道路車輛功能安全-S6一、21適用范圍和主要內 二、22功能安全管 三、23概念階 ...................................... 四 ISO26262-4系統(tǒng)級產品開 五、25硬件級產品開 6、硬件集成和測 六、26軟件級產品開 7、軟件安全需求驗 七、27生產運 ............... 1、生 2、運行、服務（保養(yǎng)和維護）和關 八、2 1、分布式開發(fā)接 5、驗 6、文 九、29面向汽車安全完整性等級(ASIL)和安全的分 1、考慮ASIL裁剪等級分解要 4、安全分 十、2 指 （汽車安全綜合等級，ASILs）ASILs方法來確定獲得可接受的殘余風險的必要安全要求。-提供了確保獲得足夠的和可接受的ISO262623.5E/EE/E要求（例如：主被動安全系統(tǒng)，剎車系統(tǒng)，ACC）Part1：定義Part2：功能安全管理Part3：概念階段Part4：產品研發(fā)：系統(tǒng)級Part5：產品研發(fā)：硬件級Part6：產品研發(fā)：軟件級Part7：生產和操作Part8Part9：基于ASILPart10：ISO26262什么方式來保證產品能夠符合功能安全的要求的呢？下面我們就來具體看看ISO26262ISO2626210ISO26262-1ISO26262-10，分別從功能安全管理，一個好的產品，要靠一整套好的管理體系來實現(xiàn)，并可靠的生產出來。ISO2626211、項目定義：2、3、ASIL4、ISO262625、ISO26262-4V6 7、ISO26262-6V8 ISO26262-7569 ISO26262-41110 11 可控12、外部措施，13、其他技術5.4.27ISO26262d）類似功能、系統(tǒng)或元素達到的行為c）其他項目，元素和環(huán)境對本項目的要求d）在系統(tǒng)或者包含的元素中，對功能的定位和分配e）影響項目功能時，項目的運行情況ISO26262B。如下表：E0ASILISO262624：C0，C1，C2，C3。但要注其中，C0C0，則ASILASILA、B、C、D，ASILAASILDQM8做完危險分析和風險評估之后，在概念階段，ISO26262-3（圖圖FMEAFTAHAZOP細描述ASIL如果ASILISO26262-9獲得并分配到其中去。來進行評估。功能安全概念應該按照ISO26262-8AB（F（f（C，R=（Ef=ISO26262-8（HSI，的，自適應巡航控制系統(tǒng)（ACC）ECUACC1、系統(tǒng)本身的檢測，指示和故障控制措施，包括系統(tǒng)或元件來檢測隨機硬件故障，（例如，數(shù)據接2、檢測，指示和與該系統(tǒng)交互的外部設備的故障控制的措施，比如，外部設備包括其它電子控制單元，電源或通信設備。3、使系統(tǒng)達到或維持安全狀態(tài)的措施。這包括在相互沖突的安全機制的情況下優(yōu)先級和仲裁邏輯情況。4、5、1、安全狀態(tài)的切換2、34、維持安全狀態(tài)的措施ASIL分解4、分配的ASILISO26262-71、2、3、系統(tǒng)集成中的執(zhí)行測試能力ASILASILASILDASILA、B、C、D28，應在項目級指定最終評估（9.4.3.4。ASIL（B）C、D之一（ISO26262-5:2011，9）目標值應在項目級別中指定為最終評估（見9.4.3.4ASIL（B）C、DISO26262-5:2011,第8ISO26262-5:2011,9ASIL（B）C、D（見ISO26262-8:20115的數(shù)字硬件ISO26262-5ISO26262-6ISO26262-8:2011131初始化，測試或高級模式，配置參數(shù)，如：增益控制，帶通頻率或時鐘分頻器。23、共享和專用硬件資源，如內存映射，寄存器，定時器，中斷，I/O45、1、2、34、5、6、關閉要求91、23、4、5、4根據ISO26262-5ISO26262-64ASILsCD（HSI）ASILa，a以完全測試測試對象的具體接口，兼容性，定時和其它指定的測試項。ECU以通過軟硬件兼容性的靜態(tài)測試和串行外設接口-（SPI）或集成電路-（集成電路）ECU481、系統(tǒng)級功能安全和技術安全需求驗證，表1023、5C干擾性和魯棒性測試，在一定的環(huán)境條件下，是壓力測試的一種特殊情況。