9.2.使用案例

9.2.1.概述

開發(fā)SEooC涉及對(duì)產(chǎn)品開發(fā)中相應(yīng)階段的前提條件作出假設(shè)，例如。對(duì)于軟件組件，它是軟件架構(gòu)設(shè)計(jì)的一部分，相應(yīng)的階段是【配置管理】（ISO26262-8：2018的第7條）。沒有必要對(duì)所有前提條件作出假設(shè)，例如安全計(jì)劃。

圖21顯示了假設(shè)與SEooC開發(fā)之間的關(guān)系。開發(fā)一個(gè)SEooC可以從一定層次的需求和設(shè)計(jì)開始。每個(gè)單獨(dú)的要求或設(shè)計(jì)前提是預(yù)先確定的狀態(tài)“假定”。

在SEooC開發(fā)過(guò)程中，將驗(yàn)證SEooC的需求的正確實(shí)現(xiàn)(來(lái)自對(duì)SEooC以外的設(shè)計(jì)的假設(shè)、高層需求和假設(shè))。

圖21-假設(shè)與SEooC開發(fā)之間的關(guān)系

然后在相關(guān)項(xiàng)開發(fā)過(guò)程中確定這些需求和假設(shè)的驗(yàn)證。

同樣，驗(yàn)證活動(dòng)表明，在任何級(jí)別上，開發(fā)的SEooC都與使用它的使用環(huán)境中的要求一致。例如，當(dāng)使用獨(dú)立于使用環(huán)境開發(fā)的軟件組件時(shí)，對(duì)軟件規(guī)范的驗(yàn)證可以證明軟件架構(gòu)設(shè)計(jì)規(guī)范中的要求得到滿足。當(dāng)SEooC的開發(fā)完成，相關(guān)項(xiàng)開發(fā)達(dá)到對(duì)安全元件的要求的階段時(shí)，可以生成此驗(yàn)證報(bào)告。

下面給出了SEooC的一些典型示例，即系統(tǒng)、硬件組件和軟件組件。

9.2.2.開發(fā)一個(gè)作為SEooC的系統(tǒng)

本節(jié)旨在說(shuō)明如何將SEooC概念的裁剪應(yīng)用于一個(gè)新的E/E系統(tǒng)，該系統(tǒng)可以由不同的車輛制造商集成。

為了本示例的目的，系統(tǒng)包括在某些車輛條件下激活功能和允許在適當(dāng)?shù)鸟{駛員請(qǐng)求下解除功能的功能。流程如圖22所示。

注1：根據(jù)SEooC的確切性質(zhì)，可能需要對(duì)需求進(jìn)行一些額外的裁剪。

注2：根據(jù)SEooC的確切性質(zhì)，ISO26262-3和ISO26262-4的一些要求不能適用，因此只作了零元器件考慮。

注3：雖然ISO26262系列標(biāo)準(zhǔn)的所有條款都沒有顯示，但這并不意味著它們不適用。

圖22-SEooC系統(tǒng)開發(fā)

步驟1a-定義SEooC的范圍

基于假設(shè)，SEooC的開發(fā)者定義了SEooC的目的、功能和外部接口。

關(guān)于SEooC范圍的這些假設(shè)的舉例可以是：

?該系統(tǒng)是為總質(zhì)量不超過(guò)1800公斤的車輛而設(shè)計(jì)的。

?該系統(tǒng)是為前輪驅(qū)動(dòng)的車輛設(shè)計(jì)的。

?該系統(tǒng)設(shè)計(jì)最大道路坡度為32%而設(shè)計(jì)的。

?系統(tǒng)具有與其他外部系統(tǒng)的接口，以獲得所需的車輛信息。

?功能要求：

l當(dāng)駕駛員在特定車輛條件下提出要求時(shí)，系統(tǒng)啟動(dòng)該功能；

l當(dāng)駕駛員請(qǐng)求時(shí)，系統(tǒng)會(huì)解除功能。

步驟1b-關(guān)于SEooC的安全需求的假設(shè)

開發(fā)SEooC對(duì)相關(guān)項(xiàng)定義、相關(guān)項(xiàng)的安全目標(biāo)和與SEooC功能相關(guān)的相應(yīng)功能安全需求作出假設(shè)，以確定SEooC的技術(shù)安全需求。

分配給SEooC的功能安全需求假設(shè)的示例可以是：

?系統(tǒng)在高車速不會(huì)時(shí)激活該功能(ASILx)。

?當(dāng)沒有檢測(cè)到駕駛員請(qǐng)求時(shí)，系統(tǒng)不會(huì)解除該功能(ASILy)。為了實(shí)現(xiàn)假定的安全目標(biāo)，定義了關(guān)于使用環(huán)境的具體假設(shè)。

