FS-11 功能安全ISO26262之生产运维与报废阶段安全保障深度解析

FS-11 功能安全ISO26262之生产运维与报废阶段安全保障深度解析

系列导航: FS-01 标准体系全景 | FS-02 核心术语精解 | FS-03 ASIL等级体系 | FS-04 HARA工程实践 | FS-05 安全目标与功能安全概念 | FS-06 功能安全管理体系 | FS-07 系统级产品开发 | FS-08 硬件级产品开发 | FS-09 软件级产品开发 | FS-10 安全机制设计模式 | **FS-11 生产运维与报废** | FS-12 FMEA/FMEDA | FS-13 FTA | FS-14 ASIL分解 | FS-15 安全确认 | FS-16 半导体指南 | FS-17 敏捷开发 | FS-18 自动驾驶 | FS-19 三标准协同 | FS-20 实战案例集


一、引言:安全生命周期中"被遗忘的半程"

在汽车功能安全工程中,业界的大量精力集中在设计阶段的V模型开发------从HARA到安全需求、从系统架构到软硬件实现。然而,一个经常被低估甚至忽略的事实是:安全功能的实现不仅仅发生在设计阶段,它贯穿了产品的整个生命周期

ISO 26262:2018 Part 7《Production, Operation, Service and Decommissioning》(生产、运行、服务和报废)正是填补了安全生命周期中"开发完成→产品退役"这一段的关键空白。这一Part回答了一个核心问题:

当安全系统走出实验室和工厂产线,进入大规模量产、道路上路、售后维修直至最终报废的全过程中,如何持续保证功能安全?

这个问题的重要性怎么强调都不为过。让我们来看几个触目惊心的事实:

  1. 生产偏差:同一块PCB上,焊接温度的微小偏差就可能导致安全相关焊点的可靠性下降。某OEM曾因回流焊温度曲线偏移5°C,导致BMS系统隔离电阻检测精度从99.2%下降到94.5%,最终触发市场召回。
  1. 售后维修:一个非原厂认证的替换件(如用非ASIL-B等级的传感器替换原ASIL-B传感器),可能在无故障的情况下降低整个安全链路的诊断覆盖率(DC),使SPFM度量从97%降至89%,不再满足ASIL C的要求。
  1. OTA升级:2025年某自动驾驶系统因OTA更新意外修改了紧急制动安全机制的阈值参数,导致FTTI(Fault Tolerant Time Interval)从100ms扩展到350ms,超出了驾驶员反应时间的安全边界。

ISO 26262-7正是为了从标准层面杜绝上述问题的发生。本文将系统解读Part 7的完整框架,结合生产产线、售后服务、OTA管理和报废处理的工程实践,提供可操作的安全保障方案。


二、ISO 26262-7标准框架全解

2.1 Part 7在安全生命周期中的定位

ISO 26262-7:2018覆盖了安全生命周期的后半程,与其他Part的关系如下图所示:

图1:ISO 26262安全生命周期Part 7定位图

根据ISO 26262-1:2018 Figure 1(安全生命周期V模型),Part 7覆盖了四个关键阶段:

阶段 对标Clause 核心关注点 关键工作产品
**生产(Production)** Clause 5 生产一致性控制(COP) 生产测试规范、过程参数记录
**运行(Operation)** Clause 6 售后数据闭环、故障监控 现场故障报告、安全相关OTA评估
**服务(Service)** Clause 7 维修后安全功能验证 维修手册安全章节、替换件等效性证明
**报废(Decommissioning)** Clause 8 安全数据处理、高压安全拆卸 报废处置指南、数据擦除规范

2.2 Part 7的适用范围

根据ISO 26262-7:2018 Clause 4(Applicability),Part 7适用于以下场景:

适用的系统/组件类型:

  • 所有与安全相关的E/E系统(Safety-Related E/E Systems)
  • 与安全相关的软件组件(Safety-Related Software Components)
  • 与安全相关的硬件组件(Safety-Related Hardware Components)
  • 安全相关的替换件/配件(Safety-Related Replacement Parts)

不适用的场景:

  • 非安全相关的标准零部件(如雨刮电机、非安全类传感器)
  • 已超出设计使用寿命的系统(但报废处置流程仍需遵循)
  • 非OEM责任范围内的第三方改装

2.3 Part 7的工作产品(Work Products)总览

根据ISO 26262-7:2018,Part 7需要输出的工作产品包括:

生产阶段工作产品:

  • 生产安全测试规范(Production Safety Test Specification)
  • 安全相关参数清单(Safety-Related Parameter List)
  • 生产过程控制计划(Production Process Control Plan)
  • 追溯记录(Traceability Records)
  • 不合格品处置记录(Non-Conforming Material Report)

运行阶段工作产品:

  • 售后故障安全分析报告(Field Failure Safety Analysis Report)
  • OTA安全评估报告(OTA Safety Impact Assessment)
  • HARA复核报告(HARA Review Report)
  • 安全监控KPI报告(Safety KPI Report)
  • 安全事件报告(Safety Incident Report)

服务阶段工作产品:

  • 维修手册安全章节(Service Manual Safety Section)
  • 替换件安全等效性评估报告(Replacement Part Equivalence Assessment)
  • 维修培训教材(Safety Maintenance Training Material)
  • 维修后安全验证记录(Post-Service Safety Verification Record)

报废阶段工作产品:

  • 报废处置指南(Decommissioning Guideline)
  • 数据安全处理记录(Data Sanitization Record)
  • 高压系统安全拆卸程序(High-Voltage Safe Disassembly Procedure)
  • 防回流控制记录(Backflow Prevention Control Record)

2.4 关键术语定义

在深入各阶段之前,必须明确以下术语(ISO 26262-1:2018 Clause 4):

术语 定义 工程含义
**Production(生产)** The process of manufacturing series articles 批量生产过程
**Conformity of Production (COP)** Procedures to ensure that produced items meet design specifications 生产一致性验证
**Operation(运行)** The phase where the item is in use by the customer 产品交付客户后的运行阶段
**Service(服务)** Activities performed to maintain or restore the functionality of the item 维修保养活动
**Decommissioning(报废)** Process of taking the item out of service permanently 永久性退出使用
**Safety-related parameter(安全相关参数)** Parameter whose deviation could affect the functional safety 偏移会影响功能安全的参数
**Replacement part(替换件)** Part intended to replace an existing part in the item 用于替换原部件的零件

图1:ISO 26262安全生命周期V模型 --- Part 7覆盖生产、运行、服务和报废四阶段(来源:作者绘制)

图2:ISO 26262-7 Part 7核心内容思维导图(来源:作者绘制)

图3:AURIX TC3xx安全机制状态机(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图4:故障分类体系(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图5:随机硬件失效 vs 系统性失效分类(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

三、生产阶段(Production):安全一致性的第一道防线

3.1 生产安全的核心目标

根据ISO 26262-7:2018 Clause 5,生产阶段的功能安全目标是:

确保每一个量产产品的安全特性与设计规范完全一致,不因生产过程的偏差引入新的失效模式或降低已有的安全机制效能。

这一目标可以分解为三个子目标:

  1. 参数一致性:安全相关参数(如传感器校准值、阈值电压、通信时序)在设计公差范围内
  2. 工艺一致性:焊接、组装、灌封等工艺过程满足安全等级要求
  3. 可追溯性:每个安全相关组件可追溯到具体的生产批次、工位和时间戳

3.2 生产一致性控制(COP)体系

图2:生产安全一致性控制(COP)流程框架图

COP(Conformity of Production)体系是生产安全的基石。根据Clause 5.2的要求,COP必须包含以下要素:

3.2.1 安全相关参数的在线检测

在生产产线末端(End-of-Line, EOL),必须对所有安全相关参数进行100%检测(非抽检)。

EOL安全测试的典型参数清单:

测试类别 测试参数 测试方法 合格标准 测试时间
**电气安全** 绝缘电阻 500V DC高压测试 ≥100MΩ <5s
**通信安全** CAN帧周期抖动 时间戳捕获+统计分析 σ<2μs <10s
**传感器校准** 零偏/增益/线性度 标准信号源对比 误差<0.5%FS <30s
**安全机制验证** Watchdog响应时间 注入故障测试 响应 <5s
**电源监控** 欠压/过压阈值 可调电源测试 阈值±2%内触发 <3s
**ECC功能** 单比特纠错验证 注入错误测试 100%纠错成功 <5s
**锁步核** 比较器功能验证 故障注入测试 100%检测成功 <5s
3.2.2 防错(Poka-Yoke)在安全件生产中的应用

根据Clause 5.3的要求,生产过程应尽可能通过防错设计来消除人为错误的影响:

安全件生产的Poka-Yoke措施:

防错类型 措施 应用场景 效果
**物理防错** 非对称连接器设计 安全传感器接插件 防止反插/错插
**软件防错** 条码/RFID追溯 每个ECU唯一标识 实现全链路追溯
**工艺防错** 焊接温度曲线自动监控 SMT回流焊 偏差自动报警
**检测防错** AOI+X-Ray双重检测 BGA焊接质量 虚焊检出率>99.9%
**顺序防错** 工序互锁系统 装配线 上工序未完成自动锁定
3.2.3 批次追溯系统

Clause 5.4要求建立完整的安全件批次追溯系统。一个典型的追溯系统应包含:

复制代码
追溯信息层级:
├── Level 1: 产品标识
│   ├── 唯一序列号(UID)
│   ├── 产品型号/料号
│   └── 安全等级标识(ASIL)
├── Level 2: 生产信息
│   ├── 生产日期/时间
│   ├── 生产线编号/工位
│   ├── 操作员ID
│   └── 设备参数记录
├── Level 3: 物料信息
│   ├── 关键元器件批次号
│   ├── 供应商信息
│   ├── 来料检验报告编号
│   └── 物料变更通知(PCN)记录
└── Level 4: 测试信息
    ├── EOL测试结果
    ├── 校准参数记录
    ├── 不合格品处理记录
    └── 返工/返修记录(安全件禁止返修)

3.3 统计过程控制(SPC)在安全件生产中的应用

Clause 5.3进一步要求,对于安全相关的生产工序,应建立统计过程控制(SPC)体系,通过量化监控来预防过程偏差。

安全件SPC的关键控制点:

控制参数 控制图类型 采样频率 控制限 异常响应
焊接温度 X̄-R图 每板首件 ±3σ 停线+隔离可疑品
扭矩传感器校准值 X̄-S图 每件 ±2σ 设备校准+复检
绝缘电阻 单值-移动极差图 每件 下限≥100MΩ 隔离+原因分析
CAN通信时序 X̄-R图 每小时5件 ±3σ 设备检修+复检
灌封胶固化度 单值图 每炉2件 下限≥95% 延长固化+复检

SPC能力指数要求(按ASIL等级):

ASIL等级 Cpk最低要求 Ppk最低要求 含义
QM ≥1.0 ≥0.67 基本过程能力
ASIL A ≥1.33 ≥1.0 良好过程能力
ASIL B ≥1.67 ≥1.33 优秀过程能力
ASIL C ≥2.0 ≥1.67 卓越过程能力
ASIL D ≥2.0 ≥2.0 顶级过程能力(零缺陷导向)

工程经验:ASIL D的安全件,建议Cpk≥2.0作为量产启动条件,而非仅仅是"通过审核"的最低标准。Cpk=2.0意味着过程不合格率约为0.002ppm(十亿分之二),这对安全件来说是必要的质量基线。

3.4 生产过程的功能安全管理

3.4.1 安全相关工序的特殊要求

根据Clause 5.5,以下工序需要特殊管控:

  1. 安全相关焊接:必须采用受控的回流焊温度曲线,每批次首件必须通过X-Ray检查
  2. 安全相关灌封:灌封材料批次、固化温度/时间必须记录,固化度必须抽检
  3. 安全相关校准:传感器校准设备必须经过计量认证,校准数据自动上传MES系统
  4. 安全相关软件刷写:软件版本号必须与BOM匹配,刷写后必须CRC校验
3.4.2 不合格品控制

