ISO26262-2018-最新版深入解读

ISO26262:2018最新版深入解读2011年，汽车电子功能安全ISO26262：2011正式发布，该标准已经在汽车电子功能安全领域广泛应用。ISO(国际标准化组织)会阶段性地对标准进行评估，为了能更好地适应不断更新的技术需求，ISO26262于2018年正式改版，其主要动机如下：•第一版ISO26262经验的累积•适用范围向其他种类车辆的拓展•半导体层面功能安全的引入•Fail-operational系统的引入ISO26262:2011的发展和颁布对于汽车电子行业是一个重大的进步，在ISO26262.2011发布之前，IEC61508作为电子和电气部件行业相关标准，而对于汽车电子领域并没有特定的标准。由于IEC61508是一个通用的标准，对于汽车电子有些方面不是特别适应。汽车电子的快速发展给IEC61508带来了较大的挑战，因此非常有必要针对汽车电子领域形成特定的标准，鉴于此，ISO26262应运而生。在ISO26262第一版发布的5年后，ISO(国际标准化组织)对其进行评估，基于第一版进行完善并形成新的版本。ISO26262改版的原因对于ISO26262标准更新的动机，主要来源于该标准应用过程中的经验累积，在实际应用过程中，发现了许多可以完善的地方。随着方法与技术的不断改进，允许汽车生产商应用与第一版ISO26262不同，甚至更加高效的过程方法；此外，语言组织与表达上仍有需要完善的空间。•适用范围的拓展：在第一版中，适用范围仅局限在重量不超过3.5t的乘用车。对于相近的交通车辆范围的延伸是必要且合理的，因此，第二版中，将卡车、公共汽车、摩托车也涵盖在内。•半导体层面的补充：ISO26262:2011Part5对于硬件层面的要求更多是整体上的，很难顾及到半导体层面，因此需要针对半导体层面进一步增加相应说明。•失效可操作的系统(Fail-operationalsystems)：对于自动驾驶功能来说，失效可操作系统是非常有必要的。在第一版ISO26262中，更多的注重失效安全(Fail-safe)系统，随着智能网联汽车的快速发展，第二版标准将同时注重失效可操作的系统。o失效可操作的系统：在其重要或主要系统损坏时，仍可正常完成正常或最终的重要动作的系统。o失效安全(Fail-safe)系统：是指系统不运作时会处在安全状态，不会造成人员伤亡的系统。ISO26262新版变动解析1.标准各章节整体变化如下图所示为各部分标准，第二版标准新增Part11半导体应用指南与Part12摩托车应用。可以看出，针对摩托车增加新的部分(Part11)，对于卡车与公共汽车的特殊要求穿插到现存的各章节中。此外，对于标准条款中的语言及措施，也做了更加准确的修改。2.ISO26262Part1-定义主要变动有以下几点：a.对相关术语更加准确、清晰、易懂的定义。b.由于不同技术的应用，需要对相关术语进行更新。c.由于新的适用对象及新的技术的引入，新的相关术语也需要随之引入。在第一版中，绝大多数相关术语得以保留。3.ISO26262Part2-功能安全管理ISO26262Part2的变动的依据主要来源于过去5年内该部分累积的经验。首先，原Part3的「影响分析」转移到Part2，其变化原因主要是对于安全计划影响分析是一项关键的技术输入。其次，认可措施(Confirmationmeasures)也进行了重新调整：a.认可措施重心发生了改变，更加关注于与实际功能安全相关的内容；b.对于一些认可措施也要求QM级别3、根据之前的实践经验，对于低级别的独立性程度，认可措施也可以由协助者来完成。另一个重大的改变是功能安全评估的范围从需求转为目标。结构上的重大改变主要是产品的发布和功能安全评估的条款已经从Part4转移到Part2，为了更好的理解和强调该部分的应用独立于开发领域(系统、硬件或软件)。