道路车辆功能安全 ISO 26262标准（8-8）

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识，希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题，欢迎评论沟通，共同进步。(*^▽^*)

1. 道路车辆功能安全ISO 26262标准

8. ISO 26262-8 支持过程

十、论证证明

1. 目标

这一条款为论证证明过程提供指南。论证证明的另一种意思是符合 ISO 26262 的使用，在现在项目或元素中重用的情况下数据是可用的。

2. 概述

论证证明在使用参数可以应用于任何类型的产品，它的定义和使用条件相同或已经发布或运行的产品有非常高的通用性。它也可以应用于与此产品相关的任何工作产品。

注 1：论证证明不是内部变更：一个产品，替代设计或实现，旨在取代论证证明产品不能被认为可以使用因为它满足原始功能需求，除非该产品符合这一条款中指定的标准。

一个项目或一个元素，如系统，功能，硬件或软件产品，可能是论证证明的备选。备选也可以参考系统，硬件或软件工作产品等技术安全概念、算法、模型、源代码、目标代码、配置或标定数据。

论证证明的动机包括:

a) 在商业用途汽车应用程序旨在部分或完全转入到另一个目标

b) 运行的 ECU 实现额外的功能

c) 候选人的领域在 ISO 26262 发布之前

d) 候选人被用于其它安全行业

e) 候选人是一个广泛使用的 COTS 产品不一定用于汽车应用

论证证明被证实，候选人通过适当的文档，配置管理和变更管理记录和有关安全事件的字段数据。

一旦候选人被定义(见 14.4.3)与预期的信用使用证明 (见 14.4.2)，需要考虑两个重要的标准准备论证证明。

候选人在服务期间字段数据的相关性(见 14.4.5)，如果有的话，变更，可能会影响候选人的服务期(见 14.4.4)。

在使用项目或元素不使用证明以下免除这些物品或元素。

在项目或元素使用的证明并不能免除以下项目相关的安全管理活动中的项目或元素：

在安全计划中描述的信用使用证明,和论证证明过程中产生的数据和工作产品是安全情况的一部分还需要确认措施。

3. 需求和建议

1. 概述

以下小节指 ASILs 适用于将来备选使用。

2. 信用证明

信用证明使用只有当候选人
由论证证明产生的信用证明应根据 ISO26262 -2:2011 6.4.3.5 计划
信用证明应当限于由论证证明候选的安全生命周期阶段和活动
在一个项目或元素中使用的综合证明措施应实施在适当级别依照ISO 26262 - 4:2011 条款 8

例：ECU 硬件有一个满意的服务历史，目的是要达到 100%的应用程序。信用证明可以应用到子阶段和活动发展的硬件元素。类似地，如果软件是一个 100%的延滞与满意的服务历史信用证明就可以也被应用到软件子阶段和活动。

项目的安全验证在使用元素嵌入证明时进行根据 ISO26262-4:2011 条款 9
项目的确认措施应当考虑使用元素证明参数和相关数据按照 ISO26262-2:2011 6.4.7
项目或元素的使用证明的任何改变应当遵守 14.4.4 和对应的信用证明的维护

3. 备选的最少信息

备选的描述和它以前的使用应该是可用的，包括以下内容：

a）候选的标识和内部元件或元素的可追溯性

b）相应的需要描述的安装、形式和功能要求。若可以，接口和环境，物理和化学，功能和性能特征

c）备选的安全要求和相应的 ASILs 等级

4. 备选的变更分析

备选证明

备选变更和使用环境应依据以下两点来识别。

注 1：备选变更指设计变更和完成变更。设计变更由需求变更、功能增强或性能增强产生，完成变更不影响备选的规格和功能，而仅仅是它的实现特征。完成变更由软件更正，新开发使用和生产工具产生。

注 2：配置数据和备选数据变更被认为是自身为避免安全目标影响行为而产生的。

注 3：备选环境的变更是由于备选使用在新的应用类型，具有不同的安全目标和需求，安装在新的目标环境下（例如，各种车辆，各种环境条件）或者各种元件与它周围有相互作用的更新。

项目变更进入新的应用

项目或使用环境变更以进行新的应用应遵守 ISO26262- 3:2011 条款6.4.2。

要素变更进入新的应用

要素或使用环境变更以进行新的应用不同于项目变更，应遵守条款 8。

备选变更独立于新的应用

备选变更在服务周期之后引入，独立于未来应用，应提供证据证明使用状态是有效的。

5. 现场数据分析

配置管理和变更管理

应该提供证据证明备选在配置管理和变更管理服务周期之内或之后，以便于备选当前的状态能被确立。

使用证明的目标值

注：当任何 ASIL 尚未分配给备选，ASIL D 目标保守选择。

——备选服务期的计算基本原理应可用

——备选的服务期应来源于所有标本的观察期之外的结果

——作为备选的每个相同规格和实现的样本的观察期间和运行在一个车辆超过平均每年车辆操作时间的备选被认为在进行服务周期的分析

——由备选获得的使用状态的证明，其服务演示应遵守每个安全目标，按照下表，可以违反的单面低置信度为 70%(使用卡方分布)。

注 1 ：使用参数证明的目的,一个可观测到意味着失败的事件报告给制造商，造成候选人有可能导致违反安全目标。

注 2 ：特性和事件观测率解释为分析潜在的违反安全目标。

注 3 ：下表给出一个示例所需的最低服务周期间没有可观察到的事件率必须达到70%的置信度：

——使用的信用证明应用可能是预期暂时，证明之前使用状态(按照上表)获得。在这种情况下，候选人的服务周期应符合每个安全目标，违反安全目标的依据下表的单面的置信水平低于 70%(使用卡方分布)。

——在任何的情况下观察到的事件在这一领域过渡时期在第5条描述的应当遵守如下：

a)停止使用上表的事件率作为候选人

b)提供证据表明，按照 ISO26262 观测事件的根源完全识别和消除或者，保持计算候选人的累积时间，重置特定根源的计算时间计数器和记录在安全情况下这些证据。

——备选项目有一个非连续故障率的情况下，应采用额外的措施来验证证明。例如，由于疲劳的破坏情况。

现场问题

系统报告的问题应该确定任何观测到有潜在安全影响的事件，在备选运行周期内记录和可检索（ISO 26262-7:2011, 6.4.2.1）。

本文章是博主花费大量的时间精力进行梳理和总结而成，希望能帮助更多的小伙伴~ 🙏🙏🙏

后续内容将持续更新，敬请期待(*^▽^*)

欢迎大家评论，点赞，收藏→→→