驗證(zheng)是ISO26262中關(guan)于成果認可最重要的環節。

        ISO26262對驗(yan)(yan)證（Verification）的(de)定義是(shi)檢(jian)查對象是(shi)否滿(man)足特定的(de)要求，驗(yan)(yan)證的(de)形(xing)式(shi)包括(kuo)了驗(yan)(yan)證評審（verification review）、走查（walk-through），檢(jian)查（inspection）、驗(yan)(yan)證測試（verification testing）、模擬仿真（simulation）、原型機驗(yan)(yan)證（prototyping）和分(fen)析(xi)（analysis包括(kuo)安全分(fen)析(xi)、控(kong)制流程分(fen)析(xi)、數據流分(fen)析(xi)等等）。

     ;   從(cong)驗證(zheng)(zheng)本身(shen)的系統性和正式(shi)程度(du)從(cong)小到大排序(xu)，驗證(zheng)(zheng)的各個形式(shi)可(ke)以排為檢查、走查、模擬(ni)仿真(zhen)、原型(xing)機驗證(zheng)(zheng)、分析、驗證(zheng)(zheng)評(ping)審。

        驗證(zheng)在(zai)功(gong)能(neng)安(an)(an)(an)(an)全(quan)活動(dong)不同階(jie)(jie)段(duan)的(de)對(dui)象也有差異，比如(ru)在(zai)產品(pin)概(gai)念提出(chu)階(jie)(jie)段(duan)，驗證(zheng)的(de)對(dui)象主要(yao)為：依據(ju)(ju)危(wei)害風(feng)險(xian)評估導出(chu)的(de)安(an)(an)(an)(an)全(quan)目標以(yi)及(ji)根(gen)據(ju)(ju)安(an)(an)(an)(an)全(quan)目標定(ding)義(yi)的(de)功(gong)能(neng)安(an)(an)(an)(an)全(quan)概(gai)念，如(ru)場景危(wei)害識別是否(fou)適用、相(xiang)關(guan)性定(ding)義(yi)是否(fou)正確、是否(fou)與其(qi)他相(xiang)關(guan)項定(ding)義(yi)的(de)危(wei)害和風(feng)險(xian)評估一致、危(wei)害事件是否(fou)覆蓋(gai)實際應用等。如(ru)，在(zai)產品(pin)開發階(jie)(jie)段(duan)，驗證(zheng)主要(yao)是針對(dui)硬件設(she)計(ji)的(de)架構(gou)，驗證(zheng)其(qi)需(xu)求規范、架構(gou)設(she)計(ji)、模型或代碼是否(fou)符合安(an)(an)(an)(an)全(quan)要(yao)求。

        驗(yan)證(zheng)以建立驗(yan)證(zheng)計劃(hua)作(zuo)為開(kai)始，如(ru)上述的產品各個開(kai)發階(jie)段的驗(yan)證(zheng)都是從驗(yan)證(zheng)計劃(hua)開(kai)始的。

        1）所需驗(yan)證(zheng)的(de)對象：組(zu)成待驗(yan)證(zheng)的(de)成果清單，要考慮成果的(de)復雜(za)性，進(jin)行(xing)適(shi)當的(de)拆分；

        2）針對(dui)每個待(dai)驗(yan)(yan)證(zheng)(zheng)的(de)(de)成果，確定(ding)相應(ying)的(de)(de)驗(yan)(yan)證(zheng)(zheng)目的(de)(de)，確定(ding)驗(yan)(yan)證(zheng)(zheng)目的(de)(de)時要充分借(jie)鑒前期的(de)(de)驗(yan)(yan)證(zheng)(zheng)經(jing)驗(yan)(yan)，如(ru)維修的(de)(de)歷史數據(ju)、已經(jing)使用的(de)(de)經(jing)歷等(deng)，這可以指導驗(yan)(yan)證(zheng)(zheng)目的(de)(de)和制定(ding)的(de)(de)驗(yan)(yan)證(zheng)(zheng)方法的(de)(de)剪裁；

