Safety Manual 写作模板深度 — SEooC 供应商视角 + 12 章 + AoU/IR 接口契约
本质与导读
本质 Safety Manual 是 SEooC 供应商(Tier-2)交付的法律级文档——I3 评审强制、Tier-1 集成 100% 依赖,而 §3 AoU 与 §9 Integrator Responsibilities 是全篇承重墙:AoU 写模糊或 IR 的 DC 不可代入 Tier-1 系统 FMEDA,集成就崩。目录章号非 ISO 26262 强制(Part 10 §9 仅 informative),内容质量才是约束。
1. Safety Manual 在 SEooC 中的位置 + 12 章地图
Safety Manual 是 SEooC 三大交付物之一(详见 SEooC 实战深度 §2),跟 datasheet + FMEDA 报告并列。datasheet 写"我是什么"(器件功能 spec),Safety Manual 写"怎么安全用我"(SEooC 边界 + Tier-1 责任)。两者读者不同 — datasheet 给 PE 工程师看,Safety Manual 给 Safety Engineer + I3 评审看。下图把写作 5 阶段 + 12 章模板一次摆开:
1.1 5 阶段写作流程
按 SEooC 项目 12–18 月生命周期分段:
- ① 产品定义(2–3 月)— 锁定 SEooC scope + assumed Safety Goal + assumed ASIL + 用例。SEooC 是自底向上「假设」:基于 intended applications 直接假设 SG 与 ASIL(开发方无 item 上下文,不做整车 HARA——这正是 out-of-context 的含义);assumed ASIL 视应用而定(主驱常 D,工业/低 ASIL 场景可 B/C,与 §5 vendor 表一致)
- ② AoU 锁定(3–4 月)— 最关键阶段,写 §3 AoU,所有接口 / 应力 / 时序 / 环境边界一次锁死。锁错 → Tier-1 集成失败 → 流片报废
- ③ SM + FMEDA(4–6 月)— 写 §4 Safety Architecture(SM 列表)+ §6 FMEDA(FIT + DC 量化)
- ④ IR 接口契约(2–3 月)— 写 §9 Integrator Responsibilities,给 Tier-1 的"shall 列表"。这一步决定 Tier-1 集成成本 + 时间
- ⑤ I3 评审(8 周)— TÜV / SGS / DEKRA 评审,签发 SEooC ASIL D 证书。50–80 万 RMB 投入,周期 8 周
1.2 12 章模板 — 写什么 / 不写什么
详见 SVG 01 表格,12 章逐项要点:
- §1 Scope — 写"器件 + 适用 ASIL + 假设 SG";不写"通用全场景"(SEooC 必有边界)
- §2 References — 引 ISO 26262 各 Part + IEC + 标定标准;不只引 datasheet
- §3 AoU(关键) — 写接口 / 应力 / 时序 / 环境边界,数字 + 边界;不写"应正确使用"模糊措辞
- §4 Safety Architecture — 写 SM 列表 + 内部 / 外部边界;不写"具体 SM 内部细节"(保护 IP)
- §5 Safe State — 写 SS 定义 + 进入条件 + 退出;不写"恢复时机"(Tier-1 系统决定)
- §6 FMEDA(关键) — 写 FIT + SPFM + LFM + PMHF 数据,直接代入 Tier-1 系统 FMEDA;不写"全部模式 detected"夸大 DC
- §7 Configuration — 写默认配置 + 关键 OTP 项;不写全列表细节(由 datasheet 补)
- §8 Diagnostic API — 写 RDY / FAULT pin 时序 + BIST;不写寄存器细节
- §9 Integrator Responsibilities(关键) — 写 Tier-1 必做 SM + 验证项,shall 句式;不写"建议"模糊
- §10 Quality Mgmt — 写 ASPICE level + 流片质量;不写商业保密信息
- §11 Field Monitoring — 写 RMA 流程 + 缺陷上报;不写"无限期支持"承诺
- §12 Change Mgmt — 写 PCN / SCN 流程 + 版本编号;不写"未来不变"承诺
