功能安全活动确实维系着正在开发过程中系统(零部件)的整个寿命周期,参与开发工作的所有单位都曾为此共同合作努力过。因此,与安全相关的工作成果,必须在参与工作的所有组织单位之间进行交换。如角色、责任分工和工作成果等详细情况应该按照ISO 26262之要求,就内容、格式等方面,在“开发接口协议(DIA)”中予以规定。但是,ISO 26262标准本身并没有定义此类信息,如何在组织单位之间进行交换?当前的实践过程,往往导致以效率低下的手工编辑文档为主的流程,使得供应链上消费者和供应厂商双方面信息的重复。也可能会导致在最终执行某些活动(像基本软件的安全机制的提供和配置等)时,重要信息缺失。这样造成的后果就是当展示总体安全情况时,出现不一致、追溯性有限和其他各种困难。
另一方面,AUTOSAR结构体系与AUTOSAR方法以及相关支持工具手段,已经在供应链上组织单位之间发挥着作用,提供标准交换格式和共性方法。利用这些格式,相关软件系统和ECU执行信息可以很方便地进行交换。接下来,我们将探索像AUTOSAR这样的标准如何能够做到以一种精确流畅的方式解决功能安全方面的问题。
首先,让我们以原始设备制造商(整车厂)在车辆平台上的功能安全部署为例予以说明。
在开发过程中,可以有与安全功能活动和工作成果相关的以下几个阶段(见图1):
图1 安全阶段
(1) 整车厂的设计和定义
整车厂为同一平台的各种零部件(系统)提供一般性概念,而功能安全概念方面的工作,一般开始于车辆平台零部件层级,由此引导出平台不同项目、系统和子系统的安全目标和要求。
(2)整车厂至1级零部件供应商的传递
然后,整车厂的功能安全概念分享到1级零部件供应商的具体零部件、系统和子系统。
(3)1级零部件供应商的设计和定义
在获得整车厂具体安全目标和要求之前或与其并行的时候,1级零部件供应商使用独立安全元素,可能已经开发出(子)系统的具体安全概念。这种方法容许根据某种假设的系统执行安全概念。
(4)1级零部件供应商的重新设计和重新定义
一旦收到整车厂整车厂功能安全概念,1级零部件供应商需要匹配安全需求;或许采用现有安全概念,已经能够满足这些安全需求, 也可能需要对之进行设计和重新设计才能满足整车厂的要求。
(5)1级零部件供应商的执行
为了满足安全需求和安全目标,在子系统中会有许多安全措施或机制。因此,1级零部件供应商在子系统层级上或系统层级上会执行和验证具体安全机制。
(6)1级零部件供应商到整车厂的传递
1级零部件供应商会将其执行情况与为满足整车厂安全需求而执行的安全措施或安全机制的信息传回整车厂。
(7)整车厂的整合和验证
为了将安全概念整合到他们的系统之中,整车厂会收集各种执行情况并在车辆平台上验证该系统。这可能会是一个迭代过程。
类似过程将发生在2级以上的供应商上,并对1级零部件供应商的工作做出贡献。上述传递安全相关信息所遇到的困难存在于当此种信息在单位组织之间进行交换的第二个阶段。
(1)整车厂至1级零部件供应商的传递
拟进行传递的信息包含有功能性概念的相关部分,这些相关部分意味着,结构体系中的安全目标和要求、安全考虑以及给结构体系元素分配的安全需求方面的信息。
(2) 1级零部件供应商至整车厂的传递
有关已执行的安全机制和措施信息以及安全需求和此种机制之间的映射是重要的信息。
当然也存在着整车厂与多家1级零部件供应商联络沟通的可能性,而1级零部件供应商通常也将再次与多家2级以上的零部件供应商进行联络沟通。一套标准化的安全信息交换格式将方便各组织单位之间的联络沟通,避免成本费用密集的和容易出错的返工或安全相关信息的转换翻译工作(见图2)。
图2 安全信息在单位组织之间进行交换
在以AUTOSAR为基础的开发工作中,4.2.1 版本发布推出的AUTOSAR安全扩展提供此种标准化交换格式。除此之外,AUTOSAR的整套方法已经得到扩展,目前包含有产生安全相关产品的各种活动。
