MUNIK解读ISO26262:安全计划

于 2024-07-10 11:02:42 发布
阅读量629 收藏 12
点赞数 14
分类专栏: ISO26262 文章标签: 安全 汽车
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61714886/article/details/140318129
版权

前言

当我们进行功能安全开发时,由于整个项目周期和内容较多,因此需要在项目前期对一些问题提前进行规划:比如功能安全开发具体分为几个阶段,应该怎么去做?对于不同的环节,有哪些人员来执行?资源是如何调配的(工具、时间、前置条件)?在过程中可能会遇到的风险等。安全计划便是通过对这些问题逐一梳理,各安全活动进度及状态清晰可见,使得整个开发过程有序进行。

本文将从以下几个方面展开对安全计划的介绍:

1.什么是安全计划?

安全计划是管理和指导开展项目中安全活动的计划,这样是可以系统化的对项目所有的安全活动及进度进行管理。

常见的一个误区是,认为项目计划等同于安全计划。项目计划是对项目实施过程中所有的活动进行系统性的规划,其中当然不止功能安全相关事宜。安全计划只是项目计划的一部分。我们也可以将安全计划的内容与项目计划写在同一份文件中,但是要确保安全计划能够明显的识别,也可以将安全计划单独写一份文件,标准中对此有明确的要求。

图:项目时间轴

一份完整的安全计划,应包括:

  1. 目的,即需要执行的安全活动对应的目的,例如能力管理的目的是确保参与功能安全项目的人员能力与职责是匹配的;
  2. 对其他活动或信息的依赖性或其他前置条件,可以通过当前安全活动的输入文档来体现,比如在进行变更管理过程中,需要考虑到配置管理的依赖性,那么配置管理的WP就可以作为变更管理的输入文件;
  3. 负责执行活动的人员,例如负责具体开发的人员,执行配置管理的人员等,更具体的责任分配可参考责任矩阵RASIC(R=Responsible,A= Approver,S = Support,I=Informed, C=Consulted);
  4. 执行活动所需的资源,比如人力资源(不同的活动计划由哪些人员来专职/配合完成,相对应的责任方及执行人员的分配),或者工具、时间资源(对于不同的阶段,计划分配多长的时间来完成)等,例如在进行认可措施活动时,需要认可评审/功能安全审核/功能安全评估是由哪一方哪些人员负责执行,活动需要持续的时长,需要提前准备的工作成果,通过哪些平台/工具进行对接;
  5. 起始时间、结束时间和持续时间;
  6. 相应工作成果的识别,即执行安全活动生成的文档,例如执行安全计划这一活动,识别到的工作成果就是文档化的安全计划。

除此外,如果进行的是分布式开发,则客户和供应商都应该针对各自的安全活动制定安全计划。

图:安全计划与组织协调

2.安全计划由谁来做?

安全计划活动由安全经理主要负责,安全经理可以是项目经理或项目经理指派具备功能安全能力资质的人员。在负责编写安全计划过程中,安全经理需要负责:

1.安全计划文件的编写;

2.按照计划对活动进度进行监督,监督是否按照计划在实施;

3.在组织内部按照能力管理的要求,分配并沟通关于执行安全活动的责任(其他人员可以负责细化计划或者执行安全活动,如:配置管理/变更管理/集成和验证活动);

3.要对计划进行实时更新,安全计划中记录的工作成果在下一子阶段开始前必须是最新版本,避免因为版本原因导致开发过程中信息不一致,影响后续开发活动的进行。

3.安全计划应该怎么做?