完整 Safety Manual 典型 40–80 页(IC 类)/ 100–200 页(SoC 类),其中 AoU 6–15 条、IR 4–10 条 shall、FMEDA 5–20 行(FIT 分解到 pin / 模块)。
2. §3 AoU 写作 — 最关键章节
AoU(Assumption of Use)是 Safety Manual 的核心。AoU 锁定 → Tier-1 集成边界锁定 → 流片可行。AoU 写得模糊或漏一条,Tier-1 量产后会反复回流问"这个能不能这样用",SEooC 供应商支持成本爆炸。
2.1 写作 4 原则(HARD)
每条 AoU 必须满足:
- "shall be" 句式 — 法律级强制,不用 "we recommend" / "should be" / "is generally"
- 数字 + 边界 — 比如 "VCC1 shall be 4.75–5.25 V" — 不用 "VCC1 shall be reasonably stable"
- 每条引 spec / datasheet 锚 — 把数字来源链接到具体 spec 章节(datasheet §6.1 / IEC 61000 §4.2)
- 覆盖 4 大维度 — 接口(电压 / 时序) / 应力(温度 / 电压余量) / 环境(EMI / 振动) / 时序(上电顺序 / 信号延迟)
2.2 driver IC 典型 6 条 AoU(TI UCC21750-Q1 例)
worked example 接住前一篇 Driver IC FMEDA worked:
| AoU | 内容 |
|---|---|
| AoU-01 | VCC1 supply shall be 4.75–5.25 V(±5%) |
| AoU-02 | VCC2 supply shall be 12.6–19.8 V(±5%) |
| AoU-03 | IN_PWM min pulse width shall be ≥ 200 ns |
| AoU-04 | VCC1 shall be powered before VCC2(上电顺序) |
| AoU-05 | CMTI shall be ≥ 100 V/ns(共模噪声边界) |
| AoU-06 | Tj ambient shall be ≤ 125°C(散热保证) |
6 条覆盖 接口(01/02) / 时序(03/04) / 共模(05) / 环境(06)4 大维度。Tier-1 接住后做 DV 测试 100% 验证每条边界。
2.3 AoU 写得太宽 vs 太窄
写作权衡:
- 写得太宽(覆盖很多场景)— Tier-1 用 SEooC 灵活,但 SEooC 自身 DC 量化变低(必须覆盖所有 case)→ FMEDA SPFM 上不去
- 写得太窄(只覆盖一种用例)— FMEDA 数字漂亮但 Tier-1 不爱用(灵活度低)
工程实务:先窄后宽 — 第一版 Safety Manual 写得窄(覆盖最常见用例),根据 Tier-1 反馈逐版放宽。不要一开始就写"通用".
3. §9 Integrator Responsibilities 写作 — Tier-1 接口契约
IR(Integrator Responsibilities)是 SEooC 供应商对 Tier-1 的"shall 列表" — Tier-1 必须做什么,SEooC 才能达 ASIL D。详见接口契约示意:
3.1 IR 写作 3 原则
每条 IR 必须:
- "shall"(强制)/ "should"(建议)严格区分 — ASIL D 项目里 IR 全用 shall,Tier-1 必须接住 100%
- 每条对应 DC 量化 — 比如 "IR-01: shall 监测 RDY pin 超时 → 补 DC 85% → 99%(driver OUT stuck-low)"
- 每条对应 Tier-1 验证项 — 比如 "Tier-1 shall DV 测试 RDY 超时 8 corner 工况"
3.2 driver IC 典型 4 条 IR(TI UCC21750-Q1 例)
worked example 跟 Driver IC FMEDA worked §3.3 系统级 SM 补救对应:
| IR | 内容 | 对应 DC 提升 |
|---|---|---|
| IR-01 | Tier-1 shall 监测 RDY pin 超时 | OUT stuck-low DC 85% → 99% |
