iso26262中文-新

道路车辆功能安全道路车辆功能安全道路车辆功能安全道路车辆功能安全----ISO26262ISO26262ISO26262ISO26262 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 标准标准标准一一一一、、、、ISO26262ISO26262ISO26262ISO26262----1111适用范围和主要内容适用范围和主要内容适用范围和主要内容适用范围和主要内容........................................................................................................................................................4444二二二二、、、、ISO26262ISO26262ISO26262ISO26262----2222功能安全管理功能安全管理功能安全管理功能安全管理................................................................................................................................................................................5555三三三三、、、、ISO26262ISO26262ISO26262ISO26262----3333概念阶概念阶概念阶概念阶段段段段............................................................................................................................................................................................77771、项目定义.............................................................................................................................72、项目的安全生命周期.........................................................................................................83、项目的危险 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 和风险评估.............................................................................................84、功能安全概念...................................................................................................................11四四四四、、、、ISO26262ISO26262ISO26262ISO26262----4444系统级产品开发系统级产品开发系统级产品开发系统级产品开发............................................................................................................................................................141414141、系统级产品开发启动.......................................................................................................142、技术安全需求制定...........................................................................................................153、系统 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 ...........................................................................................................................164、项目集成和测试...............................................................................................................195、安全确认...........................................................................................................................256、功能安全评估.................................................................................................................267、产品发布.........................................................................