系统功能安全方案

一、系统功能安全方案

       系统功能安全方案是对接客户需求，呈现当前项目应对功能安全需求的方案文件，一份好的系统功能安全方案能让客户耳目一新，本文主要讲解从哪些方面来描述系统功能安全方案。

系统阶段是一个呈上启下的阶段，从Tier1供应商的角度，系统功能安全方案应从以下几个方面描述：

1.公司具备符合项目要求的功能安全流程和手段

2.明确系统方案中的功能安全模块和功能安全机制

3.明确电源的功能安全设计

二、符合项目要求的功能安全流程和手段

       功能安全解决的是系统性失效和随机硬件失效，为解决系统性失效，严格的功能安全流程必须保证。不同的ASIL等级需满足不同的流程，流程是公司级建设产物，在国内一般是做一个流程认证，拿到对应的流程证书。

在展示有能力做功能安全时，除了展示流程证书，还需展示公司在功能安全上的一些认知和积累，1）公司功能安全流程与上游和下游接口和分工的定义，明确职责

2）展示客户层面的需求积累，作为供应商，客户一般为OEM，那么需要展示当前产品常用的SG和FSR

3）展示公司在测试阶段的模板、流程、测试工具，功能安全最容易止于纸面，测试才是验证功能安全完成度的最佳方法

4）展示相似功能安全项目案例

三、明确系统方案中的功能安全模块和功能安全机制

        首先得有一个系统方案的输入，一般的系统方案框图类似于一个简要版的硬件框图，描述主要元器件，包含 主要芯片（MCU、SOC、SBC等）、传感器sensor、执行器、芯片外设（DDR、EMMC、CAN收发器等）。根据客户的FSR，将与FSR相关的器件定义为安全器件，集成安全等级，分析安全器件的系统失效模式，定义系统失效的安全机制，在系统架构图上附上安全机制即可。

四、明确电源的功能安全设计

电源设计是安全强相关的，所以一般会将电源的安全设计单独拿出来讲。需要供电的器件有芯片、DDR、EMMC、传感器、CAN等，对于芯片的供电还会有多路，若供电相关的器件是安全器件，则需考虑相关供电的安全设计。常见的电源失效有：过低、过高、尖峰、振荡；常见的供电安全设计有:1.整车电源（主电源）的诊断和安全，一般的电源硬件设计会有做防反接、抗浪涌和滤波的设计，可以规避尖峰、诊断的失效；对于过低过高的失效需要通过软件判断  2.传感器的电源诊断和安全，一般要求传感器有功能安全，可做电压诊断，MCU通过软件做判断，执行故障反馈步骤