内容提要：在本文中，我们提出了一个工作流程，引入一种符合ASPICE和ISO 26262的基于流程和产品的论证的联合方法。该方法得到论证模式的支持，这些论证模式涵盖了相关标准的主要论证思路。该方法的适用性在混合动力电动汽车动力系统的高压电池系统的汽车用例中得到了证明。

摘要

当今车辆功能的复杂性需要有系统的程序来确保功能安全。流程审核和功能安全评估可确认产品符合标准和安全性。安全生命周期的一个结果是安全档案，它应该“传达一个清晰、全面和可论证的论据，表明系统达到可以接受的安全”。在本文中，我们提出了一个工作流程，引入一种符合ASPICE和ISO 26262的基于流程和产品的论证的联合方法。该方法得到论证模式的支持，这些论证模式涵盖了相关标准的主要论证思路。这些模式与开发过程并行阐述，并处理安全论证路线的可视化以及证据的链接。它们有一个通用规范，提供模板并涵盖两个论证方面。基于流程的论证处理工程过程并支持过程审计，而基于产品的论证处理项目特定的结果，即工作产品的内容，并支持功能安全评估。该方法的适用性在混合动力电动汽车动力系统的高压电池系统的汽车用例中得到了证明。

一、简介

当今车辆中众多控制单元所实现的功能数量正在不断增加。这些异构功能的相互作用导致高度复杂性，需要在开发之前、期间和之后特别注意。从安全角度来看，这些功能必须在没有任何故障的情况下运行，否则可能会导致灾难性后果的危害（例如伤害人员或导致环境破坏）。汽车安全标准ISO 26262将一个相关项目定义为一个系统或系统阵列，例如汽车电气/电子 (E/E)系统，实现特定功能。ISO 26262提供了有关功能安全的要求和建议，以在项目的整个生命周期中处理所需的安全活动，例如详细工作产品的可追溯性。必须证明开发过程符合标准，并且根据标准推荐的方法，实施的产品必须是安全的。安全活动的结果必须记录在多种工作产品中。工作产品被定义为与ISO 26262的一项或多项要求相关的结果。此外，ISO 26262要求由独立机构或组织对相关工作产品采取确认措施，以检查其形式、内容在充分性和完整性方面的正确性。在大多数情况下，结果是“安全分析”、“安全完整性判定”或“可靠性计算”等文件。所有文件作为一个整体，为编制安全档案提供了证据。为了证明有关该过程的所有要求都得到满足，需要足够的证据。然而，证据必须与产生证据的信息清楚地区分开来。从这个角度来看，找到一种改进的方法来指示所需的证据是有益的。安全要求和证据之间的关系必须通过清晰、全面和站得住脚的论证来传达，以强调可追溯性。

所有利益相关者，包括工程师、评审员和审计员，可能并不深入熟悉工程流程和所有最终工作产品的内容。利益相关者将能够更快地理解论证，从而缩短审核周期、获得简洁的反馈，并更好地理解整个产品开发。

第二节提出了问题陈述。第三节提供了相关工作和最重要的背景信息。第四节描述了使用基于流程和产品的论证的拟议方法。第五部分展示了该方法在汽车用例中的应用。最后，第六节介绍了结论和未来的工作。

二、问题陈述

处理安全关键产品的公司会聘请外部授权机构来证明其在功能安全开发方面的能力（例如功能安全审核和功能安全评估）。安全认证确保某种产品在特定环境下满足特定的安全要求。它需要完整且结构化的证据收集，以表明所开发的系统具有可接受的安全性。

安全论证的作用经常被忽视，因此不直接参与工作产品创建的利益相关者（例如评审者）可能很难重建有关所采取决策的思路。以易于理解的方式记录决策，可以避免丢失关键信息。需要一种系统的方法来处理详细工作产品的依赖性问题的开发过程，因为它们之间的复杂关系可能并不明显。工件涵盖特定工程任务的结果，其中包括符合标准的工作产品。需要一种伴随该流程的论证方法，并且能够处理这些单独工件之间的复杂联系。为了提出一种能够处理各种复杂系统和流程的通用方法，该方法必须是结构化的、模块化的和可扩展的。

