FS-11 功能安全ISO26262之生产运维与报废阶段安全保障深度解析
系列导航: FS-01 标准体系全景 | FS-02 核心术语精解 | FS-03 ASIL等级体系 | FS-04 HARA工程实践 | FS-05 安全目标与功能安全概念 | FS-06 功能安全管理体系 | FS-07 系统级产品开发 | FS-08 硬件级产品开发 | FS-09 软件级产品开发 | FS-10 安全机制设计模式 | **FS-11 生产运维与报废** | FS-12 FMEA/FMEDA | FS-13 FTA | FS-14 ASIL分解 | FS-15 安全确认 | FS-16 半导体指南 | FS-17 敏捷开发 | FS-18 自动驾驶 | FS-19 三标准协同 | FS-20 实战案例集
一、引言:安全生命周期中"被遗忘的半程"
在汽车功能安全工程中,业界的大量精力集中在设计阶段的V模型开发------从HARA到安全需求、从系统架构到软硬件实现。然而,一个经常被低估甚至忽略的事实是:安全功能的实现不仅仅发生在设计阶段,它贯穿了产品的整个生命周期。
ISO 26262:2018 Part 7《Production, Operation, Service and Decommissioning》(生产、运行、服务和报废)正是填补了安全生命周期中"开发完成→产品退役"这一段的关键空白。这一Part回答了一个核心问题:
当安全系统走出实验室和工厂产线,进入大规模量产、道路上路、售后维修直至最终报废的全过程中,如何持续保证功能安全?
这个问题的重要性怎么强调都不为过。让我们来看几个触目惊心的事实:
- 生产偏差:同一块PCB上,焊接温度的微小偏差就可能导致安全相关焊点的可靠性下降。某OEM曾因回流焊温度曲线偏移5°C,导致BMS系统隔离电阻检测精度从99.2%下降到94.5%,最终触发市场召回。
- 售后维修:一个非原厂认证的替换件(如用非ASIL-B等级的传感器替换原ASIL-B传感器),可能在无故障的情况下降低整个安全链路的诊断覆盖率(DC),使SPFM度量从97%降至89%,不再满足ASIL C的要求。
- OTA升级:2025年某自动驾驶系统因OTA更新意外修改了紧急制动安全机制的阈值参数,导致FTTI(Fault Tolerant Time Interval)从100ms扩展到350ms,超出了驾驶员反应时间的安全边界。
ISO 26262-7正是为了从标准层面杜绝上述问题的发生。本文将系统解读Part 7的完整框架,结合生产产线、售后服务、OTA管理和报废处理的工程实践,提供可操作的安全保障方案。
二、ISO 26262-7标准框架全解
2.1 Part 7在安全生命周期中的定位
ISO 26262-7:2018覆盖了安全生命周期的后半程,与其他Part的关系如下图所示:
图1:ISO 26262安全生命周期Part 7定位图
根据ISO 26262-1:2018 Figure 1(安全生命周期V模型),Part 7覆盖了四个关键阶段:
| 阶段 | 对标Clause | 核心关注点 | 关键工作产品 |
|---|---|---|---|
| **生产(Production)** | Clause 5 | 生产一致性控制(COP) | 生产测试规范、过程参数记录 |
| **运行(Operation)** | Clause 6 | 售后数据闭环、故障监控 | 现场故障报告、安全相关OTA评估 |
| **服务(Service)** | Clause 7 | 维修后安全功能验证 | 维修手册安全章节、替换件等效性证明 |
| **报废(Decommissioning)** | Clause 8 | 安全数据处理、高压安全拆卸 | 报废处置指南、数据擦除规范 |
2.2 Part 7的适用范围
根据ISO 26262-7:2018 Clause 4(Applicability),Part 7适用于以下场景:
适用的系统/组件类型:
- 所有与安全相关的E/E系统(Safety-Related E/E Systems)
- 与安全相关的软件组件(Safety-Related Software Components)
- 与安全相关的硬件组件(Safety-Related Hardware Components)
- 安全相关的替换件/配件(Safety-Related Replacement Parts)
不适用的场景:
- 非安全相关的标准零部件(如雨刮电机、非安全类传感器)
- 已超出设计使用寿命的系统(但报废处置流程仍需遵循)
- 非OEM责任范围内的第三方改装
2.3 Part 7的工作产品(Work Products)总览
根据ISO 26262-7:2018,Part 7需要输出的工作产品包括:
生产阶段工作产品:
- 生产安全测试规范(Production Safety Test Specification)
- 安全相关参数清单(Safety-Related Parameter List)
- 生产过程控制计划(Production Process Control Plan)
- 追溯记录(Traceability Records)
- 不合格品处置记录(Non-Conforming Material Report)
运行阶段工作产品:
- 售后故障安全分析报告(Field Failure Safety Analysis Report)
- OTA安全评估报告(OTA Safety Impact Assessment)
- HARA复核报告(HARA Review Report)
- 安全监控KPI报告(Safety KPI Report)
- 安全事件报告(Safety Incident Report)
服务阶段工作产品:
- 维修手册安全章节(Service Manual Safety Section)
- 替换件安全等效性评估报告(Replacement Part Equivalence Assessment)
- 维修培训教材(Safety Maintenance Training Material)
- 维修后安全验证记录(Post-Service Safety Verification Record)
报废阶段工作产品:
- 报废处置指南(Decommissioning Guideline)
