迎合自動駕駛發展趨勢　ISO 26262標準把關車輛安全

根據財團法人車輛研究測試中心(ARTC)產業調查資料[車輛研測資訊2015/8]顯示，2013年全球ADAS銷售為1.24億套，產值約為147.6億美元，預測至2018年全球銷售將提升至3.55億套以上，產值也將超過350億美元，全球ADAS市場成長二倍，而其複合成長率為19.2%。

為協助我國車輛產業與電子產業參與ADAS產值躍升的趨勢，ARTC開發多項車電系統，如緊急煞車輔助系統(Advanced Emergency Braking System, AEB)，研發之雛型性能優異，已對國內業者技術移轉，為確保符合消費市場注重之安全議題，在2015年12月通過ISO 26262功能安全流程認證，使開發產品可能的危害風險降到最低，系統功能安全符合國際標準。

ISO 26262功能安全標準剖析

ISO 26262是國際標準組織(ISO)2011年公告最新車電系統之功能安全國際標準，與車輛安全相關的車電系統均被要求須實現之，本標準是調適自IEC 61508，將功能安全聚焦在車輛議題。ISO 26262提供車輛安全生命週期各階段重要活動、車輛專屬風險基礎之整合水準、避免不合理風險的應用需求、確保合適安全水準之驗證與確認，以及與供應商的關係需求等。

有關功能安全，最初的國際標準是國際電工委員會(IEC)1998年公告的IEC 61508，針對一般工業領域的電機/電子/可程式電子(Electrical/Electronic/Programmable Electronic, E/E/PE)相關系統之功能安全評估與管控方法加以規範，而車電系統與一般工業用E/E系統有著一些差異，如成本考量或可靠度要求等，因此在2011年公告專屬車輛領域之國際標準ISO 26262，其適用於3.5噸以下客車(M類)所裝載之車電系統，本標準使得研發專案清楚定義功能安全相關系統、硬體與軟體所應遵循的共同目標，並明確標示系統達成的安全門檻，可作為保安設計之產品開發資料。

近年來，功能安全是否適用其他車輛種類，如貨車(N類)或是機車(L類)、如何調適車電系統之零組件如微控制單元(MCU)認證需求、或是ADAS系統防護駭客入侵的保全(Security)議題，均將納入2016年新修的標準草案，以期滿足車輛使用之最新需求。

ISO 26262標準概述

ISO 26262涵蓋車輛整個生命週期，稱為安全生命週期(Safety Lifecycle)，由管理、開發、生產、經營、維修至報廢皆有相應的要求，本標準包含十個章節，計有Part 1名詞解釋(Vocabulary)、Part 2功能安全管理(Management of Functional Safety)、Part 3概念階段(Concept Phase)、Part 4產品開發在系統層級(Product Development at the System Level)、Part 5產品開發在硬體層級(Product Development at the Hardware Level)、Part 6產品開發在軟體層級(Product Development at the Software Level)、Part 7生產與操作(Production and Operation)、Part 8支援流程(Supporting Processes)、Part 9車輛安全完整性等級導向與安全導向分析(Automotive Safety Integrity Level-oriented and Safety-oriented Analyses)、Part 10 ISO 26262指南(Guideline on ISO 26262)。

ISO 26262採行所謂車輛安全完整性等級(ASIL)的指標來評估車電系統符合之功能安全程度，使得研發專案清楚定義功能安全相關系統、硬體與軟體所應遵循之共同目標，明確標示ASIL可作為產品開發之安全目標。ASIL由嚴重度(Severity)、暴露機率(Probability of Exposure)與可控度(Controllability)決定，等級分為QM(Quality Management)與ASIL A至D五種，QM等級無須適用ISO 26262，比照一般車輛產業品質管理系統ISO/TS 16949要求即可，而ASIL等級愈高，系統功能安全要求愈多，故ASIL D設計開發的安全考量最嚴密。

何謂產品安全生命週期

車輛產品的安全議題，要包含功能導向與品質導向之開發活動與工作產品，ISO 26262正是清楚定義研發專案的功能安全相關系統、硬體與軟體所應完成之開發活動與工作產品，形成產品的安全生命週期之各個階段(圖1)，完整標準架構即成為車輛開發模型(V-model)。

圖1 安全生命週期(Safety Lifecycle)