针对发现的问题，提出以下解决方案。论证模式和匹配指南已定义，并应伴随开发过程。他们以易于理解的方式强调了开发过程及其相关论证之间的关系。应在基于流程和基于产品的论证之间建立明确的关系，以避免论证过程中出现系统性错误。可以清晰地了解所有现有关系的结构化方法且易于使用，并节省时间和成本。目标结构化符号(GSN)是为构建通用参数而定义的。就ISO 26262而言，GSN有助于在证据和安全要求之间建立有效的关系。应详细阐述论证模式以支持相应的工件类型。基于流程和基于产品的论证一起使用来编译结论性的安全档案。

三、背景及相关工作

A.汽车功能安全-ISO 26262

ISO 26262是汽车领域安全关键产品开发的基础。它需要证据来证明已建立的流程执行得当。ISO 26262将“汽车安全完整性等级”(ASIL)定义为安全关键危害情况的风险分类参数。这是一个重要参数，规定了安全生命周期中所有后续安全活动应采取的最小努力。安全生命周期已定义，但ISO 26262预设了满足ASPICE等特殊质量标准。既定的流程质量水平是功能安全活动的基础。ISO 26262中的要求期望采取各种确认措施，例如评审（例如安全分析评审）、审核（例如功能安全审计）和评估（功能安全评估）。为了通过这些确认措施，如果在不花费时间的情况下获得所有必要的论据是有益的。

ISO 26262背景下的一个非常重要的主题是安全档案的阐述。它将安全档案定义为“用作证据的所有工作产品的汇编，以表明满足某个项目的所有要求。三个主要要素是要求、论证和证据”。论证解释了证据和要求（目标）之间的关系。尽管分布式开发在汽车领域无处不在，但ISO 26262并未提供有关安全档案的详细要求。ISO 26262定义了“开发接口协议”(DIA)，以澄清OEM和不同供应商 (Tier x) 之间的关系。如果进行分布式开发，DIA连接安全档案。

如果我们看看其他领域，就会发现安全档案被认为很重要，并且受到了很多关注。根据具体情况，可以定义安全档案的不同阶段。英国“核监管办公室”定义了核设施生命周期的11个主要阶段。研究人员根据军事领域的“MoD Defense Standard 00-55”定义了三种软件安全档案。

本文的重点是适合汽车安全档案的四个阶段。在第四节A中详细解释了它们。

B.质量管理-ASPICE

Automotive SPICE是一种质量开发标准，专注于软件密集型系统开发流程的改进。Automotive SPICE提供了涵盖整个产品生命周期的流程参考模型。三个所属流程类别是“主要生命周期流程”、“组织生命周期流程”和“支持生命周期流程”。它们涉及所有过程方面，但功能安全方面仅通过参考相关标准来涵盖。评估过程能力的指标是Automotive SPICE的一部分。流程的质量必须至少达到“受管理过程”的能力水平。在ISO 26262的帮助下，安全和汽车相关要求被添加到符合Automotive SPICE标准的开发流程中。

C.流程元素建模的流程线

面向安全的流程线 (SoPL) 定义了一种方法，该方法提供了导出可重复使用的符合标准的流程的机会。目的是增加可重复使用的流程元素的数量。流程元素是特定标准合规活动的表示，包括角色、任务、工作产品、工具和指南。首先分析相关标准，并构建由可重用流程元素组成的符合标准的流程模型。SoPL能够根据公司特定流程导出定制的可执行项目特定流程。术语“公司特定”表示已定义一系列工具和方法来在公司内执行质量和安全相关活动。我们使用SoPL作为我们工作的基础，并通过安全论证方法扩展了这种方法。

