功能安全(Functional Safety)
本质与导读
本质: 功能安全把"系统失效会不会伤人"作为独立维度(不是可靠性的延伸),用 ASIL 等级 + S × E × C 矩阵把抽象安全要求量化成 SPFM / LFM / PMHF 三个硬件度量;ISO 26262 是 IEC 61508 在汽车的特化版本,把工作量压在 V 模型左侧(HARA + 概念阶段)因为 HSE 数据显示 44 % 危险失效源自需求阶段。本页是顶层 hub,把所有 ISO 26262 part / 概念 / 度量 / 流程 / 案例的 atomic 页面串起来。
工程师学习路径 → 功能安全工程师指南 (V-cycle 8 阶段 + 24 篇深度 + 6 个月路径 + TÜV cert)。
主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线
1. 全景与体系总览
功能安全做事的总骨架是"沿过程从概念走到运营、每个过程都产出 标准 / 方法 / 输出 三层物料"。把这张图刻在脑子里,所有 ISO 26262 子页、机制页、案例页就能各回各位——左侧(概念 + 风险)决定要做什么、中段(HW + SW)决定怎么做、右侧(验证 + 持续)决定证据齐不齐。
三个独立标准要并存:ISO 26262 管 E/E 故障(本页主线)、ISO 21448 SOTIF 管"功能本身性能不足"(没坏但表现不及预期,如 ADAS 雨天误检)、ISO 21434 Cybersecurity 管"网络攻击导致功能失效"。三者各自有方法和产出物,任何一个缺失都不能算"安全完备"——L3+ ADAS 三者同时必做。
下面再钻进 ISO 26262 这条主线 — IEC 61508 母标准在汽车域的剪裁逻辑、SIL 与 ASIL 的对应关系。
功能安全标准的根基是 IEC 61508(1998 年通用母标准),它定义了 SIL 等级、V 模型、Safety Lifecycle 这套共通骨架;然后航空(DO-178C)、汽车(ISO 26262)、铁路(EN 50128)、机械(IEC 62061)、过程工业(IEC 61511)等各自做行业剪裁。理解 IEC 61508 = 同时理解所有功能安全标准的骨架——只是各行业的"等级"名字和评级维度不同。
1.1 跨行业标准家族
IEC 61508 是所有现代功能安全标准的母版,派生分支按行业做剪裁——汽车 / 航空 / 铁路 / 工业 / 过程各自调整等级命名和评级维度,但 V-model + 生命周期骨架完全共通:
下表把不同行业的功能安全标准放在一个面板上对照——等级名 评级维度 适用面 都不同,但骨架共通;做汽车、过程工业或航空之间转换时,本表是第一张映射图。
| 标准 | 等级 | 评级维度 | 行业 | 详见 |
|---|---|---|---|---|
| IEC 61508 | SIL 1–4 | PFD / PFH | 通用 | topic-iec-61508-overview |
| ISO 26262 | ASIL QM / A / B / C / D | S × E × C | 汽车 | 本 hub + Part 1–11 子页 |
| IEC 61511 | SIL 1–4 | LOPA / RRF | 过程工业 | — |
| DO-178C | DAL A–E | — | 航空软件 | — |
1.2 ISO 26262 12 个 Part
ISO 26262 共 12 个 Part,真正反复打开的是 Part 3 / 5 / 6 / 9 —— Part 3 做 HARA 与安全目标、Part 5 算硬件指标 SPFM/LFM/PMHF、Part 6 是软件 V 模型、Part 9 处理 ASIL 分解。其它 Part 是组织管理或确认审计,新人按需查。
| Part | 主题 | atomic 页 |
|---|---|---|
| 2 | Management | topic-iso26262-part2-management |
| 3 | Concept (HARA / FSC) | topic-iso26262-part3-concept |
| 4 | System | topic-iso26262-part4-system |
| 5 | Hardware (SPFM / LFM / PMHF) | topic-iso26262-part5-hardware |
| 6 | Software | topic-iso26262-part6-software |
| 7 | Production | topic-iso26262-part7-production |
| 8 | Supporting | topic-iso26262-part8-supporting-processes |
| 9 | ASIL 分析(Decomposition / DFA / FTA) | topic-iso26262-part9-asil-analyses |