- 数据安全处理记录(Data Sanitization Record)
- 高压系统安全拆卸程序(High-Voltage Safe Disassembly Procedure)
- 防回流控制记录(Backflow Prevention Control Record)
2.4 关键术语定义
在深入各阶段之前,必须明确以下术语(ISO 26262-1:2018 Clause 4):
| 术语 | 定义 | 工程含义 |
|---|---|---|
| **Production(生产)** | The process of manufacturing series articles | 批量生产过程 |
| **Conformity of Production (COP)** | Procedures to ensure that produced items meet design specifications | 生产一致性验证 |
| **Operation(运行)** | The phase where the item is in use by the customer | 产品交付客户后的运行阶段 |
| **Service(服务)** | Activities performed to maintain or restore the functionality of the item | 维修保养活动 |
| **Decommissioning(报废)** | Process of taking the item out of service permanently | 永久性退出使用 |
| **Safety-related parameter(安全相关参数)** | Parameter whose deviation could affect the functional safety | 偏移会影响功能安全的参数 |
| **Replacement part(替换件)** | Part intended to replace an existing part in the item | 用于替换原部件的零件 |

图1:ISO 26262安全生命周期V模型 --- Part 7覆盖生产、运行、服务和报废四阶段(来源:作者绘制)

图2:ISO 26262-7 Part 7核心内容思维导图(来源:作者绘制)

图3:AURIX TC3xx安全机制状态机(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图4:故障分类体系(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图5:随机硬件失效 vs 系统性失效分类(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)
三、生产阶段(Production):安全一致性的第一道防线
3.1 生产安全的核心目标
根据ISO 26262-7:2018 Clause 5,生产阶段的功能安全目标是:
确保每一个量产产品的安全特性与设计规范完全一致,不因生产过程的偏差引入新的失效模式或降低已有的安全机制效能。
这一目标可以分解为三个子目标:
- 参数一致性:安全相关参数(如传感器校准值、阈值电压、通信时序)在设计公差范围内
- 工艺一致性:焊接、组装、灌封等工艺过程满足安全等级要求
- 可追溯性:每个安全相关组件可追溯到具体的生产批次、工位和时间戳
3.2 生产一致性控制(COP)体系
图2:生产安全一致性控制(COP)流程框架图
COP(Conformity of Production)体系是生产安全的基石。根据Clause 5.2的要求,COP必须包含以下要素:
3.2.1 安全相关参数的在线检测
在生产产线末端(End-of-Line, EOL),必须对所有安全相关参数进行100%检测(非抽检)。
EOL安全测试的典型参数清单:
| 测试类别 | 测试参数 | 测试方法 | 合格标准 | 测试时间 |
|---|---|---|---|---|
| **电气安全** | 绝缘电阻 | 500V DC高压测试 | ≥100MΩ | <5s |
| **通信安全** | CAN帧周期抖动 | 时间戳捕获+统计分析 | σ<2μs | <10s |
| **传感器校准** | 零偏/增益/线性度 | 标准信号源对比 | 误差<0.5%FS | <30s |
| **安全机制验证** | Watchdog响应时间 | 注入故障测试 | 响应 | <5s |
| **电源监控** | 欠压/过压阈值 | 可调电源测试 | 阈值±2%内触发 | <3s |
| **ECC功能** | 单比特纠错验证 | 注入错误测试 | 100%纠错成功 | <5s |
| **锁步核** | 比较器功能验证 | 故障注入测试 | 100%检测成功 | <5s |
3.2.2 防错(Poka-Yoke)在安全件生产中的应用
根据Clause 5.3的要求,生产过程应尽可能通过防错设计来消除人为错误的影响:
安全件生产的Poka-Yoke措施:
| 防错类型 | 措施 | 应用场景 | 效果 |
|---|---|---|---|
| **物理防错** | 非对称连接器设计 | 安全传感器接插件 | 防止反插/错插 |
| **软件防错** | 条码/RFID追溯 | 每个ECU唯一标识 | 实现全链路追溯 |
| **工艺防错** | 焊接温度曲线自动监控 | SMT回流焊 | 偏差自动报警 |
| **检测防错** | AOI+X-Ray双重检测 | BGA焊接质量 | 虚焊检出率>99.9% |
| **顺序防错** | 工序互锁系统 | 装配线 | 上工序未完成自动锁定 |
3.2.3 批次追溯系统
Clause 5.4要求建立完整的安全件批次追溯系统。一个典型的追溯系统应包含:
追溯信息层级:
├── Level 1: 产品标识
│ ├── 唯一序列号(UID)
│ ├── 产品型号/料号
│ └── 安全等级标识(ASIL)
├── Level 2: 生产信息
│ ├── 生产日期/时间
│ ├── 生产线编号/工位
│ ├── 操作员ID
│ └── 设备参数记录
