符合ISO 26262標(biāo)準(zhǔn)的工具分類(lèi)與鑒定

作者: Prof. Dr. Mirko Conrad, Sophia Kohle & Dr. Hartmut Pohlheim

軟件工具被廣泛應(yīng)用于促進(jìn)安全相關(guān)電子/電器系統(tǒng)的開(kāi)發(fā)之中。這些工具通過(guò)自動(dòng)化所執(zhí)行的活動(dòng)，并通過(guò)可預(yù)測(cè)的方式執(zhí)行容易出現(xiàn)人為失誤的操作，從而潛在地提高安全性。與之相反，如果工具執(zhí)行其預(yù)定功能不充分或不正確，工具錯(cuò)誤則可能會(huì)對(duì)系統(tǒng)的功能和安全產(chǎn)生負(fù)面影響。

為了降低與工具使用相關(guān)的潛在風(fēng)險(xiǎn)，同時(shí)確保工具功能的完整性，最新的功能安全標(biāo)準(zhǔn)呼吁進(jìn)行專(zhuān)門(mén)的活動(dòng)，以確保對(duì)電子/電器系統(tǒng)開(kāi)發(fā)中所使用工具的信心。

在開(kāi)發(fā)安全相關(guān)的汽車(chē)軟件時(shí)，滿(mǎn)足ISO 26262標(biāo)準(zhǔn)中的工具分類(lèi)與鑒定要求[ISO 26262-8]是確保符合該功能安全標(biāo)準(zhǔn)的強(qiáng)制性條件。在本標(biāo)準(zhǔn)的第8部分中，要求分兩個(gè)步驟來(lái)確保軟件工具的信心。首先，應(yīng)通過(guò)（I）工具分類(lèi)來(lái)決定每個(gè)軟件工具所需要的信心。根據(jù)第一步的結(jié)果，再進(jìn)行可能需要的（II）工具鑒定，以確定所需的信心。

圖片注釋?zhuān)捍_保安全和合規(guī)性：工具分類(lèi)與鑒定的重要角色

I. 工具分類(lèi)

工具分類(lèi)基于工具的實(shí)際/預(yù)期用途。因此，工具使用需要通過(guò)工具使用案例來(lái)進(jìn)行記錄。每一個(gè)使用案例都需要根據(jù)以下方式進(jìn)行進(jìn)一步分析。

首先，可能出現(xiàn)在所考慮的使用案例背景下的潛在工具錯(cuò)誤需要被識(shí)別和記錄。每一個(gè)工具錯(cuò)誤都需要確定工具錯(cuò)誤是否可能導(dǎo)致正在開(kāi)發(fā)的電子/電器系統(tǒng)出現(xiàn)錯(cuò)誤，或無(wú)法檢測(cè)到此類(lèi)錯(cuò)誤。如果可以認(rèn)為不存在這種可能性，則故障對(duì)工具的影響級(jí)別為1（TI1）, 否則為2（TI2）。

接下來(lái)，需要識(shí)別并記錄用于防止或檢測(cè)這些工具錯(cuò)誤的措施。這些措施的預(yù)期有效性需要被評(píng)級(jí)。根據(jù)高、中或低的置信水平，工具錯(cuò)誤檢測(cè)分別被標(biāo)記為1（TD1）、2（TD2）或3（TD3）。

最后，根據(jù)每個(gè)工具使用案例和相應(yīng)的工具錯(cuò)誤，分配一個(gè)工具置信度（TCL）。根據(jù)工具影響（Tool Impact）類(lèi)別（即TI1或TI2）和一個(gè)工具錯(cuò)誤檢測(cè)（Tool Error Detection）類(lèi)別（即TD1、TD2或TD3），相應(yīng)的TCL級(jí)別即可根據(jù)以下矩陣推導(dǎo)而出。工具分類(lèi)步驟必須在工具標(biāo)準(zhǔn)評(píng)估報(bào)告中記錄（即工具分類(lèi)報(bào)告）。