關(guān)于SEooC使用環(huán)境的假設(shè)示例可以是：

?外部源可以提供具有所需 ASIL 等級(jí)的信息，使系統(tǒng)能夠檢測(cè)適當(dāng)?shù)能囕v狀況(ASILx)。

?外部源可以提供關(guān)于駕駛員請(qǐng)求的信息,且該信息達(dá)到所需的 ASIL等級(jí)(ASILy。

步驟2-SEooC的開發(fā)

當(dāng)技術(shù)安全需求已從該相關(guān)項(xiàng)的假定功能安全需求中導(dǎo)出時(shí)，SEooC是按照ISO26262系列標(biāo)準(zhǔn)的要求開發(fā)的。

步驟3-工作成果

在SEooC開發(fā)結(jié)束時(shí)，提供了表明所導(dǎo)出的技術(shù)安全需求得到滿足的工作成果。然后將工作成果中的所有必要信息提供給相關(guān)項(xiàng)集成商，包括SEooC的安全需求和在使用環(huán)境中所做的假設(shè)。

步驟4-將SEooC集成到相關(guān)項(xiàng)中

在相關(guān)項(xiàng)開發(fā)過(guò)程中，規(guī)定了安全目標(biāo)和功能安全需求。該相關(guān)項(xiàng)的功能安全需求與SEooC假定的功能安全需求相匹配，以確定其有效性。

在SEooC假設(shè)不匹配的情況下，從影響分析開始，進(jìn)行變更管理活動(dòng)，如【變更管理】（ISO26262-8：2018的第8條）所述。潛在成果包括：

?在實(shí)現(xiàn)安全目標(biāo)方面，這種差異可以被認(rèn)為是可以接受的，并且不采取任何行動(dòng)。

?這種差異可以被認(rèn)為影響安全目標(biāo)的實(shí)現(xiàn)，對(duì)于相關(guān)項(xiàng)定義或功能安全概念來(lái)說(shuō)，可能需要進(jìn)行變更。

?這種差異可以被認(rèn)為影響安全目標(biāo)，需要對(duì)SEooC組件進(jìn)行變更（可能包括組件的變更）。

9.2.3.開發(fā)一個(gè)作為獨(dú)立于環(huán)境的安全要素的硬件組件

9.2.3.1概述

本節(jié)使用微控制器(MCU)作為示例硬件組件SEooC。流程如圖23所示。

注1：根據(jù)SEooC的確切性質(zhì)，例如，需要對(duì)需求進(jìn)行一些額外的裁剪。為了適應(yīng)由于隨機(jī)硬件故障而違反安全目標(biāo)的概率的目標(biāo)值。

注2：根據(jù)SEooC的確切性質(zhì)，ISO26262-5的一些要求不適用，因此只作了零元器件考慮。

注3：雖然ISO26262系列標(biāo)準(zhǔn)的所有條款都沒有顯示，但這并不意味著它們不適用。

圖23-SEooC硬件組件開發(fā)

9.2.3.2步驟1-系統(tǒng)層面的假設(shè)

單片機(jī)的開發(fā)（見圖23）作為SEooC開始（步驟1），并假設(shè)

系統(tǒng)層面屬性和要求按照ISO26262-2：2018的6.4.5.7。

根據(jù)對(duì)一些參考應(yīng)用的分析，該階段可以分為兩個(gè)子步驟(1a和1b)。這些要求是關(guān)于硬件產(chǎn)品開發(fā)的前提條件(ISO26262-5：2018的表A。1)；示例如下。

9.2.3.3步驟1a-關(guān)于技術(shù)安全需求的假設(shè)

下面是一些為MCU創(chuàng)建的假定技術(shù)安全需求的示例。

關(guān)于技術(shù)安全需求的假設(shè)(步驟1a)：

a.CPU指令存儲(chǔ)器的故障通過(guò)至少具有目標(biāo)值（例如）的硬件中的安全機(jī)制來(lái)減輕。分配給硬件元器件層面的單點(diǎn)故障度量(也可以用所需的DC表示)。

b.單片機(jī)對(duì)違反安全目標(biāo)的總概率的貢獻(xiàn)不超過(guò)相關(guān)ASIL指示概率的10%。

c.為了實(shí)現(xiàn)安全狀態(tài)，當(dāng)斷言復(fù)位時(shí)，MCU將所有I/O輸出驅(qū)動(dòng)到低狀態(tài)。

d.與處理功能相關(guān)的任何安全機(jī)制都在不到10毫秒內(nèi)完成（系統(tǒng)架構(gòu)中適當(dāng)級(jí)別上的故障處理時(shí)間間隔的指定零元器件）。

e.存在一個(gè)內(nèi)存保護(hù)單元，以提供用不同的ASIL分離軟件任務(wù)的可能性。

在這一步建立了ASIL能力。

9.2.3.4步驟1b-系統(tǒng)層面的設(shè)計(jì)的假設(shè)