一个关于安全异常管理的章节新增进来，该章节涵盖安全异常、职责和必要的沟通。最后，Part2还增加了两个附录，附录C详细地描述了认可措施，并根据新的认可措施的范围进行调整。附录F给出了与网络安全交互与接口的指南。网络安全目前仍然并不在新版本的范围内，但是Part2针对网络安全接口给出了相应的指导。4.ISO26262Part3-概念阶段ISO26262Part3的变动内容是对危害分析和风险评估的描述与功能安全概念。因此，对于第二版ISO26262，包含卡车及公共汽车的相关变化是非常必要的，特别是危害分析与风险评估需要反映这些车辆的特征。对于危害分析与风险评估的基本概念及相关标准并没有发生改变，但是附录B(包括严重度、侦测性率及发生率)已经做出相应调整。其中，一个重大的改变是：如果E1是几种不可能的情况的结合，E1/S3/C3由原来的ASILA级转变为QM级别。关于功能安全概念的相应条款变化不是特别大，对于危害分析与风险评估，附录里收录的案例明显减少，其主要原因在于强调附录里的案例仅仅是示例，并不能代表所有的情况，避免造成先入为主的印象，针对具体的场景在许多情况下，附录收录的案例并不是合适的。5.ISO26262Part4-产品开发：系统层面如3.所述，为了整个标准的连贯与清晰，Part4的部分内容已经转移到Part2，主要包括：安全生命周期的启动，以及功能安全评估及产品的发布。相比第一版，为了避免冗余繁杂，一个重要的变化点是第6章(技术安全要求的定义)及第7章(系统设计)合并，系统层面的技术安全要求、系统架构设计、需求分解等工作是平行迭代地推进开展，这一点在第6章中更好地展现。6.ISO26262Part5-产品开发：硬件层面ISO26262Part5并没有发生较大的改变，为了增强标准的理解性与可读性，进行了些微修正，如：对于第8章节，对于现场数据如何决定硬件元器件失效率做出了更精确的描述。7.ISO26262Part6-产品开发：软件层面ISO26262Part6并没有发生较大的改变，为了增强标准的理解性与可读性，进行了些微修正。相比第一版标准，在软件单元整合与认证方面，主要的变化是更加实用和全盘地对验证活动的看待。对于单元测试，静态验证技术由原来的第8章(软件单元设计和实现)转移到第9章(软件单元验证)，这表明两种方法领域相互交叉、相互渗透；在许多公司，这种智能混合验证技术已经被应用，单元验证方法被整合到同一个表中。在软件整合和测试中也应用了相同的原理，在现代软件开发过程中，静态验证技术被应用于整合验证，因此这些验证方法都被收录在表12中；同时，为了改善可读性，第11章名称改为「嵌入式软件测试」；此外，在第10章中(软件整合和验证)关于方法的相关文献已经被系统地整理并罗列在方法表中；附录B基于模型开发与附录E软件安全分析得到了进一步延伸，这两条针对重要地议题给了更重要地指引并反映目前实际的工业经验。8.ISO26262Part7-生产、运行、服务和报废为了增强对于ISO26262Part7(生产、运行、服务和报废)的可读性，结构、条款、示例等都做出了微调。9.ISO26262Part8-支持过程ISO26262Part8(生产、运行、服务和报废)是各种各样支持过程的归纳，对于每一条款的解释将独立地进行解释。其中，第6，7，8，10和14章节(安全要求的定义与管理，配置管理，变更管理，文件化及在用证明)并没有发生显著的变化。第5章(分布式开发的接口)的关键变化是对客户与供货商之间的安全分工评估的描述。对于安全需求改变关于相应的协议与回馈做了更加详尽的描述。第9章(验证)一个有趣的细节变动，是测试案例建议由不同作业者评估，而不是测试案例的作成者。第11章(所使用软件工具的置信度)发生的改变不大，第二版中，对工具的开发与使用做出了更加详尽的说明。第12章(软件组件的鉴定)发生了几项变化以加强对软件组件鉴定的需求。