安全计划的主要步骤为:

1.明确功能安全的范围,即项目的生命周期。按照项目的阶段划分涉及到的安全活动,每个阶段在功能安全应该做什么工作。比如在管理阶段需要进行制定相应的流程和计划,研发阶段需要根据对应的层级进行开发,测试,验证活动。

在功能安全项目实施前,如果执行了影响分析活动,那么裁剪就是在影响分析的结果上,通过对安全活动进行判断,将不适用的活动进行裁剪,并给出合理的理由;若没有执行影响分析,那么就对公司会涉及的所有安全活动进行判断,是否适用于本次项目中,不适用的活动进行裁剪,并给出理由。安全计划中需要记录每条安全活动是否裁剪以及裁剪理由。这样会避免项目实施过程中有的安全活动被重复实施。例如在实际开发过程中,由于半导体公司自身能力和选择的不同,有的会进行纯硬件开发,不涉及软件层级,因此需要将Part6进行裁剪,除此外,其他和软件相关的安全活动也需要进行裁剪。

图:功能安全生命周期概览

2.任务分配:首先需要确定安全经理的任命。然后可以由安全经理根据安全活动裁剪的结果对安全活动进行分配,确保每项安全活动都有人负责来实施,人员的选择要按照标准中能力管理的定义进行执行。

3.活动计划:要明确每条活动的目标,活动或信息的依赖性,执行人员,起止时间,持续时间,WP等信息。这些在前文中已进行描述,此外我们还需要关注的一个情况是活动之间存在有时序关系,假设只有前一阶段活动输出WP后,后一阶段才可以开始执行的话,为了避免前阶段的活动未输出WP而后阶段就已经开始执行安全活动,最终造成错误影响的情况,活动之间的执行关系应该讲清楚,这里的要求会在制定安全计划时,将此处体现在每条安全活动的输入输出文档中。因此,安全计划及其要求的工程成果都应在每个子阶段活动开始前进行更新,更新要延续到开发结束。

4.认可评审:在标准ISO 26262中,安全计划属于要求的关键工作成果之一,因此在安全计划完成后,需要根据要求对安全计划进行认可评审活动,判断安全计划是否按照标准的要求和目标进行编写的,如果认可评审未通过,则需要对不符合要求的内容在安全计划中进行修改。负责执行认可评审的人员需要具有标准要求的独立性要求,关于认可评审的具体内容可参考本公众号技术分享中对于认可措施的介绍,此处不过多赘述。

图:ISO 26262-2,表1,要求的认可措施(节选)

安全计划不单是利于在实际开发过程中对于各项资源的调配,更重要的是在整个开发过程中,逐步收集各项工作成果,来支撑安全档案的完成。希望通过本次分享,可以帮助大家更好的理解安全计划的内容和编写思路。

