Safety Case GSN tree 写作工程化深度 — 7 步 SOP + 5 defeater 修法 + Confidence Argument
本质与导读
本质 GSN tree 是 I3 评审签字的逻辑骨架,不是项目末期赶工的可视化装饰——必须从 Safety Goal 系统推导:Strategy 不能是空话、Solution 挂 FMEDA 数字要写明判据、Confidence Argument 不能缺。写错就评审退回、项目延 3-6 月。
主线坐标:旁支 · 低压控制域 · ↑ 全景主线
1. 为什么 GSN 写作是 Safety Case 项目最难一环
I3 评审退回的根因里,FMEDA 数字不达标只占 20%,80% 是 GSN 论证缺陷 — 数字达标但论证链条断了。原因有三:
- Safety Goal 抽象 vs evidence 具体之间隔 4-6 个推理跳板,跳板每丢一个都会变成 defeater
- Strategy 是项目最难写的节点 — 工程师习惯写"我做了什么",不习惯写"我为什么这么做就能 prove sub-goal";没有 Strategy 的 GSN 树看起来满,实际是 G → Sn 直挂,审计员一句"为什么这就够"就崩
- Confidence Argument 99% 团队不写 — ISO 26262-2 没明确要求,但 GSN Community Standard v3 强调"主 GSN 必须有 confidence argument 兜底",I3 评审升级到 OEM 级别(蔚来 / 比亚迪 / 长城)后开始抠这块
下面的"7 步 SOP"是把 GSN 写作从"项目末期赶工"前移到"概念阶段就开始累积"的工程化路径,与 Safety Case 总览 §7 生命周期严格对齐:HARA 时写 Top Goal,FSC 时拆 Strategy + Sub-goal,V&V 时填 Solution,I3 评审前补 Confidence Argument。
2. GSN tree 7 步写作 SOP
GSN tree 写作不是"画图工作",而是结构化把 SG 推到 evidence 的工程推理。7 步 SOP 把这条推理路径固化:每步产出固定形态的节点 + 进下一步前必过的检查项。下图把 7 步在主驱 SG-1 例子上一次摆开:
7 步与 V-cycle 阶段一一对应:
| 步 | 输出节点 | V-cycle 阶段 | 完成判据 |
|---|---|---|---|
| 1 | Top Goal G | Item Definition + HARA 后 | 1 SG = 1 棵 GSN 树,Top G 文本 = SG 文本一字不差 |
| 2 | Strategy S | FSC | Strategy = "通过 X 论证方法,把 Top G 拆成 N 个子 claim";N 通常 2-4 |
| 3 | Sub-goal G2-Gn | FSC + TSC | 每个 sub-goal 都可独立 verify,4 维拆解(随机/系统/共因/dependency) |
| 4 | Context C + Assumption A | 全程 | C = 边界 / 工况 / 标准引用;A = 必须为真的前提,A 必有"如何 verify"回闭 |
| 5 | Solution Sn(leaf) | V&V | 每个 Sn 必带 evidence ID(报告号 / 测试 ID / 工具版本) |
| 6 | Cross-link FSC/TSR/HSI | 全程 | GSN 节点 ↔ FSC/TSR/HSI 双向 traceability matrix |
| 7 | Confidence Argument | I3 评审前 | 独立 GSN 树,论证"主 GSN 本身可信"(5 节点模板) |
2.1 Step 1 — Safety Goal 转 Top Goal G
Top Goal 一字不差等于 Safety Goal 文本,这是 GSN 与 HARA 之间的硬绑定。任何措辞差异都会变成审计员盘问的起点。
- Top G 写法:
SG-N: 〈hazard〉 不发生,under 〈operational context〉, ASIL 〈X〉 - Top G 上方必挂 Context C:
C1: Item Definition Document ID + 版本(锁住 hazard 的语义边界) - Top G 上方必挂 Assumption A(如果 SG 引了整车 HARA):
A1: 整车 HARA-IDD-2026-A 是有效的,A 必有"如何 verify"回闭(I3 评审引整车 HARA report ID)
反模式:Top G 写"系统是安全的" — 太抽象,无 verification 路径。
2.2 Step 2 — 选 Strategy 模板(5 选 1)
Strategy 是工程师最不会写的节点。5 个 ISO 26262 业界沉淀的 Strategy 模板覆盖 90% 场景,优先按下表对号入座,不要自创:
| Strategy 模板 | 适用 SG 类型 | Sub-goal 数 |
|---|---|---|
| S-Type-A:3 故障类拆解 | 所有 SG 默认起手 | 3(随机 / 系统 / 共因) |
