汽車電子立于環(huán)境的安全要素的開發(fā)

9.1立于環(huán)境的安全要素的開發(fā)

汽車工業(yè)為不同的應(yīng)用和不同的客戶開發(fā)通用要素。這些通用要素可以由不同的組織獨(dú)立開發(fā)。在這種情況下,先做出關(guān)于需求以及設(shè)計的假定,這些假定包括了通過更高設(shè)計層級以及要素外部設(shè)計而得到的分配到要素的安全需求。

這樣開發(fā)出來的要素可以將它們視為獨(dú)立于環(huán)境的安全要素(SEooC)來開發(fā)。一個SEooC是一個安全相關(guān)的要素，它不是為一個特定的相關(guān)項開發(fā)的。這意味著，它不是在特定車輛的環(huán)境中開發(fā)的。

一個SEooC可以是系統(tǒng)，系統(tǒng)陣列，子系統(tǒng)，軟件組件，硬件組件或零元器件的組合。SEooC的示例包括系統(tǒng)控制器、ECU、微控制器、實現(xiàn)通信協(xié)議的軟件或AUTOSAR軟件組件。

一個SEooC不能是一個相關(guān)項，因為相關(guān)項的開發(fā)總是需要用于批量生產(chǎn)的車輛的整車環(huán)境。在SEooC是一個系統(tǒng)的情況下，這個系統(tǒng)不是在車輛的使用環(huán)境中開發(fā)的，因此它不是一個相關(guān)項。

與ISO26262-8：2018第12條中描述的合格軟件組件不同和ISO26262-8：2018的第13條中描述的評估硬件要素：

?根據(jù)ISO26262系列標(biāo)準(zhǔn)，基于假設(shè)開發(fā)了SEooC。當(dāng)在SEooC集成過程中可以確定其假設(shè)的有效性時，它將被用于多個不同的相關(guān)項。

?軟件組件的資格和硬件要素的評估涉及對根據(jù)ISO26262系列標(biāo)準(zhǔn)開發(fā)的相關(guān)項使用預(yù)先存在的軟件組件或硬件要素。這些不一定是為可復(fù)用性而設(shè)計的，也不一定是根據(jù)ISO26262系列標(biāo)準(zhǔn)開發(fā)的。

對于軟件開發(fā)，表4描述了資格的預(yù)期使用、獨(dú)立于環(huán)境的安全要素以及不同軟件組件的在用證明論據(jù)。對于硬件開發(fā)，可以架構(gòu)一個等價表。

表4-軟件組件的分類

在開發(fā)SEooC時，適用的安全活動是按照ISO26262-2：2018的6.4.5.7中的描述進(jìn)行的。對于SEooC開發(fā)的這種裁剪并不意味著可以省略安全生命周期的任何步驟。如果某些步驟在SEooC開發(fā)期間被推遲，則在相關(guān)項開發(fā)期間完成。

一個SEooC的ASIL能力指定SEooC的能力，以滿足給定ASIL分配的假定安全需求。因此，它定義了ISO26262系列標(biāo)準(zhǔn)的要求，這些標(biāo)準(zhǔn)適用于該SEooC的開發(fā)。

因此，SEooC是根據(jù)假設(shè)開發(fā)的；基于預(yù)期的功能和使用環(huán)境，其中包括外部接口。這些假設(shè)是以一種解決相關(guān)項超集（父級2011）的方式設(shè)置的，因此SEooC可以在以后用于多個不同但相似的相關(guān)項。

即使在SEooC的開發(fā)中某些步驟推遲了,它們也會在相關(guān)項開發(fā)中完成的。

可由多個SEooC搭建一個相關(guān)項,而各SEooC之間的接口是互相直接連接的。這種情況下,對其 中一個SEooC假設(shè)的有效性證實需要考慮到接口的SEooC。

如果在SEooC集成到相關(guān)項的過程中無法證實該 SEooC在開發(fā)過程所做的假設(shè)的有效性，可以按照【變更管理】（ISO26262-8：2018的第8條）對SEooC或相關(guān)項進(jìn)行變更。

責(zé)任編輯：xj

原文標(biāo)題：獨(dú)立于環(huán)境的安全要素的開發(fā)ISO26262:2018-10-9.1

文章出處：【微信公眾號：汽車電子硬件設(shè)計】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。