德國ISO26262認證

隨著各行業引進一系列產品設計和測試的標準化流程，安全保障也日益規范化。ISO 26262是針對汽車零部件中的關鍵電氣和電子(E/E)系統的功能安全標準。 ISO 26262基于IEC 61508制定，后者是電氣和電子系統的通用功能安全標準。本白皮書介紹了ISO 26262的關鍵部分及軟硬件認證。此外，本白皮書還涵蓋了ISO 26262的測試過程，以及符合ISO 26262規定的認證工具。

背景

隨著汽車行業復雜性的日益提升，人們加大了開發安全合規系統的力度。例如，現代汽車使用了油門線控等線控系統。駕駛員踩油門時，踏板中的傳感器將向電子控制單元發送信號。該控制單元會對多種因素進行分析，如發動機轉速、車輛速度及踏板位置，然后向油門傳遞指令。要測試和驗證油門線控這類系統，對汽車行業來說是個不小的挑戰。ISO 26262的目標是為所有汽車E/E系統提供統一的安全標準。

ISO 26262的國際標準草案(DIS)于2009年6月發布。自草案發布以來，ISO 26262在汽車行業的影響力逐漸加深。由于公開標準草案的面世，律師們將ISO 26262視為尖端技術標準。尖端技術是指一個設備或工藝在特定時間的最高發展水平。德國法律規定，汽車生產商通常要對產品故障導致的人身傷害承擔賠償責任。尖端技術都無法檢測的故障可獲得免責。[德國產品責任法(§ 823 Abs.1 BGB, § 1 ProdHaftG)]。

ISO 26262提供了一個通用的標準，可用于衡量系統在使用時的安全性。同時，該標準還提供了通用的詞匯表，用來指代系統的特定部分。這和其他安全關鍵應用領域保持一致：即提供一個通用的標準，衡量系統的安全性。

ISO 26262的關鍵組成部分

ISO 26262采用分步系統，管理功能安全，并在系統、硬件及軟件層面規范產品開發。 ISO 26262標準提供了規范及推薦做法，貫穿了產品從概念開發到報廢的整個開發過程。ISO 26262詳細介紹了如何為系統或組件指定可接受的風險等級，以及記錄總體測試過程的方法。總體來說，ISO 26262：

定義汽車安全生命周期(管理、開發、生產、運行、服務、報廢)，并支持在各生命周期階段中自定義必要的活動

提供基于風險的具體方法，判定汽車的風險等級(汽車安全完整性等級，簡稱ASIL)

使用ASIL指定項目的必要安全要求，以使殘余風險在可接受的范圍內

提供驗證要求和確認方法，以確保實現有效且可接受的安全水平

汽車安全生命周期

ISO 26262共有10卷，用于系列量產車，包含針對汽車的章節。例如，ISO 26262的第7章對生產、運行、服務及報廢提出了明確的安全要求。

ISO 26262汽車安全生命周期描述了整個生產生命周期，包括對安全管理員的需求、安全計劃的制定以及確認方法的定義(包括安全檢查、審計及評估)。開發E/E系統及元件需要遵循這些要求。

本白皮書主要介紹生命周期的開發部分。ISO 26262的開發部分涉及了系統定義、系統設計、功能安全評估以及安全驗證。

汽車安全完整性等級(ASIL)

ASIL是ISO 26262標準的重要組成部分，在開發過程的開始階段確定。它分析系統的預期功能，同時指出可能的危害。ASIL提出這樣一個問題：“如果車輛發生故障，駕駛員和相關道路使用者會怎樣?”

為了評估風險，ASIL需綜合考慮暴露的可能性、駕駛員的控制能力以及發生重大事件時可能帶來的后果的嚴重程度。ASIL不管系統所使用的技術，只關注駕駛員及其他道路使用者所受到的危害。

ASIL根據不同的安全要求分為A、B、C、D四個級別，其中D級擁有最安全的關鍵流程，測試規范最為嚴格。ISO 26262標準根據組件的ASIL級別，分別規定了最低測試要求，有助于確定測試時必須采取的方法。確定ASIL后，就決定了系統的安全目標，也就是確定了保證安全所需的系統行為。

比如，以雨刷系統為例。安全分析將確定喪失雨刷功能會對駕駛員的視線造成何種影響。ASIL給出指導，選擇適當的方法來使產品達到一定程度的完整性，旨在補充現有的安全做法。目前，汽車制造采用高安全標準，而ISO 26262旨在規范行業內的特定做法。

