功能安全(ISO 26262)入门:汽车电子系统安全标准¶
概述¶
ISO 26262是国际标准化组织(ISO)制定的汽车电子电气系统功能安全标准,是汽车行业最重要的安全标准之一。完成本文学习后,你将能够:
- 理解功能安全的基本概念和ISO 26262标准的产生背景
- 掌握ASIL(汽车安全完整性等级)的分类和确定方法
- 了解功能安全开发的V模型和安全生命周期
- 熟悉危害分析与风险评估(HARA)方法
- 理解安全机制和诊断覆盖率的概念
- 掌握功能安全认证的基本要求和流程
- 了解ISO 26262在实际项目中的应用
背景知识¶
什么是功能安全?¶
功能安全(Functional Safety) 是指通过检测潜在的危险故障并采取适当的措施,使系统在故障发生时仍能保持安全状态或进入安全状态的能力。
核心理念: - 故障不可避免:任何电子系统都可能发生故障 - 可接受风险:将风险降低到可接受的水平 - 系统性方法:通过系统化的开发流程保证安全 - 全生命周期:覆盖从概念到报废的整个生命周期
功能安全 vs 其他安全概念:
| 安全类型 | 关注点 | 示例 |
|---|---|---|
| 功能安全 | 电子系统故障导致的危害 | 制动系统ECU故障 |
| 信息安全 | 恶意攻击和数据泄露 | 车辆被黑客入侵 |
| 被动安全 | 事故发生后的保护 | 安全气囊、安全带 |
| 主动安全 | 事故预防 | ABS、ESP、ADAS |
为什么需要ISO 26262?¶
汽车电子化带来的挑战:
- 复杂度急剧增加:现代汽车包含数百个ECU和上亿行代码
- 安全关键功能增多:线控转向、线控制动、自动驾驶等
- 故障影响扩大:单个ECU故障可能影响整车安全
- 软件缺陷难以发现:传统测试方法难以覆盖所有场景
标准发展历程:
1998年:IEC 61508(通用功能安全标准)发布
2005年:ISO 26262项目启动
2011年:ISO 26262第一版发布
2018年:ISO 26262第二版发布(增加半导体、摩托车、卡车等)
ISO 26262的意义: - 提供统一的功能安全开发方法 - 明确各方的安全责任 - 促进供应链协作 - 提高产品安全性和可靠性 - 满足法规和市场要求
第一部分:ISO 26262标准结构¶
1.1 标准组成¶
ISO 26262标准共分为12个部分:
Part 1: 词汇表 - 定义标准中使用的术语和概念
Part 2: 功能安全管理 - 组织层面的安全管理 - 安全文化建设 - 能力管理
Part 3: 概念阶段 - 项目定义 - 危害分析与风险评估(HARA) - 功能安全概念
Part 4: 产品开发:系统层面 - 技术安全概念 - 系统设计 - 系统集成与测试
Part 5: 产品开发:硬件层面 - 硬件设计 - 硬件架构度量 - 硬件安全分析 - 硬件集成与测试
Part 6: 产品开发:软件层面 - 软件安全需求 - 软件架构设计 - 软件单元设计与实现 - 软件集成与测试
Part 7: 生产、运行、服务和报废 - 生产阶段的安全要求 - 运行和维护 - 报废处理
Part 8: 支持过程 - 配置管理 - 变更管理 - 验证 - 文档管理 - 质量保证
Part 9: 以ASIL为导向和以安全为导向的分析 - 依赖失效分析(DFA) - 失效模式与影响分析(FMEA) - 故障树分析(FTA)
Part 10: 指南 - 标准应用指南 - 最佳实践
Part 11: 半导体应用指南 - 芯片级功能安全要求
Part 12: 摩托车应用指南 - 摩托车特定要求
1.2 安全生命周期¶
V模型开发流程:
概念阶段 生产/运行
↓ ↑
项目定义 ────────────────────────────────→ 发布与生产
↓ ↑
