如何根据ISO26262开发安全要求

➡本文主要内容分为6个部分（约4200字，13分钟阅读）

ISO的目的是识别和分类车辆系统的潜在风险，并得出与预防或者减轻这些危害相关的安全概念和相关的安全要求。对于复杂和分布式开发系统而言，安全要求的开发通常包含以下挑战：

● 在危害分析中找到正确的细节点 （进行有效的审查）

● 定义安全目标，使其推动实现 （以支持系统的开发）

● 文档假设 （以明确清晰的相关项范围）

● 证明安全概念 （以支持安全档案）

● 不要遗漏相关的要求或者属性 （以确保完整性）

● 支持主机厂和供应商的接口 （以避免不一致）

本文从ISO 26262中所要求的关键产出物——相关项定义、危害分析、安全目标、功能安全要求、技术安全要求等的角度提出建议，来保证安全要求开发的完整性。

相关项定义应该包括：

● 法规要求，国家标准和国际标准；

● 整车层面的功能行为，包括运行模式或者运行状态；

● 所要求的功能的质量，性能和可用性 （如果适用） ；

● 相关项的约束，比如功能依赖性，与其他相关项的依赖 性等；

● 行为不足的潜在后果 （如果有的话） ，包括已知的失效模式和危害；

● 执行器的能力，或者其假定的能力；

● 被明确 （可以由相关数据库支持） ；

● 在危害分析中被引用；

● Severity——潜在严重程度的估计 （包含合理的理由）

● Exposure——暴露概率的估计 （包含合理的理由）

● Controllability——可控性的估计 （包含合理的理由）

图1 严重度-暴露概率-可控性的分类

（图片来源 ISO 26262, PART3）

图2 ASIL等级的确定（图片来源 ISO 26262, PART3）

功能安全目标是基于危害分析和风险评估中定义的危害的最高水平的安全要求。

● 安全目标应该清晰、准确；

● 安全目标不应包含技术细节；

● 安全目标应能够通过技术手段实现；

● 安全目标应具有唯一的标识ID；

● 应为每种被评定为ASIL A, B, C, D的危险指定至少一个安全目标；

● 一个安全目标可以分配给多个危险；

● 一个危险可能有多个安全目标；

● 如果安全目标可以通过转换到或者维持一个或多个安全状态来实现，则应规定好相应的安全状态。

图3 安全要求的结构和分布

（图片来源 ISO 26262, PART3）

● 对于每一个安全目标，至少可以分解出一个功能安全要求。

● 除此之外，将初步危害分析中的假设转化成功能安全要求，来确保在验证和确认过程中处理这些假设。

● 开发功能安全要求时，可以提前把需求的各种类别/属性定义出来 （比如：信息，安全需求，操作模式，ASIL等级，安全状态等） 。类别和属性有助于需求工程师对需求进行恰当的描述。

● 对于有冗余设计的需求，我们可以通过ASIL分解的方法来降低单个需求的ASIL等级。分解通常会导致额外的需求。

● 功能安全要求被分配给初始架构里的要素。通常，我们把功能安全要求分配给逻辑块而不是物理组件。在一个项目中，不同的方案来分配功能安全要求，其技术实现也不同。

● 执行安全分析，以确保功能安全概念和初始的危害分析之间的符合性和一致性。

图4  需求的种类及其属性

● 来自系统设计，相关项定义和功能安全概念的输入信息：外部接口，约束，技术框图，组件和子系统的功能概述，内部接口，以及系统层级架构的描述，包含系统层面的冗余概念。这些输入一定程度上可以确保系统设计和技术安全要求是一致的。

