论文部分内容阅读
摘要:随着汽车对整车电子系统的开发需求与依赖程度日益提升,电子控制单元软件的开发也越来越复杂。汽车电子软件的开发不同于一般的软件开发,除了需要符合软件开发标准流程外,还需要满足功能安全相关标准。指的推荐的实施功能安全的有效方式是在企业已建立的CMMI过程体系基础上,加入ISO 26262的重要工作产品,将安全生命周期融入产品生命周期当中。本文就两者的融合进行了详细研究,不但能够降低实施功能安全的成本,电同时保证了功能安全活动得到有效执行。
关键词:CMMI-DEV; IS0 26262;功能安全;融合;安全生命周期
1 CMMI-DEV概念
CMMI是一套融合多学科的、可扩充的产品集合,其研制的初步动机是为了利用两个或多个单一学科的模型实现一个组织的集成化过程改进。CMMI的本质是软件管理工程的一个部分。软件过程改善是当前软件管理工程的核心问题,50多年来计算机的发展使人们认识到要高效率、高质量和低成本地开发软件,必须改善软件生产过程。基于模型的过程改进是指采用能力模型来指导组织的過程改进,使之过程能力稳定的进行改善,该组织也能变得更加成熟。
所谓CMMI-DEV即CMMI for Development开发模型。该模型主要用于软件工程、硬件工程、系统工程等产晶开发领域,基本上覆盖了产晶研发的各个过程领域,包括:项目管理、需求、设计、开发、验证、确认、配置管理、质量保证、决策分析以及对研发的改进和培训等一系列活动。该模型按照成熟度等级的逐步提高,产品开发企业的产品研发风险越来越低,研发效率和质量越来越高。
CMMI-DEV包含22个流程领域,其中有16个为核心流程领域,1个为共同使用流程领域,并且有5个为CMMI-DEV所专有的流程领域。所有CMMI-DEV模式中的执行方法都是针对发展者组织的活动,其中5个专门针对发展相关之执行方法的流程领域分别为需求发展、技术解决方案、产品整合、验证及确认。
2 车辆功能安全融合
有关功能安全最初的国际标准是IEC 61508,针对一般工业领域的电气/电子/可编程电子相关系统的功能安全评估与管控方法加以规范。而车载电控系统与一般T业用E/E系统有着一些差异,如成本考量或可靠度要求等,因此在2011年发布了专属车辆领域的国际标准ISO 26262,其适用于3.5吨以下客车所装载的车载电控系统,本标准使得研发项目清楚定义功能安全相关系统、硬件与软件所应遵循的共同目标,并明确标示系统达成的安全门槛,可作为安全设计的产品开发资料。因此企业在导人CMMI-DEV的同时也应加入ISO26262功能安全要求,运用在技术,产品开发,透过产品开发生命周期的需求发展、高阶设计、细部设计至系统测试等阶段,逐步将安全要求融入到车辆产品设计中,以兼顾功能安全及产品可靠度,满足车辆使用者需求。
2.1 ISO 26262标准概述
ISO 26262涵盖车辆整个生命周期,由管理、开发、生产、经营、维修至报废皆有相应的要求。采用车辆安全完整性等级(简称ASIL)的指标来评估车载电控系统符合功能安全的程度,ASIL由严重度( Severity)、暴露几率(Probahility of Exposure)与可控度(Controllahility)决定,等级分为QM( Quality Management)与ASIL A至D五种,其中QM等级无需适用ISO 26262,比照一般车辆产业质量管理系统ISO/TS 16949要求即可,而ASIL等级越高,系统功能安全要求越多,故ASIL D设计开发的安全考量最为严密。
2.2 产品安全生命周期
车辆产品的安全议题要包含功能导向与质量导向的开发活动与工作产品,ISO 26262正是清楚定义研发项目的功能安全相关系统、硬件与软件所应完成的开发活动与工作产品,形成产品的安全生命周期(Safety lifecycle)的各个阶段,完整的架构并以V模型为开发流程模型,如图1所示。
安全生命周期涵盖ISO 26262 Part 2至Part 7,整个生命周期分为概念阶段、产品开发与生产交付后等三阶段,由综合说明的功能安全管理起始,往下就是大V模型开始的概念阶段,接着是系统层、硬件层、软件层的产品开发与结束的产品和运行,其间系统层产品开发包含硬件层产品开发与软件层产品开发两章,形成系统、子系统的层级架构,而软、硬件开发又各成一小V模型,两者并有相互关联,确保系统开发是软硬兼顾。详见图2所示。
3 CMMI-DEV与IS0 26262比较
ISO 26262只专注于功能安全,作业与CMMI-DEV的ML2与ML3流程相当,需搭配系统工程CMMI-DEV完整的路线图,才能有效导入组织运作,两者关系的异同比较如图3所示。
