Safety Validation

功能安全L5别名 ISO 26262 Part 4 · 26262-4 · product development at system level · technical safety concept · TSC · HSI specification · safety validation · system integration · V-cycle 系统级

本质与导读

本质 Part 4 是把 FSC 翻译成可建造的技术——TSC 加 HSI 规范,前者是 FSC 的技术落地,后者是 Part 5 硬件与 Part 6 软件之间的接口合同。TSC 错或 HSI 漏,Part 5/6 就照错规格 build,到 release 前 Safety Validation 才暴露、被迫返工,所以系统架构师对这些 work products 负全责。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. Part 4 V-cycle 4 段

这一节先把“Part 4 V-cycle 4 段”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

ISO 26262-4 系统层 V 流 — FSC → TSC/TSR → 系统架构 → HSI 接口 → 系统集成测试 → 安全验证

阶段	Clause	输入	输出
1. Technical Safety Concept(TSC)	6	FSC + 系统初步架构	TSC + 细化 HSI
2. 系统架构设计	6	TSC	系统架构 + 安全分析
3. 系统集成与测试	7	HW + SW(Part 5/6 输出)	Integration test report
4. Safety Validation	8	集成完整 item	Validation report → release

2. Technical Safety Concept(TSC, Clause 6)

2.1 TSC 与 FSC 的层级

这一节先把“TSC 与 FSC 的层级”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

层级	含义	例(SG1 "避免静止时加速")
FSC(Part 3)	功能层要求	"Inverter 监控扭矩输出与命令偏差 ≤ 5%"
TSC(Part 4)	技术层要求	"MCU 每 10ms 计算扭矩估值 = (3/2)·p·ψs·iq,与 VCU 命令对比;偏差 > 5% 持续 3 周期(30ms)→ SBC 拉 FS0B,关闭 PWM,FTTI 200ms 内进 safe state"
硬件 SR(Part 5)	硬件层要求	"电流传感器 ±1%,ADC 12bit,采样 100us"
软件 SR(Part 6)	软件层要求	"torque_estimate() 函数 ASIL D,MISRA C,MC/DC ≥ 95%"

TSC 是"工程师 30 分钟读完后能开始做硬件 / 软件设计"的颗粒度。

2.2 TSC 含 6 类信息

ISO 26262 6.4.1 要求 TSC 包含:

安全 mechanism 的功能(检测什么 / 反应什么)
安全 mechanism 的时序(detection time + reaction time + ≤ FTTI)
故障度量分配(SPF / RF / latent 的分配)
与 nominal 功能的关系(SM 是独立 channel 还是 in-loop)
Safe state 的定义(系统进入什么状态,持续多久,如何退出)
Warning + degradation 策略(给司机什么提示,多久必须停机)

2.3 Safe State 的工程含义

EV 主驱 safe state 不是"急停"——突然失扭矩反而危险。典型:

Power degradation:逐渐降扭矩到 0(几百 ms)
PWM disable:栅极驱动关闭,电机自由滑行
HV contactor 断开(可选,通常由 VCU 协调)
仪表盘报警 + CAN 故障码

详见扭矩安全(Torque Safety) + STO 实现。

3. HSI 规范(Annex B)

Hardware-Software Interface 规范是 Part 5 / Part 6 之间的契约,必须由系统 / 硬件 / 软件三方联合签字。Annex B 给出必含项:

类别	内容
Hardware features used	所用 timer / DMA / ADC / CAN / SPI 等外设清单
Operational mode and configuration	寄存器配置(功率开关 / 时钟 / 电压参考)
Resource constraints	内存占用 / CPU 时间预算 / 中断号 / DMA channel
Diagnostic interface	SM 怎么读硬件 status,fault 怎么报
Configuration parameters	标定参数(增益 / 阈值 / 周期)
Safety-related characteristics	哪些 HSI 项是 safety-critical(必入 Part 7 SC 表)

工程实务:HSI 是 ISO 26262 项目里最常被审计员问的 work product——审计员会问"你的 HSI 包含 X 吗?"挑战完整性。建议用 DOORS Next 或 Polarion 管理,每条 HSI 项有唯一 ID + ASIL + verification status。

