ISO 26262规定了三种认可措施(confirmation measures),其中包括了认可检查(Confirmation reviews)、功能安全审计(Functionalsafety audit)和功能安全评估(Functional safety assessment)。
这三种措施针对了不同的对象,其认可的范围也有区别。简单从范围上划分,reviews和audit因为针对对象明显区分,是两个独立不同的范围。而assessment最终包含了reviews和audit的全部工作内容,并且其范围更广,功能安全开发的全部内容,最终会以assessment的完成而结束。
图1 三种认可措施的范围
Reviews认可的对象是功能安全开发要求的各阶段的工作产物,这个工作在功能安全开发的各个阶段,是伴随着相应的开发工作进行的。每个工作产物完成后都要根据其ASIL等级,在认可措施要求的独立性等级要求下,由相应的人员进行review,并给出针对工作产物的报告。这个工作相对来说是可以独立进行的,也就是说在开发过程中,每个review工作可以相对独立进行。当然,越靠后的开发工作,其工作产物和对应的review一定是参考之前阶段的结果。
Audit认可的对象是功能安全开发的流程。对于安全计划中规定的各项活动,其实施需要一个符合标准的开发流程。Audit认可的是这个开发流程,随着开发的进行,针对流程的audit可能不是一次性完成,而是分步、分阶段的逐步进行。最终完成对功能安全开发流程的评估,并且要评估实现ISO26262目标的论据以及安全计划中的各工作产物是否完成。
Assessment认可的对象是最高ASIL等级的item或者elements,需要最终评价和判断其是否实现了ISO 26262的目标。Assessment在系统开发阶段开始需要进行计划,然后在开发过程中逐步实施,最终在发布给产线之前完成和冻结。Assessment的内容包括了全部的confirmation reviews和functionalsafety audit。另外,还需要进行安全措施的有效性和全面性的评估以及安全档案中的论据、安全异常关闭的合理性的阐述。
图2 三种认可措施实施的过程
以下是三种认可措施的简单总结,作为针对不同对象和范围的措施,最终都要求在发布给产线之前全部完成。
图3 三种认可措施的对比
已完成
数据加载中