EV 主驱 ASIL D 项目总线 — 18-24 个月交付物流转 + V-cycle 全站 worked 导览

功能安全L7别名 ASIL D 项目总线 · ASIL D 项目时间线 · EV 主驱安全项目 worked · functional safety project timeline · V-cycle 交付物流转

本质与导读

本质 ASIL D 项目的难点不在单颗器件,而在交付物的装配接口:功能安全是一条从整车 hazard 倒推到每颗 fault、再正向论证回 Safety Goal 的单一逻辑链,断任何一环 Safety Case 就站不住,而断点几乎全在交接处。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 为什么需要"项目总线"视角

单篇 deep 是"零件说明书",回答"这个零件怎么造"。但 ASIL D 项目的本质是一条 18-24 个月、跨 7-8 个 FTE、上百份交付物的装配线,它的失败模式不在零件而在装配接口。从第一性原理看,功能安全论证是一条单一逻辑链:整车 hazard 倒推到每颗器件 fault,再正向论证回 Safety Goal —— 这条链断任何一环,整个 Safety Case 就站不住,而断点几乎全发生在交付物交接处。

项目总线视角要解决三个散页解决不了的硬约束。第一是时间约束:I3 功能安全评估(Functional Safety Assessment,I3 指其要求的独立性等级)有固定 milestone,M1 要在概念阶段结束前过,这反向锁死了 HARA / FSC 必须在第几个月冻结。第二是双向可追溯(bidirectional traceability):ISO 26262 强制每条安全需求向上连到 SG、向下连到实现与验证,断链在 I3 会被直接判 NC(Non-Conformity)。第三是交付物时序耦合:HSI 文档没冻结,HW vendor 和 SW team 就不能并行开工,排错一个交付物的冻结点会让整条线停摆几周。

2. 18-24 个月项目时间线

项目时间线的骨架是三个等长阶段,各占约 1/3,这不是巧合而是 ISO 26262 工作量的自然分布:概念阶段(HARA → FSC/TSC)定义"做什么",开发集成阶段(HW/SW 设计 → 集成)实现"怎么做",验证评审阶段(V&V → FSAR → I3)证明"做对了"。下图把 24 个月、三阶段、5 个 I3 milestone、以及主要交付物的投放点排在一条线上。

EV 主驱 ASIL D 项目 24 个月时间线 — 概念/开发集成/验证评审三阶段各占 1/3,M0-M4 I3 milestone 节点,以及 Safety Plan / HARA / FSC / TSC / HSI / FMEDA / V&V / Safety Case 各交付物的冻结投放点

2.1 三阶段切分

概念阶段(约 0-7 月)是信息密度最高、返工成本最低的阶段,所有后续工作的输入都在这里冻结:Item Definition、HARA、Safety Goal、FSC、初版 TSC。这一阶段的产出错误如果漏到开发阶段才发现,返工成本会放大 10 倍以上,所以 I3 的 M1(概念评审)卡在这里出口。

开发集成阶段(约 7-16 月)是并行度最高、接口最多的阶段:HW 设计、SW 设计、HSI 接口、FMEDA 量化同时推进。这一阶段成败的关键单点是 HSI 文档冻结时刻 —— 它是 HW vendor 与 SW team 之间唯一的契约,冻结晚一周、整条并行线就顺延一周。

验证评审阶段(约 16-24 月)是自由度最低的阶段:V&V 计划在前期就已写死,这里只是执行 + 收集证据 + 组装 Safety Case。这一阶段最大的风险是"V&V 暴露设计缺陷"——若 Fault Injection 测出某个 SM 实际不触发,意味着要回退到 HW/SW 设计,代价极高,所以前期 FMEDA 的假设质量直接决定这一阶段的平顺度。

2.2 I3 milestone 编排

I3(由 TÜV Süd / Rheinland / SGS / DEKRA 等做的独立评估)不是项目末尾一次性签字,而是沿时间线分 5 个 milestone 逐段确认,每个 milestone 卡住对应阶段的出口。下表是典型编排,时间点以 24 个月项目为基准。