安全扩展的想法,是希望方便AUTOSAR XML(.arxml)作为一种格式,对安全信息进行表达和交换。在作为AUTOSAR 4.2.1版本组成部分的当前发布中,人们采用了的这种方法,并不对现有AUTOSAR元模型产生影响。新标准规定了如何通过应用具体标准化标签和内容,仅采用AUTOSAR元模型现有的一般性概念,对信息进行定义。这里的意思是:除了在供应链上组织单位中进行交换的通常AUTOSAR模型之外,还提供了安全扩展;这种扩展给模型增添了新元素,并与现有元素相关。安全扩展只能作为扩展使用,它们并不影响现有的AUTOSAR模型。
根据以上描述的发展过程,安全扩展的主要概念包括安全需求和安全措施以及与其一起的ASIL属性(见图3)。
图3 安全扩展可确保信息的表达及转换
在AUTOSAR R4.2.1中,安全品质的等级/ASIL可以分配给每个AUTOSAR元素,包括安全需求和安全措施等。
给AUTOSAR模型提供安全扩展并对之进行加工处理,是适当工具支持探讨的主题。按照ISO 26262的要求为安全过程提供支持的工具,可用于提供安全需求和所需要的ASIL属性。就像配置工具一样,AUTOSAR工具可以阅读这些信息,添加进一步的信息,如跟踪成为最终配置组成部分的安全机制和安全措施。由于安全扩展是标准化的,在此可以使用任意的AUTOSAR工具。
AUTSOAR安全扩展与适当工具支持的配套应用,有着若干优越性。以任意格式(多数为Word和Excel格式)进行信息交换的需要减少了,同时,如果信息跨越单位组织边界流动时,信息转换所需要的时间也减少了。因此,我们可以采用更加有效的方法组织工作流程。除了在过程方面的优越性之外,还提高了安全信息的质量,例如,因为信息跟踪性能更好,所以可以用于安全案例论证。另外,模型中的这种显性跟踪可能性,提供了进行一致性检查的可能性。功能安全活动确实维系着正在开发过程中系统(零部件)的整个寿命周期,参与开发工作的所有单位都曾为此共同合作努力过。因此,与安全相关的工作成果,必须在参与工作的所有组织单位之间进行交换。如角色、责任分工和工作成果等详细情况应该按照ISO 26262之要求,就内容、格式等方面,在“开发接口协议(DIA)”中予以规定。但是,ISO 26262标准本身并没有定义此类信息,如何在组织单位之间进行交换?当前的实践过程,往往导致以效率低下的手工编辑文档为主的流程,使得供应链上消费者和供应厂商双方面信息的重复。也可能会导致在最终执行某些活动(像基本软件的安全机制的提供和配置等)时,重要信息缺失。这样造成的后果就是当展示总体安全情况时,出现不一致、追溯性有限和其他各种困难。
另一方面,AUTOSAR结构体系与AUTOSAR方法以及相关支持工具手段,已经在供应链上组织单位之间发挥着作用,提供标准交换格式和共性方法。利用这些格式,相关软件系统和ECU执行信息可以很方便地进行交换。接下来,我们将探索像AUTOSAR这样的标准如何能够做到以一种精确流畅的方式解决功能安全方面的问题。
首先,让我们以原始设备制造商(整车厂)在车辆平台上的功能安全部署为例予以说明。
在开发过程中,可以有与安全功能活动和工作成果相关的以下几个阶段(见图1):
(1) 整车厂的设计和定义
整车厂为同一平台的各种零部件(系统)提供一般性概念,而功能安全概念方面的工作,一般开始于车辆平台零部件层级,由此引导出平台不同项目、系统和子系统的安全目标和要求。
(2)整车厂至1级零部件供应商的传递
然后,整车厂的功能安全概念分享到1级零部件供应商的具体零部件、系统和子系统。
(3)1级零部件供应商的设计和定义
在获得整车厂具体安全目标和要求之前或与其并行的时候,1级零部件供应商使用独立安全元素,可能已经开发出(子)系统的具体安全概念。这种方法容许根据某种假设的系统执行安全概念。