安全生命週期涵蓋ISO 26262 Part 2至Part 7，整個生命週期分為概念階段、產品開發與生產交付後等三階段，由綜合說明之功能安全管理起始，往下就是大V-model開始之概念階段，接續是產品開發在系統層級、產品開發在硬體層級、產品開發在軟體層級與結束之生產與操作，其間產品開發在系統層級包含產品開發在硬體層級與產品開發在軟體層級兩章，形成系統、子系統的階層架構，而軟、硬體開發又各成一小V-model，兩者並有相互關聯，確保系統開發是軟硬兼顧。

ISO 26262安全生命週期之細項，依章節如下：2-5 Overall safety management、2-6 Safety management during the concept phase and the product development、2-7 Safety management after the item's release for production、3-5 Item definition、3-6 Initiation of the safety lifecycle、3-7 Hazard analysis and risk assessment、3-8 Functional safety concept、4-5 Initiation of product development at the system level、4-6 Specification of the technical safety requirement、4-7 System design、4-8 Item integration and testing、4-9 Safety validation、4-10 Functional safety assessment、4-11 Release for production、5-5 Initiation of product development at the hardware level、5-6 Specification of hardware safety requirements、5-7 Hardware design、5-8 Evaluation of the hardware architectural metrics、5-9 Evaluation of safety goal violations due to random hardware failures、5-10 Hardware integration and testing、6-5 Initiation of product development at the software level、6-6 Specification of software safety requirements、6-7 Software architectural design、6-8 Software unit design and implementation、6-9 Software unit testing、6-10 Software integration and testing、6-11 Verification of software safety requirements、7-5 Production、7-6 Operation, service。

另外，Part 8與Part 9之細項包括：8-5 Interfaces within distributed developments、8-6 Specification and management of safety requirements、8-7 Configuration management、8-8 Change management、8-9 Verification、8-10 Documentation、8-11 Confidence in the use of software tools、8-12 Qualification of software components、8-13 Qualification of hardware components、8-14 Proven in use argument、9-5 Initiation of product development at the system level、9-6 Specification of the technical safety requirement、9-7 System design、9-8 Item integration and testing。

ISO 26262融入CMMI-DEV流程

ISO 26262只專注於功能安全，與適用於發展的能力成熟度整合模式(CMMI-DEV)之等級2或3(ML2/ML3)流程相當，兩者搭形成完整的路線圖(Road Map)，才能有效導入組織運作。CMMI-DEV為美國軟體工程學院(SEI)自1984年起所發展的一套組織品質管理標準，以確保軟/硬體產品的研發品質，已廣為世界各研發組織流程改善所遵循；而2004年另一套標準ISO/IEC 15504，就是俗稱SPICE(Software Process Improvement and Capability dEtermination)，此軟體流程改善與能力檢定是與CMMI-DEV相當的系統工程要求。

功能安全技術搭配系統工程之路線圖，形成完整的機制，為研發流程融入功能安全之可行方案，以滿足車電系統安全又可靠的需求，CMMI-DEV與ISO 26262的關聯彙整如表1所示，ARTC透過ML3流程與安全生命週期之相互關聯性，融合兩者建立完整的開發機制。

表1　CMMI-DEV與ISO 26262關聯

檢視ISO 26262流程認證的ARTC案例

ARTC研發品質管理流程符合ISO 9001與CMMI-DEV ML3，也著手將功能安全融入ML3流程，讓研發專案形成由組織支持專業分工的系統工程團隊。為因應車輛電子產業最新功能安全標準(ISO 26262)，已於2015年歷經功能安全訓練與落差分析、功能安全文件準備與融入流程、功能安全流程認證等作業，最終在年底12月份通過ISO 26262流程認證，進一步呼應車電產業的安全需求。

標準訓練與落差分析

ISO 26262為車電系統功能安全之流程/產品認證標準，ARTC為服務車電產業需求，基於科專計畫所開發技術，均須再行移轉車輛電子產業商品化，確立只進行ISO 26262流程認證，開始與台灣檢驗科技股份有限公司(SGS)合作內訓專案，從2014年起對研發同仁開辦多場ISO-26262標準訓練，也有6人通過車輛功能安全專業人員(Automotive Functional Safety Professional, AFSP)專業證照，此證照為3年效期，可用工作實績加以延長。接著，2015年專案重點為安全生命週期V Model左半段(圖2)，進行落差分析、功能安全管理、功能安全概念與技術安全概念等階段，預計年底完成ISO 26262功能安全流程認證，以因應後續技轉產品認證需求。

