在功能安全開(kāi)發(fā)過(guò)程中，很多時(shí)候我們會(huì)遇到獨(dú)立于環(huán)境的安全要素開(kāi)發(fā)(Safety Element out of Context, SEooC)，很多朋友搞不清:

什么是SEooC，

什么時(shí)候應(yīng)用SEooC

SEooC和正常功能安全開(kāi)發(fā)有什么不同

SEooC應(yīng)該怎么開(kāi)發(fā)

這篇我們就以問(wèn)答的形式，專門聊聊SEooC，回答朋友們的疑問(wèn)。

Q: 是什么SEooC?

SEooC是獨(dú)立于具體項(xiàng)目背景進(jìn)行功能安全要素的開(kāi)發(fā)。

所謂的獨(dú)立于項(xiàng)目背景最簡(jiǎn)單的理解就是沒(méi)有具體的車輛應(yīng)用背景，車輛具體參數(shù)不清楚。

需要特別注意的是，SEooC開(kāi)發(fā)的安全要素可以是一個(gè)系統(tǒng)，軟件，硬件，但不可以是一個(gè)相關(guān)項(xiàng)，因?yàn)橄嚓P(guān)項(xiàng)總是需要用于批量生產(chǎn)的整車環(huán)境。如果SEooC是一個(gè)系統(tǒng)，而該系統(tǒng)不是在整車環(huán)境中開(kāi)發(fā)的，那么它就不是一個(gè)相關(guān)項(xiàng)。

Q: 什么時(shí)候需要應(yīng)用SEooC?

SEooC主要有兩個(gè)應(yīng)用背景:

1

通用產(chǎn)品的開(kāi)發(fā)

汽車供應(yīng)商為不同的客戶和不同的應(yīng)用開(kāi)發(fā)通用的要素。這些通用的產(chǎn)品是獨(dú)立于不同的組織開(kāi)發(fā)出來(lái)的，便于后續(xù)應(yīng)用到不同組織的產(chǎn)品中去。

2

前期技術(shù)儲(chǔ)備

說(shuō)白了就是很多企業(yè)在產(chǎn)品開(kāi)發(fā)前期沒(méi)有具體項(xiàng)目，這時(shí)候必須依托內(nèi)部資源進(jìn)行樣機(jī)或Demo開(kāi)發(fā)，以便拿到OEM項(xiàng)目等，然后再根據(jù)具體項(xiàng)目進(jìn)行適配型更改，這種情況也屬于SEooC開(kāi)發(fā)。

在這兩種情況下，需要根據(jù)開(kāi)發(fā)的安全要素，先對(duì)其做出關(guān)于需求以及設(shè)計(jì)的假定，這些假定包括了通過(guò)更高設(shè)計(jì)層級(jí)以及要素外部設(shè)計(jì)而得到的分配到要素的安全要求，然后根據(jù)這些假定進(jìn)行功能安全開(kāi)發(fā)。

Q:SEooC和正常的功能安全開(kāi)發(fā)有什么不同?

從開(kāi)發(fā)流程，工作輸出產(chǎn)物的角度講，SEooC和正常的功能安全開(kāi)發(fā)并沒(méi)有本質(zhì)區(qū)別，只是SEooC只執(zhí)行安全要素所涉及的功能安全開(kāi)發(fā)階段的流程和工作輸出產(chǎn)物。

具體而言:

1

正常功能安全

有具體項(xiàng)目背景，功能安全開(kāi)發(fā)始于相關(guān)項(xiàng)的定義，然后依次經(jīng)過(guò)概念，系統(tǒng)，硬件，軟件階段等完整的功能安全開(kāi)發(fā)過(guò)程。

2

SEooC開(kāi)發(fā)

依據(jù)開(kāi)發(fā)的安全要素的不同級(jí)別(是系統(tǒng)，軟件，還是硬件)，直接進(jìn)入所對(duì)應(yīng)的功能安全開(kāi)發(fā)階段(系統(tǒng)開(kāi)發(fā)，軟件開(kāi)發(fā)，硬件開(kāi)發(fā))，其前提輸入條件，一般是上一個(gè)開(kāi)發(fā)階段的核心工作輸出產(chǎn)物，包括前期需求，外部設(shè)計(jì)等，直接進(jìn)行假設(shè)即可，然后以此為基礎(chǔ)進(jìn)行安全要素的開(kāi)發(fā)。