├── Level 3: 物料信息
│ ├── 关键元器件批次号
│ ├── 供应商信息
│ ├── 来料检验报告编号
│ └── 物料变更通知(PCN)记录
└── Level 4: 测试信息
├── EOL测试结果
├── 校准参数记录
├── 不合格品处理记录
└── 返工/返修记录(安全件禁止返修)
3.3 统计过程控制(SPC)在安全件生产中的应用
Clause 5.3进一步要求,对于安全相关的生产工序,应建立统计过程控制(SPC)体系,通过量化监控来预防过程偏差。
安全件SPC的关键控制点:
| 控制参数 | 控制图类型 | 采样频率 | 控制限 | 异常响应 |
|---|---|---|---|---|
| 焊接温度 | X̄-R图 | 每板首件 | ±3σ | 停线+隔离可疑品 |
| 扭矩传感器校准值 | X̄-S图 | 每件 | ±2σ | 设备校准+复检 |
| 绝缘电阻 | 单值-移动极差图 | 每件 | 下限≥100MΩ | 隔离+原因分析 |
| CAN通信时序 | X̄-R图 | 每小时5件 | ±3σ | 设备检修+复检 |
| 灌封胶固化度 | 单值图 | 每炉2件 | 下限≥95% | 延长固化+复检 |
SPC能力指数要求(按ASIL等级):
| ASIL等级 | Cpk最低要求 | Ppk最低要求 | 含义 |
|---|---|---|---|
| QM | ≥1.0 | ≥0.67 | 基本过程能力 |
| ASIL A | ≥1.33 | ≥1.0 | 良好过程能力 |
| ASIL B | ≥1.67 | ≥1.33 | 优秀过程能力 |
| ASIL C | ≥2.0 | ≥1.67 | 卓越过程能力 |
| ASIL D | ≥2.0 | ≥2.0 | 顶级过程能力(零缺陷导向) |
工程经验:ASIL D的安全件,建议Cpk≥2.0作为量产启动条件,而非仅仅是"通过审核"的最低标准。Cpk=2.0意味着过程不合格率约为0.002ppm(十亿分之二),这对安全件来说是必要的质量基线。
3.4 生产过程的功能安全管理
3.4.1 安全相关工序的特殊要求
根据Clause 5.5,以下工序需要特殊管控:
- 安全相关焊接:必须采用受控的回流焊温度曲线,每批次首件必须通过X-Ray检查
- 安全相关灌封:灌封材料批次、固化温度/时间必须记录,固化度必须抽检
- 安全相关校准:传感器校准设备必须经过计量认证,校准数据自动上传MES系统
- 安全相关软件刷写:软件版本号必须与BOM匹配,刷写后必须CRC校验
3.4.2 不合格品控制
Clause 5.6对安全相关不合格品的处理有严格要求:
安全件不合格品处理矩阵:
| 不合格类型 | 处理方式 | 审批层级 | 是否允许返工 | 追溯要求 |
|---|---|---|---|---|
| **外观不良(非安全面)** | 让步接收/报废 | 质量工程师 | 不允许 | 完整记录 |
| **安全参数偏移** | 100%报废 | 安全经理+质量经理 | **严禁返工** | 关联到HARA |
| **软件版本错误** | 重新刷写+全量测试 | 质量经理 | 允许重新刷写 | 记录版本变更 |
| **焊接不良** | 报废 | 质量工程师 | **严禁返焊** | 关联到设备维护 |
⚠️ 关键原则 :安全相关的不合格品严禁通过返工/返修来恢复使用。这是因为返工过程可能引入新的系统性失效,而系统性失效正是功能安全需要重点防控的失效类型。

图6:AURIX TC3xx内建自测(BIST)架构(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图7:BGA封装焊接质量检查(来源:Infineon AN1002 FuSa in a Nutshell)

图8:AURIX TC3xx时钟树与监控架构(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)
四、运行阶段(Operation):从道路数据到安全闭环
4.1 运行阶段安全管理的核心理念
产品交付给客户后,安全团队的职责并未结束。根据Clause 6,运行阶段的安全管理核心是闭环反馈------将道路运行中收集到的安全相关数据,反馈回设计阶段,驱动持续改进。
图3:运行阶段安全闭环反馈机制架构图
4.2 售后故障数据的分类与处理
4.2.1 故障数据分类体系
根据Clause 6.2的要求,所有售后故障数据必须按照安全相关性进行分类:
故障安全相关性分级:
| 分级 | 定义 | 响应时间 | 处理方式 | 报告对象 |
|---|---|---|---|---|
| **S级(Safety-critical)** | 故障可能直接导致危害事件 | 24小时内 | 立即启动安全调查 | TÜV/安全经理/OEM |
| **A级(Safety-related)** | 故障涉及安全相关组件但未触发危害 | 72小时内 | 安全影响评估 | 安全经理 |
| **B级(Non-safety)** | 故障与安全功能无关 | 常规流程 | 标准质量处理 | 质量部门 |
| **C级(Potential)** | 故障模式可能与已知安全风险相关 | 1周内 | 与已知FMEA对比 | 质量+安全团队 |
4.2.2 安全相关故障的分析流程
当发生S级或A级故障时,必须启动以下分析流程(Clause 6.3):
售后安全故障分析流程:
Step 1: 故障现场保护
├── 冻结ECU数据(冻结帧/故障码/日志)
├── 保留故障件(禁止通电测试)
└── 记录故障时的运行条件
Step 2: 初步分析
├── 读取DTC和冻结帧数据
├── 比对正常件 vs 故障件的参数差异
└── 确定故障模式(开路/短路/漂移/间歇)
Step 3: 根本原因分析(Root Cause Analysis)
├── 物理分析:切片/SEM/EDX等材料分析
├── 统计分析:与失效率预期(FIT)对比
├── FMEA复核:是否为已知失效模式
└── 环境分析:温度/湿度/振动/EMC
Step 4: HARA影响评估
├── 故障是否影响已有的Safety Goal?
├── 是否需要重新评估S/E/C等级?
├── 安全机制是否仍能有效检测?
└── FTTI是否仍然满足?