        3）對工作成(cheng)果采(cai)用什么樣的(de)驗(yan)證(zheng)(zheng)(zheng)方法(fa)(fa)，評審/檢查(cha)/走(zou)查(cha)/測試/仿(fang)真/分析，驗(yan)證(zheng)(zheng)(zheng)方法(fa)(fa)最(zui)終要細化為(wei)“驗(yan)證(zheng)(zheng)(zheng)規(gui)范"作為(wei)驗(yan)證(zheng)(zheng)(zheng)支持(chi)依據，同時(shi)要保證(zheng)(zheng)(zheng)驗(yan)證(zheng)(zheng)(zheng)方法(fa)(fa)是充分的(de)，必要時(shi)要進(jin)行(xing)幾(ji)種驗(yan)證(zheng)(zheng)(zheng)形(xing)式(shi)的(de)組(zu)合；

        4）如果采(cai)用的(de)是測試或者模擬作(zuo)為驗(yan)(yan)證(zheng)方(fang)(fang)法(fa)(fa)，則(ze)要(yao)明確驗(yan)(yan)證(zheng)的(de)環境和(he)驗(yan)(yan)證(zheng)所(suo)需(xu)的(de)設(she)備，要(yao)充分考(kao)慮驗(yan)(yan)證(zheng)技術的(de)成熟(shu)度(du)，不能采(cai)用最(zui)新(xin)的(de)未(wei)經過經驗(yan)(yan)證(zheng)明有(you)效性的(de)方(fang)(fang)法(fa)(fa)和(he)設(she)備進(jin)行(xing)驗(yan)(yan)證(zheng)；

        5）分配(pei)驗證資源(yuan)；

        6）驗證過程中出現異(yi)常時，明確應該(gai)采取(qu)或建議(yi)采取(qu)的閉環活動；

        7）對于哪些(xie)已經(jing)經(jing)過驗證(zheng)后，進行了變更的成果，制定回歸(gui)策略(lve)，即對驗證(zheng)計(ji)劃的剪(jian)裁（是部(bu)(bu)分重復驗證(zheng)，還(huan)是全(quan)部(bu)(bu)重復驗證(zheng)）。

        對于驗(yan)證方(fang)法的(de)細(xi)化(hua)就形成了驗(yan)證規(gui)(gui)范(fan)，驗(yan)證規(gui)(gui)范(fan)最需要細(xi)化(hua)的(de)是測(ce)試用例(li)。

        1）測(ce)試(shi)用例(li)的(de)識(shi)別性(xing)，即該測(ce)試(shi)應用到哪項成(cheng)果，什么目(mu)的(de)驗(yan)證；

        2）測試用例針對(dui)的是哪個版本的工作成果；

        3）對驗(yan)(yan)證(zheng)目標采用(yong)(yong)(yong)何種(zhong)預處理或配(pei)置(zhi)，比如(ru)將MCU應用(yong)(yong)(yong)在什么場(chang)景下，配(pei)置(zhi)什么功(gong)能或系(xi)統，如(ru)果對于通用(yong)(yong)(yong)型(xing)的(de)要素，其會在很多(duo)場(chang)合應用(yong)(yong)(yong)，則需將要素置(zhi)于一種(zhong)通用(yong)(yong)(yong)的(de)（覆蓋多(duo)種(zhong)應用(yong)(yong)(yong)場(chang)景的(de)）條件(jian)下進行驗(yan)(yan)證(zheng)；

        4）環境條件，就是與測試過(guo)程(cheng)或模擬過(guo)程(cheng)相關的(de)物理條件，比(bi)如溫度。

        5）驗證(zheng)(zheng)過程中要監測(ce)的(de)(de)行為，比如輸出數據，可(ke)(ke)接(jie)受的(de)(de)范(fan)(fan)圍，時(shi)間或容差的(de)(de)特性，測(ce)試(shi)時(shi)需要考核前后數據的(de)(de)變化趨勢，就需要對初始(shi)值進行明確的(de)(de)定義；有可(ke)(ke)能存(cun)在不同的(de)(de)測(ce)試(shi)用(yong)(yong)例(li)下，會存(cun)在多(duo)(duo)種預處理、配置或環境條件和規范(fan)(fan)，這時(shi)候(hou)可(ke)(ke)以(yi)采用(yong)(yong)一種明確能覆蓋多(duo)(duo)種測(ce)試(shi)用(yong)(yong)例(li)的(de)(de)驗證(zheng)(zheng)配置進行驗證(zheng)(zheng)。