HARA ──────────────────────────────────→ 验证与确认
↓ ↑
功能安全概念 ────────────────────────────→ 车辆集成测试
↓ ↑
技术安全概念 ────────────────────────────→ 系统集成测试
↓ ↑
系统设计 ──────────────────────────────→ 系统测试
↓ ↑ ↑
硬件设计 软件架构设计 ──────────→ 软件集成测试
↓ ↓ ↑
硬件实现 软件单元设计 ──────────→ 软件单元测试
↓ ↓
硬件测试 软件实现
各阶段关键活动:
- 概念阶段:识别危害,确定安全目标
- 系统开发:制定技术安全概念,设计系统架构
- 硬件开发:实现硬件安全机制
- 软件开发:实现软件安全功能
- 集成测试:验证安全需求
- 生产运行:确保生产质量,监控现场表现
第二部分:ASIL等级¶
2.1 什么是ASIL?¶
ASIL(Automotive Safety Integrity Level,汽车安全完整性等级) 是ISO 26262中用于表示安全需求严格程度的分级体系。
ASIL等级分类:
| 等级 | 说明 | 典型应用 |
|---|---|---|
| QM | Quality Management(质量管理) 无特殊安全要求 |
娱乐系统、车窗控制 |
| ASIL A | 最低安全等级 | 尾灯控制 |
| ASIL B | 低安全等级 | 转向灯控制 |
| ASIL C | 中等安全等级 | 巡航控制系统 |
| ASIL D | 最高安全等级 | 制动系统、转向系统、安全气囊 |
ASIL等级越高,要求越严格: - 更严格的开发流程 - 更全面的安全分析 - 更高的诊断覆盖率 - 更完善的测试验证 - 更详细的文档记录
2.2 ASIL等级确定方法¶
ASIL等级通过**危害分析与风险评估(HARA)**确定,考虑三个因素:
1. 严重度(Severity - S):危害可能造成的伤害程度
| 等级 | 描述 | 示例 |
|---|---|---|
| S0 | 无伤害 | 无人员伤害 |
| S1 | 轻伤 | 轻微伤害 |
| S2 | 重伤(可存活) | 严重但可存活的伤害 |
| S3 | 危及生命(可能致命) | 危及生命的伤害或死亡 |
2. 暴露度(Exposure - E):车辆处于危险运行状态的概率
| 等级 | 描述 | 运行时间占比 |
|---|---|---|
| E0 | 极不可能 | < 0.1% |
| E1 | 很低概率 | < 1% |
| E2 | 低概率 | < 10% |
| E3 | 中等概率 | < 33% |
| E4 | 高概率 | > 33% |
3. 可控性(Controllability - C):驾驶员或其他道路使用者避免伤害的能力
| 等级 | 描述 | 可控程度 |
|---|---|---|
| C0 | 一般可控 | 99%以上的驾驶员能够控制 |
| C1 | 简单可控 | 90%以上的驾驶员能够控制 |
| C2 | 通常可控 | 90%以上的驾驶员能够控制(需要一定技能) |
| C3 | 难以控制或不可控 | 少于90%的驾驶员能够控制 |
ASIL等级确定表:
根据 S、E、C 的组合确定ASIL等级:
S3 + E4 + C3 = ASIL D (最高风险)
S3 + E4 + C2 = ASIL D
S3 + E4 + C1 = ASIL C
S3 + E3 + C3 = ASIL D
S3 + E3 + C2 = ASIL C
S3 + E3 + C1 = ASIL B
S2 + E4 + C3 = ASIL C
S2 + E4 + C2 = ASIL B
S1 + E4 + C3 = ASIL B
S1 + E4 + C2 = ASIL A
...
