|
IATF 16949新版标准条文中很多地方都提到产品安全内容,其中与电子产品及软件相关的要求如下: 我们知道目前汽车电子研发中,流程相关的要求很多。TS16949早已路人皆知,ISO26262也深入人心,CMMI方面很多企业也进行了成功尝试,随着AutomotiveSPICE流程要求的广泛应用,相信未来汽车行业必将迎来多模型,多种流程协调统一的开发模式。
届时,开发一套既符合主流多种类开发流程要求,又能符合企业自身现状,模块化,易维护,易拓展的流程模型,或将相对于开发产品行为本身更受重视。
相关标准要求的简介如下
ISO 26262
ISO 26262标准中对系统做功能安全设计时,前期重要的一个步骤是对系统进行危害分析和风险评估,识别出系统的危害并且对危害的风险等级---ASIL等级(AutomotiveSafety Integration Level汽车安全完整性等级),其中D级为最高等级。ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应开发成本增加、开发周期延长、技术要求严格。
0级是不完整级; 1级为已执行级,主要特征是达到了所评价过程的产出要求; 2 级为已管理级,主要特征是收集了过程执行的数据,能评价过程的绩效,同时工作产品进行了相应的配置管理; 3 级为已建立级,主要特征是定义了企业的标准过程且制定了裁剪规则,企业标准过程能根据项目的实际场景裁剪成项目的过程,并在项目中执行; 4 级为可预测级,主要特征是过程的执行按量化的标准去度量,且能根据度量结果去控制项目的进展; 5 级为优化级,主要特征是企业能从项目执行中收集数据,并优化过程,并持续进行过程改进。 ASPICE认证过程一般分为差距分析、过程定义、过程实施、建立工具链、预评估和正式评估等步骤。大众、宝马、奔驰、保时捷等汽车主机厂均已经通过了ASPICE 认证,同时它们要求自己的供应商必须通过ASPICE 认证。 EmbeddedSecurity(嵌入式安全) 嵌入式是一种专用的计算机系统,作为装置或设备的一部分。通常嵌入式系统是一个控制程序存储在ROM中的嵌入式处理器控制板。所有带有数字接口的设备,如手表、微波炉、录像机、汽车等,都使用嵌入式系统,有些嵌入式系统还包含操作系统,但大多数嵌入式系统都是是由单个程序实现整个控制逻辑。如果能在系统设计之初考虑广泛使用的嵌入式系统的安全问题,可减少系统的安全维护工作。 安全分析有二种分析方法:潜在失效模式及后果分析分析(FailureMode and Effect Analysis, FMEA)和故障树分析(Failure Tree Analysis, FTA)。安全性分析是对因果关系的探讨,“因”即引起安全问题的原因,而“果”是潜在风险。FMEA和嵌入式应用FMEA是一种可靠性设计的重要方法。它实际上是FMA(故障模式分析)和FEA(故障影响分析)的组合。
嵌入式系统安全的三个层次:嵌入式系统安全要综合考虑物理层、平台层以及应用层三个方面。 (1) 物理层。嵌入式系统物理层的安全问题比较容易解决。就系统本身而言,根据系统的工作环境,在设计目标和设计要求时选择符合相关标准的器件,进行规范化设计和施工就可以了。但从整个行业规范来看,由于网络系统的脆弱性,致使电子通信的可靠性下降,而市场对安全信任的需求又越来越迫切,促使一些大型IT公司决定共同解决这个课题。 (2) 平台层。据统计,现有嵌入式产品中,4位机没有使用操作系统的实例,8位机约有30%使用了操作系统,而16位机以上的嵌入式产品带有操作系统的占了70%以上。嵌入式操作系统的规模一般都比较小,不少产品开放了源码,使得操作系统本身几乎是透明的,不会存在“后门”的情况。但由于嵌入式操作系统受到系统规模的限制,不可能像WindowsXP SP2那样使用过多的安全措施。其主要作用还是隔离硬件层,便于产品开发和维护。 (3) 应用层。传统的保证数据安全的方法是对数据进行加密传输。不少嵌入式处理器处理数据的能力不高,浮点运算能力不强,若要提供实时的数据加解密运算,处理器的速度往往不能胜任。根据系统要求,优先选择开销小的安全协议和算法,或者由硬件来实施加解密算法。
|
|
|
来自: maxqin919 > 《IATF16949》
