ISO 26262 是否足以应对自动驾驶系统的功能安全?(四)
ISO 26262 连载
第 4 章
连载简介
本连载分为三章,重点讨论以下几个方面:
第三章:在功能安全的概念阶段,如何对 ADS 的具体项目进行功能抽象?(包含:相关项定义、HARA、ASIL、安全目标和 FSC 五个详细步骤)
第四章:解决 ADS 系统中的复杂性的安全分析技术,详细介绍了三种技术:MBSE、CBD以及仿真和协同仿真技术
1. Formal/semiformalspecifications by Model-Based SystemsEngineering
基于模型的系统工程的正式/半正式规格
2. Formalverification by Contract-BasedDesign
通过基于协议的设计进行正式核查
3. Simulation and Co-Simulation
基于模型的系统工程方法是指实现全部或部分系统工程过程,并产生系统模型作为其主要工件的方法。系统模型为规范系统的预期行为提供了基础,并能用于错误模型的识别和推导。误差模型主要用于处理故障在不同级别的传播,包括从单一组件到车辆层面的危险。误差模型的应用可以支持不同的安全分析方法(如FTA或FMEA)。安全分析的输出按安全要求确定安全措施,通过安全概念中的检测、预防、降级或警告行动来降低潜在故障。SAE 上有一篇技术论文中描述了一种使用SysML的汽车领域的可能方法。除此之外,还有研究提出了一个概念元模型的配置文件,以涵盖系统安全的相关方面,并基于SysML描述了安全原型(safety steriotypes)(如Hazard、Harm、HarmContext...)。该配置文件对安全标准和安全分析技术中常见的安全概念进行了建模。SysML的这个配置文件可以用来直接在与系统设计相同的模型中对系统的安全相关信息建模。此外,该配置文件还支持安全工程师和系统开发人员之间的交流,能加强双方对系统易发生的风险和系统抗风险功能的理解。
• 提供一种通用的、标准化的描述语言,以改善系统工程师和其他工程师之间的沟通。
• 支持对系统模型进行不同类型的检查,以验证规范规则(如系统设计,以达到正确性和完整性)。
• 通过利用系统模型向另一个描述模型的转换和其他相关方面的扩展(如错误建模),改进系统建模工件的处理。
• 提供了相关安全工件的可追溯性,可以对特定安全问题进行变更管理和影响分析。MBSE的另一个好处是可以通过不同类型的需求定义、安全设计和安全论证模式来重用现有的最佳实践。
CBD 是一种正式的方法,它通过所谓的 "保证"来指定一个能够为其环境提供什么(如服务、数据、信息、能源)的组件/系统,该组件/系统通过 "假设"来指定其环境需要什么(如服务、数据、信息、能源)。"保证"可以是输出接口/通道的性能和限制,只有确认了所有的假设时,”保证“才有效。
假设是指系统或组件的输入接口或通道的环境约束。软件密集型系统及其组件的耦合很难处理所有可能影响系统安全的潜在隐性环节。CBD 能够保证系统模型只参与定义的系统状态。通过采用CBD,只有指定的系统状态才可以参与,并且只允许通过定义的、众所周知的通道进行系统的耦合和通信。
可以通过提供一些模式来假设和保证协议,这些模式是根据时间、安全、安保等不同的特性来定义的,或者是可以自动检查的形式化的模式。所有系统模式的总和确定了所有可能的协议。
CBD 将系统组件描述为黑盒,并通过与其他系统组件的接口定义其行为。所有种类的可依赖性方面例如:时间(如实时协议)、安全(如ASIL x或反应时间)、安保(如认证证书),都以协议的形式制定,并可通过这种方式管理。
不同SW模块之间的协议
SW模块和HW组件之间的协议
不同硬件组件之间的协议
硬件组件和子系统之间的协议
