Safety Plan 写作工程化深度 — 10 章模板 + Milestone + RACI + Confirmation Strategy
本质与导读
本质 Safety Plan 是 ISO 26262-2 §6 强制 work product、整个项目的章程,Safety Manager day-1 要把空白纸写成 v1.0;写不好的代价是里程碑乱排、confirmation reviewer 独立性够不到 ASIL D 而整章被 reject、tool qualification 名单漏导致 SW Part 6 工件不可用。
1. Safety Plan 在 ISO 26262 V-cycle 中的位置 + 5 阶段 SOP
Safety Plan 是 Safety Manager day-1 work(项目启动后 4-8 周必交)。类比软件项目的 PRD + Roadmap + RACI 合一。读者是 OEM / Tier-1 Project Manager + Safety Manager + I3 评审员,不是工程师(工程师读 FSC / TSC / HSI)。下图把写作 5 阶段 + 10 章模板一次摆开:
1.1 5 阶段写作流程
按 Tier-1 中型主驱项目 4-8 周分段:
- ① Item Definition(1-2 周)— 锁 item scope + assumed SG;早于 HARA(HARA 是后续 milestone 输出,Safety Plan 必先把 item boundary 定)。粗稿允许 "preliminary SG list"
- ② Lifecycle Tailoring(1 周)— 按 ISO 26262-2 §6.4.5 "tailor" V-cycle 阶段,标哪些 work product 是 in-scope / 哪些 cut(理由必 justify)。reuse SEooC = 大幅 cut;新设计 = 全部 in
- ③ Milestone + Confirmation Strategy(1-2 周)— 列 M0-M4 5 个 milestone + 每个的 confirmation measure + reviewer 独立性(per ASIL)。ASIL D 必有 3 个 confirmation review(Safety Plan / Safety Case / FSAR)
- ④ Resource + RACI(1 周)— 写 §6 RACI matrix 5 角色 × 10 阶段;写 §7 Tool Qualification list(每 tool 的 TCL 等级 + qualification 路径)
- ⑤ v1.0 Lock(1 周)— OEM + Tier-1 SafetyMgr + I3 三方签字;Polarion / DOORS lock。lock 后任何改动必走 ECN + 重 review
写作总工时 ~2-3 FTE × 月。最大风险在 ① Item Definition — 写不准(scope 太宽 / 太窄)整套 HARA / FSC / TSC 都会跟着错,项目末期发现要返工 ≥ 3 月。
1.2 ISO 26262-2 Annex A 10 章地图
ISO 26262-2 Annex A 给的 Safety Plan 模板偏抽象。下表是工程实际写法(每章带 "写什么 / 长度 / 谁审"),三大重点章(★)在 §2-§5 详细展开:
| 章 | 内容 | 长度 | 谁审 |
|---|---|---|---|
| 1. Project Overview | 项目名 / OEM / Tier-1 / 起止 / 关键里程碑 | 1-2 页 | PM |
| 2. Item Definition reference | 引 IDD 文档 ID + 版本 | 1 页 | Architect |
| 3. Item Definition ★ | 系统边界 / 接口 / 假设 SG / 工况 | 3-8 页 | Safety Mgr + Architect |
| 4. Safety Lifecycle Tailoring | 哪些 work product in-scope / cut + justify | 2-4 页 | Safety Mgr + I3 |
| 5. Safety Milestone Plan ★ | M0-M4 + confirmation measures + 评审窗口 | 5-10 页 | Safety Mgr + I3 |
| 6. Roles + RACI ★ | 5 角色 × 10 阶段 + 独立性 per ASIL | 3-5 页 | Safety Mgr |
| 7. Tool Qualification ★ | 每 tool 的 TCL + qualification 路径 | 2-4 页 | Safety Mgr + Tool Owner |
| 8. Configuration Mgmt | Polarion / DOORS 配置 + 版本控制 | 1-2 页 | Config Mgr |
| 9. Change Management | ECN process + impact analysis | 1-2 页 | Change Board |
| 10. Validation + Release Plan | Safety Validation 阶段 + RfP criteria | 2-3 页 | Safety Mgr + Test Mgr |
典型 Safety Plan 20-40 页。比 Safety Manual 写作(40-80)和 HSI 写作(40-80)短,因为 Safety Plan 是项目元数据 + 角色 + 里程碑(不是工程内容)。
2. §3 Item Definition 写作 — 主驱 SiC inverter worked
§3 是 Safety Plan 最关键章(后续 HARA / FSC / TSC 全部基于它)。写不准 = 后续整套返工。
2.1 Item Definition 必含 6 段
下表把每段 + 为何不可省 一次列清:
| 段 | 内容 | 为何不可省 |
