内容提要：在本文中，我们介绍了将ISO 26262中的SEooC概念应用于电子停车系统的经验。我们描述了一种系统方法，该方法考虑了在整个车辆环境中安全重用系统元素的需求。

摘要

汽车领域正在经历重大变革。纯电动汽车正在发挥更新汽车电子系统的作用。电子停车等系统正在兴起。ISO 26262功能安全标准的引入影响了汽车设计和保障实践。ISO 26262包含脱离上下文的安全元素(SEooC)的概念。然而，它缺乏关于实施SEooC概念的系统流程。在本文中，我们介绍了将ISO 26262中的SEooC概念应用于电子停车系统的经验。我们描述了一种系统方法，该方法考虑了在整个车辆环境中安全重用系统元素的需求。

一.简介

ISO 26262标准进入汽车领域解决了如何管理功能安全的问题。该标准定义了该领域的最佳实践，以支持安全管理。然而，SEooC的应用可能很困难——尤其是在管理假设方面。ISO 26262可以被视为基于目标的标准，因为只要实现目标，它就不会规定任何需要遵循的特定流程。在本文中，我们描述了按照OPENCOSS项目定义的系统方法将SEooC概念应用于电子停车系统的经验。

二. ISO 26262

由于需要为车辆E/E系统采用特定标准，其中“正常”功能不能与安全功能分开，因此诞生了名为ISO 26262的功能安全标准。ISO 26262为所有涉及车辆安全关键功能的系统规定了新的结构化生命周期。ISO 26262还支持模块化认证策略。

由于多层供应商结构和变体（在设计和开发阶段），SEooC是汽车行业的一个关键概念，并承诺通过模块化和重用认证证据来大幅降低认证成本。

为了实现系统元素的安全重用，即使从组件设计的概念阶段开始，该元素也必须作为SEooC进行开发。因此，假设的重用可能仍然偏离组件被重用的最终上下文。

由于假设了组件使用的可能上下文和系统，因此只要初始假设仍然成立，组件就可能用于与设计时定义的目的不同的用途。非正式的、模糊的和不完整的SEooC假设被认为会阻碍SEooC符合开发流程的建立，并最终可能导致比从头开始开发组件更大的工作量和更高的成本。

三. 电子停车系统

电子停车系统负责停车爪的驱动（机械接合/脱离）的管理。当选择停车模式时，它提供变速器的机械锁定或解锁，避免车辆在停车时发生不必要的移动。在此用例中，我们假设选择可以由驾驶员或自动完成。停车模式的选择由配备有专用于车辆运行模式的开关的档位选择器启动。

图1.电子停车系统功能模块

用例面临的挑战

该用例基于代表潜在SEooC的系统示例：它的功能与特定车辆无关，而是与系统可能应用于具有电力驱动系统的汽车相关的一般假设相关。目标是从一般假设中得出在实际车辆开发中进行特定集成的情况下，建立SEooC安全重复使用的标准。

四．保证流程

为了应对前面提到的挑战，我们遵循了系统化的方法。特别强调应该执行的五个阶段：标准建模、项目裁剪、证据管理、安全档案创建和合规匹配。

A、OPENCOSS平台

为了支持这个过程，我们创建了一个核心平台。

规范性知识管理功能支持第一阶段，我们能够对不同的标准进行建模。

保证项目生命周期管理将诸如安全保证项目的创建和不同功能模块可能的任何“项目基线”信息等方面考虑在内。

图2. OPENCOSS平台的功能分解

安全论证管理功能支持基于GSN图形符号创建保证档案，并通过应用论证模式减少创建保证档案的工作量。

证据管理功能使我们能够跟踪证据在生命周期中的演变，并评估我们对证据的信心。

B、保证流程的应用

我们的第一步是创建ISO 26262创建标准的模型来建立参考框架。此阶段的目标是能够共享对该标准的明确且正式的解释。我们重点关注ISO 26262的第3部分（安全概念）和第4部分（系统级产品开发）。我们解决了两项顶级活动：安全概念阶段和系统级产品开发。这些活动被分解为子活动。下表摘自ISO 26262的附件。

