Safety Manual 写作模板 — IC Supplier 给客户的合规交付物

功能安全L2别名 safety manual · 安全手册 · SEooC safety manual · IC safety manual · safety application note · safety datasheet · integration manual · AoU document

本质与导读

本质 Safety Manual 是 SEooC IC supplier 给客户的合规交付物:datasheet 描述芯片正常做什么,它则规定客户必须做什么、必须假设什么(AoU + 内置 SM 及其 DC + HSI 责任划分),芯片的 ASIL claim 才在客户系统里成立。写得好客户可直接 reuse 缩短开发,写得差则 SEooC 价值归零。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. Safety Manual 与其它文档的关系

1.1 三类文档区分

这一节先把“三类文档区分”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。下图先给出 Safety Manual 整体内容骨架,后面各章逐项展开。

Safety Manual 结构 — SEooC 使用假设 AoU + 安全机制清单(SM+DC)+ FIT/失效率 + 集成约束 + 假设 ASIL,指导集成商安全使用

文档角色受众
Datasheet描述芯片正常功能、电气参数任何工程师
Safety Manual描述安全相关 SM + AoU + DC + 限制客户的 Safety Engineer
Application Note描述具体使用场景的设计建议系统工程师

实务:Safety Manual 是受控文档(版本 / 签字 / change history),Application Note 是不受控的指导。

1.2 与 Safety Case 的关系

IC supplier 自己有内部 Safety Case(论证芯片本身合规);Safety Manual 是给客户的输出——客户用它支持他们自己的 Safety Case(整车 / Tier 1 ECU 级)。

2. 8 章必含内容

2.1 Chapter 1: Scope and Purpose

明确:

  • 本 Safety Manual 适用哪个芯片(P/N + 版本范围)
  • ASIL claim(典型"capable of supporting up to ASIL D applications"或"up to ASIL B")
  • 假设的 use case(在什么系统类型里使用)
  • ISO 26262 的合规声明

2.2 Chapter 2: Functional Description

简版功能描述,聚焦安全相关功能:

  • 芯片内有哪些安全相关 sub-element(MCU 核 / FCCU / ECC 单元 / 时钟监控 等)
  • 各 sub-element 的工作原理简介(详细在 datasheet)
  • Block diagram 标注 safety-related 部分

2.3 Chapter 3: Safety Architecture

更深一层的安全架构:

  • 安全相关 sub-element 之间的关系
  • 信号流 + 故障传播路径
  • 哪些 sub-element 共用资源(DFA 关键)
  • 内置的隔离 / 冗余措施

2.4 Chapter 4: Safety Mechanisms List(核心)

最重要的章节。每个 SM 一行:

SM ID描述 / 覆盖故障AoU 满足 / 违反Reaction time
SM-CPU-LS-001Lockstep dual-core / CPU stuck-at、transient99% / N/A(AoU 必满足)2 cycles
SM-RAM-ECC-001RAM ECC SECDED / 1-bit、2-bit SEU1-bit:100%,2-bit:99% / 退化到 0%(若不读 ECC flag)1 read cycle
SM-WDT-001Internal Watchdog / Hang、跑飞99% / 60%(若客户软件不正确喂狗 Q/A)< FTTI
SM-CLK-MON-001Clock monitor / 时钟停、漂移95% / 50%< 1 ms
............

双数字 "if AoU met / violated" 是 Safety Manual 的灵魂——它告诉客户"如果你不按 AoU 用,SM 失效会退化到这个数"。

2.5 Chapter 5: Assumptions of Use(AoU)

每条 AoU 标准格式:

字段 (AoU-MCU-001)内容
Description客户软件必须每 10ms 周期内向 watchdog 发 Q/A 协议响应
Verification客户在 system-level test 用 SBFI 注入"无响应"和"错误响应",验证 reset 在 100ms 内触发
Violation impactSM-WDT-001 DC 从 99% 退化到 60%,FTTI 可能超
Trace关联到 SM-WDT-001

每条 AoU 必含 4 件:描述 / 验证方法 / 违反后果 / 关联 SM

2.6 Chapter 6: Hardware-Software Interface(HSI)Responsibilities

明确客户软件必须做什么:

  • 哪些 register 必须被初始化(地址 + 值 + 时序)
  • 哪些 fault flag 必须被周期读取(地址 + 周期 + 反应)
  • 哪些 SM 需要客户软件配合(例:ECC 错误中断必须挂 handler)
  • 哪些参数必须按特定值配置(主频 / 电压级 / DMA priority)

2.7 Chapter 7: Fault Reporting Mechanism

告诉客户出错时怎么知道:

  • 故障状态寄存器地址(MCU 内部 / SBC 通过 SPI)
  • Pin 输出(FCCU pin / Error pin 时序)
  • 中断向量(向哪个 ISR 跳)
  • 故障码定义(每个 fault 对应哪个 code)

2.8 Chapter 8: Integration Guidance

具体集成步骤:

  • 上电时序(给上游 SBC 的握手)
  • 启动 self-test 流程(BIST 调用顺序)
  • 运行时定期诊断的最小集
  • 关机时序(进 safe state 的步骤)

3. AoU 写作的常见错误

3.1 太宽泛(无 trace)