| S-Type-B:Hazard chain 切断 | hazard 有明确触发 → 传播 → 后果链 | 2-4(每环节一个 sub-goal) |
| S-Type-C:Safety Mechanism 覆盖 | SG 由若干 SM 联合实现 | N = SM 数 |
| S-Type-D:Decomposition a(X)+b(X)(如 D→B(D)+B(D) 或 D→D(D)+QM(D)) | ASIL 分解后子系统独立论证 | 2(两个分解后子系统) |
| S-Type-E:Independence claim | 共因失效 + 冗余通道 | 2-3(每通道一个 sub-goal + 独立性 claim) |
Strategy 文本写法:S1: 按 〈模板名〉 拆解,在 〈Context Ci〉 范围内,sub-goals G2...Gn 联合蕴含 Top G。必带 Context 引用 — 这是后面 review checklist 第 3 问的硬条件。
2.3 Step 3 — Sub-goal 4 维拆解
Sub-goal 的命名要"可独立 verify"。以默认 S-Type-A "3 故障类拆解" 为例,主驱 SG-1 的 sub-goal 模板:
- G2:随机故障已 cover — 量化指标 SPFM ≥ 99% / LFM ≥ 90% / PMHF ≤ 10 FIT
- G3:系统故障已 cover — ISO 26262 V-model + ASPICE Level 2 + Tool Qualification
- G4:共因失效已 cover — DFA 4 维独立(物理 / 电气 / 信号 / 温度)分析完整
如果用 S-Type-D ASIL 分解(B(D)+B(D)),则 sub-goal 退化为 2 个:G2: 通道 A 满足 ASIL B、G3: 通道 B 满足 ASIL B + 通道独立性。每个 sub-goal 必有定量门限,纯定性"满足"会被退回。
2.4 Step 4 — Context + Assumption 5 类标注
Context 和 Assumption 是 GSN 容易丢的辅助节点。5 类必标:
| 类 | 节点 | 例 | 必标位置 |
|---|---|---|---|
| 1. 文档边界 | C | C: IDD-TI-2026-A v1.0 | Top G + 关键中间 G |
| 2. 标准引用 | C | C: ISO 26262-9:2018 §6.4 | Strategy 节点 |
| 3. 失效率库 | A | A: SN29500 / FIDES 2009 有效 | FMEDA Solution 上方 |
| 4. 工具假设 | A | A: Astah GSN v9 + Saber v2023.06 | 跨多节点(写 1 次) |
| 5. 接口假设 | A | A: Tier-2 AoU 全部满足 | SEooC 边界 sub-goal 上方 |
Assumption 必有 verification 回闭 — 例如 A: SN29500 数据有效 必须在 Solution Sn 链上挂一个 "Sn: SN29500 vs 现场 FRACAS 对比报告 ID-2026-Q1"。没有回闭的 Assumption 是 defeater Type 5。
2.5 Step 5 — Solution 与 Evidence ID 绑定
Solution(Sn,circle 节点)是 GSN 唯一直接挂 evidence 的节点类型。每个 Sn 必带 3 个字段:
- Evidence 类型:FMEDA report / Test report / Review record / Tool report / FRACAS
- Evidence ID:
EV-MainInv-FMEDA-v3.2-2026-04-15这种全局唯一 ID - Evidence 位置:DMS 路径 + 责任工程师 + 评审签字日期
反模式:Sn 写"FMEDA 通过" — 没 ID 没版本,审计员要求 5 分钟内找到具体文件找不到 → 退回。
2.6 Step 6 — Cross-link FSC/TSR/HSI
GSN tree 必须与 ISO 26262 work product 双向 traceability:
| GSN 节点 | ↔ work product | 工具实现 |
|---|---|---|
| Top G | ↔ SG (HARA) | Polarion / DOORS link |
| Sub-goal G | ↔ FSR / TSR | Polarion link |
| Strategy S | ↔ FSC / TSC | 文档章节引用 |
| Context C | ↔ Item Definition / 标准 | 文档 ID + 版本 |
| Solution Sn | ↔ V&V report / FMEDA | Evidence ID |
双向意味:从 GSN 节点能跳到 work product,从 work product 也能跳回 GSN 节点。审计员经常从 FSR 反查 GSN tree,断链 = defeater。
2.7 Step 7 — Confidence Argument 独立树
