作者 | HYZY
出品 | 焉知
知圈 | 進(jìn)“芯片社群”請加微信13636581676,備注芯片
功能安全開發(fā)流程的終點(diǎn)應(yīng)該是對相關(guān)項(xiàng)的安全認(rèn)可,以確認(rèn)其達(dá)到了生產(chǎn)發(fā)布的安全條件。
ISO 26262標(biāo)準(zhǔn)中定義的認(rèn)可措施包括認(rèn)可評審、功能安全審核和功能安全評估三種類型,ISO 26262標(biāo)準(zhǔn)中允許將認(rèn)可評審和功能安全審核與功能安全評估合并、聯(lián)合,以支持相關(guān)項(xiàng)類似變型的處理。
下圖1展示了三種認(rèn)可措施及驗(yàn)證評審之間的關(guān)系,可以看出:
圖 1 認(rèn)可措施及驗(yàn)證評審范圍
功能安全審核可類比ASPICE過程能力審核與TS 16949體系審核,可由公司的體系審核員或第三方機(jī)構(gòu)審核員按照ISO 26262標(biāo)準(zhǔn)中對于過程的要求,審核項(xiàng)目開發(fā)中的安全流程實(shí)施情況。
功能安全審核可與ASPICE過程能力評估一同進(jìn)行(特別是對于支持過程的審核),但ASPICE過程能力評估不能代替功能安全審核。
ISO 26262標(biāo)準(zhǔn)中定義了功能安全審核的獨(dú)立性程度要求,具體見下表1
功能安全審核目標(biāo)是基于安全計(jì)劃中參考或特定的安全活動定義,判斷功能安全所需過程的實(shí)施是否達(dá)到了ISO 26262標(biāo)準(zhǔn)中與過程相關(guān)的目標(biāo)。3) 審核要點(diǎn)
功能安全評估的目標(biāo)是判斷相關(guān)項(xiàng)的功能安全或已開發(fā)要素對功能安全的貢獻(xiàn)是否達(dá)成,并提供關(guān)于功能安全達(dá)成的建議:“接受”、“條件接受”或“拒絕”。
基于ISO 26262標(biāo)準(zhǔn)相關(guān)要求,評估安全計(jì)劃及安全計(jì)劃要求的工作成果,以判斷工作成果是否提供了足夠且有說服力的證據(jù)以證明其對功能安全達(dá)成的貢獻(xiàn)。對于要求進(jìn)行認(rèn)可評審的工作成果,應(yīng)考慮認(rèn)可評審的結(jié)果;
考慮功能安全審核結(jié)果的同時,評估功能安全流程的實(shí)施,以判斷功能安全所需過程的實(shí)施是否達(dá)到了ISO 26262標(biāo)準(zhǔn)中與過程相關(guān)的目標(biāo);
評估在相關(guān)項(xiàng)開發(fā)過程中可供評估的安全措施的適宜性有效性;
如果提供了關(guān)于功能安全已達(dá)成ISO 26262標(biāo)準(zhǔn)目標(biāo)的論證,判斷這些論證是否有說服力;
基于安全檔案的認(rèn)可評審,評估安全檔案中提供的論證是否有說服力;
評估安全異常的關(guān)閉依據(jù),判斷其是否有說服力;
如果適用,跟蹤先前功能安全評估結(jié)果的建議,包括任何已執(zhí)行的修正行為。
認(rèn)可評審和功能安全審核的范圍均包含在功能安全評估中,對于重復(fù)的內(nèi)容,功能安全評估可直接基于認(rèn)可評審和功能安全審核的結(jié)果。
除此之外,功能安全評估還強(qiáng)調(diào)對于安全措施有效性的評審,以確認(rèn)采用的安全措施是否能夠檢測或者控制錯誤,并滿足相應(yīng)的安全等級要求。下表2給出了對安全措施有效性的評審示例。
ISO 26262標(biāo)準(zhǔn)中定義的功能安全評估的獨(dú)立性程度要求見下表3。
在實(shí)際操作中,如果主機(jī)廠需要出具功能安全評估證書,應(yīng)委托有資質(zhì)的第三方開展評估活動;如無需出具功能安全證書,可考慮由主機(jī)廠或供應(yīng)商內(nèi)部獨(dú)立部門開展評估活動。
圖 2 功能安全評估證書