D.使用GSN进行论证建模

GSN是一种可用于记录参数的图形符号。在GSN中，参数被定义为一系列相互关联的声明。策略元素用于声明目标和子目标之间联系背后的推理。上下文元素提供附加信息以支持对特定论证部分的正确理解。解决方案是支持目标的元素，因为它们记录了证据。GSN元素之间的关系使用不同的链接元素（箭头）以图形方式记录。链接元素的两种类型是“SupportedBy”和“InContextOf”。前者由带有实心箭头的线表示，表示推理或证据关系，后者由带有空心箭头的线表示，声明上下文关系。

图1.基于GSN标准的基本论证要素

模块用于隐藏详细结构并简化目标结构以提供总体视图。模块之间两种类型的链接都是可能的。此外，如果进行分布式开发并支持ISO 26262的DIA，模块还提供了集成其他来源论证的机会。图1显示了一个简单的目标结构以供说明。元素内的尖括号表示元数据，在本例中为元素<Name>和<Description>。

E.相关论证方法

以下内容展示了一系列不同的论证方法，这些方法研究了安全档案和论证主题。他们强调以各种方式区分基于流程和基于产品的论证的相关性。

及时生成重点突出的安全档案，能够为开发和评估带来可观的好处，并有助于根据ISO 26262确保汽车E/E系统的安全。基于流程的论证仅以不同的形式呈现标准的隐含论证。需要进一步论证来为开发过程中特定于产品的决策提供基本原理论证。（参考资料1，关注牛喀网公众号，后台咨询下载参考资料）中显示了一种从流程模型生成基于流程的论证的流程论证方法。它减少了认证过程中的成本和时间。对基于流程和基于产品的论证进行了区分，但仅详细考虑了基于产品的论证。它涉及构建可重用的安全档案和模式。

（参考资料2，关注牛喀网公众号，后台咨询下载参考资料）中的作者提出了一种基于流程和产品的综合论证。基于流程的论据支持基于产品的论据，以得出安全档案。安全档案开发手册为航空电子领域的安全档案开发提供了指导。在本手册中，要求明确区分基于产品和基于流程的论点，因为“前者关注获得正确的产品，后者关注的是产品的正确性”。

四、方法

所提出的方法考虑了满足Automotive SPICE和ISO 26262要求的公司特定流程。我们展示了如何通过集成安全论证模型来增强基于SoPL方法的工程流程。

A.重要术语的定义

为了区分基于流程和基于产品的论证，我们引入了工作产品的分类，如下所示。

i.)证明开发过程的能力和成熟度的工作产品（例如项目计划）。

ii.)显示符合ISO 26262的工作产品。此类工件提供了定义的流程满足所需安全方面的证明（例如确认审核报告）。

iii.)确保产品安全的工作产品。此类工件提供评估中所需的产品特定参数，以显示产品的安全性（例如安全目标）。

在项目生命周期中，每个工作产品都会经历不同的开发阶段。为了确保在整个开发过程中不断进行论证，必须考虑工作产品的不同状态。因此，安全档案不应成为项目结束时的最终交付成果。为了克服这一限制，我们针对汽车安全档案引入了四个开发阶段。

1.定义并审核系统需求规范后，可获得“初步安全档案”（功能安全概念可用）。

2.“中级安全档案”包含初始系统设计和初步验证活动。需要此类安全档案才能获得在公共道路上驾驶工程原型车的许可（汽车由专业驾驶员驾驶）。

3.“运行前安全档案”表明所有必要的运行前行动均已完成、验证和实施（发布生产的基础）。

4.在投入使用之前提供“运行安全档案”，包括满足系统要求的完整证据（客户车辆运营-现场监控、维护）。

由于安全档案多种多样，因此有必要采用系统的方法进行管理。在本文中，我们介绍了这样一种系统方法，适用于所有四个阶段。我们重点关注安全档案的第一阶段，即初步安全档案。

B.连接符合标准的流程和论证

完整的流程会考虑功能安全和流程质量等方面。ISO 26262制定了流程要求，可以看作是剪裁的框架。基于这个单一标准直接推导开发过程是没有建设性的。为了实现E/E系统，必须遵守其他产品特定标准（例如硬件组件的EMC指令、锂离子电池的IEC 62660等）。每个供应商公司都确定自己的优先级和工程方式，因此定义了自己的具体开发流程。因此，每个流程都需要单独论证来证明标准合规性。

