ISO-26262-11-2018-中文

目录页前言简介1范围2规范性参考文献13术语和定义14半导体元件及其分区24.1如何看待半导体元件24.1.1半导体元件开发24.2将半导体元件分区4.3关于硬件故障，错误和故障模式34.3.1故障模型34.3.2故障模式44.3.3故障模式下基本故障率的分布44.4关于使半导体元件安全分析适应系统级别54.5知识产权（IP）64.5.1关于IP64.5.2IP类别和安全要求74.5.3IP生命周期94.5.4IP的工作产品114.5.5黑盒IP的集成144.6半导体的基本故障率154.6.1基本故障率估算的一般说明154.6.2永久基础故障率计算方法204.7半导体相关故障分析414.7.1DFA简介414.7.2DFA与安全分析之间的关系424.7.3相关故障情景424.7.4级联故障与常见故障之间的区别454.7.5相关故障发起者和缓解措施454.7.6DFA工作流程514.7.7从属故障分析示例544.7.8软件元素和硬件元素55之间的相关故障4.8故障注入554.8.1一般554.8.2故障注入的特征或变量554.8.3故障注入结果574.9生产经营574.9.1关于生产574.9.2生产工作产品584.9.3关于服务（维护和修理）和退役584.10分布式开发中的接口584.11确认措施594.12关于硬件集成和验证的说明595具体半导体技术和用例605.1数字组件和存储器605.1.1关于数字组件605.1.2非存储器数字组件的故障模型605.1.3存储器的详细故障模型615.1.4数字组件的故障模式625.1.5公共数字块的故障模式定义示例625.1.6数字部分的定性和定量分析665.1.7关于数字组件定量分析的说明675.1.8定量分析的例子695.1.9检测或避免系统故障的技术或措施示例在设计数字组件70期间5.1.10使用故障注入模拟进行验证745.1.11数字组件的安全文档示例755.1.12数字组件和存储器的安全机制示例765.1.13数字组件和存储器技术概述775.2模拟/混合信号分量805.2.1关于模拟和混合信号组件805.2.2模拟和混合信号分量和故障模式825.2.3安全分析说明915.2.4安全机制的例子945.2.5在开发阶段避免系统故障975.2.6模拟/混合信号组件的安全文档示例1005.3可编程逻辑器件1015.3.1关于可编程逻辑器件1015.3.2PLD105的故障模式5.3.3PLD安全性分析说明1065.3.4PLD的安全机制示例1125.3.5避免PLD的系统故障1135.3.6PLD的安全文件示例1165.3.7PLD安全分析示例1165.4多核组件1165.4.1多核组件的类型1165.4.2ISO26262系列标准对多核部件的影响1175.5传感器和换能器1195.5.1传感器和传感器的术语1195.5.2传感器和传感器故障模式1205.5.3传感器和传感器的安全分析1255.5.4传感器和传感器的安全措施示例1265.5.5关于避免传感器和传感器的系统故障1305.5.6传感器和传感器的安全文件示例131附件A（资料性附录）关于如何使用数字故障模式进行诊断覆盖率评估的示例132附件B（资料性附录）从属故障分析的例子136附件C（资料性附录）数字部件的定量分析示例150附件D（资料性）模拟组分的定量分析实例155附件E（资料性附录）PLD组分的定量分析实例169参考书目175前言ISO（国际标准化组织）是一个全球性的国家标准机构联盟（ISO成员机构）。准备国际标准的工作通常通过ISO技术委员会进行。对成立技术委员会的主题感兴趣的每个成员机构都有权在该委员会中有代表。与ISO联络的国际组织，政府和非政府组织也参与了这项工作。ISO在电工技术标准化的所有方面与国际电工委员会（IEC）密切合作。用于开发本文档的程序和用于进一步维护的程序在ISO/IEC指令第1部分中有所描述。特别是，应注意不同类型的ISO文档所需的不同批准标准。本文件是根据ISO/IEC指令第2部分的编辑规则起草的（参见）。需要注意的是，本文件的某些要素可能是专利权的主体。ISO不负责识别任何或所有此类专利权。在文件制定过程中确定的任何专利权的详细信息将在收到的专利声明的引言和/或ISO列表中（见）。本文档中使用的任何商标名称是为方便用户而给出的信息，而不是构成认可。关于标准的自愿性质的解释，与合格评定相关的ISO特定术语和表达的含义，以及ISO在技术性贸易壁垒（TBT）中遵守世界贸易组织（WTO）原则的信息，请参见以下网址：。本文件由技术委员会ISO/TC22道路车辆小组委员会SC32电气和电子部件和一般系统方面编写。有关本文档的任何反馈或问题，请直接与用户的国家标准组织联系。一个这些机构的完整列表可在上找到。可以在ISO网站上找到ISO26262系列中所有部件的列表。简介ISO26262系列标准是适应IEC61508系列标准的解决方案公路车辆内的电气和/或电子（E/E）系统的特定行业需求。此适应性适用于由电气，电子和软件组件组成的安全相关系统的安全生命周期内的所有活动。安全是公路车辆发展的关键问题之一。汽车功能的开发和集成增强了对功能安全的需求以及提供满足功能安全目标的证据的需求。随着技术复杂性，软件内容和机电一体化实施的趋势，系统故障和随机硬件故障的风险越来越大，这些都被认为是在功能安全范围内。ISO26262系列标准包括通过提供适当的要求和流程来降低这些风险的指南。为实现功能安全，ISO26262系列标准：a）为汽车安全生命周期提供参考，并支持在生命周期阶段（即开发，生产，运营，服务和退役）中进行的活动的定制;b）提供基于汽车的风险方法来确定完整性水平[汽车安全完整性等级（ASIL）];c）使用ASIL指定ISO26262的哪些要求适用以避免不合理剩余风险;d）提供功能安全管理，设计，实施，验证，确认和确认措施的要求;和e）提供客户与供应商之间关系的要求。