這包括EMC和ESD測試整車集成和測試整車集成應進行車內通信網絡的接口規(guī)范和車內電源網115c，d5a）（？？）c）ISO26262-5:20119條款所定義的隨機硬件故障，安全目標違反評估，根7.4.4.3規(guī)定的目標值ISO26262-5:20118條款所定義的硬件體系故障，安全目標違反評估，根7.4.4.2規(guī)定的目標值使用指定的測試程序，測試案例和通過/失敗的標準進行重復的測試;例如：功（HATe）功能安全的成功整體評估發(fā)布文檔作為發(fā)布產品的基礎，由負責發(fā)布的人簽署。5---與軟件開發(fā)的協(xié)調ISO26262包含兩個條款描述項目的總體硬件結構定ISO26262-2的安全計劃詳細說明應包括，確定適當?shù)姆椒ê痛胧布墑e的產ISO26262-6中策劃的活動。ISO26262的規(guī)定。硬件單元的復用，或合格硬件單6HSI。ECU外部ECU輸入開路硬件安全需求不指定安全機制產品硬件的設計驗證標準，包括環(huán)境條件（溫度，ISO26262-8:2011697ASIL。計，ASIL不會分配到硬件元件。1列出原則來具有以下a）c）4QM方法清單。例如保守的2和ISO26262-9:2011744ASIL（B，C，DA)（ASI（BC（ASIL（B，C和D的，避免潛在故障的有效性安1故障不能被認為是覆蓋，如果它的診斷測試間隔，加上相關的安全機構的故障響應時間，比潛在故障相關的多點故障檢測時間間隔長，則認為故障不能被覆蓋。2FMEA或FTA3中列出的方法，應考慮。a1a1bb方法ISO26262-8的8--支持最終設計評估--使ASIL依賴于通過/8.4這項規(guī)定安全機制的安全相關的診斷覆蓋率應就剩余的故障和有關潛在故障評估適用ASIL（B，CD。分析硬件部分的故障率應由以下幾個方法確定：a、使用從工業(yè)界認可的工業(yè)數(shù)據源中得到的硬件故障率數(shù)據，例如，公認的業(yè)內人D，RIACFMD97MILHDBK338。ASIL（B，CISO26262-4:2011，7.4.4.2規(guī)定的“單點故障指BISO26262-4:2011，7.4.4.2規(guī)定的“潛在故障指B910集成硬件單元和測試硬件設計以驗證其符合適當?shù)腁SIL硬件安全要求。ISO26262的證據。ISO26262-4:2011，5.5.5中給出的項目集成和測試10中所列的方法FMEA來支持ISO16750ISO11452E115 軟件級產品開發(fā)啟其中軟件開發(fā)子階段及其支持過程（ISO26262-8ISO26262-9）是根據項目發(fā)展的程度ASILISO26262-2:2011，6.4.3.4進行，2中給出的參考模型。AB1的主題。例如MISRACMISRAACAGC作為編程語言C的編碼規(guī)范6 軟件安全需求規(guī)范擬 ISO26262-4:2011，7.4.17.4.5，應考慮以下因素：a）ISO26262-8:20116c）有關軟硬件接口規(guī)范;d）硬件設計規(guī)范的有關要求;e）時序約束如果ASILISO26262-9:20115ISO26262-4:201176.4.1證b）符合系統(tǒng)設計;c）7 軟件體系設23 1 b）軟件組件的動態(tài)設計方面1 12ASIL6ASILD）;ASILASIL ASI（A（BC7.4.13，5ISO26262-8:201188 軟件單元設計和實C，MISRAC89 軟件單元測9.4.3111210 軟件集成和測現(xiàn)同樣的方式和結果進行相互比較。11 軟件安全需求驗S675 生ECU。ISO26262-4,ISO26262-5ISO26262-6)ISO26262-8:2011,ISO26262-2:20116.4.9.4（如生產過程能力的證明。1:過程能力可以由周期性過程審核或執(zhí)行流程步驟的每個人周期性資格認證來證12控制對象的識別可以是車輛識別號碼或車輛級的控制措施生產號或零件號或控36 運行、服務（保養(yǎng)和維護）和關ISO26262-4,ISO26262-5ISO26262-6)解決這些問題,ISO26262-8:201114照ISO26262-8:2011S6 5 分布式開發(fā)接5ISO26262程和對目標應用程序覆蓋范圍的參數(shù)。注 注 ISO26262ASIL等級的能力。