一些系統(tǒng)層面設(shè)計(jì)假設(shè)的示例，對(duì)SEooC的外部：

A.該系統(tǒng)將在單片機(jī)電源上實(shí)現(xiàn)安全機(jī)制，以檢測(cè)過(guò)電壓和欠電壓故障模式。

B.該系統(tǒng)將在單片機(jī)外部實(shí)現(xiàn)一個(gè)窗口看門狗安全機(jī)制，以檢測(cè)單片機(jī)的時(shí)鐘或程序序列故障。

C.針對(duì)單片機(jī)EDC安全機(jī)制中的潛在故障，將進(jìn)行軟件測(cè)試。

D.在關(guān)鍵時(shí)刻執(zhí)行基于SW的測(cè)試，以驗(yàn)證CPU程序序列的邏輯監(jiān)控中沒有潛在故障。

E.在與安全有關(guān)的操作中，不使用單片機(jī)的調(diào)試接口。因此，調(diào)試邏輯中的任何故障都將被視為安全故障。

9.2.3.5步驟2-硬件開發(fā)的執(zhí)行

在這些決定的基礎(chǔ)上(假定的技術(shù)安全需求和與SEooC以外的設(shè)計(jì)相關(guān)的假設(shè))，以ISO26262-5描述的SEooC被開發(fā)（步驟2），并準(zhǔn)備每個(gè)適用的工作成果。例如，由于隨機(jī)硬件故障而違反安全目標(biāo)的評(píng)估(見ISO26262-5：2018的9.5.1中描述的工作成果)是考慮到SEooC假設(shè)的，包括假定的技術(shù)安全需求中發(fā)現(xiàn)的FIT率的任何預(yù)算。在SEooC假設(shè)的基礎(chǔ)上，參照ISO26262-9對(duì)單片機(jī)內(nèi)部相關(guān)故障進(jìn)行了安全分析和分析。

9.2.3.6步驟3-工作成果

在MCU產(chǎn)品開發(fā)結(jié)束（步驟3），將工作成果中的必要信息提供給系統(tǒng)集成商。這包括以下文件：假設(shè)要求、與SEooC以外的設(shè)計(jì)有關(guān)的假設(shè)以及ISO26262系列標(biāo)準(zhǔn)的適用工作成果(例如，關(guān)于由于隨機(jī)硬件故障而違反安全目標(biāo)的概率的報(bào)告)。

9.2.3.7步驟4-將SEooC集成到系統(tǒng)中

當(dāng)在相關(guān)項(xiàng)硬件產(chǎn)品開發(fā)階段考慮作為SEooC開發(fā)的MCU時(shí)，所有SEooC假設(shè)的有效性，包括SEooC假設(shè)的技術(shù)安全需求和與SEooC外部設(shè)計(jì)相關(guān)的假設(shè)（步驟4）。可能的是，SEooC假設(shè)和系統(tǒng)需求之間會(huì)發(fā)生不匹配。例如，相關(guān)項(xiàng)開發(fā)者可以決定不實(shí)現(xiàn)假定的外部組件。因此，由于SEooC開發(fā)者所做的隨機(jī)硬件故障而導(dǎo)致的安全目標(biāo)違規(guī)的評(píng)估可能不再與該相關(guān)項(xiàng)一致。

在SEooC假設(shè)不匹配的情況下，從影響分析開始的變更管理活動(dòng)按照【變更管理】（ISO26262-8：2018的第8條）進(jìn)行。潛在成果包括：

?在實(shí)現(xiàn)安全目標(biāo)方面，這種差異可以被認(rèn)為是可以接受的，不采取任何行動(dòng)。

?這種差異可以被認(rèn)為影響了安全目標(biāo)的實(shí)現(xiàn)，對(duì)功能安全概念或技術(shù)安全需求都可能需要改變。

?差異可視為影響安全目標(biāo)的實(shí)現(xiàn)，并需要對(duì)SEooC組件進(jìn)行變更（可能包括組件的變更）。

?差異可以被視為影響安全目標(biāo)的實(shí)現(xiàn)，因此安全度量被重新計(jì)算，但重新計(jì)算的度量表明設(shè)計(jì)滿足系統(tǒng)目標(biāo)，因此不需要變更。