秒尼科技术
关注
  • 14
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
预期功能的必要性与典型案例解析——MUNIK
07-10 269
随着汽车行业的不断发展,人们已经不再满足车辆仅仅作为提高出行效率的简单工具,希望能有有更“聪明的车辆”帮用户解决一部分驾驶带来的困扰。此事件中,该特斯拉Model S驾驶员未遵守Autopilot功能定义的ODD(Operational design domain)界限,在红绿灯场景仍然未接管驾驶责任,属于典型的自动驾驶功能误用案例。随着自动驾驶技术的不断发展,越来越多的功能被集成在车辆上,极大地提升的驾驶者的使用体验。上述因素可以看出,即使在功能实现的情况下,依然不排除有其他可能导致危害行为的事件发生。
博客
认识R155法规(UN Regulation No. 155)-MUNIK
07-10 1018
随着汽车新四化(电动化、智能化、网联化、共享化)政策的提出,大数据和人工智能等技术的发展,以及软件驱动汽车、舱驾一体、行泊一体等新型架构概念的提出,车内外智能传感器采集的大量数据(包括驾驶员,乘客,车外道路交通环境等)通过通信网络(比如5G蜂窝移动)实时与外部世界互联互通,汽车已经从传统的交通工具转变为可移动的智能终端并承载各类创新应用场景,但是与此同时也增加了被网络黑客攻击的概率。需要注意的是,R155的规定是动态的,随着网络安全威胁的发展和技术的进步,这些要求可能会不断更新。
博客
一文带你快速了解项目ASPICE评估的那些事-MUNIK
07-10 864
32个过程对企业选择也比较难,VDA推荐了16个过程组,红框里面作为ASPICE的一些基本过程,如果企业不知道做哪些过程,可以以这16个过程为基础,当然,企业可以根据自己来选择增加或者减少哪些过程组;它提供了一套标准和指南,帮助组织评估其软件开发过程的成熟度和质量,并提供改进的方法和最佳实践。同时,在本次ASPICE 4.0中进行还了修正和明确了之前ASPICE 3.1的实施过程中经常会遇到的一些困惑和模糊的内容,让ASPICE标准与项目实践更加贴合适用,具体的变化在后续技术文章中再给大家带来分享。
博客
MUNIK解读ISO26262 : 硬件架构评估及FMEDA(系统级)
07-10 867
汽车功能安全关注汽车电子/电气系统功能的正确、完整、可靠的实现,但由于硬件要素物理因素的限制,不同的硬件要素总会出现各种随意硬件失效,这个是由于要素材质、工艺、技术等因素带来的不可消除的影响。当单点故障被安全机制覆盖时,安全机制覆盖到的部分会生成双点故障,它们单独失效都不会导致安全目标的违背,只有当器件与覆盖它失效模式的安全机制同时失效时才会违背安全目标。此时,考虑增加安全机制来防止双点失效的发生,被安全机制覆盖的部分是可探测和和感知的双点故障,安全机制未覆盖到的部分是潜伏的双点故障。
博客
MUNIK解读ISO26262--什么是系统安全分析
07-05 952
简单来讲就是安全分析和仿真一样属于产品研发阶段做的事前的分析,它可以预测产品的可靠性,判断系统的鲁棒性并且依据当前的薄弱点设计安全措施并制定持续优化的改进过程。在此篇中我们着重介绍系统阶段的安全分析,其他的不在此处赘述(会在其他的文章中体现,DFA可参考我们之前的文章:“功能安全之DFA相关失效分析”,其余的安全分析类的解读文章会陆续更新)在系统阶段的作用是通过SG导出FSR,通过FSR导出TSR,适用于复杂的系统,该方法是可选择的(不一定必须使用),在我们的前期分享的标准解读文章(
博客
MUNIK解读ISO26262--系统架构
07-05 907
通过在设计阶段就充分考虑安全需求,采用分层的安全策略,设计安全关键组件,以及进行严格的安全验证和确认,可以有效地提高系统的安全性。个模块之间少不了有通讯或者系统层级需要有程序的烧录等情况出现,模块可能会通过CAN,CAN-FD,UART,I2C,SPI,PHY等进行片内或片外、板内或板外的通讯或者程序的烧录,下面以串口UART举例说明通讯模块的安全机制都有哪些。综上所述,系统架构设计是我们在产品开发中不可忽视的重要阶段,下面我们着重探讨“系统的架构类型”和“系统架构层级相关的安全机制”。
博客
MUNIK解读ISO26262--什么是功能安全文档
07-05 295