首先，软件组件鉴定的范围延伸，其中包括软件组件的需求、配置描述及应用手册等，这些变化旨在保障即使一个软件组件没有按照ISO26262-6的标注，该组件也可以安全地嵌入整个软件架构中。10.ISO26262Part9-以汽车安全完整性等级为导向和以安全为导向的分析该部分主要的变化是相关失效的分析。这部分允许根据系统结构及ASIL进行裁剪；附录C提供了相关模型，主要包括7种相关失效的起因，该模型可以为各层面(系统、软件、硬件)相关失效分析提供支持。11.ISO26262Part10为了增强对于ISO26262Part10(指南)的可读性，结构、条款、示例等都做出了微调。12.ISO26262Part11:半导体应用指南尽管对于Part5对于硬件层面已经有相关说明，但是关于半导体层面的要求还是有限的。因此，Part11针对半导体技术应用，提供了相应的指导，主要包括两大条款与五个附录：条款4：半导体组件及其分区条款5：详尽的半导体技术与使用案例附录A：以数字故障模式为例评价诊断附录B：针对相关失效分析给出相应案例附录C-E：对于不同的半导体产品类型，给出相应的定量分析案例13.ISO26262Part12:对摩托车的适用性ISO26262:2018新增Part12的主要原因是摩托车与乘用车有较大的区别，因此需要针对摩托车进行特殊说明，Part12仅仅适用于摩托车，对于助力车(最高车速小于50km/h,排量小于50cc)不适用。Part12与危害分析与风险评估有些许差异，首先定义了「摩托车安全完整性等级(MSIL)」，然后MSIL向ASIL转换，每一个MSIL等级对应一个ASIL等级，如：MSILB对应ASILA。14.预期功能的安全性(SOTIF,SafetyOfTheIntendedFunctionality)SOTIF是与功能安全非常接近的概念，2016年相关工作组提议覆盖这个工作领域的相关工作，「ISO/PAS21448道路车辆—预期功能安全性」目前在处于开发阶段，该标准的相关开发人员正是ISO26262标准的开发人员，而这一标准很可能被纳入最新版的ISO26262标准。下图展现了SOTIF相比功能安全的定义，可以看出，在两种情况下，都涉及多功能行为及其风险，而其差异主要体现在多功能的起因。对于功能安全，通常着重考察电子电气系统失效及故障，如软件中的电容器短路或缓冲区溢出；而SOTIF更加注重技术的缺陷及系统相关定义，如图像识别的精度，雷达的抗干扰性，在SOTIF案例中，没有故障及失效。15.预期功能的安全性与功能安全侧重点随着智能驾驶汽车的发展，SOTIF的重要性也凸显出来，为了能够确保这些系统的安全，必须对安全进行全局考虑，而SOTIF正是基于这点考虑。PAS(目前仍在研发中)拓展了ISO26262的V流程，包括SOTIF危害分析与风险评估，SOTIF概念及SOTIF相关验证活动，这些过程将在PAS的条款及附录中进一步详细说明及阐述，由于该工作仍在进展中，更多的细节暂不能透漏。ISO26262新版变化总结相比于第一版ISO26262，第二版ISO26262:2018有较大变化。其变化的主要动机来源于第一版的实施经验、适用范围的拓展、改进的过程方法及工具、自动驾驶汽车带来的挑战，标准中的各部分都做出了相应的调整，并新增了两个部分，由于汽车领域科学技术的发展，在功能安全及SOTIF领域正面临较大的挑战，在第二版中将涉及到这些方面，并给出相应的指导。然而，在下一个5-10年内，汽车行业将发生革命性的变化，这就意味着第三版ISO26262更新的是非常必要的。在未来5年内，TheSOTIFPAS将被转化为国际标准，可能作为ISO26262的一部分，也可能独立地作为一部分标准。因此，相关标准的发展仍然是一个持续发展的任务，为工业领域提供持续的引导是一项巨大的挑战。---注：信息内容收集整理来源于网络。