登陆
注册
首页> 资讯> ISO26262中的认可措施与Automotive SPICE评估之间的关系

ISO26262中的认可措施与Automotive SPICE评估之间的关系

来源:仨人谈起 ,作者杨环宇
2020-05-10
2391

编者按:近日在我司举办的Gate4SPICE研讨会上分享了"ISO26262中的认可措施与Automotive SPICE评估之间的关系"的话题,现整理成文章,分享给大家。


本文主要目录
1

 第一部分:汽车功能安全的基本概念

2

 第二部分:认可措施(confirmation Measure)

3

 第三部分:认可评审(confirmation Review)

4

 第四部分:功能安全审计(Functional Safety Audit)

5

 第五部分:功能安全评估(Functional Safety Assessment)

6

 第六部分:总结



第一部分:汽车功能安全的基本概念




功能安全是指"功能"的"安全"。
产品"功能"(如:充电功能) 
-> 故障功能(如:过充) 
-> 产生故障并对人的生命或健康造成危害(如: 由于过充,可能会造成电芯温度增加,冒烟着火甚至爆炸,对人产生危害)
如果对人的危害的风险是不可接受的,则需要采取一定措施(安全措施,safety measure),将"不可接受的风险"降低到"可接受的风险"。


功能安全,是"功能"只是存在"可接受的风险",也就是"功能"是"安全"的。
汽车功能安全,是汽车的E/E系统相关的功能是"安全"的。

如何衡量风险"可接受",还是不可接受呢?
通过"严重度"(对人生命或健康伤害的程度)、"场景曝光度"(可能发生危害的场景的可能性)、"可控制性"(发生危害时,人避免伤害的可能性)三个纬度的评价,之后通过上图中的表格得到ASIL等级。


接下来再谈一下安全措施(safety measure),其中一类安全措施是叫安全机制(safety mechanism)。
安全机制是一种技术方案,比如软件中常用的输入输出的范围检查、控制流监控等等,而这些技术方案是在产品在实际使用时工作,所以可以说是for product operation。




除了安全机制之外,其余的安全措施就是和过程相关的,比如软件编码所遵循的编码规范、测试覆盖度、Verification活动、项目管理活动等。这些过程相关的部分,既包括SOP前的设计过程,也包括SOP之后的产品生产、维护服务等过程。


第二部分:认可措施(confirmation Measure)


         认可措施(Confirmation Measure)是在产品设计开发过程中,通过有能力的具备一定独立性的专业人士所实施的措施活动:

  • 功能安全审计(Functional Safety Audit):设计开发过程是否满足功能安全要求
  • 认可评审(Confirmation Review):过程所输出的关键工作产品是否满足功能安全要求
  • 功能安全评估(Functional Safety Assessment):产品设计(产品设计开发活动的最终输出)是否达成功能安全


  实施认可措施的专业人士需要具备一定的独立性,分别是:

  • I0:不同的人(可选)
  • I1:不同的人(必须)
  • I2:不同的团队
  • I3:不同的部门或组织



关于独立性的例子:在PM3团队中,SM3(安全经理)开发了Safety Plan,那么满足I0, I1, I2, I3独立性要求的人有哪些呢?(答案如上图所示)


上图所示的是ISO26262:2011中所列出的不同ASIL等级的认可措施的独立性要求(注:刚发布的ISO26262:2018版中的认可措施项与上图是有差异的)


除了独立性之外,实施认可措施的专业人士还需要具备必要的技能,和获得必要的授权。



第三部分:认可评审(confirmation Review)



认可评审是评价工作产品是否满足ISO26262的条款的要求,包括评价工作产品的正确性、完全性、一致性、充分性等。


  • 认可评审第1步:

         项目中的工作产品映射到ISO26262中所提到的工作产品。
         例如:项目计划中包括有安全活动的计划,那么"项目计划"(项目中的工作产品)对应的            就是"安全计划"(ISO26262中所要求的工作产品)


  • 认可评审第2步:

        根据ISO26262中的工作产品,从ISO26262标准中得到其对应的条款要求。安全计划的           对应条款要求如上图所示。(注:安全计划是一个文档类工作产品,所以也必须满足文            档化的要求)



  • 认可评审第3步:

         根据ISO26262中的条款要求对工作产品进行评审。


  • 认可评审第4步:

         管理认可评审所发现的问题,直至关闭。



第四部分:功能安全审计(Functional Safety Audit)


功能安全审计是评价项目过程是否满足ISO26262的要求,具体来说包括:

  • 项目实施是否符合安全计划
  • 安全计划是否符合组织级的过程要求
  • 组织级的过程要求是否符合ISO26262要求


功能安全审计与Automotive SPICE评估有相似的地方:1)都是关注过程;2)都是评价项目实施过程的有效性。


ISO26262中要求实施功能安全审计,但没有定义功能安全审计的方法。

可以借鉴Automotive SPICE评估方法(在ISO/IEC 15504-2或ISO/IEC 33002中定义),包括评估策划、证据收集、打分、报告等活动。


从Automotive SPICE和ISO26262的内容上来看,两者有很多重合点。在ISO26262标准中也推荐功能安全审计和Automotive SPICE评估一同来实施。


第五部分:功能安全评估(Functional Safety Assessment)


功能安全评估是评价产品设计(产品设计开发活动的最终输出)是否达到功能安全,与功能安全审计和认可评审关系如上图所示。


功能安全评估的范围如上图所示。


可以在产品SOP前实施一次功能安全评估,但这种做法不推荐。

通常采用的功能安全评估的方式如上图所示,在产品设计过程中,渐进的实施功能安全评估。(为什么呢?


功能安全评估后的结论包括三类:通过、有条件通过、不通过。



第六部分:总结


  • 功能安全审计和Automotive SPICE评估可一起实施

  • 认可评审和功能安全评估,与Automotive SPICE评估没有直接关系


收藏
点赞
上一篇:Aspects of  Safety : Functional Safety vs SOTIF... 下一篇:容错时间:FunctionalSafety requires predictable reactions in realtime
2000
评论

沪ICP备18019345号-2 © 2019 上海工业控制安全创新科技有限公司 保留所有权利