● 由功能安全要求开发出的技术安全要求，包括FTTI，紧急操作，验证与确认等等。技术安全要求的类别和属性也可以参考上面的表格。

● 对子系统分配好硬件指标要求 （不同等级的产品有不同的要求，请参考ISO 26262第五部分） 。

图5 硬件指标值的定义（see ISO 26262, Part5）

● 同样在安全要求规范中，我们也可以进行ASIL分解，并定义安全相关的参数。

● 开发的技术安全要求要匹配到相应的组件或者子系统上。

● 执行安全分析，以确保技术安全概念，功能安全概念和初始的系统架构假设之间的符合性和一致性，并验证系统设计是否满足技术安全要求。

● 在技术安全要求中，组件/子系统的内部方面，如：

￮ 与部件内故障检测相关的措施；

￮ 内部故障响应的详细信息；

￮ 避免潜在失效；

￮ 多点故障检测时间间隔；

￮ 对组件架构/冗余概念的描述，包括对处理潜在相关  故障的措施的描述 （ 主机厂通常不会给出详细的要求，细节的设计要求通常由组件/子系统的供应商来给出） 。

● 对硬件指标值的分配：

￮ 如果使用了冗余设计，并且故障检测不限于单个组件，最好为每一个组件分配好单点故障度量 （SPFM） 和潜在故障度量 (LFM) 的目标值。不然，实现该安全目标的组件/子系统应直接继承安全目标对应的SPFM和LFM目标值。

● 安全分析和规范之间的一致性 （功能安全要求、技术安全要求以及详细的软硬件安全要求） 。

● 所有安全相关要求/参数状态的验证和确认。

● 定义、确认和设计验证的状态。

● 确认硬件指标计算。

● 应参考相应的分析要素，并在安全V&V报告中计划必要的验证和确认活动。

● 所有活动应根据开发生命周期计划来进行，并记录相应的结果 （形成文件） ，以证明所有安全目标都已实现，所有功能/技术安全要求都已满足。

对于 安全目标 来说，可参考以下活动：

● 在安全目标层面计算硬件度量指标值 （PMHF, SPFM, LFM） ，并对计算的结果和结论进行评估和验证。

对功能安全概念来说，可参考以下活动：

● 验证 （比如：测试） 应该以文档的形式记录下来。并对其正确性和完整性进行评估和验证。

● 如果为功能安全要求定义/明确了参数，那相关的参数的验证规范需要给出 （包括验证活动和通过标准） ，并对其正确性和完整性进行评估和验证。

● 按照计划执行规定的验证和确认活动 （比如：评审，测试） ，并记录相应的V&V结果 （形成文件） 。测试结果应满足通过标准。

● 开发相应的验证规范，来验证技术安全要求的正确实现 （如故障注入，安全相关功能测试等） ，并对验证规范的正确性和完整性进行评估和验证。

● 组件/子系统供应商应按照技术安全要求开发详细的软件和硬件的安全要求，并检查以下几方面：

￮ 供应商方面的实现过程是合适恰当的。

￮ 软件和硬件的安全要求，软硬件接口和组件的设计都是根据技术安全要求得到的，并保证其正确性和完整性。

￮ 执行安全分析，确认相应的违反技术安全要求的故障，并确保安全分析的完整性和正确性。

￮ 正确的软件和硬件设计 （包括内部和外部的接口） ，并与安全分析相对应。

● 组件/子系统供应商应完善技术安全要求：

￮ 对于内部故障处理类的要求，要明确与检测和指示组件内故障有关的措施，以及内部故障相应的详细信息。

￮ 对于潜伏故障处理类的要求，要明确与部件内故障的检测和指示相关的措施，潜伏故障的避免，以及故障响应的详细信息。

￮ 对于定义的PMHF的要求，对组件设计架构的描述 （冗余概念的描述，如有） ，以及处理潜在相关失效的措施的描述。

● 组件/子系统的供应商验证组件中软件和硬件安全要求的实现，可以检查如下几方面：

￮ 根据测试规范，验证所开发的安全机制的有效性和故障覆盖是满足要求的。

￮ FMEDA的计算结果是满足相应ASIL等级的指标要求的。

￮ 如果需要的话，对相应的软件/硬件组件进行鉴定，并生成鉴定报告。

对于每一个V&V活动，责任，对相应文件的引用以及状态都应该在安全V&V报告中进行追踪。OEM和供应商接口，以及双方涉及到的ISO26262部分如下所示。

图6 OEM与供应商的接口

参考资料：

[1] ISO 26262:2018, Part1;

[2] ISO 26262:2018, Part2;

[3] ISO 26262:2018, Part3;

[4] ISO 26262:2018, Part4;

[5] ISO 26262:2018, Part5;

[6] SEMANTIC SCHOLAR search;

Eleganze / 作者

闻继伟 | 校阅