................................................26五五五五、、、、ISO26262ISO26262ISO26262ISO26262----5555硬件级产品开发硬件级产品开发硬件级产品开发硬件级产品开发........................................................................................................................................................................272727271、硬件级产品开发初始化.............................................................................................272、硬件安全需求规范拟定.............................................................................................273、硬件设计.....................................................................................................................284、硬件体系指标评估.....................................................................................................305、随机硬件故障对安全目标影响评价.........................................................................316、硬件集成和测试.....................................................................................................32六六六六、、、、ISO26262ISO26262ISO26262ISO26262----6666软件级产品开发软件级产品开发软件级产品开发软件级产品开发........................................................................................................................................................................343434341、软件级产品开发启动.................................................................................................342、软件安全需求规范拟定.............................................................................................353、软件体系设计.............................................................................................................364、软件单元设计和实现.................................................................................................395、软件单元测试.............................................................................................................426、软件集成和测试.....................................................................................................447、软件安全需求验证.................................................................................................46七七七七、、、、ISO26262ISO26262ISO26262ISO26262----7777生产运行生产运行生产运行生产运行....................................................................................................................................................................................464646461、生产.............................................................................................................................462、运行、服务（保养和维护）和关闭.........................................................................48八八八八、、、、ISO26262ISO26262ISO26262ISO26262----8888支持过程支持过程支持过程