|---|---|---|
| a. System Boundary | item 包含什么 / 不含什么(物理 + 功能边界) | 防 ASIL 跨子系统蔓延 |
| b. Interface Specification | 与 OEM 车身网 / 其他 ECU 接口(CAN-FD / Ethernet / HV bus) | HARA 边界条件 |
| c. Assumed Operating Environment | 温度 / 振动 / 电源 / EMC corner | FMEDA + HSI corner 输入 |
| d. Preliminary SG List | 假设的 SG 5-8 条(后续 HARA 精确化) | 起 Safety Lifecycle |
| e. Reuse Assumptions | SEooC 复用 / Tier-2 supplier 假设 | 决定 Lifecycle Tailoring |
| f. Out-of-Scope Items | 显式说明 OBC / DC-DC / charger 不在本 item 里 | 防 scope creep |
2.2 §3 完整 worked(800V SiC traction inverter)
下面把 6 段在主驱 800V SiC inverter 上跑完整一遍:
§3 Item Definition (Project EV-MainInv-2026-A)
a. System Boundary
INCLUDED:
- 800V SiC traction inverter (3-phase H-bridge)
- Inverter MCU (AURIX TC397) + supporting SBC (NXP FS65)
- 6× Driver IC (TI ISO5852S)
- Position sensor (Resolver + R/D converter)
- Current sensing (3-phase shunt + isolated amp)
- DC link capacitor + active discharge circuit
EXCLUDED:
- PMSM motor (separate item, ITEM-MOT-2026-B)
- 12V LV system (separate item, ITEM-LV-2026-C)
- OBC / DC-DC charger (out of scope; ITEM-OBC-2026-D)
b. Interface Specification
- OEM CAN-FD bus: torque request + status (ID 0x18FF50E0-0x18FF50EF)
- HV bus to battery: 800V nominal, 400-950V range
- 12V supply from OEM low-voltage net
- Resolver from motor side (Sin/Cos 2-channel differential)
- HVIL interlock loop (per ECE R100)
c. Assumed Operating Environment
- Ambient temperature: −40°C to +85°C
- Junction temperature: up to +175°C (SiC die)
- Vibration: ISO 16750-3 Test V (sine + random, 24 g RMS)
- 12V supply: 6-16V (cold crank + load dump)
- EMC: CISPR 25 Class 5 (radiated + conducted)
- Lifetime: 15 years / 300,000 km
d. Preliminary Safety Goal List
- SG-1: Unintended torque event < 200 ms (ASIL D)
- SG-2: Reverse torque (rollback) < 100 ms (ASIL D)
- SG-3: HV bus discharge < 5 s after key-off (ASIL C per ECE R100)
- SG-4: HV insulation R_iso > 100 Ω/V (ASIL B per ECE R100)
- SG-5: Wheel lockup prevention at all speeds (ASIL D)
(NOTE: subject to refinement by HARA in M1 milestone)
e. Reuse Assumptions (SEooC)
- Driver IC ISO5852S: ASIL D SEooC per TI Safety Manual rev 2.0
(AoU compliance verified by Tier-1 HSI §3)
- MCU AURIX TC397: ASIL D SEooC per Infineon Safety Manual
(lockstep + flash ECC inherited)
- SBC FS65: ASIL D SEooC per NXP Safety Manual
(WDG + voltage monitor inherited)
f. Out-of-Scope (explicit)
- Motor design + bench test (separate Tier-1)
- 12V auxiliary BMS (separate ITEM)
- Charger / OBC (separate ITEM)
- Functional non-safety features (audio / climate)
写法 tips:
- 显式 INCLUDED + EXCLUDED 双列(only INCLUDED 是反模式)
- Preliminary SG 必标 "subject to refinement by HARA M1"(防 SG list 被当 final)
