|
ISO 26262道路车辆功能安全标准,共分10个部分。文字条目多,表述上,为了追求严谨而牺牲了易读性,使得很多人对阅读标准心存忌惮。最近有机会连续读标准,对看标准有点小心得。把心得应用在ISO 26262上,希望能帮你鼓起阅读标准的勇气。
1 ISO 26262 系统应用的总体思路
先把描述总体思路的部分读懂,对ISO 26262来说,它的每个部分的引言都是一样的,别忽略先读一下,它会告诉你,为什么要制定这个标准,或者说这个标准解决了什么问题,能起到什么作用。对于标准制定目的的准确把握,有利于提高理解后续条目的效率。
具体到ISO 26262,其标准的大体思路如下。
汽车的电气化和电动汽车的发展,自动驾驶、智能汽车已经出现。这些使得电子电气系统在汽车领域的应用比例越来越大,对安全的影响也就越大。
在系统越来越复杂的事实面前,电子电气功能开发的系统化,对安全考虑的系统化,是预防系统性失效的必要手段。ISO 26262站在系统和全生命周期的高度,统筹电子电气系统的功能安全,从提出产品概念阶段开始,覆盖系统开发、硬件开发、软件开发、生产运行和售后支持,以系统的方法,指导产品全生命周期的安全事项的实施。
标准提供了给系统产品划分安全等级的具体方法,使得全行业得到一个统一的参考系。全部信息都会以文档的形式留存,形成可以追根溯源的产品安全管理系统。标准还提供了审核方法,使安全体系形成闭环。
2 了解标准总体架构
架构就是标准通过怎样的形式来实现它的基本思路,像ISO 26262这样一组标准,可以分两个维度来看,横向和纵向。横向,指每个部分之间是什么结构分布;纵向,指每一个标准内部,它的条目之间,按照怎样的结构叙述问题。下图是标准一开篇给出的一个各个部分和章节在汽车系统开发过程中所处的大体位置。
具体到ISO 26262,横向,把标准的十个部分放到一起,先看题目,加上之前对制定标准目的的把握,基本就可以猜个八九不离十。
ISO 26262最贴心的地方是,知道自己比较庞大深奥,自带“指南”,可以在浏览了引言和全部标准的标题以后,阅读第10部分“导则”。
Part 1:定义
Part 2:功能安全管理
Part 3:概念阶段
Part 4:产品研发:系统级
Part 5:产品研发:硬件级
Part 6:产品研发:软件级
Part 7:生产和操作
Part 8:支持过程
Part 9:基于ASIL 和安全的分析
Part 10:ISO26262 导则
了解纵向,顺序翻开每个标准,不深入阅读内容,而是大体浏览,并关注标准内容的一级标题。发现,ISO 26262除了第1部分和第10部分以外,其余8个分标准的标准正文,前4个一级标题及其下面的内容都是一样的,这下又可以免掉一部分工作量了。
具体到ISO 26262,横向,标准想解决的问题是:降低汽车电子电气系统发生系统性失效的可能性,采取的方式是全生命周期全系统的安全管理方式。安全系统对安全管理的相关人员组织作出要求,并从产品概念构思开始,设计、生产、运行、售后整个过程贯穿功能安全措施,这一点体现了全生命周期功能安全;而全系统主要体现在构思阶段的全架构思考和确定安全目标,设计阶段的安全目标和安全等级的划分和分解的逐级进行。
3 理解每个标准的表达方式
有了前面的理解以后,开始翻阅每个单独的标准,先不进行深入理解,观察每个一级标题之间的逻辑关系,顺带大体看一眼下面的内容。
发现,ISO 26262典型的叙述模式是:“5总则”、“ 6 技术安全要求的定义”“ 7 系统设计”“ 8 相关项集成和测试”“ 9 安全确认”“ 10 功能安全评估”。可以理解成申明原则、给定义、设计、测试、确认、安全评估,是按照实际研发的步骤添加安全要求、安全措施以及安全评估的部分。
章节中确定的分标题中往往都以,“本章输入”“本章工作结果”命名,实际上每个章节作为流程中的一个步骤,用这样的命名形式,明确提示信息流的必要内容,相关内容在标准附录A汇总成一个表格,在一页纸里看到全部的输入输出要求,可以对操作过程产生比较全面的感知。
掌握了每个流程的输入和输出,带着问题,去标准中的相应章节查找对应的详细操作方法。这样阅读和使用标准,一定会带来事半功倍的效果。按照这个理解方式,把对第4、5、6、7、8部分的标准概述放在下面。
3.1 系统开发(第4部分)
ISO26262中描述的系统级产品开发流程。
系统开发,与功能安全相关的操作包括:建立系统架构并确定系统安全目标和安全等级;把系统的安全目标和安全等级分配给子系统,常见的一级子系统就是软件和硬件系统,也可以是其他技术类型的子系统。其后逐步分解直至无法分解的子系统;子系统之间的接口作为一种衍生出来的项目,也需要对其作出功能安全要求和等级划分;