Milestone	时点	确认对象
M0 Plan	~1 月	Safety Plan + Item Definition 完整性
M1 Concept	~7 月	HARA + FSC + 初版 TSC,ASIL 推导可辩护
M2 System	~13 月	TSC + HSI + HW/SW SR 双向追溯闭合
M3 Audit	~20 月	安全过程合规(FS Audit:对照 Safety Plan / ISO 26262 流程,ASPICE 为另设并行门)+ 配置管理审计
M4 Assessment	~24 月	FMEDA/FTA 数字达标 + Safety Case + FSAR 签字

里程碑编排的工程含义是:每个 milestone 反向锁死上游交付物的冻结日。M1 在 7 月 → HARA 必须 6 月底冻结 → Item Definition 必须 3 月底冻结。排项目计划时是从 I3 milestone 倒推交付物 deadline,而不是正向估工时。详见 Confirmation Measures 深度对 M0-M4 的拆解。

3. 交付物流转与双向 traceability

项目总线的"信号线"是交付物之间的 traceability 链。从第一性原理看,ISO 26262 要求的不是"写齐文档",而是每条安全需求都能双向走通:向上回答"我为哪条 SG 服务",向下回答"我被什么实现、被什么验证"。下图把一条 SG 如何逐级细化成器件级需求(下行)、又如何被 FMEDA 与 V&V 回证(上行)画成闭环。

ASIL D 交付物双向 traceability 流转 — 下行 SG→FSR→TSR→HSI→HW/SW SR→器件,上行器件 fault→FMEDA→FTA→V&V→Safety Case 回证 SG,每份交付物标注产出方与签字方

3.1 下行 — SG 怎么逐级细化成器件需求

下行链是逐级具体化的过程,每一级回答上一级"怎么实现"。Safety Goal 是最抽象的安全意图(如"防止非预期扭矩 > ±10%"),它先被 FSC 拆成功能层的 FSR(功能安全需求,描述"系统该有什么安全行为"),再被 TSC 拆成 TSR(技术安全需求,绑定到具体架构与 SM),TSR 再经 HSI 切分成 HW 安全需求与 SW 安全需求,最后落到每颗器件的诊断与失效率要求。

每一级细化都不能凭空增减安全意图 —— 这是 traceability 的核心约束。下一级需求集合必须完整覆盖且不超出上一级,多出的需求说明引入了未授权的复杂度,缺失的需求说明 SG 没被完整实现。FSR/TSR 的字段模板与反模式见 FSR/TSR 写作深度,HSI 的 12 章模板与 timing 追溯见 HSI 写作深度。

3.2 上行 — FMEDA / V&V 怎么回证 SG

上行链是逐级聚合证据的过程,回答"做了的东西真的够吗"。每颗器件的失效模式经 FMEDA 自底向上累加,算出整个安全相关硬件的 SPFM(单点故障度量)、LFM(潜伏故障度量)、PMHF(随机硬件失效概率)。ASIL D 的硬约束是 $SPFM \geq 99%$ 、 $LFM \geq 90%$ 、 $PMHF \leq 10 FIT$ (每 FIT 即 $1 0^{- 9} / h$ )。

FMEDA 给的是概率证据,FTA(故障树)从顶事件向下回溯给的是逻辑证据(最小割集),V&V 用 Fault Injection 给的是实测证据(SM 真的触发了 safe state)。三类证据合起来,经 Safety Case 的 GSN(Goal Structuring Notation)论证树组装成"SG 已满足"的完整 argument。FMEDA 数学见 FMEDA 深度,ECU 级三链合并见 EV ECU FMEDA 集成深度,GSN 论证树写法见 Safety Case GSN 写作深度。

3.3 交付物 RACI 与签字

traceability 链上每份交付物都有明确的产出方与签字方,签字断层是 I3 高频 NC。下表列主干交付物的责任归属,R = 负责产出,A = 批准签字。

交付物	R 产出	A 签字
Safety Plan	Safety Manager	项目总监 + I3
HARA + SG	Safety Engineer	Safety Manager + I3(M1)
FSC / TSC	系统架构师	Safety Manager
HSI	系统 + HW + SW 三方	Safety Manager(M2)
FMEDA	HW Safety Engineer	Safety Manager
FSAR	Safety Manager	I3 Assessor(M4)

