MUNIK解读ISO26262:什么是功能安全之安全档案

 

引言

 

在功能安全开发过程中,安全档案的意义十分重要安全档案作为项目功能安全符合性证据文件,用于提供清晰的、全面的以及强有力的论据证明系统运行在特定环境下不存在不合理的风险。

本文将从安全档案的概念、编写内容以及其对应的生命周期三方面展开论述。

 

img1

 

、安全档案的概念

 

在功能安全开发项目之初,先进行建立安全计划,在整个功能安全开发过程中,会形成各种工作成果,最后需要进行项目总结得出功能安全开发实现了安全目标的结论,这样的一份总结性论证文件,就是安全档案。

标准关于安全档案的要求总结来看有以下几点:

1)应根据安全计划进行制定。

因为安全计划中有一列输出文档,安全档案要按照安全计划中的定义的工作成果逐步收集。

2)       应逐步收录安全生命周期过程中生成的工作成果(work product)以支持安全论证

3)       独立执行认可评审。(这点隐含在认可措施的表格中,见下) img2

图1:ISO 26262 Part2 表一:要求的认可措施(节选)

 

如何编写一份安全档案:

根据标准的要求,完整的安全档案有三个主要素:

1)安全目标和相关安全要求(相关项或要素的安全目的);

2)安全论证,包括两种类型:产品论证和过程论证;

产品论证:通过直接诉诸实施的相关项的特征来证明安全的安全论证,例如:安全机制;

流程论证:通过诉诸开发和评估过程的特征来证明安全的安全论证,例如:认可评审,审查报告等。

3)开发过程中形成的工作成果(即依据)。

 

img3

2: 安全档案的关键要素

    

常见的一个误区是,大家对于安全档案的理解容易安全计划中产生的输出文档相混淆会认为安全计划中所有输出文档的集合就是安全档案,但实际上安全计划中逐步产生的工作成果只能作为安全档案的依据。安全档案这份文件在于体现开发实现了安全目标这个结论的论证过程,通俗来说,可以理解为安全档案包括论点,论据以及论证过程三部分功能安全开发过程中产生的工作成果,是其中的论据部分,不足以完整体现安全档案。

 

在编写安全档案时,可以得出大致的编写思路

1.对于产品安全目标及相关安全要求进行概述

2.对步骤1中提到的安全目标及安全要求的实现,可体现为具体的产品架构设计。

3.前文中已经提到安全档案另一要素是功能安全开发过程中产生的所有工作成果。在安全档案编写中,我们已经描述了该产品的大致框架,得到了不同层级分配的安全需求,这时就需要考虑如何证明当前的开发如何实现了安全目标,即图2中提到的安全论证。此处也是安全档案的重点所在。在进行安全论证时,需要根据安全生命周期的内容,逐步进行论证。

 

论证的目的在于说明在功能安全开发过程中,通过判断已完成工作成果的内容,是否完全体现该安全活动在ISO 26262中的目的和要求,如果可以体现,则可以证明。可通过验证评审(verification review)和认可评审(confirmation review)进行验证。

例如:证明产品在功能安全管理中实现了整体安全管理的目标

目的:确保参与安全生命周期执行的组织,能够实现建立并维护用以支持功能安全的质量管理体系能够用于支持和鼓励功能安全有效实现促进与功能安全相关的其他领域有效沟通的安全文化组织层级充分的功能安全规章和流程确保参与人员的能力与其职责相匹配的能力管理体系以及能充分解决识别出的安全异常的流程

论据:该组织在实际功能安全生命安全周期中建立了ISO 26262和质量体系的开发流程(体现为质量体系认证证书),整体的安全管理已在组织特有的功能安全开发规则和过程中定义(可体现为功能安全开发流程、功能安全文化手册),对于参与功能安全开发的人员有总结其能力的文件(例如项目成员能力评估表),在开发过程中遇到的异常问题,有对应的异常记录表进行管理。

结论:相关工作成果证明其在整理安全管理中是合

 

img4

、安全档案的生命周期

项目实践过程中要详尽地写好一份安全档案并非易事,安全档案的开发可被视为与安全生命周期内其余开发阶段集成的增量活动。例如,安全档案的初始版本可在技术安全要求验证后生成,中间版本可在系统设计验证后生成,最终版本可在功能安全评估的最终报告前生成。如果相关项被修改,也需要评估修改项对于安全档案的影响,必要时应该基于修改项的内容对安全档案进行更新。