德國ISO26262認證

隨著各行業(yè)引進一系列產(chǎn)品設計和測試的標準化流程，安全保障也日益規(guī)范化。ISO 26262是針對汽車零部件中的關鍵電氣和電子(E/E)系統(tǒng)的功能安全標準。 ISO 26262基于IEC 61508制定，后者是電氣和電子系統(tǒng)的通用功能安全標準。本白皮書介紹了ISO 26262的關鍵部分及軟硬件認證。此外，本白皮書還涵蓋了ISO 26262的測試過程，以及符合ISO 26262規(guī)定的認證工具。

背景

隨著汽車行業(yè)復雜性的日益提升，人們加大了開發(fā)安全合規(guī)系統(tǒng)的力度。例如，現(xiàn)代汽車使用了油門線控等線控系統(tǒng)。駕駛員踩油門時，踏板中的傳感器將向電子控制單元發(fā)送信號。該控制單元會對多種因素進行分析，如發(fā)動機轉(zhuǎn)速、車輛速度及踏板位置，然后向油門傳遞指令。要測試和驗證油門線控這類系統(tǒng)，對汽車行業(yè)來說是個不小的挑戰(zhàn)。ISO 26262的目標是為所有汽車E/E系統(tǒng)提供統(tǒng)一的安全標準。

ISO 26262的國際標準草案(DIS)于2009年6月發(fā)布。自草案發(fā)布以來，ISO 26262在汽車行業(yè)的影響力逐漸加深。由于公開標準草案的面世，律師們將ISO 26262視為尖端技術標準。尖端技術是指一個設備或工藝在特定時間的最高發(fā)展水平。德國法律規(guī)定，汽車生產(chǎn)商通常要對產(chǎn)品故障導致的人身傷害承擔賠償責任。尖端技術都無法檢測的故障可獲得免責。[德國產(chǎn)品責任法(§ 823 Abs.1 BGB, § 1 ProdHaftG)]。

ISO 26262提供了一個通用的標準，可用于衡量系統(tǒng)在使用時的安全性。同時，該標準還提供了通用的詞匯表，用來指代系統(tǒng)的特定部分。這和其他安全關鍵應用領域保持一致：即提供一個通用的標準，衡量系統(tǒng)的安全性。

ISO 26262的關鍵組成部分

ISO 26262采用分步系統(tǒng)，管理功能安全，并在系統(tǒng)、硬件及軟件層面規(guī)范產(chǎn)品開發(fā)。 ISO 26262標準提供了規(guī)范及推薦做法，貫穿了產(chǎn)品從概念開發(fā)到報廢的整個開發(fā)過程。ISO 26262詳細介紹了如何為系統(tǒng)或組件指定可接受的風險等級，以及記錄總體測試過程的方法。總體來說，ISO 26262：

定義汽車安全生命周期(管理、開發(fā)、生產(chǎn)、運行、服務、報廢)，并支持在各生命周期階段中自定義必要的活動

提供基于風險的具體方法，判定汽車的風險等級(汽車安全完整性等級，簡稱ASIL)

使用ASIL指定項目的必要安全要求，以使殘余風險在可接受的范圍內(nèi)

提供驗證要求和確認方法，以確保實現(xiàn)有效且可接受的安全水平

汽車安全生命周期

ISO 26262共有10卷，用于系列量產(chǎn)車，包含針對汽車的章節(jié)。例如，ISO 26262的第7章對生產(chǎn)、運行、服務及報廢提出了明確的安全要求。

ISO 26262汽車安全生命周期描述了整個生產(chǎn)生命周期，包括對安全管理員的需求、安全計劃的制定以及確認方法的定義(包括安全檢查、審計及評估)。開發(fā)E/E系統(tǒng)及元件需要遵循這些要求。

本白皮書主要介紹生命周期的開發(fā)部分。ISO 26262的開發(fā)部分涉及了系統(tǒng)定義、系統(tǒng)設計、功能安全評估以及安全驗證。

汽車安全完整性等級(ASIL)

ASIL是ISO 26262標準的重要組成部分，在開發(fā)過程的開始階段確定。它分析系統(tǒng)的預期功能，同時指出可能的危害。ASIL提出這樣一個問題：“如果車輛發(fā)生故障，駕駛員和相關道路使用者會怎樣?”