注令令令ISO26262-2:20116.4.9符合ISO26262于供應商報價依照ISO26262-2:20116.4.5障(見ISO26262-5),ISO26262-4ISO26262-6,DIAISO262628雙方應該考慮根據ISO26262-2:2011,5.4.2.7雙方(供應商或客戶)應達成一致履行符合ISO26262–4ISO26262-4)。這個需求適用于ASILD4.3。客戶應該執(zhí)行其他功能安全審計在供應商ISO26262-2:20116.4.94.3ASILB。功能安全評估應該進行。4.3ASILsCDISO26262-4.3ASILs(B),CD按照4.3ASILs(B),CDISO26262-2:20117.4.2.1影響。6 安全需求規(guī)范和管ISO262622性。為了支持安全需求管理，應該使用合適的安全需求管理工具。這一條款包括對安全要求的規(guī)范和管理要求（。ISO26262-6安全要求應當從ASILASILISO26262-9注：由于安全目標是頂級的安全要求，ASILs（見ISO26262-1:20111.108。二一)每個安全要求來源上層級別,三)規(guī)范的驗證按照9.4.2。ISO262627 配置管ISO/TS16949ISO10007一）質量管理體系的有關要求（ISO/TS16949二）ISO/IEC12207符合ISO26262-28 變更管ISO26262ISO26262令令令令ISO26262-2:2011，6.4.76.4.9，應更新，在項目發(fā)布之前。，9 驗-f)檢測到異常的操作，注：環(huán)境條件相關的物理環(huán)境(如溫度)是進行測試或模擬測試的一部分。1:當指定預期的行為，它可能需要指定初始輸出數(shù)據來檢測變化。2：為了避免冗余的規(guī)范和存儲的先決條件，用于各種條件的測試用例配置和環(huán)境，9.4.1.1c))和預期的驗證結果。10 文ISO26262ISO26262ISO26262a)標題,指的是內容的范圍,c)每個文檔不同版本(版本)的唯一標識,11 可信的軟件工ISO26262ISO26262ISO26262ISO26262,ISO26262令該軟件工具及其相應的錯誤的輸出可以引入故障的可能性或無法檢測到的與安全令ISO26262ISO26262-2:20111，軟b）1：用例可以描述用戶使用工具時軟件工具或軟件的應用的功能。2：用例可以包括用于軟件工具執(zhí)行時該工具的配置和環(huán)境的要求。ASIL，如果軟件工具出現(xiàn)ASILASIL1a)ISO26262（TI相應的錯誤輸出措施。這通過錯誤檢測類的工具(TD)來表示:心；3)TD32：TD3TD1TD1ISO262622TIISO26262TD23。45軟件工具的認證需求條款。信心增加須考慮軟件工具的有效版本。11.4.8SPICE,CMMI,ISO155044.3，本條款適用于ASILs(B)，C，D。使用的軟件工具的置信度應按照ISO26262-2:2011112 軟件組件證ISO2626212.4.3.2，12.4.3.3，12.4.3.4令在過載情況下的行為(魯棒性)。 ISO26262-6:201194.3ASILDISO26262-6:20119f)ASIL目標。如果有必要，應用額外的措施。13 硬件組件證ISO26262令令令ISO262621ISO16750,或與AEC-Q100AEC-Q200ISO26262–52asicISO26262-4ISO26262-5ISO26262-5成活動可以直接進行依據ISO26262–4ISO16750 ISO1675014 論證證ISO26262ISO2626214.4.3)14.4.2)，需要考慮兩個重14.4.4)。14.4.2-14.4.5ISO26262-2:20116.4.3.5ISO26262-4:20118100%的延滯與滿意的服務歷-2:20116.4.7能和性能特征ASILs14.4.43：備選環(huán)境的變更是由于備選使用在新的應用類型，具有不同的安全目標和需求，ISO26262-3:20116.4.2.14.4.4.3要素變更進入新的應用 項目變更，應遵守條款8。14.4.4.414.4.5現(xiàn)場數(shù)據分 4.4.5.1ASIL，ASILD。70%(使用卡方分布)。1:使用參數(shù)證明的目的,一個可觀測到意味著失敗的事件報告給制造商，造成候選注 注3 的置信度:4如果標本的收集數(shù)據中發(fā)現(xiàn)可觀測到的事件,必要的最低的服務期間，tservice 指平均失效時間(1/失敗率);70%(使用卡方分布)。