在功能安全開發(fā)過程中，很多時候我們會遇到獨立于環(huán)境的安全要素開發(fā)(Safety Element out of Context, SEooC)，很多朋友搞不清:

什么是SEooC，

什么時候應用SEooC

SEooC和正常功能安全開發(fā)有什么不同

SEooC應該怎么開發(fā)

這篇我們就以問答的形式，專門聊聊SEooC，回答朋友們的疑問。

Q: 是什么SEooC?

SEooC是獨立于具體項目背景進行功能安全要素的開發(fā)。

所謂的獨立于項目背景最簡單的理解就是沒有具體的車輛應用背景，車輛具體參數不清楚。

需要特別注意的是，SEooC開發(fā)的安全要素可以是一個系統(tǒng)，軟件，硬件，但不可以是一個相關項，因為相關項總是需要用于批量生產的整車環(huán)境。如果SEooC是一個系統(tǒng)，而該系統(tǒng)不是在整車環(huán)境中開發(fā)的，那么它就不是一個相關項。

Q: 什么時候需要應用SEooC?

SEooC主要有兩個應用背景:

1

通用產品的開發(fā)

汽車供應商為不同的客戶和不同的應用開發(fā)通用的要素。這些通用的產品是獨立于不同的組織開發(fā)出來的，便于后續(xù)應用到不同組織的產品中去。

2

前期技術儲備

說白了就是很多企業(yè)在產品開發(fā)前期沒有具體項目，這時候必須依托內部資源進行樣機或Demo開發(fā)，以便拿到OEM項目等，然后再根據具體項目進行適配型更改，這種情況也屬于SEooC開發(fā)。

在這兩種情況下，需要根據開發(fā)的安全要素，先對其做出關于需求以及設計的假定，這些假定包括了通過更高設計層級以及要素外部設計而得到的分配到要素的安全要求，然后根據這些假定進行功能安全開發(fā)。

Q:SEooC和正常的功能安全開發(fā)有什么不同?

從開發(fā)流程，工作輸出產物的角度講，SEooC和正常的功能安全開發(fā)并沒有本質區(qū)別，只是SEooC只執(zhí)行安全要素所涉及的功能安全開發(fā)階段的流程和工作輸出產物。

具體而言:

1

正常功能安全

有具體項目背景，功能安全開發(fā)始于相關項的定義，然后依次經過概念，系統(tǒng)，硬件，軟件階段等完整的功能安全開發(fā)過程。

2

SEooC開發(fā)

依據開發(fā)的安全要素的不同級別(是系統(tǒng)，軟件，還是硬件)，直接進入所對應的功能安全開發(fā)階段(系統(tǒng)開發(fā)，軟件開發(fā)，硬件開發(fā))，其前提輸入條件，一般是上一個開發(fā)階段的核心工作輸出產物，包括前期需求，外部設計等，直接進行假設即可，然后以此為基礎進行安全要素的開發(fā)。

即:如果SEooC開發(fā)的安全要素是系統(tǒng)，則功能安全開發(fā)活動始于系統(tǒng)階段開發(fā)。如果安全要素是軟/硬件，則功能安全開發(fā)活動始于軟/硬件開發(fā)。

需要注意的是，所謂的假設輸入，不僅包含了上個開發(fā)階段中和安全要素相關的安全需求，還包括了對于SEooC外部設計的假設，下圖表示了假設與SEooC開發(fā)之間的關系。而SEooC本身的需求是由由假設的高級別需求和假設的該SEooC外部設計而派生出來的，它的正確實施將在SEooC開發(fā)過程中得到驗證。

Q: SEooC應該怎么開發(fā)？

SEooC開發(fā)的安全要素有三大類，即: 系統(tǒng)，軟件，硬件。26262-10:2018第9部分，對其開發(fā)過程分別進行了闡述，總體而言，就是對安全要素對應開發(fā)階段的上個開發(fā)階段核心相關的工作范圍和產物進行考慮，并對其進行假設，作為SEooC開發(fā)的前提輸入。

那么接下來我們就以這三大類安全要素為例，介紹其SEooC開發(fā)過程。

安全要素: 系統(tǒng)

