需求模糊导致安全目标定义错误,对策:ASIL分解 + 形式化方法澄清需求。
低估SPFM/LFM计算复杂度,对策:正确使用FMEDA工具。
软件分区不当导致故障传播,对策:虚拟化/MPU强隔离。
看门狗超时设置不合理,对策:根据动态行为计算安全裕度。
CAN/CANFD位错误和时序错误,对策:CRC + 总线监控。
堆栈溢出/内存泄漏,对策:静态分析 + MPU预防。
低估最坏情况执行时间(WCET),对策:静态时序分析 + 硬件计时器。
测试覆盖率不足,对策:基于故障模型和列表的系统性测试。
误将功能测试当作安全确认,对策:正确进行安全确认和认可评审。
错误分解ASIL D→B(B)导致安全完整性不足,对策:正确应用分解规则。
逻辑不连贯/证据不足,对策:构建清晰可追溯的安全论证。
使用未经鉴定的开发工具,对策:根据TCL/TI进行工具鉴定。
版本混乱导致无法追溯,对策:建立严格配置管理流程。
未评估变更对安全的影响,对策:基于影响分析的变更控制。
对供应商安全交付物审核不严,对策:建立DIA/DCA流程。
未识别关键安全特性导致生产失控,对策:DFMEA/PFMEA识别控制。
升级失败导致不安全状态,对策:安全回滚和降级策略。
核间干扰导致安全机制失效,对策:锁步核 + 资源隔离。
RTE配置错误导致数据一致性问题,对策:正确配置E2E保护。
DTC设置不合理导致误报/漏报,对策:根据安全目标设计诊断覆盖率。
电压骤降/断电导致数据丢失,对策:安全电源管理状态机。
信号噪声/漂移导致误触发,对策:数字滤波 + 合理性检查。
安全状态过于激进导致次生危害,对策:渐进式降级策略。
故障检测+反应时间超出安全裕度,对策:时序分析验证。
缺乏功能安全文化,流程流于形式,对策:培训 + 内审建立安全文化。