ISO 26262道路车辆功能安全标准是一套获得国际认可的风险安全标准,该标准规范了汽车电子电气系统的功能性安全设计。如今,ISO 26262已经成为开发安全相关汽车系统的事实标准。在软件定义汽车的今天,安全是汽车软件开发者的首要优先考虑事项,而对ISO 26262合规则确保了这点。
自2011年正式颁布、2018年推出第二版,ISO 26262已经从最初由欧洲整车厂推动到如今成为全球事实上的汽车功能安全标准。在电动化、智能化、网联化的智能汽车大趋势下,汽车电气化程度迅速提高,电子电气系统越来越复杂,安全性问题凸显。ISO 26262是汽车行业确保质量、安全和应对风险的标准,它让汽车厂商从容应对安全的复杂性和安全领域的巨大需求。
更进一步,在自动驾驶时代,从ISO 26262延伸出来的ISO 21448预期功能安全国际标准,为应对AI软件可能出现的不正确决策而进一步扩展了对汽车安全的定义。那么在国际标准之下,有哪些常见汽车软件开发问题以及如何应对?
建立良好的基石
如果汽车厂商遇到了管理汽车产品复杂性的难题,可以采用诸如MBSE这样的系统工程流程和方法,可端到端追溯、消除孤岛,在全公司范围内实施的标准化与集成化流程与方法。MBSE系统工程的目标是实施一套强制性流程,以及代表了公司现有工程领域特定工作流程的工具内工件。实施系统工程也有助于获得更高效率、降低风险和加速产品上市时间。
建立认知和技能
ISO 26262对安全领域有着巨大的影响,也与全生命周期产品开发流程息息相关,从需求管理、测试管理到配置管理等。对于ISO 26262的关注和认知以及相应的合规培训,对管理者、流程和工具负责人以及开发者来说都非常重要。ISO 26262培训能确保开发团队理解不同电子电气系统的特定需求。组织安全专家、流程负责人、工具负责人以及开发者等跨领域团队的研讨交流会,能够获得系统的共识、找到差距、创造共同的路线图,确保“好的开始,就是成功的一半。
不要选用太多的工具
随着时间的推移,开发环境经常自然发展而没有一个底层统一的IT工具架构策略。相应的结果就是,开发环境中存在越来越多功能重叠、风格各异的开发工具。更多的工具就意味着更多的界面、更多的冗余数据、更多的人工处理,以及越来越不透明和越来越难以追溯等问题。为了减少与ISO 26262相关的复杂性和工作量,让追溯工作更为轻松,应尽可能减少采用的工具种类和数量。将开发环境中的工具数量减少到10-20个,既可能也可行。进行顶层管理与决策,加上系统而深入理解,是解决此类问题的最佳方式。
采用正确的工具
汽车公司基本都仍在沿用传统的开发工具,而对于实施新的工具、调整流程、改变习惯等比较抗拒。在汽车产业巨变的当下,不要让传统工具拖累产品开发!评估现有的工具,采用最新的工具,特别是选用能够定义工作流程和权限的工具。所选用的工具还需要能够创建可追溯性,向字段变量中增加信息,以及具备可规模化扩展的模板。而在采用多种工具的场景中,需要这些工具提供个性化的交互界面、衔接流程以及全局唯一真实数据库,全局唯一真实数据库用以创建跨所有开发流程的可追溯性。
确保AI失效时仍安全行驶
ISO 21448预期功能安全国际标准最初是作为ISO 26262的延伸,但随着自动驾驶技术的进展和代码及算法密度在自动驾驶车辆中的飙升,越来越需要一个完全独立的标准。ISO 26262聚焦于确保汽车的电子电气系统维持在一个可接受的安全风险基线之上,即当汽车出现失去转向辅助、电子刹车失灵、防撞系统失效等系统故障的时候,仍能保持安全驾驶。
而ISO 21448是应对当没有出现系统故障,但可能出现造成AI算法不正确决策的场景,例如超出了传感器和系统性能极限或异常情况造成AI判断失效等。ISO 21448解释了汽车制造商在没有出现明显系统故障的时候,如何降低安全风险。ISO 21448主要建立了一系列场景识别和增强框架,以确保汽车在这些场景中能够实现所设计的功能,即使出现人为错误也能安全行驶。
对ISO 21448的合规遵从是确保自动驾驶车辆安全的关键,也对汽车软件开发来说至关重要。而从实践的角度来看,这意味着汽车制造商要加强测试、确认和验证以及增加计算模拟的统计分析。为了达到对ISO 21448的合规,汽车制造商需要运行大量计算机模拟,采用机器学习和AI对海量数据进行处理,从而预测汽车在遇到复杂真实世界场景时的表现。
借助数字化的平台可以使车企合规性落地的旅程事半功倍。采用合适的、可扩展、更为灵活的工具如Codebeamer,能够帮助汽车厂商更好的进入智能汽车和软件定义汽车时代。Codebeamer不但具备需求管理、软件开发管理、风险管理、质量保证及测试管理、项目管理等核心能力,还内置了ISO26262等汽车行业国际标准。用户可以调用符合合规性要求的模板,融入到软件开发与发布过程中,结合FMEA管理、工作流管理、变更管理、问题管理、基线管理、数据分析与报告等手段,保证交付软件的安全性。