功能安全管理（四）：功能安全审核及功能安全评估

作者 | HYZY

出品 | 焉知

知圈 | 进“芯片社群”请加微信13636581676，备注芯片

功能安全开发流程的终点应该是对相关项的安全认可，以确认其达到了生产发布的安全条件。

一、认可措施的关系

ISO 26262标准中定义的认可措施包括认可评审、功能安全审核和功能安全评估三种类型，ISO 26262标准中允许将认可评审和功能安全审核与功能安全评估合并、联合，以支持相关项类似变型的处理。

下图1展示了三种认可措施及验证评审之间的关系，可以看出：

• 认可评审/验证评审与功能安全审核相对独立，分别是针对工作成果及功能安全开发流程；

• 功能安全评估的范围最广，除涵盖了认可评审、验证评审和功能安全审核外，还包括安全措施的适宜性和有效性、功能安全实现的论证、安全档案提供的论证、安全异常原因已按规定关闭等其它内容。

图 1  认可措施及验证评审范围

二、功能安全审核

1、功能安全审核内涵

功能安全审核可类比ASPICE过程能力审核与TS 16949体系审核，可由公司的体系审核员或第三方机构审核员按照ISO 26262标准中对于过程的要求，审核项目开发中的安全流程实施情况。

功能安全审核可与ASPICE过程能力评估一同进行（特别是对于支持过程的审核），但ASPICE过程能力评估不能代替功能安全审核。

2、独立性要求

ISO 26262标准中定义了功能安全审核的独立性程度要求，具体见下表1

表 1  功能安全审核独立性要求

功能安全审核目标是基于安全计划中参考或特定的安全活动定义，判断功能安全所需过程的实施是否达到了ISO 26262标准中与过程相关的目标。3) 审核要点

三、功能安全评估

1、功能安全评估内容

功能安全评估的目标是判断相关项的功能安全或已开发要素对功能安全的贡献是否达成，并提供关于功能安全达成的建议：“接受”、“条件接受”或“拒绝”。

具体评估内容可包括：

• 基于ISO 26262标准相关要求，评估安全计划及安全计划要求的工作成果，以判断工作成果是否提供了足够且有说服力的证据以证明其对功能安全达成的贡献。对于要求进行认可评审的工作成果，应考虑认可评审的结果；

• 考虑功能安全审核结果的同时，评估功能安全流程的实施，以判断功能安全所需过程的实施是否达到了ISO 26262标准中与过程相关的目标；

• 评估在相关项开发过程中可供评估的安全措施的适宜性有效性；

• 如果提供了关于功能安全已达成ISO 26262标准目标的论证，判断这些论证是否有说服力；

• 基于安全档案的认可评审，评估安全档案中提供的论证是否有说服力；

• 评估安全异常的关闭依据，判断其是否有说服力；

• 如果适用，跟踪先前功能安全评估结果的建议，包括任何已执行的修正行为。

2、安全措施有效性的评审

认可评审和功能安全审核的范围均包含在功能安全评估中，对于重复的内容，功能安全评估可直接基于认可评审和功能安全审核的结果。

除此之外，功能安全评估还强调对于安全措施有效性的评审，以确认采用的安全措施是否能够检测或者控制错误，并满足相应的安全等级要求。下表2给出了对安全措施有效性的评审示例。

表 2  安全措施有效性评审示例

3、独立性要求

ISO 26262标准中定义的功能安全评估的独立性程度要求见下表3。

表 3  功能安全评估独立性要求

在实际操作中，如果主机厂需要出具功能安全评估证书，应委托有资质的第三方开展评估活动；如无需出具功能安全证书，可考虑由主机厂或供应商内部独立部门开展评估活动。

图 2  功能安全评估证书