對網絡安全接口給出了相應的指導。
4. ISO 26262 Part 3-概念階段
ISO 26262 Part3的變動內容是對危害分析和風險評估的描述與功能安全概念。因此,對於第二版 ISO 26262,包含卡車及公共汽車的相關變化是非常必要的,特別是危害分析與風險評估需要反映這些車輛的特徵。對於危害分析與風險評估的基本概念及相關標準並沒有發生改變,但是附錄B(包括嚴重度、偵測性率及發生率)已經做出相應調整。
其中,一個重大的改變是:如果E1是幾種不可能的情況的結合,E1/S3/C3由原來的ASIL A級轉變為QM級別。
關於功能安全概念的相應條款變化不是特別大,對於危害分析與風險評估,附錄裡收錄的案例明顯減少,其主要原因在於強調附錄裡的案例僅僅是示例,並不能代表所有的情況,避免造成先入為主的印象,針對具體的場景在許多情況下,附錄收錄的案例並不是合適的。
5. ISO 26262 Part 4-產品開發:系統層面
如3.所述,為了整個標準的連貫與清晰,Part4 的部分內容已經轉移到 Part2,主要包括:安全生命週期的啟動,以及功能安全評估及產品的發布。
相比第一版,為了避免冗餘繁雜,一個重要的變化點是第6章(技術安全要求的定義)及第7章(系統設計)合併,系統層面的技術安全要求、系統架構設計、需求分解等工作是平行迭代地推進開展,這一點在第6章中更好地展現。
6. ISO 26262 Part 5-產品開發:硬體層面
ISO 26262 Part 5並沒有發生較大的改變,為了增強標準的理解性與可讀性,進行了些微修正,如:對於第8章節,對於現場數據如何決定硬體元器件失效率做出了更精確的描述。
7. ISO 26262 Part 6-產品開發:軟體層面
ISO 26262 Part 6並沒有發生較大的改變,為了增強標準的理解性與可讀性,進行了些微修正。
相比第一版標準,在軟體單元整合與認證方面,主要的變化是更加實用和全盤地對驗證活動的看待。對於單元測試,靜態驗證技術由原來的第8章(軟體單元設計和實現)轉移到第9章(軟體單元驗證),這表明兩種方法領域相互交叉、相互滲透;在許多公司,這種智能混合驗證技術已經被應用,單元驗證方法被整合到同一個表中。
在軟體整合和測試中也應用了相同的原理,在現代軟體開發過程中,靜態驗證技術被應用於整合驗證,因此這些驗證方法都被收錄在表12中;同時,為了改善可讀性,第11章名稱改為「嵌入式軟體測試」;
此外,在第10章中(軟體整合和驗證)關於方法的相關文獻已經被系統地整理並羅列在方法表中;附錄B基於模型開發與附錄E軟體安全分析得到了進一步延伸,這兩條針對重要地議題給了更重要地指引並反映目前實際的工業經驗。
8. ISO 26262 Part 7 -生產、運行、服務和報廢
為了增強對於 ISO 26262 Part 7(生產、運行、服務和報廢)的可讀性,結構、條款、示例等都做出了微調。
9. ISO 26262 Part 8-支援過程
ISO 26262 Part 8(生產、運行、服務和報廢)是各種各樣支持過程的歸納,對於每一條款的解釋將獨立地進行解釋。其中,第6,7,8,10和14章節(安全要求的定義與管理,配置管理,變更管理,文件化及在用證明)並沒有發生顯著的變化。
第5章(分佈式開發的接口)的關鍵變化是對客戶與供應商之間的安全分工評估的描述。對於安全需求改變關於相應的協議與回饋做了更加詳盡的描述。
第9章(驗證)一個有趣的細節變動,是測試案例建議由不同作業者評估,而不是測試案例的作成者。
第11章(所使用軟體工具的置信度)發生的改變不大,第二版中,對工具的開發與使用做出了更加詳盡的說明。
第12章(軟體組件的鑑定)發生了幾項變化以加強對軟體組件鑑定的需求。首先,軟體組件鑑定的範圍延伸,其中包括軟體組件的需求、配置描述及應用手冊等,這些變化旨在保障即使一個軟體組件沒有按照 ISO 26262-6的標註,該組件也可以安全地嵌入整個軟體架構中。