功能安全强调工作成果的追溯性,文档管理可以很好的实现这个要求,所以文档管理对功能安全来说也是必要的。对于已经建立质量体系的企业来说,文档管理应当已经有一个健全的系统在运作了,这时我们只需要识别现有的文档管理的程序与功能安全要求的文档管理有什么出入即可,没必要单独为功能安全体系建立一个新的文档管理程序。当然,不排除也有企业还未建立或正在建立功能文档管理程序,此时就需要考虑在满足功能安全体系文档管理的条件下,如何适配其他体系的文档管理任务,尽可能做到覆盖企业所有文档均能够通用的情况最佳。
博客
MUNIK解读ISO26262--什么是DFA
07-05 572
首先DFA(相关失效分析)的执行与ASIL没有关系,这是与FMEA还有FTA明显的一个区别,其次就是在架构设计过程中若产生了ASIL分解,有要素共存的情况(低等级的要素我们通常会认为他的开发要求不够严谨,可能会对高要求的产品造成不利影响),有冗余设计,功能电路和安全机制等情况时,那么就要执行相关失效分析。:假设我们的架构设计中存在PLL(锁相环,实现外部输入信号与内部震荡信号同步)和对其的监控电路CMC,它们之间的关系就属于功能电路和安全机制的关系,所以我们要分析这两者会不会发生相关失效。
博客
MUNIK解读ISO26262--什么是变更管理
07-05 256
(3)变更对功能安全的潜在影响;在完整的项目生命周期内,变更管理并不是为了拒绝变更,而是通过变更管理来控制变更,使得变更带给项目的影响变得有序可控,因此在项目启动时,建立变更管理制度和相关流程规范,以便指导和规范执行变更的相关人员进行项目变更行为。变更结束前,应当记录变更的相关明细、变更的工作产品清单和变更对象信息,并给出变更的实施时间。变更管理的目的是在整个功能安全生命周期中,分析和控制功能安全相关工作成果、相关项和要素的变更,同时在整个安全生命周期内维护工作成果、相关项和要素的相关功能和特性。
博客
MUNIK解读CMMI-带你认识什么是CMMI
07-04 435
4级:量化管理级:在3级基础上,依据公司年度目标,制定部门和项目的量化目标,通过建立数据模型和数据基线等数据统计方法论,实现对项目目标的预测和过程方法的优化,提升项目的资源利用率,实现项目的成本、过程、质量精准管控、极大地提升了项目的开发管理水平。5级:优化改进级:在4级基础上,依据公司的发展战略和规划,制定项目量化目标,不断优化和改进开发资源组合,不断优化资源配置,从技术变革、公司业务革新方面全面提升公司能力。2级:已管理级:在1级基础上,部分过程具有简单的流程控制,有完整的方法,能满足过程控制的目标。
博客
MUNIK解读ISO26262--验证活动之认可措施
07-04 831
它关注的内容就比较全面和细致,不仅关注产品的开发流程是否符合标准(这里其实也就是Audit的内容,所以标准有提到Audit的内容是可以纳入到Assessment中的),还要关注所有工作成果的合理性,完整性(因为是所有的工作成果,当然也包含CR中的工作成果,所以CR的结果也可以是Assessment的一部分)。注:虽然这三个活动的名称意思比较相近,但是在ISO 26262中是有特指意义的,所以在实际执行的时候是要区分清楚,并且在一些文档的描述上要注意用词的准确性。下图就是标准对于Audit独立性的要求。
博客
MUNIK解读ISO26262--FMEA设计大全
07-04 833
上述的PC会对“O”的取值进行优化,降低失效发生的概率,常见的PC措施就比如对设计的评审验证。对于FMEA-MSR的思考逻辑有点类似于ISO 26262中在概念阶段执行HARA(危害分析和风险评估)来确定SG的活动,HARA的三个参数S(严重度),E(暴露概率),C(可控性),与FMEA-MSR中的S(严重度),F(运行过程中的发生频率),M(对失效的发现和处理的可能性或者叫难易程度),大家可以类比着进行理解。而FMEA-MSR(监控及系统响应的补充FMEA)是作为对这两种形式的补充。
博客
MUNIK解读ISO26262--ASIL分解详解
07-04 823
在上面我们提到了ASIL分解要将分解后的需求分配到相互独立的要素上,这是一个必须满足的条件,因为ASIL分解本质概念是冗余,冗余就要求组件之间不存在共因失效或者级联失效,那么怎么来证明要素之间互相冗余?这里有必要说明一下,冗余并非是直接使用两个相同的组件互相备份,这种直接复制组件的方式称为同构冗余,同构冗余的两个组件是缺乏要素间的独立性的,因为同样的组件大概率是会存在相同的系统性失效,而系统性失效是我们在开发功能安全产品时是要尽可能避免的,所以一般会采用功能相同,设计存在明显区别的组件进行互相冗余。
