ISO26262，名稱為“道路車輛——功能安全”，是汽車行業(yè)中使用的功能安全標(biāo)準(zhǔn)。而ASIL/ASIL級別則是確定軟件開發(fā)安全要求的關(guān)鍵組成部分。

遵守這一標(biāo)準(zhǔn)對于汽車產(chǎn)品的開發(fā)來說至關(guān)重要。原始設(shè)備制造商、供應(yīng)商和汽車零部件開發(fā)商們都需要遵守這一標(biāo)準(zhǔn)。

本篇文章博凌管理小編將介紹ISO 26262、ISO 26262認(rèn)證工具、ASIL（汽車安全完整性級別）以及針對軟件開發(fā)團(tuán)隊(duì)的ISO 26262功能安全合規(guī)建議。

什么是ISO26262功能安全？

ISO 26262是一項(xiàng)基于風(fēng)險的安全標(biāo)準(zhǔn)，源自IEC 61508。它適用于量產(chǎn)車輛中的電氣和/或電子系統(tǒng)。這包括駕駛員輔助、推進(jìn)和車輛動力學(xué)控制系統(tǒng)。

這項(xiàng)功能安全標(biāo)準(zhǔn)涵蓋了整個開發(fā)過程的所有功能安全方面：

需求規(guī)范

設(shè)計

執(zhí)行

集成

驗(yàn)證

驗(yàn)證

配置

為什么ISO 26262很重要？以及為什么ASIL（汽車安全完整性等級）/ASIL等級很重要？

該標(biāo)準(zhǔn)的目標(biāo)是確保汽車設(shè)備和系統(tǒng)的整個生命周期的安全性。

在生命周期的每個階段，需要采取具體的步驟。這將確保安全的概念貫穿始終，從早期的概念階段到車輛退役。

通過遵守ISO 26262標(biāo)準(zhǔn)，您能夠避免或控制系統(tǒng)性的故障，并且可以檢測或控制隨機(jī)硬件故障（或者您將減輕故障的影響）。

ISO 26262的十個部分：

第1部分：術(shù)語

第2部分：功能安全管理

第3部分：概念階段

第4部分：系統(tǒng)級別的產(chǎn)品開發(fā)

第5部分：硬件級別的產(chǎn)品開發(fā)

第6部分：軟件級別的產(chǎn)品開發(fā)

第7部分：生產(chǎn)與運(yùn)營

第8部分：支持流程

第9部分：面向ASIL和安全性的分析

第10部分：安全標(biāo)準(zhǔn)指南

安全標(biāo)準(zhǔn)的第二版曾計劃增加一個部分——SOTIF，重點(diǎn)關(guān)注預(yù)期功能的安全性。然而，SOTIF隨后已經(jīng)作為一個單獨(dú)的標(biāo)準(zhǔn)發(fā)布——ISO/PAS 21448。

針對軟件開發(fā)人員的功能安全

第6部分對于軟件開發(fā)人員來說是最重要的部分。它詳細(xì)介紹了開發(fā)人員必須采取的步驟，以確保每個組件的安全性。

此外，第6部分還包括了幾個表格，定義了為了達(dá)到標(biāo)準(zhǔn)合規(guī)性必須考慮的方法。

ISO 26262認(rèn)證工具

在汽車開發(fā)中，使用的任何工具都需要經(jīng)過合格性認(rèn)證。第8部分提供了ISO 26262工具資格認(rèn)證的指導(dǎo)。

認(rèn)證工具需要有以下內(nèi)容：

軟件工具認(rèn)證計劃

軟件工具文檔

軟件工具分類分析

軟件工具認(rèn)證報告

某些工具比其他工具更容易獲得合格性認(rèn)證。例如，Helix QAC（C和C++靜態(tài)代碼分析器）附帶了合規(guī)證書，使認(rèn)證過程更容易。

什么是ASIL（汽車安全完整性等級）？

汽車安全完整性等級（ASIL）是ISO 26262的關(guān)鍵組成部分，用于衡量特定系統(tǒng)組件的風(fēng)險。系統(tǒng)越復(fù)雜，出現(xiàn)系統(tǒng)性故障和隨機(jī)硬件故障的風(fēng)險就越大。

汽車安全完整性級別（ASIL）有四個值，分別為A到D。ASIL A是最低的風(fēng)險級別，ASIL D是最高的級別。從A到D，合規(guī)要求變得更加嚴(yán)格。

