ISO 26262將功能安全開(kāi)發(fā)融入了廣為熟知的“V模型”開(kāi)發(fā)流程中。根據(jù)系統(tǒng)/軟件/硬件三個(gè)層級(jí)的劃分，ISO 26262共涉及三個(gè)“V模型”：

“V模型”中的功能安全開(kāi)發(fā)，截圖來(lái)自ISO 26262

“V模型”可以簡(jiǎn)單概括為三步：

• 確定需求

• 實(shí)現(xiàn)需求

• 驗(yàn)證需求

在前面的系列文章中將重點(diǎn)放在了“V模型”的左邊的功能安全活動(dòng)上，本文將對(duì)右邊展開(kāi)說(shuō)明，即功能安全驗(yàn)證（safety verification）和功能安全確認(rèn)（safety validation）。

1. Verification (驗(yàn)證) 和validation (確認(rèn)) 辨析

讀者如果查英文字典會(huì)發(fā)現(xiàn)，verification和validation的釋義十分接近，功能安全國(guó)標(biāo)GB/ T 34590中將這兩個(gè)詞分別翻譯成“驗(yàn)證”和“確認(rèn)”，實(shí)際上單看這兩個(gè)詞還是會(huì)讓讀者產(chǎn)生含義重合的印象。因此在開(kāi)始本文之前，有必要對(duì)這兩個(gè)概念進(jìn)行辨析。

維基百科上對(duì)這兩個(gè)詞的解釋非常到位：

• Verification：Have we made what we were trying to make? （預(yù)期的事情有沒(méi)有實(shí)現(xiàn)？）

• Validation: Are we trying to make the right thing? （做的事情是否正確？）

沿著這個(gè)思路理解功能按照開(kāi)發(fā)中的概念，可以得到如下解釋：

• Safety verification：驗(yàn)證功能安全需求有沒(méi)有被實(shí)現(xiàn)？

• Safety validation: 確認(rèn)功能安全需求提的對(duì)不對(duì)？即功能安全需求實(shí)現(xiàn)了是否確實(shí)能保證安全？

根據(jù)這樣的解釋可以發(fā)現(xiàn)功能安全驗(yàn)證（safety verification）和功能安全確認(rèn)（safety validation）屬于兩個(gè)維度。接下來(lái)將分別從這兩個(gè)維度來(lái)說(shuō)明ISO 26262中的要求。

2. Safety verification （安全驗(yàn)證）

功能安全概念開(kāi)發(fā)可以簡(jiǎn)單概括為：基于整車層的安全目標(biāo)和相關(guān)項(xiàng)的系統(tǒng)架構(gòu)和邊界導(dǎo)出系統(tǒng)功能安全需求；進(jìn)一步根據(jù)細(xì)化的軟硬件架構(gòu)分別導(dǎo)出軟件功能安全需求和硬件功能安全需求。關(guān)于系統(tǒng)/硬件/軟件三個(gè)層級(jí)的功能安全需求如何進(jìn)行安全驗(yàn)證（safety verification）分別記錄在標(biāo)準(zhǔn)中的第4/5/6部分，為便于理解，接下來(lái)將以中文版GB/ T 34590為參考對(duì)其進(jìn)行一個(gè)總結(jié)。

2.1 系統(tǒng)層功能安全需求驗(yàn)證

系統(tǒng)層的功能安全需求驗(yàn)證主要是通過(guò)相關(guān)項(xiàng)的系統(tǒng)集成和測(cè)試實(shí)現(xiàn)。

• 相關(guān)項(xiàng)集成過(guò)程的第一個(gè)目標(biāo)是測(cè)試每一條安全要求是否滿足規(guī)范以及ASIL級(jí)別的要求。

• 相關(guān)項(xiàng)集成過(guò)程的第二個(gè)目標(biāo)是驗(yàn)證涵蓋安全要求的“系統(tǒng)設(shè)計(jì)”在整個(gè)相關(guān)項(xiàng)上是否得到正確實(shí)施。

相關(guān)項(xiàng)要素的集成按照系統(tǒng)化的方法進(jìn)行，從軟硬件集成開(kāi)始，經(jīng)過(guò)系統(tǒng)集成，最后完成整車集成，測(cè)試目標(biāo)包括但不限于：

• 功能安全要求和技術(shù)安全要求的正確實(shí)施

• 安全機(jī)制正確的功能表現(xiàn)、準(zhǔn)確性和時(shí)序

• 接口實(shí)現(xiàn)的一致性與正確性

• 安全機(jī)制的診斷或失效覆蓋的有效性

• 魯棒性水平

2.1.1. 軟硬件集成測(cè)試

為了發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)中的系統(tǒng)性故障，在軟硬件集成過(guò)程中，應(yīng)根據(jù)需求對(duì)應(yīng)的ASIL等級(jí)使用下面表格中給出的可行的測(cè)試方法來(lái)實(shí)現(xiàn)。

2.1.2. 系統(tǒng)集成測(cè)試

為了發(fā)現(xiàn)系統(tǒng)集成中的系統(tǒng)性故障，應(yīng)根據(jù)需求對(duì)應(yīng)的ASIL等級(jí)使用下面表格中給出的可行的測(cè)試方法來(lái)實(shí)現(xiàn)。

2.1.3. 整車集成測(cè)試

為了探測(cè)整車集成期間的系統(tǒng)性故障，應(yīng)根據(jù)需求對(duì)應(yīng)的ASIL等級(jí)使用下面表格中給出的可行的測(cè)試方法來(lái)實(shí)現(xiàn)。

