iso26262認(rèn)證考試

ISO 26262的關(guān)鍵組成部分ISO 26262采用分步系統(tǒng)，管理功能安全，并在系統(tǒng)、硬件及軟件層面規(guī)范產(chǎn)品開發(fā)。

ISO 26262標(biāo)準(zhǔn)提供了規(guī)范及推薦做法，貫穿了產(chǎn)品從概念開發(fā)到報廢的整個開發(fā)過程。ISO 26262詳細(xì)介紹了如何為系統(tǒng)或組件指定可接受的風(fēng)險等級，以及記錄總體測試過程的方法。總體來說，ISO 26262：

定義汽車安全生命周期(管理、開發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報廢)，并支持在各生命周期階段中自定義必要的活動

提供基于風(fēng)險的具體方法，判定汽車的風(fēng)險等級(汽車安全完整性等級，簡稱ASIL)

使用ASIL指定項目的必要安全要求，以使殘余風(fēng)險在可接受的范圍內(nèi)

提供驗證要求和確認(rèn)方法，以確保實現(xiàn)有效且可接受的安全水平

汽車安全生命周期

ISO 26262共有10卷，用于系列量產(chǎn)車，包含針對汽車的章節(jié)。例如，ISO 26262的第7章對生產(chǎn)、運(yùn)行、服務(wù)及報廢提出了明確的安全要求。

ISO 26262汽車安全生命周期描述了整個生產(chǎn)生命周期，包括對安全管理員的需求、安全計劃的制定以及確認(rèn)方法的定義(包括安全檢查、審計及評估)。開發(fā)E/E系統(tǒng)及元件需要遵循這些要求。

本白皮書主要介紹生命周期的開發(fā)部分。ISO 26262的開發(fā)部分涉及了系統(tǒng)定義、系統(tǒng)設(shè)計、功能安全評估以及安全驗證。

汽車安全完整性等級(ASIL)

ASIL是ISO 26262標(biāo)準(zhǔn)的重要組成部分，在開發(fā)過程的開始階段確定。它分析系統(tǒng)的預(yù)期功能，同時指出可能的危害。ASIL提出這樣一個問題：“如果車輛發(fā)生故障，駕駛員和相關(guān)道路使用者會怎樣?”

為了評估風(fēng)險，ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及發(fā)生重大事件時可能帶來的后果的嚴(yán)重程度。ASIL不管系統(tǒng)所使用的技術(shù)，只關(guān)注駕駛員及其他道路使用者所受到的危害。

ASIL根據(jù)不同的安全要求分為A、B、C、D四個級別，其中D級擁有最安全的關(guān)鍵流程，測試規(guī)范最為嚴(yán)格。ISO 26262標(biāo)準(zhǔn)根據(jù)組件的ASIL級別，分別規(guī)定了最低測試要求，有助于確定測試時必須采取的方法。確定ASIL后，就決定了系統(tǒng)的安全目標(biāo)，也就是確定了保證安全所需的系統(tǒng)行為。

比如，以雨刷系統(tǒng)為例。安全分析將確定喪失雨刷功能會對駕駛員的視線造成何種影響。ASIL給出指導(dǎo)，選擇適當(dāng)?shù)姆椒▉硎巩a(chǎn)品達(dá)到一定程度的完整性，旨在補(bǔ)充現(xiàn)有的安全做法。目前，汽車制造采用高安全標(biāo)準(zhǔn)，而ISO 26262旨在規(guī)范行業(yè)內(nèi)的特定做法。

返回頂部硬件組件認(rèn)證硬件認(rèn)證有兩個主要目的：明確部件對整體系統(tǒng)的適應(yīng)性，以及評估故障模式?；A(chǔ)硬件組件可通過標(biāo)準(zhǔn)認(rèn)證進(jìn)行評估，但更復(fù)雜的部件要求通過ASIL分解及測試進(jìn)行評估。硬件組件的認(rèn)證通常是在一系列環(huán)境和操作條件下進(jìn)行測試。接著，使用多種定量方法分析測試結(jié)果，寫入認(rèn)證報告，同時隨附測試程序、假設(shè)及輸入標(biāo)準(zhǔn)。

返回頂部軟件組件認(rèn)證認(rèn)證軟件組件包括：確定功能要求、資源使用以及預(yù)測在故障和重載情況下的軟件行為。在實際應(yīng)用的開發(fā)階段使用認(rèn)證的軟件可大幅簡化該過程。通過認(rèn)證的軟件組件通常是十分優(yōu)秀的產(chǎn)品，可在項目中復(fù)用，包含庫、操作系統(tǒng)、數(shù)據(jù)庫及驅(qū)動軟件。

為了認(rèn)證軟件組件，標(biāo)準(zhǔn)需要在正常操作條件下進(jìn)行測試，并在系統(tǒng)中插入故障，以判定其如何應(yīng)對非正常輸入。設(shè)計階段將分析并處理軟件錯誤，如運(yùn)行時和數(shù)據(jù)錯誤。