Step 5: 处置决策
├── 无风险:更新FMEA库,纳入经验教训
├── 低风险:发布技术服务通报(TSB)
├── 中风险:OTA修复或维修方案
└── 高风险:启动召回流程
4.3 OTA升级的功能安全约束
随着汽车智能化的发展,OTA(Over-The-Air)软件更新成为运行阶段功能安全管理的重中之重。ISO 26262第三版WD草案中特别强化了OTA的功能安全要求。
4.3.1 OTA安全评估框架
图4:OTA功能安全评估决策树
每次OTA更新前,必须执行以下安全评估(Clause 6.4):
| 评估维度 | 评估内容 | 判断标准 | 处置方式 |
|---|---|---|---|
| **安全需求变更** | 是否修改了Safety Requirement | 任何修改均需评估 | 修改需重新走确认流程 |
| **安全机制影响** | 是否影响已有安全机制 | 影响则需验证 | 回归测试+故障注入 |
| **FTTI影响** | 是否影响响应时间 | 恶化则不可接受 | 严格性能测试 |
| **接口变更** | 是否修改了安全相关接口 | 修改则需重新集成 | HSI重新验证 |
| **回退能力** | OTA失败后能否回退 | 必须能回退到安全版本 | 双分区/回退机制 |
4.3.2 OTA安全验证策略
OTA安全验证流程(按ASIL等级递进):
ASIL A: 软件回归测试 + 功能验证
↓
ASIL B: 上述 + 安全机制验证 + 边界条件测试
↓
ASIL C: 上述 + 故障注入测试 + HIL验证
↓
ASIL D: 上述 + 整车级确认测试 + 独立安全评估
4.3.3 典型OTA安全事件分析
案例:某ADAS系统OTA导致AEB误触发率上升
事件经过:
- 2025年某车型OTA更新后,自动紧急制动(AEB)系统的误触发率从0.1%/1000km上升到2.3%/1000km
- 根因:OTA更新修改了感知算法的置信度阈值,导致低置信度目标也被识别为需要制动的障碍物
- 安全影响:误触发导致紧急制动,虽未造成事故,但违反了Safety Goal "避免非预期的安全相关制动动作"
- 处置:48小时内发布回退OTA版本,启动8D分析流程
教训总结:
- 安全相关的算法参数变更必须纳入安全变更管理流程
- OTA前后必须有可量化的安全指标对比测试
- 回退机制必须是经过验证的,不能"理论可回退但实际未验证"
4.4 运行阶段的安全监控指标体系
Clause 6.2还要求建立一套量化的安全监控指标体系(KPI Dashboard),用于实时掌握产品运行中的安全状态:
安全运行监控KPI体系:
| KPI类别 | 具体指标 | 计算方式 | 监控频率 | 阈值定义 |
|---|---|---|---|---|
| **可靠性** | 安全相关MTBF | 总运行时间/安全故障次数 | 月度 | >设计值×1.2 |
| **诊断有效性** | DC实际值 | 诊断覆盖的失效模式数/总失效模式数 | 季度 | >设计值×0.95 |
| **误报率** | Nuisance Alert Rate | 误报次数/总运行小时数 | 月度 | <0.01% |
| **漏报率** | Miss Rate | 未检测到的故障数/总故障数 | 季度 | <0.1% |
| **FTTI合规** | 安全机制响应时间 | 从故障注入到安全状态的实测时间 | 季度 | |
| **SPM** | 安全性能度量 | 实际SPFM/LFM/PMHF值 | 年度 | >标准要求 |
| **安全事件** | Safety Event Count | S级+A级事件累计数 | 实时 | 0容忍 |
KPI异常响应机制:
KPI监控 → 正常 → 持续监控
→ 黄色预警(接近阈值) → 加强监控频率+趋势分析
→ 橙色预警(触及阈值) → 启动根因分析+制定改进计划
→ 红色报警(超出阈值) → 立即启动安全调查+必要时召回
4.5 运行阶段的环境应力退化管理
电子元件在长期运行中会经历环境应力导致的性能退化,这种退化可能影响安全机制的有效性。Clause 6.3要求对此进行管理:
典型环境应力退化机制:
| 退化机制 | 影响元件 | 退化模型 | 对安全的影响 | 监控方法 |
|---|---|---|---|---|
| **电迁移** | 集成电路互连 | Black方程 | 开路/短路失效 | 电流密度监控 |
| **热循环疲劳** | 焊点/BGA | Coffin-Manson | 焊点开裂 | 温度循环计数 |
| **偏压温度不稳定性(BTI)** | MOSFET | 幂律模型 | 阈值电压漂移 | 参数退化趋势 |
| **热载流子注入(HCI)** | MOSFET | 指数模型 | 跨导退化 | 性能退化趋势 |
| **时间依赖介质击穿(TDDB)** | 栅氧化层 | E模型 | 栅极漏电增加 | 漏电流监控 |
| **腐蚀** | 连接器/PCB | Arrhenius | 接触电阻增加 | 接触电阻趋势 |
工程对策:
- 在设计阶段预留足够的降额余量(derating)
- 在运行阶段通过数字孪生实时评估累积损伤
- 在维护阶段基于实际运行条件调整维护策略

图9:OTA软件更新安全影响评估决策树(来源:作者绘制)

图10:AURIX MSC/HSSL接口的TX时序监控(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图11:Safety Management与Peripherals之间的标准化接口(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图12:安全机制在不同外设中的实现方式(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)
五、服务阶段(Service):维修后安全功能的保证
5.1 维修对功能安全的影响
当车辆进入售后服务阶段(4S店、独立维修站),维修活动可能对安全功能产生影响。Clause 7要求建立完善的维修安全管理流程。
维修活动对功能安全的影响可以从三个维度来理解:
- 物理层面:机械拆装可能导致连接器接触不良、线缆损伤、传感器位置偏移等,这些物理变化可能直接影响安全功能的准确性
- 电气层面:更换电子控制单元(ECU)或传感器时,如果替换件的性能参数与原设计不一致,可能改变安全机制的检测灵敏度和响应时间
- 软件层面:软件刷新或参数标定如果使用了错误的版本或参数集,可能导致安全功能的逻辑行为偏离设计要求
根据实际行业数据,售后维修导致的安全相关事件约占全部安全事件的12-18%,其中约60%与替换件使用不当有关,约25%与校准/标定错误有关,约15%与装配工艺偏差有关。这一数据充分说明了服务阶段安全管理的重要性。
图5:维修活动对安全功能的影响分析矩阵