| 10 | Guidelines | topic-iso26262-part10-guidelines |
| 11 | Semiconductors(2018 新增) | topic-iso26262-part11-semiconductors |
2. 核心概念(concept 层)
下表把功能安全里的核心 concept 全部映射到 atomic 子页——这是 hub 的"下钻入口",按主题进入即可,不必通读本 hub。
| 概念 | 简述 | 详见 |
|---|---|---|
| 两类失效 | 随机硬件失效(FIT 概率化)vs 系统性失效(流程预防);HSE 44 % 数据 | topic-failure-types |
| ASIL 等级 + S × E × C | QM / A / B / C / D;HARA 查表得等级;EPS 失效 → ASIL D 全流程示例 | 见下文 §3 + topic-iso26262-part3-concept |
| ASIL 分解 | D = B+B 合法,D = A+C 非法;两侧必须独立 + DFA 通过 | topic-asil-decomposition |
| Safety Mechanism | 检测 / 处置 / 容错三层;MCU / 电源 / 驱动 / 传感 / 通信 5 维菜单 | topic-safety-mechanism-catalog |
| ISO 26262 硬件元素分类 | I / II / III 类决定芯片选型与评估深度 | topic-hardware-element-classification |
| SEooC | Safety Element out of Context — 通用芯片合规开发 + Safety Manual | topic-seooc |
| 工业 vs 汽车 | IEC 61508 1oo2 vs ISO 26262 1oo1D;HFT 与 SPFM 的折中 | topic-functional-safety-industrial-vs-auto |
3. ASIL 等级速查
ASIL 不是工程师拍脑袋定的——是 HARA 评估出来的,S × E × C 三维查表得 ASIL 等级。下面这张表说的是"行业经验下这类功能通常落到哪个 ASIL",作为快速参照,真实项目还是要走 HARA 流程。
| ASIL | 典型汽车应用 |
|---|---|
| D | EPS;气囊;STO;ADAS L3+ |
| C | ABS;ESC;制动;BMS |
| B | 变速箱;部分 ADAS L1/L2 |
| A | 倒车雷达;辅助功能 |
| QM | 导航;娱乐;车窗 |
QM 的含义:不是"不重要",而是"失效不会造成安全事故",所以不需要功能安全流程——普通的质量管理(QM = Quality Management)足够。
EPS 失效场景的完整 ASIL 推导示例:高速公路行驶中 EPS(电动转向)突然失效。S:方向盘助力失效 → 驾驶员力量不足以控制 → 车辆偏离车道 → 可能致命 → S3;E:高速公路是日常驾驶常用场景 → E4;C:100 km/h 时瞬间失去转向助力,即使驾驶员经验丰富也非常困难 → C3。查表 S3 × E4 × C3 = ASIL D。这意味着控制器需要双核锁步 MCU、独立 Checker、冗余电源、ISO 26262 Part 3 完整 HARA + FSC、Part 4/5/6 完整 V&V、第三方独立评估和 Safety Case 归档——开发成本是普通控制器的 5–10 倍。
完整 S / E / C 等级定义与查表见 topic-iso26262-part3-concept。
4. 概念阶段:HARA + 安全目标
HARA(Hazard Analysis and Risk Assessment) 是 ISO 26262 Part 3 的核心,把抽象的"安全"要求具体化为可操作的安全目标。关键发现:ASIL 是工况相关而不是部件固有——同一个电机控制器在不同工况下可以从 A 到 D 跨多个等级。HARA 必须穷举工况,不能只考虑"标称工况"。
Safety Goal → FSR → TSR → HSR/SSR 是从顶层目标一路细化到硬件/软件需求的标准链路。FTTI(Fault Tolerant Time Interval) 是这条链最容易被忽视的数字——它决定了诊断 + 反应整链的实时预算,必须在 Part 3 就定下来。
5. 硬件度量:SPFM / LFM / PMHF
ISO 26262 Part 5 用三个独立指标量化硬件安全度量,三者从不同维度评价同一件事:SPFM 看"诊断能不能在单点故障发生时及时发现"、LFM 看"诊断能不能在潜伏故障变成第二点故障前发现它"、PMHF 看"整体危险失效率是否够低"。三者必须同时达标才算硬件 ASIL 合格——任一指标卡线就要返工诊断。详见 topic-iso26262-part5-hardware。
| ASIL | SPFM | LFM | PMHF |
|---|---|---|---|