为了简化开发过程中论证的构建，使用了GSN论证模式。直接关系可实现标准（例如ISO 26262、Automotive SPICE）、流程和论证（在GSN中实现）之间的可追溯性。这很重要，因为参数和要求的可追溯性是当前标准的基本主题。如果以系统的方式提供论据，则它们很容易理解，并且可以被特定项目中的任何利益相关者重复使用。一个很好的例子就是现场经验。如果现场出现累积的系统失效，汽车制造商需要采取行动。这可能需要工程师理解许多早期产品做出的设计决策。

GSN论证结构中的证据被建模为与流程直接相关的解决方案元素。开发项目中解决方案的名称可能与标准中使用的名称不同。因此，指定的符合标准的工作产品是指流程执行期间创建的结果。产品特定工作产品和符合标准的工作产品的关系随时给出。

C.基于流程和产品的论证思路

为了在定义的开发阶段提供功能安全证明，必须满足标准（例如ISO 26262）要求的所有要求。

本节解释两种论证类型之间的区别，即基于流程的论证和基于产品的论证。所提出的方法分别定义了每种类型的论证，尽管它们在论证中保持直接关系。产品开发迫使建立一个由联合论证支持的既定工程流程。

1）基于流程的论证

在基于流程的论证中，论证与公司特定流程直接相关，这些流程源自Automotive SPICE流程参考模型以及ISO 26262安全生命周期。Automotive SPICE提出了ISO 26262预设的质量要求。在流程执行过程中，针对特定问题的应用领域选择最适合的工具和方法。这种选择导致了项目特定的过程。基于过程的论证提供了论据来证明定义的过程满足要求。论证基于所需工作产品的存在，而不是其内容。可用的工作产品是第四节A中定义的类型(i)和(ii)。基于过程的论证的方法是在过程开发的同时记录支持该过程的论据。ISO 26262要求通过功能安全审核来评估流程的实施情况，而Automotive SPICE则定义了质量保证策略来确保流程质量。流程论证包含必须以所描述的方式完成特定流程任务的原因。策略和上下文等GSN元素用于解释为何进行目标拆分的决策。流程审核需要有关决策的信息，因此应始终记录下来。GSN表示法使用不受限制的表述的可能性来区分通用过程，并强调为什么需要偏差的论据。

2）基于产品的论证

在通用制定流程中，产品特定决策决定了分支点。基于产品特定要求的决策导致需要采取不同的安全措施。例如，电池系统的开发由于化学和电气问题，需要对不同容量、不同电芯数量的电池组采取不同的安全措施。安全措施与管理电池系统的不同软件和硬件有关。那时，流程就变成了产品需求驱动。

基于产品的论证是根据来自第四节A中定义的类型(iii)的可用工作产品的内容进行阐述的。在这些工作产品的帮助下，必须能够证明所开发的产品在相关标准方面是安全的。在项目投入生产之前，必须通过功能安全评估，并且必须以外部评估员可以理解的方式准备论证。关注的焦点是提供论据，说明为何做出特定产品相关的技术决策，以及为何使用特定方法或工具。

D.模式-可重用工件的开发

模式提供模板、指导和形式来为先前定义的流程或产品创建目标结构。本文使用关于模式和模板的定义以及模式的附加结构细节。下面列出了模式最相关的属性：

· 模式的意图：该模式的用途是什么？（例如验证）。

· 模板：用于实现的GSN论证结构。

· 动机：支持理解的场景（例如执行完整的验证）。

· 适用性：可以应用的情况（例如，模式是为汽车领域的HARA验证而设计的）。

· 陷阱：使用该模式时应注意哪些可能的陷阱、提示或技巧？

· 结果：该模式如何支持其目标？（例如，模式可以防止用户犯常见错误）。

图2.验证活动模板

模式的目标是支持符合标准的安全论证和以前项目的最佳实践。此外，它应该根据经验教训设计为可扩展和适应性强的。模式通过提供预定义的元素来帮助用户，这些元素可适应定制需求。该模式并未出现在最终论证中。

