20180621-ISO26262功能安全基础

嵌入式安全分类：1. 外部系统的威胁主要包含软件层面的逻辑漏洞、通过破坏硬件设备进行的安全威胁以及通过输入错误信息导致的安全漏洞这三大类。2. 系统本身的安全防护能力而言, 功能安全指的是在设计阶段就考虑产品安全性并在整个开发流程中进行有计划地管理的一套全面的安全防护体系。

本系统采用的功能安全规范为IEC 61508，在整个系统发育周期划分为十六个关键阶段的过程中对硬件架构进行了严格的安全性评估工作。现有研究表明，在汽车领域应用最多的是基于ISO 26262的功能安全开发方法，在针对复杂动态环境下的安全性研究方面具有显著优势。源自欧洲这一背景特点使其成为针对汽车道路安全领域的IEC 61508标准的重要延伸部分。重点对电子电气以及软件系统的技术保障措施进行了详细规定，在定义了汽车内各类电子器件出现故障后仍能保持一定安全性等级的标准要求的同时也为后续的设计工作提供了明确的技术指导方向。该规范基于V模型开发流程制定相应的功能安全规范与建议从而实现了从需求分析到最终产品验证的完整管理流程将软件设计与测试环节同步规划并将各个子系统的安全性评估与其实际运行环境相适应地结合起来确保了整车的安全性水平能够满足相关法规的要求如图所示展示了其完整的体系架构框架

Figure1 V模型结构图（转自文献）

ISO26262主要聚焦于错误操作可能导致的电子电气安全相关系统问题及其相互作用所引发的风险，并且这些风险不包括电击、高温或耐腐蚀性等问题。ISO26262涵盖的内容包括基本概念、系统的全生命周期管理策略以及各技术领域的发展动态。该标准包含以下关键组成部分：从概念出发到具体实施的体系架构；从需求分析到最终产品的全生命周期管理；针对每个阶段的具体安全管理规范和技术指导方案；并详细说明了各阶段的安全管理目标、范围以及输入需求与输出结果等核心要素。

ISO26262的几个阶段具体内容：

功能安全管理涉及整个软件开发过程以及开发完成后与安全相关的管理问题。从多个维度涵盖复杂安全生命周期的组织结构安排，并明确产品开发阶段的管理角色和相应的职责分工。详细阐述产品开发阶段的安全管理需求及其实现路径，在确保系统安全性的同时保障其可扩展性。重点说明安全活动的计划、协调以及实施过程，并关注整个产品的功能安全性保障工作及其后续维护。

遵循ISO26262标准的功能安全管理体系将经过全面优化以确保系统的可靠性与安全性要求企业从高层管理层面建立并实施一套全面的安全管理体系如图所示

Figure2 功能安全管理（转自文献）

2， 概念阶段，设计安全活动及文化。

3， 产品开发系统级阶段，考虑产品整体对外的接口，需求，开发和集成测试等。

Figure3 安全相关产品开发流程（转自文献）

4，在产品开发的硬件阶段规划并制定相关的功能安全措施；同时明确详细的安全需求规格和 hardware design要求；审查因 random hardware failure 可能导致的目标不符合状况；并对 hardware integration 和 final system testing 进行审查。

在产品阶段实施软件开发（规划），明确系统功能并确认与硬件的一致性；进行系统结构规划以满足架构要求；实施模块化设计以实现具体功能；对每个模块进行详细评估以符合规范要求；全面测试确保仅实现指定功能；整合组件完成集成测试，并最终确认系统安全性。

6， 产品化及运营。

汽车电池管理系统（BMS）对应的软件架构如下图所示：

Figure4 BMU软件架构（转自文献）

在系统设计阶段应具备功能性保障模块，并基于软件架构确保电池包及其整车系统 functionality. 根据 ISO26262 核心理念, 该功能安全实现流程可归纳为以下若干步骤:

基于系统视角对电池管理系统进行风险评估工作，并根据评估结果明确功能安全的需求概念

明确软件与硬件的功能安全性设计要求，并从软件方面制定相应的安全方案；估算所需的安全资源投入，并建立安全管理流程

在软件开发过程中，在产品需求评审阶段应用了以下几种方法：首先进行了基于错误树的FTA（故障 Tree Analysis）分析；其次结合DFMEA（设计失效模式及影响评估）的方法进行了深入研究；最后对整个系统的可靠性进行了全面评估，并结合单元测试、系统集成测试及最终的功能安全性测试方案进行优化调整。

（即基于可能的失效模式对现有设计产品进行安全性分析。）