(完整表格参见ISO 26262标准)
2.3 ASIL分解¶
**ASIL分解**允许将高ASIL等级的安全需求分解为多个较低ASIL等级的需求,通过冗余设计实现。
分解规则示例:
ASIL D 可以分解为:
- ASIL D(D) = ASIL B(D) + ASIL B(D)
- ASIL D(D) = ASIL C(D) + ASIL A(D)
- ASIL D(D) = ASIL D(D) + QM(D)
其中 (D) 表示独立性要求
分解的好处: - 降低单个组件的开发成本 - 利用现有的低ASIL组件 - 提高系统灵活性 - 便于供应链管理
分解的要求: - 必须保证独立性(避免共因失效) - 需要充分的理由和分析 - 必须在安全概念中明确说明
第三部分:危害分析与风险评估(HARA)¶
3.1 HARA流程¶
HARA的目标: - 识别和分类车辆层面的危害 - 评估相关风险 - 确定安全目标和ASIL等级
HARA流程步骤:
3.2 HARA示例:电动助力转向系统(EPS)¶
步骤1:项目定义 - 项目:电动助力转向系统 - 功能:根据驾驶员输入和车速提供转向助力 - 边界:包括ECU、电机、传感器、通信接口
步骤2:情境分析
| 情境ID | 驾驶情境 | 道路条件 | 环境条件 | 车速 |
|---|---|---|---|---|
| SC-1 | 高速公路行驶 | 干燥直道 | 白天晴天 | >100 km/h |
| SC-2 | 城市道路行驶 | 湿滑弯道 | 夜间雨天 | 30-60 km/h |
| SC-3 | 停车场泊车 | 平坦路面 | 白天 | <10 km/h |
步骤3:危害识别
| 危害ID | 危害描述 | 故障模式 |
|---|---|---|
| H-1 | 转向助力意外丧失 | EPS系统完全失效 |
| H-2 | 转向助力过大 | 电机输出过大扭矩 |
| H-3 | 转向助力方向错误 | 传感器信号错误 |
| H-4 | 转向助力响应延迟 | ECU处理延迟 |
步骤4:危害分类(以H-1为例)
危害H-1:转向助力意外丧失
在情境SC-1(高速公路行驶)下: - 严重度(S):S3(危及生命) - 理由:高速下突然失去助力,驾驶员难以控制车辆,可能导致严重事故 - 暴露度(E):E4(高概率) - 理由:高速公路行驶是常见场景,占比>33% - 可控性(C):C3(难以控制) - 理由:高速下突然失去助力,大多数驾驶员难以及时应对
ASIL确定:S3 + E4 + C3 = ASIL D
步骤5:定义安全目标
| 安全目标ID | 安全目标描述 | ASIL | 安全状态 |
|---|---|---|---|
| SG-1 | 防止转向助力意外丧失 | ASIL D | 保持当前助力或降级助力 |
| SG-2 | 防止转向助力过大 | ASIL C | 限制最大助力扭矩 |
| SG-3 | 防止转向助力方向错误 | ASIL D | 停止助力或进入安全状态 |
3.3 HARA工作表模板¶
项目名称:_________________
项目版本:_________________
日期:_____________________
危害分析表:
| 危害ID | 危害描述 | 情境 | S | E | C | ASIL | 安全目标 | 备注 |
|--------|----------|------|---|---|---|------|----------|------|
| H-1 | | | | | | | | |
| H-2 | | | | | | | | |
| ... | | | | | | | | |
审核人:_________________
批准人:_________________
第四部分:功能安全概念与技术安全概念¶
4.1 功能安全概念(FSC)¶
**功能安全概念**是对安全目标的细化,定义了车辆层面的安全需求。
FSC的内容: - 功能安全需求(FSR) - 安全机制 - 警告和降级策略 - 外部措施(如驾驶员培训)
FSC示例:EPS系统
安全目标SG-1:防止转向助力意外丧失(ASIL D)
功能安全需求:
- FSR-1.1:系统应持续监控电机状态(ASIL D)
- FSR-1.2:系统应持续监控传感器信号(ASIL D)
- FSR-1.3:检测到故障时,系统应在100ms内进入安全状态(ASIL D)
- FSR-1.4:系统应向驾驶员发出警告(ASIL B)
安全机制: - 双通道传感器冗余 - 电机电流监控 - ECU自诊断(看门狗、内存测试) - 故障存储和报警
4.2 技术安全概念(TSC)¶
**技术安全概念**将功能安全需求分配到系统架构的各个元素。
TSC的内容: - 技术安全需求(TSR) - 系统架构设计 - 安全机制的实现方式 - 硬件-软件接口定义
TSC示例:EPS系统架构
┌─────────────────────────────────────────────────┐
│ EPS ECU (ASIL D) │
│ │
│ ┌──────────────┐ ┌──────────────┐ │