5.2 替换件的安全等效性
5.2.1 替换件分级管理
替换件安全等效性分级:
| 等级 | 定义 | 验证要求 | 批准流程 | 标识要求 |
|---|---|---|---|---|
| **原厂件(OEM Part)** | 与设计规范100%一致 | 无需额外验证 | 免审 | 原厂件号+安全等级标识 |
| **同等件(Equivalent Part)** | 经过等效性验证的非原厂件 | 功能+性能+安全机制等效性测试 | 安全工程师审批 | 等效证书+安全等级标识 |
| **非等效件(Non-equivalent Part)** | 未经安全等效性验证 | **禁止用于安全相关位置** | --- | 明确标注"不适用于安全相关系统" |
| **翻新件(Refurbished Part)** | 使用过的旧件经过翻新 | 全面安全功能测试+寿命评估 | 安全经理审批 | 翻新标识+剩余寿命标注 |
5.2.2 安全件替换的标准化流程
安全件替换标准操作流程(SOP):
1. 故障诊断
├── 读取完整故障码列表
├── 确认安全相关DTC
└── 判断是否需要更换安全件
2. 备件确认
├── 核实备件料号与原厂一致
├── 检查备件安全等级标识
├── 确认备件在保质期内
└── 扫码录入MES系统
3. 更换操作
├── 按照维修手册执行(包含安全注意事项)
├── 使用规定的扭矩/工具
├── 记录更换时间/里程/操作员
└── 旧件标识后保留(安全件保留30天)
4. 更换后验证
├── 安全功能自检(系统自检通过)
├── 关键参数校准/标定
├── EOL安全测试(如有设备条件)
└── 路试验证(安全功能实际验证)
5. 系统归档
├── 更新车辆维修档案
├── 备件追溯信息录入
└── 告知客户安全注意事项
5.3 维修手册的安全章节要求
Clause 7.3要求,对于安全相关系统的维修,维修手册必须包含专门的安全章节:
维修手册安全章节标准模板:
| 章节编号 | 内容 | 强制/推荐 |
|---|---|---|
| ⚠️-01 | 高压安全注意事项(如适用) | 强制 |
| ⚠️-02 | 安全功能标识(哪些部件是安全件) | 强制 |
| ⚠️-03 | 安全件更换的特殊要求 | 强制 |
| ⚠️-04 | 校准/标定流程与验收标准 | 强制 |
| ⚠️-05 | 维修后的功能测试清单 | 强制 |
| ⚠️-06 | 禁止事项清单(如禁止使用非原厂件) | 强制 |
| ⚠️-07 | 故障诊断安全注意事项 | 推荐 |
| ⚠️-08 | 工具/设备要求 | 推荐 |

图13:AURIX中断与Trap处理机制(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图14:传感器信号调理链(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图15:校准流程中的中断处理与CPU协同机制(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)
六、报废阶段(Decommissioning):安全生命周期的终点
6.1 报废阶段的安全考量
报废阶段虽然处于安全生命周期的末端,但仍包含重要的安全功能要求。Clause 8的核心关注点包括:
- 安全数据的处理:安全事件记录、诊断日志等数据的保留/销毁
- 高压系统的安全拆卸:电动车/混动车的高压系统拆卸安全
- 安全相关部件的处置:防止报废的安全件被重新流入市场
- 环境安全:安全件中的有害物质处理
6.2 报废处置流程
图6:安全系统报废处置标准流程图
6.2.1 数据安全处理
| 数据类型 | 处理方式 | 保留期限 | 销毁方法 |
|---|---|---|---|
| **安全事件记录** | 上传至OEM中央数据库后销毁 | 永久(OEM端) | 物理擦除+覆写 |
| **VIN关联信息** | 按法规要求保留 | ≥15年 | 到期后合规销毁 |
| **用户驾驶数据** | 按隐私法规处理 | 按当地法规 | GDPR/PIPL合规 |
| **安全密钥/证书** | 立即吊销 | 不保留 | 密码学吊销 |
6.2.2 高压系统安全拆卸
对于电动车/混动车,报废阶段的高压系统拆卸需要严格遵循安全流程:
高压系统报废拆卸安全流程:
Step 1: 高压隔离
├── 确认车辆已断电 ≥15分钟(电容放电)
├── 穿戴绝缘防护装备(手套>1000V等级)
├── 测量高压端子电压(<60V DC方可继续)
└── 设置高压隔离警示标识
Step 2: 高压部件拆卸
├── 按手册规定的顺序断开高压连接器
├── 高压连接器拆卸后立即密封端口
├── 高压线缆与低压线缆分离存放
└── 电池包单独存放于防爆柜中
Step 3: 电池包特殊处置
├── SOC放电至<30%
├── 绝缘电阻测试(≥500Ω/V)
├── 电解液泄漏检查
└── 交由有资质的电池回收企业处理
6.2.3 防止报废安全件回流
Clause 8.3特别要求建立防止报废安全件重新流入市场的机制:
防回流措施:
| 措施 | 描述 | 实施阶段 |
|---|---|---|
| **物理破坏** | 对安全件的关键功能区域进行物理破坏 | 报废现场 |
| **电子吊销** | 通过后台系统吊销安全件的电子身份 | 系统侧 |
| **标识销毁** | 移除或涂销安全件的安全等级标识 | 报废现场 |
| **登记注销** | 在追溯系统中注销该件的所有安全资质 | 数据管理 |
| **渠道监控** | 监控非正规渠道中的安全件流通 | 市场监管 |
七、生产运维与开发的闭环关系
7.1 从运维到设计的反馈链路
图7:生产运维数据驱动的设计改进闭环图
ISO 26262-7的一个核心理念是:生产运维阶段不是孤立的终点,而是驱动持续改进的反馈源。
7.1.1 闭环反馈的触发条件
| 触发条件 | 反馈路径 | 影响范围 |
|---|---|---|
| 现场失效率超过FMEA预期 | 更新FMEDA → 重新计算SPFM/LFM/PMHF | 硬件安全度量 |
| 新型故障模式出现 | 新增FMEA条目 → 评估安全机制覆盖 | 安全机制设计 |
| 安全机制误报率过高 | 调整阈值/算法 → 验证FTTI影响 | 软件安全需求 |
| 维修导致二次故障 | 更新维修手册 → 强化培训 | 服务流程 |
| 生产过程偏差 | 收紧工艺参数 → 增加检测频次 | 生产工艺 |
7.1.2 HARA复核机制
根据Clause 6.5的要求,当售后数据表明原有的HARA评估不再有效时,必须启动HARA复核:
HARA复核触发流程:
1. 收集售后数据
└── 统计故障类型/频率/严重度
2. 与HARA假设对比
└── 暴露度(E)是否超出预期?
