ISO 26262是國際標準組織(ISO)2011年公告最新車電系統(tǒng)之功能安全國際標準��,與車輛安全相關的車電系統(tǒng)均被要求須實現(xiàn)之��,本標準是調適自IEC 61508,將功能安全聚焦在車輛議題����。ISO 26262提供車輛安全生命周期各階段重要活動、車輛專屬風險基礎之整合水準����、避免不合理風險的應用需求、確保合適安全水準之驗證與確認��,以及與供應商的關系需求等����。
有關功能安全��,最初的國際標準是國際電工委員會(IEC)1998年公告的IEC 61508����,針對一般工業(yè)領域的電機/電子/可程式電子(Electrical/Electronic/Programmable Electronic, E/E/PE)相關系統(tǒng)之功能安全評估與管控方法加以規(guī)范����,而車電系統(tǒng)與一般工業(yè)用E/E系統(tǒng)有著一些差異����,如成本考量或可靠度要求等,因此在2011年公告專屬車輛領域之國際標準ISO 26262,其適用于3.5噸以下客車(M類)所裝載之車電系統(tǒng),本標準使得研發(fā)專案清楚定義功能安全相關系統(tǒng)、硬體與軟體所應遵循的共同目標,并明確標示系統(tǒng)達成的安全門檻����,可作為保安設計之產(chǎn)品開發(fā)資料�。
近年來��,功能安全是否適用其他車輛種類�,如貨車(N類)或是機車(L類)��、如何調適車電系統(tǒng)之零組件如微控制單元(MCU)認證需求�、或是ADAS系統(tǒng)防護駭客入侵的保全(Security)議題,均將納入2016年新修的標準草案����,以期滿足車輛使用之最新需求�。
ISO 26262標準概述
ISO 26262涵蓋車輛整個生命周期,稱為安全生命周期(Safety Lifecycle),由管理����、開發(fā)��、生產(chǎn)�、經(jīng)營��、維修至報廢皆有相應的要求,本標準包含十個章節(jié)�,計有Part 1名詞解釋( Vocabulary)�、Part 2功能安全管理(Management of Functional Safety)、Part 3概念階段(Concept Phase)�、Part 4產(chǎn)品開發(fā)在系統(tǒng)層級(Product Development at the System Level)����、Part 5產(chǎn)品開發(fā)在硬體層級(Product Development at the Hardware Level)��、Part 6產(chǎn)品開發(fā)在軟體層級(Product Development at the Software Level)、Part 7生產(chǎn)與操作(Production and Operation)�、Part 8支援流程(Supporting Processes)、Part 9車輛安全完整性等級導向與安全導向分析(Automotive Safety Integrity Level-oriented and Safety-oriented Analyses)、Part 10 ISO 26262指南(Guideline on ISO 26262)�。
ISO 26262采行所謂車輛安全完整性等級(ASIL)的指標來評估車電系統(tǒng)符合之功能安全程度�,使得研發(fā)專案清楚定義功能安全相關系統(tǒng)����、硬體與軟體所應遵循之共同目標,明確標示ASIL可作為產(chǎn)品開發(fā)之安全目標��。ASIL由嚴重度(Severity)、暴露機率(Probability of Exposure)與可控度(Controllability)決定����,等級分為QM(Quality Management)與ASIL A至D五種,QM等級無須適用ISO 26262����,比照一般車輛產(chǎn)業(yè)品質管理系統(tǒng)ISO/TS 16949要求即可,而ASIL等級愈高�,系統(tǒng)功能安全要求愈多,故ASIL D設計開發(fā)的安全考量最嚴密����。
何謂產(chǎn)品安全生命周期
車輛產(chǎn)品的安全議題,要包含功能導向與品質導向之開發(fā)活動與工作產(chǎn)品����,ISO 26262正是清楚定義研發(fā)專案的功能安全相關系統(tǒng)、硬體與軟體所應完成之開發(fā)活動與工作產(chǎn)品�,形成產(chǎn)品的安全生命周期之各個階段(圖1),完整標準架構即成為車輛開發(fā)模型(V-model)��。
安全生命周期涵蓋ISO 26262 Part 2至Part 7�,整個生命周期分為概念階段、產(chǎn)品開發(fā)與生產(chǎn)交付后等三階段����,由綜合說明之功能安全管理起始�,往下就是大V-model開始之概念階段��,接續(xù)是產(chǎn)品開發(fā)在系統(tǒng)層級��、產(chǎn)品開發(fā)在硬體層級��、產(chǎn)品開發(fā)在軟體層級與結束之生產(chǎn)與操作����,其間產(chǎn)品開發(fā)在系統(tǒng)層級包含產(chǎn)品開發(fā)在硬體層級與產(chǎn)品開發(fā)在軟體層級兩章��,形成系統(tǒng)����、子系統(tǒng)的階層架構,而軟�、硬體開發(fā)又各成一小V-model,兩者并有相互關聯(lián)��,確保系統(tǒng)開發(fā)是軟硬兼顧�。
