汽车功能安全(Functional Safety)
行业里常与 ISO 26262 并提——道路车辆电气/电子系统的功能安全标准框架。
功能安全关心的是:出现故障时,系统能否把风险控制在可接受范围。不是泛泛谈「质量」,而是针对已识别的危害场景提出安全目标,再用设计、验证与证据说明:在随机硬件失效或可预期的系统性问题下,不致产生不合理的伤害风险。
标准覆盖概念、系统、硬件、软件、生产与运行等生命周期阶段。软件方向常见 Part 6 一类条款(版本更迭时编号请以现行标准正文为准)。
- 危害分析与风险评估(HARA):弄清失效会怎样,再映射到需要的严苛程度(ASIL)。
- 需求分解与追溯:从概念到实现可追踪,验证能对回需求。
- 架构与失效应对:冗余、监控、安全状态、降级等,使失效行为可预期、可论证。
ASPICE
Automotive SPICE(源于 ISO/IEC 330xx / 15504 思路)用于描述与评估汽车电子产品开发过程是否成熟、可重复。
可理解为过程能力的参照框架:需求是否受控、设计与实现是否有记录、测试是否与需求对准、配置与变更是否可追溯——定点评审里常会核对这类证据链。
与功能安全的关系:ISO 26262 偏产品安全论证(风险是否降到标准要求);ASPICE 偏工程过程是否可靠。成熟的过程不能代替 ASIL 论证,但失控的过程会让论证与审查都很难做扎实。
- 过程域覆盖系统工程、软件工程、管理与支持等;评估里常见「某过程达到 Level 1/2…」等表述。
- 常与 OEM 裁剪范围(如 VDA 范围)一起讨论——实际以评估边界与项目约定为准。