FSAR 深度 — Functional Safety Assessment Report + I3 评审

功能安全L2别名 FSAR · Functional Safety Assessment Report · 功能安全评审报告 · I3 评审

本质与导读

本质 FSAR 是 ISO 26262 项目最终交付物——把 HARA 到量产的完整安全证据链汇总成一份可签字的报告;过不了 I3 独立评审就不能量产。关键不在写得多全,而在证据链闭合且独立性(独立于 department 的 confirmation review,ASIL D 强制)成立,缺一环即拒签、项目延期。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. FSAR 11 大段结构 + I3 评审 4 步

下图把 FSAR 结构 + I3 评审流程一次说清:

FSAR 11 大段 + I3 评审 4 步

FSAR 11 大段对应 ISO 26262 各 Part 输出:

项目范围 + Item 定义 — Part 3 §6
Safety Goals — Part 3 §7 (HARA 输出)
FSC + TSC + HSI — Part 3 §8 + Part 4 §6
Hardware 安全分析 — Part 5 (FMEDA + FTA + PMHF)
Software 安全分析 — Part 6 (单元 + 集成 + Coverage)
Tool Qualification — Part 8 §11
DIA + 供应链证据 — Part 8 §5 + Part 10
V&V 报告 — Part 4 §8 + Part 5 §10 + Part 6 §9
DFA 6 项独立性 — Part 9 §7
Confirmation I0/I1/I2/I3 — Part 2 §6.4.9 Table 1
残余风险评估 + 批准签字 — Part 2 §6.4.13 (Release for production;残余风险论证可作为 §6.4.12 功能安全评估的一部分)

2. ① Item 定义 + 项目范围

FSAR 第一段把项目边界精确化:

Item 名称:e.g., "EV main inverter PEU-XYZ"
Item Boundary:对外接口 (CAN-FD × 2 / 24V power / 800V HV / 3-phase output)
Operating modes:Standby / Charge / Discharge / Fault
Item ASIL:ASIL D
Item Owner:Tier-1 主驱厂(责任主体)

关键:Item 边界外的责任在 OEM,FSAR 内只评 Item 内部安全。

3. ② Safety Goals (SG)

每个 SG 必含 5 项:

SG ID	描述	ASIL	FTTI	关联 Hazard
SG-001	主驱扭矩跟随驾驶员意图	D	100 ms	HZ-001 意外加速
SG-002	主驱不产生反向扭矩	D	80 ms	HZ-002 误倒退
SG-003	高压母线不超 950V	C	50 ms	HZ-003 母线过压
SG-004	主驱不产生意外刹车扭矩	D	100 ms	HZ-004 误刹车

链接到 topic-hara-worked-example-deep。

4. ③ FSC + TSC + HSI

Safety Goal 拆解链:

FSC (Functional Safety Concept) — 抽象方法 (Part 3 §8)
TSC (Technical Safety Concept) — 具体技术 (Part 4 §6)
HSI (Hardware-Software Interface) — HW/SW 接口契约 (Part 4 §7)

FSAR 必引用 TSC / HSI 文档 ID + 评审记录。

5. ④ Hardware 安全分析

HW 分析 3 件:

5.1 FMEDA

FMEDA 的工程特点 + 应用场景:

SPFM / LFM / PMHF 计算结果
必带 FIT 库来源(SN 29500 / IEC 62380 / 供应商提供)
ASIL D 目标:SPFM ≥ 99% / LFM ≥ 90% / PMHF ≤ 10 FIT

5.2 FTA

FTA 的工程特点 + 应用场景:

顶事件 = SG 违背
与 FMEDA 互补
Risk Spectrum / FaultTree+ 工具输出

5.3 FIT 数据 + 老化

FIT 数据 + 老化的工程特点 + 应用场景:

必有第三方 FIT 数据(SN 29500 / 供应商)
老化模型 Arrhenius / power law
Tavg 计算

6. ⑤ Software 安全分析

SW 分析 4 件:

6.1 Coverage 报告

Coverage 报告的工程特点 + 应用场景:

Statement / Branch / MC/DC 覆盖率
ASIL D MC/DC ≥ 90%
工具:VectorCAST / Polyspace / LDRA

6.2 MISRA C 合规

MISRA C 合规的工程特点 + 应用场景:

MISRA C 2012 / MISRA C++ 全规则
Polyspace Bug Finder 输出
偏离必有 deviation 文档

6.3 单元 / 集成测试报告

单元 / 集成测试报告的工程特点 + 应用场景:

测试计划 + 用例 + 结果 + 通过率
失败用例必带 root cause

6.4 SW Tool Qualification

SW Tool Qualification 的工程特点 + 应用场景:

编译器 (Tasking / GHS) cert
静态分析 (Polyspace) cert
配置管理 (Polarion) cert

7. ⑥-⑦ Tool Qualification + DIA

Tool Qualification 的核心证据:

所有 ASIL D 项目用工具的 TQL / TÜV cert
见 topic-tool-qualification-deep

DIA 跨组织接口:

OEM ↔ Tier-1 ↔ Tier-2 责任边界
SEooC 情况下供应商证据
见 topic-tsc-dia

8. ⑧-⑨ V&V + DFA

V&V 报告完整链:

单元测试 (Polyspace)
集成测试 (HIL)
HIL Fault Injection
车辆级测试

DFA 6 项独立性:

在 ASIL D = B(D) + B(D) 分解场景
见 topic-asil-decomposition-deep

9. I3 评审 4 个 Milestone

I3 评审分 4 个 milestone,每个 milestone 出独立报告:

9.1 M0 — 计划评审

M0 计划评审的工程特点 + 应用场景:

Project Safety Plan 评审
时间 / 资源 / DIA / 工具 / 培训计划
项目启动后 1-3 个月
输出:M0 报告 + Action Items

9.2 M1 — HARA + FSC 评审

M1 HARA + FSC 评审的工程特点 + 应用场景:

HARA + Safety Goals + FSC + DIA
项目启动后 6-9 个月
输出:M1 报告

9.3 M2 — TSC + 设计评审

M2 TSC + 设计评审的工程特点 + 应用场景:

TSC + HSI + HW + SW + FMEDA
项目启动后 12-15 个月
输出:M2 报告

9.4 M3 — V&V + 量产评审

M3 V&V + 量产评审的工程特点 + 应用场景:

完整 V&V + 残余风险 + DFA
项目启动后 18-24 个月
输出:最终 FSAR 批准签字

10. I0/I1/I2/I3 评审等级

ISO 26262 Part 2 §6.4.9 Table 1 定义 4 级独立性(按 confirmation measure × ASIL 选取,非 1:1 对应 ASIL 行):

等级	独立性	说明	评审员
I0	不同人即可(should)	建议执行;若执行须由非作者本人做	非作者本人
I1	不同人(shall)	强制独立于创建 work product 的人	不同人(强制)
I2	独立于 team	不向同一直接上级汇报	独立 team
I3	独立于 department	管理 / 资源 / release authority 三独立(可公司内独立部门承担)	独立 department

ASIL D 关键 work product 的 confirmation review 与 functional safety assessment 需 I3 独立性(独立于 department,可由公司内独立部门承担)。第三方 assessor(TÜV Süd / TÜV Rheinland / SGS / DEKRA / Lloyd's Register)是 OEM/行业商业惯例,而非 ISO 26262 对 I3 的定义 —— 标准只要求 department 级独立,内部独立部门即可满足 I3。

11. I3 评审 5 个常见拒签 root cause

I3 拒签 = 项目延期 6-12 个月,常见原因:

11.1 FMEDA 边界不明

FMEDA 边界不明的工程特点 + 应用场景:

SafeState 内/外组件没区分清
assumed coverage 没证据

11.2 Tool Qualification 缺

Tool Qualification 缺的工程特点 + 应用场景:

用了未 cert 的 tool 但没做 TQ
国产工具尤其常见

11.3 DIA 缺供应商证据

DIA 缺供应商证据的工程特点 + 应用场景:

用了 SEooC 但没拿到 vendor safety manual
Tier-2 没签 DIA

11.4 DFA 6 项不全

DFA 6 项不全的工程特点 + 应用场景:

Decomposition 用了但 DFA 6 项独立性证据不全
热 / EMC / 共因失效证据缺

11.5 残余风险无 acceptance criteria

残余风险无 acceptance criteria 的工程特点 + 应用场景:

风险列出来但没说 "为什么可接受"
必带 OEM 接受函

12. FSAR 写作 4 个实用建议

实战 FSAR 写作技巧:

早期启动模板 — 项目 M0 阶段就启动 FSAR 模板填空
持续更新 — 不要等 M3 才开始写,每月增量
引用而非复制 — FSAR 是 evidence pointer,不是文档 copy
图表为主 — 评审员爱看 SVG / Mermaid 图,不爱看 prose

13. 国内 I3 assessor 资源

中国市场 ASIL D I3 assessor 6 家:

TÜV Süd 中国 — 主驱 / BMS 主流
TÜV Rheinland 中国 — OBC / 充电桩
SGS 中国 — 较新,价格中等
DEKRA 中国 — 仪表 / ADAS
国汽智联 — 国产 OEM 友好
CATARC — 国家级,周期长

价格区间:100-300 万 RMB / 项目 (ASIL D, 18-24 个月)。

14. 一句话总结

FSAR = ISO 26262 项目的"出生证" — 没 FSAR 签字不能量产。I3 独立性(可公司内独立部门;OEM 多要 TÜV Süd 等第三方)4 milestone 评审 (M0/M1/M2/M3) 跨 18-24 个月,每 milestone 都可能拒签 → 项目延期。FSAR 写作必早启动,整个项目 V&V / DFA / Tool Qualification 都为 FSAR 服务。常见拒签 root cause = FMEDA 边界 / Tool Q / DIA / DFA / 残余风险接受。新项目 M0 阶段就该启动 FSAR 模板。

核心要点

FSAR 必含 11 大段,覆盖 HARA → V&V → 残余风险全链
I3 (独立于 department,可公司内独立部门) 4 milestone (M0/M1/M2/M3) 评审,ASIL D 关键 work product 要求
I3 是独立性等级(department 级);TÜV Süd / Rheinland / SGS / DEKRA 等第三方是 OEM/行业商业惯例,非 ISO 对 I3 的定义
拒签 5 大 root cause:FMEDA / Tool Q / DIA / DFA / 残余风险
评审周期 18-24 个月,成本 100-300 万 RMB

缩写表

只列本页用到的工业标准缩写;通用英语…

只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的 层/Lx tag 不列。覆盖不到的术语见正文 inline 注释。

缩写	全称	中文 / 备注
ISO	International Organization for Standardization	国际标准化组织
HARA	Hazard Analysis and Risk Assessment	危害分析与风险评估,part 3
ASIL	Automotive Safety Integrity Level	ISO 26262 安全完整性等级 QM→A→B→C→D
SG	Safety Goal	安全目标(ISO 26262-3)
FSC	Functional Safety Concept	功能安全概念(part 3)
TSC	Technical Safety Concept	技术安全概念(part 4)
DIA	Development Interface Agreement	开发接口协议(ISO 26262-8)
DFA	Dependent Failure Analysis	相关失效分析(ISO 26262-9)
FMEDA	Failure Modes, Effects and Diagnostic Analysis	含诊断覆盖的 FMEA
FTA	Fault Tree Analysis	故障树分析
PMHF	Probabilistic Metric for Hardware Failures	硬件随机失效概率指标
EV	Electric Vehicle	电动车
CAN-FD	CAN with Flexible Data-rate	灵活数据率 CAN
HV	High Voltage	高压(车规通常 ≥60 V)
OEM	Original Equipment Manufacturer	整车厂 / 主机厂
FTTI	Fault Tolerant Time Interval	容错时间间隔
SPFM	Single-Point Fault Metric	单点失效度量
LFM	Latent Fault Metric	潜伏故障度量
FIT	Failures In Time	1e9 小时失效率单位 (1 FIT = 1 failure / 1e9 h)
IEC	International Electrotechnical Commission	国际电工委员会
DC	Diagnostic Coverage	诊断覆盖率 (功能安全语境)
QM	Quality Management	ISO 26262 最低等级,只走质量流程
EMC	Electromagnetic Compatibility	电磁兼容
BMS	Battery Management System	电池管理系统
OBC	On-Board Charger	车载充电机

Cross-references

← 索引
功能安全工程师指南 hub — V-cycle + 8 大主题
HARA Worked Example — FSAR 第一段输入
Confirmation Measures 深度 — I0/I1/I2/I3 完整定义
Tool Qualification 深度 — TQ 是 FSAR 第 6 段证据
ASIL Decomposition 深度 — DFA 是 FSAR 第 9 段证据
Functional Safety 工具栈 — Polarion 等工具支撑 FSAR