14.4.5.2.5令停止使用表97ISO26262可檢索（ISO26262-7:2011,6.4.2.1。ISO26262-9面向汽車安全完整性等級(ASIL5 考慮ASI裁剪等級分解要從安全目標開始，安全要求在開發(fā)過程中會被分解和提煉。ASIL作為安全目標的一個ASILASIL如果這些架構要素不是足夠獨立的那么冗余的要求和架構要素繼承初始化的ASIL。 失效，ASILASIL ASILASIL分攤以確下是允許的（5.4.7。---在ASILISO26262-3:2011,8.5.1,orISO26262-4:2011,6.5.1,orISO26262-6.5.1orISO26262-6:2011,6.5.1;---在ASILISO26262-4:2011,7.5.2,或ISO26262-5:2011,7.5.1,或ISO26262-6:2011,---條款定義（見ISO26262-----安全目標（見ISO26262-如果應用ASIL ASIL 如果ASILａ）ASIL5.4.10；ASILD規(guī)范被分解到一個ASILC規(guī)范和一個ASILA，那么應當ASILC(D)”and“ASILA(D)ASILC(D)規(guī)范被進一步分解為一ASILBASILA，那么安全目標應當標記如下：“ASILB(D)”and“ASILASILsASILa）ASILDASILC(DASILA(DASILB(DASILB(DASILD(DQM(D)要求；b）一個ASILCASILC(CQM(C)要求；c）一個ASILBASILA(BASILA(BASILB(BQM(BFigure2—ASILdecompositionASILａiso26262-2:20116.4.7ASIL。部件是充分獨立的（7，或者每一個相關故障的確定原因根據安全目標的ASIL5.4.10（2）ASILDa）ISO26262-8:20116ASILC一致；注意：ASILC要求的更形式化的公式與ASILB比較，減少了系統(tǒng)故障和與ASILB(D)應用B）ISO26262-8ASILDISO26262-4ISO26262-6的ASIL（分解后，作為最小單元，ISO26262-5ASIL（分解后，6、要素共存標準 ASIL（ISO26262-4:2011，7.4.2.3。(seeISO26262-1:2011,definitions1.13and得到支持。(seeClause7ofthispartofISO26262). ISO26262-3:2011,8.5.1,or 26262-4:2011,6.5.1,or ,6.5.1,orISO26262-6:2011,6.5.1 ISO26262-4:2011,7.5.2,orISO26262-5:2011,7.5.1,or 6:2011,7.5.1 無ISO26262-4,orISO26262-5,orISO26262- ISO26262-4，ISO26262-5ISO26262-6在要素分析過程中下列信息應當被考慮A）分配給要素的每個安全要求和B）（I/O）（Otherwise,thissub-elementshallbeassignedthehighestASILofthecoexistingsafety-relatedsub-elementsforwhichevidenceoffrominterferenceisnotmadeASIL.7 關聯(lián)故障分 1：高密度的電磁場能引起不同電子設備的故障是一種公共故障原因。車速信息2：在檢測功能失效前的一點時間之前，一個檢測反常功能行為的監(jiān)測器能指示 ISO26262-3:2011,8.5.1,orISO26262-4:2011,6.5.1,or 5:2011,6.5.1,orISO26262-6:2011,6.5.1 ISO26262-3:2011,8.5.1,orISO26262-4:2011,6.5.1,or 5:2011,6.5.1,orISO26262-6:2011,6.5.1 ISO26262-4:2011,7.5.2,orISO26262-5:2011,7.5.1,or ,7.5.1 無12關聯(lián)故障的潛在可能性的認定是基于推論分析：cutsetsFTA3FMEA（ISO26262-5）,公共失效原因的權重評價是基于一個定性的基數(shù)，因為沒有通1