軟件工具被廣泛應用于促進安全相關電子/電器系統的開發之中。這些工具通過自動化所執行的活動，并通過可預測的方式執行容易出現人為失誤的操作，從而潛在地提高安全性。與之相反，如果工具執行其預定功能不充分或不正確，工具錯誤則可能會對系統的功能和安全產生負面影響。

為了降低與工具使用相關的潛在風險，同時確保工具功能的完整性，最新的功能安全標準呼吁進行專門的活動，以確保對電子/電器系統開發中所使用工具的信心。

在開發安全相關的汽車軟件時，滿足ISO 26262標準中的工具分類與鑒定要求[ISO 26262-8]是確保符合該功能安全標準的強制性條件。在本標準的第8部分中，要求分兩個步驟來確保軟件工具的信心。首先，應通過（I）工具分類來決定每個軟件工具所需要的信心。根據第一步的結果，再進行可能需要的（II）工具鑒定，以確定所需的信心。

圖片注釋：確保安全和合規性：工具分類與鑒定的重要角色

I. 工具分類

工具分類基于工具的實際/預期用途。因此，工具使用需要通過工具使用案例來進行記錄。每一個使用案例都需要根據以下方式進行進一步分析。

首先，可能出現在所考慮的使用案例背景下的潛在工具錯誤需要被識別和記錄。每一個工具錯誤都需要確定工具錯誤是否可能導致正在開發的電子/電器系統出現錯誤，或無法檢測到此類錯誤。如果可以認為不存在這種可能性，則故障對工具的影響級別為1（TI1）, 否則為2（TI2）。

接下來，需要識別并記錄用于防止或檢測這些工具錯誤的措施。這些措施的預期有效性需要被評級。根據高、中或低的置信水平，工具錯誤檢測分別被標記為1（TD1）、2（TD2）或3（TD3）。

最后，根據每個工具使用案例和相應的工具錯誤，分配一個工具置信度（TCL）。根據工具影響（Tool Impact）類別（即TI1或TI2）和一個工具錯誤檢測（Tool Error Detection）類別（即TD1、TD2或TD3），相應的TCL級別即可根據以下矩陣推導而出。工具分類步驟必須在工具標準評估報告中記錄（即工具分類報告）。

圖片注釋：根據工具影響和工具錯誤檢測的有效性，來確定是否需要進一步的工具鑒定

工具分類步驟必須在工具標準評估報告中記錄（即工具分類報告）。

II. 工具鑒定

對于評定為TCL1的使用案例和工具錯誤組合，不需要進一步操作。對于其他所有組合，即TCL2或TCL3，則需要啟動工具鑒定過程。

根據ISO 26262，工具鑒定需要通過以下四種工具鑒定方法的適當組合來進行：

(1a) 使用中增加信心。
(1b) 評估工具開發過程。
(1c) 軟件工具的驗證。
(1d) 遵循安全標準開發。

適當工具鑒定方法的選擇取決于TCL和待開發的電子電器系統的車輛安全完整性等級（ASIL）。

然而，工具鑒定方法（1a）和（1d）的實際意義相對有限。已知的絕大多數工具鑒定使用方法（1b）或是（1c），或其組合。

如果使用方法（1b）“評估工具開發過程”來認證軟件工具，則其工具開發過程必須符合適當的標準。工具的開發過程應基于適當的國家或國際標準進行評估，且應證明所評估的開發過程得到了正確的應用。

如果使用了方法（1c）“軟件工具的驗證”，軟件工具的確認應符合以下三個標準：

a) 應證明軟件工具符合其規定的要求，例如：通過確認測試或設計復審來評估工具的功能和非功能質量方面。

b) 如果在確認過程中出現故障，則應對這些故障進行分析。同樣，還應當提供其可能后果和避免或檢測這些故障的措施的信息。

c) 應檢測軟件工具對異常操作條件（例如可預見的誤操作、不完整的輸入數據及不兼容的配置設置組合）的反應。

工具鑒定步驟應記錄在工具鑒定報告中。

總結

總而言之，工具分類和鑒定對于確保汽車開發流程的安全和可靠性不可或缺，尤其是在ISO 26262標準之下。通過系統性地評估工具的影響、確定所需的置信度、并采用穩健的鑒定方法，企業可以確保其所使用的工具能夠極大地促進安全和可靠的汽車系統的開發。

參考文獻

1. [ISO 26262-8] ISO 26262:2018 ‘Road Vehicles – Functional Safety’. Part 8 ‘Supporting Processes’. International Standard, ISO 2018

2. [CKP18] M. Conrad, S. Kohle, H. Pohlheim: Qualification of Model-Based Development Tools - A Case Study. Proc. of Model-based Development of Embedded Systems (MBEES 2018), Dagstuhl, Germany 2018.