Clause 5.6对安全相关不合格品的处理有严格要求:

安全件不合格品处理矩阵:

不合格类型 处理方式 审批层级 是否允许返工 追溯要求
**外观不良(非安全面)** 让步接收/报废 质量工程师 不允许 完整记录
**安全参数偏移** 100%报废 安全经理+质量经理 **严禁返工** 关联到HARA
**软件版本错误** 重新刷写+全量测试 质量经理 允许重新刷写 记录版本变更
**焊接不良** 报废 质量工程师 **严禁返焊** 关联到设备维护

⚠️ 关键原则 :安全相关的不合格品严禁通过返工/返修来恢复使用。这是因为返工过程可能引入新的系统性失效,而系统性失效正是功能安全需要重点防控的失效类型。


图6:AURIX TC3xx内建自测(BIST)架构(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图7:BGA封装焊接质量检查(来源:Infineon AN1002 FuSa in a Nutshell)

图8:AURIX TC3xx时钟树与监控架构(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

四、运行阶段(Operation):从道路数据到安全闭环

4.1 运行阶段安全管理的核心理念

产品交付给客户后,安全团队的职责并未结束。根据Clause 6,运行阶段的安全管理核心是闭环反馈------将道路运行中收集到的安全相关数据,反馈回设计阶段,驱动持续改进。

图3:运行阶段安全闭环反馈机制架构图

4.2 售后故障数据的分类与处理

4.2.1 故障数据分类体系

根据Clause 6.2的要求,所有售后故障数据必须按照安全相关性进行分类:

故障安全相关性分级:

分级 定义 响应时间 处理方式 报告对象
**S级(Safety-critical)** 故障可能直接导致危害事件 24小时内 立即启动安全调查 TÜV/安全经理/OEM
**A级(Safety-related)** 故障涉及安全相关组件但未触发危害 72小时内 安全影响评估 安全经理
**B级(Non-safety)** 故障与安全功能无关 常规流程 标准质量处理 质量部门
**C级(Potential)** 故障模式可能与已知安全风险相关 1周内 与已知FMEA对比 质量+安全团队
4.2.2 安全相关故障的分析流程

当发生S级或A级故障时,必须启动以下分析流程(Clause 6.3):

复制代码
售后安全故障分析流程:

Step 1: 故障现场保护
├── 冻结ECU数据(冻结帧/故障码/日志)
├── 保留故障件(禁止通电测试)
└── 记录故障时的运行条件

Step 2: 初步分析
├── 读取DTC和冻结帧数据
├── 比对正常件 vs 故障件的参数差异
└── 确定故障模式(开路/短路/漂移/间歇)

Step 3: 根本原因分析(Root Cause Analysis)
├── 物理分析:切片/SEM/EDX等材料分析
├── 统计分析:与失效率预期(FIT)对比
├── FMEA复核:是否为已知失效模式
└── 环境分析:温度/湿度/振动/EMC

Step 4: HARA影响评估
├── 故障是否影响已有的Safety Goal?
├── 是否需要重新评估S/E/C等级?
├── 安全机制是否仍能有效检测?
└── FTTI是否仍然满足?

Step 5: 处置决策
├── 无风险:更新FMEA库,纳入经验教训
├── 低风险:发布技术服务通报(TSB)
├── 中风险:OTA修复或维修方案
└── 高风险:启动召回流程

4.3 OTA升级的功能安全约束

随着汽车智能化的发展,OTA(Over-The-Air)软件更新成为运行阶段功能安全管理的重中之重。ISO 26262第三版WD草案中特别强化了OTA的功能安全要求。

4.3.1 OTA安全评估框架

图4:OTA功能安全评估决策树

每次OTA更新前,必须执行以下安全评估(Clause 6.4):