支持过程........................................................................................................................................................................................494949491、分布式开发接口.........................................................................................................492、安全需求规范和管理.................................................................................................513、配置管理.....................................................................................................................534、变更管理.....................................................................................................................545、验证.............................................................................................................................556、文档.........................................................................................................................577、可信的软件工具.....................................................................................................588、软件组件证明.........................................................................................................629、硬件组件证明.........................................................................................................6410、论证证明.................................................................................................................67九九九九、、、、ISO26262ISO26262ISO26262ISO26262----9999面向汽车安全完整性等级面向汽车安全完整性等级面向汽车安全完整性等级面向汽车安全完整性等级(ASIL)(ASIL)(ASIL)(ASIL)和安全的分析和安全的分析和安全的分析和安全的分析........................................................................707070701、考虑ASIL裁剪等级分解要求....................................................................................702、要素共存标准.............................................................................................................733、关联故障分析.............................................................................................................744、安全分析.....................................................................................................................76十十十十、、、、IIIISO26262SO26262SO26262SO26262----10101010指南指南指南指南............................................................................................................................................................................................................78787878ISO26262ISO26262ISO26262ISO26262----1111适用范围和主要内容适用范围和主要内容适用范围和主要内容适用范围和主要内容ISO26262是IEC61508对E/E系统在道路车辆方面的功能安全要求的具体应用。它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。