圖2 ISO 26262功能安全認證流程

因應功能安全流程認證專案，選擇AEB為試行標的，並組成安全小組，依第三方認證單位要求，安全經理(Safety Manager)應由非AEB計畫成員擔任，其主要負責項目為選擇計畫成員、建立並維護專案安全計畫(Safety Plan)、管理內部介面(各部門)與外部介面(SGS台灣與德國專家，合稱SGS-TÜV)。

完整團隊組成與分工包括：第三方(I3)負責流程認證(含輔導與諮詢)；工作產品審核(PM)專案計畫之部門主管負責；安全經理(SM)負責安全計畫；計畫主持人(PL)負責計畫執行規劃書(IPEP)；系統工程師(SE)負責系統規劃，包含項目定義(Item Definition)、危害分析與風險評估(HARA)、安全目標(Safety Goals)、技術安全需求(TSR)；軟/硬體工程師(DE/SW/HW)負責硬體規劃，承接系統層級之功能安全需求(FSR)，轉為軟/硬體層級之設計文件；測試工程師(TE)負責測試規劃，承接系統層級之FSR，轉為測試文件。

SGS-TÜV落差分析(Gap Analysis)作業為期兩天，由SGS-TÜV稽核員(簡稱主評)對ARTC研發專案流程、AEB計畫資料與ISO 26262功能安全標準要求之122項工作產品加以比對，將落差評比分為四類成熟等級(Maturity Level)：符合(OK)、部分符合(Conditionally OK, COK)、尚未符合(Not OK, NOK)與無須符合(Tailored)等，提供第二階段文件準備之參考，目標完成部分符合與尚未符合之工作產品。

功能安全文件準備與融入流程說明

準備功能安全系統、硬體與軟體層級之設計與測試文件，逐步進行V Model左半段之功能安全管理、功能安全概念與技術安全概念等階段，由安全小組依專業分工，完成各項工作產品，並與SGS專家討論相關產出，以對應落差分析之主評建議，也以AEB試行計畫制定功能安全融入研發流程之可行方案。

首先是V Model的功能安全管理階段，由安全經理完成安全計畫並定期更新，故此項工作產品會在資料紀錄表各個章節重複出現，以表現安全計畫的最新進度或內容修訂。安全計畫主要包含項次、標準章節、內容、輸入文件、輸出文件、負責人、起/迄時間與備註等，這些項目同樣與ISO 26262標準要求之工作產品一致，如此逐項檢討安全計畫，就可完成功能安全要求，此一安全計畫採用附件形式納入計畫執行規劃書(Integrated Project Execution Plan, IPEP)。計畫主持人也在IPEP新增安全經理之專業分工，因須由非計畫成員擔任，故列在計畫成員之上，以顯示其獨立性。

另外，為查證各項工作產品，須制定功能安全評估計畫(Functional Safety Assessment Plan)，其不同於安全計畫，研發流程已透過里程碑審查，進行工作產品的查證，故功能安全評估計畫可與里程碑審查整合，又因為ISO 26262針對工作產品之確認措施，皆不可由該工作產品之相關人員執行，所以規劃須依Part2車電系統之ASIL執行分級查證，如表2所示。

表2　執行確認措施所需之獨立性

再來是V Model的功能安全概念階段，應在項目定義說明文件目的、AEB之功能與目的、功能方塊圖、邊界條件與內/外部介面、安全與可靠度之潛在衝擊來源、其他需求(含環境條件)、法規與標準、外部措施與最小風險，這些內容與IPEP之計畫目標與範圍、假設與限制，產品規格需求書(SRS)之產品介紹、產品用戶、產品範圍、客戶的期望、限制與介面、系統架構等重複，由系統工程師整理為英文的資料，整合式計畫管理(IPM)與需求發展(RD)流程維持原訂之IPEP與SRS。

危害分析與風險評估(Hazard Analysis and Risk Assessment, HARA)是指車輛因電子電機系統故障所產生的風險，如非預期加速、非預期減速或燃燒/爆炸等，透過故障所生風險之嚴重度(S)、暴露機率(E)與可控度(C)三項參數，分析車輛安全完整性等級(ASIL)，共有五階段度量(QM、A、B、C、D)之整車層級安全目標(Safety Goal)，自ASIL A開始，必須採取額外之風險降低措施，而ASIL D表示最高之潛在風險。

