Decommissioning

功能安全L5别名 ISO 26262 Part 7 · 26262-7 · production functional safety · safety-related special characteristics · SC 特殊特性 · 量产 PFMEA · field monitoring · 量产后失效追踪 · decommissioning · rescue instructions · production control plan

本质与导读

本质功能安全不能"开发完就停"——release for production 之后的过程偏差、运营失效、维修与退役全可能违反 SG,Part 7 把约束延伸到全生命周期。其最易被忽视却最关键的是 Field Monitoring(7.4.1.1):必须长期收集 field data → 分析 → 触发 corrective action,而非 release 完就当 done。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 三阶段总览

Part 7 把"release 后"分 3 个 clause:

Clause	阶段	主要 work products
5	Planning(从 system development 阶段开始)	Production plan / Production control plan / Service plan / Decommissioning plan / 用户信息 / Rescue 指令
6	Production	Control measures report / Production process capability report
7	Operation / Service / Decommissioning + Field monitoring	Field monitoring report + corrective actions

实务:Planning 早开始——Part 4 系统设计阶段就要识别哪些 SC 需要 production 监控,哪些工作要写进服务手册。Production / Operation 是执行阶段。

2.1 与普通 Special Characteristics 的区别

普通汽车行业有 SC(Special Characteristics)概念——VDA Volume 6 / IATF 16949 都用,标注"对功能 / 安装 / 法规重要的尺寸或参数"。例:轮毂螺栓扭矩、活塞间隙。

Safety-related SC 多了一层:这条特性偏离会直接违反 SG。例:

ECU 焊点回流温度(超 → 焊点失效 → 控制信号断 → SG 违反)
角度传感器标定数据(错 → 转向角度错 → SG 违反)
高压继电器接触压力(过低 → 接触不良 → 高压泄露 → 触电)

2.2 标注与控制(5.4.1.5 / 6.4.1.5)

Production control plan 必须对 SC 单独标注(典型用菱形或 "SC" 标),并:

100% 控制(不能抽检,每件都测)
过程能力 ≥ Cpk 1.67(普通 SC 1.33 够,safety-related 要更严)
失效时强制停产(不允许"先放过等下批补")
完整记录可追溯(数年保存)

工程实务:EV 主驱 ECU 量产线上的 SC 测点典型 8-12 个——电源线绝缘电阻、ASIC FMEDA 自检、栅极驱动死区、resolver 校零、SiC 短路保护时间、CAN 信号完整性等,全部 100% 测+记录,任何一个 fail → 单板报废+追溯 lot。

3. PFMEA — 过程失效模式分析

3.1 PFMEA vs DFMEA

这一节先把“PFMEA vs DFMEA”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

类型	对象	时间
DFMEA(Design FMEA)	产品设计	开发阶段(Part 5/6/9)
PFMEA(Process FMEA)	量产过程	Part 7 量产计划阶段

PFMEA 看"生产过程能不能让产品坏":

焊接温度过高 → 元件损伤(失效模式 / 严重度 / 频度 / 检出度 → RPN)
标定流程错 → 灌错数据 → ECU 行为错
工人混淆 ASIL D vs QM 元件 → 误装

每个高 RPN 项要有"防错措施"(Poka-Yoke):

防呆夹具(只能装对的方向)
防呆软件(part number 校验后才允许烧录)
关键参数测试 100%(不靠抽检)

3.2 5.4.1.4 强制 PFMEA

Part 7 要求"reasonably foreseeable production process failures and their effects on functional safety shall be identified"——基本就是强制做 PFMEA。

4. Field Monitoring(7.4.1.1)— Part 7 的灵魂

ISO 26262 量产期间最常被审计员咬住的就是 Field Monitoring。Part 7 强制要求建立从市场收集失效信息的机制:

ISO 26262-7 生产与运维 — 生产过程控制(special characteristics)+ 运行维修 + 现场监控(失效率反馈回 FMEDA/HARA)+ 报废,V 模型右端闭环

4.1 4 步流程

这一节先给出“4 步流程”需要同时考虑的几个判断点，后面的条目按工程优先级展开。

Provide field data — 收集源:
- 4S 店服务记录(VIN + 故障码 + 维修)
- OTA 上传的诊断码
- 司机投诉热线
- 召回通知 / 法规事故通报
- Tier 1 / Tier 2 反馈
Analyze for safety issues — 用统计 + 工程判断:
- 同型号相同故障 PPM 超阈值
- 新发现的 fault mode 不在 FMEDA 里
- SG 违反的 near-miss 案例
Trigger actions — 决策:
- 紧急 → 召回 / 立即停产
- 中度 → 服务通报 + OTA fix
- 轻度 → 文档更新 + 下批改进
Document and feedback — 信息回流到 FMEDA / Safety Case 更新