安全在将来的汽车研发中是关键要素之一，新的功能不仅用于辅助驾驶，也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。将来，这些功能的研发和集成必将加强安全系统研发过程的需求，同时，也为满足所有预期的安全目的提供证据。随着系统复杂性的提高，软件和机电设备的应用，来自系统失效和随机硬件失效的风险也日益增加，ISO26262，包括其导则，都为避免这些风险提供了可行性的要求和流程。系统安全可以从大量的安全措施中获得，包括各种技术的应用（如：机械，液压，气动，电力，电子，可编程电子元件）。尽管ISO26262是相关与E/E系统的，但它仍然提供了基于其他相关技术的安全相关系统的框架。ISO26262：-提供了汽车生命周期（管理，研发，生产，运行，服务，拆解）和生命周期中必要的改装活动。-提供了决定风险等级的具体风险评估方法（汽车安全综合等级，ASILs）-使用ASILs方法来确定获得可接受的残余风险的必要安全要求。-提供了确保获得足够的和可接受的安全等级的有效性和确定性措施。功能安全受研发过程（包括具体要求，设计，执行，整合，验证，有效性和配置），生产过程和服务流程以及管理流程的影响。安全事件总是和通常的功能和质量相关的研发活动及产品伴随在一起。ISO26262强调了研发活动和产品的安全相关方面。ISO26262主要用于安装在最大毛重不超过3.5吨的乘用车上的一个或多个E/E系统的安全相关系统。ISO26262唯一不适用于为残疾人设计的特殊目的车辆的E/E系统。系统研发早于ISO26262出版日期的，也不在标准的要求之内。ISO26262表述了由E/E安全相关系统，包括这些系统的互相影响，故障导致的可能的危险行为，不包括电击，火灾，热，辐射，有毒物质，可燃物质，反应物质，腐蚀性物质，能量释放及类似的危险，除非这些危险是由于E/E安全相关系统故障导致的。ISO26262对E/E系统的标称性能没有要求，对这些系统的功能性性能标准也没有什么要求（例如：主被动安全系统，刹车系统，ACC等）ISO26262主要包括以下几个部分：Part1：定义Part2：功能安全管理Part3：概念阶段Part4：产品研发：系统级Part5：产品研发：硬件级Part6：产品研发：软件级Part7：生产和操作Part8：支持过程Part9：基于ASIL和安全的分析Part10：ISO26262导则ISO26262-2功能安全管理ISO26262是IEC61508对E/E系统在道路车辆方面的功能安全要求的具体应用。它适用于所有提供安全相关功能的电力、电子和软件元素等组成的安全相关系统在整个生命周期内的所有活动。那么，为什么遵照ISO26262就能设计出符合功能安全要求的产品呢？ISO26262是通过什么方式来保证产品能够符合功能安全的要求的呢？下面我们就来具体看看ISO26262在产品研发上的具体思路。ISO26262系列标准分为10本，从ISO26262-1到ISO26262-10，分别从功能安全管理，概念，系统级研发，软硬件的研发，生产和操作等方面对产品的整个生命周期进行了规范和要求。从而使得产品在各个生命周期都比较完善的考虑了其安全功能。一个好的产品，要靠一整套好的管理体系来实现，并可靠的生产出来。ISO26262给出了一套这样的管理方法、流程、技术手段和验证方法，称之为安全管理生命周期，框架如下:图1项目安全生命周期那么各部分又有什么具体含义和措施呢？下面就来分别说明：1、项目定义：项目定义，是对所研发项目的一个描述，是安全生命周期的初始化任务，其包括了项目的功能，接口，环境条件，法规要求，危险等内容，也包括项目的其他相关功能，系统和组件决定的接口和边界条件等。2、安全生命周期的初始化基于项目定义，安全生命周期要对项目进行区分，确定是新产品研发，还是既有产品更改。如果是既有产品更改，影响分析的结果可以用来进行安全生命周期的拼接。3、危险分析和风险评估安全生命周期初始化之后，就要按照ISO26262-3的第七条款来进行危险分析和风险评估，危险分析和风险评估的流程要考虑暴露的可能性，可控性和严重性，以便确定项目的ASIL等级。接下来就是为每一个风险设立安全目标，并确定合适的ASIL等级。4、功能安全概念基于安全目标，功能安全概念就要考虑具体的基本架构。功能安全概念就是对定位到每个项目元素中的功能安全要求的具体化和细化。超出边界条件的系统和其他技术可以作为功能安全概念的一部分来考虑。对其他技术的应用和外部措施的要求不在ISO26262考虑的范围之内。5、系统级产品研发有了具体的功能安全概念之后，接下来就是按照ISO26262-4的系统级研发了。系统级研发的过程基于技术安全要求规范的V模型。左边的分支都是系统设计和测试，右边的分支是集成，验证，确认和功能安全评估。6、硬件级产品研发基于系统的设计规范，硬件级的产品研发要遵循ISO26262-5的要求。硬件研发流程应符合V模型概念左侧分支的硬件设计和硬件要求。硬件的集成和验证在右侧分支。7、软件级产品研发基于系统的设计规范，软件级的产品研发应遵循ISO26262-6的要求。软件研发流程应符合V模型概念中左侧分支的软件需求规范和软件设计架构设计的要求。软件安全需求中的软件集成和验证在右侧分支中。8、生产 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 和操作计划其包括：生产和操作计划，相关的需求规范，系统级产品研发的开始等。ISO26262-7的第5条款和第6条款给出了生产和操作的具体要求。9、产品发布产品发布是产品研发的最后一个子阶段，该项目也将完成，具体要求在ISO26262-4的第11条款中。10、产品的操作、服务和拆解产品的操作、服务和拆解应符合ISO26262-7的第5条款和第6条款中，对产品的生产、操作、服务和拆解的相关要求。11、可控性在危险分析和风险评估中，要考虑司机和处于危险中的其他人可以采取措施来控制危险情况的能力。如何提供对可控性的有效性证明不在ISO26262的范围之内。