DIA 写作工程化深度 — 8 章模板 + RACI + SEooC AoU + Confirmation 共担

功能安全L1别名 DIA 写作 · Development Interface Agreement · DIA template · SEooC DIA · 跨组织 RACI · Tier-1 Tier-2 安全合同

本质与导读

本质 DIA 是 ISO 26262-8 §5 强制 work product,是跨组织安全责任的法律级合同;Tier-1 Safety Manager 要把 Tier-2 SM、OEM 要求和自己的工件缝成一份可锁定的 v1.0。写不好的代价比 HSI/Safety Manual 更大:责任未分清则事故后三方互诉,独立性未约定则 ASIL D Confirmation 整章 reject,接口缺一对则 PPAP 审计 stop ship。核心是把每一项责任、每一对接口、每一条 AoU 都落到白纸黑字、各方签字认账。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. DIA 在 ISO 26262 V-cycle 中的位置 + 5 阶段 SOP

DIA 是 Safety Manager 跨组织 day-1 work(Item Definition 完成后立即启动,在 FSC/TSC/HSI 之前必锁 v0.x,在 SOP 前 6 月必 lock v1.0)。类比软件外包合同 + RACI + IPR 共享协议合一。读者是 OEM/Tier-1/Tier-2 Safety Manager + Project Manager + I3 评审员 + 法务,不是工程师(工程师读 HSI/Safety Manual/FSR-TSR)。下图把 5 阶段写作 + 8 章模板一次摆开:

DIA 写作 5 阶段 SOP + ISO 26262-8 §5 8 章地图

1.1 5 阶段写作流程

按 Tier-1 中型主驱项目(OEM ↔ Tier-1 + Tier-1 ↔ 3 个 Tier-2 共 4 对 DIA)6-10 周分段:

  • ① Party Identification(1 周)— 锁双方法人 + 项目代号 + Safety Manager + 法务对接人;列全部接口对(OEM↔Tier-1 + Tier-1↔每个 Tier-2 + 软件↔硬件 跨组织对)。漏一对接口 = PPAP fail(OEM 会逐对查)
  • ② SM 评估 + AoU 套接(2-3 周)— Tier-2 已交付 SM(参 Safety Manual 写作深度),Tier-1 把 SM 中 50-200 条 AoU 一条一条 verify,标 Accept / Reject / Compensate(三选一)。reject 必给替代方案,compensate 必给补偿 SM
  • ③ Joint Clause Draft(2-3 周)— 双方 Safety Manager 同桌起草 8 章草稿;§3 RACI 是最难章(5 角色 × 10 工件 = 50 格,每格必填 R/A/C/I);§4 Confirmation 谁做哪个 review 必锁
  • ④ 三方联评(1-2 周)— OEM/Tier-1/Tier-2 + I3 + 法务五方联评。ASIL D 必有 I3(独立第三方)review § 4 + § 6;法务审 § 5 变更条款 + § 9 IPR
  • ⑤ v1.0 Lock(1 周)— 三方签字(法人章 + Safety Manager 签字 + I3 签字);Polarion / DOORS lock + 法务文件柜归档。lock 后任何变更走 ECN + 三方重 review,变更 v0.0.1 仍需 OEM 签字

写作总工时 ~3-5 FTE × 月(三方各 1-1.5 FTE)。最大风险在 ② SM 评估 — Tier-1 figure 不出 SM AoU 该 accept/reject/compensate,项目末期发现 SM 有 1 条没 verify,整个 V&V 闭环 reject,延 3-6 月

1.2 ISO 26262-8 §5 8 章模板地图

ISO 26262-8 §5 给的 DIA 模板偏抽象(只列 "shall agree" 不给字段)。下表是工程实际写法(每章带 "写什么 / 长度 / 谁审"),四大重点章(★)在 §2-§5 详细展开:

内容长度谁审
1. Party Identification双方法人 + 项目代号 + Safety Manager + 法务对接人 + 接口列表1-2 页法务
2. Item 边界 + 接口定义引 IDD + HSI 文档 ID + 物理/逻辑接口表2-4 页Architect
3. RACI Matrix ★5 角色 × 10 工件(HARA/FSC/TSC/HSI/SM/FMEDA/V&V/Safety Case/Tool/ECN)3-5 页Safety Mgr
4. Confirmation Measures3 个 confirmation review 谁做 + ASIL D 独立性2-4 页Safety Mgr + I3
5. 变更管控ECN process + impact analysis + 三方重 review trigger2-3 页Change Board + 法务
6. Safety Manual + AoU 接受 ★Tier-2 SM 列出 + 每条 AoU 的 Accept/Reject/Compensate5-15 页Safety Mgr + Architect
7. 验证证据共享FMEDA/V&V/测试报告如何相互访问 + IP 边界1-2 页Safety Mgr + IP 法务
8. Tool Qualification 互信 ★每 tool 谁 qualify + TCL + share 标志2-4 页Tool Owner