| D | ≥ 99 % | ≥ 90 % | < 10 FIT |
| C | ≥ 97 % | ≥ 80 % | < 100 FIT |
| B | ≥ 90 % | ≥ 60 % | < 100 FIT |
双核锁步是实现 ASIL D 的主流硬件架构——两个 core 跑同一段代码,每个时钟周期比较输出。Infineon AURIX 2G、NXP MPC57xx、Renesas RH850 都把 lockstep + ECC + MBIST + Safety Manager Unit 集成到芯片里,并发布 Safety Manual + SEooC 评估证据。
锁步硬件在每个时钟周期把两路 core 的输出送进比较器,正常工作时序如下:
而潜伏故障(LFM 关注对象)的演化路径与单点故障不同 — 它先静默存在,等第二次失效才显现:
FMEDA 是把元件 (来自 SN 29500 / IEC 62380 / FIDES)+ DC(来自 Safety Manual / 故障注入 / formal)逐元件累加得到 SPFM / LFM / PMHF 的工程载体——所有 ASIL ≥ B 的硬件都要做。
6. ASIL 分解(Decomposition)
ASIL 分解 允许把一个高 ASIL 安全目标分解给两个独立的子系统,每个负担更低 ASIL,从而把开发成本压下来。ISO 26262 只允许特定组合(D = D + QM、D = C + A、D = B + B、D = A + C 非法);分解后两路必须独立——不共享电源 / 时钟 / 软件库 / 通信总线 / 算法,并且 DFA 必须证明所有可能共因都被分析过。
冗余 ≠ 分解:冗余只是分解的充分条件之一,还要求两侧独立和 DFA 通过;软件拷贝两份不算分解,因为同一 bug 在两份拷贝里同时出现是共因失效。
7. 系统响应策略:Fail-Safe / Fail-Degraded / Fail-Operational
ASIL 等级和"故障后系统去哪"这件事是两个独立维度——很多人以为 ASIL D 必须 fail-op,但其实是 Hazard 决定策略,不是 ASIL 决定。EPS 是 ASIL D 但 fail-safe(车在路边停下来司机机械接管),而 L4 自动驾驶哪怕 ASIL B 也必须 fail-operational(司机注意力已转移、没法接管)。先问"系统是否存在安全态",再决定单通道 / 双通道 / 三冗余。
| 策略 | 前提 | Voting | 通道 | 典型 | 详见 |
|---|---|---|---|---|---|
| Fail-Safe | 存在安全态(可关停) | 1oo1 + 诊断 | 单通道 | EPS / Airbag / STO | topic-iec-61800-5-2-stopping |
| Fail-Degraded | 关停危险但可降级 | 1oo1 + 多档 | 单通道 | Limp-home / BMS 限功率 | topic-failure-mode-summary |
| Fail-Operational | 关停即事故 | 1oo2D / 2oo3 | 双/三通道 | Steer-by-wire / L4 ADAS | topic-voting-redundancy |
判断口诀:故障检出后系统进入的状态 → 是否还在 Safety Goal 容忍范围内 → 在 → fail-safe / fail-degraded;不在 → 必须 fail-op。Fail-op 的成本是单通道的 2-3 倍,所以不要无脑做 fail-op——先 HARA 证明必须。
8. FMEA / FMEDA / FTA / DFA 工具分工
四把尺回答不同问题,不是替代关系:
| 工具 | 方向 | 主要产物 | 详见 |
|---|---|---|---|
| FMEA | Bottom-up(DFMEA / PFMEA / FMEA-MSR) | 失效模式 + AP 优先级 | topic-fmea |
| FMEDA | Bottom-up + 定量 | SPFM / LFM / PMHF 数字 | topic-dfa-fmeda-fta |
| FTA | Top-down | 顶事件 → 基事件逻辑树 + 概率 | topic-dfa-fmeda-fta |
| DFA | 横向 | 共因/级联失效清单 + 独立性论证 | topic-dfa-fmeda-fta |
四件套的协同顺序:FTA 从 Safety Goal 顶向下拆 → FMEDA 在基事件层给定量数字 → DFA 横向检查 FTA"与门"两侧是否真独立 → FSA 最后做组织独立的确认。
AIAG-VDA 2019 把传统 FMEA 的 RPN(S × O × D 相乘)改成 AP(Action Priority 查表),新增 FMEA-MSR(Monitoring and System Response),把诊断覆盖率与 ISO 26262 直接挂钩——是把 FMEA 与 FMEDA 拼接的关键创新。
