什么是ISO26262?
ISO 26262(国际功能安全标准)是一个涵盖整个汽车产品开发过程的汽车功能安全标准。ISO 26262继承或改编自工业自动化行业的安全要求标准IEC61508,但专门为汽车行业量身定制。最新版本是ISO26262-1:2018。
它包括诸如需求分析、安全分析、质量管理、设计、实现、集成、验证、确认和配置等活动。这适用于道路车辆,如摩托车、传统的汽油汽车和卡车、混合动力汽车和自动驾驶汽车。
该标准通过规定以下要求,为整车厂(OEM)和其他供应商的汽车安全生命周期活动提供指南:
- 汽车应用的功能安全管理
- 汽车应用软件级别的产品开发
- 汽车应用的概念阶段
- 汽车应用软件架构设计的系统级产品开发
- 面向汽车安全完整性等级 (ASIL) 和面向安全的分析和故障分析
- 汽车应用软件单元测试的硬件级产品开发
- 生产、运营、服务和报废
ISO26262的组成部分是什么?
ISO 26262将功能安全开发融入了广为熟知的"V模型"开发流程中。根据系统/硬件/软件三个层级的划分,ISO 26262共涉及三个"V模型":
"V模型"可以简单概括为:1、确定需求;2、实现需求;3验证需求。对于确定需求和实现需求集中在"V模型"的左边,验证需求集中"V模型"的右边。它们帮助确保汽车电子系统在设计、开发和生产过程中满足严格的安全要求,并提供了验证和确认的方法和流程来确保安全目标的实现和合规性。
总的来说,ISO26262被分为12个部分,可以简单地用上面的图表来分解。
- 第1部分-包括词汇表、术语、缩写和定义。
- 第2部分-描述功能安全管理。
- 第3部分-推动最终构建和交付的概念阶段。
- 第4部分-产品开发的开始。
- 第5部分-针对硬件开发。
- 第6部分-目标软件开发。
- 第7部分-涉及产品在现场的生产和运营,以及运营服务和报废。
- 第8部分-描述了确保开发安全的支持过程和解决方案。
- 第9部分-针对行人和乘客的产品/平台开发风险分类。
- 第10部分-提供ISO26262标准概述和附加信息。
- 第11部分-为半导体制造商提供关于如何保持ISO26262标准的信息和指导。特别适用于基于视觉的技术,如图形处理单元(GPU)、DRAM、传感器和增强高级驾驶辅助系统(ADAs)的关键组件。
- 第12部分-摩托车改装。
该标准的第6部分专门针对软件级别的产品开发,Parasoft 用户可以节省时间和精力来遵守这部分标准。第 6.9、6.10 和 6.11 节代表软件的测试或形式验证和确认。
这包括根据分配的汽车安全完整性等级 (ASIL) 推荐或强烈推荐的多种验证方法(单元测试、静态分析、结构代码覆盖率、需求可追溯性等)。与安全概念和安全相关系统一样,硬件和软件的错误余地很小。
汽车安全完整性等级(ASIL)
ASIL是ISO 26262标准的重要组成部分,在开发过程的开始阶段确定。它分析系统的预期功能,同时指出可能的危害。ASIL提出这样一个问题:"如果车辆发生故障,驾驶员和相关道路使用者会怎样?"
为了评估风险,ASIL需综合考虑暴露的可能性、驾驶员的控制能力以及发生重大事件时可能带来的后果的严重程度。ASIL不管系统所使用的技术,只关注驾驶员及其他道路使用者所受到的危害。
ASIL根据不同的安全要求分为A、B、C、D四个级别,其中D级拥有最安全的关键流程,测试规范最为严格。ISO 26262标准根据组件的ASIL级别,分别规定了最低测试要求,有助于确定测试时必须采取的方法。确定ASIL后,就决定了系统的安全目标,也就是确定了保证安全所需的系统行为。
比如,以雨刷系统为例。安全分析将确定丧失雨刷功能会对驾驶员的视线造成何种影响。ASIL给出指导,选择适当的方法来使产品达到一定程度的完整性,旨在补充现有的安全做法。目前,汽车制造采用高安全标准,而ISO 26262旨在规范行业内的特定做法。