| IR-02 | Tier-1 shall 在 MCU 端校 DESAT 时序窗 | DESAT 误报 DC 70% → 95% |
| IR-03 | Tier-1 shall 实施 ASIL Decomposition B(D)+B(D) | 单链 SPFM 90.9% → 系统 ≥ 99% |
| IR-04 | Tier-1 shall DV 测试 AoU 6 条边界 | AoU 验证 100% |
4 条覆盖 信号监测(01) / 时序校(02) / ASIL 分解(03) / DV(04)。Tier-1 集成 5 步法(详见 SEooC 实战深度 §4)就是按这 4 条做。
3.3 IR 跟 AoU 的对偶
AoU 是供应商对自己的限制(我假设你这样用我),IR 是供应商对 Tier-1 的要求(你必须这样支持我)。两者对称:
- AoU-01(VCC1 ±5%)→ IR 隐含:Tier-1 shall 用 ±5% 稳压 LDO
- AoU-03(IN_PWM ≥ 200 ns)→ IR 隐含:Tier-1 MCU TIM 设 PWM 不低于 200 ns
- AoU-06(Tj ≤ 125°C)→ IR 隐含:Tier-1 shall 设计散热保证 Tj 在边界内
ASIL D 写作时 AoU + IR 必须 cross-check — 每条 AoU 都该有对应 IR 让 Tier-1 实现。
4. §6 FMEDA 数据准备 — 直接代入 Tier-1 系统
FMEDA 章节是 Safety Manual 第二大关键内容,Tier-1 拿到后直接代入自己的系统 FMEDA。Tier-2 供应商必须提供可代入的数据格式,不可代入的报告 Tier-1 集成会爆炸。
4.1 必备 5 个数据维度
FMEDA 章节数据维度必须满足 Tier-1 系统 FMEDA 工具直接 import 的 5 个要素:
| 维度 | 内容 | Tier-1 用途 |
|---|---|---|
| 总 λ(FIT) | 整 IC 总失效率 | 系统 λ 累加 |
| 失效模式分布 | 6 大模式 × FIT 占比 | 系统失效模式表 |
| DC(SM 覆盖率) | 每个失效模式 × driver 内置 SM 的 DC | 系统 DC 校核 |
| SPF / RF / MPF 分类 | 单点 / 残余 / 多点故障的 FIT | 系统 SPFM/LFM 计算 |
| 边界假设 | 算 FIT 用的温度 / 寿命 / 工况 | Tier-1 推到自己边界 |
详见 FMEDA 深度 — 数据格式跟 IQ-FMEDA / Polarion 工具直接对接。
"失效模式分布"这一维 Tier-1 最常抱怨"vendor 给得太粗"。可代入的写法是给到 pin-level 6 大模式的 FIT 占比 + 每模式 DC + SPF/MPF 归类,driver IC 典型(见 Driver IC FMEDA worked):
| 失效模式 | FIT 占比 | 内置 DC | 归类 |
|---|---|---|---|
| OUT stuck-high | 25% | 90%(DESAT) | SPF/RF |
| OUT stuck-low | 20% | 85%(RDY) | SPF/RF |
| UVLO 失效 | 10% | 95%(BIST) | SPF/RF |
| DESAT 误报 | 15% | 70% | SPF/RF |
| 隔离障击穿 | 5% | 99%(在线) | detected SPF |
| CLAMP 失效 | 25% | 25%(无内置 SM) | latent MPF |
关键是 CLAMP 那行不能藏——25% FIT 但 DC 仅 25% 是 latent 大头;vendor 漏写或合并进别的模式,Tier-1 系统 LFM 就会纸面虚高。
4.2 数据格式 — IQ-FMEDA 直接 import
主流 vendor(TI / Infineon)的 Safety Manual FMEDA 章会附 Excel / XML 数据文件,Tier-1 可直接 import 到 exida IQ-FMEDA / Medini Analyze。不附文件的 SEooC vendor 集成成本 + 30%(Tier-1 需要手动数据录入)。
4.3 FMEDA 数据夸大反模式
I3 评审最常退回的问题是 DC 夸大:
- vendor 写 "DESAT detection covers 99% of OUT stuck-high failures"
- I3 评审员问:"covered" 包不包括 latent?物理一致性?