ISO 26262安全生命周期之細項,依章節(jié)如下:2-5 Overall safety management�、2-6 Safety management during the concept phase and the product development����、2-7 Safety management after the item's release for production��、3-5 Item definition��、3-6 Initiation of the safety lifecycle����、3-7 Hazard analysis and risk assessment、3-8 Functional safety concept�、4-5 Initiation of product development at the system level、4- 6 Specification of the technical safety requirement����、4-7 System design、4-8 Item integration and testing��、4-9 Safety validation��、4-10 Functional safety assessment����、4-11 Release for production、5-5 Initiation of product development at the hardware level��、5-6 Specification of hardware safety requirements、5-7 Hardware design����、5-8 Evaluation of the hardware architectural metrics、5-9 Evaluation of safety goal violations due to random hardware failures�、5-10 Hardware integration and testing 、6-5 Initiation of product development at the software level����、6-6 Specification of software safety requirements����、6-7 Software architectural design、6-8 Software unitdesign and implementation����、6-9 Software unit testing、6-10 Software integration and testing��、6-11 Verification of software safety requirements�、7-5 Production、7-6 Operation, service�。安全生命周期涵蓋ISO 26262 Part 2至Part 7,整個生命周期分為概念階段�、產(chǎn)品開發(fā)與生產(chǎn)交付后等三階段����,由綜合說明之功能安全管理起始����,往下就是大V-model開始之概念階段,接續(xù)是產(chǎn)品開發(fā)在系統(tǒng)層級����、產(chǎn)品開發(fā)在硬體層級、產(chǎn)品開發(fā)在軟體層級與結束之生產(chǎn)與操作�,其間產(chǎn)品開發(fā)在系統(tǒng)層級包含產(chǎn)品開發(fā)在硬體層級與產(chǎn)品開發(fā)在軟體層級兩章,形成系統(tǒng)��、子系統(tǒng)的階層架構����,而軟、硬體開發(fā)又各成一小V-model����,兩者并有相互關聯(lián),確保系統(tǒng)開發(fā)是軟硬兼顧����。
另外��,Part 8與Part 9之細項包括:8-5 Interfaces within distributed developments����、8-6 Specification and management of safety requirements����、8-7 Configuration management、8-8 Change management��、8-9 Verification����、8-10 Documentation����、8-11 Confidence in the use of software tools、8-12 Qualification of software components����、8-13 Qualification of hardware components、8-14 Proven in use argument����、9-5 Initiation of product development at the system level����、9 -6 Specification of the technical safety requirement��、9-7 System design����、9-8 Item integration and testing。
ISO 26262融入CMMI-DEV流程
