一、验证评审与认可评审的定义1、验证评审验证评审属于一种验证活动,目的是从技术的角度对工作成果进行评审。验证评审针对的工作成果范围可大于认可评审,而对于重复的部分,ISO 26262标准中允许合并验证评审与认可评审。2、认可评审认可评审的对象是工作成果,目的是检查工作成果是否符合ISO 26262标准中定义的要求(正确性、完整性、一致性、充分性)。下表1为对危害分析的认可评审示例,其主要是参照ISO 26262-3中7.4.1.1~7.4.4.2要求逐条评审,并对每个不符合项给出改进建议。表 1 危害分析认可评审
二、评审的独立性要求
1、验证评审对于验证评审,ISO 26262标准中定义评审员通常由公司的技术专家或第三方机构的专家担任,用个人经验发现设计过程中的技术问题。2、认可评审对于认可评审,ISO 26262对于评审人员的独立性要求与ASIL等级相关,具体具体见下表2。表 2 认可评审独立性要求
*注:上表独立性程度应按照相关项全部安全目标中的最高ASIL等级执行。表2中的-/I1/I2/I3代表了独立性程度,具体含义见下表3。表 3 独立性程度含义三、工作成果评审指导ISO 26262标准中给出了对部分工作成果的认可评审的指导,可作为判断工作成果对功能安全预期贡献的基础。1、相关项层面影响分析目标是判断出影响分析是否正确且完整识别出了修改(包括相关项自身的修改及相关项运行环境的修改),及评估修改对功能安全的影响。具体评审内容可包括:
- 判断是否按照ISO 26262相关要求正确开展了影响分析,并识别出相关项是属于新开发/已有相关项修改/已有相关项改变运行环境;
- 判断是否按照ISO 26262相关要求充分识别了修改对功能安全的影响及需要开展的安全活动。
2、危害分析及风险评估目标是判断危害分析及风险评估的的结果和使用的方法是否适当,并得到理论依据支持,并判断安全目标是否已覆盖所有识别出的、赋予ASIL等级的危害事件。具体评审内容可包括:
评估场景分析,以确认运行场景的选择是适当的并满足ISO 26262-3,6.4.2.7相关要求;
评估危害识别,以确认识别出的危害事件是适当的并满足ISO 26262-3,6.4.2相关要求;
3、评估严重度S、可控性C和暴露概率E(包括S0、C0、E0和QM)的分级原理,以确认原理是正确的;
评估危害分析及风险评估中所做出的假设(例如预期用途、车辆环境及外部措施)是否被明确记录,并确认没有忽略任何假设或不存在无效假设;
评估不同相关项之间有对比性的危害事件的一致性(不考虑具体故障),包括ASIl等级,以确保组织内不同相关项的风险评估的一致性;
评估设置的安全目标是否足以规避所有已识别危害事件所造成的不合理风险。
4、安全计划目标是判断要开展的安全活动是否定义明确,并对于达成功能安全是足够且适当的。具体评审内容可包括:
评估安全计划与影响分析是否保持一致;
评估安全计划是否与项目计划和资源计划保持一致,以确认项目中已包含必要的安全活动;
如果适用,评估所应用的剪裁及相应的理由,以确认项目中已包含必要的安全活动;
如果剪裁是基于在用证明:
‒评估确定在用证明分析的结果是否证明了候选项声明的在用证明可信度(关于 任何相关的安全活动的剪裁),以确认在用证明的正确性;
‒评估现场监控流程的有效性,以确认所提供数据的置信度;
‒评估在用证明考虑到的候选项更改,以确认更改不会影响候选项达成功能安全的能力。
对于分布式开发,评估DIA中规定的职责分配、安全活动和交付物定义,以确认项目中已包含必要的安全活动。
5、功能安全概念目标是判断功能安全概念是否提供了足够且有说服力的证据,以说明功能安全需求符合安全目标,并考虑了初步的架构。具体评审内容可包括:
评估功能安全概念的可行性,以确认功能安全概念是合理且可以实现的;