4. 系统架构设计(Clause 6)

系统架构必须满足:

实现 TSC 的所有要求
支持后续 Part 5/6 实现
满足 ASIL 分配要求(分解时元件独立性需 DFA 论证,详见 Part 9)
非功能要求(性能 / 成本 / 物理空间)

4.1 ASIL 分配实战

例 EV 主驱 ASIL D 系统架构(典型):

EV 主驱 ASIL D 系统架构:VCU(QM)经 CAN 接 inverter,内部 MCU 主控 ASIL C(D) 功能通道 + SBC 独立监控 ASIL D + 栅极驱动/电流传感/Resolver 接口 ASIL D,D 分解为 C(D) MCU + D 监控双通道

详见 HV 主驱逆变器 ISO 26262 安全概念。

5. System Integration & Testing(Clause 7)

集成测试自下而上3 层:

层	测试什么	工具
HW Unit Test	单板硬件功能	bench + scope
HW Board Integration	多板互联 + 软件烧录后行为	HIL + 调试器
System Integration	整 ECU(连 vehicle 网络)	Vehicle bench / Soft HIL

每层测试必须覆盖所有 TSC 要求,fault injection 是关键技术——故意注入故障(短路 / 开路 / 协议错)验证 SM 反应在 FTTI 内。

6. Safety Validation(Clause 8)— Part 4 独有

6.1 与 Verification 的区别

ISO 26262 严格区分:

Verification:"build the thing right"(每一层 work product 是否符合 input)
Validation:"build the right thing"(系统整体是否真的实现了 SG,司机用着是否安全)

Verification 在每个阶段做(Part 5/6/9),Validation 只在 vehicle level 做——把 ECU 装到测试车上,跑实际工况验证 FSC / TSC 满足 SG。

6.2 Safety Validation 的内容

Clause 8 要求 validation:

HARA 假设(人 controllability + external measures)实际成立
FSC 中 functional safety requirements 实际能避免 SG 违反
TSC 中 safety mechanisms 在真实工况下有效(不是仿真,是实车)
Warning + degradation 策略对司机可接受

6.3 谁做 + 何时做

通常 OEM 主导(Tier 1 配合),在 release for production 前几个月做。validation team 必须独立于 development team(I2 / I3 独立性)。

工程实务:Validation 是项目延期最大风险——发现 SG 违反场景到生产线已经晚,所以 OEM 强制 mid-development validation 早期试(假车 / Soft HIL 验证关键场景)。

核心要点

Part 4 V-cycle 4 段:TSC → 系统架构 → 集成测试 → Safety Validation
TSC 是 FSC 的"技术翻译",颗粒度到工程师能开始做 HW/SW 设计
Safe state 不是急停,是 power degradation + PWM disable + 报警
HSI 必须三方联合签字,是审计员最常挑战的 work product
集成测试 3 层(HW Unit / Board / System),fault injection 是关键
Validation 与 Verification 区别:Validation 是 vehicle level 验证 FSC 真实有效
Safety Validation 必须独立 team(I2 / I3),OEM 主导,Tier 1 配合
Mid-development validation 早期试是延期最大风险的预防

Engineering Objects

引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

standard · standard_iso26262_part4_validation — ISO 26262-4 (2018) 系统层 / Safety Validation

Cross-references

← 索引
功能安全(Functional Safety)
ISO 26262-3 概念阶段细化:Part 3 → Part 4 输入
ISO 26262-5 硬件层细化:Part 4 → Part 5 输入
ISO 26262-6 软件层细化:Part 4 → Part 6 输入
ISO 26262-9 ASIL 分析细化:TSC 阶段 ASIL decomposition
ISO 26262-7 量产层细化:Part 4 后期与 Part 7 衔接
HV 主驱逆变器 ISO 26262 安全概念:Part 3+4 实战
扭矩安全(Torque Safety ASIL D):TSC 实战
工业 vs 汽车功能安全:Safe state STO 实现
MCU + SBC ASIL D 集成:TSC 落到具体 IC 配对
Safety Case:TSC 进 Safety Case
HARA:FSC 与 HARA 的关系