主 GSN tree 论证"系统满足 SG",Confidence Argument tree 论证"主 GSN 本身可信"。这是 GSN Community Standard v3 强调、I3 评审升级后被要求的元论证。详见 §5。
3. EV 主驱 SG-1 完整 GSN 树 worked
把 7 步 SOP 在主驱 SG-1 "unintended torque < ±20Nm, ASIL D" 上跑完,得到下面 5 层 30 节点完整 GSN 树。这是 Safety Case 总览 §12 那张 4 层节选的完整展开版,涵盖所有 5 符号 + 5 类 Context/Assumption + 8 个 Solution leaf:
3.1 Top G + Context 层
Top G 文本 = HARA 输出 SG-1 文本,挂 2 个 Context:
G1: 主驱 SG-1 unintended torque < ±20Nm under 整车工况, ASIL DC1: IDD-TI-2026-A v1.0 — Item Definition,定义工况边界A1: 整车 HARA HZ-2026-001 有效 — 待 OEM 整车 HARA 报告回闭
3.2 Strategy 拆 3 故障类
S1: 按 ISO 26262-9 3 故障类拆解,在 C1 边界内 G2+G3+G4 联合蕴含 G1
Strategy 引 ISO 26262-9 作为 Context(C2),引 ASCAD methodology 作为方法论 Context(C3)。
3.3 Sub-goals 3 故障类各自展开
G2(随机故障) 进一步拆 3 层:
- G2 → S2-1(B(D)+B(D) 分解)→ G2-1(通道 A 满足 B)+ G2-2(通道 B 满足 B)+ G2-3(通道独立性)
- G2-1 → S2-1-1(SM 覆盖)→ G2-1-1(Driver 链 SPFM)+ G2-1-2(MCU 链 SPFM)+ G2-1-3(AUX 链 SPFM)
- 每个 G2-1-X 挂 Solution Sn:FMEDA report ID + SN29500 库版本
G3(系统故障) 拆 2 层:
- G3 → S3(V-model 完整 + ASPICE Level 2)→ G3-1(需求 V&V 完整)+ G3-2(工具 qualified)+ G3-3(代码 ISO 26262-6 合规)
- Solution:V&V matrix + ASPICE 评级报告 + Tool Qualification report
G4(共因失效) 拆 1 层:
- G4 → S4(DFA 4 维独立)→ G4-1(物理隔离)+ G4-2(电气隔离)+ G4-3(信号隔离)+ G4-4(温度独立)
- Solution:DFA 分析报告 + FMEA-Common Cause report
3.4 Solution leaf evidence ID 速查
完整 GSN tree 共 8 个 Solution leaf,每个绑唯一 Evidence ID:
| Sn | Evidence 类型 | Evidence ID |
|---|---|---|
| Sn1 | FMEDA report | EV-MainInv-FMEDA-Driver-v3.2-2026-04-15 |
| Sn2 | FMEDA report | EV-MainInv-FMEDA-MCU-v3.2-2026-04-15 |
| Sn3 | FMEDA report | EV-MainInv-FMEDA-AUX-v3.2-2026-04-15 |
| Sn4 | V&V matrix | EV-MainInv-VVMatrix-v2.1-2026-03-30 |
| Sn5 | ASPICE report | TI-MainInv-ASPICE-L2-2026-Q1 |
| Sn6 | Tool report | TI-Saber-Astah-Polarion-TQ-2026-01 |
| Sn7 | DFA report | EV-MainInv-DFA-v1.4-2026-02-28 |
| Sn8 | FMEA-CC report | EV-MainInv-FMEA-CC-v1.2-2026-02-28 |
I3 评审员从 Top G 沿树自顶向下抽查 → 任一 Sn 拿不出对应 ID 的文件 = 评审退回。
4. 5 大 defeater 类型 + 修法 worked
Defeater 是 GSN 论证中让审计员 reject 整棵树的论证缺陷。SCSC AWG 分类有 12+ 种,工程现场 80% 是下面 5 类。每类给出 before(反模式)+ after(修法)两个 GSN 片段:
4.1 Type 1 — 论证缺口(argument gap)
症状:Goal 直接挂 Solution,中间没 Strategy + sub-goal。例:G1: SG-1 满足 → Sn: FMEDA 通过 直挂。
为何 defeater:审计员问"为什么 FMEDA 通过 = SG-1 满足"无法回答,因为缺"FMEDA 数字与 SG-1 之间的判据论证"。
修法:在 G1 和 Sn 之间插 S1: 按 ISO 26262-5 §8 量化判据,SPFM≥99%+LFM≥90% 即足以论证 SG-1,然后挂 sub-goal G2: SPFM ≥ 99% 已达,Sn 才挂在 G2 下面。