以AEB計畫所得HARA為例，總計33項整車故障之危害，因不同的操作情境、潛在危害、可能失效與外部減輕等，依據Part3決定ASIL，如某一項危害是非預期加速，其嚴重性為S3、發生機率為E4與可控性為C2，所以ASIL為C，各項ASIL取最高階段度量也是ASIL C，代表AEB的ASIL就是C。依前列表2，HARA工作產品須經第三方(I3)查證，SGS專家多次檢討各種AEB危害情境之S/E/C三項參數的想定，確認AEB之ASIL為C。

功能安全概念(Functional Safety Concept, FSC)是依據HARA所得高層之安全目標(安全目標可能與數個危害相關，也可能數個安全目標與一個危害相關)，規範系統之功能安全需求(Functional Safety Requirements, FSR)，並推導功能安全參數(包含安全狀態、容許故障時間等)，加以配置至相關元件的活動，另外，因應車電系統量產的成本考量，ISO 26262制定ASIL分解(Decomposition)作法，將ASIL需求分配到數個元件中，使得單一需求可以降低，這只在專案架構中，被分解元件存在足夠獨立性條件下才能施行，可以透過「相依性」故障分析，確認獨立性之存在。

以AEB計畫所得FSC為例，總計有9項安全目標，建立25項FSR，如第1項安全目標(SG1)與FSR1、FSR2、FSR3、FSR15、FSR16建立相關，而單一FSR也與多個安全目標相關，如第1項功能安全需求(FSR1)與SG1、SG3、SG4與SG5相關，SG與FSR非屬直線關係，而是交互關聯。

最後是V Model之技術安全概念階段，延續系統之功能安全需求展開為軟/硬體之功能安全需求規格，由系統工程師完成技術安全需求(Technical Safety Requirements, TSR)，再交開發工程師制定軟/硬體技術安全需求之規格，進而邁入V Model的設計與整合測試階段。

以AEB計畫所得TSR為例，總計有64項TSR，如第1項TSR(TSR1)與FSR 1至FSR 9相關，系統工程師也訂定容許故障時間、分配元件與軟/硬體單元，以利後續軟/硬體開發工程師加以設計，再輔以測試工程師進行整合測試，確認AEB功能安全需求已經實現。

進行功能安全流程認證

為確保SGS-TÜV至ARTC進行ISO 26262功能安全流程認證順利，10月底先以電話會議進行預評，德國主評檢討安全經理所提報資料，包含會前詢問中心安全文化與建構管理機制，德國主評對安全小組執行狀況的評價良好，只請小組補充計畫訓練規劃與修正工具安全評價(Tool Confidence Level, TCL)檔案，並約12月初辦理流程稽核(Process Audit)。

為期一天的流程稽核作業，安全經理以流程稽核簡報，逐項說明工作產品之執行狀況，德國主評對ARTC研發流程表示很好，符合ISO 26262標準，對於各項工作產品，建議注意可讀性(Accountability)、可追溯(Traceability)與透明度(Transparency)等資料屬性，如同ISO 9001標準之說寫作一致要求，並強調安全文化，以期中心的研發專案能更完整對應功能安全。

SGS-TÜV在2015年12月中旬簽署與發行功能安全流程認證證書(證書編號為FS/71/220/15/0112)，代表ARTC通過ISO 26262功能安全流程認證，此證書是依稽核報告(Audit Report Process)發行。而稽核報告需德國認證單位(Deutsche Akkreditierungss- telle GmbH, DAkkS)授權才能發行，此一關係如同台灣各檢測實驗室需獲全國認證基金會(TAF)認證，所發行之檢測報告才能追溯至國際系統。

獲頒認證，不僅展顯ARTC在研發上的專業，更是對國內汽車電機、電子系統技術水準的肯定，因為ARTC各項研發系統雛型均具備初步功能安全設計與測試資料，在技轉予廠商後可縮短開發認證時程，讓車電系統更接近世界需求，在開發的前端協助完成了最後一哩路的規劃，將加速技術商品化進程，符合車廠對功能安全要求，進而快速加入供應鏈。

(本文作者任職於財團法人車輛研究測試中心)