汽车安全完整性等级要求和设计实施流程

安全是汽车行业的质量特征

安全性是所有汽车制造商的关键设计考虑因素。现代汽车的复杂性正在上升，因此，它们包含数千个电子部件。因此，很难确保它们单独和集体都表现良好，以安全地提供所需的功能。目前部分或全自动驾驶汽车的发展及其持续发展，提高了以现代和有条不紊的策略解决安全问题的需求。

为了满足功能安全的需求，国际标准化组织 （ISO） 引入了道路车辆电气和/或电子系统功能安全的 ISO 26262 标准。ISO 61508 是对 IEC 26262 工业安全标准的改编，侧重于将风险降低到可接受的水平，管理和跟踪安全要求，并确保设计、验证、测试和验证中的标准化安全程序。

当安全对您的设计成功至关重要时，您可以依靠我们久经考验的经验来帮助您满足功能安全要求，同时最大限度地降低成本和开发时间。我们广泛的功能安全就绪和功能安全兼容DSC33数字信号控制器（DSC）产品组合提供集成的硬件安全功能、故障模式、影响和诊断分析（FMEDA）报告、安全手册和诊断软件库，以开发符合ISO 26262要求的安全关键型应用。在设计功能安全应用时，使用满足安全标准要求的开发工具可以使系统集成商更轻松地创建兼容的系统。

Microchip已获得TÜV南德意志集团的MPLAB® XC16 C编译器认证，符合ISO 26262功能安全标准，以帮助系统集成商在其应用中实施系统级功能安全，我们为MPLAB开发工具生态系统提供完整的认证包，以帮助认证开发工具链。

以下部分涉及 ISO 26262 中定义的标准术语。有关这些标准术语的定义，请参阅附录。

在开发安全关键型应用程序时，必须遵循标准规定的第1 项实施的逻辑流程图。完整的程序必须用于标准规定的车辆级别的项目（对整个车辆或大部分车辆）。以下是在项目级别必须遵循的实现流程中的关键步骤：

项目定义：正在开发的系统的描述

危害分析和风险评估（HARA）：定义物品用户可能遇到的所有危害和风险

安全目标：设计中解决危害的目标

要求：实现安全目标的一套高级功能要求、技术要求和详细的软硬件要求

安全机制：用于提高解决危害的技术要求性能的硬件和/或软件技术

流程图：

汽车安全完整性等级 （ASIL）

ASIL代表汽车安全完整性等级，是根据ISO 26262定义的风险分类方案。三个因素的组合决定了ASIL的要求。

严重程度：对人们生命造成损害的严重性或强度

暴露：车辆处于危险状态的概率的度量

可控性：衡量驾驶员控制危险情况的可能性

ASIL = 严重性×（暴露×可控性）

ASIL 级别（ASIL A、B、C 和 D）是根据 ISO 26262 标准定义的分配表分配的，其中每个类别下的 1 级为低，4 级为高，如下所示：

S3、E4 和 C3（三个参数的极端值）共同表示极其危险的条件。因此，被评估的组件被归类为 ASIL D，表示它需要尽可能高的安全预防措施。

脱离上下文的安全元素 （SEooC） 的定义和假设

为了管理用作系统/项目元素的微控制器等组件的安全要求，需要引入一个新概念，即脱离上下文的安全元件（SEooC）。在汽车领域，ISO 26262中定义的SEooC是在车辆中使用最初不是为该特定项目设计的组件的方法：

安全元件（例如微控制器）并非专门设计用于该商品

它在市场上有售（现成的）

它可以实现请求的功能

所描述的实现过程部分偏离了上面显示的实现流程的内容，因为涵盖的设计不是指项目，而是指元素。

假设规范：通常，考虑四组假设，然后根据特定元素进行定制。在某些应用环境中，微控制器可以假定为安全元件。以下是规格：

预期用途：描述 SEooC 的目标、设计原因以及如何使用

预期功能：描述 SEooC 的设计目的以及它应该做什么

使用上下文：描述如何在整个系统/项目中使用 SEooC 来执行所需的功能

外部接口：描述 SEooC 如何在硬件和软件方面与系统的其余部分进行交互

需求规范：上述假设允许定义 SEooC 必须符合的要求

开发：涉及SEooC的有效设计

验证：如果系统/项目设计在硬件设计期间包含 SEooC，则根据系统/项目硬件安全要求和设计规范验证 SEooC 假设

假设的第二次验证是在SEooC的集成和测试阶段进行的

微控制器作为安全系统 （SEooC）

以下是实施流程中的关键步骤：

在项目层面，还进行危害分析、风险评估和安全目标的定义。

功能安全手册提供了有关 FMEDA 报告中指定的故障检测方法的详细信息。它包括相关故障的说明以及用于检测系统故障的硬件功能，可用于开发诊断库。根据允许的不安全故障率，可以按如下所示评估风险级别：

及时失效 （FIT） 是一个单位，表示故障率以及每 109 小时发生的故障数。