5.1.工作成果

這一小節(jié)描述了“工作成果”一詞。

工作成果是滿足ISO26262系列標(biāo)準(zhǔn)相應(yīng)要求的結(jié)果（見ISO26262-1：2018的3.185）。因此，工作成果可以提供符合這些安全要求的證據(jù)。

需求規(guī)范是可以通過需求數(shù)據(jù)庫(kù)或文本文件記錄的工作成果?？蓤?zhí)行模型是一種工作成果，可以通過建?？梢詧?zhí)行的語言文件來表示（例如：用于使用軟件工具進(jìn)行模擬）。

工作成果的文件（見【文檔管理】ISO26262-8：2018的第10條）作為執(zhí)行的安全活動(dòng)、安全要求或相關(guān)信息的記錄。這種文件不限于任何形式或媒介。

工作成果的文檔可以用電子或紙質(zhì)文件、單個(gè)文檔或一組文檔來表示。它可以與其他工作成果的文檔或不直接用于功能安全的文檔相結(jié)合。

為了避免信息的重復(fù)，可以使用文檔內(nèi)部或文檔之間的交叉引用。

5.2.確認(rèn)措施

5.2.1概述

在ISO26262中，指定的工作成果在隨后的活動(dòng)中被評(píng)估，無論是作為確認(rèn)措施的一部分，還是作為驗(yàn)證活動(dòng)的一部分。本款說明核查和確認(rèn)措施的區(qū)別。

驗(yàn)證活動(dòng)是ISO26262中的主要措施，以提供證據(jù)證明工作成果是合適的，并符合相應(yīng)的要求。工作成果的驗(yàn)證可包括：

? 根據(jù)更高級(jí)別的安全要求，對(duì)導(dǎo)出的安全要求的規(guī)范或?qū)嵤┻M(jìn)行驗(yàn)證，涉及完整性和正確性；或

? 通過行使相關(guān)項(xiàng)或其要素，執(zhí)行測(cè)試用例和檢查測(cè)試結(jié)果，以提供滿足特定安全要求的證據(jù)。

驗(yàn)證活動(dòng)在ISO26262-3、ISO26262-4、ISO26262-5和ISO26262-6中有規(guī)定。此外，ISO26262系列標(biāo)準(zhǔn)中有關(guān)驗(yàn)證活動(dòng)的一般要求在【驗(yàn)證】（ISO26262-8：2018中規(guī)定，第9條）和【安全需求規(guī)范和管理】（ISO26262-8：2018的第6條）中規(guī)定了具體的安全要求驗(yàn)證細(xì)節(jié)。

工作成果的驗(yàn)證可以通過使用技術(shù)進(jìn)行，例如：

? 評(píng)審；

? 模擬；

? 分析；或

? 測(cè)試。

認(rèn)可措施在【認(rèn)可措施】（ISO26262-2：2018的6.4.9）中規(guī)定，并被執(zhí)行以評(píng)估相關(guān)項(xiàng)在功能安全方面的成就。

示例：如果在系統(tǒng)架構(gòu)設(shè)計(jì)階段應(yīng)用ASIL分解：

對(duì)由此產(chǎn)生的系統(tǒng)架構(gòu)設(shè)計(jì)的驗(yàn)證是根據(jù)技術(shù)安全概念進(jìn)行的（見【認(rèn)可措施】ISO26262-4：2018的6.4.9）；及

【關(guān)于ASIL剪裁的需求分解】（ISO26262-9：2018的第5條），確認(rèn)ASIL分解的正確應(yīng)用可以作為功能安全評(píng)估的一部分進(jìn)行，包括確認(rèn)已經(jīng)進(jìn)行了相關(guān)故障分析，并證明在實(shí)現(xiàn)相應(yīng)冗余安全要求的要素之間聲稱有足夠的獨(dú)立性。

5.2.2功能安全評(píng)估

如果相關(guān)項(xiàng)安全目標(biāo)的最高ASIL是ASILC或D，則進(jìn)行功能安全評(píng)估，以評(píng)估相關(guān)項(xiàng)實(shí)現(xiàn)功能安全的情況。在ISO26262-2中，描述了功能安全評(píng)估的某些方面以及確認(rèn)措施的進(jìn)一步方面。

