功能安全工程师指南 — V-cycle + 8 大深度主题

HARA 核心概念:

• 4 件输出:Hazard list / S/E/C / ASIL / Safety Goal
• 区分 ISO 26262 (故障) vs SOTIF (场景不当)
• ASIL = S × E × C (Annex B Table B.4)

HARA 必读:

• HARA Worked Example 深度 — 主驱意外加速 ASIL D 完整推导
• HARA 浅入门 — 概念入门

FSC + TSC 核心概念:

• SG → FSC (抽象) → TSC (技术) → HSI (HW/SW 接口)
• DIA (Development Interface Agreement) 跨组织
• SEooC (Safety Element out of Context) 供应商角色

FSC + TSC 必读:

• TSC + DIA 深度 — SG → FSC → TSC 拆解链 + DIA 责任合同
• HSI Document
• SEooC

FMEDA + FTA + LFDT 核心概念:

• FMEDA bottom-up → SPFM / LFM / PMHF
• FTA top-down → Minimal Cut Set
• LFDT = Latent Fault Detection Time
• ASIL D 目标:SPFM ≥ 99%,LFM ≥ 90%,PMHF ≤ 10 FIT

FMEDA + FTA + LFDT 必读:

• FMEDA 深度
• FTA 深度
• LFDT 深度
• DFA / FMEDA / FTA

HW + SW 核心概念:

• Lockstep:dual-CPU + CCC,ASIL D 单核 PMHF 物理约束
• MISRA-C 2012:156 规则,Mandatory 14 / Required 102 / Advisory 40
• ASIL Decomposition:D = B(D) + B(D)

HW + SW 必读:

• Lockstep Core 深度 — Aurix DCC / S32K3 split-lock
• MISRA-C 2012 深度 — 156 规则
• ASIL Decomposition 深度 — D = B(D) + B(D)

V&V + Fault Injection 核心:

• 单元测试 → 集成测试 → HIL → 车辆级
• Fault Injection 验证 SafeState 切换
• HIL: dSPACE SCALEXIO + Vector CANoe

V&V + Fault Injection 必读:

• Fault Injection Test 深度
• Fault Injection Examples
• SafeState Manager 深度

AUTOSAR Safety BSW 核心:

• 5 大 module:WdgM / E2E / Safety OS / MPU drv / CRC drv
• 占资源 ROM 110-200KB / RAM 30-70KB / CPU 18-30%
• Vector MICROSAR + EB tresos 主流

AUTOSAR Safety BSW 必读:

• AUTOSAR Safety BSW 深度
• CAN E2E + SecOC
• Freedom From Interference

FSAR + I3 核心:

• FSAR 11 段必含
• I3 (TÜV Süd / Rheinland / SGS / DEKRA) 4 milestone (M0/M1/M2/M3)
• 评审周期 18-24 个月,成本 100-300 万 RMB

FSAR + I3 必读:

• FSAR 深度
• Confirmation Measures 深度
• Tool Qualification 深度
• Safety Case

Safety 团队 + 量产核心:

• 3 角色:Anchor / Manager / Engineer
• RACI 矩阵
• 团队 7-8 FTE × 24 个月

Safety 团队 必读:

• Safety Manager 角色深度
• Functional Safety 工具栈
• ASPICE

V-cycle 入口 4 篇 — HARA 推 ASIL,FSC → TSC 落系统 / 硬件,HSI 文档 + SEooC 跨组织契约:

• HARA Worked Example
• TSC + DIA
• HSI Document
• SEooC

3 个量化分析方法各自负责"概率累加 / 因果回溯 / 寿命外推",合在一起覆盖 ISO 26262 Part 5 全部量化要求:

• FMEDA 深度
• FTA 深度
• LFDT 深度
• DFA / FMEDA / FTA

HW + SW 设计 8 篇 — Lockstep / MISRA / Decomposition / Safe State Manager / FTTI 预算 / TMS570 ASIL D MCU / SBC sequencing / SBC watchdog,ISO 26262 Part 5+6 主干 + 电源子系统硬件 SM:

• Lockstep Core 深度
• MISRA-C 2012 深度
• ASIL Decomposition 深度
• Safe State Manager 深度
• FTTI 时间预算分解 深度 — FTTI = FDTI + FRTI 微秒级账本,SSM 必须满足的故障反应窗口怎么拆+验证
• TI Hercules TMS570 ASIL D 深度 — 双核 lockstep 安全 MCU,channel B(D) 的器件级实现
• SBC 多 rail 上电时序 深度 — latch-up 防护 + sequencing 状态机,ASIL D 电源链入口
• SBC Watchdog 深度 — Simple / Window / Q&A 三档协议 + DFA 4 项独立性 = 分解 channel B 核心

V&V + AUTOSAR 4 篇 — 故障注入 / 安全 BSW / E2E SecOC / FFI 跨组件干扰隔离:

• Fault Injection Test 深度
• AUTOSAR Safety BSW 深度
• CAN E2E + SecOC
• Freedom From Interference

FSAR + I3 + 团队 6 篇 — FSAR 顶级文档 / Confirmation Measures / Tool Qual / 角色 / 工具栈 / Driver IC Safety Manual 阅读法(SEooC 接口必修):

• FSAR 深度
• Confirmation Measures 深度
• Tool Qualification 深度
• Safety Manager 角色
• Functional Safety 工具栈
• Driver IC Safety Manual 阅读法 深度 — 12 章模板 + AoU 第 ④ 章 + FMEDA 第 ⑥ 章 + integrator responsibilities 第 ⑨ 章 是必读三章

ISO 26262 主线之外,三件套 + DFA + SEooC + Fail-Op + STPA 工程化 6 篇深耕:

• ISO 21448 SOTIF 深度 — 防"没坏但不够好",L3+ AD 必修
• ISO 21434 Cybersecurity 深度 — TARA + CAL + SecOC,UN R155/R156 强制
• CCF 共因失效 深度 — DFA + 7 类 DFI + Beta Factor + Lockstep CCF
• SEooC 实战 深度 — Tier-2 ↔ Tier-1 接口工程,AoU + Safety Manual 闭合
• Fail-Operational Architecture 深度 — Mercedes/Honda/Tesla L3 拓扑 + 6 相双绕组 + DREHB + L3/L4 MRC + 5 类隐藏共因
• STPA 深度 — STAMP/CAST 三件套 + UCA 4→14 sub-types + L3 Highway Pilot CS + Loss Scenario 5 因 + STPA × ISO 26262 6 步整合 + STPA × SOTIF × 21434

FMEDA 数学方法跨到 AUX 电源链 + 主功率链工程化的 worked example,功能安全 × 低压辅助电源 / 驱动交叉:

• 辅助电源 FMEDA + DFA 深度 — 6 级 AUX 链 SPFM 99.25 / LFM 96.6 / PMHF $7\times 10^{-9}$ 过 ASIL D + 7 类 DFI × 6 stage 主战场矩阵 + I3 评审 8 段对标
• Driver IC FMEDA worked deep — 主功率链对偶 worked,6-pack SiC SPFM 90.9% 不过 ASIL D + 系统级补 + B(D)+B(D) 分解 + 7×6 DFI 矩阵 30 格红

SEooC 文档双向闭环:Tier-1 阅读 + Tier-2 写作:

• Driver IC Safety Manual 阅读法 — Tier-1 视角(怎么读 / 5 quick check)
• Safety Manual 写作模板深度 — Tier-2 供应商视角(12 章 + AoU 6 条 + IR 4 条 worked + I3 review 5 项)

把 §12.7 AUX + driver 两条单链 worked 串成完整 ECU 级 Safety Case:

• EV ECU FMEDA 总集成深度 — 三链合并(250 FIT)+ raw SPFM 96.5% 不过 → MCU SafeTLib + B(D)+B(D) 分解 → 单链 97.9% 过 B 阈 + Safety Case GSN tree 完整 worked + ISO 26262-10 §5.4 8 段对标 + I3 评审 5 大拦路 + FSAR 闭合 8 项
• EV 上下电系统级 FSM 深度 — 6 状态 FSM(STANDBY/BOOT/SAFE_CHECK/PRECHARGE/READY/ACTIVE)+ 5 条 power-down 路径 + Handoff Safety Contract 五段式 + ACTIVE → SAFE_STATE 三级递进 + FIT 36 案例 + Aurix TC397 worked 200 ms;与 FMEDA 总集成是时序协同姊妹页
• Driver IC 选型决策 深度 — 5 维 FOM(电气/隔离/保护/ASIL ready/隐性 cost)+ 4 层决策树(电压→ASIL→场景→保护 cost)+ 3 worked(EV 主驱 1ED3491Mc12N / 48V 双源 / 12V TI DRV8353)+ vendor 7 家排名 + 国产 5 家评估 + 6 陷阱 + 2-3 周项目 checklist;凝 16 张 driver 子 deep 为工程决策面

V-cycle 每个阶段都落一份合规文档,写不对就过不了 I3。这条线把"怎么写每份 work product"做成模板化 SOP,与 §12.8 的 Safety Manual 写作 + §2 的 HARA worked 合成完整文档交付链:

• Safety Plan 写作深度 — 10 章模板 + Milestone + RACI + Confirmation Strategy,项目启动第一份文档
• FSR / TSR 写作深度 — 8/10 字段模板 + 双向 traceability + 5 反模式,SG → FSC → TSC 落需求
• HSI Document 写作深度 — 12 章模板 + timing / shared-resource 双向追溯 + 5 反模式,HW/SW 接口契约
• DIA 写作深度 — 8 章模板 + RACI + SEooC AoU + Confirmation 共担,跨组织责任合同
• Safety Case GSN 写作深度 — 7 步 SOP + 5 defeater 修法 + Confidence Argument,FSAR 的论证骨架

§5(Lockstep)+ §12.3(TMS570)的器件级延伸:主流安全 MCU + 安全 SBC/PMIC 怎么把 ASIL D 落到硅片,以及 MCU+SBC 配对的整链:

• Infineon AURIX TC3xx FuSa 深度 — TriCore 1.6P / 3-Lockstep / SMU+FCCU / OPTIREG 配对 / ASIL D 整链
• Infineon OPTIREG TLE9243QK 安全 PMIC 深度 — AS-PMIC / WWD+FWD / Active RPP / HS-Driver / AURIX 路径
• NXP FS65 安全 SBC 深度 — Fail-Silent / Q&A WD / 5 SMPS / ASIL D 路径
• MPC5744P + MC33907/08 集成 — MCU+SBC 配对 ASIL D 完整 case study

V-cycle 量化分析(§4)与协同工程(§12.6)的前沿补充,处理"标准假设被击穿"与"无证据器件入安全系统"两类硬问题:

• Silent Data Corruption (SDC) 深度 — 静默误算如何击穿 ISO 26262 的 DC / LFM 假设,以及补偿手段
• 功能安全 × 信息安全协同工程 深度 — ISO 26262 与 ISO/SAE 21434 的 co-engineering 接口
• ISO 26262-8 §13 硬件要素评估 — 无 ISO 26262 证据的器件(COTS / 国产)怎么 qualify 进安全系统