迎合自動駕駛發(fā)展趨勢　ISO 26262標準把關車輛安全

作者：admin 來源:不詳發(fā)布時間：2017-09-05 瀏覽：35

隨著世界各地自動駕駛車輛上路測試的新聞，讓人們對未來運輸充滿新的愿景，也牽引出如何確保車輛安全的議題，因此ISO 26262車輛電機/電子系統(tǒng)(簡稱車電系統(tǒng))之功能安全(Functional Safety)國際標準應運而生。

在自動駕駛車上市之前，先進駕駛輔助系統(tǒng)(ADAS)成為最新車款的標準配備，此類車電系統(tǒng)已由高階豪華車種，普及到入門平價車款，以因應日漸高漲的安全意識，與逐步完善的安全法規(guī)。

根據(jù)財團法人車輛研究測試中心(ARTC)產業(yè)調查數(shù)據(jù)[車輛研測信息2015/8]顯示，2013年全球ADAS銷售為1.24億套，產值約為147.6億美元，預測至2018年全球銷售將提升至3.55億套以上，產值也將超過350億美元，全球ADAS市場成長二倍，而其復合成長率為19.2%。

為協(xié)助車輛產業(yè)與電子產業(yè)參與ADAS產值躍升的趨勢，ARTC開發(fā)多項車電系統(tǒng)，如緊急煞車輔助系統(tǒng)(Advanced Emergency Braking System, AEB)，研發(fā)之雛型性能優(yōu)異，已對國內業(yè)者技術移轉，為確保符合消費市場注重之安全議題，在2015年12月通過ISO 26262功能安全流程認證，使開發(fā)產品可能的危害風險降到最低，系統(tǒng)功能安全符合國際標準。

ISO 26262功能安全標準剖析
ISO 26262是國際標準化組織(ISO)2011年公告最新車電系統(tǒng)之功能安全國際標準，與車輛安全相關的車電系統(tǒng)均被要求須實現(xiàn)之，本標準是調適自IEC 61508，將功能安全聚焦在車輛議題。ISO 26262提供車輛安全生命周期各階段重要活動、車輛專屬風險基礎之整合水平、避免不合理風險的應用需求、確保合適安全水平之驗證與確認，以及與供貨商的關系需求等。

有關功能安全，最初的國際標準是國際電工委員會(IEC)1998年公告的IEC 61508，針對一般工業(yè)領域的電機/電子/可程序電子(Electrical/Electronic/Programmable Electronic, E/E/PE)相關系統(tǒng)之功能安全評估與管控方法加以規(guī)范，而車電系統(tǒng)與一般工業(yè)用E/E系統(tǒng)有著一些差異，如成本考慮或可靠度要求等，因此在2011年公告專屬車輛領域之國際標準ISO 26262，其適用于3.5噸以下客車(M類)所裝載之車電系統(tǒng)，本標準使得研發(fā)項目清楚定義功能安全相關系統(tǒng)、硬件與軟件所應遵循的共同目標，并明確標示系統(tǒng)達成的安全門坎，可作為保安設計之產品開發(fā)數(shù)據(jù)。

近年來，功能安全是否適用其他車輛種類，如貨車(N類)或是機車(L類)、如何調適車電系統(tǒng)之零組件如微控制單元(MCU)認證需求、或是ADAS系統(tǒng)防護黑客入侵的保全(Security)議題，均將納入2016年新修的標準草案，以期滿足車輛使用之最新需求。

ISO 26262標準概述
ISO 26262涵蓋車輛整個生命周期，稱為安全生命周期(Safety Lifecycle)，由管理、開發(fā)、生產、經(jīng)營、維修至報廢皆有相應的要求，本標準包含十個章節(jié)，計有Part 1名詞解釋(Vocabulary)、Part 2功能安全管理(Management of Functional Safety)、Part 3概念階段(Concept Phase)、Part 4產品開發(fā)在系統(tǒng)層級(Product Development at the System Level)、Part 5產品開發(fā)在硬件層級(Product Development at the Hardware Level)、Part 6產品開發(fā)在軟件層級(Product Development at the Software Level)、Part 7生產與操作(Production and Operation)、Part 8支持流程(Supporting Processes)、Part 9車輛安全完整性等級導向與安全導向分析(Automotive Safety Integrity Level-oriented and Safety-oriented Analyses)、Part 10 ISO 26262指南(Guideline on ISO 26262)。

