HCC使用独立安全单元 (SEooC) 方法来开发可重用的软件组件,这些组件可与对安全、质量和可移植性有严格要求的系统集成。
SEooC 源自 ISO 26262-10,最初定义为车辆中使用的通用软件或硬件组件方法。软件 SEooC 开发符合安全标准,即 ISO 26262,这意味着它遵循整个软件安全生命周期的开发流程及安全系统的设计约束。
HCC 的SafeTCPIP是第一个使用 SEooC 方法构建的嵌入式软件模块,我们来了解一下SEooC设计方法。
什么是软件SEooC
与目标系统集成的所有软件库是独立的软件组件,开发者并不知道软件的应用场景,而是基于用例和功能的假设,形成一个可以集成到目标系统的元素。独立安全组件(SEooC)遵循这一思想,并额外增加了安全标准—换言之,整个软件组件是在基于某个安全标准规划、开发和维护,以增强对其可靠地执行任务能力的信心。
汽车安全完整性等级 (ASIL)
ISO26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生而来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等部件,旨在提高汽车电子、电气产品功能安全的国际标准。
对于道路车辆中开发的每个项目(item),必须执行危害和风险分析(HARA),以评估组件(component)失败的潜在后果。针对项目可能的危害进行风险评估,并且按照风险级别对应的安全标准开发项目。
ISO 26262标准根据安全风险程度将HARA 分为四个级别,称为汽车安全完整性等级 (ASIL) A、B、C 和 D。
由于 ASIL 是单个项目的属性,需要在其使用的上下文中进行评估,无法将 ASIL 直接分配给 SEooC。但是,可以采用适用于ASIL等级的方法开发 SEooC,以便集成商在安全应用中使用该组件。
软件SEooC的功能安全
ISO 26262-2[REF2] 6.4.5.7中规定:“ISO 26262 系列标准作为一个整体,不能应用于开发 SEooC 元素(element),因为功能安全不是单个元素属性,而是项目属性,可以通过功能安全评估方法评估。”
这意味着您不能为一个SEooC 构建安全场景,但可以为其分配安全功能或用作安全系统的一部分。开发一个可重用的 SEooC的目标是明确定义其功能,开发步骤和目标环境,便于集成,或通过裁剪集成到目标系统。安全场景只能在集成的项目中构建。但是,提供一个由ISO 26262管理的包含安全性分析(Safety Analysis)开发框架,将帮助集成商构建安全项目。
软件SEooC开发方法
在 ISO 26262-10[REF7] 中,定义了 4 种法用于创建软件 SEooC:
a. 高质量的软件组件
b. 使用已证明的论点
c. 使用在ISO 26262项目中开发的组件
d. 根据 ISO 26262-6[REF5] 开发可重用的元素
HCC的 SafeTCPIP基于ISO 26262:6方法构建,其TCP/IP 协议栈作为一组 SEooC 交付,有完整的生命周期维护。
SafeTCPIP 的构建过程
关于ISO 26262:6构建SEooC的详细解析,可以点击参考
