在功能安全開發(fā)過程中，很多時候我們會遇到獨立于環(huán)境的安全要素開發(fā)(Safety Element out of Context, SEooC)，很多朋友搞不清:

什么是SEooC，

什么時候應(yīng)用SEooC

SEooC和正常功能安全開發(fā)有什么不同

SEooC應(yīng)該怎么開發(fā)

這篇我們就以問答的形式，專門聊聊SEooC，回答朋友們的疑問。

Q: 是什么SEooC?

SEooC是獨立于具體項目背景進(jìn)行功能安全要素的開發(fā)。

所謂的獨立于項目背景最簡單的理解就是沒有具體的車輛應(yīng)用背景，車輛具體參數(shù)不清楚。

需要特別注意的是，SEooC開發(fā)的安全要素可以是一個系統(tǒng)，軟件，硬件，但不可以是一個相關(guān)項，因為相關(guān)項總是需要用于批量生產(chǎn)的整車環(huán)境。如果SEooC是一個系統(tǒng)，而該系統(tǒng)不是在整車環(huán)境中開發(fā)的，那么它就不是一個相關(guān)項。

Q: 什么時候需要應(yīng)用SEooC?

SEooC主要有兩個應(yīng)用背景:

1

通用產(chǎn)品的開發(fā)

汽車供應(yīng)商為不同的客戶和不同的應(yīng)用開發(fā)通用的要素。這些通用的產(chǎn)品是獨立于不同的組織開發(fā)出來的，便于后續(xù)應(yīng)用到不同組織的產(chǎn)品中去。

2

前期技術(shù)儲備

說白了就是很多企業(yè)在產(chǎn)品開發(fā)前期沒有具體項目，這時候必須依托內(nèi)部資源進(jìn)行樣機或Demo開發(fā)，以便拿到OEM項目等，然后再根據(jù)具體項目進(jìn)行適配型更改，這種情況也屬于SEooC開發(fā)。

在這兩種情況下，需要根據(jù)開發(fā)的安全要素，先對其做出關(guān)于需求以及設(shè)計的假定，這些假定包括了通過更高設(shè)計層級以及要素外部設(shè)計而得到的分配到要素的安全要求，然后根據(jù)這些假定進(jìn)行功能安全開發(fā)。

Q:SEooC和正常的功能安全開發(fā)有什么不同?

從開發(fā)流程，工作輸出產(chǎn)物的角度講，SEooC和正常的功能安全開發(fā)并沒有本質(zhì)區(qū)別，只是SEooC只執(zhí)行安全要素所涉及的功能安全開發(fā)階段的流程和工作輸出產(chǎn)物。

具體而言:

1

正常功能安全

有具體項目背景，功能安全開發(fā)始于相關(guān)項的定義，然后依次經(jīng)過概念，系統(tǒng)，硬件，軟件階段等完整的功能安全開發(fā)過程。

2

SEooC開發(fā)

依據(jù)開發(fā)的安全要素的不同級別(是系統(tǒng)，軟件，還是硬件)，直接進(jìn)入所對應(yīng)的功能安全開發(fā)階段(系統(tǒng)開發(fā)，軟件開發(fā)，硬件開發(fā))，其前提輸入條件，一般是上一個開發(fā)階段的核心工作輸出產(chǎn)物，包括前期需求，外部設(shè)計等，直接進(jìn)行假設(shè)即可，然后以此為基礎(chǔ)進(jìn)行安全要素的開發(fā)。

即:如果SEooC開發(fā)的安全要素是系統(tǒng)，則功能安全開發(fā)活動始于系統(tǒng)階段開發(fā)。如果安全要素是軟/硬件，則功能安全開發(fā)活動始于軟/硬件開發(fā)。

需要注意的是，所謂的假設(shè)輸入，不僅包含了上個開發(fā)階段中和安全要素相關(guān)的安全需求，還包括了對于SEooC外部設(shè)計的假設(shè)，下圖表示了假設(shè)與SEooC開發(fā)之間的關(guān)系。而SEooC本身的需求是由由假設(shè)的高級別需求和假設(shè)的該SEooC外部設(shè)計而派生出來的，它的正確實施將在SEooC開發(fā)過程中得到驗證。

Q: SEooC應(yīng)該怎么開發(fā)？

SEooC開發(fā)的安全要素有三大類，即: 系統(tǒng)，軟件，硬件。26262-10:2018第9部分，對其開發(fā)過程分別進(jìn)行了闡述，總體而言，就是對安全要素對應(yīng)開發(fā)階段的上個開發(fā)階段核心相關(guān)的工作范圍和產(chǎn)物進(jìn)行考慮，并對其進(jìn)行假設(shè)，作為SEooC開發(fā)的前提輸入。

那么接下來我們就以這三大類安全要素為例，介紹其SEooC開發(fā)過程。

安全要素: 系統(tǒng)

系統(tǒng)是SEooC能夠開發(fā)的最大的或者最上層的安全要素，SEooC系統(tǒng)開發(fā)直接始于系統(tǒng)階段的開發(fā)，其上個開發(fā)階段為概念階段，主要的工作產(chǎn)物包括相關(guān)項定義，安全目標(biāo)及功能安全需求，所以需要對這些內(nèi)容進(jìn)行假設(shè)，作為系統(tǒng)SEooC開發(fā)前提輸入。