在確定汽車安全完整性級別時，還有第五個選項(xiàng)——QM（質(zhì)量管理）。這用于表示該組件沒有安全要求。（但為了提高產(chǎn)品質(zhì)量，通常仍建議遵守）

如何確定ASIL和ASIL級別？

ASIL由三個因素決定——嚴(yán)重性、暴露度和可控性。

嚴(yán)重性

嚴(yán)重性衡量了系統(tǒng)故障造成的損害的嚴(yán)重程度，包括人員和財產(chǎn)損害。

有四個嚴(yán)重性等級：

S0：沒有傷害

S1：輕度至中度傷害

S2：嚴(yán)重至危及生命（可能生存）的傷害

S3：危及生命（生存不確定）至致命傷害

暴露度

暴露度描述了在什么條件下某個特定的故障可能會引發(fā)安全隱患。

每個條件按照發(fā)生的概率，分為了以下五個等級：

E0：完全不可能

E1：概率極低（僅在極少數(shù)操作條件下才會發(fā)生傷害）

E2：低概率

E3：中等概率

E4：高概率（在大多數(shù)操作條件下都可能發(fā)生傷害）

可控性

可控性是在發(fā)生危險情況時可以避免傷害的可能性。這種情況可能是由于駕駛員的操作或外部措施造成的。

危險情況的可控性分為四個等級：

C0：總體可控

C1：容易控制

C2：一般可控（大多數(shù)司機(jī)可以采取行動防止受傷）

C3：難以控制或無法控制

一旦您確定了嚴(yán)重性、暴露度和可控性，您就可以確定汽車安全完整性等級（ASIL）。第3部分的表格4提供了關(guān)于此方面的指導(dǎo)。

ASIL級別合規(guī)指南+ISO 26262

無論您是在開發(fā)傳統(tǒng)的汽車組件（例如集成電路）還是虛擬組件（例如汽車虛擬機(jī)管理程序），遵守安全標(biāo)準(zhǔn)都很重要。在整個汽車嵌入式軟件開發(fā)生命周期中保持合規(guī)性至關(guān)重要。

但對于開發(fā)團(tuán)隊(duì)來說，滿足合規(guī)可能很困難。系統(tǒng)和代碼庫越來越復(fù)雜，使得驗(yàn)證和確認(rèn)軟件變得困難。

您可以通過使用軟件開發(fā)工具來簡化這一過程。

建立可追溯性

滿足合規(guī)性要求，并證明自己滿足這些要求是一個非常繁瑣的過程。您需要記錄這些需求，并將它們與其他制品庫（包括測試、問題和源代碼）進(jìn)行關(guān)聯(lián)。

建立需求的可追溯性能夠簡化驗(yàn)證過程——尤其是在使用Helix ALM等工具的情況下。它還可以幫助您在開發(fā)的過程中管理風(fēng)險。

而且，如果您為汽車開發(fā)半導(dǎo)體，使用Methodics IPLM等工具將有助于為您的設(shè)計建立驗(yàn)證可追溯性。此外，Methodics IPLM 可以幫助您管理ISO 26262功能安全認(rèn)證。

將您的代碼存儲在Helix Core中（來自Perforce的版本控制系統(tǒng)）中，可以安全地管理所有數(shù)字資產(chǎn)的修訂歷史。您將獲得精細(xì)的訪問控制、高透明度的的審核日志、強(qiáng)大的密碼安全性以及安全的復(fù)制。因此，您可以對自己的代碼充滿信心。

應(yīng)用編碼標(biāo)準(zhǔn)

確保代碼安全、防范和可靠可能很困難。您需要滿足特定的編碼和設(shè)計準(zhǔn)則。

應(yīng)用編碼標(biāo)準(zhǔn)，例如MISRA?或AUTOSAR，可以更輕松地根據(jù)安全標(biāo)準(zhǔn)指南來驗(yàn)證您的代碼。特別是使用像Helix QAC這樣的靜態(tài)分析工具時。

通過Perforce確保ASIL級別的ISO 26262 + ASIL功能安全

如果沒有合適的工具，就難以確保代碼功能安全。通過使用Helix QAC，您可以輕松地應(yīng)用編碼標(biāo)準(zhǔn)，以驗(yàn)證您的代碼是否符合特定的安全標(biāo)準(zhǔn)準(zhǔn)則，如ISO 26262指南。