└── 可控性(C)是否因维修而降低?
└── 严重度(S)是否与预期一致?
3. ASIL等级复核
└── S×E×C重新赋值
└── 比较新旧ASIL等级
4. 决策
├── ASIL不变 → 记录归档
├── ASIL升高 → 启动安全需求变更流程
└── ASIL降低 → 需充分论证后方可降级
7.2 安全案例(Safety Case)的生命周期维护
Clause 6.6要求,安全案例不是一个"一次性的交付物",而是需要在产品全生命周期内持续维护的活文档:
安全案例维护清单:
| 阶段 | 维护内容 | 触发条件 | 频率 |
|---|---|---|---|
| 生产 | 生产一致性报告 | 每批次 | 持续 |
| 运行 | 售后安全数据分析报告 | 每月/每季度 | 定期 |
| 运行 | OTA变更安全评估报告 | 每次OTA | 事件触发 |
| 服务 | 维修安全评估报告 | 新型维修方案 | 事件触发 |
| 运行 | 安全案例更新报告 | 年度/重大变更 | 定期+事件 |
| 报废 | 安全案例终结报告 | 车型退市 | 一次性 |
八、案例分析:EPS系统全生命周期安全管理
8.1 案例背景
以电动助力转向系统(EPS)为例,完整展示从生产到报废各阶段的安全管理实践。
系统基本信息:
- 系统:EPS电动助力转向系统
- ASIL等级:ASIL D
- 安全目标:SG-01 防止非预期的转向助力丢失
- FTTI:200ms(从故障检测到进入安全状态)
- 安全机制:双MCU锁步核 + 扭矩传感器冗余 + 电机电流监控
8.2 生产阶段实施
图8:EPS系统生产安全控制方案图
| 控制节点 | 安全测试项 | 合格标准 | 不良率目标 |
|---|---|---|---|
| IQC | 扭矩传感器零偏 | <0.5%FS | PPM<50 |
| SMT | MCUX射线检测 | 焊接合格率>99.99% | --- |
| 组装 | 电机装配扭矩 | 规定值±5% | PPM<100 |
| EOL | 助力响应时间 | <80ms(FTTI 200ms的40%) | 100%通过 |
| EOL | 冗余通道一致性 | 双通道差异<2% | 100%通过 |
| EOL | Watchdog功能 | 注入故障后<150ms安全状态 | 100%通过 |
| 包装 | ECU唯一标识扫码 | 条码可读性>Grade C | 100% |
8.3 运行阶段实施
售后安全监控KPI体系:
| KPI指标 | 目标值 | 预警阈值 | 实际统计(假设) |
|---|---|---|---|
| 安全相关故障率 | <10 FIT | >5 FIT触发预警 | 8.2 FIT ✅ |
| 误报率(DTC触发率) | <0.5% | >1%触发调查 | 0.3% ✅ |
| OTA安全事件 | 0 | 任何事件需评估 | 0 ✅ |
| 安全件替换率 | <0.1% | >0.05%触发趋势分析 | 0.07% ✅ |
| HARA假设偏差 | 无 | 任何偏差需复核 | 暴露度偏差+0.1 ✅ |
8.4 服务阶段实施
EPS维修安全要求:
- 转向拉杆更换后必须执行转向角度传感器标定
- 扭矩传感器不允许单独更换(必须更换总成)
- EPS ECU更换后必须通过诊断仪执行安全功能自检
- 禁止使用非原厂ECU(ASIL D安全等级无法保证等效性)
8.5 报废阶段实施
EPS系统报废处置:
- ECU中的数据(DTC、里程、运行时长)上传OEM数据库
- ECU闪存进行安全擦除(3次覆写)
- 电机永磁体按稀土回收要求处置
- 转向柱机械部分按金属废料处理(物理破坏转向齿轮防止回流)
8.6 EPS全生命周期安全成本分析
以下是对一个典型ASIL D EPS系统进行全生命周期安全管理的成本估算:
| 阶段 | 安全活动 | 单台成本(估算) | 占比 |
|---|---|---|---|
| **生产** | EOL安全测试(含设备折旧) | ¥15-25/台 | 20% |
| **生产** | SPC监控+追溯系统 | ¥5-10/台 | 8% |
| **生产** | 安全件来料检验 | ¥3-5/台 | 5% |
| **运行** | 售后安全数据监控平台 | ¥2-3/台/年 | 15% |
| **运行** | OTA安全评估(年均2次) | ¥8-12/台 | 12% |
| **服务** | 维修培训+安全章节编制 | ¥5-8/台 | 8% |
| **服务** | 替换件等效性验证 | ¥2-3/台 | 4% |
| **报废** | 数据安全处理+防回流 | ¥3-5/台 | 5% |
| **管理** | 安全审计+审核费用 | ¥10-15/台 | 13% |
| **合计** | --- | **¥53-86/台** | 100% |
关键洞察:全生命周期安全管理成本约占产品总成本的3-5%,但可以有效降低召回风险(一次召回的成本通常是全生命周期安全管理成本的10-100倍)。

图16:TC39x系列芯片的FMEDA分析报告模板(来源:Infineon AN1002 FuSa in a Nutshell)

图17:ASIL等级与诊断覆盖率(DC)要求对照表(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图18:安全闭环反馈机制(来源:作者绘制)
九、第三版新增趋势:数字化运维与OTA安全
9.1 数字孪生与预测性维护
ISO 26262第三版WD草案中引入了对数字孪生技术在运维阶段应用的讨论:
数字孪生在功能安全运维中的应用:
| 应用场景 | 技术实现 | 安全价值 |
|---|---|---|
| **实时安全监控** | 基于数字孪生的安全机制仿真 | 实时检测安全机制退化 |
| **预测性维护** | 基于运行数据的寿命预测模型 | 在安全件失效前主动更换 |
| **OTA影响评估** | 数字孪生中预验证OTA变更 | 在实车部署前发现安全问题 |