(4)1级零部件供应商的重新设计和重新定义
一旦收到整车厂整车厂功能安全概念,1级零部件供应商需要匹配安全需求;或许采用现有安全概念,已经能够满足这些安全需求, 也可能需要对之进行设计和重新设计才能满足整车厂的要求。
(5)1级零部件供应商的执行
为了满足安全需求和安全目标,在子系统中会有许多安全措施或机制。因此,1级零部件供应商在子系统层级上或系统层级上会执行和验证具体安全机制。
(6)1级零部件供应商到整车厂的传递
1级零部件供应商会将其执行情况与为满足整车厂安全需求而执行的安全措施或安全机制的信息传回整车厂。
(7)整车厂的整合和验证
为了将安全概念整合到他们的系统之中,整车厂会收集各种执行情况并在车辆平台上验证该系统。这可能会是一个迭代过程。
类似过程将发生在2级以上的供应商上,并对1级零部件供应商的工作做出贡献。上述传递安全相关信息所遇到的困难存在于当此种信息在单位组织之间进行交换的第二个阶段。
(1)整车厂至1级零部件供应商的传递
拟进行传递的信息包含有功能性概念的相关部分,这些相关部分意味着,结构体系中的安全目标和要求、安全考虑以及给结构体系元素分配的安全需求方面的信息。
(2) 1级零部件供应商至整车厂的传递
有关已执行的安全机制和措施信息以及安全需求和此种机制之间的映射是重要的信息。
当然也存在着整车厂与多家1级零部件供应商联络沟通的可能性,而1级零部件供应商通常也将再次与多家2级以上的零部件供应商进行联络沟通。一套标准化的安全信息交换格式将方便各组织单位之间的联络沟通,避免成本费用密集的和容易出错的返工或安全相关信息的转换翻译工作(见图2)。
在以AUTOSAR为基础的开发工作中,4.2.1 版本发布推出的AUTOSAR安全扩展提供此种标准化交换格式。除此之外,AUTOSAR的整套方法已经得到扩展,目前包含有产生安全相关产品的各种活动。
安全扩展的想法,是希望方便AUTOSAR XML(.arxml)作为一种格式,对安全信息进行表达和交换。在作为AUTOSAR 4.2.1版本组成部分的当前发布中,人们采用了的这种方法,并不对现有AUTOSAR元模型产生影响。新标准规定了如何通过应用具体标准化标签和内容,仅采用AUTOSAR元模型现有的一般性概念,对信息进行定义。这里的意思是:除了在供应链上组织单位中进行交换的通常AUTOSAR模型之外,还提供了安全扩展;这种扩展给模型增添了新元素,并与现有元素相关。安全扩展只能作为扩展使用,它们并不影响现有的AUTOSAR模型。
根据以上描述的发展过程,安全扩展的主要概念包括安全需求和安全措施以及与其一起的ASIL属性(见图3)。
在AUTOSAR R4.2.1中,安全品质的等级/ASIL可以分配给每个AUTOSAR元素,包括安全需求和安全措施等。
给AUTOSAR模型提供安全扩展并对之进行加工处理,是适当工具支持探讨的主题。按照ISO 26262的要求为安全过程提供支持的工具,可用于提供安全需求和所需要的ASIL属性。就像配置工具一样,AUTOSAR工具可以阅读这些信息,添加进一步的信息,如跟踪成为最终配置组成部分的安全机制和安全措施。由于安全扩展是标准化的,在此可以使用任意的AUTOSAR工具。
AUTSOAR安全扩展与适当工具支持的配套应用,有着若干优越性。以任意格式(多数为Word和Excel格式)进行信息交换的需要减少了,同时,如果信息跨越单位组织边界流动时,信息转换所需要的时间也减少了。因此,我们可以采用更加有效的方法组织工作流程。除了在过程方面的优越性之外,还提高了安全信息的质量,例如,因为信息跟踪性能更好,所以可以用于安全案例论证。另外,模型中的这种显性跟踪可能性,提供了进行一致性检查的可能性。
评论
加载更多