角色边界(Anchor / Manager / Engineer)与 RACI 全图见 Safety Manager 角色深度。

4. V-cycle 全站 deep 导览

把项目总线当"作战地图",每一站都对应 wiki 上一篇可直接照做的 deep —— 这是把 40+ 散页当工具书用的索引。下图按 V-cycle 顺序把 14 站与对应 deep 排在一起,星标的是本仓库已有完整工程化写作模板的站点。

V-cycle 14 站 deep 导览地图 — 左臂概念设计(HARA/FSC/TSR/HSI)、底部实现、右臂集成验证(FMEDA/FI/V&V/FSAR),每站链向对应 wiki 工程化 deep,标注已有写作模板的站点

V-cycle 左臂(概念 + 设计)各站与对应 deep:HARA 用 HARA Worked Example,需求细化用 FSR/TSR 写作,接口用 HSI 写作,时间预算用 FTTI 预算分解深度,安全状态用 Safe State Manager 深度。

V-cycle 右臂(集成 + 验证)各站与对应 deep:量化分析用 FMEDA / FTA 深度 / CCF 共因失效深度,故障注入用 Fault Injection Test 深度,硬件实现用 Lockstep Core 深度,软件约束用 MISRA-C 2012 深度,最终论证用 FSAR 深度。横向贯穿的 supporting 用 Tool Qualification 深度与 Confirmation Measures 深度。

5. 一条 SG 走完全程的 worked

把抽象的总线落到一条具体 Safety Goal 上,最能看清流转。取 EV 主驱最经典的 hazard —— 非预期加速(Unintended Acceleration,UT = Unwanted Torque),它在高车速、不可控的工况下评为 S3/E4/C3,推出 ASIL D。下面按时间线走完这条 SG 的全程,每站只记"实际产出 + 关键数字 + 喂给下游什么"。

第一阶段冻结的是意图与时序。HARA 输出 SG:"防止驱动方向非预期扭矩 > ±10% 额定值",并定 FTTI(Fault Tolerant Time Interval,故障容错时间)= 100 ms —— 这个数字直接喂给后续所有 SM 的反应窗口预算。FSC 把 SG 拆成功能需求:独立的扭矩监控通道 + 安全状态切换。TSC 落到架构:主 MCU 算扭矩,安全 MCU(Lockstep)做独立监控,超限触发 safe state = ASC(主动短路)或 STO(安全转矩关断)。

第二阶段把时序与架构落成器件需求与实现。FTTI 100 ms 经 FTTI 预算分解拆成 FDTI(检测)+ FRTI(反应):取检测 ≤ 40 ms、反应 ≤ 60 ms,反推扭矩监控采样率 ≥ 1 kHz。HSI 文档冻结 HW/SW 接口:扭矩信号的精度、刷新率、诊断标志位定义。HW 设计选 Lockstep 安全 MCU(器件级实现见 TI Hercules TMS570 深度),SW 按 MISRA-C 编码并做扭矩合理性检查。

第三阶段聚合证据回证 SG。FMEDA 算出扭矩监控链的 $SPFM = 99.2%$ 、 $PMHF = 8 FIT$ ,过 ASIL D 阈;若某子链不过(如 driver 链典型 SPFM 仅 90.9%),则按 Driver IC FMEDA worked 的方法用系统级 SM 或 $B (D) + B (D)$ 分解补救。Fault Injection 实测注入扭矩传感器失效,确认 80 ms 内切入 ASC(< FTTI 100 ms)。最后 Safety Case GSN 树把 HARA 的 SG 与这些证据连成闭环,FSAR 签字闭合,M4 通过。

这一条线就是项目总线的缩影:每个数字都有上游来源、每份产出都有下游去处,中间任何一站断链(如 FTTI 没拆到采样率、FMEDA 假设的 SM 没在 SW 实现),整条 ASIL D 论证就在 I3 被打回。

6. 项目失败的 5 个 traceability 断点

总线视角下,ASIL D 项目最常见的翻车都是接口断链而非单件做不出。下面 5 个断点是 I3 评审高频 NC,且都源于交付物交接处的疏漏,在项目早期堵住的成本远低于后期返工。