| **故障复现** | 数字孪生复现场故障场景 | 加速根因分析 |
9.2 V2X协同安全
第三版还关注了V2X通信对功能安全运维的影响:
- 车辆可以通过V2X网络向其他车辆广播安全相关信息
- 基础设施可以辅助检测车辆安全状态
- 云端安全监控平台可以跨车队分析安全趋势
9.3 网络安全与功能安全的运维协同
根据ISO/SAE 21434与ISO 26262的协同要求,运维阶段需要同时考虑:
- 安全补丁管理:网络安全补丁不能影响功能安全机制
- 入侵检测与安全响应:检测到网络攻击时的安全功能保持
- 安全通信证书管理:V2X安全证书的吊销/更新不影响功能安全
十、常见陷阱与避坑指南
10.1 生产阶段的常见陷阱
| 陷阱 | 后果 | 正确做法 |
|---|---|---|
| **安全参数抽检而非全检** | 漏检可能让安全件带缺陷出厂 | 安全相关参数100%在线检测 |
| **EOL测试时间压缩** | 为提升产线UPH牺牲测试覆盖率 | 安全测试工站不能计入节拍 |
| **允许安全件返修** | 返修可能引入新的失效模式 | 安全件不合格直接报废 |
| **追溯信息不完整** | 召回时无法精确定位受影响批次 | 建立从物料到成品的完整追溯链 |
| **忽视环境应力筛选(ESS)** | 潜在缺陷在出厂后暴露 | 对安全件实施温度循环+振动筛选 |
10.2 运行阶段的常见陷阱
| 陷阱 | 后果 | 正确做法 |
|---|---|---|
| **售后数据未按安全等级分类** | 安全关键故障被当作普通故障处理 | 建立分级分类的快速响应机制 |
| **OTA前不做安全评估** | 安全机制被意外修改 | OTA变更必须经过安全评审 |
| **忽视"未触发DTC的隐性故障"** | 安全机制静默失效 | 定期进行安全机制功能抽检 |
| **HARA假设不随时间复核** | 暴露度/可控性实际已变化但ASIL未更新 | 至少每年进行一次HARA复核 |
10.3 服务阶段的常见陷阱
| 陷阱 | 后果 | 正确做法 |
|---|---|---|
| **使用非等效替换件** | 安全度量不达标 | 严格执行替换件等效性验证 |
| **维修后不做安全功能验证** | 安全功能可能未恢复正常 | 维修后必须执行安全自检清单 |
| **维修手册缺乏安全章节** | 技师不了解安全特殊要求 | 维修手册必须包含安全操作专章 |
10.4 报废阶段的常见陷阱
| 陷阱 | 后果 | 正确做法 |
|---|---|---|
| **报废安全件回流市场** | 非安全件被当作安全件使用 | 物理破坏+电子吊销+标识销毁 |
| **高压系统拆卸不规范** | 人员触电风险 | 严格遵循高压安全拆卸SOP |
| **安全数据未备份就销毁** | 丧失事故调查的关键证据 | 先备份后销毁,保留法规要求期限 |
十.五 Part 7工程工具链推荐
在实际实施ISO 26262-7的过程中,以下工具链可以显著提升工作效率:
生产阶段工具:
| 工具类型 | 推荐方案 | 核心功能 |
|---|---|---|
| MES系统 | SAP ME / 西门子Opcenter | 生产过程数据采集与追溯 |
| SPC工具 | Minitab / InfinityQS | 统计过程控制与分析 |
| EOL测试 | NI TestStand + LabVIEW | 自动化产线末端测试 |
| 追溯系统 | 基于条码/RFID的追溯平台 | 全链路物料追溯 |
运行阶段工具:
| 工具类型 | 推荐方案 | 核心功能 |
|---|---|---|
| 故障管理 | JIRA + 自定义安全插件 | 故障分类/追踪/闭环 |
| 数据分析 | Python(akshare)+PowerBI | 售后数据挖掘与可视化 |
| OTA管理 | AWS IoT / Azure IoT Hub | OTA部署与回滚管理 |
| 数字孪生 | ANSYS Twin Builder / MATLAB | 运行状态实时仿真 |
服务与报废阶段工具:
| 工具类型 | 推荐方案 | 核心功能 |
|---|---|---|
| 维修手册 | 结构化XML(S1000D标准) | 安全章节管理 |
| 备件管理 | SAP PM / IBM Maximo | 安全件替换件管理 |
| 数据销毁 | Blancco / DBAN | 安全数据擦除验证 |
| 合规管理 | 环保合规平台(RoHS/REACH) | 报废处置合规 |
十一、审核与认证视角
11.1 TÜV审核中的常见问题
在功能安全认证审核中,Part 7相关的不符合项(Non-Conformity)通常集中在以下方面:
| 审核发现类型 | 严重程度 | 占比 | 典型描述 |
|---|---|---|---|
| 缺乏售后安全数据闭环流程 | Major | 25% | 未建立S级故障的快速响应机制 |
| 生产COP程序不完善 | Major | 20% | 安全参数检测未覆盖所有Safety Requirement |
| 替换件管理缺失 | Minor | 15% | 未建立安全件替换件等效性评估流程 |
| OTA安全评估不充分 | Major | 20% | OTA变更未经过安全影响评估即部署 |
| 报废处置规范缺失 | Minor | 10% | 未建立安全件防回流机制 |
| 安全案例未持续维护 | Minor | 10% | 安全案例停留在开发阶段,未随运行更新 |
11.2 审核准备Checklist
图9:ISO 26262-7审核准备Checklist
十二、总结与展望
12.1 核心要点总结
ISO 26262-7为功能安全的"最后一公里"提供了完整的框架指引。本文的核心要点如下:
| 阶段 | 核心关键词 | 工程核心要求 |
|---|---|---|
| **生产** | 一致性、防错、追溯 | 100%在线检测、安全件禁返修、完整追溯链 |
