汽车电子立于环境的安全要素的开发

9.1立于环境的安全要素的开发

汽车工业为不同的应用和不同的客户开发通用要素。这些通用要素可以由不同的组织独立开发。在这种情况下,先做出关于需求以及设计的假定,这些假定包括了通过更高设计层级以及要素外部设计而得到的分配到要素的安全需求。

这样开发出来的要素可以将它们视为独立于环境的安全要素(SEooC)来开发。一个SEooC是一个安全相关的要素，它不是为一个特定的相关项开发的。这意味着，它不是在特定车辆的环境中开发的。

一个SEooC可以是系统，系统阵列，子系统，软件组件，硬件组件或零元器件的组合。SEooC的示例包括系统控制器、ECU、微控制器、实现通信协议的软件或AUTOSAR软件组件。

一个SEooC不能是一个相关项，因为相关项的开发总是需要用于批量生产的车辆的整车环境。在SEooC是一个系统的情况下，这个系统不是在车辆的使用环境中开发的，因此它不是一个相关项。

与ISO26262-8：2018第12条中描述的合格软件组件不同和ISO26262-8：2018的第13条中描述的评估硬件要素：

?根据ISO26262系列标准，基于假设开发了SEooC。当在SEooC集成过程中可以确定其假设的有效性时，它将被用于多个不同的相关项。

?软件组件的资格和硬件要素的评估涉及对根据ISO26262系列标准开发的相关项使用预先存在的软件组件或硬件要素。这些不一定是为可复用性而设计的，也不一定是根据ISO26262系列标准开发的。

对于软件开发，表4描述了资格的预期使用、独立于环境的安全要素以及不同软件组件的在用证明论据。对于硬件开发，可以架构一个等价表。

表4-软件组件的分类

在开发SEooC时，适用的安全活动是按照ISO26262-2：2018的6.4.5.7中的描述进行的。对于SEooC开发的这种裁剪并不意味着可以省略安全生命周期的任何步骤。如果某些步骤在SEooC开发期间被推迟，则在相关项开发期间完成。

一个SEooC的ASIL能力指定SEooC的能力，以满足给定ASIL分配的假定安全需求。因此，它定义了ISO26262系列标准的要求，这些标准适用于该SEooC的开发。

因此，SEooC是根据假设开发的；基于预期的功能和使用环境，其中包括外部接口。这些假设是以一种解决相关项超集（父级2011）的方式设置的，因此SEooC可以在以后用于多个不同但相似的相关项。

即使在SEooC的开发中某些步骤推迟了,它们也会在相关项开发中完成的。

可由多个SEooC搭建一个相关项,而各SEooC之间的接口是互相直接连接的。这种情况下,对其 中一个SEooC假设的有效性证实需要考虑到接口的SEooC。

如果在SEooC集成到相关项的过程中无法证实该 SEooC在开发过程所做的假设的有效性，可以按照【变更管理】（ISO26262-8：2018的第8条）对SEooC或相关项进行变更。

责任编辑：xj

原文标题：独立于环境的安全要素的开发ISO26262:2018-10-9.1

文章出处：【微信公众号：汽车电子硬件设计】欢迎添加关注！文章转载请注明出处。