- Reuse Assumptions 显式 vendor + Safety Manual rev + Tier-1 verification 责任
- Out-of-Scope 必有,防项目末期"为什么没考虑 OBC"扯皮
3. §5 Safety Milestone Plan + Confirmation Measures
§5 是 Safety Plan 决定项目节奏的章。每个 milestone 必有 confirmation measure + reviewer 独立性要求(per ASIL)。
3.1 M0-M4 Milestone 模板
5 个标准 milestone(参 Confirmation Measures 深度)。每个 milestone 必有 confirmation review,review 类型按 ASIL 等级。下表把 milestone × confirmation × reviewer 独立性一次列清:
| Milestone | 阶段 | Confirmation Measure | ASIL D Reviewer 独立性 | 评审窗口 |
|---|---|---|---|---|
| M0 | Project Kick-off | Confirmation review of Safety Plan | Independent department(Tier-1 内) | 项目启动 +4 周 |
| M1 | HARA + FSC done | Confirmation review of HARA + FSC | Independent department | 项目启动 +12 周 |
| M2 | TSC + HSI done | Confirmation review of TSC + HSI | Independent department | 项目启动 +24 周 |
| M3 | HW/SW Integration done | Functional Safety Audit | I3 = independent department(同公司 OK;TÜV 外审是 OEM/市场惯例,非 ISO 要求) | 项目启动 +52 周 |
| M4 | Safety Validation done | Functional Safety Assessment + Safety Case sign-off | I3 = independent department(同公司 OK;TÜV 外审是 OEM/市场惯例,非 ISO 要求) | 项目启动 +72 周 |
ASIL 严格度差(ISO 26262-2 Table 1,独立性等级 I1/I2/I3,I3=independent department 为最高级,同公司可):
- ASIL A / B:confirmation review 多为 I1(independent from the person responsible)
- ASIL C:confirmation review I2(independent from the team)→ assessment/audit 升 I3
- ASIL D:全部升 I3 = independent department(资源/管理/release authority 独立于责任部门;同公司即可,ISO 不强制 TÜV 外审——外部第三方是 OEM/市场惯例)(参 ISO 26262-2 Table 1)
3.2 §5 反模式
§5 漏掉的根因都是"milestone 无 confirmation + reviewer 独立性不达"。下表把 5 类典型反模式列清,review 时按此查:
| 反模式 | 后果 | 修法 |
|---|---|---|
| Milestone 只写日期,无 confirmation measure | ISO 26262-2 §6.4.9(Table 1)/ §6.4.10 reject | 每 milestone 必列 confirmation review type |
| ASIL D 项目用 "independent person" | 评审独立性不达,defeater | per ASIL Table 1,D 必 I3 = "independent department"(最高级,同公司可) |
| 无 evaluation criteria | confirmation review 主观不可重复 | 显式 pass / fail criteria(e.g. "FMEDA SPFM ≥ 99%") |
| 无 audit trail | I3 来时找不到记录 | 每 milestone 必有 review report ID + signing |
| 无 budget(时间 / 钱) | 评审窗口被压 | 项目预算预留 50-80 万 RMB / 8 周 for I3(M3+M4) |
4. §6 Roles + RACI Matrix
§6 把所有功能安全责任分配到角色 + 阶段。RACI = Responsible / Accountable / Consulted / Informed。下面是主驱 ASIL D 项目典型 5 角色 × 10 阶段 RACI:
4.1 5 标准角色
主驱 ASIL D 项目典型 5 角色,每个角色的核心职责 + 与其他角色的独立性约束:
| 角色 | 职责 | 独立性要求(ASIL D) |
|---|---|---|
| Safety Manager | 整体 FSM + Safety Plan + Safety Case owner | 必 independent department(不能向 Project Mgr 汇报) |
| System Architect | FSR / TSR + HSI 起草 | 与 SW Lead 独立 |
| Safety Engineer | HARA + FMEDA + DFA 执行 | 与 Architect 独立 |
| Test Manager | V&V matrix + Safety Validation 执行 | 与 SE 独立 |