典型 DIA 15-35 页(SEooC DIA 更短 8-15 页,因为无具体 OEM 项目)。比 Safety Plan(20-40)、Safety Manual(20-40)、HSI(40-80)都短,因为 DIA 是合同(不是工程内容)— 但每个字都有法律效力,密度最高。

1.3 与既有写作 6 件套的关系

DIA 是 写作 6 件套 中最后写但 最早 lock 的(因为它管别人写的工件谁审),依赖链:

2. §3 RACI Matrix 写作 — driver IC SEooC worked

§3 RACI matrix 是 DIA 最难写的章,5 角色 × 10 工件 = 50 格每格填 R/A/C/I(漏一格 = ASIL D reject)。下表以 Tier-1(主驱供应商) ↔ Tier-2(TI 提供 ISO5852S driver SEooC) 配对实例:

Tier-1 ↔ Tier-2 driver IC SEooC RACI + AoU 套接 — 5 角色 × 10 工件

2.1 5 角色定义

DIA RACI 必区分 5 类角色(不是 5 个人 — 1 人可兼多角色,但角色边界必清):

角色谁担任职责
OEM Safety Mgr整车厂 SafetyMgr系统级 SG + 顶层 HARA
Tier-1 Safety Mgr主驱供应商 SafetyMgritem 整合 + FSC/TSC + Safety Case
Tier-1 Architect主驱 HW/SW ArchitectHSI + Tier-2 集成 + AoU verify
Tier-2 Safety Mgrdriver IC 厂(TI/Infineon) SafetyMgrSEooC SM + Tier-2 自家 FMEDA
I3 (独立第三方)SGS/TÜV 评审员ASIL D Confirmation Review

RACI 4 字母:R (Responsible 干活)/A (Accountable 担责,每行只能 1 个)/C (Consulted 双向咨询)/I (Informed 单向告知)

2.2 10 工件 × 5 角色 RACI 表(driver IC SEooC worked)

下表是 Tier-1 主驱 + TI ISO5852S driver SEooC 配对的实际 RACI(ASIL D 项目,每行只能 1 个 A,不可空):

工件OEM SafetyMgrTier-1 SafetyMgrTier-1 ArchitectTier-2 SafetyMgrI3
1. HARA(整车)A + RCIIC
2. FSC(整车 → item)A + CR + CCII
3. TSC(item)IA + RCII
4. HSI(driver ↔ MCU)ICA + RC(提供 SM 段)
5. Tier-2 SM(driver IC)IC(verify)C(AoU verify)A + R
6. FMEDA(driver IC)IC(整合)IA + RC
7. V&V(driver 集成)IA + CRC(提供 test vector)
8. Safety Case(整车)A + CR + CII(提供 SM trace)C(audit)
9. Tool QualificationIAR(MATLAB/Polarion)I(自家 tool 独立 qualify)
10. ECN(变更)CA + RCC(自家器件改动)C(ASIL D 重 review)

典型陷阱:

  • 行 4(HSI) Tier-2 不能是 A — HSI 是 Tier-1 输出,Tier-2 只能 C(提供 SM 摘录)
  • 行 5(SM)Tier-1 不能是 A — SM 是 Tier-2 自家产权,Tier-1 只能 verify(C)
  • 行 6(FMEDA driver)Tier-1 是 C 不是 R — Tier-2 给完整 FMEDA report,Tier-1 整合到 item FMEDA

2.3 RACI 数值约束(ASIL D 必查)

I3 评审员逐格扫 RACI 时遵循 4 条硬约束,任一不达就 reject 整章。下表把这 4 条总结在一处,提交前自查:

  • 每行有且只有 1 个 A(漏 = reject;多 = 责任不清)
  • R + A 可同一角色(常见)
  • ASIL D 项目 § 4 Confirmation 必有 I3 列(独立性 per ISO 26262-2:2018 §6.4.9)
  • C/I 总数应覆盖三方(OEM + Tier-1 + Tier-2 都不能空白行,除非工件纯一方内部)

