道路车辆功能安全 ISO 26262标准（8-5）—支持过程

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识，希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题，欢迎评论沟通，共同进步。(*^▽^*)

---

1. 道路车辆功能安全ISO 26262标准

8. ISO 26262-8 支持过程

七、可信的软件工具

3. 需求和建议

1. 基本要求

如果安全生命周期包含开发一个系统或它的硬件或软件元素时使用的软件工具，这样 ISO 26262 所要求的活动或任务依靠正确的软件工具的功能，工具适用的处理步骤的相关输出不检查或验证，这样的软件工具应当遵守本条款的要求。

2. 预定工具置信水平或资格的有效性

如果软件工具的置信度评估或资格在特定的安全项目或元素的开发中独立执行，这个预定的工具置信水平或资格的有效性确认后，按照 ISO 26262-2:2011，表 1，软件工具被用于开发一个特定的安全项目或元素。

注：收集软件工具信息可以是一个跨组织活动，从而有利于分类或认证。

3. 软件工具符合评价标准或其资质

使用软件工具时，应当确保其用法、环境、功能限制、一般操作条件符合其评估标准或其资格。

例：使用的版本和配置、用例与实施预防措施或故障检测相应的错误输出应记录在这个软件工具的合格报告中。

4. 规划软件工具的使用

• 一个软件工具的使用应当有计划，包括确定：

——确定软件工具的版本号

——软件工具的配置

例：编译器的配置是通过设置编译器开关和定义 C 源文件的“#pragma”声明。

——有关软件工具的使用案例

注 1：用例可以描述用户使用工具时软件工具或软件的应用的功能。

注 2：用例可以包括用于软件工具执行时该工具的配置和环境的要求。

——软件工具执行环境

——所有安全要求中分配给项目或元素中可以避免的最大的 ASIL，如果软件工具出现错误并产生相应的错误输出。

注：最大的 ASIL 可对于一个特定的开发，还可以是软件工具的通用用法被确定的假设。在这种情况下一个假设的预先确定的 ASIL 用假设来验证。

——软件工具的认定方法，需要在置信等级的基础上来确定

• 可以的话，确保软件工具的评价或使用，下列信息可用:

——软件工具的描述特性，功能和技术性能

——适用的用户手册或其他使用指南

——操作所需的环境的描述

——若可以的话，描述软件工具在异常的操作条件下的行为

例 1 异常操作条件可以通过禁止编译器的组合开关，环境不遵守用户手册或不正确的安装。

例 2 异常操作条件下的预期行为可以抑制输出产生，用户指示或用户报告。

——若可以的话，描述已知的软件工具故障和适当的保护措施，避免或者解决方案的措施

例 1 使用指南或解决已知的故障，通过编译器或者使用一组有限的模型构建块限制代码的优化。

例 2 保障包括预防通过使用约束，已知故障和问题的检测报告，提供安全的替代技术来执行相应的活动。

——软件工具所需的置信程度的确定过程中鉴别软件工具检测故障的措施和相应的错误输出

注：检测错误和相应的输出的措施可以解决已知的和潜在的软件工具的输出错误。

例：冗余软件工具的输出比较，执行的测试，静态分析或者评论，分析软件工具的日志文件。

5. 软件工具的分析评估

• 软件工具的使用描述应包含下列信息:

——目的

例：仿真功能，源代码生成，或嵌入式软件的测试，安全生命周期的定制或 ISO 26262要求的活动和任务的自动简化。

——输入和预期输出

例：后续开发活动所需的输入数据，源代码，仿真结果，测试的结果，,或 ISO 26262的其他工作产品。

——若可以的话，环境和功能的限制

例：嵌入软件工具的开发过程，不同软件工具的共享数据和其他使用条件，防止或检测软件工具故障的措施。

• 软件工具分析和评估的目的,以确定:

——一种可能性，特定软件工具的故障在被开发的安全相关的项目或元素中被引入或无法检测错误。这被分类表示为工具影响（TI）。

1)TI1 时应是没有这样的可能性;