CMMI-DEV与车辆功能安全实施的融合

郑伟 苟斌 吴泽民

摘要：随着汽车对整车电子系统的开发需求与依赖程度日益提升，电子控制单元软件的开发也越来越复杂。汽车电子软件的开发不同于一般的软件开发，除了需要符合软件开发标准流程外，还需要满足功能安全相关标准。指的推荐的实施功能安全的有效方式是在企业已建立的CMMI过程体系基础上，加入ISO 26262的重要工作产品，将安全生命周期融入产品生命周期当中。本文就两者的融合进行了详细研究，不但能够降低实施功能安全的成本，电同时保证了功能安全活动得到有效执行。

关键词：CMMI-DEV; IS0 26262;功能安全;融合;安全生命周期

1 CMMI-DEV概念

CMMI是一套融合多学科的、可扩充的产品集合，其研制的初步动机是为了利用两个或多个单一学科的模型实现一个组织的集成化过程改进。CMMI的本质是软件管理工程的一个部分。软件过程改善是当前软件管理工程的核心问题，50多年来计算机的发展使人们认识到要高效率、高质量和低成本地开发软件，必须改善软件生产过程。基于模型的过程改进是指采用能力模型来指导组织的過程改进，使之过程能力稳定的进行改善，该组织也能变得更加成熟。

所谓CMMI-DEV即CMMI for Development开发模型。该模型主要用于软件工程、硬件工程、系统工程等产晶开发领域，基本上覆盖了产晶研发的各个过程领域，包括：项目管理、需求、设计、开发、验证、确认、配置管理、质量保证、决策分析以及对研发的改进和培训等一系列活动。该模型按照成熟度等级的逐步提高，产品开发企业的产品研发风险越来越低，研发效率和质量越来越高。

CMMI-DEV包含22个流程领域，其中有16个为核心流程领域，1个为共同使用流程领域，并且有5个为CMMI-DEV所专有的流程领域。所有CMMI-DEV模式中的执行方法都是针对发展者组织的活动，其中5个专门针对发展相关之执行方法的流程领域分别为需求发展、技术解决方案、产品整合、验证及确认。

2 车辆功能安全融合

有关功能安全最初的国际标准是IEC 61508，针对一般工业领域的电气/电子/可编程电子相关系统的功能安全评估与管控方法加以规范。而车载电控系统与一般T业用E/E系统有着一些差异，如成本考量或可靠度要求等，因此在2011年发布了专属车辆领域的国际标准ISO 26262，其适用于3.5吨以下客车所装载的车载电控系统，本标准使得研发项目清楚定义功能安全相关系统、硬件与软件所应遵循的共同目标，并明确标示系统达成的安全门槛，可作为安全设计的产品开发资料。因此企业在导人CMMI-DEV的同时也应加入ISO26262功能安全要求，运用在技术，产品开发，透过产品开发生命周期的需求发展、高阶设计、细部设计至系统测试等阶段，逐步将安全要求融入到车辆产品设计中，以兼顾功能安全及产品可靠度，满足车辆使用者需求。

2.1 ISO 26262标准概述

ISO 26262涵盖车辆整个生命周期，由管理、开发、生产、经营、维修至报废皆有相应的要求。采用车辆安全完整性等级（简称ASIL）的指标来评估车载电控系统符合功能安全的程度，ASIL由严重度（ Severity）、暴露几率（Probahility of Exposure）与可控度（Controllahility）决定，等级分为QM（ Quality Management）与ASIL A至D五种，其中QM等级无需适用ISO 26262，比照一般车辆产业质量管理系统ISO/TS 16949要求即可，而ASIL等级越高，系统功能安全要求越多，故ASIL D设计开发的安全考量最为严密。

2.2 产品安全生命周期

车辆产品的安全议题要包含功能导向与质量导向的开发活动与工作产品，ISO 26262正是清楚定义研发项目的功能安全相关系统、硬件与软件所应完成的开发活动与工作产品，形成产品的安全生命周期（Safety lifecycle）的各个阶段，完整的架构并以V模型为开发流程模型，如图1所示。

安全生命周期涵盖ISO 26262 Part 2至Part 7，整个生命周期分为概念阶段、产品开发与生产交付后等三阶段，由综合说明的功能安全管理起始，往下就是大V模型开始的概念阶段，接着是系统层、硬件层、软件层的产品开发与结束的产品和运行，其间系统层产品开发包含硬件层产品开发与软件层产品开发两章，形成系统、子系统的层级架构，而软、硬件开发又各成一小V模型，两者并有相互关联，确保系统开发是软硬兼顾。详见图2所示。

3 CMMI-DEV与IS0 26262比较

ISO 26262只专注于功能安全，作业与CMMI-DEV的ML2与ML3流程相当，需搭配系统工程CMMI-DEV完整的路线图，才能有效导入组织运作，两者关系的异同比较如图3所示。

进一步比较CMMI-DEV与ISO 26262如表1所示，寻找ML3流程与安全生命周期的相互关联，以建立完整的机制，密切相关的流程有RD、PP、TS、PI与V&V;。

组织级过程焦点（ OPF）与需求管理（ REQM）虽未直接对应ISO 26262安全生命周期，但前者透过过程行动计划（ PAP），将功能安全要求融入流程，而后者对安全需求在生命周期进行管理。

4 融合具体方案

因为ISO 26262专注要求功能安全，需搭配系统T程CMMI-DEV完整的路线图，才能形成完整的机制，满足车载电控系统安全又可靠的需求。进一步说明表1的对应内容，提供研发流程融人功能安全的可行方案。