❌ 坏:"客户应当合理使用本芯片"——空话,无 verification 方法。

✓ 好:"客户软件必须在 10ms ± 1ms 周期内调用 wdt_kick(),Q 由 wdt_get_question() 读出,A = f(Q) 由客户实现 f"——具体 + 可测。

3.2 隐含假设没写出来

例:芯片假设客户系统级有"主控 SBC 监控本 MCU 的 FCCU 输出",但 Safety Manual 没明说。客户没接 FCCU 输出 → 主 MCU 出错没人知道 → SG 违反。所有依赖客户系统的假设都要在 AoU 显式列出

3.3 没分类(use case 限制不明)

例:芯片在 ASIL B 用 case 下 SM-X 的 DC 是 95%,但在 ASIL D 用 case 下需要 99%——必须各自标 AoU。一份 Safety Manual 可能要分多个章节按 ASIL 等级覆盖。

4. 双数字 DC 表的工程价值

这一节先把“双数字 DC 表的工程价值”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。

场景DC if AoU metDC if AoU violated客户行为
客户严格按 AoU99%(无关)直接使用
客户违反 AoU(无关)60%必须自己补 SM到达 99%

这是 IC supplier 与客户责任界限的"硬证据":

  • 客户拿到 AoU 后选择遵守 → SM 99% 是 IC supplier 保证
  • 客户违反 AoU(可能为了性能 / 成本) → 60% 是 IC supplier 保证,客户必须用自己 system-level SM 补回 99%

DIA(Distributed Development Interface Agreement)里直接引用这两个数字。

5. 三家头部 IC supplier 的 Safety Manual 风格对比

这一节先把“三家头部 IC supplier 的 Safety Manual 风格对比”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。

Supplier风格价值
NXP(MPC57xx, S32)详尽工业风,~300 页,trace 严谨适合 ASIL D 量产
Infineon(AURIX TC3xx/4xx)模块化,按 sub-element 拆适合复用 IP-by-IP
TI(TMS570 / Hercules)表格 + 实例,工程师友好适合 onboard 学习
ROHM / 国内厂较简略,主要给 ASIL B/QM 应用中低端市场

OEM 选 IC 时,Safety Manual 质量是隐藏指标——同样硅水准,Safety Manual 详尽的 IC 能让 Tier 1 项目周期缩短 6 个月。

6. Safety Manual 维护节奏

版本控制:

  • 每次芯片 silicon 改版 → Safety Manual 必更新(尤其 SM 列表)
  • 每次 errata 发布 → 加入 known issues + 客户 mitigation
  • 每次新发现的 fault mode → AoU 可能加新条
  • 大型客户反馈集成痛点 → Application notes 补充

典型版本:Rev A(初版)→ Rev B(silicon 改版)→ Rev C(发现 errata)→ Rev D(加新 use case)。

7. 完整 Safety Manual 大纲模板

这一节先把“完整 Safety Manual 大纲模板”对应的对象关系说清,后面的结构块用于快速定位各部分之间的连接。

章节子节 / 内容
Cover PageP/N, version, ASIL claim, signing authorities
Revision History
Chapter 1 Scope and Purpose1.1 Applicable products;1.2 ASIL claim;1.3 Assumed use case (system context);1.4 Compliance with ISO 26262
Chapter 2 Functional Description (safety relevant)2.1 Block diagram;2.2 Sub-element list
Chapter 3 Safety Architecture3.1 Sub-element relationships;3.2 Fault propagation paths;3.3 Built-in isolation / redundancy
Chapter 4 Safety Mechanisms4.1 Summary table (with double DC numbers);4.2 Per-SM detailed description
Chapter 5 Assumptions of Use5.1 AoU summary list;5.2 Per-AoU detailed specification (4-field format)
Chapter 6 HSI Responsibilities6.1 Configuration requirements;6.2 Periodic diagnostic requirements;6.3 Software callbacks
Chapter 7 Fault Reporting7.1 Fault status registers;7.2 Output pins;7.3 Interrupt vectors;7.4 Fault code definitions
Chapter 8 Integration Guidance8.1 Power-up sequence;8.2 BIST sequence;8.3 Runtime diagnostic minimum set;8.4 Power-down sequence
Annex AISO 26262 work product mapping
Annex BFMEDA summary (or reference to FMEDA report)
Annex CKnown errata + workarounds
Annex DReferences

核心要点
  • Safety Manual 是 SEooC IC supplier 给客户的合规交付核心文档,不同于普通 datasheet
  • 8 章必含:Scope / Functional Desc / Safety Arch / SM List / AoU / HSI / Fault Reporting / Integration
  • SM 表标双数字 DC(if AoU met / if AoU violated),是责任界限硬证据
  • AoU 标准格式 4 件:描述 / 验证方法 / 违反后果 / 关联 SM
  • 写得好的 Safety Manual 让 Tier 1 项目周期缩短 6-12 月,是 IC 销售护城河
  • 三家头部(NXP / Infineon / TI)风格各异,OEM 选 IC 时 Safety Manual 质量是隐藏指标
  • 版本与硅版本绑死,errata + 新发现 fault mode 触发更新

Cross-references