│ │ 主控制器 │ │ 监控控制器 │ │
│ │ (ASIL D) │◄──────►│ (ASIL D) │ │
│ │ │ │ │ │
│ │ - 转向控制 │ │ - 故障监控 │ │
│ │ - 助力计算 │ │ - 诊断功能 │ │
│ └──────┬───────┘ └──────┬───────┘ │
│ │ │ │
│ ↓ ↓ │
│ ┌──────────────┐ ┌──────────────┐ │
│ │ 电机驱动 │ │ 看门狗 │ │
│ │ (ASIL D) │ │ (ASIL D) │ │
│ └──────┬───────┘ └──────────────┘ │
└─────────┼──────────────────────────────────────┘
│
↓
┌──────────┐
│ 电机 │
│ (ASIL D) │
└──────────┘
↑
┌──────────┐
│ 传感器 │
│ (ASIL D) │
└──────────┘
技术安全需求示例:
| TSR ID | 需求描述 | ASIL | 分配 |
|---|---|---|---|
| TSR-1 | 主控制器应每10ms计算助力扭矩 | ASIL D | 主控制器软件 |
| TSR-2 | 监控控制器应独立验证主控制器输出 | ASIL D | 监控控制器软件 |
| TSR-3 | 电机驱动应限制最大电流 | ASIL D | 电机驱动硬件 |
| TSR-4 | 看门狗应在50ms内检测到ECU失效 | ASIL D | 看门狗硬件 |
第五部分:安全机制与诊断¶
5.1 安全机制类型¶
**安全机制**是用于检测或控制故障的技术解决方案。
常见安全机制分类:
1. 故障检测机制
- 冗余检查:双通道、三通道冗余
- 范围检查:检查数值是否在合理范围内
- 时序检查:检查信号是否按时到达
- CRC校验:检查数据传输错误
- 看门狗:检测程序执行异常
2. 故障处理机制 - 安全状态:进入预定义的安全状态 - 降级运行:以降低的性能继续运行 - 故障隔离:隔离故障组件 - 故障通知:向驾驶员或其他系统报警
3. 故障预防机制 - 多样性设计:使用不同的实现方式 - 独立性设计:避免共因失效 - 防护性编程:防御式编程技术
5.2 诊断覆盖率(DC)¶
**诊断覆盖率**表示安全机制检测故障的能力。
DC分类:
| DC等级 | 覆盖率范围 | 说明 |
|---|---|---|
| DC = 0% | 0% | 无诊断 |
| DC低 | 60% - 90% | 低诊断覆盖 |
| DC中 | 90% - 99% | 中等诊断覆盖 |
| DC高 | ≥ 99% | 高诊断覆盖 |
DC计算示例:
假设一个ECU有以下故障模式: - RAM故障:λRAM = 10 FIT - CPU故障:λCPU = 20 FIT - 电源故障:λPower = 5 FIT - 总故障率:λTotal = 35 FIT
安全机制: - RAM测试可检测90%的RAM故障 - 看门狗可检测95%的CPU故障 - 电压监控可检测100%的电源故障
诊断覆盖率计算:
DC = (λRAM × 0.9 + λCPU × 0.95 + λPower × 1.0) / λTotal
= (10 × 0.9 + 20 × 0.95 + 5 × 1.0) / 35
= (9 + 19 + 5) / 35
= 33 / 35
= 94.3%
5.3 硬件架构度量¶
单点故障度量(SPFM):
潜在故障度量(LFM):
ASIL等级对应的度量要求:
| ASIL | SPFM要求 | LFM要求 |
|---|---|---|
| ASIL A | ≥ 90% | ≥ 60% |
| ASIL B | ≥ 90% | ≥ 70% |
| ASIL C | ≥ 97% | ≥ 80% |
| ASIL D | ≥ 99% | ≥ 90% |
第六部分:软件开发要求¶
6.1 软件安全需求¶
**软件安全需求(SSR)**从技术安全需求派生,定义软件必须实现的安全功能。
SSR特性: - 可验证性 - 无歧义性 - 可追溯性 - 一致性
SSR示例:EPS系统
SSR-1: 软件应每10ms读取转向角传感器数据
- 来源:TSR-1
- ASIL:D
- 验证方法:代码审查 + 时序测试
SSR-2: 软件应验证传感器数据的CRC校验
- 来源:TSR-2
- ASIL:D
- 验证方法:单元测试 + 集成测试
SSR-3: 检测到CRC错误时,软件应在50ms内进入安全状态
- 来源:TSR-3
- ASIL:D
- 验证方法:故障注入测试
6.2 软件架构设计¶
架构设计原则: - 模块化:功能分解为独立模块 - 层次化:清晰的层次结构 - 接口明确:定义清晰的接口 - 可测试性:便于测试和验证
软件架构示例:
┌─────────────────────────────────────────┐
│ 应用层 (ASIL D) │
│ ┌──────────┐ ┌──────────┐ │
│ │ 转向控制 │ │ 故障管理 │ │