        6）測試通(tong)過和不通(tong)過的判據。

測(ce)(ce)試(shi)用(yong)例可以(yi)根據測(ce)(ce)試(shi)設備和(he)測(ce)(ce)試(shi)環境、邏輯(ji)和(he)時序關系(xi)、所(suo)利用(yong)的(de)資源(yuan)進行(xing)分組，比如對于可以(yi)分為回歸測(ce)(ce)試(shi)用(yong)例或者完整的(de)測(ce)(ce)試(shi)用(yong)例。

        驗證(zheng)要(yao)求第二/三(san)方(fang)驗證(zheng)，即不能用工作成(cheng)果的完(wan)成(cheng)人進行驗證(zheng)。驗證(zheng)完(wan)成(cheng)后(hou)要(yao)對驗證(zheng)的結果進行評估。

        2）評(ping)估驗證計劃(hua)和驗證規范的完整性(xing)和適(shi)用性(xing)；

        3）評(ping)估驗證(zheng)過程(cheng)中所用到的(de)環境配置、驗證(zheng)工具及標定數據是否(fou)符合要求；

        4）評估(gu)驗證結果與預期結果的一致性；

        5）綜合給出驗證通(tong)(tong)過(guo)或不通(tong)(tong)過(guo)，并對于不通(tong)(tong)過(guo)的給出具體的理(li)由(you)以及整改建議；

        6）如果(guo)存在驗(yan)證(zheng)過程(cheng)未(wei)按照驗(yan)證(zheng)計劃(hua)或規范執行，需(xu)要給出理由。

        單一層(ceng)級的(de)(de)(de)驗證，比如只針對(dui)開發的(de)(de)(de)硬(ying)(ying)件進行功能、性(xing)(xing)能等(deng)安全性(xing)(xing)的(de)(de)(de)評估，并(bing)不能提供硬(ying)(ying)件滿足(zu)安全要(yao)求的(de)(de)(de)充分證據，比如：硬(ying)(ying)件與其(qi)(qi)他接口(kou)兼容性(xing)(xing)、硬(ying)(ying)件與其(qi)(qi)他已有硬(ying)(ying)件的(de)(de)(de)匹配性(xing)(xing)、硬(ying)(ying)件對(dui)整車安全的(de)(de)(de)貢獻性(xing)(xing)、硬(ying)(ying)件開發的(de)(de)(de)種(zhong)種(zhong)假(jia)設證明的(de)(de)(de)有效(xiao)性(xing)(xing)等(deng)等(deng)，這些都無法單獨在(zai)硬(ying)(ying)件驗證的(de)(de)(de)層(ceng)面進行評估。

        因此，為充分評估開發硬件(jian)的(de)功(gong)能安全，往往要通過將(jiang)硬件(jian)與軟件(jian)、其他要素、系統甚至整車集成起(qi)來(lai)，按照“驗證原型機測試"的(de)標準(zhun)去(qu)考核(he)。ISO26262給出集(ji)成測試的相關規(gui)定。

關于集(ji)成測(ce)試，某(mou)一開發的(de)(de)硬件(jian)要通(tong)過三個階段集(ji)成至整車系統(tong)，完成安全目標的(de)(de)確認。

        但是從集(ji)(ji)成(cheng)的難度和所需要的資源(yuan)的考慮，集(ji)(ji)集(ji)(ji)成(cheng)階(jie)(jie)段(duan)越高(gao)，集(ji)(ji)成(cheng)驗證的難度越高(gao)，占用資源(yuan)越多，因此盡可能選擇(ze)低階(jie)(jie)段(duan)的集(ji)(ji)成(cheng)策略(lve)。

        如何(he)選(xuan)擇集成驗證的策(ce)略：

        1）明確(que)需(xu)要驗證測試的(de)目標，比(bi)如要驗證安全機制對傳感器的(de)診斷(duan)，EDC對數據錯誤的(de)診斷(duan)和(he)控制等(deng)；

