ISO 26262 硬件要素分类

本质:ISO 26262-8 按"内部状态数 × 内部安全机制有无"把硬件要素切成 I/II/III 三档,直接决定后续要做多深的评估和多厚的文档证据。

学习目标
  • (LLM 自动生成,待人工补充 2-3 条学习目标)

因果链概述

ISO 26262‑8 对硬件要素进行 I/II/III 类划分,它决定了后续评估深度与开发流程:

  • 类 I:状态极少、无内部安全机制 → 只需在系统层面验证满足安全需求。
  • 类 II:少数运行状态、无内部安全机制但可能含外部诊断 → 需要基于 datasheet 等文档完成功能性能与诊断覆盖的分析与测试。
  • 类 III:多模式、内部安全机制或高度复杂 → 推荐采用符合 ISO 26262 开发流程的功能安全器件,或在系统层面提供完整的 FMEDA、系统失效分析。

分类标准表
类别判定条件典型实例
I– 状态数目极少 / – 无内部安全机制 / – 可通过标准或简单测试完整表征电阻、电容、二极管、NTC/PTC、晶振
II– 少数运行模式 / – 无内部安全机制,但可利用外部诊断功能 / – 需通过 datasheet、应用笔记等文档进行安全分析电流传感器、运算放大器、ADC/DAC、CAN/LIN 收发器、低压驱动芯片
III– 多种运行模式或宽范围参数 / – 含内部安全机制(诊断、容错) / – 评估需深入了解实现细节或生产过程MCU、具 ASC 功能的栅极驱动、复杂 PMIC、带内部安全机制的高精度磁编码器

评估要求对比(摘自原文)
类别评估要求
I集成后满足安全需求即可,无需独立评估
II制定评估计划,利用 datasheet、用户手册进行安全角度分析,完成功能性能与诊断覆盖的测试并记录证据
III建议采用符合 ISO 26262 硬件开发流程的器件;若使用 QM 器件必须提供系统级 FMEDA、系统失效分析与安全案例

应用示例
  1. 三相电流采样 ADC:通常属于 II 类(少数运行模式、无内部安全机制),需要通过 datasheet 说明电压范围、噪声、温漂等,并在系统层面验证范围检查、偏置检测等软件诊断。
  2. 数字隔离器 NSI82xx:属于 II 类(提供输入/输出监测,但无内部安全机制),评估时重点在于隔离时延、失效时输出默认安全电平。
  3. ASIL D 栅极驱动 NSI6911F:属于 III 类,内部 ASC、诊断电路直接承担安全需求,必须使用功能安全开发流程并提供 FMEDA、Safety Manual。

核心要点
  • I 类(电阻、电容、二极管、晶振)— 无须独立评估,系统层验证即可
  • II 类(传感器、运放、ADC、CAN/LIN 收发器)— 编 HEAP + 按 datasheet 做安全分析 + 诊断覆盖测试 + 留证据
  • III 类(MCU、ASC 栅极驱动、复杂 PMIC)— 推荐选符合 ISO 26262 流程开发的器件;选 QM 必须自做 FMEDA + 系统级失效分析 + Safety Case
  • 分类是评估深度的入口 — 先分类再选型,避开"小元件做大评估"或"大元件做小评估"的工作量错配
  • 同一类别内仍需结合 ASIL 等级判断是否需要功能安全器件(见 安全芯片 vs QM)

Cross-references

Cross-references