理论教育 汽车嵌入式系统安全认证解决方案

汽车嵌入式系统安全认证解决方案

时间:2023-08-26 理论教育 版权反馈
【摘要】:它们受到严格的法规约束,且必须获得严格的安全许可认证。现有的认证标准[47]、ARP4754[48]、RTCA/DO-178B[49]或EN50128[50],为嵌入式系统关键安全系统的开发提供了严格的指导方针。同时,用于电气/电子/可编程电子系统的通用标准IEC61508[52],对于支持汽车行业的认证流程来说,似乎是一个很好的候选方案。下一步工作将进入由ISO协会成员做出可用性评估。ISO WD26262标准适用于功能安全,其目的是最大限度地减少由一个可能故障系统引起的危险。

汽车嵌入式系统安全认证解决方案

一些领域被公认为是至关重要的,如核电厂铁路航空电子设备。它们受到严格的法规约束,且必须获得严格的安全许可认证。因此,规范方式和可靠性/安全性的管理以及认证流程扮演着一个重要角色。由于以计算机为基础的系统(如转向和制动)的关键功能的数量变得越来越多,所以认证问题成为汽车行业最重要的问题。目前,一些建议已经在研究之中。现有的认证标准[47]、ARP4754[48]、RTCA/DO-178B[49](用于航空电子设备)或EN50128[50](适用于铁路行业),为嵌入式系统关键安全系统的开发提供了严格的指导方针。然而,这些标准很难用于车载基于软件的系统:软件分区(关键/非关键)、多版本、软件组件的不相似性、主动冗余的使用和硬件冗余。在汽车领域,汽车工业软件可靠性协会(MISRA)——英国汽车产品主要参与者协会,对车载软件的车辆安全导向的研发提出了一个松散的模型[51]。同时,用于电气/电子/可编程电子系统的通用标准IEC61508[52],对于支持汽车行业的认证流程来说,似乎是一个很好的候选方案。最后,一个即将到来的标准正在制定中,它来自于IEC,并服务于具体的汽车需求。

在2008年谋划的ISO国际标准草案ISO WD26262,目前在与欧盟、美国和日本的合作下取得进展[53,54]。下一步工作将进入由ISO协会成员做出可用性评估。ISO WD26262标准适用于功能安全,其目的是最大限度地减少由一个可能故障系统引起的危险。ISO草案规定:功能安全要保证,“……车辆功能不能造成任何不能容忍的危害状态,这个危害状态来自于规范、实施或实现的错误,来自于运行期失效,来自于合理可预见的操作错误和/或合理可预见的误用。”实际上,这一定义关系到系统的整个生命周期。在初步设计阶段(特别是对于风险分析和风险评价)、在开发过程中(硬件和软件的功能安全需求分配和系统评价)甚至在运行服役和退役期间(验证在安全性评价和危险性分析中所做的假设仍然存在),安全控制系统必须是有效的。一旦系统的功能被指定,那么安全流程就决定了它要跨越和克服(建立的)清单上所列驾驶情况及其相应故障,且针对它们中的每一种情况,给出了安全功能——规定要避免此类情况的发生以及如何在安全模式下保持车辆。每一种这些情况下的特征是其出现的频率、损伤的严重性及驾驶人对情况的可控性。该系统的特点是根据一个所谓的汽车安全完整性等级(ASIL)等这些参数来确定。对各ASIL相关的安全性能定义的格式目前尚不知道。如果我们指的是通用的标准IEC61508[52],那么每个SIL是由两种不同的安全属性定义:功能上的要求,即没有错误的信号是由ECU产生;安全完整性的属性,即危险的故障发生概率具有每小时不超过给定的阈值(如小于10-8)。贯穿整个系统(实现一个功能)的研发,必须验证该系统确保所有SIL所需的属性分配到功能上。例如,验证活动是基于故障模式及影响分析(FMEA)、故障和事件树分析等,它们的完成借力于几种技术——可能依赖于研发阶段(形式化方法和模型检查、性能评估、可调度性与时序分析、概率、在环硬件和在环系统等)。(www.daowen.com)

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