CBD 能够协调组件及其提供的服务的互操作性和边界限制,也能够协调不同级别组织上的数据。通过模块化,可以降低系统设计时组件的复杂性。每个组件都由有限的属性和约束目录(limited catalogue)来描述,这些属性和约束建立了安全性。如果所有的协议都没有任何矛盾,通过一致性测试,就能很快分辨出协议之间的冲突地方。
令人满意的测试能检查出组件的实现是否与协议一致。现在终于有了足够的工具支持(例如用于模型检查)。一些出版文献,如 ISO 26262 讨论了在工程和安全标准的要求下使用协议的问题。
安全要求可以通过对项目及其要素的协议进行表征,通过提供对其环境的明确要求作为假设,保证构成安全要求。因此,通过明确声明每个元素/项目对环境的期望,协议丰富了一个项目/元素的安全规范,确保了能满足安全要求。此外,他们还表明,可以通过验证协议的支配属性来确保安全要求的一致性和完整性。
协议给认证提供了支持,因为协议提供了形式化的论据,可以在所有设计阶段评估和保证设计的质量。此外,B协议可以在任何设计过程中使用。协议为所有方法提供了 "正交"支持,并可作为支持技术,在任一流程中用于组成和设计完善。
TüV认证ISO 26262功能安全工程师(FSE)资质培训
—信息安全对功能安全的影响
系统开发的主要目标之一是确保在所有操作条件下都可“无视不合理风险”。而通常根据是否考虑功能安全或信息安全,所谓的“无视不合理风险”具有不同的含义。
功能安全代表了系统对所有外界潜在危害的观察,而信息安全则是将车辆的内外部环境及其对车辆内部系统的影响进行比较。信息安全措施的采取旨在保护系统免遭非法使用和操纵(黑客、低成本备件等)的侵害。在汽车行业中,信息安全原则涉及车辆功能的开发以及车辆与周围环境(例如其他汽车)或物联网(例如云服务)方面的创新潜力。从这个角度来说,需要解决的首要难点是将功能安全与信息安全两者进行关联协调并避免相互冲突的影响。不同情境下非法车辆系统访问的目的包括:
操纵车辆及其组件,以及破坏或停用车辆功能—降低“某个服务有效性”(例如,对可能会损坏动力总成的电机扭矩极限进行更改)
通过更改功能属性来调试车辆—降低“功能完整性”(例如,芯片调试、操纵速度表或停用警告消息)
企图非法获取个人数据—降低个人数据的“完整性”(例如,用户的驾驶行为、对商店、饭店或酒店的喜好)
在汽车开发过程中,ISO 26262为功能安全生命周期问题的解决提供了指南。但是,仅仅出于信息安全考虑在汽车工程实践中还远远不够。在常见的抽象层次中,功能安全和信息安全之间存在许多相似之处,因此,将 ISO 26262 开发过程与信息安全问题交织在一起似乎对整个汽车开发非常有效。在信息安全中,定义某个安全项目后,需要对安全风险和危害进行分析,从而总结出相应安全措施以及安全目标。在系统设计、验证和确认之后,应进行联合评估,以对系统基于 ISO 26262 所达到的功能安全等级以及安全威胁进行评级。考虑到功能安全和信息安全两者之间的相似性,从信息安全主题方面扩展ISO 26262框架似乎是明智且必要的。
—ADS的责任
机动车保管人的责任:机动车保管人承担与机动车有关的所有操作风险均—ADS的故障不会改变机动车自动系统的操作责任。
驾驶员的责任:根据法律(民法)规定,在事故中,如无确定的证明,应认定为驾驶员的行为过错。在 ADS 发生故障的情况下,驾驶员可提供相关证明要求证明。
机动车责任保险:如果受损害的第三方向车主或驾驶员提出索赔,则由参保的保险公司承担—ADS的故障不会导致机动车保险重责任原则的任何变化。
产品制造商的责任:如果将有缺陷的产品推向市场,则原始设备制造商(OEM)应当对产品承担相应责任。原始设备制造商(OEM)必须提供证据证明产品没有缺陷并且不会造成损坏。同时必须认真指导并鼓励驾驶员根据所系统设置合理操作必要功能。需提供给驾驶员完整详细的操作说明将以保障系统设计的安全性。
基础设施的责任:未来高度自动化汽车功能的实现离不开精确的数据支持。这些数据会参考当地条件和具体时间进行记载。车辆基础设施应需要提供所有必要的信息,并对安全性和功能性负责。
—ADS功能验证
- 用户评论