ISO 26262 是一个庞大复杂的标准,重点是保障驾驶员、乘客和维修人员的安全。ISO 26262 涵盖了整个产品的生命周期,从管理、开发、生产、运营、维修到报废。本文档提出的设计过程/流程将专注于该标准的开发阶段和生产需求方面。
ISO 26262 采用汽车安全完整性等级 (ASIL) A、B、C 和 D —— 从最低到最高风险和功能安全 (FS) 要求 ——对设计的安全风险进行分类。ASIL 评级均在车辆级别安全目标 (SGs) 及其衍生产品级别功能安全要求(FSRs) 框架内进行。设计团队将客户指定的 FSRs 转换为设计特定的技术安全要求 (TSRs)。TSR 代表了满足FSR 的软硬件的机械和预期性能水平。TSR 成为额外的功能要求,高于安全相关设计的正常功能要求。从 SG 到 FSR 到 TSR 的映射是产品整体安全计划的关键部分。安全计划的另一个关键部分是设计安全机制(SMs) 的文档,解决了如何预防、检测和改善故障的问题。
ISO 26262 根据 ASIL 来规定预期设计方法和预期可靠性指标。设计工具必须能够追溯并满足设计及其流程中指定 ASIL 要求的分析、性能和完整性的预期水平。
一个典型的对于安全至关重要的汽车电子设计将有 2-7 个车辆级别的 SG,每个 SG 通常有1-5 个产品级别的 FSR。设计团队创建一个机械化设计,开发一个或多个 TSR 以实现所有 FSR。通常,一个设计的许多部分会以不同的 ASIL 水平影响多个 TSR。更严格的 ASIL 水平 [(B),C 和 D] 需要更广泛的分析,包括根据SG 计算随机硬件故障的概率。在原理图级别捕获的附加文档和属性能支持和简化这些复杂的分析要求,并在 PCB 设计和制造测试要求中正确地记录。
VDA Recommendation 360 Interface ESC eBooster V1.0
功能安全之设计议题在汽车领域已被重视,因其关系人员安全与公司商誉等问题,透过危害分析与风险评估(Hazard Analysis & Risk Assessment,HARA)及V模型设计架构,使功能安全需求等级得到一致性的分析结果,以利汽车电子系统之生命周期考虑到所需失效防止技术与管理要求,并借由设计开发、查证(Verification)及确认(Validation)等能力成熟度模型集成(CMMI-DEV)流程加以实现,使得产品之功能安全符合所需汽车安全完整性等级(ASIL)。