10.在用證明的示例

10.1總則

本條款中描述的相關項及其要求就是一個示例。給出了安全目標、其ASIL和以下要求，以說明ISO26262-8：2018第14條【在用證明】中定義的在用證明論證。這個示例沒有反映ISO26262系列標準在類似現實生活中的應用情況。

10.2相關項定義和在用證明的候選項定義

整車制造商想在新車上集成一個新的功能。例如，實現此功能的相關項由傳感器、一個ECU（包括實現該功能所需的完整硬件和軟件）和一個執行器組成。

功能的不正確激活由車輛制造商評定為ASILC。相應的安全目標被導出到分配給ECU的ASILC功能安全需求中。

ECU的供應商建議沿用已經在現場的使用的ECU。

分析了以前使用ECU與其在新應用中的預期用途之間的差異。分析表明，該軟件將通過改變校準數據來實現新的功能，但ECU硬件可以在不修改的情況下進行。供應商想用ECU硬件的在用證明來代替符合ISO26262-5要求的證明。因此，ECU的硬件是在用證明候選項。

10.3變更分析

為了建立一個在用證明可信度，供應商對在用證明候選項進行變更分析。

該分析表明,從 ECU 的量產開始,沒有引入對在用證明候選項的安全行為產生影響的變更。

此外，分析表明在用證明候選項的先前應用與預期應用之間的差異沒有安全影響：

?候選項的邊界在規范范圍內；

?以前的集成環境需要相同的技術行為；及

?在以前和未來的集成環境中，候選項對象邊界的原因和影響是相同的。

10.4在用證明的目標值

為了確定在用證明的有效性，供應商預估了在用證明的候選項已經在現場的累積小時數。供應商分析了售后期間任何與安全相關事件的現場數據。即,有關新的相關項中候選項的預期用途,已報 告的任何潛在導致或促使違背安全目標或安全需求的事件。

基于搭載在用證明候選項的量產車輛的數量、車輛量產日期及在該細分市場中車輛典型使用數據 (每年駕駛小時數),對維修歷史的持久性進行預測。

維修歷史是基于搭載在用證明候選項的不同車輛的現場返修數據：

?保修索賠；

?現場缺陷分析；或

?從車輛制造商退回有缺陷的零件。

在相關項硬件開發開始之初，這些分析表明，該現場沒有發生安全相關的事件。總累積駕駛時數估計少于ASILC的在用證明的確定目標，但符合ISO26262-8：2018的14.4.5.2.5中定義的臨時服務期。

結論如下：

?ECU 硬件的臨時在用證明可繼續被相關項開發所采信

?繼續進行現場觀察以獲取一個確定的在用證明的狀態(見ISO26262-8：2018的14.4.5.2.5和ISO26262-8：2018的14.4.5.2.6)

責任編輯：xj

原文標題：在用證明的示例ISO26262:2018-10-10

文章出處：【微信公眾號：汽車電子硬件設計】歡迎添加關注！文章轉載請注明出處。