ISO 26262實行所謂車輛安全完整性等級(ASIL)的指針來評估車電系統(tǒng)符合之功能安全程度，使得研發(fā)項目清楚定義功能安全相關系統(tǒng)、硬件與軟件所應遵循之共同目標，明確標示ASIL可作為產品開發(fā)之安全目標。ASIL由嚴重度(Severity)、暴露機率(Probability of Exposure)與可控度(Controllability)決定，等級分為QM(Quality Management)與ASIL A至D五種，QM等級無須適用ISO 26262，比照一般車輛產業(yè)質量管理系統(tǒng)ISO/TS 16949要求即可，而ASIL等級愈高，系統(tǒng)功能安全要求愈多，故ASIL D設計開發(fā)的安全考慮最嚴密。

何謂產品安全生命周期
車輛產品的安全議題，要包含功能導向與質量導向之開發(fā)活動與工作產品，ISO 26262正是清楚定義研發(fā)項目的功能安全相關系統(tǒng)、硬件與軟件所應完成之開發(fā)活動與工作產品，形成產品的安全生命周期之各個階段(圖1)，完整標準架構即成為車輛開發(fā)模型(V-model)。

圖1 安全生命周期(Safety Lifecycle)

安全生命周期涵蓋ISO 26262 Part 2至Part 7，整個生命周期分為概念階段、產品開發(fā)與生產交付后等三階段，由綜合說明之功能安全管理起始，往下就是大V-model開始之概念階段，接續(xù)是產品開發(fā)在系統(tǒng)層級、產品開發(fā)在硬件層級、產品開發(fā)在軟件層級與結束之生產與操作，其間產品開發(fā)在系統(tǒng)層級包含產品開發(fā)在硬件層級與產品開發(fā)在軟件層級兩章，形成系統(tǒng)、子系統(tǒng)的階層架構，而軟、硬件開發(fā)又各成一小V-model，兩者并有相互關聯(lián)，確保系統(tǒng)開發(fā)是軟硬兼顧。

ISO 26262安全生命周期之細項，依章節(jié)如下：2-5 Overall safety management、2-6 Safety management during the concept phase and the product development、2-7 Safety management after the item's release for production、3-5 Item definition、3-6 Initiation of the safety lifecycle、3-7 Hazard analysis and risk assessment、3-8 Functional safety concept、4-5 Initiation of product development at the system level、4-6 Specification of the technical safety requirement、4-7 System design、4-8 Item integration and testing、4-9 Safety validation、4-10 Functional safety assessment、4-11 Release for production、5-5 Initiation of product development at the hardware level、5-6 Specification of hardware safety requirements、5-7 Hardware design、5-8 Evaluation of the hardware architectural metrics、5-9 Evaluation of safety goal violations due to random hardware failures、5-10 Hardware integration and testing、6-5 Initiation of product development at the software level、6-6 Specification of software safety requirements、6-7 Software architectural design、6-8 Software unit design and implementation、6-9 Software unit testing、6-10 Software integration and testing、6-11 Verification of software safety requirements、7-5 Production、7-6 Operation, service。

另外，Part 8與Part 9之細項包括：8-5 Interfaces within distributed developments、8-6 Specification and management of safety requirements、8-7 Configuration management、8-8 Change management、8-9 Verification、8-10 Documentation、8-11 Confidence in the use of software tools、8-12 Qualification of software components、8-13 Qualification of hardware components、8-14 Proven in use argument、9-5 Initiation of product development at the system level、9-6 Specification of the technical safety requirement、9-7 System design、9-8 Item integration and testing。

ISO 26262融入CMMI-DEV流程
ISO 26262只專注于功能安全，與適用于發(fā)展的能力成熟度整合模式(CMMI-DEV)之等級2或3(ML2/ML3)流程相當，兩者搭形成完整的路線圖(Road Map)，才能有效導入組織運作。CMMI-DEV為美國軟件工程學院(SEI)自1984年起所發(fā)展的一套組織質量管理標準，以確保軟/硬件產品的研發(fā)質量，已廣為世界各研發(fā)組織流程改善所遵循；而2004年另一套標準ISO/IEC 15504，就是俗稱SPICE(Software Process Improvement and Capability dEtermination)，此軟件流程改善與能力檢定是與CMMI-DEV相當?shù)南到y(tǒng)工程要求。