9.2.4.開發(fā)一個(gè)作為獨(dú)立于環(huán)境安全要素的軟件組件示例

9.2.4.1概述

這個(gè)條款說(shuō)明了將SEooC概念應(yīng)用于新的中/低級(jí)別軟件組件的不同步驟。流程如圖24所示。

注1：根據(jù)SEooC的確切性質(zhì)，可能需要對(duì)需求進(jìn)行一些額外的裁剪。

注2：根據(jù)SEooC的確切性質(zhì)，ISO26262-6的一些要求不適用，因此只作了零元器件考慮。

注3：雖然ISO26262系列標(biāo)準(zhǔn)的所有條款都沒有顯示，但這并不意味著它們不適用。

圖24-SEooC軟件組件開發(fā)

9.2.4.2步驟1a-關(guān)于軟件組件作為SEooC的范圍的假設(shè)

該步驟旨在說(shuō)明有關(guān)軟件組件的目的、其邊界、目標(biāo)環(huán)境、功能和特性的相關(guān)假設(shè)。這些假設(shè)的示例包括：

?軟件組件集成到給定的軟件分層架構(gòu)中。

?由軟件組件引起的任何潛在干涉是在其環(huán)境中監(jiān)測(cè)和處理的。

?軟件組件提供假定的軟件功能需求中指定的功能：功能性軟件要示清單。

9.2.4.3步驟1b-關(guān)于軟件組件安全需求的假設(shè)

步驟1b意在對(duì)可能影響軟件組件的更高級(jí)別安全需求作出假設(shè)，以得出其軟件安全需求。例如，如果假設(shè)由軟件組件計(jì)算的給定數(shù)據(jù)集具有高完整性(ASILx)，則分配給SEooC的軟件安全需求可以是：

?軟件組件檢測(cè)輸入數(shù)據(jù)上可能違反安全目標(biāo)的任何損壞(ASILx)；

?軟件組件根據(jù)假定的技術(shù)安全需求(ASILx)發(fā)出要通知的錯(cuò)誤條件的信號(hào)；

?對(duì)檢測(cè)到的任何錯(cuò)誤條件(ASILx)返回一個(gè)默認(rèn)值，并具有故障狀態(tài)(ASILx)；及

?軟件組件返回以下用CRC和狀態(tài)(ASILx)編碼的結(jié)果。

9.2.4.4步驟2-軟件組件的開發(fā)

一旦明確說(shuō)明了對(duì)軟件組件的必要假設(shè)，SEooC是根據(jù)ISO26262-6的要求開發(fā)的，對(duì)應(yīng)于其ASIL能力(本例中為ASILx)。所有適用的工作成果都可在不同的環(huán)境中進(jìn)一步集成，包括與驗(yàn)證假定的軟件安全需求有關(guān)的工作成果。

9.2.4.5步驟3-在新的特定使用環(huán)境中集成軟件組件

在軟件組件與新的特定使用環(huán)境中的其他軟件組件集成之前，將檢查在此SEooC上所做的所有假設(shè)的有效性。這包括假定的軟件安全需求及其ASIL能力，以及對(duì)軟件組件的目的、邊界、目標(biāo)環(huán)境、功能和屬性所作的所有假設(shè)（見9.2.4.2和9.2.4.3）。

如果有關(guān)軟件組件的某些假設(shè)不符合這一新使用環(huán)境，則根據(jù)【變更管理】（ISO26262-8：2018的第8條）啟動(dòng)影響分析。影響分析的潛在結(jié)果包括：

?在實(shí)現(xiàn)軟件架構(gòu)設(shè)計(jì)層面適用的安全需求方面，這些差異是可以接受的，沒有采取進(jìn)一步行動(dòng)。

?這些差異影響了軟件架構(gòu)設(shè)計(jì)水平上適用的安全需求的實(shí)現(xiàn)，根據(jù)【變更管理】（ISO26262-8：2018的第8條），這些要求可能需要進(jìn)行變更。

?這些差異影響了軟件架構(gòu)設(shè)計(jì)級(jí)別適用的安全需求的實(shí)現(xiàn)，并根據(jù)【變更管理】（ISO26262-8：2018的第8條）要求對(duì)SEooC組件（可能包括組件的變更）進(jìn)行變更。

注：如果軟件組件在特定軟件架構(gòu)設(shè)計(jì)中的集成導(dǎo)致具有不同ASIL的軟件安全相關(guān)要素共存，則符合【要素共存標(biāo)準(zhǔn)】（ISO26262-9：2018第6條）所述要素共存的標(biāo)準(zhǔn)，或者將具有較低ASIL的要素升級(jí)到較高的ASIL。

責(zé)任編輯：xj

原文標(biāo)題：SEooC使用案例ISO26262:2018-10-9.2

文章出處：【微信公眾號(hào)：汽車電子硬件設(shè)計(jì)】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。