圖片注釋?zhuān)焊鶕?jù)工具影響和工具錯(cuò)誤檢測(cè)的有效性，來(lái)確定是否需要進(jìn)一步的工具鑒定

工具分類(lèi)步驟必須在工具標(biāo)準(zhǔn)評(píng)估報(bào)告中記錄（即工具分類(lèi)報(bào)告）。

II. 工具鑒定

對(duì)于評(píng)定為T(mén)CL1的使用案例和工具錯(cuò)誤組合，不需要進(jìn)一步操作。對(duì)于其他所有組合，即TCL2或TCL3，則需要啟動(dòng)工具鑒定過(guò)程。

根據(jù)ISO 26262，工具鑒定需要通過(guò)以下四種工具鑒定方法的適當(dāng)組合來(lái)進(jìn)行：

(1a) 使用中增加信心。
(1b) 評(píng)估工具開(kāi)發(fā)過(guò)程。
(1c) 軟件工具的驗(yàn)證。
(1d) 遵循安全標(biāo)準(zhǔn)開(kāi)發(fā)。

適當(dāng)工具鑒定方法的選擇取決于TCL和待開(kāi)發(fā)的電子電器系統(tǒng)的車(chē)輛安全完整性等級(jí)（ASIL）。

然而，工具鑒定方法（1a）和（1d）的實(shí)際意義相對(duì)有限。已知的絕大多數(shù)工具鑒定使用方法（1b）或是（1c），或其組合。

如果使用方法（1b）“評(píng)估工具開(kāi)發(fā)過(guò)程”來(lái)認(rèn)證軟件工具，則其工具開(kāi)發(fā)過(guò)程必須符合適當(dāng)?shù)臉?biāo)準(zhǔn)。工具的開(kāi)發(fā)過(guò)程應(yīng)基于適當(dāng)?shù)膰?guó)家或國(guó)際標(biāo)準(zhǔn)進(jìn)行評(píng)估，且應(yīng)證明所評(píng)估的開(kāi)發(fā)過(guò)程得到了正確的應(yīng)用。

如果使用了方法（1c）“軟件工具的驗(yàn)證”，軟件工具的確認(rèn)應(yīng)符合以下三個(gè)標(biāo)準(zhǔn)：

a) 應(yīng)證明軟件工具符合其規(guī)定的要求，例如：通過(guò)確認(rèn)測(cè)試或設(shè)計(jì)復(fù)審來(lái)評(píng)估工具的功能和非功能質(zhì)量方面。

b) 如果在確認(rèn)過(guò)程中出現(xiàn)故障，則應(yīng)對(duì)這些故障進(jìn)行分析。同樣，還應(yīng)當(dāng)提供其可能后果和避免或檢測(cè)這些故障的措施的信息。

c) 應(yīng)檢測(cè)軟件工具對(duì)異常操作條件（例如可預(yù)見(jiàn)的誤操作、不完整的輸入數(shù)據(jù)及不兼容的配置設(shè)置組合）的反應(yīng)。

工具鑒定步驟應(yīng)記錄在工具鑒定報(bào)告中。

總結(jié)

總而言之，工具分類(lèi)和鑒定對(duì)于確保汽車(chē)開(kāi)發(fā)流程的安全和可靠性不可或缺，尤其是在ISO 26262標(biāo)準(zhǔn)之下。通過(guò)系統(tǒng)性地評(píng)估工具的影響、確定所需的置信度、并采用穩(wěn)健的鑒定方法，企業(yè)可以確保其所使用的工具能夠極大地促進(jìn)安全和可靠的汽車(chē)系統(tǒng)的開(kāi)發(fā)。

參考文獻(xiàn)

1. [ISO 26262-8] ISO 26262:2018 ‘Road Vehicles – Functional Safety’. Part 8 ‘Supporting Processes’. International Standard, ISO 2018
2. [CKP18] M. Conrad, S. Kohle, H. Pohlheim: Qualification of Model-Based Development Tools - A Case Study. Proc. of Model-based Development of Embedded Systems (MBEES 2018), Dagstuhl, Germany 2018.