ISO26262針對為不同應用場景和不同客戶開發(fā)的通用安全相關要素,規(guī)定了其相應的開發(fā)要求,稱這種要素為獨立安全要素(Safety Element out of Context-SEooC)。
顧名思義,“獨立安全要素"的存在不是為了某個特定的安全相關項或為了某種車型而設立,而是針對
?一套系統(tǒng)
?一系列系統(tǒng)組合
?子系統(tǒng)
?軟件
?硬件
?元器件(如ECU、MCU)
?使用通訊協(xié)議的軟件
?汽車開放系統(tǒng)架構(gòu)(AUTOSAR)軟件等而設立
獨立安全要素的特點與ISO26262有相應鑒定方法的復用成熟軟件或是貨架產(chǎn)品硬件不同(此類產(chǎn)品在開發(fā)之初不考慮ISO26262的相關系列標準),SEooC的開發(fā)過程是基于一系列安全要求假設基礎上,充分按照ISO26262的標準要求進行的開發(fā)設計。
ISO26262給出了四種情況來描述不同的硬件或軟件的認證狀態(tài)類型,如下表所示,設計者或用戶可以根據(jù)需要選擇要開發(fā)或者評估相應的要素。
在開發(fā)SEooC時,設計者往往無法從用戶方得到明確的安全要求。針對這個問題,ISO26262要求在開發(fā)獨立安全要素前,要進行適當?shù)募僭O,假設獨立安全要素可能適用的更高層級要素分配的安全要求,或者是為了配合其他同層級別要素實現(xiàn)安全功能而分配到的安全要求。
如何保證這些假設在相關項層面是成立的?ISO26262中規(guī)定了,在開發(fā)SEooC時進行假設需要在更高層級的相關項開發(fā)時,進行驗證或評估,如:
當SEooC在與實際的相關項集成過程中,通過考量相關項對SEooC的應用要求(環(huán)境要求,功能要求,外圍要求)等,對比SEooC的開發(fā)假設是否與這些要求吻合,進而確認假設是否成立,如果出現(xiàn)“差異"就需要進行“影響分析":
1)如果差異不會造成違背相關項的安全目標,就認為SEooC的開發(fā)假設與實際的差異是可接受的;
2)如果差異造成了違背相關項的安全目標,但通過安全度量計算滿足系統(tǒng)目標安全等級要求,差異可接受;
3)如果差異造成了違背相關項的安全目標,而且無法滿足系統(tǒng)安全等級要求,可以對相關項的定義或功能安全概念進行變更;
4)如果差異造成了違背相關項的安全目標,而且無法滿足系統(tǒng)安全等級要求,又無法對相關項的定義或功能安全概念進行變更,則需要對SEooC進行變更,以適應差異帶來的影響。
以MCU作為SEooC為例
MCU實際集成到更高層級的系統(tǒng)或相關項時,MCU作為SEooC的相應的假設要進行逐項分析:
1)對內(nèi)的技術安全要求是否能夠符合系統(tǒng)或相關項的安全目標的要求;
2)系統(tǒng)或相關項的配置是否能夠符合MCU對外的技術安全要求的假設;
如果發(fā)現(xiàn)假設與實際情況不匹配,則需要采取硬性分析和相應的技術變更。
廣電計量在全國設有元器件篩選及失效分析實驗室,形成了以博士、專家為首的技術團隊,構(gòu)建了元器件國產(chǎn)化驗證與競品分析、集成電路測試與工藝評價、半導體功率器件質(zhì)量提升工程、車規(guī)級芯片與元器件AEC-Q認證、車規(guī)功率模塊AQG324認證等多個技術服務平臺、滿足裝備制造、航空航天、汽車、軌道交通、5G通信、光電器件與傳感器等領域的電子產(chǎn)品質(zhì)量與可靠性的需求。
● 配合牽頭“面向集成電路、芯片產(chǎn)業(yè)的公共服務平臺建設項目"“面向制造業(yè)的傳感器等關鍵元器件創(chuàng)新成果產(chǎn)業(yè)化公共服務平臺"等多個項目;
● 在集成電路及SiC領域是技術能力廣泛的第三方檢測機構(gòu)之一,已完成MCU、AI芯片、安全芯片等上百個型號的芯片驗證;
● 在車規(guī)領域擁有AEC-Q及AQG324整套服務能力,獲得了近50家車廠的認可,出具近300份AEC-Q及AQG324報告,助力100多款車規(guī)元器件量產(chǎn)。