4.2 Type 2 — 循环论证(circular argument)
症状:G1 的论证依赖 G3,G3 的论证又依赖 G1。常见于"系统是安全的因为 SM 有效;SM 有效因为系统是安全的"。
为何 defeater:论证树有环,数学上等价于无证明。
修法:打破环 — 引入独立 Evidence(测试 / 形式化验证 / 独立 review)作为论证基础;每条论证路径必须能终止在 Solution leaf,不允许跨节点回引。
4.3 Type 3 — Strategy 太抽象(strategy too abstract)
症状:S1: 通过工程经验论证 G1 或 S1: 通过最佳实践论证 G1。
为何 defeater:Strategy 不具操作性,sub-goal 无法由它系统推出。
修法:Strategy 必引具体方法论 + Context(ISO 26262 章节 / IEEE 标准 / Adelard ASCAD / SCSC 模板);见 §2.2 的 5 个 Strategy 模板,优先对号入座,不要自创。
4.4 Type 4 — Context 缺失(missing context)
症状:Top G 写"系统是安全的"没说在什么工况下,Sub-goal 写"SPFM ≥ 99%"没说怎么算的(SN29500 vs FIDES vs 现场数据)。
为何 defeater:claim 的语义没锁,审计员可以一直追"在什么前提下"。
修法:每个 Goal 上方挂 Context node,标 Item Definition ID / 标准章节 / 失效率库版本 / 工况范围;Top G 至少 2 个 Context,sub-goal 至少 1 个。
4.5 Type 5 — Assumption 没回闭(unbacked assumption)
症状:Assumption A: SN29500 数据有效,但 GSN 树里没任何节点 verify 这个 A。
为何 defeater:Assumption 是"假设为真",必须有 verification 路径回闭(或显式 declare 为 residual risk),否则等于隐藏前提。
修法:每个 Assumption 在 Solution leaf 链上挂一个"verification Sn"。例 A: SN29500 有效 → Sn-A: SN29500 vs 现场 FRACAS 对比报告 ID-2026-Q1。不能 verify 的 A 必须显式标 Residual Risk 并进入 Safety Case § Residual Risk Disclosure。
5. Confidence Argument 独立树
主 GSN tree 论证"系统满足 SG"。Confidence Argument tree 论证"主 GSN 本身可信" — 这是元论证。GSN Community Standard v3 §4 强调:"Without confidence argument, the main argument is necessary but not sufficient." 蔚来 / 比亚迪 OEM 级 I3 评审已经开始抠这块,长城 / 比亚迪 2026 起强制。
下图是主驱 SG-1 主 GSN tree 配套的 Confidence Argument 5 节点模板:
5 节点元论证:
- CG1(Top Confidence Goal):主 GSN tree 对 SG-1 的论证是 trustworthy 的
- CS1:通过 4 维论证(完整性 / 正确性 / 独立性 / 可追溯性)联合论证 CG1
- CG2-CG5(4 个 confidence sub-goal):
- CG2:完整性 — 所有 sub-goal 覆盖 SG-1 失效空间(用 FMEA-CC 反推 / 用 hazard list 对照)
- CG3:正确性 — 每条论证路径在数学/工程上无误(用 internal/external review 双盲)
- CG4:独立性 — Reviewer 与 Author 独立(ISO 26262-2 §6.4.7 confirmation review)
- CG5:可追溯性 — GSN 节点 ↔ work product 双向链 100% 覆盖
- CSn1-CSn4:每个 CG 挂 1 个 Solution(review record / traceability matrix / FMEA-CC 反推报告)
写作工时:Confidence Argument 比主 GSN tree 小一个量级,典型 1-2 工程师 × 1 月。新人通病:把 confidence argument 写成主 GSN 的复制 — 错。Confidence argument 论证的是论证过程的质量,不是论证结论。
6. GSN tree review checklist — 9 问
内部 review 是 I3 评审前的必经关。下面 9 问按"defeater 风险倒序"排,每问对应一类 defeater + 一个具体检查动作。Tier-1 内部 review 走完这 9 问,I3 评审退回率从 60% 降到 10%。
