ISO 26262 V-cycle 全栈 — Part 2-9 work product hub

功能安全L7已验证别名 ISO 26262 V-cycle · 26262 全栈 · functional safety V-model · HARA-FSC-TSC-FMEDA · Part 2-9 总览

本质与导读

本质 ISO 26262 是车规功能安全唯一权威标准,实战靠 Part 2-9/11/12 沿 V-cycle 把 Part 3 HARA 定的 Safety Goal 一路拆成可验证的 work product,左下设计、右上验证逐层闭环。ASIL 分级决定整条链的严苛度,链上任何一节断了,功能安全论证就不成立。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. ASIL D 开发完整流程 — 主视图 + 14 阶段 topic 导航

ISO 26262 开发流程是经典 V-cycle:左边设计 top-down(整车 SG → HW/SW 单元),右边验证 bottom-up(unit 测试 → 整车 SG 验证),底部相接;Part 2 管理 + Part 8 接口贯穿全程。下方 14 阶段每个对应一篇工程化深度页(★ = 已有完整 deep)。

ASIL D 主驱开发完整流程 — HARA → FSAR · 14 阶段 + cross-cutting

1.1 14 阶段 topic 导航

按 V-cycle 顺序(左下降 → 底部 → 右上升):

阶段主图位置对应 deep章节 / 输出
0. 项目章程Safety Plan envelope(外框 ★)Safety Plan 写作 ★Item Def + Milestone + RACI + Tool QL(10 章模板)
1. HARA + SG左 Level 1 ★HARA 报告写作 ★ · HARA Worked Example整车 hazard + S/E/C → ASIL → SG
2. FSC + FSRLevel 2FSR/TSR 写作 ★FSR 8 字段(系统级)
3. TSC + TSRLevel 3FSR/TSR 写作 ★ · TSC + DIATSR 10 字段(子系统级)
4. HSI Document左 Level 4 ★HSI 写作 ★12 章 + 9 字段/信号(HW vendor + SW team)
5a. HW Design左 Level 5 ★HSR 写作 ★ · ASIL D 端到端案例 · FMEDA 深度HW 安全需求 + 设计 + FMEDA
5b. SW Design左 Level 5 ★SSR 写作 ★ · AURIX TC3xx ASIL D · Software safetySW 安全需求 + 设计 + MISRA
6. Unit Implementation底部(V 枢)SW safety BSW (AUTOSAR)HW PCB/FPGA + SW unit code
7. Unit Test右 Level 5Fault Injection TestHW bench scope + SW unit
8. HW/SW Integration右 Level 4EV ECU FMEDA 集成 ★ECU 集成 · 三链合并 FMEDA
9. System Integration右 Level 3Fault Injection Test · ASIL D 端到端案例HIL Fault Injection
10. Vehicle V&V右 Level 2 ★SV 计划写作 ★ · Safety Validation整车 SG 验证
11. Safety Case + FSAR右 Level 1 ★Safety Case GSN 写作 ★ · FSAR 深度GSN 论证树 + I3 签字
12. Confirmation Reviews左侧 M0-M4 chipsConfirmation Measures 深度M0 Plan / M1 HARA+FSC / M2 TSC+HSI / M3 Audit / M4 Assessment
13. 横向分析右侧 chipsFMEDA 深度 · DFA/FMEDA/FTA · ASIL 分解深度FMEDA / DFA / FTA / ASIL 分解
14. SEooC + Safety Manual横向(Tier-2)Safety Manual 写作 ★ · SEooC 实战Tier-2 → Tier-1 SM + AoU/IR

10 个 ★ 已 ship 的工程化写作 deep:Safety Plan / HARA 报告 / FSR-TSR / HSI / HSR / SSR / SV 计划 / Safety Manual / GSN authoring / EV ECU FMEDA 集成。V-cycle 各阶段交付物写作 deep 已补齐(2026-06-04:HARA/HSR/SSR/SV 四篇收尾),覆盖从概念到验证的全链"写作"工件。

1.2 早期 Part 视图(supplementary)

按 ISO 26262 12 个 Part 在 V-cycle 中的位置(与 §1.1 主视图同一 V-cycle):

ISO 26262 V-cycle + Part 在其中的位置

2. Part 2 — Management (全程贯穿)

职责:功能安全 lifecycle 的 management — 不出 work product,只定 process:

  • 公司级 FS policy + role 分配
  • 项目级 FS plan (项目周期 / 里程碑 / 评审节点)
  • Confirmation Measures (CM) I0-I3 体系建立
  • FS culture + training