| I3 / Assessor | M3 + M4 audit + assessment | 必 I3 = independent department(同公司可;TÜV / SGS / DEKRA 外审是 OEM/市场惯例,非 ISO 强制) |
4.2 RACI 字母约定
RACI 4 字母对应 4 种参与度,每条记录 1 个 cell:
- R (Responsible):执行人;干活的
- A (Accountable):最终拍板;1 人 / 阶段,不可多
- C (Consulted):被咨询;双向沟通
- I (Informed):被通知;单向告知
ASIL D 项目典型规则:A 不能与 R 同人 + R 不能与 Reviewer 同人(独立性硬约束)。
5. §7 Tool Qualification List
§7 列项目用的所有 SW tool + 每 tool 的 TCL(Tool Confidence Level)+ qualification 路径。ISO 26262-8 §11 强制。
5.1 TCL 评级
ISO 26262-8 §11.4.5 把 tool 按"对 work product 影响"分 3 级:
- TCL 1:tool 错不影响 safety(e.g., text editor, version control)— 无需 qualification
- TCL 2:tool 错可能影响 safety,但有 secondary check(e.g., Polarion + manual review)— 需要 use-case validation
- TCL 3:tool 错直接传到 safety work product,无 secondary check(e.g., MATLAB Simulink code gen, compiler)— 需要 full qualification
5.2 §7 模板(主驱 ASIL D 典型)
下面是主驱 ASIL D 项目典型 8 个 SW tool 的 TCL 评级 + qualification 路径示例。每个 tool 必引 cert ID / validation report ID:
| Tool | 用途 | TCL | Qualification 路径 |
|---|---|---|---|
| Polarion / DOORS | Requirement + traceability | 2 | use-case validation + manual review |
| Saber / PSpice | Circuit simulation | 2 | use-case validation |
| MATLAB Simulink + Embedded Coder | Model-based design + auto-code gen | 3 | full qualification(IEC 61508 cert + project-specific validation) |
| GCC / Tasking compiler | Code compilation | 3 | compiler validation suite + tested + cert |
| Lauterbach Trace32 | Debugging | 1 | no qual needed |
| Astah GSN | Safety Case authoring | 2 | use-case validation |
| Saber FaultSim | FMEDA support | 2 | use-case validation + manual cross-check |
| HIL test bench(NI / dSPACE) | System verification | 2 | bench calibration + golden reference cross-check |
5.3 §7 反模式
Tool list 写错的根因都是"列不全 + TCL 评级图省事"。下表把 3 类典型反模式列清:
| 反模式 | 后果 | 修法 |
|---|---|---|
| Tool list 漏(只列大件) | SW Part 6 工件 reject (e.g., compiler 漏 = code gen 不可信) | 列全所有 tool,含小工具 |
| 所有 tool 标 TCL 1(图省事) | I3 评审 reject;TCL 决策无 justify | 按 §11.4.5 决策树 + 文档 justify |
| Qualification 只写 "qualified" 无证据 | I3 要 evidence | 每 tool 列 cert ID / validation report ID |
6. 双向 Link:Safety Plan ↔ 其他 work product
Safety Plan 不孤立,与几乎所有 ISO 26262 work product 链:
| Safety Plan section | 上游 input | 下游 consumed by |
|---|---|---|
| §3 Item Definition | OEM 提供的 vehicle item def | HARA(M1)、FSC(M1)、TSC(M2)、HSI(M2) |
| §5 Milestone Plan | OEM 项目主计划 | 所有 work product 的 due date |
| §6 RACI | 公司组织架构 | 所有 evidence 的 signer field |
| §7 Tool list | tool vendor cert | SW Part 6 工件 + FMEDA + Safety Case |
| §10 Validation Plan | TSC / HSI | Safety Validation report(M4)+ FSAR |
双向 link 意味:Polarion 里点 Safety Plan §3 → 跳到 HARA → 跳到 FSR → 跳到 TSR → 跳到 HSI / FMEDA / Safety Case;反之亦然。审计员从任一端追,断链 = defeater。
