ISO26262进展及日本汽车电子发展

    2011中国汽车电子国际论坛暨汽车半导体应用峰会于7月20-21日在成都新东方千禧大酒店隆重开幕。

    此次峰会上，云集国内车载信息服务应用联盟及在汽车电子研发领域处于领先地位的中国汽车技术研究中心、中国汽车工程学会、清华大学、同济大学等行业权威机构；欧美、日本的众多业界权威也赴蓉出席此次盛会。同时，上汽、长安汽车、富士通、英飞凌、飞思卡尔等整车与芯片厂商，国内外知名车载系统提供商也受邀携其最新技术方案出席大会，共商汽车电子及半导体应用的发展前景。

    主持人：请日本豆藏株式会社首席咨询师中岛荣次先生演讲，他演讲的题目是“ISO26262进展及日本汽车电子发展”。

    中岛荣次：大家好，我是日本豆藏公司的中岛，我们公司是日本一家软件咨询公司，通过这个会，我们将会对汽车行业的安全性，针对ISO26262在软件开发应用上如何实施进行说明。今天讲的内容我们会看到，首先要给大家讲说ISO26262产生的背景，以及对厂家的好处，也希望大家能理解到ISO26262的重要含义，以及它的意义来进行说明。我们先讲一下其实在ISO26262之前，实际上IEC61508这个安全系统，在2000年前已经制定了。其实在制定这个之前，很多厂家都为了确保安全性进行了活动，这个问题也很多，当引起问题的时候就被社会重视起来了，为了确保这个安全问题，如何从开发到运营，积极去放弃，我们如何保证安全问题。就产生了我们这个ISO26262。

    以IEC61508的基础，在于铁道、流通、医疗器械等制定了相关的规格。日本今年就可能据我所知能够制定ISO26262系统，可以制定完成。那么ISO26262它形成的一个目的是什么呢？当然最重要的是我们为了保证确保汽车的一个安全，为社会人民提供一个安全的汽车，这个汽车的开发之初主要由OEM和供应商来构成，为了提供安全的汽车系统，这个LEM和供应商两方都应该尊崇ISO26262，因此对于OEM或者是供应商来说，两方应该如何构筑好安全应该是要考虑的问题。这样的话代工商比较容易选择供应商，反之对于供应商来说，它选择OEM为客户提供更好的服务。也就是在ISO26262指导下我们的OEM供应商分工就变的很明确了。我们更认为一个安全系统软件的开发仅仅有软件开发的技术是远远不够的，我们还要不断的证明有没有威胁到安全问题的一些相关的知识。也就是说我们从设计概要开始，就要考虑不断的证明有没有威胁到安全的问题。刚才之前的演讲当中也提到了，关于模型开发，要用模型开发来证明，除去一些危害安全的东西，也就是说以上我所讲的，只要我们在开发商尊崇ISO26262的话，就能够保证安全问题。对厂家来说，有哪些好处呢？首先障碍发生的话，我们追究责任就能够马上及时的来对应。比如说撞到人啊，或者是发生问题啊，我们找厂家追究责任就变的比较容易了。在追究责任的时候，我们很容易就能追究到厂家的责任。还有一个问题，就是说我们如果导用安全相关的技术的话，不但可以发现很多到目前为止在开发中遇到的问题，还能够提高产品的价值，关于安全的一个大概的概要，我进行说明，它的概念是如何形成的，也就是很重要的一点，我要强调他的可靠性。也就是说像我们这些用户，这些使用者，是否能够安心的放心的乘车，对使用者来说，他是否值得信赖和依靠。为什么他的可靠性是那么重要的呢？比如说我们在河边啊，我们在过山的时候啊，在一些环境比较恶劣的地方开车的话，我们都是否都能够适用，也就是说不管他驾车技术的好坏，环境多么的恶劣，都是能够安心放心的乘车、开车。因此为了实现它的可靠性，取得客户的信赖，首先必须有一定的目标，基于为了达到这个目标，我们在努力的过程中比较留下证据，一旦发生任何问题的时候，我们可以根据开发的过程，找到相应的证据解决问题。这是一个整体的ISO26262的组成图。从1—10，下面我来给大家介绍几个重点的点。

    首先，第一个就是安全管理，必须确认安全问题来管理他，下一个就是技术支持，刚才的演讲里面也提到了，我们如何沿着ASIL对他进行安全评估。第三部分主要是讲概念阶段，第四部分主要是讲系统。

    我们看第三部分，开发的一个概要阶段的组成。简单的说OEM像供应商提出需求，那么开发对象的要求必须从一个策划部还有车辆安全，以及安全有关的ECU获得需求，进行需求的整理，形成总体的设计。当然，在需求设计之上，我们必须分析潜在的危害，找到危害的评估，从而设定安全目标。第四个部分也就是开发对象的系统级别阶段，也就是大家所谓的系统工程阶段，这主要是OEM来进行控制的，如何保证这个安全问题，这一点是非常重要的，也就是说最重要的一点就是软件和硬件的整合，我们是否有效的整合并进行测试，而且最后必须进行一个安全性的评估。软件开发和ISO26262之间的一个联系，这就是船件开发的整个流程，进行派发然后测试，  软件开发和ISO26262是什么样的关系呢？重要的是ISO26262讲的全部都是关于安全地问题，没有包含软件开发的其他的问题。在这里我给大家介绍关于ISO26262一般相关的内容。首先软件系统开发的涉及需求是如何组成的，如何形成的，也就是说他的软件系统及需求点的组成，对于软件安全要进行特别的规定。

    下一个讲的是软件系统设计，也就是制定软件架构，首先我们要提炼出安全设计相关的一些任务和课题。这个问题很主要的一个方法，就是到目前为止没有进行安全设计的东西进行一个安全解析。因此在今后的设计和实际安装中我们有一个必须决定必要的指导方针，这个UML的案例就是开发当中导致的一个安全构造模型图，大家可以看到硬件，在这个地方我们可以看打，证明安全的相关问题，如果一旦发展问题的话我们可以满上找到原因。

    下一个就是对于每一个部分的安全要求的设计，每一个部分要对他进行一个安全要求的规定，对每个部分进行更小部分的一个分解。我们尊同一个简单化的前提，考虑整个开发流程处理同步性以及实践的约束性等问题。当然我们除了检验是否正确还要考虑到安全问题。这个模型图也是每一个组建的设计，分割的每一个设计阶段图。从这个图我们可以看到，一旦软件或者硬件发生问题的话，我们就能够找出原因。我们刚才给大家讲述的是单元分割以后，每一个小的单元也要进行设计，当然每一个小的设计我们也要进行一个验证，最后一个就是单元软件的组装已经封装。

    最后介绍一下我们公司的服务，关于软件开发的培训，还有一个就是提高软件开发的效率，还有提高品质的安全服务的咨询。另外一个就是开发环境的验证服务等等，我们提供以上服务，最后我来总结一下，如果我们按照ISO26262来开发的话，不但可以提高开发的一个能力，我们可以生产出让客户比较满意的产品，这样的话，需求就比较大，利益也很大，为社会做出贡献，当然需要学习的方法很多，投资的代价也不是很便宜，我们大家都期待大的回报。其实在日本很多厂家都已经在考虑问题，大家都觉得这是一个非常有价值的事情。

    谢谢！