考虑的重点主要是包含参数链的属性“Template”。模板是图形表示，即论证结构，其中包含符号和文本，并且需要实例化。模板对于类似的论证行基本上是可重用的。GSN社区标准提供了两种可在模板中使用的抽象类型：“结构”和“实体”。结构抽象支持多重性和可选性的概念，实体抽象提供“未实例化 (UI)”和“未实例化和未开发”的概念（UU）。这些概念的正式定义在（参考资料3，关注牛喀网公众号，后台咨询下载参考资料）中给出。GSN的图形实体被注释为未实例化，并且可能在大括号中包含要在实例化期间替换的文本表达式。在模板中，工作产品的标准兼容名称可以用作占位符。实例化使用项目特定名称。为了便于说明，图2显示了与验证活动相关的非常通用的模板。验证分为三个活动，这些活动仍未实例化和开发。目标底部的方块表示需要进一步发展目标并实例化大括号中的术语。

模板有双重用途。第一个方面与反复付诸实践的决定有关，其中论点总是相同的。在本例中，实例化是添加具体的项目和证据描述。这种用法通常与流程论证相关（例如，流程论证HARA）。第二种用途是当产品的各个方面不同时。在这种情况下，提供的模板必须在应用之前实例化（例如，产品特定参数的变化）。

E.方法论介绍的工作流程

为了将所提出的方法引入工程项目，我们定义了以下三个后续阶段，如图3所示。

图3.创建基于流程和产品的论证的阶段

第1阶段-开发流程的初始化。初始化阶段用于准备所有需要的流程元素，以设计完整的符合标准的开发流程。此阶段的活动是选择相关标准以及识别现有流程和适合重用的论证模式。公司特定流程和随附的论证模式是此阶段的结果。

第2阶段-定制基于流程的论证。从公司特定流程到项目特定流程的定制，意味着选择流程要素来形成项目特定开发流程。该选择包括模式提供的相应论证模板，以及项目中应使用的方法和工具。创建项目特定流程涉及依赖于ASIL的决策和判断，并且需要专业知识。功能安全审核需要基于过程的论证。

模板能够支持流程开发人员。它们用于两种不同的情况。第一个案例为重复使用的通用流程活动提供了论据。这意味着，模板是可用的，它提供了满足流程要求的参数。换句话说，模板不加改变地包含在安全论证中。项目中的高层目标与公司的具体论证非常相似（例如，HARA的流程在不同项目中非常相似）。在第二种情况下，必须实例化模板，因为项目特定的开发过程处理模板之外的活动。如果流程因产品或客户需求而发生变化，则可能会发生这种情况。例如，一个项目使用HAZOP进行危害识别，而另一个项目则需要FMEA（参见第五节B中）。图4显示了HARA的实例化过程模板。

第3阶段-基于产品的论证的实例化。此阶段涵盖通过执行项目特定流程来进行产品开发。基于产品的论证模板支持已定义产品的具体产品决策。这些决策一旦制定，就会针对电池系统的完整产品线付诸实践。通用模板提供了通常对电池系统有效的论证（例如电压或温度等特定物理参数）。完整的论证结构是通过将模板实例化到产品特定上下文来实现的。完整的安全档案的需求是阐述基于产品的功能安全评估论证的主要原因。在工作产品中记录的结果的帮助下，很容易证明产品特定声明是有效的。这种论证是从开发过程的结果开始自下而上进行的。此外，快速获取证明产品安全的相关证据也很重要。

图4.HARA基于过程的论证（D-Case编辑器）

五、用例的应用

本节描述了三个阶段（见图3）在具体用例中的应用，其中论证建模是在工具“D-Case Editor”中实现的。

A.电池系统用例描述

混合动力电动汽车(HEV)动力系统的主要组成部分是高压(HV)电池系统。目前的工作重点是汽车动力总成的高压电池系统。

在过去的几十年中，最先进的技术不断发展，催生了具有不同特性的各种电池技术（例如镍氢电池、锂离子电池和锂聚合物电池）。HEV动力系统电池的一些主要目标是低成本、高功率密度（例如，对于高达250kW的HEV，功率密度>1200W/kg，以支持动态驱动扭矩）、非常高的循环寿命（例如>200000次充电/放电循环）、使用寿命长（例如>9年）和安全性。安全性变得重要，因为功率和能量密度随着电池几何形状的减小而增加，这导致在发生严重故障时潜在的严重影响增加。