2.2. 硬件層功能安全需求驗(yàn)證

硬件層功能安全需求驗(yàn)證主要目的是驗(yàn)證硬件設(shè)計(jì)是否違背系統(tǒng)設(shè)計(jì)規(guī)范和硬件安全要求，從而保證硬件設(shè)計(jì)與硬件安全要求的一致性和完整性。

2.3. 軟件層功能安全需求驗(yàn)證

軟件層功能安全需求的開(kāi)發(fā)主要體現(xiàn)在以下三個(gè)方面：

• 軟件架構(gòu)設(shè)計(jì)

• 軟件單元設(shè)計(jì)

• 軟件集成

軟件層的安全驗(yàn)證也是基于這三個(gè)方面展開(kāi)。

2.3.1. 軟件架構(gòu)設(shè)計(jì)的驗(yàn)證

軟件架構(gòu)設(shè)計(jì)的驗(yàn)證使用表6中所列出的軟件架構(gòu)驗(yàn)證方法來(lái)論證下述屬性:

• 與軟件安全要求的符合性

• 與目標(biāo)硬件的兼容性

• 與設(shè)計(jì)指南保持一致

2.3.2. 軟件單元設(shè)計(jì)的驗(yàn)證

軟件單元設(shè)計(jì)的驗(yàn)證使用表9中所列出的軟件架構(gòu)驗(yàn)證方法來(lái)證明:

• 與軟件安全要求的符合性

• 與目標(biāo)硬件的兼容性

• 與設(shè)計(jì)指南保持一致

• 對(duì)軟硬件接口規(guī)范的符合性

• 通過(guò)追溯性表明滿足了分配給軟件單元的軟件安全要求

• 源代碼與其設(shè)計(jì)規(guī)范的一致性

• 源代碼與其編碼指南的一致性

• 軟件單元的實(shí)現(xiàn)與目標(biāo)硬件的兼容性

  
  

• 

3. Safety validation（安全確認(rèn)）

標(biāo)準(zhǔn)中將安全確認(rèn)的目的概括為：

• 提供符合安全目標(biāo)的證據(jù)及功能安全概念適合相關(guān)項(xiàng)的功能安全的證據(jù)。

• 提供安全目標(biāo)在整車層面上是正確的、完整的并得到完全實(shí)現(xiàn)的證據(jù)。

由此可以看出安全確認(rèn)中的“確認(rèn)”在于確認(rèn)安全目標(biāo)及安全目標(biāo)對(duì)應(yīng)的安全標(biāo)準(zhǔn)(safety criteria)是否被滿足。

結(jié)合到安全目標(biāo)與安全需求之間的關(guān)系可以看出，只有當(dāng)整車層的安全目標(biāo)被滿足了，才能說(shuō)明由安全目標(biāo)導(dǎo)出的安全需求如果實(shí)現(xiàn)了可以保證安全。這與文章開(kāi)頭闡述的安全驗(yàn)證和安全確認(rèn)的概念相吻合。

• Safety verification：驗(yàn)證功能安全需求有沒(méi)有被實(shí)現(xiàn)？

• Safety validation: 確認(rèn)功能安全需求提的對(duì)不對(duì)？即功能安全需求實(shí)現(xiàn)了是否確實(shí)能保證安全？

安全確認(rèn)的要求和要點(diǎn)可以從以下幾個(gè)方面概括。

3.1. 安全確認(rèn)的環(huán)境

不同的車型整車各方面參數(shù)不同，導(dǎo)致車輛的動(dòng)態(tài)表現(xiàn)都有區(qū)別，因此對(duì)于和整車動(dòng)態(tài)表現(xiàn)有必然聯(lián)系的安全目標(biāo)（如制動(dòng)、驅(qū)動(dòng)和轉(zhuǎn)向等）都應(yīng)該采用整車環(huán)境對(duì)相關(guān)項(xiàng)進(jìn)行安全目標(biāo)進(jìn)行確認(rèn)。

對(duì)于和整車環(huán)境無(wú)必然聯(lián)系的安全目標(biāo)（如HMI相關(guān)），在有充分的證據(jù)表明仿真環(huán)境準(zhǔn)確性可信的情況下也可以選擇仿真環(huán)境（如HiL）。

3.2. 安全驗(yàn)證的目標(biāo)

通常來(lái)說(shuō)，通過(guò)評(píng)估以下幾個(gè)方面來(lái)確認(rèn)安全目標(biāo)是否被實(shí)現(xiàn)。

• 可控性

• 用于控制隨機(jī)失效和系統(tǒng)性失效的安全措施的有效性

• 外部措施的有效性

• 其他技術(shù)要素的有效性

3.3. 安全驗(yàn)證的方式

在這里需要強(qiáng)調(diào)一個(gè)容易被誤解的點(diǎn)，安全目標(biāo)的確認(rèn)不是只有測(cè)試這一種方式，而是可以使用以下方法的適當(dāng)組合:

• 已定義了測(cè)試流程、測(cè)試案例和通過(guò)/未通過(guò)準(zhǔn)則的可重復(fù)性測(cè)試(功能和安全要求的正向測(cè)試、黑盒測(cè)試、仿真、邊界條件下的測(cè)試、故障注入、耐久測(cè)試、壓力測(cè)試、高加速壽命測(cè)試、外部影響模擬)

• 分析;（如FMEA、FTA、ETA）

• 長(zhǎng)期測(cè)試,例如車輛駕駛?cè)粘贪才藕褪芸販y(cè)試車隊(duì)

• 實(shí)際使用條件下的用戶測(cè)試、抽測(cè)或盲測(cè)、專家小組

• 評(píng)審