CMMI-DEV與車輛功能安全實施的融合

鄭偉 茍斌 吳澤民

摘要：隨著汽車對整車電子系統的開發需求與依賴程度日益提升，電子控制單元軟件的開發也越來越復雜。汽車電子軟件的開發不同于一般的軟件開發，除了需要符合軟件開發標準流程外，還需要滿足功能安全相關標準。指的推薦的實施功能安全的有效方式是在企業已建立的CMMI過程體系基礎上，加入ISO 26262的重要工作產品，將安全生命周期融入產品生命周期當中。本文就兩者的融合進行了詳細研究，不但能夠降低實施功能安全的成本，電同時保證了功能安全活動得到有效執行。

關鍵詞：CMMI-DEV; IS0 26262;功能安全;融合;安全生命周期

1 CMMI-DEV概念

CMMI是一套融合多學科的、可擴充的產品集合，其研制的初步動機是為了利用兩個或多個單一學科的模型實現一個組織的集成化過程改進。CMMI的本質是軟件管理工程的一個部分。軟件過程改善是當前軟件管理工程的核心問題，50多年來計算機的發展使人們認識到要高效率、高質量和低成本地開發軟件，必須改善軟件生產過程。基于模型的過程改進是指采用能力模型來指導組織的過程改進，使之過程能力穩定的進行改善，該組織也能變得更加成熟。

所謂CMMI-DEV即CMMI for Development開發模型。該模型主要用于軟件工程、硬件工程、系統工程等產晶開發領域，基本上覆蓋了產晶研發的各個過程領域，包括：項目管理、需求、設計、開發、驗證、確認、配置管理、質量保證、決策分析以及對研發的改進和培訓等一系列活動。該模型按照成熟度等級的逐步提高，產品開發企業的產品研發風險越來越低，研發效率和質量越來越高。

CMMI-DEV包含22個流程領域，其中有16個為核心流程領域，1個為共同使用流程領域，并且有5個為CMMI-DEV所專有的流程領域。所有CMMI-DEV模式中的執行方法都是針對發展者組織的活動，其中5個專門針對發展相關之執行方法的流程領域分別為需求發展、技術解決方案、產品整合、驗證及確認。

2 車輛功能安全融合

有關功能安全最初的國際標準是IEC 61508，針對一般工業領域的電氣/電子/可編程電子相關系統的功能安全評估與管控方法加以規范。而車載電控系統與一般T業用E/E系統有著一些差異，如成本考量或可靠度要求等，因此在2011年發布了專屬車輛領域的國際標準ISO 26262，其適用于3.5噸以下客車所裝載的車載電控系統，本標準使得研發項目清楚定義功能安全相關系統、硬件與軟件所應遵循的共同目標，并明確標示系統達成的安全門檻，可作為安全設計的產品開發資料。因此企業在導人CMMI-DEV的同時也應加入ISO26262功能安全要求，運用在技術，產品開發，透過產品開發生命周期的需求發展、高階設計、細部設計至系統測試等階段，逐步將安全要求融入到車輛產品設計中，以兼顧功能安全及產品可靠度，滿足車輛使用者需求。

2.1 ISO 26262標準概述

ISO 26262涵蓋車輛整個生命周期，由管理、開發、生產、經營、維修至報廢皆有相應的要求。采用車輛安全完整性等級（簡稱ASIL）的指標來評估車載電控系統符合功能安全的程度，ASIL由嚴重度（ Severity）、暴露幾率（Probahility of Exposure）與可控度（Controllahility）決定，等級分為QM（ Quality Management）與ASIL A至D五種，其中QM等級無需適用ISO 26262，比照一般車輛產業質量管理系統ISO/TS 16949要求即可，而ASIL等級越高，系統功能安全要求越多，故ASIL D設計開發的安全考量最為嚴密。

2.2 產品安全生命周期

車輛產品的安全議題要包含功能導向與質量導向的開發活動與工作產品，ISO 26262正是清楚定義研發項目的功能安全相關系統、硬件與軟件所應完成的開發活動與工作產品，形成產品的安全生命周期（Safety lifecycle）的各個階段，完整的架構并以V模型為開發流程模型，如圖1所示。

安全生命周期涵蓋ISO 26262 Part 2至Part 7，整個生命周期分為概念階段、產品開發與生產交付后等三階段，由綜合說明的功能安全管理起始，往下就是大V模型開始的概念階段，接著是系統層、硬件層、軟件層的產品開發與結束的產品和運行，其間系統層產品開發包含硬件層產品開發與軟件層產品開發兩章，形成系統、子系統的層級架構，而軟、硬件開發又各成一小V模型，兩者并有相互關聯，確保系統開發是軟硬兼顧。詳見圖2所示。

3 CMMI-DEV與IS0 26262比較

ISO 26262只專注于功能安全，作業與CMMI-DEV的ML2與ML3流程相當，需搭配系統工程CMMI-DEV完整的路線圖，才能有效導入組織運作，兩者關系的異同比較如圖3所示。

進一步比較CMMI-DEV與ISO 26262如表1所示，尋找ML3流程與安全生命周期的相互關聯，以建立完整的機制，密切相關的流程有RD、PP、TS、PI與V&V;。

組織級過程焦點（ OPF）與需求管理（ REQM）雖未直接對應ISO 26262安全生命周期，但前者透過過程行動計劃（ PAP），將功能安全要求融入流程，而后者對安全需求在生命周期進行管理。

4 融合具體方案

因為ISO 26262專注要求功能安全，需搭配系統T程CMMI-DEV完整的路線圖，才能形成完整的機制，滿足車載電控系統安全又可靠的需求。進一步說明表1的對應內容，提供研發流程融人功能安全的可行方案。

