一、安全活动裁剪
安全活动裁剪适用于特定项目,裁剪依据应包含在安全计划中,并在安全计划的认可评审和功能安全评估活动中进行评审。安全活动剪裁依据包括ASIL等级、相关项层面影响分析、要素层面影响分析、开发接口协议等。1、ASIL等级ISO 26262标准中,对于不同的ASIL等级,定义了不同的安全措施要求。例如认可措施、安全分析等都直接与ASIL等级相关。2、相关项层面影响分析相关项层面影响分析应由主机厂承担,主要包括以下三个步骤:
步骤一:确定相关项的开发范围:新开发/已有相关项的修改/已有相关项的应用环境发生变化;
图 1 相关项开发范围
步骤二:识别及描述相关项的具体修改内容;
步骤三:评估修改内容对功能安全的影响及需要开展的安全活动。
3、要素层面影响分析要素层面影响分析通常由Tier1负责,ISO 26262标准中要求只有当要素满足以下四种情况中任意一种时,才允许复用:
满足软件组件的鉴定,参见ISO 26262.8-2018的12章;
满足硬件要素的评估,参见ISO 26262.8-2018的13章;
满足在用证明,参见ISO 26262.8-2018的14章和ISO 26262.10-2018的10章;
独立于环境的安全要素(SEooC),参见ISO 26262.10-2018的9章。
4、开发接口协议开发接口协议是主机厂和供应商之间的协议,该协议规定了双方在相关活动中各自承担的责任、应提供给对方的证据或工作成果。开发接口协议可在项目发包阶段进行探讨,逐步就需要开展的安全活动及对应的交付物和责任分配达成一致,并最终在商务定点后签字确认。5、其它此外,ISO 26262标准中还对超出ISO 26262标准范围的应用及未根据ISO 26262标准开发的应用进行了规定(ISO 26262标准第8册)。二、安全活动计划对于分布式开发,整车厂和供应商需要分工合作完成相关项功能安全开发中的所有安全活动,因此应根据所分配的责任,各自创建安全计划。1、安全计划的内容结构ISO 26262标准中并未给出安全计划的参考模板,仅定义了安全计划的内容要求:
将独立于项目的安全活动应用到项目特定的安全管理中;
安全活动裁剪;
符合ISO 26262-3、ISO 26262-4、ISO 26262-5、ISO 26262-6要求的安全活动;
支持过程计划;
符合ISO 26262-3、ISO 26262-4、ISO 26262-5、ISO 26262-6和ISO 26262-8第9章要求的集成和验证活动计划,及根据ISO 26262-4第8章的安全确认活动计划;
认可措施安排;
符合ISO 26262-3、ISO 26262-4、ISO 26262-5、ISO 26262-6、安ISO 26262-9第7章及第8章要求的相关失效分析、安全分析计划;
如果适用,提供候选项的在用证明;
如果适用,提供所使用软件工具的置信度。
在实际编制中,可结合上述标准要求及自身实际情况,确定安全计划的内容结构,下图2为安全计划的参考目录。
图 2 安全计划参考目录
2、安全活动的定义要求对裁剪后确定执行的每项安全活动,安全计划中需定义:
- 目的;
- 对其他活动或信息的依赖性;
- 负责执行活动的资源(责任人);
- 执行活动所需的资源;
- 起点时间和持续时间;
- 相应工作成果的识别。
三、过程管理安全计划确定后,功能安全经理需负责管理安全计划,以确保各项安全活动的顺利执行,并对各项工作成果应做好配置管理及文档管理。1、配置管理对所有工作成果进行管理叫做配置管理,其目的为:
确保工作成果及其产生的原理和一般条件,在任何时间以可控的方式可被唯一识别和重生成;
确保可追溯较早版本和当前版本的关系及区别。
2、文档管理文档化的目的是开发用于整个安全生命周期的文档管理策略,以促进有效的和可重复的文档管理过程。工作成果是满足ISO 26262相应要求的结果,文档化的工作成果可提供符合这些安全要求的证据。工作成果的文档作为已执行的安全活动、安全要求或相关信息的记录,不局限于任何形式或媒介,可通过电子或纸质文件表示,并可使用工具自动生成文档,可通过单一或系列文档表示。它可以与其他工作成果的文档合并,或与非功能安全直属文档合并。为避免信息重复,可在文档内或文档间使用交叉引用,以助于可维护性。
