如何針對(duì)汽車ISO 26262功能安全合規(guī)性進(jìn)行設(shè)計(jì)

安全是汽車行業(yè)的質(zhì)量特征

安全性是所有汽車制造商的關(guān)鍵設(shè)計(jì)考慮因素?，F(xiàn)代汽車的復(fù)雜性正在上升，因此，它們包含數(shù)千個(gè)電子部件。因此，很難確保它們單獨(dú)和集體都表現(xiàn)良好，以安全地提供所需的功能。目前部分或全自動(dòng)駕駛汽車的發(fā)展及其持續(xù)發(fā)展，提高了以現(xiàn)代和有條不紊的策略解決安全問(wèn)題的需求。

為了滿足功能安全的需求，國(guó)際標(biāo)準(zhǔn)化組織 （ISO） 引入了道路車輛電氣和/或電子系統(tǒng)功能安全的 ISO 26262 標(biāo)準(zhǔn)。ISO 61508 是對(duì) IEC 26262 工業(yè)安全標(biāo)準(zhǔn)的改編，側(cè)重于將風(fēng)險(xiǎn)降低到可接受的水平，管理和跟蹤安全要求，并確保設(shè)計(jì)、驗(yàn)證、測(cè)試和驗(yàn)證中的標(biāo)準(zhǔn)化安全程序。

當(dāng)安全對(duì)您的設(shè)計(jì)成功至關(guān)重要時(shí)，您可以依靠我們久經(jīng)考驗(yàn)的經(jīng)驗(yàn)來(lái)幫助您滿足功能安全要求，同時(shí)最大限度地降低成本和開(kāi)發(fā)時(shí)間。我們廣泛的功能安全就緒和功能安全兼容DSC33數(shù)字信號(hào)控制器（DSC）產(chǎn)品組合提供集成的硬件安全功能、故障模式、影響和診斷分析（FMEDA）報(bào)告、安全手冊(cè)和診斷軟件庫(kù)，以開(kāi)發(fā)符合ISO 26262要求的安全關(guān)鍵型應(yīng)用。在設(shè)計(jì)功能安全應(yīng)用時(shí)，使用滿足安全標(biāo)準(zhǔn)要求的開(kāi)發(fā)工具可以使系統(tǒng)集成商更輕松地創(chuàng)建兼容的系統(tǒng)。

Microchip已獲得TüV南德意志集團(tuán)的MPLAB? XC16 C編譯器認(rèn)證，符合ISO 26262功能安全標(biāo)準(zhǔn)，以幫助系統(tǒng)集成商在其應(yīng)用中實(shí)施系統(tǒng)級(jí)功能安全，我們?yōu)镸PLAB開(kāi)發(fā)工具生態(tài)系統(tǒng)提供完整的認(rèn)證包，以幫助認(rèn)證開(kāi)發(fā)工具鏈。

以下部分涉及 ISO 26262 中定義的標(biāo)準(zhǔn)術(shù)語(yǔ)。有關(guān)這些標(biāo)準(zhǔn)術(shù)語(yǔ)的定義，請(qǐng)參閱附錄。

在開(kāi)發(fā)安全關(guān)鍵型應(yīng)用程序時(shí)，必須遵循標(biāo)準(zhǔn)規(guī)定的第1 項(xiàng)實(shí)施的邏輯流程圖。完整的程序必須用于標(biāo)準(zhǔn)規(guī)定的車輛級(jí)別的項(xiàng)目（對(duì)整個(gè)車輛或大部分車輛）。以下是在項(xiàng)目級(jí)別必須遵循的實(shí)現(xiàn)流程中的關(guān)鍵步驟：

項(xiàng)目定義：正在開(kāi)發(fā)的系統(tǒng)的描述

危害分析和風(fēng)險(xiǎn)評(píng)估（HARA）：定義物品用戶可能遇到的所有危害和風(fēng)險(xiǎn)

安全目標(biāo)：設(shè)計(jì)中解決危害的目標(biāo)

要求：實(shí)現(xiàn)安全目標(biāo)的一套高級(jí)功能要求、技術(shù)要求和詳細(xì)的軟硬件要求

安全機(jī)制：用于提高解決危害的技術(shù)要求性能的硬件和/或軟件技術(shù)

