在用证明ISO26262:2018-8-14
14.在用证明
14.1目的
在用证明的目的是为在用证明论据提供指导。在在用证明的参数是遵守ISO26262系列标准的另一种手段,可用于在可用现场数据时复用现有相关项或要素的情况。
14.2总则
在用证明的参数可以应用于任何类型的产品,其定义和使用条件与已经发布和正在运行的产品相同或具有非常高的共性。也可应用于任何与此类产品相关的工作成果。
注1:在用证明不是指互换性:即为取代在用产品而具有替换设计或替换实现的产品,不能因为其满足原有功能要求而被认为是在用证明,除非该产品符合本章定义的准则。
一个相关项或要素,如系统、功能、硬件或整个软件产品,可以是在用证明论据的候选项。
候选项也可以参考工作成果,如技术安全概念。
使用在用证明的动机包括:
a. 一种用于商业用途的汽车应用,打算部分或完全转移到另一个目标,或
b. 正在运行的电子控制单元(ECU),旨在实现附加功能,或
c. 在ISO26262系列标准发布之前在现场使用的候选项,或
d. 在其他安全相关工业中使用的候选项项,或
e. 作为被广泛使用,且未计划用于汽车应用的商业现成产品(COTS)的候选项。
在用证明的论据得到了关于候选项、配置管理和变更管理记录的适当文档以及与安全相关事件的现场数据的证实。
一旦候选项被定义(见14.4.3),并具有预期的已在用证明可信度(见14.4.2),在准备一个已在用证明的论据时需要考虑两个重要的标准:
Ø 候选项上一次评估期间现场数据的相关性(见14.4.5);以及
Ø 若有,自候选项开始服务以来可能对候选项产生影响的变更(见14.4.4)。
注2:关于现场数据的相关性,已在用证明的论据旨在解决候选项的系统和随机故障;它不解决与候选项老化有关的故障。
在使用中使用已证明的相关项或要素并不能免除这些相关项或要素在以下相关项相关的安全管理活动中的豁免:
Ø 在安全计划中描述在用证明的可信度;及
Ø 由在用证明产生的数据和工作成果是安全档案的一部分,并须接受认可措施。
14.3在用证明的输入
14.3.1前提条件
应提供下列资料:
关于候选项的预期用途:
候选项规格;
适用的安全目标或安全要求与相应的ASIL;及
可预见的运行情况和预期的运行模式和接口;
关于先前使用候选项:
来自服务期间的现场数据(来自外部源)。
14.3.2进一步的支持信息
关于候选项以前使用的情况,可以考虑以下信息:
安全档案符合ISO26262-2:2018的6.5.4。
注:未按照ISO26262系列标准开发的候选项(例如:COTS产品,根据ISO26262以外的安全标准开发的候选项产品,如IEC61508或RTCADO178C),一些安全档案的工作成果可能无法获得,在这种情况下,它们被候选项开发的可用数据所取代。
14.4要求和建议
14.4.1总则
下列子范畴是指适用于候选项未来使用的ASIL。
14.4.2.在用证明可信度
14.4.2.1只有当候选项符合14.4.2至14.4.5时才应使用在用证明可信度。
14.4.2.2应按照ISO26262-2:2018的6.4.5计划由在用证明得出在用证明可信度。
14.4.2.3在用证明的可信度应限于候选项在用证明的论据所涵盖的安全生命周期分阶段和活动。
14.4.2.4应按照ISO26262-4:2018的第8条,在适当水平执行在用证明的要素(相关项或要素中)的集成措施。
ECU的硬件具有令人满意的现场历史,并将100%沿用到某个新的应用。在用证明的可信度可以应用于开发该硬件要素的子阶段和活动。同样,如果软件是100%的沿用,具有令人满意的服务历史,那么在用证明的可信度也可以应用于软件的子阶段和活动。
14.4.2.5嵌入在用证明的要素中的相关项的安全确认应按照ISO26262-4:2018第9条进行。
14.4.2.6嵌入在用证明的要素中被证明的相关项的确认措施应根据ISO26262-2:2018的6.4.9和6.4.10考虑在用证明论据和相关数据。
14.4.2.7对已在用证明中的相关项或要素的任何变更应符合14.4.4的规定,以保持相应的已在用证明中的可信度。
注:本条款适用于任何类型的变更,包括因安全相关事件而启动的变更。
14.4.3.候选项的最低信息
应提供候选项及其以前用途的说明,并包括:
具有内部要素或组件目录(如果有的话)的候选项的识别和可追溯性;
描述候选项的界面和环境、物理和尺寸、功能和性能特征的相应拟合、形式和功能要求;以及
候选项在以前的使用中的安全要求和相应的ASIL,如果可用的话。
14.4.4.候选项的变更分析
14.4.4.1在用证明的候选项
对候选项及其环境的变更应按照14.4.4.2至14.4.4.3确定。