│ └────┬─────┘ └────┬─────┘ │
└───────┼─────────────┼──────────────────┘
│ │
┌───────┼─────────────┼──────────────────┐
│ │ 服务层 │ │
│ ┌────↓─────┐ ┌───↓──────┐ │
│ │ 传感器 │ │ 诊断服务 │ │
│ │ 管理 │ │ │ │
│ └────┬─────┘ └──────────┘ │
└───────┼──────────────────────────────┘
│
┌───────┼──────────────────────────────┐
│ │ 驱动层 │
│ ┌────↓─────┐ ┌──────────┐ │
│ │ ADC驱动 │ │ PWM驱动 │ │
│ └──────────┘ └──────────┘ │
└──────────────────────────────────────┘
6.3 编码规范¶
MISRA C/C++:汽车行业广泛采用的C/C++编码标准
关键规则示例: - 禁止使用动态内存分配(malloc/free) - 禁止使用递归 - 所有函数必须有返回值检查 - 禁止使用goto语句 - 限制函数复杂度(圈复杂度≤15)
代码示例(符合MISRA C):
/* 不符合MISRA C */
void bad_example(int *ptr) {
*ptr = 10; // 未检查指针是否为NULL
}
/* 符合MISRA C */
typedef enum {
STATUS_OK = 0,
STATUS_NULL_PTR = 1
} Status_t;
Status_t good_example(int *ptr) {
Status_t status = STATUS_OK;
if (ptr != NULL) {
*ptr = 10;
} else {
status = STATUS_NULL_PTR;
}
return status;
}
6.4 软件单元测试¶
测试覆盖率要求:
| ASIL | 语句覆盖 | 分支覆盖 | MC/DC覆盖 |
|---|---|---|---|
| ASIL A | 推荐 | 推荐 | - |
| ASIL B | 强烈推荐 | 推荐 | - |
| ASIL C | 强烈推荐 | 强烈推荐 | 推荐 |
| ASIL D | 强烈推荐 | 强烈推荐 | 强烈推荐 |
MC/DC(修正条件/判定覆盖): - 最严格的覆盖标准 - 要求每个条件独立影响判定结果 - ASIL D通常要求MC/DC覆盖
单元测试示例:
/* 被测函数 */
Status_t validate_sensor_data(int16_t angle, uint8_t crc) {
Status_t status = STATUS_OK;
/* 范围检查 */
if ((angle < -720) || (angle > 720)) {
status = STATUS_OUT_OF_RANGE;
}
/* CRC检查 */
else if (calculate_crc(angle) != crc) {
status = STATUS_CRC_ERROR;
}
return status;
}
/* 单元测试 */
void test_validate_sensor_data(void) {
/* 测试用例1:正常数据 */
assert(validate_sensor_data(360, 0x5A) == STATUS_OK);
/* 测试用例2:角度超出范围(下限) */
assert(validate_sensor_data(-800, 0x00) == STATUS_OUT_OF_RANGE);
/* 测试用例3:角度超出范围(上限) */
assert(validate_sensor_data(800, 0x00) == STATUS_OUT_OF_RANGE);
/* 测试用例4:CRC错误 */
assert(validate_sensor_data(360, 0xFF) == STATUS_CRC_ERROR);
/* 测试用例5:边界值测试 */
assert(validate_sensor_data(-720, 0x3C) == STATUS_OK);
assert(validate_sensor_data(720, 0x3C) == STATUS_OK);
}
第七部分:验证与确认¶
7.1 验证活动¶
验证(Verification):确认产品是否正确实现了需求("做对了吗?")
验证方法:
| 方法 | 说明 | 适用阶段 |
|---|---|---|
| 代码审查 | 人工检查代码 | 编码阶段 |
| 静态分析 | 工具自动分析代码 | 编码阶段 |
| 单元测试 | 测试单个模块 | 单元开发 |
| 集成测试 | 测试模块间接口 | 集成阶段 |
| 系统测试 | 测试完整系统 | 系统集成 |
7.2 确认活动¶
确认(Validation):确认产品是否满足用户需求("做对的事了吗?")