评估维度 评估内容 判断标准 处置方式
**安全需求变更** 是否修改了Safety Requirement 任何修改均需评估 修改需重新走确认流程
**安全机制影响** 是否影响已有安全机制 影响则需验证 回归测试+故障注入
**FTTI影响** 是否影响响应时间 恶化则不可接受 严格性能测试
**接口变更** 是否修改了安全相关接口 修改则需重新集成 HSI重新验证
**回退能力** OTA失败后能否回退 必须能回退到安全版本 双分区/回退机制
4.3.2 OTA安全验证策略
复制代码
OTA安全验证流程(按ASIL等级递进):

ASIL A: 软件回归测试 + 功能验证
    ↓
ASIL B: 上述 + 安全机制验证 + 边界条件测试
    ↓  
ASIL C: 上述 + 故障注入测试 + HIL验证
    ↓
ASIL D: 上述 + 整车级确认测试 + 独立安全评估
4.3.3 典型OTA安全事件分析

案例:某ADAS系统OTA导致AEB误触发率上升

事件经过:

  • 2025年某车型OTA更新后,自动紧急制动(AEB)系统的误触发率从0.1%/1000km上升到2.3%/1000km
  • 根因:OTA更新修改了感知算法的置信度阈值,导致低置信度目标也被识别为需要制动的障碍物
  • 安全影响:误触发导致紧急制动,虽未造成事故,但违反了Safety Goal "避免非预期的安全相关制动动作"
  • 处置:48小时内发布回退OTA版本,启动8D分析流程

教训总结:

  1. 安全相关的算法参数变更必须纳入安全变更管理流程
  2. OTA前后必须有可量化的安全指标对比测试
  3. 回退机制必须是经过验证的,不能"理论可回退但实际未验证"

4.4 运行阶段的安全监控指标体系

Clause 6.2还要求建立一套量化的安全监控指标体系(KPI Dashboard),用于实时掌握产品运行中的安全状态:

安全运行监控KPI体系:

KPI类别 具体指标 计算方式 监控频率 阈值定义
**可靠性** 安全相关MTBF 总运行时间/安全故障次数 月度 >设计值×1.2
**诊断有效性** DC实际值 诊断覆盖的失效模式数/总失效模式数 季度 >设计值×0.95
**误报率** Nuisance Alert Rate 误报次数/总运行小时数 月度 <0.01%
**漏报率** Miss Rate 未检测到的故障数/总故障数 季度 <0.1%
**FTTI合规** 安全机制响应时间 从故障注入到安全状态的实测时间 季度
**SPM** 安全性能度量 实际SPFM/LFM/PMHF值 年度 >标准要求
**安全事件** Safety Event Count S级+A级事件累计数 实时 0容忍

KPI异常响应机制:

复制代码
KPI监控 → 正常 → 持续监控
        → 黄色预警(接近阈值) → 加强监控频率+趋势分析
        → 橙色预警(触及阈值) → 启动根因分析+制定改进计划
        → 红色报警(超出阈值) → 立即启动安全调查+必要时召回

4.5 运行阶段的环境应力退化管理

电子元件在长期运行中会经历环境应力导致的性能退化,这种退化可能影响安全机制的有效性。Clause 6.3要求对此进行管理:

典型环境应力退化机制:

退化机制 影响元件 退化模型 对安全的影响 监控方法
**电迁移** 集成电路互连 Black方程 开路/短路失效 电流密度监控
**热循环疲劳** 焊点/BGA Coffin-Manson 焊点开裂 温度循环计数
**偏压温度不稳定性(BTI)** MOSFET 幂律模型 阈值电压漂移 参数退化趋势
**热载流子注入(HCI)** MOSFET 指数模型 跨导退化 性能退化趋势
**时间依赖介质击穿(TDDB)** 栅氧化层 E模型 栅极漏电增加 漏电流监控
**腐蚀** 连接器/PCB Arrhenius 接触电阻增加 接触电阻趋势

工程对策:

  • 在设计阶段预留足够的降额余量(derating)
  • 在运行阶段通过数字孪生实时评估累积损伤
  • 在维护阶段基于实际运行条件调整维护策略

图9:OTA软件更新安全影响评估决策树(来源:作者绘制)

图10:AURIX MSC/HSSL接口的TX时序监控(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图11:Safety Management与Peripherals之间的标准化接口(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图12:安全机制在不同外设中的实现方式(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