系統(tǒng)是SEooC能夠開發(fā)的最大的或者最上層的安全要素，SEooC系統(tǒng)開發(fā)直接始于系統(tǒng)階段的開發(fā)，其上個開發(fā)階段為概念階段，主要的工作產物包括相關項定義，安全目標及功能安全需求，所以需要對這些內容進行假設，作為系統(tǒng)SEooC開發(fā)前提輸入。

下圖為SEooC系統(tǒng)開發(fā)主要過程描述，較好地闡述了哪些開發(fā)階段內容需要進行考慮。

很有朋友很疑惑那這些前提輸入要怎么假設？

一般來說，有兩個途徑:

相關類似項目內容的裁剪，由此導出概念階段中和安全要素相關的相關項定義，安全目標和功能安全需求，然后根據SEooC系統(tǒng)安全要素進行適應性調整和更改。

如果沒有相關類似項目，則可對SEooC系統(tǒng)應用范圍進行假設，然后進行簡化的概念階段開發(fā)，主要是對系統(tǒng)所應用的相關項進行定義，依據系統(tǒng)實現的功能進行安全分析導出和其相關的安全目標和功能安全需求。

安全要素: 硬件

SEooC硬件開發(fā)直接對應ISO 26262-5:2018硬件開發(fā)階段，其前提輸入為和硬件相關的技術安全需求，在ISO 26262-10:2018中，對硬件SEooC所對應的技術安全需求并沒有強制性要求，可以根據需要進行假設即可，或者直接定義硬件安全需求。具體開發(fā)流程及涵蓋的內容如下圖所示，在此不再贅述。

同樣，硬件相關技術安全需求或者硬件安全需求應該怎么假設呢？

相對來講，硬件相關的安全需求假設是SEooC安全要素中最簡單的，最簡單的辦法就是按照ISO 26262-5:2018附件E中的內容進行對比，例如傳感器，控制單元，CPU等，找出SEooC硬件相關的失效模式，對應的安全機制等，然后依此定義硬件安全需求即可。

此外，本身包含的組件種類也比較固定，硬件安全需求多可以直接復用。

安全要素: 軟件

軟件SEooC開發(fā)，大致流程和硬件SEooC開發(fā)基本一致，需要對軟件相關的技術安全需求進行假設，然后以此為基礎進行軟件SEooC開發(fā)，具體就流程和開發(fā)范圍如下圖所示。

同樣，軟件相關技術安全需求或者軟件安全需求應該怎么假設呢？

軟件相關技術安全需求根據具體軟件應用對象的不同，相對差異化較大，在其假設過程中，需要首先明確軟件軟件應用范圍，是一個完整的軟件組件還是會應用到具體的軟件架構中等，具體需要實現哪些功能和特性。

如果前期對軟件組件功能實現不夠清楚，可以從軟件組件輸入和輸出接口入手，首先假設信號相關的功能安全需求及對應的ASIL等級，軟件的安全狀態(tài)，FTTI等作為前提輸入，然后對軟件組件進行進一步安全分析，得到具體的SEooC軟件安全需求即可，然后以此為基礎，進行軟件SEooC架構，實現的具體開發(fā)。

但需要注意的是，不管是哪種安全要素對應的SEooC開發(fā)，最后都會集成到一或多個特定應用環(huán)境，即相關項中，此時需要根據具體應用環(huán)境情況，對前提輸入假設進行驗證，以保證能夠實現特定應用環(huán)境對安全要素的功能安全需求。

最后，需要注意SEooC要素，尤其由SEooC開發(fā)的軟件和硬件組件和ISO 26262-8:2018 中第12部分軟件和第13部分描述的硬件組件的鑒定和評估的區(qū)別:

1

SEooC要素開發(fā)

基于假設進行開發(fā)，整個開發(fā)過程基于ISO 26262開發(fā)過程，符合功能安全開發(fā)標準，目的在于復用多個相關項中，只需要根據特定相關項對其假設進行驗證，如果存在差異則進行相應的更改。

2

軟件和硬件組件鑒定

其應用背景是去復用沒有按照ISO 26262流程開發(fā)的軟件或硬件組件，需要對其進行鑒定，并提供證據這些組件能夠滿足功能安全需求。

審核編輯：劉清