车规级 | ISO26262中对独立安全要素（SEooC）的开发要求

独立安全要素的应用场景

ISO26262针对为不同应用场景和不同客户开发的通用安全相关要素，规定了其相应的开发要求，称这种要素为独立安全要素（Safety Element out of Context-SEooC）。

顾名思义，“独立安全要素”的存在不是为了某个特定的安全相关项或为了某种车型而设立，而是针对

▶一套系统

▶一系列系统组合

▶子系统

▶软件

▶硬件

▶元器件（如ECU、MCU）

▶使用通讯协议的软件

▶汽车开放系统架构（AUTOSAR）软件等而设立

独立安全要素的特点

与ISO26262有相应鉴定方法的复用成熟软件或是货架产品硬件不同（此类产品在开发之初不考虑ISO26262的相关系列标准），SEooC的开发过程是基于一系列安全要求假设基础上，充分按照ISO26262的标准要求进行的开发设计。

ISO26262给出了四种情况来描述不同的硬件或软件的认证状态类型，如下表所示，设计者或用户可以根据需要选择要开发或者评估相应的要素。

独立安全要素的安全要求

在开发SEooC时，设计者往往无法从用户方得到明确的安全要求。针对这个问题，ISO26262要求在开发独立安全要素前，要进行适当的假设，假设独立安全要素可能适用的更高层级要素分配的安全要求，或者是为了配合其他同层级别要素实现安全功能而分配到的安全要求。

如何保证这些假设在相关项层面是成立的？ISO26262中规定了，在开发SEooC时进行假设需要在更高层级的相关项开发时，进行验证或评估，如：

当SEooC在与实际的相关项集成过程中，通过考量相关项对SEooC的应用要求（环境要求，功能要求，外围要求）等，对比SEooC的开发假设是否与这些要求吻合，进而确认假设是否成立，如果出现“差异”就需要进行“影响分析”：

1）如果差异不会造成违背相关项的安全目标，就认为SEooC的开发假设与实际的差异是可接受的；

2）如果差异造成了违背相关项的安全目标，但通过安全度量（硬件架构度量和随机硬件失效概率度量，点击阅读相关文章）计算满足系统目标安全等级要求，差异可接受；

3）如果差异造成了违背相关项的安全目标，而且无法满足系统安全等级要求，可以对相关项的定义或功能安全概念进行变更；

4）如果差异造成了违背相关项的安全目标，而且无法满足系统安全等级要求，又无法对相关项的定义或功能安全概念进行变更，则需要对SEooC进行变更，以适应差异带来的影响。

以MCU作为SEooC为例

MCU实际集成到更高层级的系统或相关项时，MCU作为SEooC的相应的假设要进行逐项分析：

1）对内的技术安全要求是否能够符合系统或相关项的安全目标的要求；

2）系统或相关项的配置是否能够符合MCU对外的技术安全要求的假设；

如果发现假设与实际情况不匹配，则需要采取硬性分析和相应的技术变更。

关于广电计量半导体服务

广电计量在全国设有元器件筛选及失效分析实验室，形成了以博士、专家为首的技术团队，构建了元器件国产化验证与竞品分析、集成电路测试与工艺评价、半导体功率器件质量提升工程、车规级芯片与元器件AEC-Q认证、车规功率模块AQG324认证等多个技术服务平台、满足装备制造、航空航天、汽车、轨道交通、5G通信、光电器件与传感器等领域的电子产品质量与可靠性的需求。

我们的服务优势

1、 配合工信部牵头“面向集成电路、芯片产业的公共服务平台建设项目”“面向制造业的传感器等关键元器件创新成果产业化公共服务平台”等多个项目；

2、 在集成电路及SiC领域是技术能力最全面、知名度最高的第三方检测机构之一，已完成MCU、AI芯片、安全芯片等上百个型号的芯片验证；

3、 在车规领域拥有AEC-Q及AQG324全套服务能力，获得了近50家车厂的认可，出具近300份AEC-Q及AQG324报告，助力100多款车规元器件量产。