硬件組件認證

硬件認證有兩個主要目的：明確部件對整體系統的適應性，以及評估故障模式。基礎硬件組件可通過標準認證進行評估，但更復雜的部件要求通過ASIL分解及測試進行評估。硬件組件的認證通常是在一系列環境和操作條件下進行測試。接著，使用多種定量方法分析測試結果，寫入認證報告，同時隨附測試程序、假設及輸入標準。

軟件組件認證

認證軟件組件包括：確定功能要求、資源使用以及預測在故障和重載情況下的軟件行為。在實際應用的開發階段使用認證的軟件可大幅簡化該過程。通過認證的軟件組件通常是十分優秀的產品，可在項目中復用，包含庫、操作系統、數據庫及驅動軟件。 為了認證軟件組件，標準需要在正常操作條件下進行測試，并在系統中插入故障，以判定其如何應對非正常輸入。設計階段將分析并處理軟件錯誤，如運行時和數據錯誤。

“在實踐中證明”的論據

硬件及軟件組件可通過“在實踐中證明”

硬件及軟件組件可通過“在實踐中證明”的論據，證明其符合ISO 26262要求。若組件已在其他實際應用中無故障運行，則可適用該條款。ISO 26262也適用于在實踐中得到證明的早期系統。很多情況下，若某種系統已經在幾百萬輛汽車上得到驗證，則沒有必要重新檢驗其是否符合標準。例如，目前制造的汽車中，很多系統是按照ISO 26262發布前的高級別安全標準制造的。在實際應用過程中，這些安全關鍵組件運行良好、可靠。 在早期汽車中就已使用且一直未變的可靠系統仍可獲得ISO 26262認證。類似實際應用和得到廣泛部署的早期實際應用中的認證組件結合，極大地降低了總體系統復雜度。

應用于現有流程

執行類似于ISO 26262這樣的新標準，主要挑戰之一是將其應用于現有流程。對于新標準，需要使用試驗項目展示標準的實現，及其對現有流程的影響。目前的結果表明，ISO 26262符合業內現有的安全理念。各公司已經看到了在開發階段早期評估風險并進行危害分析的優勢，并開始將測試投入各流程中。

計劃執行ISO 26262的公司需要理解，我們的目的是在開發過程的早期階段分析風險、確立適當的安全要求，并通過開發中的測試最終滿足這些要求。

測試工具認證

測試是ISO 26262開發過程中的重要組成部分。安全關鍵系統必須合理應對測試場景，并在面對各種人為及環境輸入時維持在指定的安全范圍內。使用高質量測試系統可提高產品性能、提升質量及可靠性，同時降低返修率。據估計，與實際應用中相比，在生產中發現錯誤所產生的故障成本將降低10倍;若能在設計環節發現錯誤，故障成本又比在生產中發現降低10倍。測試通過發現缺陷并收集數據，可改進設計或流程，為您的組織創造價值。通過技術創新和妥善實踐方法推動流程創新，可大幅提升效率，降低花費。人們容易忽略工具，只考慮系統的設計。但實際上，工具對終端用戶的安全十分重要。

ISO 26262發現，使用廣泛應用的軟件工具可簡化或自動化開發電子、電氣及軟件元件(提供安全相關功能)所需的步驟及任務。介紹工具認證過程的細節前，需要定義工具認證的一個重要部分：工具置信度。

工具置信度

通過工具的輸入和輸出，可開發典型(或參考)用例。分析用例便可確定工具置信度，簡稱TCL。TCL和ASIL決定了軟件工具要求的認證水平。要確定置信度，需要評估以下兩種因素：

軟件工具出故障的可能性，以及錯誤輸出對安全相關項目或開發中的元件會造成何種危害

在輸出中預防或檢測該錯誤的可能性

工具置信度分為TCL1、TCL2、TCL3和TCL4.其中TCL4為最高置信度，TCL1為最低置信度。

工具認證過程

要根據ISO 26262對工具進行認證，需要滿足多項要求。例如，ASIL必須已經確定。工具必須包含用戶手冊、獨特的標識及版本號、功能描述、安裝過程以及環境(僅舉幾例)。ISO 26262要求提供以下工具認證材料：

軟件工具認證計劃

軟件工具文檔

軟件工具分類分析

軟件工具認證報告

軟件工具認證計劃

軟件工具認證計劃(STQP)是在安全相關項目開發生命周期的早期創建的。它主要關注兩個方面：計劃軟件工具的認證，以及能證明該工具符合所需置信度的用例。 STQP必須包含的項目有：軟件工具獨特的標識及版本號、用例、環境、描述、用戶手冊以及預先確定好的ASIL。

軟件工具分類分析

軟件工具分類分析(STCA)的主要目的是確定工具置信度。確定TCL有兩個主要因素。第一個因素是工具影響(TI)。第二個因素是工具錯誤檢測(TD)。根據這兩個因素，選擇合適的TCL。

工具影響分為TI1和TI2兩類。當確定發生故障的軟件工具絕對不會違反安全要求時，選擇TI1.對于所有其他情況，選擇TI2.