為了評估風險，ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及發(fā)生重大事件時可能帶來的后果的嚴重程度。ASIL不管系統(tǒng)所使用的技術，只關注駕駛員及其他道路使用者所受到的危害。

ASIL根據(jù)不同的安全要求分為A、B、C、D四個級別，其中D級擁有最安全的關鍵流程，測試規(guī)范最為嚴格。ISO 26262標準根據(jù)組件的ASIL級別，分別規(guī)定了最低測試要求，有助于確定測試時必須采取的方法。確定ASIL后，就決定了系統(tǒng)的安全目標，也就是確定了保證安全所需的系統(tǒng)行為。

比如，以雨刷系統(tǒng)為例。安全分析將確定喪失雨刷功能會對駕駛員的視線造成何種影響。ASIL給出指導，選擇適當?shù)姆椒▉硎巩a(chǎn)品達到一定程度的完整性，旨在補充現(xiàn)有的安全做法。目前，汽車制造采用高安全標準，而ISO 26262旨在規(guī)范行業(yè)內(nèi)的特定做法。

硬件組件認證

硬件認證有兩個主要目的：明確部件對整體系統(tǒng)的適應性，以及評估故障模式?；A硬件組件可通過標準認證進行評估，但更復雜的部件要求通過ASIL分解及測試進行評估。硬件組件的認證通常是在一系列環(huán)境和操作條件下進行測試。接著，使用多種定量方法分析測試結(jié)果，寫入認證報告，同時隨附測試程序、假設及輸入標準。

軟件組件認證

認證軟件組件包括：確定功能要求、資源使用以及預測在故障和重載情況下的軟件行為。在實際應用的開發(fā)階段使用認證的軟件可大幅簡化該過程。通過認證的軟件組件通常是十分優(yōu)秀的產(chǎn)品，可在項目中復用，包含庫、操作系統(tǒng)、數(shù)據(jù)庫及驅(qū)動軟件。 為了認證軟件組件，標準需要在正常操作條件下進行測試，并在系統(tǒng)中插入故障，以判定其如何應對非正常輸入。設計階段將分析并處理軟件錯誤，如運行時和數(shù)據(jù)錯誤。

“在實踐中證明”的論據(jù)

硬件及軟件組件可通過“在實踐中證明”

硬件及軟件組件可通過“在實踐中證明”的論據(jù)，證明其符合ISO 26262要求。若組件已在其他實際應用中無故障運行，則可適用該條款。ISO 26262也適用于在實踐中得到證明的早期系統(tǒng)。很多情況下，若某種系統(tǒng)已經(jīng)在幾百萬輛汽車上得到驗證，則沒有必要重新檢驗其是否符合標準。例如，目前制造的汽車中，很多系統(tǒng)是按照ISO 26262發(fā)布前的高級別安全標準制造的。在實際應用過程中，這些安全關鍵組件運行良好、可靠。 在早期汽車中就已使用且一直未變的可靠系統(tǒng)仍可獲得ISO 26262認證。類似實際應用和得到廣泛部署的早期實際應用中的認證組件結(jié)合，極大地降低了總體系統(tǒng)復雜度。

應用于現(xiàn)有流程

執(zhí)行類似于ISO 26262這樣的新標準，主要挑戰(zhàn)之一是將其應用于現(xiàn)有流程。對于新標準，需要使用試驗項目展示標準的實現(xiàn)，及其對現(xiàn)有流程的影響。目前的結(jié)果表明，ISO 26262符合業(yè)內(nèi)現(xiàn)有的安全理念。各公司已經(jīng)看到了在開發(fā)階段早期評估風險并進行危害分析的優(yōu)勢，并開始將測試投入各流程中。

計劃執(zhí)行ISO 26262的公司需要理解，我們的目的是在開發(fā)過程的早期階段分析風險、確立適當?shù)陌踩?，并通過開發(fā)中的測試最終滿足這些要求。