        2）定義(yi)這些承載這些測試(shi)目標的相關(guan)項和測試(shi)的要求（預期的行為，集成的等級(ji)），比如驗證開發的硬件與(yu)接口的兼容性，就必須考慮硬件與(yu)系統的集成；

        3）確(que)定了測試的(de)目標(biao)和承載這些目標(biao)的(de)相(xiang)關項和測試要求(qiu)，要進行梳理，確(que)保每一條測試的(de)目標(biao)都能(neng)夠(gou)進行至少一次地驗(yan)證(zheng)(zheng)，比如某(mou)項測試目標(biao)無法(fa)在軟(ruan)硬件集成階段(duan)進行驗(yan)證(zheng)(zheng)，則需要到系統(tong)集成階段(duan)進行驗(yan)證(zheng)(zheng)；

        4）要考慮(lv)硬(ying)件開發(fa)概念(nian)階段(duan)是(shi)否采用了假設(she)(she)，如SEooC的(de)開發(fa)，是(shi)基于應用假設(she)(she)為(wei)前提的(de)，對(dui)這種假設(she)(she)需要在(zai)系統，甚至是(shi)整車的(de)層面進(jin)行集成驗證；

        5）如果系(xi)(xi)(xi)統(tong)集成(cheng)時，存在(zai)多個可(ke)能(neng)(neng)的(de)集成(cheng)變體，即所謂的(de)多配置，那么我們就(jiu)要(yao)充分(fen)評估，在(zai)未來整車量產時，可(ke)能(neng)(neng)采用哪些系(xi)(xi)(xi)統(tong)配置，盡可(ke)能(neng)(neng)地(di)包絡這些系(xi)(xi)(xi)統(tong)配置（或形成(cheng)系(xi)(xi)(xi)統(tong)的(de)集合）完(wan)成(cheng)系(xi)(xi)(xi)統(tong)級的(de)驗(yan)證。

        確(que)定目標和相應的(de)集成策略后，根據需要選擇(ze)相對應的(de)方法(fa)(fa)，ISO26262 part4 第7.4.2-7.4.4給出了三個集成階(jie)段的(de)測試方法(fa)(fa)，總(zong)體上包括：

        1）功(gong)能(neng)和(he)(he)非功(gong)能(neng)的(de)(de)測試：對集(ji)成硬件的(de)(de)功(gong)能(neng)和(he)(he)性能(neng)對照規格書要求的(de)(de)測試；

        2）內外接口測試(shi)：包(bao)括模擬(ni)，數字輸入輸出測試(shi)、邊界測試(shi)和等價類測試(shi)，評估接口功(gong)能兼容(rong)性(xing)、時序(xu)容(rong)錯性(xing)。

        1）故障注(zhu)入測試：采用特殊方法向運行中(zhong)的測試對象(xiang)注(zhu)入故障，如騷擾、錯誤(wu)數據、延(yan)遲時序等(deng)；

        2）背(bei)靠背(bei)測(ce)試(shi)：在具有仿真模型和結果(guo)(guo)的情況下，采用實際(ji)試(shi)驗對(dui)仿真模型和結果(guo)(guo)的差異進(jin)行評估和分析。

        1）錯誤猜測法(fa)測試：類似故障注(zhu)入法(fa)，基于(yu)專家知識和經驗(yan)數據預(yu)測被測對象可能(neng)錯在的錯誤，然后設計評估方(fang)法(fa)去(qu)檢查這些(xie)錯誤；

        2）來自現(xian)場(chang)經驗的(de)測試：直(zhi)接從使用現(xian)場(chang)采集的(de)數據，如試車時的(de)運行數據；

3）長期測試：類似來自現場(chang)經驗的測試，只是將普通用(yong)戶作(zuo)為測試者，收集實際使用(yong)條(tiao)件下(xia)的數據。

        1）資源使(shi)用測(ce)試：對集成系統(tong)所(suo)能容納的最大負載(zai)，代碼，功率等能力(li)進行(xing)測(ce)試；

     ;   2）壓力測(ce)試：測(ce)試對(dui)象在(zai)高(gao)負載和(he)惡(e)劣環境下是否(fou)能夠長期穩定運(yun)行(xing)的能力進(jin)行(xing)測(ce)試。