例如，假設某工具在執行特定軟件功能時，會在文檔中產生錯誤字符。這僅僅是一個小錯誤，并不違反測試時的安全要求。該錯誤造成的是TI1類別的工具影響。若工具造成的錯誤以任何形式改變了系統行為，則選擇TI2.

工具錯誤檢測分為TD1至TD3幾類。TD1代表對工具檢測錯誤的能力有高度的置信，而TD3則代表很低的置信度，即只能隨機檢測出錯誤。

例如，假設某工具用于檢測設計模型的錯誤。該工具對模型執行靜態分析。當靜態分析良好時，該工具不能檢測模型中的所有可能違規行為。還有一點值得注意的是，這并不一定意味著該模型不正確，僅表明需要進行額外測試。這種情況屬于中等程度的置信度，即TD2.

根據所需置信度，一旦確定了工具影響(TI)和工具錯誤檢測(TD)，就確定了TCL的級別。有時，多個用例可能產生不同的TCL。出現這種情況時，請使用最高級別的TCL。對每個軟件工具，用戶需進行工具分類。

軟件工具文檔

為確保正確使用軟件工具，必須提供多種信息。

功能描述

安裝過程描述

用戶手冊

運行環境

異常狀態下的預期行為

軟件工具認證報告

軟件工具認證報告包含結論以及完成認證且滿足要求的證據。任何驗證期間產生的故障或錯誤輸出都需在此進行分析和記錄。

從實踐中提升的置信

從實踐中提升置信是工具認證的一個重要方面。若能證明某工具已經符合認證要求，就無需進一步的認證。這將大幅降低開發過程中的花費及時間成本。然而，在用于項目開發前，每個安全相關項目或元件都必須證明已達到認證要求。為證明這一點，該工具必須證明：

曾經為了相同的目的，在類似的用例中使用過

該工具的規范沒有改變

未在曾經開發的安全相關項目中違反安全要求。

例如，假設工具A用于驗證汽車X的ECU(引擎控制單元)。若測試工具A未違反任何安全要求且沒有改變，那么它就可用于驗證汽車Y的ECU，只要汽車Y的ECU用途與汽車X的ECU使用方法類似即可。

ISO26262認證咨詢公司推薦

在選擇ISO26262認證咨詢公司時，重要的是要考慮公司的專業技術能力、經驗以及服務質量。以下是根據給定搜索結果推薦的幾家公司：

1. SGS

SGS是國際公認的測試、檢驗和認證機構，也是質量和誠信的基準。他們在全球汽車安全技術中心提供一站式解決方案，主要業務涵蓋車輛、車規級芯片、半導體的功能安全、ASPICE、SOTIF、信息安全等，并提供技術培訓、技術咨詢、技術服務、審核認證等服務。SGS的汽車功能安全專家超過80人，已經為全球客戶頒發ISO26262功能安全及信息安全認證證書超800張1.

2. 廣電計量

廣電計量作為專業的第三方計量檢測機構，提供環境可靠性試驗、失效分析、電磁兼容與檢測裝備研發等一站式服務，在多個行業、領域技術能力處于國內領先水平。他們提供ISO26262培訓、咨詢、認證服務，包括建設一套融合ISO26262和ASPICE的開發管理體系，或獨立體系，幫助企業建立對ASIL產品和QM產品的開發管理體系12.

3. 亞遠景科技

亞遠景科技是目前國內汽車行業咨詢及評估領軍機構之一，擁有20年以上的行業經驗。他們提供國際認證、研發咨詢、軟件工具、人才培養等服務，包括ASPICE/敏捷SPICE/ISO26262/ISO21434等國際標準的認證咨詢6.

4. 中穎電子

中穎電子是一家汽車芯片供應商，他們的質量管理體系已經通過ISO26262認證。此外，他們的汽車MCU產品還過AECQ100認證，這是汽車芯片的必備認證13.

以上公司均具有豐富的ISO26262認證經驗和專業技術能力，可以為您的企業提供專業的認證咨詢服務。在選擇公司時，建議您根據自身需求和預算進行綜合考慮。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202404/ccaa_62161.html