測試工具認證

測試是ISO 26262開發(fā)過程中的重要組成部分。安全關鍵系統(tǒng)必須合理應對測試場景，并在面對各種人為及環(huán)境輸入時維持在指定的安全范圍內(nèi)。使用高質(zhì)量測試系統(tǒng)可提高產(chǎn)品性能、提升質(zhì)量及可靠性，同時降低返修率。據(jù)估計，與實際應用中相比，在生產(chǎn)中發(fā)現(xiàn)錯誤所產(chǎn)生的故障成本將降低10倍;若能在設計環(huán)節(jié)發(fā)現(xiàn)錯誤，故障成本又比在生產(chǎn)中發(fā)現(xiàn)降低10倍。測試通過發(fā)現(xiàn)缺陷并收集數(shù)據(jù)，可改進設計或流程，為您的組織創(chuàng)造價值。通過技術創(chuàng)新和妥善實踐方法推動流程創(chuàng)新，可大幅提升效率，降低花費。人們?nèi)菀缀雎怨ぞ?，只考慮系統(tǒng)的設計。但實際上，工具對終端用戶的安全十分重要。

ISO 26262發(fā)現(xiàn)，使用廣泛應用的軟件工具可簡化或自動化開發(fā)電子、電氣及軟件元件(提供安全相關功能)所需的步驟及任務。介紹工具認證過程的細節(jié)前，需要定義工具認證的一個重要部分：工具置信度。

工具置信度

通過工具的輸入和輸出，可開發(fā)典型(或參考)用例。分析用例便可確定工具置信度，簡稱TCL。TCL和ASIL決定了軟件工具要求的認證水平。要確定置信度，需要評估以下兩種因素：

軟件工具出故障的可能性，以及錯誤輸出對安全相關項目或開發(fā)中的元件會造成何種危害

在輸出中預防或檢測該錯誤的可能性

工具置信度分為TCL1、TCL2、TCL3和TCL4.其中TCL4為最高置信度，TCL1為最低置信度。

工具認證過程

要根據(jù)ISO 26262對工具進行認證，需要滿足多項要求。例如，ASIL必須已經(jīng)確定。工具必須包含用戶手冊、獨特的標識及版本號、功能描述、安裝過程以及環(huán)境(僅舉幾例)。ISO 26262要求提供以下工具認證材料：

軟件工具認證計劃

軟件工具文檔

軟件工具分類分析

軟件工具認證報告

軟件工具認證計劃

軟件工具認證計劃(STQP)是在安全相關項目開發(fā)生命周期的早期創(chuàng)建的。它主要關注兩個方面：計劃軟件工具的認證，以及能證明該工具符合所需置信度的用例。 STQP必須包含的項目有：軟件工具獨特的標識及版本號、用例、環(huán)境、描述、用戶手冊以及預先確定好的ASIL。

軟件工具分類分析

軟件工具分類分析(STCA)的主要目的是確定工具置信度。確定TCL有兩個主要因素。第一個因素是工具影響(TI)。第二個因素是工具錯誤檢測(TD)。根據(jù)這兩個因素，選擇合適的TCL。

工具影響分為TI1和TI2兩類。當確定發(fā)生故障的軟件工具絕對不會違反安全要求時，選擇TI1.對于所有其他情況，選擇TI2.

例如，假設某工具在執(zhí)行特定軟件功能時，會在文檔中產(chǎn)生錯誤字符。這僅僅是一個小錯誤，并不違反測試時的安全要求。該錯誤造成的是TI1類別的工具影響。若工具造成的錯誤以任何形式改變了系統(tǒng)行為，則選擇TI2.

工具錯誤檢測分為TD1至TD3幾類。TD1代表對工具檢測錯誤的能力有高度的置信，而TD3則代表很低的置信度，即只能隨機檢測出錯誤。

例如，假設某工具用于檢測設計模型的錯誤。該工具對模型執(zhí)行靜態(tài)分析。當靜態(tài)分析良好時，該工具不能檢測模型中的所有可能違規(guī)行為。還有一點值得注意的是，這并不一定意味著該模型不正確，僅表明需要進行額外測試。這種情況屬于中等程度的置信度，即TD2.

