ISO 26262-4(2018)系统层细化:TSC / HSI / 集成 / Safety Validation

功能安全L5别名 ISO 26262 Part 4 · 26262-4 · product development at system level · technical safety concept · TSC · HSI specification · safety validation · system integration · V-cycle 系统级

本质与导读

本质 Part 4 是把 FSC 翻译成可建造的技术——TSC 加 HSI 规范,前者是 FSC 的技术落地,后者是 Part 5 硬件与 Part 6 软件之间的接口合同。TSC 错或 HSI 漏,Part 5/6 就照错规格 build,到 release 前 Safety Validation 才暴露、被迫返工,所以系统架构师对这些 work products 负全责。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. Part 4 V-cycle 4 段

这一节先把“Part 4 V-cycle 4 段”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。

ISO 26262-4 系统层 V 流 — FSC → TSC/TSR → 系统架构 → HSI 接口 → 系统集成测试 → 安全验证

阶段Clause输入输出
1. Technical Safety Concept(TSC)6FSC + 系统初步架构TSC + 细化 HSI
2. 系统架构设计6TSC系统架构 + 安全分析
3. 系统集成与测试7HW + SW(Part 5/6 输出)Integration test report
4. Safety Validation8集成完整 itemValidation report → release

2. Technical Safety Concept(TSC, Clause 6)

2.1 TSC 与 FSC 的层级

这一节先把“TSC 与 FSC 的层级”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。

层级含义例(SG1 "避免静止时加速")
FSC(Part 3)功能层要求"Inverter 监控扭矩输出与命令偏差 ≤ 5%"
TSC(Part 4)技术层要求"MCU 每 10ms 计算扭矩估值 = (3/2)·p·ψs·iq,与 VCU 命令对比;偏差 > 5% 持续 3 周期(30ms)→ SBC 拉 FS0B,关闭 PWM,FTTI 200ms 内进 safe state"
硬件 SR(Part 5)硬件层要求"电流传感器 ±1%,ADC 12bit,采样 100us"
软件 SR(Part 6)软件层要求"torque_estimate() 函数 ASIL D,MISRA C,MC/DC ≥ 95%"

TSC 是"工程师 30 分钟读完后能开始做硬件 / 软件设计"的颗粒度。

2.2 TSC 含 6 类信息

ISO 26262 6.4.1 要求 TSC 包含:

  • 安全 mechanism 的功能(检测什么 / 反应什么)
  • 安全 mechanism 的时序(detection time + reaction time + ≤ FTTI)
  • 故障度量分配(SPF / RF / latent 的分配)
  • 与 nominal 功能的关系(SM 是独立 channel 还是 in-loop)
  • Safe state 的定义(系统进入什么状态,持续多久,如何退出)
  • Warning + degradation 策略(给司机什么提示,多久必须停机)

2.3 Safe State 的工程含义

EV 主驱 safe state 不是"急停"——突然失扭矩反而危险。典型:

  1. Power degradation:逐渐降扭矩到 0(几百 ms)
  2. PWM disable:栅极驱动关闭,电机自由滑行
  3. HV contactor 断开(可选,通常由 VCU 协调)
  4. 仪表盘报警 + CAN 故障码

详见 扭矩安全(Torque Safety) + STO 实现

3. HSI 规范(Annex B)

Hardware-Software Interface 规范是 Part 5 / Part 6 之间的契约,必须由系统 / 硬件 / 软件三方联合签字。Annex B 给出必含项:

类别内容
Hardware features used所用 timer / DMA / ADC / CAN / SPI 等外设清单
Operational mode and configuration寄存器配置(功率开关 / 时钟 / 电压参考)
Resource constraints内存占用 / CPU 时间预算 / 中断号 / DMA channel
Diagnostic interfaceSM 怎么读硬件 status,fault 怎么报
Configuration parameters标定参数(增益 / 阈值 / 周期)
Safety-related characteristics哪些 HSI 项是 safety-critical(必入 Part 7 SC 表)

工程实务:HSI 是 ISO 26262 项目里最常被审计员问的 work product——审计员会问"你的 HSI 包含 X 吗?"挑战完整性。建议用 DOORS Next 或 Polarion 管理,每条 HSI 项有唯一 ID + ASIL + verification status。

4. 系统架构设计(Clause 6)

系统架构必须满足:

  • 实现 TSC 的所有要求
  • 支持后续 Part 5/6 实现
  • 满足 ASIL 分配要求(分解时元件独立性需 DFA 论证,详见 Part 9)
  • 非功能要求(性能 / 成本 / 物理空间)

4.1 ASIL 分配实战

例 EV 主驱 ASIL D 系统架构(典型):

EV 主驱 ASIL D 系统架构:VCU(QM)经 CAN 接 inverter,内部 MCU 主控 ASIL C(D) 功能通道 + SBC 独立监控 ASIL D + 栅极驱动/电流传感/Resolver 接口 ASIL D,D 分解为 C(D) MCU + D 监控双通道

详见 HV 主驱逆变器 ISO 26262 安全概念

5. System Integration & Testing(Clause 7)

集成测试自下而上3 层:

测试什么工具
HW Unit Test单板硬件功能bench + scope
HW Board Integration多板互联 + 软件烧录后行为HIL + 调试器
System Integration整 ECU(连 vehicle 网络)Vehicle bench / Soft HIL

每层测试必须覆盖所有 TSC 要求,fault injection 是关键技术——故意注入故障(短路 / 开路 / 协议错)验证 SM 反应在 FTTI 内。

6. Safety Validation(Clause 8)— Part 4 独有

6.1 与 Verification 的区别

ISO 26262 严格区分:

  • Verification:"build the thing right"(每一层 work product 是否符合 input)
  • Validation:"build the right thing"(系统整体是否真的实现了 SG,司机用着是否安全)

Verification 在每个阶段做(Part 5/6/9),Validation 只在 vehicle level 做——把 ECU 装到测试车上,跑实际工况验证 FSC / TSC 满足 SG。

6.2 Safety Validation 的内容

Clause 8 要求 validation:

  • HARA 假设(人 controllability + external measures)实际成立
  • FSC 中 functional safety requirements 实际能避免 SG 违反
  • TSC 中 safety mechanisms 在真实工况下有效(不是仿真,是实车)
  • Warning + degradation 策略对司机可接受

6.3 谁做 + 何时做

通常 OEM 主导(Tier 1 配合),在 release for production 前几个月做。validation team 必须独立于 development team(I2 / I3 独立性)。

工程实务:Validation 是项目延期最大风险——发现 SG 违反场景到生产线已经晚,所以 OEM 强制 mid-development validation 早期试(假车 / Soft HIL 验证关键场景)。

核心要点

  • Part 4 V-cycle 4 段:TSC → 系统架构 → 集成测试 → Safety Validation
  • TSC 是 FSC 的"技术翻译",颗粒度到工程师能开始做 HW/SW 设计
  • Safe state 不是急停,是 power degradation + PWM disable + 报警
  • HSI 必须三方联合签字,是审计员最常挑战的 work product
  • 集成测试 3 层(HW Unit / Board / System),fault injection 是关键
  • Validation 与 Verification 区别:Validation 是 vehicle level 验证 FSC 真实有效
  • Safety Validation 必须独立 team(I2 / I3),OEM 主导,Tier 1 配合
  • Mid-development validation 早期试是延期最大风险的预防

Engineering Objects

引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

  • standard · standard_iso26262_part4_validation — ISO 26262-4 (2018) 系统层 / Safety Validation

Cross-references