4.1 通用实践（GP）

CP2.1组织政策需含2-5整体安全管理、CP2.3提供资源则是纳入6-5软件层产品开发初始化与8 -10文档化。

4.2 组织过程定义（OPD）

SP1.1建立标准过程同前，需包含2-5整体安全管理、SP1.2建立生命周期模型说明则纳入2-6安全管理、SP1.3建立剪裁准则和指南需增加3-6安全生命周期初始化。

4.3 组织培训管理（OT）

培训管理政策同前，需包含2-5整体安全管理。

4.4需求开发（RD）

集成产品和过程开发（ Inlegrated Prndwt and Process Development，IPPD）的系统集成团队同前，需包含2-5整体安全管理、SP1.1引导需求与SP1.2转化关键人员需要为客户需求两者均需含3—5项目定义、软件需求规格（ SRS）增加3-6安全生命周期初始化、3-7危害分析与风险评估，3-8功能安全概念，4-6技术安全需求规范，5-6硬件安全需求规范。

4.5 项目计划（PP）+集成项目管理（IPM）

集成项月执行规划书（ IPEP）增加安全管理计划，包含安全生命周期、系统/硬件/软件层、软/硬件零件再用。

4.6 项目监督与控制（PMC）+集成项目管理（IPM）

集成项目执行规划书（ IPEP）的项目监督与控制（ PMC）计划增加2-6安全管理与4-10功能安全评估计划与执行。

4.7 供货商协议管理（SAM）

集成项目执行规划书（ IPEP）的供货商协议管理（ SAM）计划增加8-5分布式开发接口、执行面需含8 -12软件组件条件与8-13硬件组件条件。

4.8 风险管理（RSKM）

集成项目执行规划书（ IPEP）的风险管理（ RSKM）计划增加3-7危害分析与风险评估。

4.9 技术解决方案（TS）

系统设计说明书（ SDS）增加2-6安伞管理，2-7项目生产交付后的安全管理，3-6安全生命周期初始化、3-7危害分析与风险评估，3-8功能安全概念，4-6技术安全需求规范，4-7系统设计，5-6硬件安全需求规范，5-7硬件设计，5-8硬件架构指标评价，5-9安全目标因硬件随机失效影响评价，6-5软件层产品开发初始化，6-6软件安全需求规范，6-7软件架构设计，6-8软件单元设计与执行，6-11软件安全需求确认，7-5生产，7-6操作与服务（保养、维修）和报废，8-12软件组件条件，8-13硬件组件条件，8-14应用证明，9-5对ASIL剪裁的需求分解，9-6组件的共存准则，9-7相关失效分析，9-8安全分析。

4.10 产品集成（Pl）

系统集成测试规划书（ STP）增加2-6安全管理，4-5系统层产品开发初始化，4-6技术安全需求规范，5-6硬件安全需求规范，5-10硬件集成与测试，6-10软件集成与测试，6-11软件安伞需求确认，8-13硬件组件条件，8-14应用证明。

4.11 验证（VER）

集成项日执行规划书（ IPEP）的验证（ VER）计划增加2-6安全管理、执行面需含3-7危害分析与风险评估与3-8功能安全概念、同业互查（ Peer Review）增加4-6技术安全需求规范，4-7系统设计，5-6硬件安全需求规范，5-7硬件设计，5-8硬件架构指标评价，5-9安全目标因硬件随机失效影响评价，6-5软件层产品开发初始化，6-6软件安全需求规范，6-7软件架构设计，6-8软件单元设计与执行，6-9軟件单元测试，6-10软件集成与测试，6-11软件安全需求确认，8-9确认。

4.12 确认（VAL）

集成项目执行规划书（ IPEP）的确认（ VAL）计划增加2-6安全管理，4-5系统层产品开发初始化，4-6技术安全需求规范。

4.13 测量与分析（MA）

集成项日执行规划书（ IPEP）的测量与分析（ MA）计划增加5-8硬件架构指标评价，5-9安全目标因硬件随机失效影响评价。

4.14 过程和产品质量保证（PPQA）

集成项目执行规划书（ IPEP）的过程和产品质量保证（ PPQA）计划增加2-6安全管理。

4.15 配置管理（CM）

集成项目执行规划书（ IPEP）的配置管理（ CM）计划增加8-7配置管理，8-8变更管理，8—11在用软件工具信任，8-12软件组件条件，8-13硬件组件条件，8-14应用证明。

5 结论

ISO 26262与CMMI-DEV必须相辅相成，缺一不可。藉由CMMI-DEV ML3建立的流程、生命周期与系统工程方法，再融入ISO 26262功能安全要求，使车载电控系统兼顾功能安全与产品可靠度。

参考文献：

[1]P. A. Trisha Jansma and Ross M.Jones Advancing the Practice of Systems Engineering at JPL. Systems Engineering Advam：ement （SEA） Projecr， Jet PropulsionLaboratory （JPL）， 2006.

[2]NASA Headquarters. System Engineering Handbook，1th Edition. National Aeronautics and SpaceAdministration （NASA）， Washington D.C.， 2007.

[3]SE Handbook Working Group. System EngineeringHandbook， 3.2.2 Edition. Intemational Council oiiSystem Engineering （INCOSE）， San Diego， 2011

[4]CMMI for Development， Version 1.3. CMMI ProductTeam. CMU/SEI-2010-TR-033， 2010.

[5]Road vehicles-Functional safety， Part 1-10. ISO/TC22/SC3， 2011.