功能安全技術搭配系統(tǒng)工程之路線圖，形成完整的機制，為研發(fā)流程融入功能安全之可行方案，以滿足車電系統(tǒng)安全又可靠的需求，CMMI-DEV與ISO 26262的關聯(lián)匯整如表1所示，ARTC透過ML3流程與安全生命周期之相互關聯(lián)性，融合兩者建立完整的開發(fā)機制。

表1　CMMI-DEV與ISO 26262關聯(lián)

檢視ISO 26262流程認證的ARTC案例
ARTC研發(fā)質量管理流程符合ISO 9001與CMMI-DEV ML3，也著手將功能安全融入ML3流程，讓研發(fā)項目形成由組織支持專業(yè)分工的系統(tǒng)工程團隊。為因應車輛電子產業(yè)最新功能安全標準(ISO 26262)，已于2015年歷經(jīng)功能安全訓練與落差分析、功能安全文件準備與融入流程、功能安全流程認證等作業(yè)，最終在年底12月份通過ISO 26262流程認證，進一步呼應車電產業(yè)的安全需求。

標準訓練與落差分析
ISO 26262為車電系統(tǒng)功能安全之流程/產品認證標準，ARTC為服務車電產業(yè)需求，基于科專計劃所開發(fā)技術，均須再行移轉車輛電子產業(yè)商品化，確立只進行ISO 26262流程認證，開始與臺灣檢驗科技股份有限公司(SGS)合作內訓項目，從2014年起對研發(fā)同仁開辦多場ISO-26262標準訓練，也有6人通過車輛功能安全專業(yè)人員(Automotive Functional Safety Professional, AFSP)專業(yè)證照，此證照為3年效期，可用工作實績加以延長。接著，2015年項目重點為安全生命周期V Model左半段(圖2)，進行落差分析、功能安全管理、功能安全概念與技術安全概念等階段，預計年底完成ISO 26262功能安全流程認證，以因應后續(xù)技轉產品認證需求。

圖2 ISO 26262功能安全認證流程

因應功能安全流程認證項目，選擇AEB為試行標的，并組成安全小組，依第三方認證單位要求，安全經(jīng)理(Safety Manager)應由非AEB計劃成員擔任，其主要負責項目為選擇計劃成員、建立并維護項目安全計劃(Safety Plan)、管理內部接口(各部門)與外部接口(SGS臺灣與德國專家，合稱SGS-TüV)。

完整團隊組成與分工包括：第三方(I3)負責流程認證(含輔導與咨詢)；工作產品審核(PM)項目計劃之部門主管負責；安全經(jīng)理(SM)負責安全計劃；計劃主持人(PL)負責計劃執(zhí)行規(guī)劃書(IPEP)；系統(tǒng)工程師(SE)負責系統(tǒng)規(guī)劃，包含項目定義(Item Definition)、危害分析與風險評估(HARA)、安全目標(Safety Goals)、技術安全需求(TSR)；軟/硬件工程師(DE/SW/HW)負責硬件規(guī)劃，承接系統(tǒng)層級之功能安全需求(FSR)，轉為軟/硬件層級之設計文件；測試工程師(TE)負責測試規(guī)劃，承接系統(tǒng)層級之FSR，轉為測試文件。

SGS-TüV落差分析(Gap Analysis)作業(yè)為期兩天，由SGS-TüV稽核員(簡稱主評)對ARTC研發(fā)項目流程、AEB計劃數(shù)據(jù)與ISO 26262功能安全標準要求之122項工作產品加以比對，將落差評比分為四類成熟等級(Maturity Level)：符合(OK)、部分符合(Conditionally OK, COK)、尚未符合(Not OK, NOK)與無須符合(Tailored)等，提供第二階段文件準備之參考，目標完成部分符合與尚未符合之工作產品。