电池系统的主要功能是提供电能、电能存储/充电以及电热管理。基于这些主要功能，可能会出现潜在的安全关键故障，例如电池单元过热、电池单元过度充电和电池单元深度放电。这些故障可能导致以下可能的危害：出现高电压、电池化学物质泄漏、有毒气体排放、火灾和/或爆炸。

高压电池系统工程流程和安全方面的相关数据由工业项目合作伙伴AVL提供。在下一节中，我们将展示应用所提出的方法期间的第一个实验结果。

B.电池系统开发工作流程的应用

下面描述第四节中定义的三个后续阶段的应用。

第1阶段-电池开发过程的初始化。该方法用于开发高压电池系统。ISO 26262和Automotive SPICE是相关用例中必须考虑的标准。提供有关电池系统的公司特定流程。论证模式是与该过程同时详细阐述的。这些模式提供通用论证（例如HARA）。

第2阶段-定制电池开发流程。定制步骤得出电池的具体过程和所需的论证。与过程相关的论证与已选择的特定方法有关（例如用于识别危害的HAZOP）。目的是提供论证为什么HARA支持必须实现的目标。图4显示了以“识别并减轻危害”为目标的有关HARA的论证。下面的列表显示了ISO 26262针对HARA功能安全审核所需的四个论证路径：

· HARA进行

· 危害得到缓解

· HARA验证已完成

· HARA进行确认审查

经过审核的工程流程已准备好执行，以开发高压电池系统。

第3阶段-电池系统论证的实例化。图5示例性地展示了关于混合动力汽车电池系统过热的基于产品的论证。特别是它涉及与HARA中已识别的危害相关的论证。已进行危害和情况分析，已按S/E/C参数定义危害事件和分类，并确定ASIL。对于“电池系统过热”危害，已针对电池系统的所有充电情况确定了ASIL C。“防止电池系统过热”的安全目标就是源于这种危害。与此安全目标相关的安全措施“温度监控”已被定义。

在此示例中，安全措施被可视化为与子目标相关的“策略”。已确定的子目标导致功能安全要求，从而支持顶部的安全目标。功能安全要求存储在项目特定文件“HV_Batt_FSR”中。该文件链接到符合ISO 26262的工作产品“功能安全概念”。它代表了产品特定的论点，即执行派生要求可以防止电池系统过热。该文件包含功能安全评估的证据。

图5.电池系统基于产品的论证（D-Case编辑器）

C.评估结果

详细方法的应用表明，所提出的方法有利于安全档案的创建。评估结果已确定以下好处。

· 论证模式和包含的结构符合ISO 26262和Automotive SPICE合规流程。

· 强调论证目标和标准要求之间的可追溯性。

· 过程和产品具体论证的分离使得该方法易于管理和理解。

· 可重用的模式和模板简化了论证，并保证了完整性。

· 详细的论证结构降低了审计和评估成本。

· 所提出的方法可用于安全档案的不同阶段（参见第四节A中）。

六、结论和未来的工作

本文提出了一种创建与开发过程和需求直接相关的论证结构的方法。形式主义涉及模式和模板，以便更容易地建立完整、可理解的论证路线并防止信息丢失。工作流程已定义为引入基于流程和产品的论证方法。项目特定的定制用于创建符合标准的开发流程。工程过程提供的模板的实例化推出产品特定的安全论证。应用所提出的工作流程会产生完整且结构化的安全论证，这是安全档案所需的，并支持功能安全审核和功能安全评估。通过成功应用于汽车电池用例，确保符合ASPICE和ISO 26262，获得了初步经验。

会议更多信息及洽谈，详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！