車規級 | ISO26262中對獨立安全要素（SEooC）的開發要求

ISO26262針對爲不同應用場(chǎng)景和不同客戶開發的通用安全相關要素，規定瞭(le)其相應的開發要求，稱這種要素爲獨立安全要素（Safety Element out of Context-SEooC）。

顧名思義，“獨立安全要素"的存在不是爲瞭(le)某個特定的安全相關項或爲瞭(le)某種車(chē)型而設立，而是針對

▶一套系統

▶一系列系統組合

▶子系統

▶軟件

▶硬件

▶元器件（如ECU、MCU）

▶使用通訊協議的軟件

▶汽車(chē)開放系統架構(gòu)（AUTOSAR）軟件等而設立

與ISO26262有相應鑒定方法的複用成熟軟件或是貨架産(chǎn)品硬件不同（此類産(chǎn)品在開發之初不考慮ISO26262的相關系列标準），SEooC的開發過程是基於(yú)一系列安全要求假設基礎上，充分按照ISO26262的标準要求進行的開發設計。

ISO26262給出瞭(le)四種情況來描述不同的硬件或軟件的認證狀态類型
，如下表所示，設計者或用戶可以根據需要選擇要開發(fā)或者評估相應的要素。

在開發SEooC時，設計者往往無法從用戶方得到明確(què)的安全要求。針對這個問題，ISO26262要求在開發獨立安全要素前，要進行适當的假設，假設獨立安全要素可能适用的更高層級要素分配的安全要求，或者是爲瞭(le)配合其他同層級别要素實現安全功能而分配到的安全要求。

如何保證這些假設在相關項層(céng)面是成立的？ISO26262中規定瞭(le)，在開發SEooC時進行假設需要在更高層(céng)級的相關項開發時，進行驗證或評估，如：

當(dāng)SEooC在與實際的相關項集成過程中，通過考量相關項對SEooC的應用要求（環境要求
，功能要求，外圍要求）等，對比SEooC的開發假設是否與這些要求吻合，進而確(què)認假設是否成立，如果出現“差異"就需要進行“影響分析"：

1）如果差異不會造成違背相關(guān)項的安全目标，就認爲SEooC的開發(fā)假設與實際的差異是可接受的；

2）如果差異造成瞭(le)違背相關(guān)項的安全目标，但通過安全度量計算滿足系統目标安全等級要求，差異可接受；

3）如果差異造成瞭(le)違背相關項的安全目标，而且無法滿足系統安全等級要求，可以對相關項的定義或功能安全概念進行變(biàn)更；

4）如果差異造成瞭(le)違背相關項的安全目标，而且無法滿足系統安全等級要求，又無法對相關項的定義或功能安全概念進行變(biàn)更，則需要對SEooC進行變(biàn)更，以适應差異帶來的影響。

MCU實際集成到更高層(céng)級的系統或相關(guān)項時，MCU作爲SEooC的相應的假設要進行逐項分析：

1）對(duì)内的技術安全要求是否能夠(gòu)符合系統或相關項的安全目标的要求；

2）系統或相關項的配置是否能夠(gòu)符合MCU對(duì)外的技術安全要求的假設；

如果發現假設與實際情況不匹配，則需要採(cǎi)取硬性分析和相應的技術變(biàn)更。