| # | 问 | 检查动作 | 对应 defeater |
|---|---|---|---|
| 1 | 每个 Goal 是否能独立 verify? | 抽 3 个 Goal 问"如何 verify",答不上 = 抽象 | Type 3 |
| 2 | 每个 Solution 是否有 Evidence ID + 版本? | 抽 5 个 Sn,5 分钟内找不到文件 = 退回 | (Type 1 变种) |
| 3 | 每个 Strategy 是否引方法论 Context? | 无 Context → Strategy 抽象 | Type 3 |
| 4 | 每个 Assumption 是否有 verification Sn 回闭? | 无回闭 + 无 Residual Risk = 退回 | Type 5 |
| 5 | Top G 是否字字等于 SG 文本? | 措辞差异 = HARA-GSN 断链 | (新型) |
| 6 | 论证树是否无环? | 全树 DFS 检查无回引 | Type 2 |
| 7 | sub-goal 数量是否在 2-4? | > 4 → Strategy 拆得不够;< 2 → Strategy 多余 | (新型) |
| 8 | 量化指标是否有定量门限? | 纯定性"满足"= 退回 | Type 3 变种 |
| 9 | 是否有 Confidence Argument tree? | 无 = OEM I3 退回(2026 起) | 元论证缺失 |
第 9 问是 2026 年新增,2024 年前 50% 项目都没有 Confidence Argument。Tier-1 把这 9 问做成 Polarion / Astah 内置 query,review 阶段一键过。
7. GSN 工具 + 文本格式
GSN tree 工具选型不影响论证质量,但影响团队协作 + git diff 友好度 + 长期维护成本。3 类工具对比:
- Astah GSN / Eclipse Trade Studio(图形优先)— 上手快,导出 PDF/PPT 直接用;短板:
.asta/.gsn是 XML/二进制,git diff 看不出节点级变化,版本管理痛苦。适合外部交付(I3 评审 / OEM review 给 PDF) - GSN-IDE / SafeSCASS(开源工具,York 大学维护)— 文本+图形混合,导出可配置;短板:中文渲染 buggy,工具更新慢
- yaml-gsn / json-gsn 文本格式(团队自建)— 节点写在 yaml/json 文件里,git diff 友好,CI 自动生成图;短板:渲染要写自己工具(matplotlib / d3.js / hand-SVG 生成)。适合内部 SoT(source of truth)+ 工具链自动化
推荐双轨制:内部 SoT = yaml-gsn 文本(进 git,review 走 PR),外部交付 = Astah 渲染 PDF(I3 给评审员)。CI 跑 yaml → SVG/PDF 生成,与 wiki / Polarion 联动。Tier-1 自建工具链典型工时:2-3 工程师 × 3 月一次性投入。
yaml-gsn 示例 schema(节点级 diff 友好):
- id: G1
type: Goal
text: 主驱 SG-1 unintended torque < ±20Nm under 整车工况, ASIL D
contexts: [C1, C2]
assumptions: [A1]
strategy_below: S1
evidence_id: null # Goal 不直接挂 evidence,通过 sub-goal/Sn 链
- id: S1
type: Strategy
text: 按 ISO 26262-9 3 故障类拆解
contexts: [C2]
goal_above: G1
goals_below: [G2, G3, G4]
8. GSN ↔ ISO 26262 work product 双向追溯
GSN tree 不是孤立文档,必须与 ISO 26262 work product 双向追溯。下表把 GSN 节点类型 ↔ ISO 26262 章节 ↔ Polarion work item 类型一次对齐:
| GSN 节点 | ISO 26262 章节 | Work product | Polarion type |
|---|---|---|---|
| Top G | Part 3 §6 (HARA) | Safety Goal | safety_goal |
| Sub-goal G | Part 3 §7 (FSC) / Part 4 §6 (TSC) | FSR / TSR | safety_requirement |
| Strategy S | Part 2 §6.4.9 (Safety Plan) | Safety Plan 章节 | (文档引用) |
| Context C(IDD) | Part 3 §5 (Item Def) | Item Definition | item_definition |
| Context C(标准) | (外部 ISO 章节) | 标准引用 | external_reference |
| Assumption A | Part 10 §9 (SEooC AoU) | AoU 列表 | assumption_of_use |
