技 术 信 息

    目前位置:

  • 技术信息
  • Data Management
  • 剖析 ISO26262 - 汽車功能安全標準

剖析 ISO26262 - 汽車功能安全標準

ISO 26262 是汽車業使用的功能性安全標準,其標題為「道路車輛-功能性安全」。

遵循此一標準對於汽車產品開發非常重要。OEM 代工、其供應商、汽車零件開發商都必須遵循此一標準。

在此,我們剖析 ISO 26262 以及 ASIL(汽車安全完整性等級),和開發團隊的遵循標準指南。

ISO 26262 功能性安全綜覽

ISO 26262 是以風險為基礎的安全標準,來自於 IEC 61508。適用於車輛生產的電機及/或電子系統,其中包括駕駛輔助、動力和車輛動態控制系統。

ISO 26262 涵蓋整個開發流程的功能性安全層面:

需求規範 (Requirements specification)

設計 (Design)

執行 (Implementation)

整合 (Integration)

驗證 (Verification)

確認 (Validation)

認可 (Configuration)

ISO 26262 的重要性

ISO 26262 旨在整個汽車設備與系統的使用壽命期間,保證安全。

每個階段都有特定步驟的要求,這保證了從最早的概念到車輛廢用為止的安全。

遵循此一標準,可避免或控制系統性故障,您也會察覺或控制隨機的硬體故障(或您可以減少故障的影響)。

ISO 26262 架構

ISO 26262 由十個章節組成:

Part 1: 詞彙 (Vocabulary)

Part 2: 功能性安全管理 (Management of functional safety)

Part 3: 概念階段 (Concept Phase)

Part 4: 系統層級的產品開發 (Product development at the system level)

Part 5: 硬體層級的產品開發 (Product development at the hardware level)

Part 6: 軟體層級的產品開發 (Product development at the software level)

Part 7: 生產與操作 (Production and operation)

Part 8: 支援流程 (Supporting processes)

Part 9: ASIL 導向與安全導向分析 (ASIL-oriented and safety-oriented analysis)

Part 10: ISO 26262 方針 (Guideline on ISO 26262)

ISO 26262 第六部分(Part 6) 對軟體開發商而言是最重要的,其內容詳述開發商必須遵守以確保每一個元件安全的步驟。

Part 6 包括幾個表格,定義為了達到對此標準的遵循而必須考慮的方法。

ISO 26262 工具資格

任何使用在車輛開發上的工具必須為合格工具。ISO 26262 第八部分 (Part 8) 提供工具資格指南。

該部分規定了以下項目:

軟體工具合格計畫。

軟體工具文件存檔計畫。

軟體工具分級計畫。

軟體工具合格報告。

某些工具比其他工具更容易合格—附帶合規性證書,讓合格流程更為簡單。

什麼是 ASIL(汽車安全完整性等級)?

ASIL — 汽車安全完整性等級— 是 ISO 26262 的關鍵要素。ASIL 用於測量特定系統元件的風險。系統愈複雜,系統性故障和隨機硬體故障的風險就愈高。

ASIL 值從 A 到 D 分為四種。ASIL A 風險等級最低,ASIL D 最高,所以 ASIL D 的遵循要求會比 ASIL A 更嚴格。

在判斷 ASIL 時,還有第五個選擇:QM(品質管理)。這用於註解該項元件無須安全規定。(但能夠遵循以改善產品品質通常是件好事。)

如何判斷 ASIL

ASIL 由三個因素決定:嚴重性、曝險可能性、可控制性。

嚴重性

嚴重性測量一項系統故障的傷害有多嚴重,傷害包括人身與財產。

嚴重性分為四個等級:

S0: 沒有傷害。

S1: 輕至中度傷害。

S2: 重度至有生命危險(可能存活)傷害。

S3: 有生命危險(不一定存活)至致死傷害。

曝險可能性

曝險是特定故障會導致安全危險的狀況可能性。

每一種狀況的可能性按五分制排行:

E0: 非常不可能。

E1: 可能性極低(只在很罕見的操作狀況下會發生傷害)。

E2: 可能性低。

E3: 可能性中。

E4: 可能性高(大部分操作狀況下都會出現傷害)。

可控制性

可控制性是測量發生危險狀況時可避免傷害的可能性。此一狀況可能是因為駕駛人的行動或外部因素所導致。

危險狀況的可控制性以四分制排行:

C0: 一般而言可以控制。

C1: 可以簡單控制。

C2: 通常可以控制(大部分駕駛人可採取行動避免傷害)。

C3: 難以控制或無法控制。

判斷 ASIL

一旦判斷了嚴重性、可能性、可控制性,就可以決定 ASIL。第三部分表格四(ISO 26262-3)對此提供了指引。

根據嚴重性、曝險、可控制性,使用這份表格判斷 ASIL。

ISO 26262 軟體合規性指南

無論是開發傳統汽車元件(如積體電路)或虛擬元件(如車輛虛擬機),遵循 ISO 26262 都十分重要,務必在整個軟體開發生命週期都遵循此一標準。

但對開發團隊而言,遵循可能有困難。系統與程式代碼庫日益複雜,造成軟體的驗證和批准有所困難。

以下說明如何將此變得簡單。

建立需求規範可追溯性

滿足合規性並證明已經達成,是很無聊瑣碎的過程。您必須將所有規範做成文件並能追溯到其他工具上,包括測試、問題及程式源碼等。

建立需求規範可追溯性會讓驗證流程變得簡單,尤其是配合 Helix ALM 這樣的工具使用,可以幫助您管理開發過程中的風險。

將所有文檔儲存在 Perforce 所提供的版本控制器:Helix Core 之中,安全管理所有數位資產的修正歷程。 您會得到精細的存取控制、高可見度的稽核日誌、強大的密碼保全及安全的複製。

如何透過 Helix 輕鬆符合 ISO 26262 規範?

在這篇白皮書中,您會瞭解到:

汽車開發者的功能性安全挑戰。

加速 符合 ISO 26262 規範的 7 個步驟。

Helix ALM 對符合 IS26262 標準所帶來的幫助。

歡迎關注 Graser 社群,即時掌握最新技術應用資訊