博客
MUNIK解读ISO26262--Item定义及HARA活动
07-04 838
例如,HWP(高速路自动驾驶)相关项完成功能时,感知系统(雷达、摄像头)提供道路信息,控制器(SoC、MCU)处理接收到的信息并运算最佳行驶轨迹,执行器实现控制器下达指令完成纵向、横向的整车运行调整。例如:车辆的高速领航功能,由智驾域控(SoC),感知系统(雷达、摄像头等)以及动力系统可以组成一个完整的车辆功能,这个系统组合就是一个相关项。从图中我们可以看出,单一的系统是相关项的最低限度也是要素的最高限度;E0(几乎不可能发生)、E1(低概率)、E2(中等概率)、E3(高概率)、E4(非常高概率)。
博客
MUNIK解读ISO26262--验证活动之认可措施
07-04 583
它关注的内容就比较全面和细致,不仅关注产品的开发流程是否符合标准(这里其实也就是Audit的内容,所以标准有提到Audit的内容是可以纳入到Assessment中的),还要关注所有工作成果的合理性,完整性(因为是所有的工作成果,当然也包含CR中的工作成果,所以CR的结果也可以是Assessment的一部分)。注:虽然这三个活动的名称意思比较相近,但是在ISO 26262中是有特指意义的,所以在实际执行的时候是要区分清楚,并且在一些文档的描述上要注意用词的准确性。下图就是标准对于Audit独立性的要求。
博客
MUNIK解读ISO26262--硬件开发阶段详解
07-04 789
硬件设计包括硬件架构设计和硬件详细设计,硬件架构设计表示所有的硬件组件以及他们彼此的相互关系,从安全的角度来看,硬件的设计应该能够满足对硬件的安全要求,这种设计是为了提供功能安全和保障硬件的实际功能,可以确保系统在面对各种故障和异常情况时仍能保持安全状态,因此,设计中就必须要考虑安全机制的存在。确保硬件设计能达到必要的汽车安全完整性等级。硬件可能是基于多个样本迭代开发的,基于在集成和验证阶段的问题发现,对需求分析进行更新,再进行硬件设计的调整和安全分析,在成功集成和测试后完成硬件研发并进行工作成果的发布。
博客
功能安全软件开发阶段---软件测试验证
07-01 590
根据图一软件开发阶段V模型,软件单元设计和实现之后,需要对相应的软件设计进行测试验证即V模式右边内容。具体包括:软件单元验证、软件集成和验证、嵌入式软件验证。本文着重阐述功能安全软件开发阶段中这三个阶段的测试验证活动。图一:软件开发阶段V模型1、软件测试验证方法。
博客
解读ISO26262功能安全验证与确认(Verification and validation)
06-28 631
安全验证和确认是两个独立但相互关联的功能安全活动,验证贯穿于安全生命周期中的每一个执行阶段,通过使用各种技术和方法来验证系统实际的安全性能,这可能包括进行仿真、模拟、测试和评估等活动,以验证系统设计和实现的安全性。评估就是对安全确认的结果进行评估,可以聘请专家小组参与评估活动,具体的方式可采用评审检查的方式进行:对以上确认活动进行评估,确认系统的最终安全性,并出具评估报告。安全确认是通过测试、评估和分析整个开发过程中的安全性活动,确认集成到目标车辆的相关项实现了其安全目标,并提供最终的安全评估报告。
博客
解读功能安全之配置管理
06-28 567
这里首先需要明确的一个概念在于,什么是配置项?配置管理中的受控对象称为配置项,它们是在生命周期中创建的信息,包括程序、数据和文档,分为基线配置项和非基线配置项两类(基线与非基线定义会在后文中进行阐述),并不局限于功能安全体系开发所要求生成的工作成果。通俗来讲,配置管理就是对项目内配置项进行的管理活动。
博客
MUNIK带你解读ISO8800--道路车辆的安全和人工智能
06-27 784
ISO8800讨论了运营期间保持AI系统安全的可能的措施。可以在AI系统部署后,持续监控其性能和输出,以确保系统的稳健运行。例如,持续监控图像传感器数据质量,以发现潜在的干扰或故障。也可以通过收集现场数据分析和优化AI模型,例如,在自动驾驶系统中,收集和分析遇到的新场景,以改进车辆的感知和决策能力。根据现场数据和反馈,还可以更新或重新训练AI模型,以减少误差和提高性能。例如,在语音识别系统中定期收集新词汇并重新训练模型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值