9. 软件功能安全(ISO 26262-6)
ISO 26262 Part 6 的核心不是"多写几条测试用例",而是把软件开发流程约束到可分析、可验证、可追溯。ASIL D 三件套:MISRA C 编码规范落地 §5 Table 1 + 必须 MC/DC 结构覆盖 + Inspection / 故障注入 / 需求追溯齐全。详见 topic-software-safety 与 topic-iso26262-part6-software。
10. 案例与 Safety Case
实施层 atomic 页按"应用案例 / 系统集成 / 交付物"三层组织——案例落到具体产品,集成讲架构选型,交付物(Safety Case + Manual)是评估通关的最终物料。
- topic-asil-d-case-studies — 主驱 Torque Safety + No Thermal Incident 端到端 ASIL D 实现
- topic-hv-inverter-iso26262-concept — HV 逆变器三种安全态(HSS / LSS / 3PO)按车速切换
- topic-mcu-sbc-asil-d-integration — MPC5643L + MC33907/08 SoR 9 模块复制 + FCCU 硬件通道
- topic-torque-safety — ASIL D 扭矩安全设计
- topic-bms-safety — BMS 功能安全
- topic-functional-safety-chip-selection — Tier-1 选 ASIL 芯片决策框架
- topic-safety-case — Argument + Evidence 结构化集合,living document
- topic-safety-manual — IC supplier 给客户的合规交付物
11. 失效模式速查与诊断目录
实战阶段最常被翻开的是"失效模式 → 缓解手段"两张速查表——按失效模式找诊断、或按诊断目录找适用机制,反向都行。
- topic-failure-mode-summary — V 模型阶段分组的失效模式 + 缓解措施总表
- topic-safety-mechanism-catalog — MCU / 电源 / 驱动 / 传感 / 通信 5 维 SM 大全
- topic-current-sensing-safety · topic-voltage-sensing-safety · topic-position-sensing-safety · topic-temperature-sensing-safety — 采样链的功能安全诊断
- topic-gate-driver-safety — 栅极驱动的功能安全诊断
- topic-thermal-safety · topic-hv-safety — 热与高压安全
核心要点
- 功能安全 ≠ 可靠性:可靠性看"多久会失效",功能安全看"失效时会不会伤人"。
- 两类失效:随机硬件可概率化、可冗余消除;系统性来自需求 / 软件 bug,冗余无效。44 % 危险失效源自需求阶段——所以 HARA 是一切起点。
- IEC 61508 是通用母标准,ISO 26262 是其汽车版本;用 ASIL 替代 SIL,并通过 S × E × C 矩阵 查表确定等级。
- HARA 是概念阶段的核心:项目定义 → 危害识别 → 风险评估 → 安全目标 → 功能安全概念。
- 硬件度量:ASIL D 要求 SPFM ≥ 99 %、LFM ≥ 90 %、PMHF < 10 FIT——三项缺一不可。
- 双核锁步 MCU 是实现 ASIL D 的主流架构。
- ASIL 分解:D = B + B 可以,但两侧必须独立(DFA 通过)。
- FMEA 用 AP 替代 RPN(AIAG-VDA 2019):严重度永远优先。
- 典型 ASIL D 项目时间线 1.5–2 年,概念 + 验证占 40–50 % 工作量。
- 软件安全 ASIL D 三件套:MISRA C + MC/DC + Inspection / 故障注入。
- Safety Case 是最终交付物,Assessment 必须组织独立;ASIL 分解对 Confirmation 无效。
延伸阅读
基础标准:IEC 61508:2010 · ISO 26262:2018 · IEC 61511 · DO-178C · DO-254
入门教材:The Safety Critical Systems Handbook(Smith & Simpson)· Functional Safety for Road Vehicles(Lindskov Hansen 等)
FMEA:AIAG & VDA FMEA Handbook(2019)
半导体 / 硬件:ISO 26262 Part 5 + Part 11;Infineon / NXP / ST 的 Safety Manual