4.2 Field Monitoring 实例

例:某车企 EV 主驱 ECU 量产 6 个月后,4S 店报告 50+ 起"无故进 limp mode",VIN 集中在某 lot。分析:

Step 1:故障码全是 P0A4F(电机控制器内部故障)
Step 2:对应 lot 的 PCB 是同一批 SiC 模块
Step 3:DFMEA 推断该 lot SiC 模块 bond wire 老化早于设计预期
Step 4:召回该 lot + 更新 FMEDA + Safety Case 增加 SiC bond wire age model

工程实务:Field Monitoring 不是 Part 7 单独干的事,它的输出反向触发 Part 5/6 的 update + Part 8 ECR + Part 2 impact analysis,是让 ISO 26262 真正成为 living standard 而不是一次性合规打卡的机制。

5. Operation 阶段(7.4.x)

5.1 用户信息

强制输出给最终用户的 safety 相关信息:

用户手册(警告 + 操作限制)
仪表盘警告灯含义(每个码什么意思 / 该怎么做)
紧急情况指南(高压泄露 / 火灾 / 起动失败)

5.2 维修服务

这一节先给出“维修服务”需要同时考虑的几个判断点，后面的条目按工程优先级展开。

服务手册必须含 safety procedures(高压系统断电 / 接地步骤)
维修人员资质培训(EV 主驱必须 EV 高压维修证)
关键诊断工具 qualification(诊断仪本身按 Part 8 Clause 11 评估)
重新标定后强制重测 SC

5.3 拆卸 + Rescue

Decommissioning 3 sub-phase:

Before disassembling:司机 / 救援人员能识别危险(EV 警示标识 / 高压隔离开关)
During disassembling:拆解流程书 + 防止高压电击 / 气囊误触发
After disassembling:残值器件回收 / 危险物处理

工程实务:EV 救援 cards 是 Part 7 直接产出物——每款车给消防队 / 拆解中心一张 A4 卡(图示标 HV 母线位置 / 切割禁区 / 紧急断电按钮),救援人员 30 秒内能上手。

6. 与 IATF 16949 / PPAP 的关系

ISO 26262 Part 7 不替代 IATF 16949(汽车质量管理),是叠加在 IATF 之上:

体系	范围
IATF 16949	汽车 QMS,所有质量要求
ISO 26262 Part 7	safety-specific 增量要求(SC 100% 控制 / Field monitoring / 维修安全)
PPAP(Production Part Approval Process)	Tier 1 → OEM 的 release 文档包,Part 7 的 work products 进 PPAP

实务:OEM 收 PPAP 时同时检查 ISO 26262 work products——SC 控制证据 / PFMEA / 量产能力报告 / Field monitoring 计划必须在 PPAP 里。

核心要点

Part 7 三阶段:Planning(早从系统开发开始)/ Production(量产期)/ Operation Service Decommissioning(运营到退役)
Safety-related SC 必 100% 控制 + Cpk ≥ 1.67 + 单件追溯,与普通 SC 区分
PFMEA 是 Part 7 强制要求,识别量产过程失效 + Poka-Yoke 防错
Field Monitoring 4 步:Collect / Analyze / Trigger / Document & Feedback,反向更新 Part 5/6 设计
EV 主驱 ECU 量产线 SC 典型 8-12 个测点,任一 fail 单板报废
Operation 阶段强制用户信息 / 服务手册 / 维修资质 / Rescue cards
Part 7 叠加在 IATF 16949 + PPAP 之上,不替代,是 safety-specific 增量

Engineering Objects

引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

standard · standard_iso26262_part7 — ISO 26262 Part 7 Production

Cross-references

← 索引
功能安全(Functional Safety)
现场安全反馈闭环深度:把本页 §4 的 4 步 field monitoring 往深做(量化再评估 / OTA 24089-R156 / 跨标准闭环)
ISO 26262-2 管理层细化:Part 7 的管理对应 Clause 7
ISO 26262-5 硬件层细化:Production 阶段 FMEDA 反馈
ISO 26262-6 软件层细化:标定数据是 SC,Annex C 处理
ISO 26262-8 支持过程细化:变更管理是 Field Monitoring 行动机制
ISO 26262-9 ASIL 分析细化:DFMEA / FTA / DFA
HV 主驱逆变器 ISO 26262 安全概念
Special Characteristics:普通 SC 与 safety-related SC 区别详细
PPAP:Tier 1 → OEM release 文档,Part 7 work products 进 PPAP
SPC:统计过程控制,SC 100% 控制基础
8D:Field 失效问题分析方法,Field Monitoring 触发的工具
FMEA:DFMEA / PFMEA 方法
DV/PV:设计验证 / 量产验证