3. §4 Confirmation Measures 共担 — ASIL D 3 review 谁做

ISO 26262-2:2018 §6.4.9 要求 ASIL D 项目至少 3 个 confirmation review,每个独立性要求不同:

Confirmation ReviewASIL D 独立性谁做(driver SEooC worked)何时做
CR-1 Safety Plan ReviewI2(独立部门 / independent department)Tier-1 内部独立部门 + OEM 审M1(Safety Plan v1.0 lock 时)
CR-2 Safety Case ReviewI3(独立第三方)SGS-TÜV(I3)+ OEM SafetyMgrM3(item 集成 V&V 完成时)
CR-3 FSAR(Functional Safety Assessment Report)I3(独立第三方)TÜV Süd(I3)+ OEM SafetyMgrM4(SOP 前 3 月)

典型 DIA §4 写法(片段):

CR-1 Safety Plan R…

CR-1 Safety Plan Review:由 Tier-1 内部独立 QA 部门(与项目组无人事/financial 关联)主导,OEM Safety Manager 共审,2026-08-15 M1 milestone 完成。CR-2 Safety Case Review:由 SGS-TÜV(I3)主导,Tier-2 Safety Manager 提供 driver IC SM trace 证据,OEM 共审,2027-02-15 M3 完成。CR-3 FSAR:由 TÜV Süd(I3)主导,2027-06-15 SOP 前 3 月完成。任一 CR fail,Tier-1 + Tier-2 共同 fund 整改(变更 fee 按 RACI 行 10 比例分担)。

陷阱:

  • 写 "Tier-1 内部 SafetyMgr 做 CR-1" — 不通过(I3 要求独立部门,Safety Mgr 是项目组成员)
  • 漏 "三方共同 fund 整改" — Tier-2 出事时甩锅,Tier-1 全担

4. §6 SM AoU 接受 — assumption 一条一条 verify

§6 是 DIA 最长章(5-15 页),也是 SEooC 配对最关键章。Tier-2 SM 中 50-200 条 AoU(参 Safety Manual 写作深度 §3 AoU 写作),Tier-1 必每条标 Accept / Reject / Compensate:

4.1 AoU 接受三选一定义

Tier-1 拿到 Tier-2 SM 后,每条 AoU 必落到三类决策之一,不可遗漏也不可"待定"。三类决策对应不同的工程后果:

决策含义后果
AcceptTier-1 系统设计已自然满足 AoU无需补偿,trace AoU → HSI 即可
RejectTier-1 无法满足 AoU(超出系统设计 envelope)必给替代方案 — 换器件 / 改 SG / 加架构
CompensateTier-1 加额外 SM 补偿 AoU写补偿 SM + 加 V&V 测试 + 纳入 FMEDA

4.2 driver IC SEooC AoU 接受表(片段,典型 80 条选 5 条)

下表从 TI ISO5852S SM 的 80 条 AoU 中挑 5 条代表性的(2 条 Accept、1 条 Reject、2 条 Compensate),展示三选一决策的实际写法 — 每条 AoU 都必须 trace 到 HSI 段、补偿 SM ID、V&V 测试 ID 才算完成 verify:

AoU #Tier-2 AoU(TI ISO5852S SM 原文)决策Tier-1 实施
AoU-12VDD 供电 4.5-5.5 V,纹波 < 50 mVAcceptLDO U7 已设计输出 5.0 V ± 1%(HSI §4.2)
AoU-23UVLO_VEE 阈值 -6 V(典型),Tier-1 必保证 VEE 静态 ≤ -7 VAcceptVee 电源 -8 V(HSI §4.5),余量 1 V
AoU-34PWM 输入信号最小 50 ns 脉宽Reject系统需求 30 ns 窄脉冲 → 换更快 driver(选 UCC21750)+ 重 HARA
AoU-45温度 -40 ~ +125 °CCompensate系统工况 -40 ~ +140 °C → 加 thermal SM:T_sensor 监 ≥ 130 °C 降功率 50%(补偿 SM-T-01)
AoU-56DESAT_TH = VCE_sat @ 100% IloadCompensate系统 200% Iload 过载 5 ms 允许 → 加 SM:DESAT 软滤波 3 μs(补偿 SM-D-03)

4.3 AoU 接受闭环 checklist

§6 章 v1.0 lock 前 Safety Manager 必逐条过 4 项闭环 — 缺任一项 ASIL D 评审整章 reject,因为 SM AoU 是 Safety Case G3 strategy 的核心证据链:

  • 每条 AoU 必有 decision(空 = ASIL D reject)
  • 每条 Reject 必有替代方案文档 ID(空 = reject)
  • 每条 Compensate 必有补偿 SM ID + V&V 测试 ID + FMEDA 行 ID(三个齐 = pass)
  • AoU 整体 trace:Tier-2 SM AoU ID → DIA §6 决策 → Tier-1 HSI 段 → V&V 测试 ID(5 层 trace)

5. §8 Tool Qualification 互信 — 谁 qualify + 是否 share

§8 是 DIA 中工程量最大但易漏的章。每个三方共用的 tool 必有 4 字段:

ToolOwnerTCL(per ISO 26262-8:2018 §11)是否 share
Polarion(需求工具)Tier-1TCL1Yes(Tier-2 readonly access)
MATLAB/Simulink + RTWTier-1TCL3(qualified by Tier-1)Yes(Tier-2 用 generated code)
Vector CANoe(总线测试)OEMTCL2(qualified by OEM)Yes(Tier-1/Tier-2 测试都引用)
Cadence Allegro(PCB)Tier-1TCL1No(Tier-1 internal)
TI ICEFLOW(driver IC 仿真)Tier-2TCL3(qualified by Tier-2)Yes(Tier-1 用其 spice model)
Polyspace(SW 静态)Tier-1TCL3(qualified by Tier-1)No

关键规则(ISO 26262-8 §11):

  • TCL3 tool 必有 qualification report(60-200 页) — owner 提供给三方
  • 引用方(非 owner)必有 "tool usage agreement" 章节,确认引用范围匹配 qualification scope
  • Tool 升级必走 ECN — 任何小版本变更都可能让 qualification 失效

6. SEooC virtual DIA 特殊性 — 无 OEM 时怎么签

SEooC(topic-seooc)由 Tier-2 在没有具体 OEM 项目时开发(如 TI ISO5852S、Infineon AURIX TC397)。Tier-2 不知道未来 OEM 是谁,DIA 怎么签?

6.1 Virtual DIA 解决方式

Tier-2 SEooC 阶段做 "virtual DIA"(也叫 AoU bundle),作为未来真实 DIA 的 template:

  • §1 Party:留空 OEM/Tier-1 字段,只写 "Tier-2 = TI"
  • §3 RACI:Tier-2 列自家行(SM/FMEDA/Tool),Tier-1 行留 placeholder
  • §4 Confirmation:Tier-2 自家 CR(SEooC SM Review),Tier-1/OEM CR 列 "TBD by Tier-1"
  • §6 SM AoU:最长章 — Tier-2 假设 50-200 条 AoU,作为 SM 附录交付
  • §8 Tool:Tier-2 自家 tool 已 qualify,标 "shareable to Tier-1 on request"

6.2 真实项目复活 virtual DIA

Tier-1 采用 SEooC 时,触发 6 步:

  1. Tier-2 把 virtual DIA + SM 交付 Tier-1
  2. Tier-1 § 6 AoU 套接(参本页 §4)— Accept / Reject / Compensate
  3. Tier-1 把 § 3 RACI placeholder 填上自家角色
  4. Tier-1 + Tier-2 重签 v1.0(virtual → real)
  5. Tier-1 + OEM 再签一份 DIA(OEM ↔ Tier-1 这层)
  6. OEM 拿 PPAP 审计时检查 两份 DIA 都齐 + Tier-2 SM AoU 全部 verify

SEooC virtual DIA 典型陷阱:

  • AoU 写太宽松(如 "温度 -40 ~ +85 °C")— 限缩太多车规场景,Tier-1 都 reject 换器件
  • 没列 Tool share — Tier-1 想用 Tier-2 spice model 仿真时 NDA 卡 3 月

7. 5 大写作反模式

DIA 写作 5 大反模式(每条都见过实际项目):

5 大写作反模式 — 接口漏一对 / RACI 空格 / 独立性误判 / AoU 没 verify / 变更不重 review

#反模式真实后果正确做法
1接口漏一对(只签 OEM↔Tier-1,漏 Tier-1↔Tier-2 软件方)PPAP 审计 fail,delay ship 3 月§ 1 必列全部接口对(物理 + 逻辑 + 跨组织软件)
2RACI 空格 / 多 A(行 5 SM 写两个 A)ASIL D Confirmation reject,整章重写每行强约束 1 个 A + 三方覆盖 C/I
3Confirmation 独立性误判(写 "Tier-1 自家 SafetyMgr 做 CR-1")I3 直接 N,project 评估 PA1 Not AchievedCR-1 必独立部门 / CR-2 + CR-3 必 I3
4AoU 没 verify(80 条 AoU 只 Accept 没 Reject/Compensate)项目末期发现 1 条 AoU 系统不满足,V&V 整章 reject每条 AoU 必 Accept/Reject/Compensate 三选一
5变更不重 review(Tier-2 ECO 改 1 个 spec,Tier-1 没收到通知)量产后 driver UVLO 阈值变,炸 200 台车§5 ECN 必 trigger 三方重 review(任何 SM 字段变化)