- vendor 实测 DC 其实 90%(包含 latent 后)
- I3 退回重写 + 重测 + 重评审,延期 2–3 个月
正确写法:每个 DC 都附数据来源 + 测试方法(physical injection / theoretical model),不夸大 + 不省略 latent。
5. 主流 vendor 写作风格对比
按 driver IC Safety Manual 4 大 vendor 风格对比:
| Vendor | 风格 | AoU 数量 | IR 详细度 | FMEDA 格式 | I3 资质 |
|---|---|---|---|---|---|
| TI | 标准化 + 工具集成 | 12 | 6 shall + 5 should | Excel + XML | ASIL D TÜV |
| Infineon | 工程细节深 | 15 | 8 shall | PDF 表 + Excel | ASIL D TÜV/SGS |
| Onsemi | 紧凑 + 通用 | 8 | 4 shall | PDF only | ASIL B(主流) |
| ROHM | 简洁 + 日系 | 6 | 3 shall | PDF only | ASIL C |
EV 主驱 ASIL D 项目主流选 TI 或 Infineon — AoU 详细 + FMEDA 数据可 import + I3 资质够。Onsemi / ROHM 适合 ASIL B / 工业场景。
6. ASIL D Safety Manual Review 5 项清单
I3 评审 + Tier-1 自检的 5 项必查:
| 检查项 | 通过标准 |
|---|---|
| AoU 完整性 | ≥ 6 条覆盖接口 / 应力 / 时序 / 环境 4 维度,每条 shall + 数字 + 数据锚 |
| AoU 跟 IR cross-check | 每条 AoU 都有对应 IR 实现指导 |
| FMEDA 数据可代入 | Excel / XML 格式 + 失效模式 5 维度齐 |
| DC 量化无夸大 | 每个 DC 有测试方法 + 包含 latent + 不省略 |
| Change Mgmt 流程 | PCN / SCN + 版本编号 + Tier-1 通知机制 |
5 项任一失败 → I3 评审退回 + 重写 + 重评审,延期 2–3 个月。
7. 写作 vs 阅读 — 跟 reading-deep 对偶
跟 Driver IC Safety Manual 阅读法 的对偶视角:
| 维度 | 阅读法(Tier-1) | 写作法(Tier-2,本页) |
|---|---|---|
| 视角 | 怎么读 / 5 quick check | 怎么写 / 5 阶段 |
| §3 AoU | 接住 + DV 验证 | 锁定 + 数字边界 + shall |
| §6 FMEDA | 代入系统 FMEDA | 准备 IQ-FMEDA 可导入格式 |
| §9 IR | 实施 + 闭合 | 写 shall + 对应 DC 量化 |
| 失败影响 | 集成失败 → 流片报废 | I3 退回 → 延期 2-3 月 |
两边的工程师同时读两篇,理解 AoU 是接口契约(双方都要看)、IR 是契约义务清单(供应商写、Tier-1 实施)。
8. 5 个 Safety Manual 写作工程陷阱
I3 评审退回 + Tier-1 反复问回流 80% 集中在 5 类写作陷阱:
| 陷阱 | 描述 | 预防 |
|---|---|---|
| AoU 模糊 | "应正确使用" / "合理稳定" 措辞 | 改 shall + 数字 + 数据锚 |
| DC 夸大 | "covers all failures" 没含 latent | DC 必含 latent + 附测试方法 |
| shall vs should 混用 | ASIL D 项目 IR 全用 shall | review 关键字 + 严格 review |
| 无版本管理 | "未来不变" 类承诺 / 无 PCN/SCN | §12 必加 Change Mgmt + 编号 |
| FMEDA 不可代入 | PDF 表格 / 无 Excel/XML | 跟 IQ-FMEDA / Medini 工具对接 |
核心要点
- Safety Manual 是 SEooC 法律级文档,ISO 26262 Part 10 §9 强制,Tier-1 集成 100% 依赖
- 5 阶段写作:产品定义(2-3 月)→ AoU 锁定(3-4 月,最关键)→ SM+FMEDA(4-6 月)→ IR 接口契约(2-3 月)→ I3 评审(8 周)
- 12 章模板,每章"写什么 / 不写什么"严格定位,3 个关键章 §3 AoU / §6 FMEDA / §9 IR