注1:对候选项的变更涉及设计变更和实现变更。设计变更可以通过变更需求、功能增强或性能增强来实现。实现变更不影响候选项的规格或性能,而只影响其实现特性。实现变更可能来自软件更正或使用新的开发或生产工具。
注2:对配置数据或校准数据的变更被视为对候选项的变更,当它们影响其违反安全目标的行为时。
注3:候选项环境的变更可能是由于在具有不同安全目标或要求的新类型应用中使用该候选项,其在新的目标环境中的安装(例如:整车的变型、环境条件的范围)或与之相互作用或位于其附近的部件的升级。
14.4.4.2变更为未来应用而引入的相关项
为将来的应用目的而对相关项及其环境进行的变更,应符合ISO26262-2:2018的6.4.3。
14.4.4.3变更为未来应用而引入的内容
为将来在不同相关项中应用而引入的要素及其环境的变更,应符合ISO26262-2:2018的6.4.4。
14.4.4.4独立于未来应用的候选项变更
对在其评估期后提出的候选项的变更,不受未来应用的影响,应提供证据证明在用证明状态仍然有效。
14.4.4.5现场数据分析
14.4.4.5.1配置管理和变更管理
应提供证据,证明候选项在其评估期间和之后一直处于配置管理和变更管理之下,以便能够确定候选项的当前状况。
14.4.4.5.2.在用证明的目标值
注:当任何ASIL尚未分配给候选项时,可保守的选取ASILD等级。
14.4.5.2.1应提供计算候选项评估期的理由。
14.4.4.5.2.2候选项的评估期应由根据14.4.5.2.3所取的所有样本的观察期的增加产生。
14.4.4.5.2.3在对候选项评估期进行分析之前,每一具与候选项相同规格和实现的样本在整车中运行的观察期应超过平均年度整车运行时间。
14.4.5.2.4对于候选项将获得的已被证明的使用状态,其评估期应证明符合候选项根据表6可能违反的每个安全目标,其单边较低的置信水平为70%(使用卡方分布)。
注1:为了在用证明中的论据,一个可观察的事件意味着一个故障,报告给制造商,并由候选项造成,有可能导致违反安全目标。
表6-可观察到的事故率的限值
ASIL | 可观察到的事故率. |
D | <10−9小时 |
C | <10−8小时 |
B | <10−8小时 |
A | <10−7小时 |
注2:在分析可能违反现场安全目标的情况时,将解释可观察到的事件的性质和发生率。
注3:表7给出了一个没有可观察事件的所需最低服务期限的示例,这是实现70%置信度所必需的。
表7-候选项最短服务期目标
ASIL | 不可观察到的事件的最短服务期 |
D | 1,2×10−9小时 |
C | 1,2×10−8小时 |
B | 1,2×10−8小时 |
A | 1,2×10−7小时 |
注4:如果在标本收集的数据中发现可观察到的事件,则必要的最低评估期tservice可以调整如下:
式中:
cl:置信度作为绝对值(例如:0.7对应了70%);
tMTTF是不通过的平均时间(1/失效率);
f:是与安全有关的事件的数量;
(是具有误差概率α和自由度的ν的卡方分布。
14.4.5.2.5在获得在用证明状态之前(根据14.4.5.2.4),可暂时预计已在用证明中的信贷的应用。在这种情况下,候选项的评估期应证明符合每个安全目标,这些目标可能被候选项违反,符合表8,单面较低的置信水平为70%(使用卡方分布)。
表8-可观察到的事故率的限度(过渡期)
ASIL | 可观察到的事故率 |
D | <3×10−9小时 |
C | <3×10−8小时 |
B | <3×10−8小时 |
A | <3×10−7小时 |
14.4.5.2.6在14.4.5.2.5所述过渡期间,在现场观察到任何事件时,应遵守下列规定:
Ø 停止使用表8表示可观察的事件率,并使用表6表示候选项,或者
Ø 提供证据,证明所观察到的事件的根本原因已根据ISO26262系列标准得到充分识别和消除,并继续计算候选项的累积时数,为这一具体根本原因重置累积时数计数器,并在安全档案中记录这一证据。
14.4.5.2.7对于非恒定故障率的候选项,应对已证实的使用论据采取额外措施,例如在疲劳造成损害的情况下。
注:这些措施适用于故障率严重取决于磨损、老化或与相关项寿命有关的运行时间等因素的候选项。他们可以包括专门的耐久测试,或更长的观察期。
14.4.5.3.现场问题
问题报告系统应确保在候选项运行期间记录和检索由候选项在现场造成的任何观察到的具有潜在安全影响的事件(见ISO26262-2:2018的7.4.2.3)。
14.5.工作成果
14.5.1用于在用证明的候选项描述,由14.4.3的要求得出。
14.5.2在用证明分
- 用户评论