7. ASIL D Safety Plan Review 6 项 checklist
Tier-1 内部 review + OEM Safety Manager review 走完这 6 问,M0 confirmation review 退回率从 60% 降到 5%:
| # | 问 | 检查动作 | 失败后果 |
|---|---|---|---|
| 1 | §3 Item Definition INCLUDED + EXCLUDED 显式? | 抽 1 段查双列存在 | 缺 EXCLUDED = scope creep 风险 |
| 2 | §5 每个 milestone 有 confirmation measure? | 抽 M0-M4 5 个 milestone | 缺 confirmation = ISO 26262-2 §6.4.9(Table 1)/ §6.4.10 reject |
| 3 | §5 reviewer 独立性达 ASIL D 表 1? | 查 M3 + M4 = I3 "independent department"(最高级) | ASIL D + "independent person" = defeater |
| 4 | §6 RACI 每阶段有 A(单一人)+ R ≠ A? | 抽 5 阶段查 A 列 | 多个 A / A=R = 责任不清 |
| 5 | §7 每 tool 有 TCL + qualification 路径? | 抽 5 tool 查 TCL + cert ID | 缺 qual = SW Part 6 工件 reject |
| 6 | §10 Validation Plan 引 TSC + HSI ID? | 查 RfP criteria | 缺 trace = Safety Validation 不可执行 |
第 3 + 5 项是 ASIL D 特有(B / C 项目可宽松);D 必严。
8. 5 个工程陷阱速查
Safety Plan 写作末期出现的陷阱集中在 5 类,根因都是"Item 太宽/窄 + Milestone 无 confirmation + RACI 缺 I3"。下表把陷阱、后果、修法一次摆开:
| # | 陷阱 | 后果 | 修法 |
|---|---|---|---|
| 1 | Item Definition 太宽(把 OBC + DC-DC 都囊括) | ASIL 跨子系统蔓延 + 整套 V-cycle 工件量翻倍 | 显式 EXCLUDED + 拆 sub-items |
| 2 | Milestone 只日期无 confirmation | M0 confirmation review 当场 reject | 每 milestone 必列 confirmation type + ASIL 独立性 |
| 3 | RACI 缺 I3 / Assessor 角色 | M3 + M4 评审无人执行 | §6 必列 I3 角色 + I3 = independent department 约束 |
| 4 | Tool list 漏(没列 compiler) | SW Part 6 编译工件不可信 → reject | §7 列全 tool + 按 §11.4.5 决策 TCL |
| 5 | Lifecycle Tailoring 不 justify | Confirmation reviewer "为什么 cut 这条" 答不上 | 每 cut 写 1 句 justify(reuse SEooC / 不适用) |
9. 工程交付清单
写完一个 ASIL D 项目的 Safety Plan 工件包应有:
- Safety Plan v1.0(20-40 页 markdown / DOCX)+ 三方签字页(OEM + Tier-1 SafetyMgr + I3)
- Item Definition Document (IDD)(可在 §3 内 OR 独立文档)
- RACI Matrix(Excel,5 角色 × 10 阶段)
- Tool Qualification List(Excel,每 tool 的 cert / validation report)
- Milestone + Confirmation Strategy(Gantt chart + confirmation review schedule)
- Lifecycle Tailoring justification(每 cut 1 句 justify)
- 6 问 Review Record(每问签字 + 整改 close)
I3 评审 M0 现场典型路径:看 §3 INCLUDED + EXCLUDED → 看 §5 M0 confirmation 是否走 → 看 §6 RACI A/R 分离 → 看 §7 tool TCL → 看 §10 RfP criteria。任一断点 = 评审退回 +4 周。
缩写表
只列本页专业术语:
| 缩写 | 全称 / 中文 | 备注 |
|---|---|---|
| FSM | Functional Safety Management | ISO 26262-2 |
| Safety Plan | 安全计划 | ISO 26262-2 §6 强制 |
| Item / IDD | Item Definition Document | Part 3 §5 强制 |
| HARA | Hazard Analysis and Risk Assessment | Part 3 §6 |
| SG | Safety Goal | HARA 输出 |
| ASIL | Automotive Safety Integrity Level | QM / A / B / C / D |
| FSR / TSR | Functional / Technical Safety Requirement | Part 3 / Part 4 |
| FSC / TSC | Functional / Technical Safety Concept | Part 3 §7 / Part 4 §6 |