ISO26262系列标准涉及通过安全措施（包括安全机制）实现的E/E系统的功能安全性。它还提供了一个框架，在该框架内可以考虑基于其他技术（例如机械，液压和气动）的安全相关系统。功能安全的实现受到开发过程（包括需求规范，设计，实现，集成，验证，验证和配置等活动），生产和服务流程以及管理流程的影响。安全性与共同的功能导向和质量导向的活动和工作产品交织在一起。ISO26262系列标准涉及这些活动和工作产品的安全相关方面。图1显示了ISO26262系列标准的整体结构。ISO26262系列标准基于V模型作为产品开发不同阶段的参考过程模型。在图中：-阴影“V”代表ISO26262-3，ISO26262-4，ISO26262-5之间的互连，ISO26262-6和ISO26262-7;-用于摩托车：-ISO26262-12：2018，第8条支持ISO26262-3;-ISO26262-12：2018，第9和10条支持ISO26262-4;-具体条款以下列方式表示：“m-n”，其中“m”代表数字特定部分和“n”表示该部分中的条款编号。图1-ISO26262系列标准概述道路车辆-功能安全-第11部分：ISO26262在半导体中的应用指南1条，适用范围本文件旨在应用于包括一个或多个电气和/或电子（E/E）系统的安全相关系统，并且安装在串联生产道路车辆中，不包括轻便摩托车。本文件未涉及特殊车辆中的独特E/E系统，例如为残疾司机设计的E/E系统。注意存在其他专用的特定应用安全标准，可以作为ISO26262系列的补充标准，反之亦然。在本文档发布之前已经开发的用于生产的系统及其组件或系统及其组件，不在本版的范围之内。本文档通过根据更改量身定制安全生命周期，解决在本文档发布之前发布的现有系统及其组件的更改。本文档通过定制安全生命周期来解决根据本文档开发的现有系统和根据本文档开发的系统的集成。本文档解决了安全相关E/E系统故障行为可能造成的危害，包括这些系统的相互作用。除非直接由安全相关的E/E系统的故障行为引起，否则它不涉及与电击，火灾，烟雾，热，辐射，毒性，可燃性，反应性，腐蚀，能量释放和类似危险相关的危险。本文档描述了一个功能安全框架，以帮助开发与安全相关的E/E系统。该框架旨在用于将功能安全活动集成到公司特定的开发框架中。一些要求具有明确的技术重点，以将功能安全性实施到产品中;其他人解决了开发过程，因此可以将其视为流程要求，以展示组织在功能安全方面的能力。本文档未涉及E/E系统的标称性能。本文档仅提供信息性特征。它包含了有关半导体开发的ISO26262其他部分的可能解释。关于可能的解释，该内容并非详尽无遗，即，为了满足ISO26262的其他部分中定义的要求，其他解释也是可能的。2规范性参考文献文中提到了以下文件，其中部分或全部内容构成了本文件的要求。凡是注日期的引用文件，仅引用的版本适用。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。ISO26262-1，道路车辆-功能安全-第1部分：词汇3术语和定义就本文件而言，术语，定义和缩写术语在ISO26262-1适用。ISO和IEC在以下地址维护用于标准化的术语数据库：-IECElectropedia：可从获取-ISO在线浏览平台：半导体元件及其分区4.1如何看待半导体元件4.1.1半导体元件开发如果半导体元件是作为符合ISO26262系列标准的项目开发的一部分而开发的，则它是基于通过技术安全概念从项目的顶级安全目标得出的硬件安全要求而开发的。针对相关故障模式的诊断覆盖范围的目标，以满足硬件架构指标和随机硬件故障（PMHF）的概率指标或每个安全目标违规原因（EEC）的评估分配给该项目：在这种情况下，半导体组件只是其中一个要素。如ISO26262-5：2018[66]，8.2的示例中所述，为了促进分布式开发，可以通过在项目级别导出SPFM，LFM和PMHF的目标值，将目标值分配给半导体组件本身或将EEC应用于HW零件级别。半导体元件的安全性分析是根据ISO26262-5：2018,7.4.3和ISO26262-9：2018[70]，第8章中定义的要求和建议进行的。注：如果未按照ISO26262系列标准开发元件，则可以考虑ISO26262-8：2018[69]第13章中的要求。如ISO26262-10[61]中所述，半导体元件可以开发为SEooC。在这种情况下，开发是基于对半导体元件使用条件的假设（使用假设或AoU，见4.4），然后考虑到源自半导体元件的要求，在下一个更高的集成度下验证这些假设。其中使用半导体元件的项目的安全目标。假设半导体组件是SEooC，提供该部分中的描述和方法，但是如果半导体组件不被视为SEooC，则所描述的方法（例如，用于半导体组件的故障率计算的方法）仍然有效。当考虑独立半导体元件进行这些方法时，进行适当的假设。第4.4小节描述了如何在系统或元素级别调整和验证这些方法和假设。在独立的半导体元件级别，ISO26262-2[63]，ISO26262-5，ISO26262-6[67]，ISO26262-7[68]，ISO26262-8和ISO26262-9的要求（例如可以应用与安全性分析，依赖性故障分析，验证等相关的。4.2将半导体元件分成几部分如图2所示，根据ISO26262-1：2018,3.21中的定义，半导体元件可以分为几部分：注：详细程度（例如，是否停止在部分级别或下至子部分或基本子部分级别）以及基本子部分（例如触发器，模拟晶体管）的定义可取决于安全概念，阶段分析和使用的安全机制（在半导体组件内部或在系统或元件级别）。图2-半导体，其零件和子部件4.3关于硬件故障，错误和故障模式集