10. ISO 26262 Part 9-以汽車安全完整性等級為導向和以安全為導向的分析
該部分主要的變化是相關失效的分析。這部分允許根據系統結構及ASIL進行裁剪;附錄C提供了相關模型,主要包括7種相關失效的起因,該模型可以為各層面(系統、軟體、硬體)相關失效分析提供支持。
11. ISO 26262 Part 10
為了增強對於 ISO 26262 Part 10(指南)的可讀性,結構、條款、示例等都做出了微調。
12. ISO 26262 Part 11:半導體應用指南
儘管對於 Part 5對於硬體層面已經有相關說明,但是關於半導體層面的要求還是有限的。因此,Part 11針對半導體技術應用,提供了相應的指導,主要包括兩大條款與五個附錄:
條款4:半導體組件及其分區
條款5:詳盡的半導體技術與使用案例
附錄A:以數位故障模式為例評價診斷
附錄B:針對相關失效分析給出相應案例
附錄C-E:對於不同的半導體產品類型,給出相應的定量分析案例
13. ISO 26262Part12:對摩托車的適用性
ISO 26262 :2018新增 Part 12的主要原因是摩托車與乘用車有較大的區別,因此需要針對摩托車進行特殊說明, Part 12僅僅適用於摩托車,對於助力車(最高車速小於50km/h,排量小於50cc)不適用。
Part 12與危害分析與風險評估有些許差異,首先定義了「摩托車安全完整性等級(MSIL)」,然後 MSIL向 ASIL轉換,每一個 MSIL等級對應一個 ASIL等級,如:MSIL B對應ASIL A。
14. 預期功能的安全性(SOTIF, Safety Of The Intended Functionality)
SOTIF是與功能安全非常接近的概念,2016年相關工作組提議覆蓋這個工作領域的相關工作,「ISO/PAS 21448 道路車輛—預期功能安全性」目前在處於開發階段,該標準的相關開發人員正是 ISO 26262標準的開發人員,而這一標準很可能被納入最新版的 ISO 26262標準。
下圖展現了 SOTIF相比功能安全的定義,可以看出,在兩種情況下,都涉及多功能行為及其風險,而其差異主要體現在多功能的起因。
對於功能安全,通常著重考察電子電氣系統失效及故障,如軟體中的電容器短路或緩衝區溢出;而 SOTIF更加注重技術的缺陷及系統相關定義,如圖像識別的精度,雷達的抗干擾性,在SOTIF案例中,沒有故障及失效。
15.預期功能的安全性與功能安全側重點
隨著智能駕駛汽車的發展,SOTIF的重要性也凸顯出來,為了能夠確保這些系統的安全,必須對安全進行全局考慮,而 SOTIF正是基於這點考慮。PAS(目前仍在研發中)拓展了 ISO 26262的V流程,包括 SOTIF危害分析與風險評估,SOTIF概念及 SOTIF相關驗證活動,這些過程將在 PAS的條款及附錄中進一步詳細說明及闡述,由於該工作仍在進展中,更多的細節暫不能透漏。
ISO 26262新版變化總結
相比於第一版 ISO 26262,第二版 ISO 26262 :2018有較大變化。
其變化的主要動機來源於第一版的實施經驗、適用範圍的拓展、改進的過程方法及工具、自動駕駛汽車帶來的挑戰,標準中的各部分都做出了相應的調整,並新增了兩個部分,由於汽車領域科學技術的發展,在功能安全及 SOTIF領域正面臨較大的挑戰,在第二版中將涉及到這些方面,並給出相應的指導。
然而,在下一個5-10年內,汽車行業將發生革命性的變化,這就意味著第三版 ISO 26262更新的是非常必要的。在未來5年內,The SOTIF PAS將被轉化為國際標準,可能作為ISO 26262的一部分,也可能獨立地作為一部分標準。
因此,相關標準的發展仍然是一個持續發展的任務,為工業領域提供持續的引導是一項巨大的挑戰。
---
本文作者:段建宇,由微信公眾號:汽車功能安全 授權轉載;文字內容由領導力企管進行有限度字句精準度之些微修正。
COMMENTS