ISO 26262是一个庞大复杂的标准，重点是保障驾驶员、乘客和维修人员的安全。ISO 26262涵盖了整个产品的生命周期，从管理、开发、生产、运营、维修到报废。

ISO 26262采用汽车安全完整性等级(ASIL)A、B、C和D——从最低到最高风险和功能安全(FS)要求——对设计的安全风险进行分类。ASIL评级均在车辆级别安全目标(SGs)及其衍生产品级别功能安全要求(FSRs)框架内进行。设计团队将客户指定的FSRs转换为设计特定的技术安全要求(TSRs)。TSR代表了满足FSR的软硬件的机械和预期性能水平。TSR成为额外的功能要求，高于安全相关设计的正常功能要求。从SG到FSR到TSR的映射是产品整体安全计划的关键部分。安全计划的另一个关键部分是设计安全机制(SMs)的文档，解决了如何预防、检测和改善故障的问题。

ISO 26262根据ASIL来规定预期设计方法和预期可靠性指标。设计工具必须能够追溯并满足设计及其流程中指定ASIL要求的分析、性能和完整性的预期水平。

一个典型的对于安全至关重要的汽车电子设计将有2-7个车辆级别的SG，每个SG通常有1-5个产品级别的FSR。设计团队创建一个机械化设计，开发一个或多个TSR以实现所有FSR。通常，一个设计的许多部分会以不同的ASIL水平影响多个TSR。更严格的ASIL水平[(B)，C和D]需要更广泛的分析，包括根据SG计算随机硬件故障的概率。在原理图级别捕获的附加文档和属性能支持和简化这些复杂的分析要求，并在PCB设计和制造测试要求中正确地记录。

可能与PCB有关的违背汽车安全目标的行为

汽车电子系统非常多样化，与其相关的安全目标也非常多样。有重要功能安全要求(ASIL C&D)的现代汽车电子系统包括：

■自动驾驶

■电动助力转向系统

■自适应巡航控制

■驾驶员警示

  –车道定位监控

  –障碍探测

■混合动力／电动车传动系统

  –逆变器（电动机控制）

  –电池管理

  –电池充电器／直流-直流转换器

■传统传动系统控制

  –引擎控制

  –变速器／变速桥／差速器控制

车辆上还有无数其他有ASILA和B要求的系统，比如雨刮传感器／控制器、HVAC（除霜）控制器、交流发电机和车辆“车身”配电控制台。

安全目标的细节因产品而异，但通常安全目标分为以下几类:

■转向执行器失灵／出错

■传递到车轮的扭矩过大或不足（机动、再生制动和刹车）

■传递到车轮的意外扭矩

■高电压／高能量隐患

■缺失／不正确的传感器数据分析

■部分／全部功能缺失

■缺失／错误的驱动程序反馈

■与车辆控制台缺失／不正确的通信

PCB设计工具功能对功能安全至关重要

为确保没有违背安全目标的行为，有一些关键的设计工具功能是必要的。这些要求的本质是，必须在物理设计中准确可靠地捕获设计意图以及相关的FS文档可追溯性。PCB设计工具必须能够确保以下设计完整性概念。

1.原理图到电气网表完整性

  –原理图代表详细的设计意图，是主要的设计意图文档

  –电气网表用于驱动PCB布线

  –电气网表用于驱动电路仿真工具，以进行设计验证

2.原理图到BOM（物料清单）完整性

  –物料清单需要正确指定在原理图中实现的电气元器件

3.电气网表到PCB布局（物理网表）完整性

  –PCB物理布局必须体现电气网表，以确保实现正确的电路

4.电气约束到PCB物理布局完整性

  –必须正确解释和实现电气驱动（阻抗）间隔

  –必须正确解释和实现电气驱动（传播延迟）转轮长度

  –必须正确解释和实现电气驱动（电压降）走线宽度

5.机械约束（安全间距和多层板）完整性

  –必须正确解释和实现用于爬电和安全间距要求的走线和元器件的物理间隔（避免可能的故障和电气隐患）

  –必须正确解释和实现用于可靠组装的元器件的物理间隔（避免可能的组装相关损坏）

  –必须正确解释和实现多层板数据，以避免违背z轴爬电和安全间距的行为

6.PCB物理设计到制造数据完整性

–制造数据文件（例如ODB++、Gerber）必须准确地体现用于PCB制造、组装和测试的设计数据。

功能安全文档要求概要

最终目标是设计并正确记录满足所有设计要求的产品。ISO 26262着重于安全相关的要求。与安全相关的要求必须以TSR的形式记录，并可追溯其FSR，然后以可证明车辆符合规定的安全目标的方式提交给客户。

每个FSR都有一个相关的ASIL评级，在设计和分析流程中必须予以考虑。FSR在系统(您产品的)级别定义。安全计划须结合系统机械化制定。安全计划定义了产品级别系统机械化中满足FSR的产品级别TSR。TSR随后被映射到系统的总功能需求中。该系统的机械化绘制在文档编制流程中至关重要。它必须清楚地定义车辆和车辆中其他系统的接口。它还必须理解和传达与软硬件机械化相关的TSR。

一个关键的概念是：在整个设计流程中必须有一个完整的TSR双向文档链。文档链必须不仅包括设计，还包括与设计相关的工程分析。TSR的这条通信链也必须延伸到制造、测试和维修流程中。

在硬件设计流程中实现TSR文档

系统机械化

系统机械化文档是显示与下一级系统接口的关键文档。安全目标是在车辆级别及其相关的FSR中定义的。正在设计的产品将直接从车辆或其架构之上的系统中定义所需的FSR。必须明确定义FSR并将其分配给相关的TSR软硬件功能。

系统机械化的关键文档项目如下所示。每个与安全相关的项目必须表明其相关的TSR及其影响设计的关键属性。

■标题栏应包括功能安全“标志”

■文档必须具有文档追溯id

■系统边界

  –电气的

  –机械的

  –环境的

■接口

  –电气

    •电源／接地

    •电源模式

    •通信总线

    •输入／输出信号

    •电压／电流

    •开关速度

    •瞬态／电磁兼容性

    •阻抗

  – 机械装配

    • 冲击／振动

  – 气流

  – 冷却液流量

■ 功能安全要求

  – 技术安全要求映射

  – 汽车安全完整性等级

  – 安全状态（必需的故障模式／响应）

  – 故障容错时间间隔 (FTTI)

  – 检测阈