根據(jù)所需置信度，一旦確定了工具影響(TI)和工具錯誤檢測(TD)，就確定了TCL的級別。有時，多個用例可能產(chǎn)生不同的TCL。出現(xiàn)這種情況時，請使用最高級別的TCL。對每個軟件工具，用戶需進行工具分類。

軟件工具文檔

為確保正確使用軟件工具，必須提供多種信息。

功能描述

安裝過程描述

用戶手冊

運行環(huán)境

異常狀態(tài)下的預期行為

軟件工具認證報告

軟件工具認證報告包含結(jié)論以及完成認證且滿足要求的證據(jù)。任何驗證期間產(chǎn)生的故障或錯誤輸出都需在此進行分析和記錄。

從實踐中提升的置信

從實踐中提升置信是工具認證的一個重要方面。若能證明某工具已經(jīng)符合認證要求，就無需進一步的認證。這將大幅降低開發(fā)過程中的花費及時間成本。然而，在用于項目開發(fā)前，每個安全相關項目或元件都必須證明已達到認證要求。為證明這一點，該工具必須證明：

曾經(jīng)為了相同的目的，在類似的用例中使用過

該工具的規(guī)范沒有改變

未在曾經(jīng)開發(fā)的安全相關項目中違反安全要求。

例如，假設工具A用于驗證汽車X的ECU(引擎控制單元)。若測試工具A未違反任何安全要求且沒有改變，那么它就可用于驗證汽車Y的ECU，只要汽車Y的ECU用途與汽車X的ECU使用方法類似即可。

ISO26262認證咨詢公司推薦

在選擇ISO26262認證咨詢公司時，重要的是要考慮公司的專業(yè)技術能力、經(jīng)驗以及服務質(zhì)量。以下是根據(jù)給定搜索結(jié)果推薦的幾家公司：

1. SGS

SGS是國際公認的測試、檢驗和認證機構，也是質(zhì)量和誠信的基準。他們在全球汽車安全技術中心提供一站式解決方案，主要業(yè)務涵蓋車輛、車規(guī)級芯片、半導體的功能安全、ASPICE、SOTIF、信息安全等，并提供技術培訓、技術咨詢、技術服務、審核認證等服務。SGS的汽車功能安全專家超過80人，已經(jīng)為全球客戶頒發(fā)ISO26262功能安全及信息安全認證證書超800張1.

2. 廣電計量

廣電計量作為專業(yè)的第三方計量檢測機構，提供環(huán)境可靠性試驗、失效分析、電磁兼容與檢測裝備研發(fā)等一站式服務，在多個行業(yè)、領域技術能力處于國內(nèi)領先水平。他們提供ISO26262培訓、咨詢、認證服務，包括建設一套融合ISO26262和ASPICE的開發(fā)管理體系，或獨立體系，幫助企業(yè)建立對ASIL產(chǎn)品和QM產(chǎn)品的開發(fā)管理體系12.

3. 亞遠景科技

亞遠景科技是目前國內(nèi)汽車行業(yè)咨詢及評估領軍機構之一，擁有20年以上的行業(yè)經(jīng)驗。他們提供國際認證、研發(fā)咨詢、軟件工具、人才培養(yǎng)等服務，包括ASPICE/敏捷SPICE/ISO26262/ISO21434等國際標準的認證咨詢6.

4. 中穎電子

中穎電子是一家汽車芯片供應商，他們的質(zhì)量管理體系已經(jīng)通過ISO26262認證。此外，他們的汽車MCU產(chǎn)品還過AECQ100認證，這是汽車芯片的必備認證13.

以上公司均具有豐富的ISO26262認證經(jīng)驗和專業(yè)技術能力，可以為您的企業(yè)提供專業(yè)的認證咨詢服務。在選擇公司時，建議您根據(jù)自身需求和預算進行綜合考慮。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202404/ccaa_62161.html