道路车辆功能安全 ISO 26262标准（5-1）—硬件级产品开发

写在前面

本系列文章主要讲解道路车辆功能安全ISO26262标准的相关知识，希望能帮助更多的同学认识和了解功能安全标准。

若有相关问题，欢迎评论沟通，共同进步。(*^▽^*)

---

1. 道路车辆功能安全ISO 26262标准

5. ISO 26262-5 硬件级产品开发

一、硬件级产品开发初始化

在硬件产品开发的启动阶段的目的是确定和规划在硬件开发的各个子阶段功能安全活动。规定的硬件安全活动计划包含在项目的安全计划中。

在硬件层面必要的活动和产品开发过程包括：

——技术安全概念的硬件实现

——潜在的硬件故障及影响分析

——与软件开发的协调

与软件开发子阶段相比，这部分的 ISO26262 包含两个条款描述项目的总体硬件结构定量评估。第 8 条款介绍了两个指标来评估该项目的硬件架构和实施安全机制的有效性来面向随机硬件故障。作为第 8 条的补充，，第 9 条描述了两种备选方案，以评估违反安全目标行为的残余风险是否足够低，或者通过使用一个全局性的概率方法或使用割集分析，研究确定违反安全目标的每个硬件元件故障的影响。

根据 ISO26262-2 的安全计划详细说明应包括，确定适当的方法和措施，硬件级别的产品开发活动是一致于在 ISO26262-6 中策划的活动。

项目硬件的开发过程包括方法和工具，与整个硬件开发的各个子阶段相一致，并与系统和软件子阶段相一致，使有关规定保持其在硬件开发过程中的准确性和一致性。

硬件开发的安全生命周期应符合 ISO26262 的规定。 硬件单元的复用，或合格硬件单元的使用应在安全活动中进行说明和确认。

二、硬件安全需求规范拟定

该条款的第一个目标是规定硬件安全需求，参考技术安全概念和系统安全规范。第二个目标是验证硬件安全需求与技术安全概念和系统安全规范一致。更进一步的目标是详细描述软硬件接口规范 HSI。

技术安全需求分配到软件和硬件，硬件安全需求进一步详细,考虑设计约束,这些设计约束在硬件上的影响。

硬件安全需求规范应该是硬件上的技术安全要求，应该包含如下内容：

1. 硬件安全需求和相关安全机制的属性来控制硬件单元的内部失效,这包括内部安全机制覆盖瞬态故障,例如,使用的技术。相关属性可以包括定时器和看门狗检测。

2. 硬件安全需求和相关安全机制的属性能够承受外部单元的失效。例如在 ECU 外部失效时，对 ECU 输入开路。

3. 硬件安全需求和相关安全机制的属性能够匹配别的单元的安全需求。

4. 硬件安全需求和相关安全机制的属性能够检测和指示内部和外部故障。

5. 硬件安全需求不指定安全机制 产品硬件的设计验证标准，包括环境条件（温度，振动，电磁干扰，等），具体的操作环境（电源电压，任务历程等）和特定组件的要求。

硬件安全要求应按照 ISO 26262-8:2011 条款 6 和 9 验证，具有以下属性：

1. 与技术安全概念 、系统设计规范、硬件设计规范一致。

2. 技术安全需求分配给硬件单元的完整性。

3. 与相关软件安全需求的一致性。

4. 正确性和精确性。

三、硬件设计

这一条款的第一个目标是根据系统设计规范和硬件安全需求设计硬件，第二个目标是验证设计。 硬件设计包括硬件架构设计和硬件详细设计，硬件架构设计应表示出所有硬件单元及彼此间的关系，硬件详细设计是指在电路原理图上的设计。

1. 硬件架构设计

硬件架构应实现硬件的安全要求，每个硬件单元应根据硬件安全要求实现最高的 ASIL。硬件安全要求和实