功能安全評(píng)估的范圍在【相關(guān)項(xiàng)的安全管理】（ISO26262-2：2018的第6條）。

在進(jìn)行功能安全評(píng)估的情況下，功能安全審計(jì)和確認(rèn)評(píng)審的結(jié)果是功能安全評(píng)估的輸入。負(fù)責(zé)評(píng)估的人可以根據(jù)自己的酌處權(quán)進(jìn)行評(píng)估，包括如何利用功能安全審計(jì)和確認(rèn)評(píng)審的結(jié)果。

示例1如果功能安全審計(jì)的結(jié)果令人滿意，負(fù)責(zé)功能安全評(píng)估的人可以決定相關(guān)審計(jì)的結(jié)果，而不進(jìn)一步判斷功能安全所需流程的執(zhí)行情況。

示例2：根據(jù)特定工作成果的確認(rèn)評(píng)審報(bào)告，負(fù)責(zé)評(píng)估的人可以決定對(duì)該工作成果的某些方面進(jìn)行更深入的評(píng)審，或者可以檢查確認(rèn)評(píng)審是否充分考慮到該工作成果與相關(guān)工作成果之間的相互作用。

注1：負(fù)責(zé)功能安全評(píng)估的人可能進(jìn)行特定的確認(rèn)評(píng)審，即。確認(rèn)評(píng)審不一定由與評(píng)估責(zé)任人不同的人進(jìn)行。

功能安全評(píng)估可以重復(fù)或更新。

示例3：由于相關(guān)項(xiàng)或相關(guān)項(xiàng)要素的變更而進(jìn)行的功能安全評(píng)估更新，該更新被變更管理識(shí)別為對(duì)相關(guān)項(xiàng)的功能安全有影響（見ISO26262-8：2018的第8條【變更管理】）。

示例4功能安全重新評(píng)估，由功能安全評(píng)估報(bào)告觸發(fā)，該報(bào)告建議有條件接受或拒絕該相關(guān)項(xiàng)的功能安全。在這種情況下，迭代包括對(duì)上一次功能安全評(píng)估所產(chǎn)生的建議采取后續(xù)行動(dòng)，包括評(píng)估所執(zhí)行的糾正行動(dòng)（如果適用的話）。

如果相關(guān)項(xiàng)的安全目標(biāo)的最高ASIL是ASILA或ASILB，則可以省略或執(zhí)行不那么嚴(yán)格的功能安全評(píng)估。然而，即使沒有進(jìn)行功能安全評(píng)估，其他確認(rèn)措施仍在執(zhí)行（見ISO26262-2：2018的表1）。

在分布式開發(fā)的情況下，功能安全評(píng)估的范圍包括車輛制造商和相關(guān)項(xiàng)供應(yīng)鏈中的供應(yīng)商生成的工作成果以及實(shí)施的過程和安全措施（見ISO26262-2和ISO26262-8：2018的第5條【分布式開發(fā)的接口】）。

功能安全評(píng)估的目的是評(píng)估一個(gè)相關(guān)項(xiàng)在功能安全方面的成就，這只有在相關(guān)項(xiàng)層面是可能的。因此，供應(yīng)商的功能安全評(píng)估（開發(fā)相關(guān)項(xiàng)要素）僅指范圍有限的評(píng)估，它本質(zhì)上是對(duì)隨后的功能安全評(píng)估活動(dòng)（在客戶層面）的輸入。作為相關(guān)項(xiàng)開發(fā)的最終客戶，車輛制造商指定人員進(jìn)行全面的功能安全評(píng)估，以判斷相關(guān)項(xiàng)的功能安全成就。這一判斷包括提供接受、有條件接受或拒絕相關(guān)項(xiàng)功能安全的建議。