进一步比较CMMI-DEV与ISO 26262如表1所示,寻找ML3流程与安全生命周期的相互关联,以建立完整的机制,密切相关的流程有RD、PP、TS、PI与V
关键词:CMMI-DEV; IS0 26262;功能安全;融合;安全生命周期
1 CMMI-DEV概念
CMMI是一套融合多学科的、可扩充的产品集合,其研制的初步动机是为了利用两个或多个单一学科的模型实现一个组织的集成化过程改进。CMMI的本质是软件管理工程的一个部分。软件过程改善是当前软件管理工程的核心问题,50多年来计算机的发展使人们认识到要高效率、高质量和低成本地开发软件,必须改善软件生产过程。基于模型的过程改进是指采用能力模型来指导组织的過程改进,使之过程能力稳定的进行改善,该组织也能变得更加成熟。
所谓CMMI-DEV即CMMI for Development开发模型。该模型主要用于软件工程、硬件工程、系统工程等产晶开发领域,基本上覆盖了产晶研发的各个过程领域,包括:项目管理、需求、设计、开发、验证、确认、配置管理、质量保证、决策分析以及对研发的改进和培训等一系列活动。该模型按照成熟度等级的逐步提高,产品开发企业的产品研发风险越来越低,研发效率和质量越来越高。
CMMI-DEV包含22个流程领域,其中有16个为核心流程领域,1个为共同使用流程领域,并且有5个为CMMI-DEV所专有的流程领域。所有CMMI-DEV模式中的执行方法都是针对发展者组织的活动,其中5个专门针对发展相关之执行方法的流程领域分别为需求发展、技术解决方案、产品整合、验证及确认。
2 车辆功能安全融合
有关功能安全最初的国际标准是IEC 61508,针对一般工业领域的电气/电子/可编程电子相关系统的功能安全评估与管控方法加以规范。而车载电控系统与一般T业用E/E系统有着一些差异,如成本考量或可靠度要求等,因此在2011年发布了专属车辆领域的国际标准ISO 26262,其适用于3.5吨以下客车所装载的车载电控系统,本标准使得研发项目清楚定义功能安全相关系统、硬件与软件所应遵循的共同目标,并明确标示系统达成的安全门槛,可作为安全设计的产品开发资料。因此企业在导人CMMI-DEV的同时也应加入ISO26262功能安全要求,运用在技术,产品开发,透过产品开发生命周期的需求发展、高阶设计、细部设计至系统测试等阶段,逐步将安全要求融入到车辆产品设计中,以兼顾功能安全及产品可靠度,满足车辆使用者需求。
2.1 ISO 26262标准概述
ISO 26262涵盖车辆整个生命周期,由管理、开发、生产、经营、维修至报废皆有相应的要求。采用车辆安全完整性等级(简称ASIL)的指标来评估车载电控系统符合功能安全的程度,ASIL由严重度( Severity)、暴露几率(Probahility of Exposure)与可控度(Controllahility)决定,等级分为QM( Quality Management)与ASIL A至D五种,其中QM等级无需适用ISO 26262,比照一般车辆产业质量管理系统ISO/TS 16949要求即可,而ASIL等级越高,系统功能安全要求越多,故ASIL D设计开发的安全考量最为严密。
2.2 产品安全生命周期
车辆产品的安全议题要包含功能导向与质量导向的开发活动与工作产品,ISO 26262正是清楚定义研发项目的功能安全相关系统、硬件与软件所应完成的开发活动与工作产品,形成产品的安全生命周期(Safety lifecycle)的各个阶段,完整的架构并以V模型为开发流程模型,如图1所示。
安全生命周期涵盖ISO 26262 Part 2至Part 7,整个生命周期分为概念阶段、产品开发与生产交付后等三阶段,由综合说明的功能安全管理起始,往下就是大V模型开始的概念阶段,接着是系统层、硬件层、软件层的产品开发与结束的产品和运行,其间系统层产品开发包含硬件层产品开发与软件层产品开发两章,形成系统、子系统的层级架构,而软、硬件开发又各成一小V模型,两者并有相互关联,确保系统开发是软硬兼顾。详见图2所示。
3 CMMI-DEV与IS0 26262比较
ISO 26262只专注于功能安全,作业与CMMI-DEV的ML2与ML3流程相当,需搭配系统工程CMMI-DEV完整的路线图,才能有效导入组织运作,两者关系的异同比较如图3所示。
进一步比较CMMI-DEV与ISO 26262如表1所示,寻找ML3流程与安全生命周期的相互关联,以建立完整的机制,密切相关的流程有RD、PP、TS、PI与V