12、外部措施参考项目以外的，在项目定义中被描述的措施（参加ISO26262-3的第5条款），以便减小项目的危险结果。外部危险降低措施不但可以包括附加的车载设备，如：动态稳定控制器防爆轮胎等，也可以包括非车载装置，如：护栏，隧道消防系统等。这些外部措施在进行危险分析和风险评估的时候应该被考虑到，但如何为这些外部措施的有效性提供证明不在ISO26262的范围之内，除非是E/E设备。但要注意的是，没有明确安全例证的外部措施是不完整的。13、其他技术其他技术是指那些不在ISO26262范围之内的，不同于E/E技术的设备。如：机械和液压技术。这些都要在功能安全概念的规范中加以考虑或者在制定安全要求时加以考虑。通过以上这些具体的生命周期的各个阶段和标准中对每个阶段所必须考虑的措施、方法和具体技术的要求，将各个阶段的要求和如何满足要求的措施都进行逐一落实，这样才能设计出、制造出满足功能安全要求的安全产品。5.4.2安全文化7组织应建立，执行和维持一个持续改进的过程，基于在：1）从其他项目的安全生命周期执行过程中学习的经验的，包括现场经验；2）在以后的项目中的改进应用ISO26262-3概念阶段我们来具体看一下在概念阶段，ISO26262-3对于项目定义、安全生命周期初始化和危险分析和风险评估的定义和要求。5555、、、、项目定义项目定义项目定义项目定义首先是项目定义阶段。项目定义，也就是对要进行研发的产品进行一个定义，进行一个描述。主要有两个目的：一个是定义和描述项目；一个是对项目有一个足够的理解，以便能够很好的完成安全生命周期中定义的每一个活动。基于以上目的，要对项目进行明确、准确、正确的定义，就需要获得一些基本信息，ISO26262中给出了一些建议如下：1、项目信息：a）项目的目的和功能b）项目的非功能性要求，如操作要求、环境限制等c）法规要求（特别是法律和法规），已知的国家和国际标准等d）类似功能、系统或元素达到的行为e）对项目预期行为的构想f）已知的失效模式和风险在内的项目缺陷造成的潜在影响2、项目的边界条件以及相关项目之间的接口条件：a）项目的所有元素b）项目对其他项目或项目环境元素的相关影响c）其他项目，元素和环境对本项目的要求d）在系统或者包含的元素中，对功能的定位和分配e）影响项目功能时，项目的运行情况有了以上这些基本的信息，就可以对要进行的项目给出一个比较明确和具体的项目定义，明确项目的要求，从而使得对项目有一个足够的理解，能够指导后续工作，来很好的完成安全生命周期中定义的每一个活动。6666、、、、项目的安全生命周期项目的安全生命周期项目的安全生命周期项目的安全生命周期那么，有了项目定义之后，就要确定项目的安全生命周期，对项目的安全生命周期进行初始化，也就是开始对项目的安全生命周期进行细化。而要进行细化，就要区分是项目是新产品研发还是既有产品的改造。如果是全新的设备研发，则相关工作就得从安全生命周期的开始做起，项目定义之后就是项目危险分析和风险评估。如果是既有产品的改造，那么从项目定义开始的这些流程都可以使用一些既有的文件对整个过程进行定制。现有产品升级改造，就要注意以下一些问题：1．要做一个产品和使用环境的分析，以制定出预期更改，并评估这些更改产生的影响。a)对项目的更改包括设计更改和执行更改。设计更改应该是由需求规范、功能和性能的增加或者成本的优化所致，执行更改不能影响项目的规格和性能，但可以影响执行特征。执行更改可以由软故障更改，使用新的研发成果或生产工具所致。b)如果配置数据和校准数据的更改会影响到产品的行为，则更改须考虑这些数据。c)对产品环境的更改应该是由产品要使用的新的目标环境或由于其他相关产品或元素升级而引发。2．要表述清楚产品使用的前后条件的差别，包括：a)操作条件和操作模式b)环境接口c)安装特征，如：在车辆内部的位置，车辆的配置和变化等d)环境条件的范围，如：温度，海拔，湿度，震动，EMC和汽油标号等。3．要明确给出产品变更的描述以及影响的范围。如果不能明确产品的变更和对环境数据影响的改变，则相关影响的分析数据都要进行记录。4．影响到的服役产品，需要进行升级的，要进行逐一列出。5．定制的相关安全活动应符合各个应用生命周期阶段的要求，包括：a)定制应基于影响分析的结果。b)定制的结果应包括在符合ISO26262-2的安全计划中。c)影响到的产品须返工，包括确认计划和验证计划。确定了以上这些基本信息之后，对所要进行的产品研发或者设备更改工作就有了一个清晰明确的定义，对产品的预期使用功能、环境，以及与相关设备的接口也有了一个明确的定义，接下来就可以进行危险分析和风险评估了。7777、、、、项目的危险分析和风险评估项目的危险分析和风险评估项目的危险分析和风险评估项目的危险分析和风险评估在概念阶段，ISO26262-3给出了对危险分析和风险评估的要求。危险分析和风险评估的目的和之前的ISO13849,IEC62061等的标准一样，都是为了将设备存在的危险识别出来，并根据危险的程度按照一定的原则对其进行分类，从而针对不同的风险设定具体的安全目标，并最终减小或消除风险，避免未知风险的发生。也正是因为这样，危险分析、风险评估和ASIL等级的确定只是和避免风险有关的安全目标相关。通过对危险情况的系统评估，考虑引发危险的影响因素——伤害的严重性，暴露于危险中的可能性和危险的可控性，来确定安全目标和ASIL等级。而这三个指标都是针对产品的功能行为的，所以做危险分析和风险评估时，并不一定先要知道设计细节。无内部安全机制的项目应在危险分析和风险评估过程中进行评估，拟实施或在以前的项目中已经实施的安全机制不在危险分析和风险评估考虑。在一个项目中，提供充分独立的外部评估措施是非常有效的。例如，如果有足够独立的证据证明，电子稳定控制系统可以通过增加控制来减少在底盘系统的故障影响。此举的目的是证明要实施或已经实施的项目的安全机制成立为功能安全概念的一部分危险分析和风险评估的第一步是情形分析和危险识别，即通过相关的情况分析将产品存在的风险识别出来。