第一个断点是 SG 与 FSR 的覆盖缺口:FSR 集合没完整覆盖 SG 的所有失效方向(如只防"扭矩过大"漏了"扭矩反向"),M1 直接判 NC。第二个是 TSR 没绑定 SM:TSR 写了"应监控扭矩"但没指定由哪个 SM、用什么诊断,导致 FMEDA 无法给该需求算 DC(诊断覆盖率)。第三个是 HSI 漏 timing 约束:接口只定义了信号语义没定义刷新率与时延,SW team 按自己理解实现,集成时才发现不满足 FTTI。

第四个断点是 FMEDA 假设与实现脱节:FMEDA 为达标假设了某 SM 存在并给了 DC,但该 SM 在 SW 里从未实现 —— 这个断点最危险,因为它直到 V&V 的 Fault Injection 才暴露,此时返工要回退到设计阶段。第五个是 Safety Case 证据悬空:GSN 树的某个 solution 节点引用了一份不存在或未签字的证据文档,FSAR 闭合时 I3 逐条核验会查出。5 个断点的共性是双向 traceability 工具链没强制约束,根治手段是用 Polarion 等需求管理工具做 traceability 矩阵的自动完整性检查,而非靠人工审。

核心要点

项目总线视角解决散页解决不了的三件事:I3 milestone 时间约束、双向 traceability、交付物时序耦合
18-24 个月分三阶段各 1/3:概念(定义)/ 开发集成(实现)/ 验证评审(证明),I3 的 M0-M4 卡在各阶段出口
下行 SG→FSR→TSR→HSI→器件逐级具体化(完整覆盖且不超出),上行器件→FMEDA→FTA→V&V→Safety Case 逐级聚合证据回证 SG
ASIL D 量化硬约束: $SPFM \geq 99%$ / $LFM \geq 90%$ / $PMHF \leq 10 FIT$
5 个高频 NC 全是交付物接口断链,根治靠 traceability 工具自动核验而非人工审

缩写表

缩写	全称	含义
SG	Safety Goal	安全目标,最高层安全意图
FSR / TSR	Functional / Technical Safety Requirement	功能 / 技术安全需求
HSI	Hardware-Software Interface	硬件软件接口文档
FMEDA	Failure Modes Effects and Diagnostic Analysis	失效模式影响与诊断分析
FTTI	Fault Tolerant Time Interval	故障容错时间间隔
FDTI / FRTI	Fault Detection / Reaction Time Interval	故障检测 / 反应时间
SPFM / LFM	Single-Point / Latent Fault Metric	单点 / 潜伏故障度量
PMHF	Probabilistic Metric for random HW Failures	随机硬件失效概率度量
FIT	Failures In Time	每 $1 0^{9}$ 小时失效数
I3	Functional Safety Assessment	功能安全评估(第三方),I3 是其要求的独立性等级(ISO 26262-2 §6.4)
NC	Non-Conformity	不符合项
ASC / STO	Active Short Circuit / Safe Torque Off	主动短路 / 安全转矩关断
GSN	Goal Structuring Notation	目标结构化论证记法
RACI	Responsible Accountable Consulted Informed	责任分配矩阵

7. 一句话总结

ASIL D 项目不是 40 件事的清单,而是一条 18-24 个月的装配线 —— 价值在接口不在零件。 把时间线(I3 M0-M4 倒推交付物冻结日)、双向 traceability(SG ↕ 器件证据闭环)、全站 deep 导览三者合起来,就是从概念走到 FSAR 不断链的项目总线。翻车几乎全在交付物交接处,根治靠 traceability 工具强制核验。每一站要照做时,翻对应的 wiki deep 即可。

Cross-references

← 索引
ISO 26262 V-cycle 全栈 hub — 按 Part 组织的标准视图
功能安全工程师指南 — 按学习路径组织的 6 个月视图
ASIL D 端到端实现案例 — 静态论证链 + 扭矩/热两案例
HARA Worked Example 深度 — 项目第一站
EV ECU FMEDA 集成深度 — 量化回证主战场
FSAR 深度 — 项目终点交付物