- 完整 Safety Manual 40–200 页,工时 ~6 FTE × 月,I3 评审 50–80 万 RMB / 8 周
- AoU 写作 4 原则:shall 句式 / 数字 + 边界 / 数据锚 / 4 维度覆盖,driver IC 典型 6 条 worked
- IR 写作 3 原则:shall vs should 严格区分 / 对应 DC 量化 / 对应 Tier-1 验证项,driver IC 典型 4 条 worked
- AoU + IR 必须 cross-check — 每条 AoU 都该有对应 IR 实施指导
- FMEDA 数据可代入(Excel/XML),不可代入的 Tier-1 集成 +30% 成本
- 主流 vendor:TI / Infineon ASIL D 标杆,Onsemi / ROHM 适合 ASIL B 工业
- ASIL D I3 评审 5 项:AoU 完整 / cross-check / FMEDA 可代入 / DC 无夸大 / Change Mgmt
- 5 写作陷阱:AoU 模糊 / DC 夸大 / shall 混用 / 无版本 / FMEDA 不可代入
缩写表
只列本页专业术语:
| 缩写 | 全称 / 中文 | 备注 |
|---|---|---|
| AoU | Assumption of Use | SEooC 假设清单(§3 关键) |
| BIST | Built-In Self-Test | 集成自测 |
| DC(this page) | Diagnostic Coverage | 诊断覆盖率 |
| DV | Design Verification | 设计验证(Tier-1 测 AoU 边界) |
| FMEDA | Failure Mode Effects and Diagnostic Analysis | 失效模式 + 诊断 + 量化(§6 关键) |
| FSAR | Functional Safety Assessment Report | 功能安全评估报告(SEooC 闭合文档) |
| I3 | Independent Safety Assessment | 独立安全评估(TÜV / SGS / DEKRA) |
| IQ-FMEDA | exida 商用 FMEDA 工具 | 跟 Safety Manual 数据对接 |
| IR | Integrator Responsibilities | Tier-1 必做 shall 列表(§9 关键) |
| LFM | Latent Fault Metric | 潜在故障度量(ASIL D ≥ 90%) |
| PCN / SCN | Product / Specification Change Notification | 产品 / 规格变更通知(§12 流程) |
| PMHF | Probabilistic Metric for Random HW Failures | 硬件失效概率(ASIL D ≤ /h) |
| RMA | Return Material Authorization | 退货授权(§11 流程) |
| SEooC | Safety Element out of Context | 跨组织安全件(driver IC / SBC 类) |
| SCSOA | Short-Circuit Safe Operating Area | 短路安全工作区 |
| shall vs should | Mandatory vs Recommendation | ASIL D IR 全用 shall |
| SG | Safety Goal | 安全目标(SEooC HARA 假设) |
| SM | Safety Mechanism | 安全机制 |
| SPFM | Single-Point Fault Metric | 单点故障度量(ASIL D ≥ 99%) |
Cross-references
- ← 索引
- 功能安全工程师指南 — 上位 hub
- Driver IC Safety Manual 阅读法 — 对偶视角(Tier-1 怎么读)
- SEooC 实战深度 — Tier-1 集成 5 步
- Driver IC FMEDA worked deep — FMEDA 数据准备实战
- FMEDA 深度 — SPFM/LFM/PMHF 数学
- Confirmation Measures 深度 — I3 评审流程
- Tool Qualification 深度 — IQ-FMEDA / Medini 工具
- ASIL 分解深度 — IR-03 B(D)+B(D) 分解
- 辅助电源 FMEDA + DFA 深度 — AUX 链 FMEDA worked