五、服务阶段(Service):维修后安全功能的保证

5.1 维修对功能安全的影响

当车辆进入售后服务阶段(4S店、独立维修站),维修活动可能对安全功能产生影响。Clause 7要求建立完善的维修安全管理流程。

维修活动对功能安全的影响可以从三个维度来理解:

  1. 物理层面:机械拆装可能导致连接器接触不良、线缆损伤、传感器位置偏移等,这些物理变化可能直接影响安全功能的准确性
  2. 电气层面:更换电子控制单元(ECU)或传感器时,如果替换件的性能参数与原设计不一致,可能改变安全机制的检测灵敏度和响应时间
  3. 软件层面:软件刷新或参数标定如果使用了错误的版本或参数集,可能导致安全功能的逻辑行为偏离设计要求

根据实际行业数据,售后维修导致的安全相关事件约占全部安全事件的12-18%,其中约60%与替换件使用不当有关,约25%与校准/标定错误有关,约15%与装配工艺偏差有关。这一数据充分说明了服务阶段安全管理的重要性。

图5:维修活动对安全功能的影响分析矩阵

5.2 替换件的安全等效性

5.2.1 替换件分级管理

替换件安全等效性分级:

等级 定义 验证要求 批准流程 标识要求
**原厂件(OEM Part)** 与设计规范100%一致 无需额外验证 免审 原厂件号+安全等级标识
**同等件(Equivalent Part)** 经过等效性验证的非原厂件 功能+性能+安全机制等效性测试 安全工程师审批 等效证书+安全等级标识
**非等效件(Non-equivalent Part)** 未经安全等效性验证 **禁止用于安全相关位置** --- 明确标注"不适用于安全相关系统"
**翻新件(Refurbished Part)** 使用过的旧件经过翻新 全面安全功能测试+寿命评估 安全经理审批 翻新标识+剩余寿命标注
5.2.2 安全件替换的标准化流程
复制代码
安全件替换标准操作流程(SOP):

1. 故障诊断
   ├── 读取完整故障码列表
   ├── 确认安全相关DTC
   └── 判断是否需要更换安全件

2. 备件确认
   ├── 核实备件料号与原厂一致
   ├── 检查备件安全等级标识
   ├── 确认备件在保质期内
   └── 扫码录入MES系统

3. 更换操作
   ├── 按照维修手册执行(包含安全注意事项)
   ├── 使用规定的扭矩/工具
   ├── 记录更换时间/里程/操作员
   └── 旧件标识后保留(安全件保留30天)

4. 更换后验证
   ├── 安全功能自检(系统自检通过)
   ├── 关键参数校准/标定
   ├── EOL安全测试(如有设备条件)
   └── 路试验证(安全功能实际验证)

5. 系统归档
   ├── 更新车辆维修档案
   ├── 备件追溯信息录入
   └── 告知客户安全注意事项

5.3 维修手册的安全章节要求

Clause 7.3要求,对于安全相关系统的维修,维修手册必须包含专门的安全章节:

维修手册安全章节标准模板:

章节编号 内容 强制/推荐
⚠️-01 高压安全注意事项(如适用) 强制
⚠️-02 安全功能标识(哪些部件是安全件) 强制
⚠️-03 安全件更换的特殊要求 强制
⚠️-04 校准/标定流程与验收标准 强制
⚠️-05 维修后的功能测试清单 强制
⚠️-06 禁止事项清单(如禁止使用非原厂件) 强制
⚠️-07 故障诊断安全注意事项 推荐
⚠️-08 工具/设备要求 推荐

图13:AURIX中断与Trap处理机制(来源:Infineon AURIX TC3xx Architecture Part1 User Manual)

图14:传感器信号调理链(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图15:校准流程中的中断处理与CPU协同机制(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

六、报废阶段(Decommissioning):安全生命周期的终点

6.1 报废阶段的安全考量

报废阶段虽然处于安全生命周期的末端,但仍包含重要的安全功能要求。Clause 8的核心关注点包括:

  1. 安全数据的处理:安全事件记录、诊断日志等数据的保留/销毁
  2. 高压系统的安全拆卸:电动车/混动车的高压系统拆卸安全
  3. 安全相关部件的处置:防止报废的安全件被重新流入市场
  4. 环境安全:安全件中的有害物质处理

6.2 报废处置流程

图6:安全系统报废处置标准流程图

6.2.1 数据安全处理
数据类型 处理方式 保留期限 销毁方法
**安全事件记录** 上传至OEM中央数据库后销毁 永久(OEM端) 物理擦除+覆写
**VIN关联信息** 按法规要求保留 ≥15年 到期后合规销毁
**用户驾驶数据** 按隐私法规处理 按当地法规 GDPR/PIPL合规
**安全密钥/证书** 立即吊销 不保留 密码学吊销
6.2.2 高压系统安全拆卸

对于电动车/混动车,报废阶段的高压系统拆卸需要严格遵循安全流程:

复制代码
高压系统报废拆卸安全流程:

Step 1: 高压隔离
├── 确认车辆已断电 ≥15分钟(电容放电)
├── 穿戴绝缘防护装备(手套>1000V等级)
├── 测量高压端子电压(<60V DC方可继续)
└── 设置高压隔离警示标识

Step 2: 高压部件拆卸
├── 按手册规定的顺序断开高压连接器
├── 高压连接器拆卸后立即密封端口
├── 高压线缆与低压线缆分离存放
└── 电池包单独存放于防爆柜中

Step 3: 电池包特殊处置
├── SOC放电至<30%
├── 绝缘电阻测试(≥500Ω/V)
├── 电解液泄漏检查
└── 交由有资质的电池回收企业处理
6.2.3 防止报废安全件回流

Clause 8.3特别要求建立防止报废安全件重新流入市场的机制:

防回流措施:

措施 描述 实施阶段
**物理破坏** 对安全件的关键功能区域进行物理破坏 报废现场
**电子吊销** 通过后台系统吊销安全件的电子身份 系统侧
**标识销毁** 移除或涂销安全件的安全等级标识 报废现场
**登记注销** 在追溯系统中注销该件的所有安全资质 数据管理
**渠道监控** 监控非正规渠道中的安全件流通 市场监管

七、生产运维与开发的闭环关系

7.1 从运维到设计的反馈链路

图7:生产运维数据驱动的设计改进闭环图

ISO 26262-7的一个核心理念是:生产运维阶段不是孤立的终点,而是驱动持续改进的反馈源

7.1.1 闭环反馈的触发条件
触发条件 反馈路径 影响范围
现场失效率超过FMEA预期 更新FMEDA → 重新计算SPFM/LFM/PMHF 硬件安全度量
新型故障模式出现 新增FMEA条目 → 评估安全机制覆盖 安全机制设计
安全机制误报率过高 调整阈值/算法 → 验证FTTI影响 软件安全需求
维修导致二次故障 更新维修手册 → 强化培训 服务流程
生产过程偏差 收紧工艺参数 → 增加检测频次 生产工艺
7.1.2 HARA复核机制

根据Clause 6.5的要求,当售后数据表明原有的HARA评估不再有效时,必须启动HARA复核:

复制代码
HARA复核触发流程:

1. 收集售后数据
   └── 统计故障类型/频率/严重度

2. 与HARA假设对比
   └── 暴露度(E)是否超出预期?
   └── 可控性(C)是否因维修而降低?
   └── 严重度(S)是否与预期一致?