功能安全文件準備與融入流程說明
準備功能安全系統(tǒng)、硬件與軟件層級之設計與測試文件，逐步進行V Model左半段之功能安全管理、功能安全概念與技術安全概念等階段，由安全小組依專業(yè)分工，完成各項工作產品，并與SGS專家討論相關產出，以對應落差分析之主評建議，也以AEB試行計劃制定功能安全融入研發(fā)流程之可行方案。

首先是V Model的功能安全管理階段，由安全經(jīng)理完成安全計劃并定期更新，故此項工作產品會在數(shù)據(jù)紀錄表各個章節(jié)重復出現(xiàn)，以表現(xiàn)安全計劃的最新進度或內容修訂。安全計劃主要包含項次、標準章節(jié)、內容、輸入文件、輸出文件、負責人、起/迄時間與備注等，這些項目同樣與ISO 26262標準要求之工作產品一致，如此逐項檢討安全計劃，就可完成功能安全要求，此一安全計劃采用附件形式納入計劃執(zhí)行規(guī)劃書(Integrated Project Execution Plan, IPEP)。計劃主持人也在IPEP新增安全經(jīng)理之專業(yè)分工，因須由非計劃成員擔任，故列在計劃成員之上，以顯示其獨立性。
另外，為查證各項工作產品，須制定功能安全評估計劃(Functional Safety Assessment Plan)，其不同于安全計劃，研發(fā)流程已透過里程碑審查，進行工作產品的查證，故功能安全評估計劃可與里程碑審查整合，又因為ISO 26262針對工作產品之確認措施，皆不可由該工作產品之相關人員執(zhí)行，所以規(guī)劃須依Part2車電系統(tǒng)之ASIL執(zhí)行分級查證，如表2所示。

表2　執(zhí)行確認措施所需之獨立性

研發(fā)項目之IPEP包含許多流程次計劃，如文件管理、計劃監(jiān)控管理、風險管理、建構管理、流程與產品質量保證、度量與分析、供貨商協(xié)議管理、查證與確認等，這些次計劃與Part8之供貨商、建構管理、變更管理、文件章節(jié)要求一致。

再來是V Model的功能安全概念階段，應在項目定義說明文件目的、AEB之功能與目的、功能方塊圖、邊界條件與內/外部接口、安全與可靠度之潛在沖擊來源、其他需求(含環(huán)境條件)、法規(guī)與標準、外部措施與最小風險，這些內容與IPEP之計劃目標與范圍、假設與限制，產品規(guī)格需求書(SRS)之產品介紹、產品用戶、產品范圍、客戶的期望、限制與接口、系統(tǒng)架構等重復，由系統(tǒng)工程師整理為英文的數(shù)據(jù)，整合式計劃管理(IPM)與需求發(fā)展(RD)流程維持原訂之IPEP與SRS。

危害分析與風險評估(Hazard Analysis and Risk Assessment, HARA)是指車輛因電子電機系統(tǒng)故障所產生的風險，如非預期加速、非預期減速或燃燒/爆炸等，透過故障所生風險之嚴重度(S)、暴露機率(E)與可控度(C)三項參數(shù)，分析車輛安全完整性等級(ASIL)，共有五階段度量(QM、A、B、C、D)之整車層級安全目標(Safety Goal)，自ASIL A開始，必須采取額外之風險降低措施，而ASIL D表示最高之潛在風險。

以AEB計劃所得HARA為例，總計33項整車故障之危害，因不同的操作情境、潛在危害、可能失效與外部減輕等，依據(jù)Part3決定ASIL，如某一項危害是非預期加速，其嚴重性為S3、發(fā)生機率為E4與可控性為C2，所以ASIL為C，各項ASIL取最高階段度量也是ASIL C，代表AEB的ASIL就是C。依前列表2，HARA工作產品須經(jīng)第三方(I3)查證，SGS專家多次檢討各種AEB危害情境之S/E/C三項參數(shù)的想定，確認AEB之ASIL為C。