概念白皮书:NXP High-Voltage Inverter Safety System Concept for ISO 26262;Introduction to Functional Safety for High-Voltage Systems
延伸阅读与新动态
由 feed.py 每日自动追加;来源见各条链接。
- 2026-04-17 Technical ArticleMagnetic Sensor ICs Offer Integrated Diagnostics for ASIL ComplianceThe ever-evolving requirements of t — 磁传感器 IC 通过嵌入式固态线圈实现端到端自测,提供集成诊断功能以满足 ISO 26262 ASIL D 的功能安全要求。
- 2026-04-16 TIDA-01599: IEC 61800-5-2 Certification for STO Function — 该设计方案 TIDA-01599 旨在实现符合 IEC 61800-5-2 标准的 STO(Safe Torque Off)功能。
Cross-references
- ← 索引
- topic-failure-types — 两类失效详解(拆自本页 §1 + §2)
- topic-hara — 概念阶段起点
- topic-asil-decomposition — ASIL 降级合规手段
- topic-iec-61508-overview — 母标准
- topic-iso26262-part3-concept — Concept Phase(HARA / FSC)
- topic-iso26262-part5-hardware — SPFM / LFM / PMHF
- topic-iso26262-part6-software — 软件 V 模型
- topic-iso26262-part9-asil-analyses — ASIL 分析
- topic-iso26262-part11-semiconductors — 半导体指南
- topic-fmea · topic-dfa-fmeda-fta — 失效分析方法
- topic-safety-mechanism-catalog · topic-failure-mode-summary — 诊断 / 失效模式速查
- topic-software-safety — Software Safety ASIL D
- topic-safety-case · topic-safety-manual — 交付物
- topic-asil-d-case-studies · topic-hv-inverter-iso26262-concept — 端到端案例
- topic-mcu-sbc-asil-d-integration — SoR + FCCU 硬件路径
- topic-seooc · topic-hardware-element-classification · topic-functional-safety-chip-selection — 选型与合规框架
- topic-functional-safety-industrial-vs-auto — 工业 / 汽车规范对比
- topic-stpa-hazard-analysis — STPA(HARA 互补,SOTIF/L3+ 必做)
- topic-diagnostic-coverage-categories — DC 4 档 + 机制矩阵 + 证据强度
- topic-stl-bist-runtime-selftest — LBIST/MBIST/ABIST/STL 4 类 + 三层堆叠
- topic-fail-operational-architecture — Fail-Op 3 架构 + Steer-by-Wire + L3 ADAS
- topic-aurix-tc3xx-asil-d — AURIX TC3xx 案例(对照 MPC5744P)
- topic-automotive-electronics — E/E 架构、CAN、AEC-Q
- topic-thermal-management — Coffin–Manson + 降额工具
- topic-current-sensing-safety · topic-voltage-sensing-safety · topic-position-sensing-safety · topic-temperature-sensing-safety · topic-gate-driver-safety — 采样 / 驱动诊断
- topic-thermal-safety · topic-hv-safety · topic-bms-safety · topic-torque-safety — 应用领域安全
- topic-special-characteristics — 特殊特性
- topic-can-e2e-secoc — 通信安全
- topic-sbc · topic-automotive-mcu — 安全 IC 主力