关键 work product:Safety Case (项目结束时整理所有证据 → 给 OEM)。

链接:Confirmation Measures 深度 / Safety Case

3. Part 3 — Concept Phase (HARA + FSC 起点)

HARA (Hazard Analysis and Risk Assessment) 是 ISO 26262 的第一步:

  1. 列出 Hazardous Event (车在哪种工况下会有什么危害)
  2. 三维评估每个 hazard:
    • Severity (S0-S3) — 后果严重度
    • Exposure (E0-E4) — 出现频率
    • Controllability (C0-C3) — 驾驶员能否避免
  3. SxExCx 三维查表 → ASIL A/B/C/D / QM
  4. 每条 ASIL ≥ A 的 hazard → Safety Goal (SG)

典型 EV 主驱 SG:

  • "防止非预期扭矩 > ±10%"(ASIL D / FTTI 100ms)
  • "防止 HV 触电"(ASIL D)
  • "防止意外熄火"(ASIL B-C)

输出:HARA 报告 + SG 列表 + FSC (Functional Safety Concept,SG 怎么实现的高层视图)。

链接:HARA 深度 / Functional Safety Concept

4. Part 4 — System Level (FSC → TSC)

FSC (Functional Safety Concept) 是 SG 的功能层描述,TSC (Technical Safety Concept) 是技术架构层 — 决定 SG 在哪个 ECU 实现 / 哪个 SM 触发 safe state / FTTI 时序。

TSC 典型输出:

  • 系统架构图 (整车 + ECU 分配)
  • 接口规范 (TSC Interface Specification)
  • 时序约束 (FTTI per SG)
  • Safe state 定义 (主驱:STO / ASC)

Part 4 整合阶段 (验证侧):整车 SG 验证 + 整车 FI test

链接:FSC / TSC / SafeState Manager 深度

5. Part 5 — Hardware

Part 5 是硬件级开发:

  • HW 安全要求规范 (HSR)
  • HW 架构 + 设计
  • FMEDA + SPFM / LFM / PMHF 计算
  • HW 安全机制(DESAT / OC sensor / NTC / lockstep MCU)
  • HW 评估 + fault injection

核心 work product:FMEDA 报告(每个元件失效模式 + DC + SM 覆盖)+ HW SR + 设计文档。

链接:FMEDA 深度 / 栅极驱动保护链 / Fault Injection Test 深度

6. Part 6 — Software

Part 6 是软件级开发:

  • SW 安全要求规范 (SSR)
  • SW 架构 (component 分层)
  • Unit-level coding standards (MISRA C)
  • Unit test + integration test + 覆盖率 (statement / branch / MC/DC)
  • SW 安全机制 (RAM ECC / Flash CRC / watchdog / lockstep)

核心 work product:SW 安全要求 + 单元覆盖率报告 + 工具资格证明。

链接:ISO 26262 Part 6 软件 / SafeState Manager 深度 / Aurix TC3xx ASIL D

7. Part 7 — Production / Operation / Service

量产阶段 + 长期运维的功能安全:

  • 量产 SAR (Safety Anomaly Report) 流程
  • 量产工艺 FMEA + Cpk / Ppk 监控
  • 维修 / 升级 (OTA) 流程
  • Field monitoring + 召回触发条件

核心 work product:量产 SAR + Field issue 收集 / 分析报告。量产后 continuous monitoring field data 是 Part 7 的实战重点。

链接:ISO 26262 Part 7 量产

8. Part 8 — Supporting Processes (横向贯穿)

Part 8 不属 V-cycle 任一节点,而是横向 supporting:

  • DIA (Development Interface Agreement) — Tier-1 ↔ OEM 责任分工
  • Tool qualification (TI/TD/TCL/TQL) — 开发工具的可信度
  • Confirmation Measures I0-I3 (反向也是 Part 2 责任)
  • Configuration management + change management
  • 文档管理

没 DIA = 评审拒,Part 8 是合规底线。

链接:Confirmation Measures 深度 / Tool Qualification

9. Part 9 — ASIL-oriented Analyses

Part 9 是横向分析方法:

核心 work product:ASIL 分解决策 + DFA 报告 + 独立性证据。

链接:ASIL 分解深度

10. Part 11 — Semiconductors (供应商生态)

Part 11 (2018 二版新加) 处理半导体供应商接口:

  • SEooC (Safety Element out of Context) 框架
  • 供应商 assumption list
  • IP / SoC / MCU 的 FS evidence
  • 客户应用约束 (User Manual 写明 SM 使用条件)

EV 主驱主流 MCU (Aurix / S32K3) 都按 Part 11 出 SEooC 给 Tier-1 用。

链接:SEooC / Part 11 半导体

11. Part 12 — Motorcycles + Part 10 - Application Guidelines

剩下两个 Part 不在主流程:

  • Part 10:非规范性 guidelines + examples + 最佳实践,补充其它 Part;工程师常翻作为 "norm 读不懂时的解释"
  • Part 12:摩托车 + 三轮车专用规则(乘用车不用)

EV 主驱 ASIL D 项目几乎不直接 reference Part 12。

12. ASIL D 项目 18-24 个月里程碑

把 Part 2-9 + 11 排成时间线,典型 EV 主驱 ASIL D 项目 timeline:

阶段主要活动
Month 0–3Part 3 HARA + Part 4 FSC(DIA 草签)
Month 4–6Part 4 TSC + ASIL 分解(Part 9)+ I0/I1 reviews
Month 7–12Part 5 HW design + FMEDA + Part 6 SW design(并行)
Month 13–15集成测试 + FI test + I2 FS Audit
Month 16–18I3 pre-assessment(TÜV)+ 整改
Month 19–21I3 main assessment + FSAR
Month 22Part 7 量产 SAR setup + OEM PPAP
Month 23–24SOP + field monitor + continuous improvement

13. ISO 26262 vs ISO 21434 vs ISO 21448

3 个相关标准容易混淆,实际各管一段:

  • ISO 26262 (本页) — 功能安全 (功能本身正确,失效后果可控)
  • ISO 21434 — 汽车 cybersecurity (防恶意攻击,2021 起强制)
  • ISO 21448 (SOTIF)Safety of the Intended Functionality (功能本身性能不足,没坏但表现不及预期,自动驾驶为主)

EV 主驱至少跑 ISO 26262 + ISO 21434;L2+ 自动驾驶才上 21448。

链接:ISO 21434 / ISO 21448

14. 主流 work product 速查

Part 2-11 各自的核心 work product 与负责 team — 项目立项第一周可照此分工 + 估人头:

Part核心 work product主要负责 team
2Safety Plan / Safety CaseFS Manager
3HARA + SG list + FSCSystem Architect
4TSC + Sys integration testSystem / HW lead
5HSR + FMEDA + HW DVHW lead
6SSR + SW test coverageSW lead
7Production SAR + Field monitorQuality / Production
8DIA + Tool qual + Confirmation reviewsFS Manager
9ASIL 分解 + DFA reportSystem / FS
11SEooC + Tool TQLSemi vendor + Tier-1

EV OEM ASIL D 项目典型团队 30-80 人,FS Manager 1-2 人横管所有 Part 评审。

15. 子页深度链接

ISO 26262 wiki 已有 40+ 子页。本节按 Part 挂该 Part 的方法 deep(2026-06 补全各 Part 量化/分析/文档方法的代表作);完整学习路径与厂商芯片穷举见 功能安全工程师指南,两者分工互补:

Part 2 / 8 Management & Supporting:

Part 3 Concept:

Part 4 System:

Part 5 Hardware:

Part 6 Software:

Part 7 Production:

Part 9 Analyses:

Part 11 Semiconductors:

核心要点
  • ISO 26262 12 个 Part 沿 V-cycle 排开 — Part 3-6 设计 / 验证,Part 2 / 8 全程 manage,Part 7 量产。
  • Part 3 HARA 起家,Part 4 TSC 拆架构,Part 5/6 HW/SW 设计 + FMEDA,Part 9 ASIL 分解 + DFA
  • Part 11 SEooC 处理供应商接口,Part 8 DIA + CM I0-I3 贯穿全程。
  • EV 主驱 ASIL D 项目18-24 个月 — 3 月 HARA + 12 月开发 + 9 月评审(I3)。
  • 团队 30-80 人,FS Manager 横管所有 Part
  • DIA + 关闭所有 Major issue 是 PPAP 准入 hard gate。
  • ISO 26262 与 ISO 21434 (cybersecurity) + ISO 21448 (SOTIF) 各管一段,EV 主驱至少跑 26262 + 21434。
  • wiki 上 30+ 子页按 Part 分布完整 — 本 hub 是导航主轴。

Cross-references