即:如果SEooC開(kāi)發(fā)的安全要素是系統(tǒng)，則功能安全開(kāi)發(fā)活動(dòng)始于系統(tǒng)階段開(kāi)發(fā)。如果安全要素是軟/硬件，則功能安全開(kāi)發(fā)活動(dòng)始于軟/硬件開(kāi)發(fā)。

需要注意的是，所謂的假設(shè)輸入，不僅包含了上個(gè)開(kāi)發(fā)階段中和安全要素相關(guān)的安全需求，還包括了對(duì)于SEooC外部設(shè)計(jì)的假設(shè)，下圖表示了假設(shè)與SEooC開(kāi)發(fā)之間的關(guān)系。而SEooC本身的需求是由由假設(shè)的高級(jí)別需求和假設(shè)的該SEooC外部設(shè)計(jì)而派生出來(lái)的，它的正確實(shí)施將在SEooC開(kāi)發(fā)過(guò)程中得到驗(yàn)證。

Q: SEooC應(yīng)該怎么開(kāi)發(fā)？

SEooC開(kāi)發(fā)的安全要素有三大類，即: 系統(tǒng)，軟件，硬件。26262-10:2018第9部分，對(duì)其開(kāi)發(fā)過(guò)程分別進(jìn)行了闡述，總體而言，就是對(duì)安全要素對(duì)應(yīng)開(kāi)發(fā)階段的上個(gè)開(kāi)發(fā)階段核心相關(guān)的工作范圍和產(chǎn)物進(jìn)行考慮，并對(duì)其進(jìn)行假設(shè)，作為SEooC開(kāi)發(fā)的前提輸入。

那么接下來(lái)我們就以這三大類安全要素為例，介紹其SEooC開(kāi)發(fā)過(guò)程。

安全要素: 系統(tǒng)

系統(tǒng)是SEooC能夠開(kāi)發(fā)的最大的或者最上層的安全要素，SEooC系統(tǒng)開(kāi)發(fā)直接始于系統(tǒng)階段的開(kāi)發(fā)，其上個(gè)開(kāi)發(fā)階段為概念階段，主要的工作產(chǎn)物包括相關(guān)項(xiàng)定義，安全目標(biāo)及功能安全需求，所以需要對(duì)這些內(nèi)容進(jìn)行假設(shè)，作為系統(tǒng)SEooC開(kāi)發(fā)前提輸入。

下圖為SEooC系統(tǒng)開(kāi)發(fā)主要過(guò)程描述，較好地闡述了哪些開(kāi)發(fā)階段內(nèi)容需要進(jìn)行考慮。

很有朋友很疑惑那這些前提輸入要怎么假設(shè)？

一般來(lái)說(shuō)，有兩個(gè)途徑:

相關(guān)類似項(xiàng)目?jī)?nèi)容的裁剪，由此導(dǎo)出概念階段中和安全要素相關(guān)的相關(guān)項(xiàng)定義，安全目標(biāo)和功能安全需求，然后根據(jù)SEooC系統(tǒng)安全要素進(jìn)行適應(yīng)性調(diào)整和更改。

如果沒(méi)有相關(guān)類似項(xiàng)目，則可對(duì)SEooC系統(tǒng)應(yīng)用范圍進(jìn)行假設(shè)，然后進(jìn)行簡(jiǎn)化的概念階段開(kāi)發(fā)，主要是對(duì)系統(tǒng)所應(yīng)用的相關(guān)項(xiàng)進(jìn)行定義，依據(jù)系統(tǒng)實(shí)現(xiàn)的功能進(jìn)行安全分析導(dǎo)出和其相關(guān)的安全目標(biāo)和功能安全需求。

安全要素: 硬件

SEooC硬件開(kāi)發(fā)直接對(duì)應(yīng)ISO 26262-5:2018硬件開(kāi)發(fā)階段，其前提輸入為和硬件相關(guān)的技術(shù)安全需求，在ISO 26262-10:2018中，對(duì)硬件SEooC所對(duì)應(yīng)的技術(shù)安全需求并沒(méi)有強(qiáng)制性要求，可以根據(jù)需要進(jìn)行假設(shè)即可，或者直接定義硬件安全需求。具體開(kāi)發(fā)流程及涵蓋的內(nèi)容如下圖所示，在此不再贅述。