功能安全概念(Functional Safety Concept, FSC)是依據(jù)HARA所得高層之安全目標(安全目標可能與數(shù)個危害相關，也可能數(shù)個安全目標與一個危害相關)，規(guī)范系統(tǒng)之功能安全需求(Functional Safety Requirements, FSR)，并推導功能安全參數(shù)(包含安全狀態(tài)、容許故障時間等)，加以配置至相關組件的活動，另外，因應車電系統(tǒng)量產的成本考慮，ISO 26262制定ASIL分解(Decomposition)作法，將ASIL需求分配到數(shù)個組件中，使得單一需求可以降低，這只在項目架構中，被分解組件存在足夠獨立性條件下才能施行，可以透過「相依性」故障分析，確認獨立性之存在。
以AEB計劃所得FSC為例，總計有9項安全目標，建立25項FSR，如第1項安全目標(SG1)與FSR1、FSR2、FSR3、FSR15、FSR16建立相關，而單一FSR也與多個安全目標相關，如第1項功能安全需求(FSR1)與SG1、SG3、SG4與SG5相關，SG與FSR非屬直線關系，而是交互關聯(lián)。

最后是V Model之技術安全概念階段，延續(xù)系統(tǒng)之功能安全需求展開為軟/硬件之功能安全需求規(guī)格，由系統(tǒng)工程師完成技術安全需求(Technical Safety Requirements, TSR)，再交開發(fā)工程師制定軟/硬件技術安全需求之規(guī)格，進而邁入V Model的設計與整合測試階段。

以AEB計劃所得TSR為例，總計有64項TSR，如第1項TSR(TSR1)與FSR 1至FSR 9相關，系統(tǒng)工程師也訂定容許故障時間、分配組件與軟/硬件單元，以利后續(xù)軟/硬件開發(fā)工程師加以設計，再輔以測試工程師進行整合測試，確認AEB功能安全需求已經(jīng)實現(xiàn)。

進行功能安全流程認證
為確保SGS-TüV至ARTC進行ISO 26262功能安全流程認證順利，10月底先以電話會議進行預評，德國主評檢討安全經(jīng)理所提報資料，包含會前詢問中心安全文化與建構管理機制，德國主評對安全小組執(zhí)行狀況的評價良好，只請小組補充計劃訓練規(guī)劃與修正工具安全評價(Tool Confidence Level, TCL)檔案，并約12月初辦理流程稽核(Process Audit)。

為期一天的流程稽核作業(yè)，安全經(jīng)理以流程稽核簡報，逐項說明工作產品之執(zhí)行狀況，德國主評對ARTC研發(fā)流程表示很好，符合ISO 26262標準，對于各項工作產品，建議注意可讀性(Accountability)、可追溯(Traceability)與透明度(Transparency)等數(shù)據(jù)屬性，如同ISO 9001標準之說寫作一致要求，并強調安全文化，以期中心的研發(fā)項目能更完整對應功能安全。

SGS-TüV在2015年12月中旬簽署與發(fā)行功能安全流程認證證書(證書編號為FS/71/220/15/0112)，代表ARTC通過ISO 26262功能安全流程認證，此證書是依稽核報告(Audit Report Process)發(fā)行。而稽核報告需德國認證單位(Deutsche Akkreditierungss- telle GmbH, DAkkS)授權才能發(fā)行，此一關系如同臺灣各檢測實驗室需獲全國認證基金會(TAF)認證，所發(fā)行之檢測報告才能追溯至國際系統(tǒng)。

獲頒認證，不僅展顯ARTC在研發(fā)上的專業(yè)，更是對國內汽車電機、電子系統(tǒng)技術水準的肯定，因為ARTC各項研發(fā)系統(tǒng)雛型均具備初步功能安全設計與測試數(shù)據(jù)，在技轉予廠商后可縮短開發(fā)認證時程，讓車電系統(tǒng)更接近世界需求，在開發(fā)的前端協(xié)助完成了最后一哩路的規(guī)劃，將加速技術商品化進程，符合車廠對功能安全要求，進而快速加入供應鏈。

編輯：admin 最后修改時間：2017-09-19

68精品久久久久久欧美,最近中文字幕完整在线看一,久久亚洲男人天堂,最近中文字幕完整视频高清1

迎合自動駕駛發(fā)展趨勢　ISO 26262標準把關車輛安全

相關文章

熱銷產品

68精品久久久久久欧美,最近中文字幕完整在线看一,久久亚洲男人天堂,最近中文字幕完整视频高清1

迎合自動駕駛發(fā)展趨勢 ISO 26262標準把關車輛安全

相關文章

熱銷產品

迎合自動駕駛發(fā)展趨勢　ISO 26262標準把關車輛安全