| Solution Sn(FMEDA) | Part 5 §9 + Annex E | FMEDA report | fmeda_evidence |
| Solution Sn(V&V) | Part 4 §9 + Part 6 §11 | V&V matrix | verification_evidence |
| Solution Sn(Tool) | Part 8 §11 (TQ) | Tool Qualification | tool_qualification |
双向意味着:Polarion / DOORS 里点 GSN 节点 → 跳 work product;点 work product → 反查所有引它的 GSN 节点。审计员 I3 现场最爱玩这个 — 抽 5 个 FSR 反查 GSN,任一 FSR 没被 GSN 引用 = 论证不完整。
9. 5 个工程陷阱速查
GSN 项目末期出现的陷阱集中在 5 类,根因都是"写作时把 GSN 当装饰,不当推理工具"。下表把陷阱、后果、修法一次摆开,内部 review 阶段对照排雷:
| # | 陷阱 | 后果 | 修法 |
|---|---|---|---|
| 1 | Strategy 一句空话(无方法论 Context) | Type 3 defeater | 对号入座 5 个 Strategy 模板,必引 ISO 章节 |
| 2 | Top G 措辞 ≠ SG 文本 | HARA-GSN 断链 | Top G 字字复制 SG,工具校验 |
| 3 | Solution 无 Evidence ID | 5 分钟找不到文件 | yaml-gsn 强制 evidence_id 字段非空 |
| 4 | Assumption 无 verification 回闭 | Type 5 defeater | 每 A 必挂 verification Sn 或 declare Residual Risk |
| 5 | 整树无 Confidence Argument | OEM I3 退回(2026 起) | 主 GSN 完成后 1-2 人月补 5 节点模板 |
10. 工程交付清单
写完一个 ASIL D 项目的 GSN 工件包应该有:
- N 棵主 GSN tree:每个 SG 一棵(典型 4-8 棵),5 层 20-40 节点
- 1 棵 Confidence Argument tree:5-15 节点(覆盖 4 维元论证)
- GSN ↔ work product traceability matrix:Excel/Polarion query,双向 100% 覆盖
- GSN review record:9 问 checklist 走完,每问签字 + 整改 close
- yaml-gsn 文本源 + Astah 导出 PDF:双轨 SoT
- Residual Risk list:无法 verify 的 Assumption + 显式 disclosure
I3 评审现场抽查典型路径:Top G 沿树往下 5 层 → 抽 Sn → 拿 Evidence ID 找文件 → 反查 work product → 反查 GSN 引用闭环。任一断点 = 退回 1-3 月。
缩写表
只列本页专业术语:
| 缩写 | 全称 / 中文 | 备注 |
|---|---|---|
| G | Goal | GSN 矩形节点,待论证 claim |
| S | Strategy | GSN 平行四边形,Goal 拆解方法 |
| Sn | Solution / Evidence | GSN 圆形,直接 evidence |
| C | Context | GSN 圆角矩形,Goal 的边界/前提 |
| A | Assumption | GSN 椭圆,论证依赖的假设 |
| CG / CS / CSn | Confidence Goal / Strategy / Solution | Confidence Argument 元论证节点 |
| GSN | Goal Structuring Notation | Tim Kelly 1998 + GSN Community Standard v3 |
| ASCAD | Adelard Safety Case Development | 业界 Safety Case 方法论 |
| SCSC AWG | Safety-Critical Systems Club Assurance Working Group | GSN defeater 分类来源 |
| SG | Safety Goal | HARA 输出,Top G 文本源 |
| FSC / TSC | Functional / Technical Safety Concept | Strategy + Sub-goal 输出阶段 |
| FSR / TSR | Functional / Technical Safety Requirement | Sub-goal 对应 work product |
| HSI | Hardware-Software Interface | Sub-goal 边界文档 |
| IDD | Item Definition Document | Top G 必挂 Context |