注2：對(duì)于一級(jí)供應(yīng)商負(fù)責(zé)相關(guān)項(xiàng)開發(fā)的情況，包括車輛集成，該供應(yīng)商接管上述角色的車輛制造商。

因此，以實(shí)際的方式，可以將分布式開發(fā)情況下的功能安全評(píng)估分為：

? 功能安全評(píng)估范圍有限，涉及供應(yīng)鏈中的供應(yīng)商。適用的ASIL是由供應(yīng)商開發(fā)的相關(guān)項(xiàng)要素（也見ISO26262-8：2018的5.4.5（Functional safety assessment activities in a distributed development））的最高繼承的ASIL（相關(guān)項(xiàng)的安全目標(biāo)）；及

? 最后的功能安全評(píng)估，包括對(duì)集成相關(guān)項(xiàng)實(shí)現(xiàn)的功能安全的判斷，例如。由車輛制造商執(zhí)行。適用的ASIL是安全要求的最高ASIL（另見ISO26262-2）。

示例5：汽車制造商開發(fā)了一個(gè)帶有ASILD安全目標(biāo)（SG1）和ASILB安全目標(biāo)（SG2）的相關(guān)項(xiàng)，并將對(duì)該相關(guān)項(xiàng)進(jìn)行功能安全評(píng)估。例如，第二層或第三層供應(yīng)商可能只開發(fā)相關(guān)項(xiàng)的ASILB要素，即。只有繼承SG2的ASIL的要素（然而，如果要素共存的標(biāo)準(zhǔn)適用的話，請(qǐng)參閱【要素共存標(biāo)準(zhǔn)】（ISO26262-9：2018的第6條）。在ISO26262-2：2018中有一個(gè)建議，表1對(duì)這個(gè)要素的開發(fā)執(zhí)行具有獨(dú)立性I0的功能安全評(píng)估。

范圍、程序（例如：供應(yīng)商提供的工作成果、客戶評(píng)審的工作成果）和關(guān)于客戶與供應(yīng)商之間接口的功能安全評(píng)估的執(zhí)行在相應(yīng)的開發(fā)接口協(xié)議中規(guī)定（見ISO26262-8：2018的第5條【分布式開發(fā)的接口】）。

示例6：DIA between avehicle manufacturer （customer） and a Tier1 supplier.DIA between a Tier1 supplier（customer） and a Tier2 supplier.

在分布式開發(fā)的情況下進(jìn)行功能安全評(píng)估的一種可能方式是，車輛制造商和供應(yīng)鏈中的供應(yīng)商各自處理各自負(fù)責(zé)的評(píng)估活動(dòng)的那些方面，具體如下：

供應(yīng)商評(píng)審在所制定的要素中實(shí)施的安全措施，包括其適當(dāng)性和有效性，以符合相應(yīng)的安全目標(biāo)或安全

要求（由客戶提供或由供應(yīng)商開發(fā)），并評(píng)估其實(shí)施的過程和適用的工作成果。供應(yīng)商還評(píng)估所開發(fā)的要素對(duì)相關(guān)項(xiàng)功能安全的潛在影響，例如。確定實(shí)施的安全措施是否會(huì)導(dǎo)致新的危險(xiǎn)；以及

車輛制造商評(píng)估集成相關(guān)項(xiàng)的功能安全性。評(píng)估的一部分可以基于一個(gè)或多個(gè)供應(yīng)商提供的工作成果或信息，包括功能安全評(píng)估報(bào)告。

注3：客戶可以評(píng)估供應(yīng)商實(shí)施的安全措施和供應(yīng)商提供的工作成果?？蛻暨€可以評(píng)估供應(yīng)商在供應(yīng)商場(chǎng)所實(shí)施的過程（見ISO26262-8：2018的5.4.3.1）

5.3.安全檔案的理解

5.3.1安全檔案解讀

安全案件的目的是提供一個(gè)明確、全面和可辯護(hù)的論證，并有證據(jù)支持，即一個(gè)相關(guān)項(xiàng)在預(yù)期的環(huán)境中操作時(shí)沒有不合理的風(fēng)險(xiǎn)。