下圖為SEooC系統(tǒng)開發(fā)主要過程描述，較好地闡述了哪些開發(fā)階段內(nèi)容需要進(jìn)行考慮。

很有朋友很疑惑那這些前提輸入要怎么假設(shè)？

一般來說，有兩個途徑:

相關(guān)類似項目內(nèi)容的裁剪，由此導(dǎo)出概念階段中和安全要素相關(guān)的相關(guān)項定義，安全目標(biāo)和功能安全需求，然后根據(jù)SEooC系統(tǒng)安全要素進(jìn)行適應(yīng)性調(diào)整和更改。

如果沒有相關(guān)類似項目，則可對SEooC系統(tǒng)應(yīng)用范圍進(jìn)行假設(shè)，然后進(jìn)行簡化的概念階段開發(fā)，主要是對系統(tǒng)所應(yīng)用的相關(guān)項進(jìn)行定義，依據(jù)系統(tǒng)實現(xiàn)的功能進(jìn)行安全分析導(dǎo)出和其相關(guān)的安全目標(biāo)和功能安全需求。

安全要素: 硬件

SEooC硬件開發(fā)直接對應(yīng)ISO 26262-5:2018硬件開發(fā)階段，其前提輸入為和硬件相關(guān)的技術(shù)安全需求，在ISO 26262-10:2018中，對硬件SEooC所對應(yīng)的技術(shù)安全需求并沒有強制性要求，可以根據(jù)需要進(jìn)行假設(shè)即可，或者直接定義硬件安全需求。具體開發(fā)流程及涵蓋的內(nèi)容如下圖所示，在此不再贅述。

同樣，硬件相關(guān)技術(shù)安全需求或者硬件安全需求應(yīng)該怎么假設(shè)呢？

相對來講，硬件相關(guān)的安全需求假設(shè)是SEooC安全要素中最簡單的，最簡單的辦法就是按照ISO 26262-5:2018附件E中的內(nèi)容進(jìn)行對比，例如傳感器，控制單元，CPU等，找出SEooC硬件相關(guān)的失效模式，對應(yīng)的安全機制等，然后依此定義硬件安全需求即可。

此外，本身包含的組件種類也比較固定，硬件安全需求多可以直接復(fù)用。

安全要素: 軟件

軟件SEooC開發(fā)，大致流程和硬件SEooC開發(fā)基本一致，需要對軟件相關(guān)的技術(shù)安全需求進(jìn)行假設(shè)，然后以此為基礎(chǔ)進(jìn)行軟件SEooC開發(fā)，具體就流程和開發(fā)范圍如下圖所示。

同樣，軟件相關(guān)技術(shù)安全需求或者軟件安全需求應(yīng)該怎么假設(shè)呢？

軟件相關(guān)技術(shù)安全需求根據(jù)具體軟件應(yīng)用對象的不同，相對差異化較大，在其假設(shè)過程中，需要首先明確軟件軟件應(yīng)用范圍，是一個完整的軟件組件還是會應(yīng)用到具體的軟件架構(gòu)中等，具體需要實現(xiàn)哪些功能和特性。

如果前期對軟件組件功能實現(xiàn)不夠清楚，可以從軟件組件輸入和輸出接口入手，首先假設(shè)信號相關(guān)的功能安全需求及對應(yīng)的ASIL等級，軟件的安全狀態(tài)，F(xiàn)TTI等作為前提輸入，然后對軟件組件進(jìn)行進(jìn)一步安全分析，得到具體的SEooC軟件安全需求即可，然后以此為基礎(chǔ)，進(jìn)行軟件SEooC架構(gòu)，實現(xiàn)的具體開發(fā)。

但需要注意的是，不管是哪種安全要素對應(yīng)的SEooC開發(fā)，最后都會集成到一或多個特定應(yīng)用環(huán)境，即相關(guān)項中，此時需要根據(jù)具體應(yīng)用環(huán)境情況，對前提輸入假設(shè)進(jìn)行驗證，以保證能夠?qū)崿F(xiàn)特定應(yīng)用環(huán)境對安全要素的功能安全需求。

最后，需要注意SEooC要素，尤其由SEooC開發(fā)的軟件和硬件組件和ISO 26262-8:2018 中第12部分軟件和第13部分描述的硬件組件的鑒定和評估的區(qū)別:

1

SEooC要素開發(fā)

基于假設(shè)進(jìn)行開發(fā)，整個開發(fā)過程基于ISO 26262開發(fā)過程，符合功能安全開發(fā)標(biāo)準(zhǔn)，目的在于復(fù)用多個相關(guān)項中，只需要根據(jù)特定相關(guān)項對其假設(shè)進(jìn)行驗證，如果存在差異則進(jìn)行相應(yīng)的更改。

2

軟件和硬件組件鑒定

其應(yīng)用背景是去復(fù)用沒有按照ISO 26262流程開發(fā)的軟件或硬件組件，需要對其進(jìn)行鑒定，并提供證據(jù)這些組件能夠滿足功能安全需求。

審核編輯：劉清