这就要考虑可能引发危险的操作环境和操作模式，并且要考虑在正确使用时和可预见的误使用时的情况。基于这样的考虑，我们应该通过大量的技术来系统分析，注意以下一些方面：1.准备一个用来进行评估的操作情况清单2.系统的确定清单上的危险。主要可以通过诸如：头脑风暴，检查列表，历史记录，FMEA，产品矩阵，以及相关的领域研究等技术手段进行。3.风险应该用在车辆上可以被观察到的条件或影响来进行定义或描述4.在相关操作条件和操作模式下危险事件的影响应该被明确说明。如：车辆电源系统故障可能导致丧失引擎动力，丧失转向的电动助力以及前大灯照明。5.如果在风险识别中识别出的风险超出了ISO26262的要求范围，则需给出合适的相应措施。当然，超出ISO26262的风险可以不必分类分级。完成风险的识别之后，就要对这些风险进行适当的分级，以便设定相应的安全目标，并按照不同的风险等级来采取合理的措施加以避免。风险的分类主要是通过3个指标来考量，即：危险发生时导致的伤害的严重性、在操作条件下暴露于危险当中的可能性（危险所在工况的发生概率）、危险的可控性。首先，来看伤害的严重性。这里的伤害是指危险事件发生时，对所有被卷入事件中的人的伤害，包括车上的司机和乘客，骑自行车的人，行人，其他车辆上的人员。伤害的严重性可以分为4个等级，即：S0，S1，S2，S3（对于伤害严重性的详细描述可以参考ISO26262-3中附录B的内容，这里只做分级说明）。如下表：其次，来看在操作条件下暴露于危险中的可能性。可能性被分为5个等级，即：E0，E1，E2，E3，E4，具体分级见下表。至于暴露值是选E1还是选E2，主要看车辆在目标市场正常、合理的使用情况。这里要注意的是，评估暴露于危险中的可能性并不考虑在车上安装了多少个要评估的产品，且假设了所有的车上都安装了这个产品。对于那种认为不是每辆车都安装的产品，其相应的暴露在危险中的可能性会减小的说法也是错误的。这里，E0只用于在风险分析中一些建议性的情况，通常如果一个危险，人员暴露其中的可能性是E0级，则无需考虑ASIL等级。再次，来看可控性。即危险事件能被司机或者其他交通参与人员进行控制并减小或者避免伤害的可能性。在ISO26262中，可控性被分为4个等级，即：C0，C1，C2，C3。但要注意，使用这个分级的条件是司机处于正常状态，即：不疲劳，有驾照，按照交通规则行驶，当然，其中要考虑可预见的误操作和误使用。四个级别为：其中，C0通常用于不影响车辆安全操作的情况。如果一个危险的可控性被评为C0，则对其没有ASIL要求。由此，根据以上的三个参数，即可确定风险分析中每个风险相应的ASIL等级（汽车安全完整性等级），具体确定方法如下表：ASIL等级分为A、B、C、D四个等级，ASILA是最低的安全等级，ASILD是最高的安全等级。除了这四个等级QM表示与安全无关。在风险分析过程中，要确保对每个危险事件，根据S、E、C和具体的操作条件和模式确定的ASIL等级不低于其安全目标的要求。同时，相似的安全目标也可以合并为一个安全目标，但要达到的ASIL等级应该是合并项目中最高的。如果安全目标可以被分解到具体的状态中，那么每个安全目标也要转换成达到安全目标的具体安全状态下的具体要求。安全目标及其属性（ASIL）应按照ISO26262-8:2011，第6条款规定。要注意的是，危险分析、风险评估和安全目标都要进行审核，以保证对条件和危险分析完整，符合项目定义，并与相关的危险分析和风险评估一致。由此，完成概念阶段的危险分析和风险评估，形成减少和防止危险发生的安全目标，并通过验证审核。8、功能安全概念做完危险分析和风险评估之后，在概念阶段，ISO26262-3还给出了功能安全概念这个阶段。其主要目的是通过前面的危险分析和风险评估之后得出的安全目标来确定具体的功能安全要求，并将它们分配到初步的设计架构，或者外部减少危险的措施当中去，以确保满足相关的功能安全要求。为了符合功能安全目标，功能安全概念给出了一些基本的安全机制和安全措施，以便于功能安全要求被很好的分配到系统架构的元素中去。这些主要的机制和措施如下：-故障 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 和失效缓解措施-安全状态转换-故障容错机制。即：故障不会直接导致违背安全目标，或者保持系统出于安全状态（降级或者没有降级）-故障检测和为了将暴露时间减小到可接受的程度的司机警示装置-逻辑仲裁：不同功能触发的多任务请求应该通过逻辑仲裁来选择最合适的控制基于以上这些机制和措施，再根据之前的项目定义、危险分析和风险评估、安全目标的设定，以及考虑来自外部的一些预想架构、功能、操作模式及系统状态等，就可以开始考虑将功能安全要求进行适当的分配，指定ASIL等级，并将其合理的分配到子系统当中了。安全目标和功能安全要求的层次结构如下表所示：图安全目标和功能安全要求的层次结构图安全要求结构在功能安全概念中，ISO26262从功能安全要求的来源和功能安全的分配两个方面给出了一些建议和要求，具体如下：1.功能安全要求的来源：a)功能安全要求应该从安全目标和安全状态来获得，并考虑预想架构、功能概念、操作模式和系统状态等。b)要为每个安全目标设定至少一个功能安全要求。c)每个功能安全要求都要考虑以下内容：i.操作模式ii.故障容错时间间隔iii.安全状态，过渡到安全状态是否符合设备要求iv.急停操作间隔v.功能冗余这项活动可以通过安全分析（如FMEA，FTA，HAZOP），以制定一套完整有效的功能性安全要求的支持。d)警示和降级e)如果安全状态不能通过立即关闭来达到，则需指定一个紧急操作。i.这些动作应该在功能安全概念中详细描述ii.驾驶员或者陷入危险中的人可以使用的手段或者控制要在功能安全概念中详细描述2.功能安全要求的分配：a)研发安全架构概念b)功能安全要求分配i.功能安全要求的分配应该基于项目预想架构的元素进行。ii.分配过程中，ASIL和功能安全要求考虑的内容信息都要继续传承。iii.