确认方法: - 需求审查 - 原型验证 - 用户测试 - 现场测试
7.3 故障注入测试¶
**故障注入测试**用于验证安全机制的有效性。
故障注入类型: - 硬件故障注入(短路、断路、电压异常) - 软件故障注入(位翻转、数据篡改) - 通信故障注入(丢包、延迟、错序)
测试示例:
# 故障注入测试脚本示例
class FaultInjectionTest:
def __init__(self, ecu):
self.ecu = ecu
def test_sensor_disconnection(self):
"""测试传感器断开故障"""
# 1. 正常运行
assert self.ecu.get_status() == "NORMAL"
# 2. 注入故障:传感器断开
self.ecu.inject_fault("SENSOR_DISCONNECT")
# 3. 验证:系统应在100ms内检测到故障
time.sleep(0.1)
assert self.ecu.get_fault_status() == "SENSOR_FAULT_DETECTED"
# 4. 验证:系统应进入安全状态
assert self.ecu.get_status() == "SAFE_STATE"
# 5. 验证:驾驶员应收到警告
assert self.ecu.get_warning() == "SENSOR_FAULT_WARNING"
第八部分:功能安全认证¶
8.1 认证流程¶
**功能安全认证**由独立的第三方机构进行,验证产品是否符合ISO 26262要求。
认证流程:
8.2 认证文档¶
必需的文档:
管理文档: - 功能安全计划 - 功能安全管理手册 - 能力管理计划
技术文档: - 项目定义 - HARA报告 - 功能安全概念 - 技术安全概念 - 系统设计规范 - 硬件设计规范 - 软件设计规范
验证文档: - 测试计划 - 测试报告 - 验证报告 - 确认报告
支持文档: - 配置管理计划 - 变更管理记录 - 问题跟踪记录
8.3 认证机构¶
主要认证机构: - TÜV(德国技术监督协会) - SGS(瑞士通用公证行) - Exida(功能安全专业机构) - UL(美国保险商实验室)
第九部分:实践建议¶
9.1 组织层面¶
建立安全文化: - 高层管理支持 - 全员安全意识培训 - 安全优先的决策机制
能力建设: - 功能安全工程师培训 - 工具使用培训 - 定期知识更新
流程优化: - 建立标准化流程 - 持续改进机制 - 经验教训总结
9.2 项目层面¶
早期规划: - 项目启动时就考虑功能安全 - 预留足够的时间和资源 - 选择合适的ASIL等级
工具支持: - 需求管理工具(DOORS) - 建模工具(Enterprise Architect) - 测试工具(Vector CANoe) - 静态分析工具(Polyspace)
供应链管理: - 明确安全责任分配 - 建立接口协议 - 定期沟通和评审
9.3 技术层面¶
设计原则: - 简单性优先 - 冗余设计 - 故障隔离 - 可测试性
常见陷阱: - 过度设计(不必要的复杂性) - 忽视共因失效 - 诊断覆盖率不足 - 文档不完整
最佳实践: - 使用成熟的安全机制 - 参考行业标准实现 - 充分的测试验证 - 完整的可追溯性
总结¶
关键要点¶
- ISO 26262是汽车功能安全的核心标准
- 覆盖从概念到报废的全生命周期
-
提供系统化的开发方法
-
ASIL等级决定开发严格程度
- 通过HARA确定ASIL等级
-
不同ASIL有不同的要求
-
安全机制是实现功能安全的关键
- 故障检测、处理和预防
-
需要足够的诊断覆盖率
-
验证和确认贯穿整个开发过程
- 多种验证方法结合
-
故障注入测试验证安全机制
-
功能安全需要组织和技术双重支持
- 建立安全文化和能力
- 使用合适的工具和方法
进一步学习¶
推荐资源: - ISO 26262标准原文 - AUTOSAR功能安全规范 - 《Automotive Safety Integrity Level (ASIL) Determination》 - 《Functional Safety for Road Vehicles》
实践项目: - 对现有项目进行HARA分析 - 设计简单的安全机制 - 进行故障注入测试 - 编写功能安全文档
认证培训: - ISO 26262基础培训 - 功能安全工程师认证 - ASIL评估师培训
下一步¶
学习完本文后,建议: 1. 深入学习AUTOSAR功能安全规范 2. 了解具体的ADAS系统功能安全设计 3. 学习硬件功能安全设计方法 4. 参与实际的功能安全项目
参考文献: 1. ISO 26262:2018 - Road vehicles - Functional safety 2. AUTOSAR - Specification of Safety Extensions 3. IEC 61508 - Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems
版权声明:本文内容仅供学习参考,实际项目开发请遵循ISO 26262标准原文和相关法规要求。