同樣，硬件相關(guān)技術(shù)安全需求或者硬件安全需求應(yīng)該怎么假設(shè)呢？

相對(duì)來(lái)講，硬件相關(guān)的安全需求假設(shè)是SEooC安全要素中最簡(jiǎn)單的，最簡(jiǎn)單的辦法就是按照ISO 26262-5:2018附件E中的內(nèi)容進(jìn)行對(duì)比，例如傳感器，控制單元，CPU等，找出SEooC硬件相關(guān)的失效模式，對(duì)應(yīng)的安全機(jī)制等，然后依此定義硬件安全需求即可。

此外，本身包含的組件種類也比較固定，硬件安全需求多可以直接復(fù)用。

安全要素: 軟件

軟件SEooC開(kāi)發(fā)，大致流程和硬件SEooC開(kāi)發(fā)基本一致，需要對(duì)軟件相關(guān)的技術(shù)安全需求進(jìn)行假設(shè)，然后以此為基礎(chǔ)進(jìn)行軟件SEooC開(kāi)發(fā)，具體就流程和開(kāi)發(fā)范圍如下圖所示。

同樣，軟件相關(guān)技術(shù)安全需求或者軟件安全需求應(yīng)該怎么假設(shè)呢？

軟件相關(guān)技術(shù)安全需求根據(jù)具體軟件應(yīng)用對(duì)象的不同，相對(duì)差異化較大，在其假設(shè)過(guò)程中，需要首先明確軟件軟件應(yīng)用范圍，是一個(gè)完整的軟件組件還是會(huì)應(yīng)用到具體的軟件架構(gòu)中等，具體需要實(shí)現(xiàn)哪些功能和特性。

如果前期對(duì)軟件組件功能實(shí)現(xiàn)不夠清楚，可以從軟件組件輸入和輸出接口入手，首先假設(shè)信號(hào)相關(guān)的功能安全需求及對(duì)應(yīng)的ASIL等級(jí)，軟件的安全狀態(tài)，F(xiàn)TTI等作為前提輸入，然后對(duì)軟件組件進(jìn)行進(jìn)一步安全分析，得到具體的SEooC軟件安全需求即可，然后以此為基礎(chǔ)，進(jìn)行軟件SEooC架構(gòu)，實(shí)現(xiàn)的具體開(kāi)發(fā)。

但需要注意的是，不管是哪種安全要素對(duì)應(yīng)的SEooC開(kāi)發(fā)，最后都會(huì)集成到一或多個(gè)特定應(yīng)用環(huán)境，即相關(guān)項(xiàng)中，此時(shí)需要根據(jù)具體應(yīng)用環(huán)境情況，對(duì)前提輸入假設(shè)進(jìn)行驗(yàn)證，以保證能夠?qū)崿F(xiàn)特定應(yīng)用環(huán)境對(duì)安全要素的功能安全需求。

最后，需要注意SEooC要素，尤其由SEooC開(kāi)發(fā)的軟件和硬件組件和ISO 26262-8:2018 中第12部分軟件和第13部分描述的硬件組件的鑒定和評(píng)估的區(qū)別:

1

SEooC要素開(kāi)發(fā)

基于假設(shè)進(jìn)行開(kāi)發(fā)，整個(gè)開(kāi)發(fā)過(guò)程基于ISO 26262開(kāi)發(fā)過(guò)程，符合功能安全開(kāi)發(fā)標(biāo)準(zhǔn)，目的在于復(fù)用多個(gè)相關(guān)項(xiàng)中，只需要根據(jù)特定相關(guān)項(xiàng)對(duì)其假設(shè)進(jìn)行驗(yàn)證，如果存在差異則進(jìn)行相應(yīng)的更改。

2

軟件和硬件組件鑒定

其應(yīng)用背景是去復(fù)用沒(méi)有按照ISO 26262流程開(kāi)發(fā)的軟件或硬件組件，需要對(duì)其進(jìn)行鑒定，并提供證據(jù)這些組件能夠滿足功能安全需求。

審核編輯：劉清