這里給出的指導(dǎo)重點(diǎn)是ISO26262的范圍。

安全檔案有三個(gè)主要要素，即：

? 安全目標(biāo)和相關(guān)安全要求（相關(guān)項(xiàng)或要素的安全目標(biāo)）；

? 安全論證；及

? ISO26262系列標(biāo)準(zhǔn)工作成果（即證據(jù)）。

這三個(gè)要素之間的關(guān)系，在ISO26262系列標(biāo)準(zhǔn)的背景下，如圖7所示。

圖7-安全檔案的關(guān)鍵要素（見參考［2］）

安全論證傳達(dá)了證據(jù)和目標(biāo)之間的關(guān)系。可以提出許多頁的輔助證據(jù)，而不清楚地解釋這些證據(jù)與安全目標(biāo)的關(guān)系。論證和證據(jù)都是安全案件的關(guān)鍵要素。沒有證據(jù)支持的論證是沒有根據(jù)的，因此沒有說服力。沒有論據(jù)的證據(jù)無法解釋，導(dǎo)致對(duì)如何滿足安全目標(biāo)缺乏明確性。安全檔案通過安全檔案報(bào)告的編寫和展示進(jìn)行傳達(dá)。安全檔案報(bào)告的作用是總結(jié)安全論證，然后參考捕捉支持安全證據(jù)的報(bào)告（例如：測(cè)試報(bào)告）。

到目前為止，在其他行業(yè)中使用的安全論證經(jīng)常通過敘述性文本在安全檔案報(bào)告中傳達(dá)。敘述性文本可以描述安全目標(biāo)是如何被解釋、分配和分解的，最終導(dǎo)致引用證據(jù)來證明完成了較低級(jí)別的安全聲明?；蛘?，或者作為支持，圖形參數(shù)符號(hào)（例如聲明-參數(shù)-證據(jù)和目標(biāo)結(jié)構(gòu)符號(hào)［2］）可以用來直觀和明確地表示安全參數(shù)的個(gè)別要素（要求、聲明、證據(jù)和使用環(huán)境）以及這些要素之間存在的關(guān)系（即。個(gè)人需求如何得到特定聲明的支持，聲明如何得到證據(jù)的支持，以及為論證定義的假設(shè)使用環(huán)境）。

一種安全論證，通過對(duì)已實(shí)現(xiàn)相關(guān)項(xiàng)的特性的直接上訴來論證安全（例如：定時(shí)看門狗的行為）通常被稱為產(chǎn)品參數(shù)。通過對(duì)開發(fā)和評(píng)估過程的特點(diǎn)的吸引力來論證安全的安全論證（例如：所采用的設(shè)計(jì)符號(hào)）通常被稱為過程參數(shù)。

這兩種類型的參數(shù)都可以用來實(shí)現(xiàn)相關(guān)項(xiàng)安全性的合理參數(shù)，其中過程參數(shù)可以看作是對(duì)產(chǎn)品參數(shù)中使用的證據(jù)的信心。

5.3.2安全檔案開發(fā)生命周期

安全檔案的開發(fā)可以被視為與安全生命周期的其他開發(fā)階段集成的增量活動(dòng)。

注意，安全計(jì)劃可以包括增量步驟的計(jì)劃和安全檔案的初始版本。

這種方法允許在產(chǎn)品開發(fā)的給定里程碑上的安全檔案的中間版本。例如，安全檔案的初始版本可以在技術(shù)安全要求驗(yàn)證后創(chuàng)建；安全檔案的臨時(shí)版本可以在系統(tǒng)設(shè)計(jì)驗(yàn)證后創(chuàng)建；最終版本可以在功能安全評(píng)估的最終報(bào)告之前創(chuàng)建。

安全檔案須接受【認(rèn)可措施】（ISO26262-2：2018的6.4.9）中給出的確認(rèn)評(píng)審。

如果相關(guān)項(xiàng)被修改，對(duì)安全檔案的影響將被評(píng)估，如果必要的話，考慮到修改，安全檔案將被更新。

責(zé)任編輯：haq