汽车电子硬件：在用证明的示例

10.在用证明的示例

10.1总则

本条款中描述的相关项及其要求就是一个示例。给出了安全目标、其ASIL和以下要求，以说明ISO26262-8：2018第14条【在用证明】中定义的在用证明论证。这个示例没有反映ISO26262系列标准在类似现实生活中的应用情况。

10.2相关项定义和在用证明的候选项定义

整车制造商想在新车上集成一个新的功能。例如，实现此功能的相关项由传感器、一个ECU（包括实现该功能所需的完整硬件和软件）和一个执行器组成。

功能的不正确激活由车辆制造商评定为ASILC。相应的安全目标被导出到分配给ECU的ASILC功能安全需求中。

ECU的供应商建议沿用已经在现场的使用的ECU。

分析了以前使用ECU与其在新应用中的预期用途之间的差异。分析表明，该软件将通过改变校准数据来实现新的功能，但ECU硬件可以在不修改的情况下进行。供应商想用ECU硬件的在用证明来代替符合ISO26262-5要求的证明。因此，ECU的硬件是在用证明候选项。

10.3变更分析

为了建立一个在用证明可信度，供应商对在用证明候选项进行变更分析。

该分析表明,从 ECU 的量产开始,没有引入对在用证明候选项的安全行为产生影响的变更。

此外，分析表明在用证明候选项的先前应用与预期应用之间的差异没有安全影响：

Ø 候选项的边界在规范范围内；

Ø 以前的集成环境需要相同的技术行为；及

Ø 在以前和未来的集成环境中，候选项对象边界的原因和影响是相同的。

10.4在用证明的目标值

为了确定在用证明的有效性，供应商预估了在用证明的候选项已经在现场的累积小时数。供应商分析了售后期间任何与安全相关事件的现场数据。即,有关新的相关项中候选项的预期用途,已报 告的任何潜在导致或促使违背安全目标或安全需求的事件。

基于搭载在用证明候选项的量产车辆的数量、车辆量产日期及在该细分市场中车辆典型使用数据 (每年驾驶小时数),对维修历史的持久性进行预测。

维修历史是基于搭载在用证明候选项的不同车辆的现场返修数据：

Ø 保修索赔；

Ø 现场缺陷分析；或

Ø 从车辆制造商退回有缺陷的零件。

在相关项硬件开发开始之初，这些分析表明，该现场没有发生安全相关的事件。总累积驾驶时数估计少于ASILC的在用证明的确定目标，但符合ISO26262-8：2018的14.4.5.2.5中定义的临时服务期。

结论如下：

Ø ECU 硬件的临时在用证明可继续被相关项开发所采信

Ø 继续进行现场观察以获取一个确定的在用证明的状态(见ISO26262-8：2018的14.4.5.2.5和ISO26262-8：2018的14.4.5.2.6)

责任编辑：xj

       原文标题：在用证明的示例ISO26262:2018-10-10

文章出处：【微信公众号：汽车电子硬件设计】欢迎添加关注！文章转载请注明出处。