流程圖：

汽車安全完整性等級(jí) （ASIL）

ASIL代表汽車安全完整性等級(jí)，是根據(jù)ISO 26262定義的風(fēng)險(xiǎn)分類方案。三個(gè)因素的組合決定了ASIL的要求。

嚴(yán)重程度：對(duì)人們生命造成損害的嚴(yán)重性或強(qiáng)度

暴露：車輛處于危險(xiǎn)狀態(tài)的概率的度量

可控性：衡量駕駛員控制危險(xiǎn)情況的可能性

ASIL = 嚴(yán)重性×（暴露×可控性）

ASIL 級(jí)別（ASIL A、B、C 和 D）是根據(jù) ISO 26262 標(biāo)準(zhǔn)定義的分配表分配的，其中每個(gè)類別下的 1 級(jí)為低，4 級(jí)為高，如下所示：

S3、E4 和 C3（三個(gè)參數(shù)的極端值）共同表示極其危險(xiǎn)的條件。因此，被評(píng)估的組件被歸類為 ASIL D，表示它需要盡可能高的安全預(yù)防措施。

脫離上下文的安全元素 （SEooC） 的定義和假設(shè)

為了管理用作系統(tǒng)/項(xiàng)目元素的微控制器等組件的安全要求，需要引入一個(gè)新概念，即脫離上下文的安全元件（SEooC）。在汽車領(lǐng)域，ISO 26262中定義的SEooC是在車輛中使用最初不是為該特定項(xiàng)目設(shè)計(jì)的組件的方法：

安全元件（例如微控制器）并非專門設(shè)計(jì)用于該商品

它在市場(chǎng)上有售（現(xiàn)成的）

它可以實(shí)現(xiàn)請(qǐng)求的功能

所描述的實(shí)現(xiàn)過(guò)程部分偏離了上面顯示的實(shí)現(xiàn)流程的內(nèi)容，因?yàn)楹w的設(shè)計(jì)不是指項(xiàng)目，而是指元素。

假設(shè)規(guī)范：通常，考慮四組假設(shè)，然后根據(jù)特定元素進(jìn)行定制。在某些應(yīng)用環(huán)境中，微控制器可以假定為安全元件。以下是規(guī)格：

預(yù)期用途：描述 SEooC 的目標(biāo)、設(shè)計(jì)原因以及如何使用

預(yù)期功能：描述 SEooC 的設(shè)計(jì)目的以及它應(yīng)該做什么

使用上下文：描述如何在整個(gè)系統(tǒng)/項(xiàng)目中使用 SEooC 來(lái)執(zhí)行所需的功能

外部接口：描述 SEooC 如何在硬件和軟件方面與系統(tǒng)的其余部分進(jìn)行交互

需求規(guī)范：上述假設(shè)允許定義 SEooC 必須符合的要求

開(kāi)發(fā)：涉及SEooC的有效設(shè)計(jì)

驗(yàn)證：如果系統(tǒng)/項(xiàng)目設(shè)計(jì)在硬件設(shè)計(jì)期間包含 SEooC，則根據(jù)系統(tǒng)/項(xiàng)目硬件安全要求和設(shè)計(jì)規(guī)范驗(yàn)證 SEooC 假設(shè)

假設(shè)的第二次驗(yàn)證是在SEooC的集成和測(cè)試階段進(jìn)行的

微控制器作為安全系統(tǒng) （SEooC）

以下是實(shí)施流程中的關(guān)鍵步驟：

在項(xiàng)目層面，還進(jìn)行危害分析、風(fēng)險(xiǎn)評(píng)估和安全目標(biāo)的定義。

功能安全手冊(cè)提供了有關(guān) FMEDA 報(bào)告中指定的故障檢測(cè)方法的詳細(xì)信息。它包括相關(guān)故障的說(shuō)明以及用于檢測(cè)系統(tǒng)故障的硬件功能，可用于開(kāi)發(fā)診斷庫(kù)。根據(jù)允許的不安全故障率，可以按如下所示評(píng)估風(fēng)險(xiǎn)級(jí)別：

及時(shí)失效 （FIT） 是一個(gè)單位，表示故障率以及每 109 小時(shí)發(fā)生的故障數(shù)。

審核編輯：郭婷