ISO 26262只專注于功能安全����,與適用于發(fā)展的能力成熟度整合模式(CMMI-DEV)之等級2或3(ML2/ML3)流程相當,兩者搭形成完整的路線圖(Road Map)��,才能有效導入組織運作��。CMMI-DEV為美國軟體工程學院(SEI)自1984年起所發(fā)展的一套組織品質管理標準�,以確保軟/硬體產(chǎn)品的研發(fā)品質,已廣為世界各研發(fā)組織流程改善所遵循����;而2004年另一套標準ISO/IEC 15504,就是俗稱SPICE(Software Process Improvement and Capability dEtermination)����,此軟體流程改善與能力檢定是與CMMI-DEV相當?shù)南到y(tǒng)工程要求��。
功能安全技術搭配系統(tǒng)工程之路線圖�,形成完整的機制����,為研發(fā)流程融入功能安全之可行方案,以滿足車電系統(tǒng)安全又可靠的需求�,CMMI-DEV與ISO 26262的關聯(lián)匯整如表1所示,ARTC透過ML3流程與安全生命周期之相互關聯(lián)性�,融合兩者建立完整的開發(fā)機制。
檢視ISO 26262流程認證的ARTC案例
ARTC研發(fā)品質管理流程符合ISO 9001與CMMI-DEV ML3����,也著手將功能安全融入ML3流程,讓研發(fā)專案形成由組織支持專業(yè)分工的系統(tǒng)工程團隊�。為因應車輛電子產(chǎn)業(yè)最新功能安全標準(ISO 26262)�,已于2015年歷經(jīng)功能安全訓練與落差分析、功能安全文件準備與融入流程��、功能安全流程認證等作業(yè)�,最終在年底12月份通過ISO 26262流程認證,進一步呼應車電產(chǎn)業(yè)的安全需求��。
標準訓練與落差分析
ISO 26262為車電系統(tǒng)功能安全之流程/產(chǎn)品認證標準,ARTC為服務車電產(chǎn)業(yè)需求�,基于科專計畫所開發(fā)技術,均須再行移轉車輛電子產(chǎn)業(yè)商品化����,確立只進行ISO 26262流程認證,開始與檢驗公司合作內訓專案����,從2014年起對研發(fā)同仁開辦多場ISO-26262標準訓練,也有6人通過車輛功能安全專業(yè)人員(Automotive Functional Safety Professional, AFSP )專業(yè)證照����,此證照為3年效期,可用工作實績加以延長��。接著��,2015年專案重點為安全生命周期V Model左半段(圖2)����,進行落差分析、功能安全管理��、功能安全概念與技術安全概念等階段�,預計年底完成ISO 26262功能安全流程認證��,以因應后續(xù)技轉產(chǎn)品認證需求��。
因應功能安全流程認證專案����,選擇AEB為試行標的�,并組成安全小組,依第三方認證單位要求��,安全經(jīng)理(Safety Manager)應由非AEB計畫成員擔任��,其主要負責項目為選擇計畫成員����、建立并維護專案安全計畫(Safety Plan)、管理內部介面(各部門)與外部介面��。
完整團隊組成與分工包括:第三方(I3)負責流程認證(含輔導與咨詢)��;工作產(chǎn)品審核(PM)專案計畫之部門主管負責��;安全經(jīng)理(SM)負責安全計畫����;計畫主持人(PL)負責計畫執(zhí)行規(guī)劃書(IPEP);系統(tǒng)工程師(SE)負責系統(tǒng)規(guī)劃��,包含項目定義(Item Definition)��、危害分析與風險評估(HARA)�、安全目標(Safety Goals)、技術安全需求( TSR)��;軟/硬體工程師(DE/SW/HW)負責硬體規(guī)劃����,承接系統(tǒng)層級之功能安全需求(FSR),轉為軟/硬體層級之設計文件��;測試工程師(TE)負責測試規(guī)劃��,承接系統(tǒng)層級之FSR�,轉為測試文件。因應功能安全流程認證專案����,選擇AEB為試行標的,并組成安全小組�,依第三方認證單位要求,安全經(jīng)理(Safety Manager)應由非AEB計畫成員擔任����,其主要負責項目為選擇計畫成員����、建立并維護專案安全計畫(Safety Plan)�、管理內部介面(各部門)與外部介面。
功能安全文件準備與融入流程說明
準備功能安全系統(tǒng)��、硬體與軟體層級之設計與測試文件�,逐步進行V Model左半段之功能安全管理、功能安全概念與技術安全概念等階段�,由安全小組依專業(yè)分工,完成各項工作產(chǎn)品�,并與專家討論相關產(chǎn)出,以對應落差分析之主評建議�,也以AEB試行計畫制定功能安全融入研發(fā)流程之可行方案。
首先是V Model的功能安全管理階段����,由安全經(jīng)理完成安全計畫并定期更新,故此項工作產(chǎn)品會在資料紀錄表各個章節(jié)重復出現(xiàn)�,以表現(xiàn)安全計畫的最新進度或內容修訂。安全計畫主要包含項次����、標準章節(jié)、內容����、輸入文件、輸出文件����、負責人、起/迄時間與備注等�,這些項目同樣與ISO 26262標準要求之工作產(chǎn)品一致,如此逐項檢討安全計畫����,就可完成功能安全要求,此一安全計畫采用附件形式納入計畫執(zhí)行規(guī)劃書(Integrated Project Execution Plan, IPEP)����。計畫主持人也在IPEP新增安全經(jīng)理之專業(yè)分工,因須由非計畫成員擔任�,故列在計畫成員之上,以顯示其獨立性��。