如果多个功能安全要求被分配到同一个架构元素，则这个架构元素应以这些功能安全要求的最高ASIL等级进行研发。iv.如果项目由超过一个的系统组成，则对于每个独立系统和他们的接口的功能安全要求都要从考虑预想系统架构的功能安全要求中获得，而这些功能安全要求也都要被分配到系统中去。v.如果ASIL等级需要被拆解，则要符合ISO26262-9第五条款的要求。vi.如果安全要求被分配到其他技术的元素中，则无需考虑ASIL等级。c)如果功能安全概念依赖于其他技术的元素，则应考虑以下环节：i.靠其他技术执行的功能安全要求应该从其相应的元素中获得并分配到元素中去。ii.明确与其他技术的接口的相关功能安全要求。iii.有其他技术执行的功能安全要求要确保有具体的措施。d)依赖于外部风险降低措施的功能安全概念应满足如下要求：i.应用于外面风险降低措施的功能安全要求应该从相应的外部风险降低措施中获得并分配到其中去。ii.明确与外部风险降低措施的接口的功能安全要求iii.如果外部风险降低措施由E/E系统构成，则功能安全要求可以用ISO26262来进行评估。iv.必须确保由外部风险降低措施执行的功能安全要求的正确执行。e)功能安全概念应该按照ISO26262-8第九条款的要求来验证与安全目标的一致性和符合性。f)项目安全确认的原则应该详细的写在功能安全概念中。g)功能安全要求的审核应该阐明功能安全要求符合安全目标。由此，按照流程完成以上的这些分析和审核之后，即完成了功能安全概念的阶段，最终会形成功能安全概念的结果，和通过审核的功能安全要求。附录A概念阶段概述附录B危险分析和风险评估给出了危险分析和风险评估的一般解释对于这种分析方法，风险（R）可在危险事件被描述为一个函数（F），与危险事件的发生频率（f），即通过的人的及时反应避免特定的伤害或损害能力，损害或损伤的可控性（C），以及潜在的严重程度（S）有关。R=F(f,C,S)发生的频率f有以下几个因素确定，一个需要考虑的因素是危险事件的频繁度和在危险事件涉及的人数。在ISO26262中，这个的度量是简化成暴露于危险中的可能性（E）。另一个因素是，有可能导致危险事件（故障率，λ）的产品故障率，故障率的特点是硬件随机故障和系统性故障：f=E.λ危险分析和风险评估用来设置功能安全要求，这样项目风险是可以避免的。ASILs等级导出的危害分析和风险评估确定出项目的功能安全要求最小集合。ISO26262-4系统级产品开发5、系统级产品开发启动系统级产品开发启动的目标是确定和规划在系统开发各个子阶段的功能安全活动。这部分内容在ISO26262-8中也有描述。系统级安全活动包含在安全计划中。系统开发的必要活动如下图所示，产品开发启动和技术安全需求说明之后是系统设计。在系统设计过程中，系统体系结构建立以后，技术安全要求被分配到的硬件和软件部分，如果合适的话，分配到其它技术。从系统架构所增加产生的需求，包括硬件，软件接口（HSI），对技术安全要求进行细化，依据体系结构的复杂性，对子系统的需求依次地导出。之后，硬件和软件部分进行集成和测试，然后进行装车测试。一旦到装车测试的水平，执行安全确认，以提供达到安全目标的功能安全证据。系统级产品开发启动的安全活动是计划设计和集成过程中适当的方法和措施。6、技术安全需求制定这个阶段的第一个目标是规范技术安全需求。该技术安全需求说明细化了功能安全的概念，同时考虑功能性的概念和初步的体系架构。第二个目标是通过分析技术安全需要来验证符合功能安全需求。在整个开发生命周期，技术安全需求是要落实功能安全概念的技术要求，其用意是从细节的单级功能安全要求到系统级的安全技术要求。技术安全需求规范技术安全需求规范技术安全需求规范技术安全需求规范技术安全需求应符合功能安全的概念，项目的初步架构和系统相关属性：1、外部接口，如通信和用户界面;2、限制，例如环境条件或功能限制;3、系统配置要求。如果其他功能或要求由系统或其部件来实现，除了技术安全需求规范规定的那些功能，那么其他要求应作为他们的规范或做参考。其它要求比如：经济委员会（欧洲经委会）的规则，联邦机动车辆安全标准（FMVSS）或公司的平台战略。技术安全需求须指明安全相关的依赖关系，系统之间或项目之间，项目与其他系统之间。安全机制安全机制安全机制安全机制技术安全需求应指定系统或要素达到安全目标的影响因素，包括每个相关的工作模式和系统定义的状态的失效和相关因素的组合。比如，如果车辆稳定性控制的制动系统是不可用的，自适应巡航控制系统（ACC）ECU禁用ACC功能。技术安全需求规定的必须的安全机制包括：1、系统本身的检测，指示和故障控制措施，包括系统或元件来检测随机硬件故障，检测系统故障的自我监控措施，包括检测和控制通信信道失效模式的措施（例如，数据接口，通信总线，无线射频链路）。2、检测，指示和与该系统交互的外部设备的故障控制的措施，比如，外部设备包括其它电子控制单元，电源或通信设备。3、使系统达到或维持安全状态的措施。这包括在相互冲突的安全机制的情况下优先级和仲裁逻辑情况。4、细化和实现警告和降级概念的措施5、防止故障被隐藏的措施为使项目达到或维持一个安全状态的安全机制应规定：1、安全状态的切换2、容错的时间间隔3、如果安全状态不能立即达到，应确定应急操作的时间间隔4、维持安全状态的措施ASILASILASILASIL分解分解分解分解按照ISO26262-9:2011，第5条款潜在故障的避免潜在故障的避免潜在故障的避免潜在故障的避免制定安全机制以防止故障被隐藏。关于随机故障，只有多点故障有可能包含潜在故障，比如，在线测试，在不同的操作模式如上电，掉电，在运行时或在额外的测试模式下，来检测潜在故障，以验证组件状态的安全机制。阀门，继电器或指示灯功能测试是这样的在线测试的例子。识别防止故障被潜伏的安全措施的评估标准来自于良好的工程实践。潜在故障的度量，在ISO26262-5:2011，第8条款给出，提供评价标准。