| AoU | Assumption of Use | SEooC Assumption 节点对应 |
| I3 | Independent Safety Assessment | TÜV / SGS / DEKRA 独立评审 |
| SPFM / LFM / PMHF | 量化指标 | sub-goal 定量门限 |
| DFA | Dependent Failure Analysis | 共因失效 sub-goal evidence |
| FMEDA | Failure Mode Effects and Diagnostic Analysis | 随机故障 sub-goal evidence |
| FMEA-CC | FMEA Common-Cause | 完整性反推 evidence(Confidence Argument) |
| FRACAS | Failure Reporting Analysis and Corrective Action System | 现场失效数据 |
| SoT | Source of Truth | 双轨制内部源 |
| Polarion / DOORS | Tooling | 双向 traceability 工具 |
| Astah GSN | GSN 渲染工具 | 外部交付 PDF |
| TCL | Tool Confidence Level | Tool Qualification 输出 |
| ASPICE | Automotive SPICE | Tool QL evidence 之一 |
| AUX | Auxiliary Power Supply | 主驱 ECU 三链之一 |
| MCU | Microcontroller Unit | 主驱 ECU 三链之一 |
| OEM | Original Equipment Manufacturer | 整车厂(主 GSN 接收方) |
| SVPWM | Space Vector PWM | 电机控制波形 |
| WDG | Watchdog | 跨链 SM 之一 |
| SBC | System Basis Chip | 跨链 SM 之一 |
| QM | Quality Management | ASIL 最低级(分解后) |
核心要点
- GSN 写作不是画图,是结构化推理 — 7 步 SOP 把 SG → evidence 的推理路径固化,每步与 V-cycle 阶段对齐(HARA 起 Step 1,V&V 完成 Step 5,I3 评审前补 Step 7)
- 5 个 Strategy 模板覆盖 90% 场景 — A 3 故障类 / B Hazard chain / C SM 覆盖 / D ASIL 分解 / E Independence;对号入座,不要自创
- 每个 Solution 必带 Evidence ID + 版本 + 位置 — 没 ID 的 Sn = 审计员 5 分钟内找不到文件 = 评审退回
- 每个 Assumption 必有 verification Sn 回闭 — 不能 verify 的 A 必须显式标 Residual Risk 进 Disclosure 章节
- Confidence Argument 是独立元论证树 — 主 GSN 论证 SG 满足,Confidence Argument 论证主 GSN 本身可信(2026 起 OEM I3 强制)
- 5 大 defeater 类型:argument gap / circular / abstract strategy / missing context / unbacked assumption — review checklist 9 问对应排雷
- GSN ↔ ISO 26262 work product 双向追溯 — Polarion / DOORS 强制建立,审计员从 FSR 反查 GSN 是 I3 现场标配
- yaml-gsn 文本源 + Astah 渲染双轨制 — 内部 SoT 进 git(diff 友好),外部交付 PDF(I3 评审员可视化)
Cross-references
- ← 索引
- Safety Case 总览 — GSN 5 符号 + 一张追溯示例(本页是其 §4 + §12 的工程化展开)
- EV ECU FMEDA 总集成深度 — GSN tree 节选 + ISO 26262-10 §5.4 8 段对标 + I3 拦路问题
- ASIL D 端到端案例 — 主驱 SG-1 的 FMEDA 数字源头
- SEooC 实战深度 — Tier-2 SEooC GSN 在 Tier-1 系统 GSN 中的接入
- HARA Worked Example — Top G 文本的源头
- Confirmation Measures 深度 — Confidence Argument 中的 reviewer 独立性 evidence
- Safety Manual 写作模板 — AoU 写作(对应 GSN Assumption 节点)
- Functional Safety Engineer Guide — Safety Manager 角色对 GSN review 的责任
- ISO 26262 V-cycle Fullstack — GSN 在 V-cycle 各阶段累积时序