另外�,為查證各項工作產(chǎn)品,須制定功能安全評估計畫(Functional Safety Assessment Plan)����,其不同于安全計畫��,研發(fā)流程已透過里程碑審查�,進行工作產(chǎn)品的查證�,故功能安全評估計畫可與里程碑審查整合,又因為ISO 26262針對工作產(chǎn)品之確認措施����,皆不可由該工作產(chǎn)品之相關人員執(zhí)行,所以規(guī)劃須依Part2車電系統(tǒng)之ASIL執(zhí)行分級查證����,如表2所示。
研發(fā)專案之IPEP包含許多流程次計畫����,如文件管理、計畫監(jiān)控管理�、風險管理、建構管理����、流程與產(chǎn)品品質保證、度量與分析、供應商協(xié)議管理��、查證與確認等��,這些次計畫與Part8之供應商��、建構管理����、變更管理����、文件章節(jié)要求一致。
再來是V Model的功能安全概念階段����,應在項目定義說明文件目的、AEB之功能與目的�、功能方塊圖、邊界條件與內/外部介面�、安全與可靠度之潛在沖擊來源、其他需求(含環(huán)境條件)����、法規(guī)與標準、外部措施與最小風險����,這些內容與IPEP之計畫目標與范圍�、假設與限制��,產(chǎn)品規(guī)格需求書(SRS)之產(chǎn)品介紹����、產(chǎn)品用戶、產(chǎn)品范圍�、客戶的期望、限制與介面��、系統(tǒng)架構等重復�,由系統(tǒng)工程師整理為英文的資料,整合式計畫管理(IPM)與需求發(fā)展(RD)流程維持原訂之IPEP與SRS��。
危害分析與風險評估(Hazard Analysis and Risk Assessment, HARA)是指車輛因電子電機系統(tǒng)故障所產(chǎn)生的風險��,如非預期加速�、非預期減速或燃燒/爆炸等,透過故障所生風險之嚴重度( S)����、暴露機率(E)與可控度(C)三項參數(shù),分析車輛安全完整性等級(ASIL),共有五階段度量(QM�、A、B��、C��、D)之整車層級安全目標(Safety Goal)�,自ASIL A開始,必須采取額外之風險降低措施����,而ASIL D表示最高之潛在風險����。
以AEB計畫所得HARA為例,總計33項整車故障之危害�,因不同的操作情境、潛在危害��、可能失效與外部減輕等��,依據(jù)Part3決定ASIL����,如某一項危害是非預期加速,其嚴重性為S3、發(fā)生機率為E4與可控性為C2��,所以ASIL為C��,各項ASIL取最高階段度量也是ASIL C��,代表AEB的ASIL就是C��。依前列表2�,HARA工作產(chǎn)品須經(jīng)第三方(I3)查證,專家多次檢討各種AEB危害情境之S/E/C三項參數(shù)的想定�,確認AEB之ASIL為C。
功能安全概念(Functional Safety Concept, FSC)是依據(jù)HARA所得高層之安全目標(安全目標可能與數(shù)個危害相關��,也可能數(shù)個安全目標與一個危害相關)�,規(guī)范系統(tǒng)之功能安全需求(Functional Safety Requirements , FSR),并推導功能安全參數(shù)(包含安全狀態(tài)�、容許故障時間等),加以配置至相關元件的活動����,另外,因應車電系統(tǒng)量產(chǎn)的成本考量��,ISO 26262制定ASIL分解(Decomposition)作法����,將ASIL需求分配到數(shù)個元件中��,使得單一需求可以降低����,這只在專案架構中����,被分解元件存在足夠獨立性條件下才能施行,可以透過「相依性」故障分析�,確認獨立性之存在。
以AEB計畫所得FSC為例�,總計有9項安全目標�,建立25項FSR,如第1項安全目標(SG1)與FSR1�、FSR2、FSR3��、FSR15����、FSR16建立相關,而單一FSR也與多個安全目標相關��,如第1項功能安全需求(FSR1)與SG1、SG3�、SG4與SG5相關,SG與FSR非屬直線關系��,而是交互關聯(lián)����。
最后是V Model之技術安全概念階段,延續(xù)系統(tǒng)之功能安全需求展開為軟/硬體之功能安全需求規(guī)格�,由系統(tǒng)工程師完成技術安全需求(Technical Safety Requirements, TSR),再交開發(fā)工程師制定軟/硬體技術安全需求之規(guī)格����,進而邁入V Model的設計與整合測試階段。
以AEB計畫所得TSR為例����,總計有64項TSR,如第1項TSR(TSR1)與FSR 1至FSR 9相關����,系統(tǒng)工程師也訂定容許故障時間、分配元件與軟/硬體單元�,以利后續(xù)軟/硬體開發(fā)工程師加以設計,再輔以測試工程師進行整合測試����,確認AEB功能安全需求已經(jīng)實現(xiàn)����。
京公網(wǎng)安備11010802046783號