要素共存的准则(Criteria for coexistence of elements) 的使用贯穿在需求分解阶段,是将要素ASIL等级(功能安全要求的属性)分配到子要素过程中最常用的原则。
一、基础概念
级联失效: 同一个项目中,内部或外部原因导致的一个要素的失效引起另一个或多个要素的失效。
免于干扰: 两个或两个遇上的要素之间,不存在可能导致违背安全要求的级联失效。
要素共存的准则: 允许安全相关的子要素(1.1)和没有分配ASIL等级的子要素(1.2)共存或分配了不同ASIL等级的安全相关子要素(1.3)共存的准则。
二、举个例子
通常情况下,如果分配到要素1的功能安全要求是ASIL D,要素1包含的1.1、1.2、1.3三个子要素,分配后的ASIL等级都为D。
但是,为了降低技术难度,我们希望能够降低子要素的ASIL等级要求。
所以,如果能满足“要素共存的准则”:
• 1.2失效不直接违背1的任何安全要求,也不会干扰1.1和1.3(不存在级联失效)
• 1.3失效不直接违背1的任何安全要求,也不会干扰1.2和1.3(不存在级联失效)
则可以降低1.2和1.3的ASIL等级,如下图所示:
三、总结
输入
• 开展分析所在系统、硬件或软件层面的安全要求
• 开展分析所在系统、硬件或软件层面的要素架构信息
输出
• 作为要素中子要素属性的ASIL等级的更新
怎么做?
1.先将安全要求分配给要素的子要素
2.考虑分配到要素的每个安全要求和要素的每个子要素
3.证明未分配ASIL等级的子要素不直接或间接地违背分配给该要素的任何安全要求,即:它不干扰要素中安全相关的任何子要素(不存在级联失效,或通过设计预防措施活动,例如考虑软件的数据流和控制流,或硬件的I/O端口及控制线),则视为QM
或者,证明同一要素中某个子要素不会干扰任何分配了较高ASIL等级的其它子要素(不存在级联失效),则视为较低等级的ASIL