评估功能安全概念是否合理考虑了与初步架构要素相对应的安全分析(ISO 26262-9,第8章)和相关失效分析(ISO 26262-9,第7章)结果,以确认对功能安全需求有效性和完整性的信心;
评估定义的安全机制是否充分考虑了失效行为和架构要素,以确认安全机制有效覆盖了故障;
评估用于启动相关人员的适当行为的报警和降级策略,以确认降级模式下的适当参与和可控性;
评估应用ASIL分解的有效性,以确认:
‒分解后的功能安全需求的正确性和冗余;
‒所要求的独立性是否可行;
‒ASIL的结果符合ISO 26262-9,第5章。
评估功能安全概念中所做出的假设(例如车辆环境)是否被明确记录,没有忽略或隐含任何假设或不存在无效假设;
评估功能安全需求是否已完全分配给假设的初步架构要素(含其他技术)或外部措施,以确认没有忽略任何功能安全需求。
6、技术安全概念目标是判断技术安全概念是否提供了足够且有说服力的证据,以说明技术安全需求满足功能安全需求,并考虑了系统设计要素。具体评审内容可包括:
评估技术安全概念的可行性,以确认技术安全概念可以在系统设计中实现;
考虑技术安全概念是否合理考虑了与系统设计要素相对应的安全分析(ISO 26262-9,第8章)和相关失效分析(ISO 26262-9,第7章)结果,以确认对技术安全需求有效性和完整性的信心;
评估定义的安全机制是否充分考虑了失效行为和系统设计要素,以确认安全机制有效覆盖了故障;
评估定义的安全机制是否足以对故障进行响应,以确认失效已得到充分减轻;
评估报警和降级策略的实施是否与功能安全概念保持一致;
评估应用ASIL分解的有效性,以确认:
‒分解后的技术安全需求的正确性和冗余;
‒所要求的独立性是否可行;
‒ASIL的结果符合ISO 26262-9,第5章。
评估技术安全概念中所做出的假设(例如车辆环境)是否被明确记录,没有忽略或隐含任何假设或不存在无效假设;
评估技术安全需求是否已完全分配给系统设计要素,以确认没有忽略任何技术安全需求。
7、集成和测试策略目标是判断集成和测试策略中描述的集成和测试活动、方法和技术是否可以提供足够的证据,以证明相关项或要素满足系统设计和相应的安全需求。具体评审内容可包括:
评估集成和测试策略是否考虑了开发项目的背景、应用细节、产品领域和分布式开发的职责,以确认与安全相关的验证计划是完善的;
评估集成和测试策略中的应用方法和现有经验,以确认选择验证技术的正确性;
如果适用,评估所选择的验证方法和技术为何足以满足ISO 26262标准目标和要求的原理。
8、安全确认规范目标是判断安全确认规范中描述的活动是否可以提供足够且有说服力的证据,以证明安全目标和功能安全概念已在整车层面适当、正确、完整和完全实现。具体评审内容可包括:
评估定义的安全确认活动对于确认在危害分析和风险评估、功能安全概念及系统/硬件/软件开发中所做假设的确认能力;
评估定义的安全确认活动是否足以提供证据,以证明应用的安全措施、相关外部措施和相关其他技术要素对于失效减轻的有效性;
评估定义的安全确认活动是否足以提供证据,以证明驾驶员或其他人在风险状况下可按预期避免伤害(例如可控性)。
9、安全分析及相关失效分析目标是判断安全分析和相关失效分析是否被正确执行,以确认已充分规避/实施了识别出的故障和安全措施。10、安全档案目标是判断安全档案中提供的论证是否有说服力。具体评审内容可包括:
- 评估安全档案中提供的论证是否合理及足以证明功能安全以达成;
- 评估参考的工作成果是否可用且足够完整,以便充分论证功能安全的达成;
- 评估安全档案中中参考的工作成果:‒具有可追溯性;‒工作成果内部或之间没有冲突;‒不存在可能导致违背安全目标的未关闭问题,或未关闭问题已被控制且有关闭计划。