| HSI | Hardware-Software Interface | Part 4 §6.4.10(HSI specification, Clause 6 TSC) |
| FMEDA | Failure Mode Effects and Diagnostic Analysis | Part 5 |
| DFA | Dependent Failure Analysis | Part 9 §7 |
| RACI | Responsible / Accountable / Consulted / Informed | 项目责任分配模型 |
| Tier-1 / Tier-2 | OEM 的一级 / 二级供应商 | OEM → Tier-1 → Tier-2 |
| SEooC | Safety Element out of Context | Part 10 §9 |
| AoU | Assumption of Use | SEooC 假设清单 |
| I3 | Independence Level 3 / 独立性等级 3 | ISO 26262-2 最高独立级 = independent department;同公司可,TÜV / SGS / DEKRA 外审是 OEM 惯例非 ISO 强制 |
| TCL | Tool Confidence Level | ISO 26262-8 §11.4.5,1/2/3 三级 |
| ECN | Engineering Change Notice | 版本变更通知 |
| RfP | Release for Production | 最终发布判据 |
| Polarion / DOORS | Application Lifecycle Mgmt | requirement + traceability |
| FSAR | Functional Safety Assessment Report | M4 输出 |
| M0-M4 | Safety Milestone 0-4 | Kick-off / HARA+FSC / TSC+HSI / Integration / Validation |
| Confirmation Measure | 评审措施 | ISO 26262-2 §6.4.9(Table 1)/ §6.4.10 |
| OBC | On-Board Charger | EV 充电器,常 out-of-scope |
| VMU | Vehicle Management Unit | OEM 整车控制器 |
| HVIL | High Voltage Interlock Loop | HV 安全联锁 |
| ECE R100 | UN 法规 R100 | EV HV 安全国际法规 |
核心要点
- Safety Plan = Safety Manager day-1 work,是 ISO 26262-2 §6 强制项目章程,类比软件 PRD + Roadmap + RACI 合一
- 5 阶段写作 4-8 周 — Item Def → Lifecycle Tailoring → Milestone + Confirmation → Resource + RACI → v1.0 lock
- §3 Item Definition 最关键 — INCLUDED + EXCLUDED 双列,Preliminary SG 列 5-8 条,Reuse Assumptions 显式 SEooC vendor
- §5 Milestone 每个必有 confirmation measure — ASIL D 升 I3 = "independent department"(最高级,同公司可;TÜV / SGS / DEKRA 外审是 OEM/市场惯例,非 ISO 强制)
- §6 RACI A ≠ R — Accountable 不能与 Responsible 同人;Safety Manager 必 independent department(不向 Project Mgr 汇报)
- §7 Tool list 必全 — 含 compiler / Polarion / Simulink / HIL 等;每 tool 按 §11.4.5 决策 TCL + qualification 路径
- 双向 link 100% 覆盖 — Polarion / DOORS 里 Safety Plan 与所有下游 work product link
- 5 反模式戒:Item 太宽 / Milestone 无 confirmation / RACI 缺 I3 / Tool list 漏 / Lifecycle Tailoring 不 justify
Cross-references
- ← 索引
- Safety Management & FSM — FSM 三层体系容器(本页是其 §2 Safety Plan 的工程化展开)
- Safety Manager 角色深度 — Safety Manager 谁干 Safety Plan
- Confirmation Measures 深度 — §5 Milestone 的 confirmation review 详细
- ISO 26262 Part 2 Management — Annex A Safety Plan 模板源
- HARA Worked Example — §3 Item Definition 后跑 HARA 的 worked
- FSR / TSR 写作工程化深度 — §3 Item Definition 是 FSR 上游
- HSI Document 写作工程化深度 — §7 Tool list 含 HSI 用的工具
- Safety Case GSN tree 写作工程化深度 — Safety Case 引 Safety Plan §5 milestone evidence
- FSAR 深度 — M4 输出,引 Safety Plan §10 RfP criteria
- Tool Qualification — §7 详细
- Safety Assessment Audit — M3 audit 流程
- ASIL D 端到端案例 — Safety Plan 在主驱 ASIL D 项目的具体位置