符合ISO 26262標(biāo)準(zhǔn)的工具分類與鑒定

作者: Prof. Dr. Mirko Conrad, Sophia Kohle & Dr. Hartmut Pohlheim

軟件工具被廣泛應(yīng)用于促進安全相關(guān)電子/電器系統(tǒng)的開發(fā)之中。這些工具通過自動化所執(zhí)行的活動，并通過可預(yù)測的方式執(zhí)行容易出現(xiàn)人為失誤的操作，從而潛在地提高安全性。與之相反，如果工具執(zhí)行其預(yù)定功能不充分或不正確，工具錯誤則可能會對系統(tǒng)的功能和安全產(chǎn)生負面影響。

為了降低與工具使用相關(guān)的潛在風(fēng)險，同時確保工具功能的完整性，最新的功能安全標(biāo)準(zhǔn)呼吁進行專門的活動，以確保對電子/電器系統(tǒng)開發(fā)中所使用工具的信心。

在開發(fā)安全相關(guān)的汽車軟件時，滿足ISO 26262標(biāo)準(zhǔn)中的工具分類與鑒定要求[ISO 26262-8]是確保符合該功能安全標(biāo)準(zhǔn)的強制性條件。在本標(biāo)準(zhǔn)的第8部分中，要求分兩個步驟來確保軟件工具的信心。首先，應(yīng)通過（I）工具分類來決定每個軟件工具所需要的信心。根據(jù)第一步的結(jié)果，再進行可能需要的（II）工具鑒定，以確定所需的信心。

圖片注釋：確保安全和合規(guī)性：工具分類與鑒定的重要角色

I. 工具分類

工具分類基于工具的實際/預(yù)期用途。因此，工具使用需要通過工具使用案例來進行記錄。每一個使用案例都需要根據(jù)以下方式進行進一步分析。

首先，可能出現(xiàn)在所考慮的使用案例背景下的潛在工具錯誤需要被識別和記錄。每一個工具錯誤都需要確定工具錯誤是否可能導(dǎo)致正在開發(fā)的電子/電器系統(tǒng)出現(xiàn)錯誤，或無法檢測到此類錯誤。如果可以認為不存在這種可能性，則故障對工具的影響級別為1（TI1）, 否則為2（TI2）。

接下來，需要識別并記錄用于防止或檢測這些工具錯誤的措施。這些措施的預(yù)期有效性需要被評級。根據(jù)高、中或低的置信水平，工具錯誤檢測分別被標(biāo)記為1（TD1）、2（TD2）或3（TD3）。

最后，根據(jù)每個工具使用案例和相應(yīng)的工具錯誤，分配一個工具置信度（TCL）。根據(jù)工具影響（Tool Impact）類別（即TI1或TI2）和一個工具錯誤檢測（Tool Error Detection）類別（即TD1、TD2或TD3），相應(yīng)的TCL級別即可根據(jù)以下矩陣推導(dǎo)而出。工具分類步驟必須在工具標(biāo)準(zhǔn)評估報告中記錄（即工具分類報告）。

圖片注釋：根據(jù)工具影響和工具錯誤檢測的有效性，來確定是否需要進一步的工具鑒定

工具分類步驟必須在工具標(biāo)準(zhǔn)評估報告中記錄（即工具分類報告）。

II. 工具鑒定

對于評定為TCL1的使用案例和工具錯誤組合，不需要進一步操作。對于其他所有組合，即TCL2或TCL3，則需要啟動工具鑒定過程。

根據(jù)ISO 26262，工具鑒定需要通過以下四種工具鑒定方法的適當(dāng)組合來進行：

(1a) 使用中增加信心。
(1b) 評估工具開發(fā)過程。
(1c) 軟件工具的驗證。
(1d) 遵循安全標(biāo)準(zhǔn)開發(fā)。

適當(dāng)工具鑒定方法的選擇取決于TCL和待開發(fā)的電子電器系統(tǒng)的車輛安全完整性等級（ASIL）。

然而，工具鑒定方法（1a）和（1d）的實際意義相對有限。已知的絕大多數(shù)工具鑒定使用方法（1b）或是（1c），或其組合。

如果使用方法（1b）“評估工具開發(fā)過程”來認證軟件工具，則其工具開發(fā)過程必須符合適當(dāng)?shù)臉?biāo)準(zhǔn)。工具的開發(fā)過程應(yīng)基于適當(dāng)?shù)膰一驀H標(biāo)準(zhǔn)進行評估，且應(yīng)證明所評估的開發(fā)過程得到了正確的應(yīng)用。

如果使用了方法（1c）“軟件工具的驗證”，軟件工具的確認應(yīng)符合以下三個標(biāo)準(zhǔn)：

a) 應(yīng)證明軟件工具符合其規(guī)定的要求，例如：通過確認測試或設(shè)計復(fù)審來評估工具的功能和非功能質(zhì)量方面。

b) 如果在確認過程中出現(xiàn)故障，則應(yīng)對這些故障進行分析。同樣，還應(yīng)當(dāng)提供其可能后果和避免或檢測這些故障的措施的信息。

c) 應(yīng)檢測軟件工具對異常操作條件（例如可預(yù)見的誤操作、不完整的輸入數(shù)據(jù)及不兼容的配置設(shè)置組合）的反應(yīng)。

工具鑒定步驟應(yīng)記錄在工具鑒定報告中。

總結(jié)

總而言之，工具分類和鑒定對于確保汽車開發(fā)流程的安全和可靠性不可或缺，尤其是在ISO 26262標(biāo)準(zhǔn)之下。通過系統(tǒng)性地評估工具的影響、確定所需的置信度、并采用穩(wěn)健的鑒定方法，企業(yè)可以確保其所使用的工具能夠極大地促進安全和可靠的汽車系統(tǒng)的開發(fā)。

參考文獻

1. [ISO 26262-8] ISO 26262:2018 ‘Road Vehicles – Functional Safety’. Part 8 ‘Supporting Processes’. International Standard, ISO 2018
2. [CKP18] M. Conrad, S. Kohle, H. Pohlheim: Qualification of Model-Based Development Tools - A Case Study. Proc. of Model-based Development of Embedded Systems (MBEES 2018), Dagstuhl, Germany 2018.