表1. ISO 26262附录中表A.1的摘录

‘条款’列的元素可以映射为活动。“目标”列映射到活动的目标参数。“先决条件”和“工作产品”列很容易映射为我们的元模型中的工件。

我们将标准第3.7条中的“危害分析和风险评估”活动建模为子活动，例如：“危害分析和风险评估的启动”、“场景分析和危害识别”、“危害事件分类”、“ASIL和安全目标的确定”、“验证（HARA和安全目标）”、“HARA的确认审查”和“审核”。这些活动还将根据如何执行这些活动相关的要求进行建模。活动可能需要满足如何完成的要求。例如，ISO 26262中的第7.4条要求和建议包括映射为活动应满足的要求的元素：危害分析和风险评估。

我们模型中的工件与标准中的工作产品进行映射。因此，危害分析和风险评估活动将生成HARA报告，如ISO 26262标准第3-7.5.1条中所述。工作产品有时需要包含一些部分或信息。在这种情况下，我们将它们建模为限制特定工件的需求。

图3. ISO 26262模型摘录

在第二阶段，我们定制了之前创建的参考框架，以便定义适用于该特定SEooC的实际活动和要求集。这种定制的一个例子是包含一个新的工件，即计划使用SEooC的初步架构假设。标准的第10部分–SEooC部分提到了该文档，该部分恰好只是指南，而不是规定性的。当我们为项目定义ASIL时，我们能够定制活动，这样我们就能够产生一个标准的调整视图，只满足所需ASIL的要求。

在第三阶段，我们将电子停车系统设计的实际结果与上一阶段的标准和模型要求的不同工作产品联系起来。这对于那些在生命周期中不断完善的工作产品（例如安全计划）尤其重要。我们可以追踪这份文件的演变，并评估我们对它的信心。

在第四阶段，我们解决安全档案生成问题。在这方面，我们主要做了两个方面的工作：通过推导和验证安全要求，然后检查我们对危害分析和风险评估的正确性和完整性的信心，以减轻已识别的危害。GSN被用作半形式语言来展示论证。更重要的是，基于所创建的论证，已经创建了一种模式，因此为了进一步的发展，将使用相同的理由和相同的分析作为证据。

图4.论证摘录

论证的一个有趣之处在于，它包含了假设和公共声明的概念。我们使用假设概念来声明对SEooC所做的假设，并公开声明为将与SEooC集成的项目提供的保障。我们之前提到过的车辆的初步架构也包含在我们裁剪的基线中，在论证中也提到了。该架构被视为一种假设，功能安全需求分配将根据该假设进行。

最后，在第五阶段，我们强调了早期阶段建模的每个元素如何符合标准的要求。作为此次合规性匹配的结果，我们将生成一份评估标准合规程度的报告。这使我们能够评估完成评估仍需要付出的努力。

图5. ISO 26262合规要素摘要

五.结果

由于ISO 26262的应用相对较新，因此很难找到项目来将这些方法的应用与其他方法进行比较。

当我们应用这种系统方法时，我们发现的一个好处是在结构化环境中使用半形式语言。这可以提高用户对功能安全过程描述的理解，并支持相关项目的评估。该标准已被建模为易于理解的概念，例如活动、需求或工件。

使用图形论证可以帮助理解某些设计决策背后的基本原理。

我们定义了两个主要指标来评估这种方法的好处：

• 安全保证流程自动化

• 跨系统的安全保证重用

在应用这种方法之前，目前还不存在自动化。在此用例范围内，我们可以找到数据流标准化和管理的解决方案，主要是在功能和技术安全要求层面，以及在可能的情况下生成标准化报告。我们在第五阶段结束时获得的标准化合规报告的结果就是一个很好的例子。

跨系统的复用是SEooC开发的基线。这个例子证实了重用以前的开发的可行性。

GSN模式将在未来的开发中使用。由于基本原理将被重用，因此随着每个新开发项目，最佳实践将很容易在公司内传播。

六．结论和未来的工作

在保证框架的支持下，我们已经能够对SEooC合规流程应用系统方法。通过遵循这种方法，我们可以证明符合最佳实践，并定义项目之间采用的通用方法。

我们仍然需要考虑SEooC的集成方面，这将需要验证我们在SEooC上确定的所有假设。

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！