4.1 通用實踐（GP）

CP2.1組織政策需含2-5整體安全管理、CP2.3提供資源則是納入6-5軟件層產品開發初始化與8 -10文檔化。

4.2 組織過程定義（OPD）

SP1.1建立標準過程同前，需包含2-5整體安全管理、SP1.2建立生命周期模型說明則納入2-6安全管理、SP1.3建立剪裁準則和指南需增加3-6安全生命周期初始化。

4.3 組織培訓管理（OT）

培訓管理政策同前，需包含2-5整體安全管理。

4.4需求開發（RD）

集成產品和過程開發（ Inlegrated Prndwt and Process Development，IPPD）的系統集成團隊同前，需包含2-5整體安全管理、SP1.1引導需求與SP1.2轉化關鍵人員需要為客戶需求兩者均需含3—5項目定義、軟件需求規格（ SRS）增加3-6安全生命周期初始化、3-7危害分析與風險評估，3-8功能安全概念，4-6技術安全需求規范，5-6硬件安全需求規范。

4.5 項目計劃（PP）+集成項目管理（IPM）

集成項月執行規劃書（ IPEP）增加安全管理計劃，包含安全生命周期、系統/硬件/軟件層、軟/硬件零件再用。

4.6 項目監督與控制（PMC）+集成項目管理（IPM）

集成項目執行規劃書（ IPEP）的項目監督與控制（ PMC）計劃增加2-6安全管理與4-10功能安全評估計劃與執行。

4.7 供貨商協議管理（SAM）

集成項目執行規劃書（ IPEP）的供貨商協議管理（ SAM）計劃增加8-5分布式開發接口、執行面需含8 -12軟件組件條件與8-13硬件組件條件。

4.8 風險管理（RSKM）

集成項目執行規劃書（ IPEP）的風險管理（ RSKM）計劃增加3-7危害分析與風險評估。

4.9 技術解決方案（TS）

系統設計說明書（ SDS）增加2-6安傘管理，2-7項目生產交付后的安全管理，3-6安全生命周期初始化、3-7危害分析與風險評估，3-8功能安全概念，4-6技術安全需求規范，4-7系統設計，5-6硬件安全需求規范，5-7硬件設計，5-8硬件架構指標評價，5-9安全目標因硬件隨機失效影響評價，6-5軟件層產品開發初始化，6-6軟件安全需求規范，6-7軟件架構設計，6-8軟件單元設計與執行，6-11軟件安全需求確認，7-5生產，7-6操作與服務（保養、維修）和報廢，8-12軟件組件條件，8-13硬件組件條件，8-14應用證明，9-5對ASIL剪裁的需求分解，9-6組件的共存準則，9-7相關失效分析，9-8安全分析。

4.10 產品集成（Pl）

系統集成測試規劃書（ STP）增加2-6安全管理，4-5系統層產品開發初始化，4-6技術安全需求規范，5-6硬件安全需求規范，5-10硬件集成與測試，6-10軟件集成與測試，6-11軟件安傘需求確認，8-13硬件組件條件，8-14應用證明。

4.11 驗證（VER）

集成項日執行規劃書（ IPEP）的驗證（ VER）計劃增加2-6安全管理、執行面需含3-7危害分析與風險評估與3-8功能安全概念、同業互查（ Peer Review）增加4-6技術安全需求規范，4-7系統設計，5-6硬件安全需求規范，5-7硬件設計，5-8硬件架構指標評價，5-9安全目標因硬件隨機失效影響評價，6-5軟件層產品開發初始化，6-6軟件安全需求規范，6-7軟件架構設計，6-8軟件單元設計與執行，6-9軟件單元測試，6-10軟件集成與測試，6-11軟件安全需求確認，8-9確認。

4.12 確認（VAL）

集成項目執行規劃書（ IPEP）的確認（ VAL）計劃增加2-6安全管理，4-5系統層產品開發初始化，4-6技術安全需求規范。

4.13 測量與分析（MA）

集成項日執行規劃書（ IPEP）的測量與分析（ MA）計劃增加5-8硬件架構指標評價，5-9安全目標因硬件隨機失效影響評價。

4.14 過程和產品質量保證（PPQA）

集成項目執行規劃書（ IPEP）的過程和產品質量保證（ PPQA）計劃增加2-6安全管理。

4.15 配置管理（CM）

集成項目執行規劃書（ IPEP）的配置管理（ CM）計劃增加8-7配置管理，8-8變更管理，8—11在用軟件工具信任，8-12軟件組件條件，8-13硬件組件條件，8-14應用證明。

5 結論

ISO 26262與CMMI-DEV必須相輔相成，缺一不可。藉由CMMI-DEV ML3建立的流程、生命周期與系統工程方法，再融入ISO 26262功能安全要求，使車載電控系統兼顧功能安全與產品可靠度。

參考文獻：

[1]P. A. Trisha Jansma and Ross M.Jones Advancing the Practice of Systems Engineering at JPL. Systems Engineering Advam：ement （SEA） Projecr， Jet PropulsionLaboratory （JPL）， 2006.

[2]NASA Headquarters. System Engineering Handbook，1th Edition. National Aeronautics and SpaceAdministration （NASA）， Washington D.C.， 2007.

[3]SE Handbook Working Group. System EngineeringHandbook， 3.2.2 Edition. Intemational Council oiiSystem Engineering （INCOSE）， San Diego， 2011

[4]CMMI for Development， Version 1.3. CMMI ProductTeam. CMU/SEI-2010-TR-033， 2010.

[5]Road vehicles-Functional safety， Part 1-10. ISO/TC22/SC3， 2011.