8. ASIL D DIA Review 6 项 checklist

ASIL D 项目 DIA v1.0 lock 前,Safety Manager 必逐项过 6 项 checklist:

#检查项通过标准
1§ 1 接口对完整性列出 OEM↔Tier-1 + Tier-1↔每个 Tier-2 + 跨组织软件对,无遗漏
2§ 3 RACI 每行 1 A50 格全填,每行强约束 1 A,C/I 三方覆盖
3§ 4 Confirmation 独立性CR-1 I2 独立部门 + CR-2/CR-3 必 I3(SGS/TÜV)+ 三方共担 fund
4§ 6 AoU 全部 verify每条 AoU 必有 decision + Reject 必有替代方案 + Compensate 必有补偿 SM + V&V + FMEDA 三齐
5§ 8 Tool qualification 完整每 TCL3 tool 必有 qualification report,Owner + share 标志明确
6三方签字 + I3 签字 + 法务文件柜归档法人章 + Safety Manager 签字 + I3 签字,Polarion lock + 法务文件柜归档

Review 通过率:typical Tier-1 首版 DIA 一次 lock 率 < 30%,常因 #2(RACI 空格)+ #4(AoU 没 verify)被 reject 1-2 轮。

缩写表
缩写全称
AoUAssumption of Use
CRConfirmation Review
DIADevelopment Interface Agreement
DTCDiagnostic Trouble Code
ECN / ECOEngineering Change Notice / Order
FMEDAFailure Modes, Effects, and Diagnostic Analysis
FSARFunctional Safety Assessment Report
FSC / TSCFunctional / Technical Safety Concept
HARAHazard Analysis and Risk Assessment
HSIHardware-Software Interface
I2Independent Department (内部独立部门) Audit
I3Independent (Third-party) Reviewer
IDDItem Definition Document
IP / IPRIntellectual Property / IP Rights
OEMOriginal Equipment Manufacturer
PPAPProduction Part Approval Process
RACIResponsible / Accountable / Consulted / Informed
SEooCSafety Element out of Context
SGSafety Goal
SMSafety Manual
SOPStart of Production
TCLTool Confidence Level(per ISO 26262-8 §11)
V&VVerification & Validation

核心要点
  • DIA 是合同不是工程文档 — 每个字有法律效力,密度最高,8 章 15-35 页能管整个项目的责任分配
  • 5 阶段 SOP 共 6-10 周,最大风险在 ② SM 评估(Tier-1 verify Tier-2 AoU)
  • §3 RACI 5 角色 × 10 工件 = 50 格 — 每行 1 A,C/I 三方覆盖,空格 = ASIL D reject
  • §4 Confirmation 3 review 独立性 — CR-1 I2 内部独立部门 + CR-2 / CR-3 必 I3
  • §6 AoU 接受三选一 — Accept(已满足)/ Reject(给替代)/ Compensate(给补偿 SM + V&V + FMEDA)
  • §8 Tool qualification 互信 — TCL3 tool 必有 60-200 页 qualification report,owner + share 标志
  • SEooC virtual DIA = AoU bundle,Tier-1 采用时填 RACI placeholder + 重签 v1.0
  • 5 反模式真实代价:接口漏对(delay 3 月)/ RACI 空格(整章重写)/ 独立性误判(PA1 Not Achieved)/ AoU 没 verify(V&V reject)/ 变更不重 review(量产事故)
  • ASIL D Review 6 项 — 接口完整 / RACI 1A / Confirmation 独立 / AoU verify / Tool qualify / 三方签字
  • 首版 lock 率 < 30%,典型 1-2 轮 reject 才过

Engineering Objects
  • process_dia_5stage_sop(5 阶段 SOP — party / SM 评估 / clause draft / 三方联评 / v1.0 lock)
  • process_aou_verify(SM AoU Accept/Reject/Compensate 三选一)
  • process_raci_50cell(5 角色 × 10 工件 50 格)
  • process_confirmation_3review(CR-1 / CR-2 / CR-3 独立性约束)

Cross-references