| **运行** | 闭环、反馈、OTA | 分级响应、HARA复核、OTA安全评估 |
| **服务** | 等效性、验证、手册 | 替换件等效验证、维修后安全自检、安全章节 |
| **报废** | 数据安全、防回流 | 数据备份销毁、高压安全拆卸、防回流措施 |
12.2 Part 7与Part 1-6的追溯关系
ISO 26262-7并非孤立存在,它与Part 1-6有着紧密的双向追溯关系:
| Part 7工作产品 | 追溯到 | 追溯来源 |
|---|---|---|
| 生产COP程序 | 技术安全需求(TSR) | Part 4 Clause 5 |
| EOL测试规范 | 安全需求(SSR + TSR) | Part 4-6 |
| 售后故障报告 | FMEA失效模式 | Part 4-6 Clause 8 |
| HARA复核报告 | 原始HARA报告 | Part 3 Clause 7 |
| OTA安全评估 | 功能安全概念 | Part 3 Clause 9 |
| 替换件等效性报告 | 硬件安全度量 | Part 5 |
| 安全案例更新 | 安全案例(原始版本) | Part 2 Clause 7 |
核心原则:Part 7的每一个工作产品都必须能够追溯到Part 1-6的某个上游工作产品。如果无法追溯,说明安全管理链路存在断裂,需要在安全案例中补充说明。
12.3 未来展望
随着汽车产业向智能化、电动化、网联化方向发展,Part 7的重要性将持续提升:
- OTA将成为常态:软件定义汽车的趋势意味着OTA更新越来越频繁,每次更新都需要安全评估。据预测,到2028年,一辆智能汽车每年将接收10-20次OTA更新,其中30-50%涉及安全相关功能的调整。
- 数据驱动安全:海量道路数据将通过AI分析驱动安全改进。通过机器学习算法对百万辆车的运行数据进行分析,可以提前6-12个月预测潜在的安全风险。
- 数字孪生贯穿运维:从被动响应转向主动预测。每辆在途车辆都将拥有自己的数字孪生模型,实时监控安全机制的健康状态。
- 多标准协同:功能安全+网络安全+SOTIF在运维阶段的协同将成为新课题。特别是在OTA场景中,一次更新可能同时涉及三个标准的考量。
- 供应链安全延伸:随着SEooC概念的推广,芯片供应商需要在安全手册(Safety Manual)中包含更多关于生产一致性和替换件管理的要求。
- 监管合规趋严:各国监管机构(如NHTSA、UNECE WP.29)对售后安全的监管要求日趋严格,ISO 26262-7将成为进入全球市场的必备合规基础。
参考标准条款索引
- ISO 26262-7:2018 Clause 4(适用性)
- ISO 26262-7:2018 Clause 5(生产阶段要求)
- ISO 26262-7:2018 Clause 6(运行阶段要求)
- ISO 26262-7:2018 Clause 7(服务阶段要求)
- ISO 26262-7:2018 Clause 8(报废阶段要求)
- ISO 26262-1:2018 Clause 4(术语定义)
- ISO 26262-2:2018 Clause 7(功能安全评估)
- ISO 26262-3:2018 Clause 7-8(HARA)
- ISO 26262 第三版WD草案(OTA与敏捷运维趋势)
12.4 Part 7实施成熟度模型
为了帮助企业评估和改进Part 7的实施水平,以下是功能安全运维成熟度模型:
| 成熟度等级 | 描述 | 典型特征 |
|---|---|---|
| **Level 1 - 初始级** | 被动响应 | 无正式COP流程;售后数据未分类;维修手册无安全章节 |
| **Level 2 - 管理级** | 建立基本流程 | 有COP但覆盖率不完整;有故障分类但无快速响应;有替换件清单但未分级 |
| **Level 3 - 定义级** | 标准化流程 | 完整的COP体系;分级故障响应机制;替换件等效性验证流程;维修手册安全章节 |
| **Level 4 - 量化管理级** | 数据驱动 | SPC监控所有安全参数;KPI量化管理;HARA定期复核;安全案例持续维护 |
| **Level 5 - 持续优化级** | 预测性管理 | 数字孪生实时监控;AI驱动的故障预测;闭环数据驱动设计改进;跨标准协同管理 |
行业现状:根据TÜV SÜD 2025年的功能安全审核统计,全球OEM中约有60%处于Level 2-3水平,30%处于Level 3-4水平,仅约10%达到了Level 5。Tier1供应商的整体成熟度更低,约50%仍在Level 2以下。这也是为什么ISO 26262第三版特别强化了对Distributed Development(分布式开发)中供应商安全管理的要求。
12.5 给安全工程师的行动清单
如果你正在负责建立或完善Part 7的实施体系,以下是建议的行动清单:
短期行动(0-3个月):
- 盘点现有的生产安全测试覆盖率,识别遗漏的安全参数
- 建立售后故障的安全分级分类标准
- 审查维修手册中是否包含安全操作章节
- 制定安全件替换件的管理规范
中期行动(3-12个月):
- 建立完整的追溯系统,实现从物料到成品的全链路追溯
- 部署SPC系统,对安全关键工序进行统计监控
- 建立OTA安全评估流程,与软件版本管理集成
- 开发售后安全数据分析平台
长期行动(12个月+):
- 引入数字孪生技术,实现运行状态的实时监控
- 建立AI驱动的故障预测系统
- 实现功能安全+网络安全+SOTIF的统一运维管理平台
- 推动组织达到成熟度Level 4-5水平
*本文基于ISO 26262:2018标准原文编写,工程实践部分参考行业公开资料与通用工程经验。文中案例均为教学演示用途,不代表特定企业的实际事件。所有成本数据为行业估算范围,实际值因企业规模和车型定位而异。*
本文基于ISO 26262:2018标准原文编写,工程实践部分参考行业公开资料。文中案例均为教学演示用途,不代表特定企业的实际事件。