安全确认,一般是对系统和子系统的测试,与安全目标分解过程相反,是自下而上的过程;从最基层的具备独立功能的部件开始检测,每一次集成形成一个新的上级系统,都需要按照这个系统最初设定的安全目标和安全等级进行相应测试。直至组合成最上层系统,完成相应测试;至此并未完全结束,还需要将系统装车,参与整车的性能和功能安全测试,全部通过以后,系统设计过程才宣告完成。下图为原标准中提供的系统开发参考流程图。
ISO26262第4部分“产品开发系统层面”,将说明系统开发的内容分成“5总则”、“ 6 技术安全要求的定义”“ 7 系统设计”“ 8 相关项集成和测试”“ 9 安全确认”“ 10 功能安全评估”“ 11 生产发布”七个部分。附录1的“产品开发系统层面概览”抓图放在下面。
3.2 硬件开发(第5部分)
硬件开发过程,大体与系统开发类似,其安全系统实施分6个部分说明,序号为标准内原有序号“5 启动硬件层面产品开发”“ 6 定义硬件安全要求”“ 7 硬件设计”“ 8 硬件架构度量的评估”“ 9 随机硬件失效导致违背安全目标的评估”“10 硬件集成和测试”每个步骤的目的,输入材料和输出文件如下表概览所示。
3.3 软件开发(第6部分)
标准第6部分,软件开发安全流程的要求,流程分6个部分“5 启动软件层面产品开发”“ 6 软件安全要求的定义”“ 7 软件架构设计”“ 8 软件单元设计和实现”“ 9 软件单元测试”“ 10 软件集成和测试”。对应软件部分的输入输出文件如下表所示。
3.4 生产和运行(第7部分)
标准第7部分,按照两部分表述,“5 生产”、“6 运行、服务(维护与维修)和报废”。描述了功能安全系统在生产过程、维修维护过程中相关的安全要求和负责组织及具体责任。生产和运行的概览表格抓图如下。
3.5支持过程(第8部分)
ISO 26262 标准的第8 部分,是对功能安全系统应用过程中,一些重要节点或者应用场景的具体说明和指导,相关部分有10个。“5 分布式开发的接口”、“ 6 安全要求的定义和管理”、“ 7 配置管理”、“ 8 变更管理”、“ 9 验证”“ 10 文档”、“ 11 使用软件工具的置信度”、“ 12 软件组件的鉴定”、“ 13 硬件组件的鉴定”、“ 14 在用证明”。附录A的整章内容概览表格抓图如下。
4 其余部分
重点内容重点读(第3部分,第9部分)。ISO 26262中的重点和难点在于,它制定的安全等级的划分方法和在系统内如何逐级分解。划分在第3部分,逐级分解在第9部分。昨天发的文章专门讨论安全等级的划分和分解,这里对内容不再赘述。
对于重点和难点,其实没有啥经验可以讲出来的,但有个心态上的体会。既然知道是重点,就别犯怵,别拖延,挽起袖子赶紧上,死磕。如果拿出这种心态,内容就会自然呈现。有点忽悠的味道了,信不信由你。
管理部分(第2部分)阐述功能安全思想在管理方面的体现,定义不同阶段,安全功能的负责组织,是整个功能安全体系的总协调和起点。本来应该在最初总体理解的地方读,如果本人就是做体系管理的,这一章更是应该先读。
定义(第1部分),可以先大体浏览,随着后面的阅读,返回来去查找定义。
最后,表述一个可能是大家都有的理念。阅读标准,最初阅读的时候,不一定要一次把内容全部吃透。了解总体情况以后,遇到具体问题,知道去哪个章节哪个条目找,基本就达到目的了。详尽的理解,可以在应用中逐步深化。
参考文献
1 ISO26262-1:2011-道路车辆 功能安全 第1部分:术语;
2 ISO26262-1:2011-道路车辆 功能安全 第2部分:功能安全管理;
3 ISO26262-1:2011-道路车辆 功能安全 第3部分:概念阶段;
4 ISO26262-1:2011-道路车辆 功能安全 第4部分:产品开发:系统层面;
5 ISO26262-1:2011-道路车辆 功能安全 第5部分:产品开发:硬件层面;
6 ISO26262-1:2011-道路车辆 功能安全 第6部分:产品开发:软件层面;
7 ISO26262-1:2011-道路车辆 功能安全 第7部分:生产和运行;
8 ISO26262-1:2011-道路车辆 功能安全 第8部分:支持过程;
9 ISO26262-1:2011-道路车辆 功能安全 第9部分:以汽车安全完整性等级为导向和以安全为导向的分析;
10 ISO26262-1:2011-道路车辆 功能安全 第10部分:指南.