适用于ASIL的技术安全需求应避免多点故障失效，确定多点故障检测间隔时，应考虑以下因素：1、根据硬件的可靠性考虑它在体系中的角色2、相应的危险事件曝光的概率3、由违反安全目标的硬件随机失效概率规定量化目标值4、分配的ASIL等级对应的安全目标下列采取的措施依赖于时间限制：-定期测试运行期间，系统或元件;-在上电或掉电时在线测试元件;-维护期间测试系统或元件。防止双点故障被潜伏的安全机制的开发应符合：产品产品产品产品、、、、运行运行运行运行、、、、维护和结束维护和结束维护和结束维护和结束在生产，经营，维护，维修和关闭的项目或元件的功能安全性的技术安全要求在ISO26262-7中规定。检验和确认检验和确认检验和确认检验和确认技术安全要求应按照ISO26262-8:2011，第9条，进行验证：a）符合的功能安全概念，b）遵守初步体系设计。项目的安全确认标准应根据技术安全细化要求。7777、、、、系统设计系统设计系统设计系统设计这个阶段的第一个目标是进行系统设计、开发符合项目技术安全需求规范的功能要求。第二个目标是校验系统设计和功能要求。系统设计和基于项目技术安全需求规范的技术安全概念来源于功能安全概念。为了开发一个系统架构设计，功能性安全要求，技术安全要求和非安全相关的要求被完成。因此，在这个阶段安全和非安全相关的要求都在这个过程中处理。系统设计规范和技术安全概念系统设计规范和技术安全概念系统设计规范和技术安全概念系统设计规范和技术安全概念技术安全要求的应分配给系统设计要素，同时系统设计应完成技术安全要求，关于技术安全要求的实现，在系统设计中应考虑如下问题：1、系统设计的可验证性2、软件硬件的技术实现性3、系统集成中的执行测试能力系统架构设计约束系统架构设计约束系统架构设计约束系统架构设计约束系统和子系统架构应该满足各自ASIL等级的技术安全需求，每个元素应实现最高的ASIL技术安全需求，如果一个系统包含的子系统有不同的ASIL等级，或者是安全相关的子系统和非安全相关的子系统，那么这些系统应该以最高的ASIL等级来处理。安全相关的内部和外部接口应该被定义，避免其他因素影响安全相关的接口。系统失效的避免措施系统失效的避免措施系统失效的避免措施系统失效的避免措施在系统设计安全分析，根据下表和ISO26262-9:2011，第8条款，找出系统故障的原因和系统故障的影响。这些分析的目的是协助设计。因此，在这个阶段，定性分析很可能是足够的，在需要时可以执行定量分析。这些分析从细节的角度来识别、确定和排除系统故障的原因和影响。从内因和外因进行系统性故障识别来消除或缓解其影响。为了减少系统故障，应采用良好的值得信赖的汽车系统的设计原则。这些包括以下内容：1、可重用、可靠的技术安全概念2、可重用、可靠的软件、硬件设计单元3、可重用、可靠的检测控制故障机制4、可重用、可靠的标准化接口为了确保可靠的设计原则在新的项目单元的适宜性，重用之前应进行影响分析和潜在的假设条件。影响分析包括所确定的诊断，环境的约束和可行性限制，时间限制，所确定的资源的兼容性，并且在系统设计的鲁棒性。ASILD规定：可靠的设计原则不再重用应该是有一定理由的。ASILA、B、C、D规定：为避免高复杂性带来的故障，架构设计应该根据表2中的原则来展现下列的属性：模块化，层次化，简单化运行过程中随机硬件失效的控制措施运行过程中随机硬件失效的控制措施运行过程中随机硬件失效的控制措施运行过程中随机硬件失效的控制措施检测、控制、减轻随机硬件故障的措施在系统设计规范和技术安全概念中给出。例如，硬件诊断功能及其软件这些措施可以用来检测随机硬件故障，直接导致随机硬件故障的情况下硬件设计即使没有检测也是失败的。ASIL（B）C、D规定要求：对于单点故障和潜点故障的目标值（见ISO26262-5:2011，第8条款），应在项目级指定最终评估（见要求9.4.3.4）。ASIL（B）C、D规定要求：由于随机硬件故障违反安全目标的评价应该作为替代方法之一（见ISO26262-5:2011，第9条款）目标值应在项目级别中指定为最终评估（见9.4.3.4）。ASIL（B）C、D规定要求：对于故障率和诊断覆盖率的目标值应在在单元级中指定以满足下列要求：a)ISO26262-5:2011,第8条款中的目标值矩阵；b)ISO26262-5:2011,第9条款的流程.ASIL（B）C、D规定要求：分布式发展（见ISO26262-8:2011，第5条款），派生目标值应送交各相关方。在ISO26262-5:2011第8和9条款描述中的架构限制，不能直接适用于检测设备（COTS）零部件。这是因为供货商通常不能预见在最终产品其产品的使用和潜在的安全问题。在这种情况下，基本数据，如故障率，故障模式，每故障模式下的故障率分配，内置诊断等都是为了让零部件供应商估算在整体硬件架构层的架构限制。硬件和软件配置硬件和软件配置硬件和软件配置硬件和软件配置技术安全要求，应直接或通过进一步细化到硬件，软件或两者兼有。如果技术安全要求被分配到定制的硬件单元包括可编程的行为充足的开发过程（诸如ASIC，FPGA或其他形式的数字硬件）有足够的发展，应结合ISO26262-5和ISO26262-6的要求，来制定和实施。遵照分配的硬件单元的安全性要求可以依据ISO26262-8:2011，第13条款。系统的设计应符合分配和分区决策，为了实现独立，避免故障的传播，系统设计时可实现的功能和组件的划分。硬件和软件接口规范硬件和软件接口规范硬件和软件接口规范硬件和软件接口规范（（（（HSIHSIHSIHSI））））软硬件接口规范应规定的硬件和软件的交互，并与技术安全的概念是一致的，应包括组件的硬件设备，是由软件和硬件资源控制支持软件运行的。软硬件接口规范应包括下面属性：1、硬件设备的工作模式和相关的配置参数，硬件设备的操作模式，如：缺省模式，初始化，测试或高级模式，配置参数，如：增益控制，带通频率或时钟分频器。2、确保单元之间的独立性和支持软件分区的硬件特性3、共享和专用硬件资源，如内存映射，寄存器，定时器，中断，I/O端口的分配。4、硬件设备的获取机制，如串口，并口，从，主/从5、每个涉及技术安全概念的时序约束硬件和其使用的软件的相关诊断功能应在软硬件接口规范中规定