3. ASIL等级复核
   └── S×E×C重新赋值
   └── 比较新旧ASIL等级

4. 决策
   ├── ASIL不变 → 记录归档
   ├── ASIL升高 → 启动安全需求变更流程
   └── ASIL降低 → 需充分论证后方可降级

7.2 安全案例(Safety Case)的生命周期维护

Clause 6.6要求,安全案例不是一个"一次性的交付物",而是需要在产品全生命周期内持续维护的活文档

安全案例维护清单:

阶段 维护内容 触发条件 频率
生产 生产一致性报告 每批次 持续
运行 售后安全数据分析报告 每月/每季度 定期
运行 OTA变更安全评估报告 每次OTA 事件触发
服务 维修安全评估报告 新型维修方案 事件触发
运行 安全案例更新报告 年度/重大变更 定期+事件
报废 安全案例终结报告 车型退市 一次性

八、案例分析:EPS系统全生命周期安全管理

8.1 案例背景

以电动助力转向系统(EPS)为例,完整展示从生产到报废各阶段的安全管理实践。

系统基本信息:

  • 系统:EPS电动助力转向系统
  • ASIL等级:ASIL D
  • 安全目标:SG-01 防止非预期的转向助力丢失
  • FTTI:200ms(从故障检测到进入安全状态)
  • 安全机制:双MCU锁步核 + 扭矩传感器冗余 + 电机电流监控

8.2 生产阶段实施

图8:EPS系统生产安全控制方案图

控制节点 安全测试项 合格标准 不良率目标
IQC 扭矩传感器零偏 <0.5%FS PPM<50
SMT MCUX射线检测 焊接合格率>99.99% ---
组装 电机装配扭矩 规定值±5% PPM<100
EOL 助力响应时间 <80ms(FTTI 200ms的40%) 100%通过
EOL 冗余通道一致性 双通道差异<2% 100%通过
EOL Watchdog功能 注入故障后<150ms安全状态 100%通过
包装 ECU唯一标识扫码 条码可读性>Grade C 100%

8.3 运行阶段实施

售后安全监控KPI体系:

KPI指标 目标值 预警阈值 实际统计(假设)
安全相关故障率 <10 FIT >5 FIT触发预警 8.2 FIT ✅
误报率(DTC触发率) <0.5% >1%触发调查 0.3% ✅
OTA安全事件 0 任何事件需评估 0 ✅
安全件替换率 <0.1% >0.05%触发趋势分析 0.07% ✅
HARA假设偏差 任何偏差需复核 暴露度偏差+0.1 ✅

8.4 服务阶段实施

EPS维修安全要求:

  • 转向拉杆更换后必须执行转向角度传感器标定
  • 扭矩传感器不允许单独更换(必须更换总成)
  • EPS ECU更换后必须通过诊断仪执行安全功能自检
  • 禁止使用非原厂ECU(ASIL D安全等级无法保证等效性)

8.5 报废阶段实施

EPS系统报废处置:

  • ECU中的数据(DTC、里程、运行时长)上传OEM数据库
  • ECU闪存进行安全擦除(3次覆写)
  • 电机永磁体按稀土回收要求处置
  • 转向柱机械部分按金属废料处理(物理破坏转向齿轮防止回流)

8.6 EPS全生命周期安全成本分析

以下是对一个典型ASIL D EPS系统进行全生命周期安全管理的成本估算:

阶段 安全活动 单台成本(估算) 占比
**生产** EOL安全测试(含设备折旧) ¥15-25/台 20%
**生产** SPC监控+追溯系统 ¥5-10/台 8%
**生产** 安全件来料检验 ¥3-5/台 5%
**运行** 售后安全数据监控平台 ¥2-3/台/年 15%
**运行** OTA安全评估(年均2次) ¥8-12/台 12%
**服务** 维修培训+安全章节编制 ¥5-8/台 8%
**服务** 替换件等效性验证 ¥2-3/台 4%
**报废** 数据安全处理+防回流 ¥3-5/台 5%
**管理** 安全审计+审核费用 ¥10-15/台 13%
**合计** --- **¥53-86/台** 100%

关键洞察:全生命周期安全管理成本约占产品总成本的3-5%,但可以有效降低召回风险(一次召回的成本通常是全生命周期安全管理成本的10-100倍)。


图16:TC39x系列芯片的FMEDA分析报告模板(来源:Infineon AN1002 FuSa in a Nutshell)

图17:ASIL等级与诊断覆盖率(DC)要求对照表(来源:Infineon AURIX TC3xx Architecture Part2 User Manual)

图18:安全闭环反馈机制(来源:作者绘制)

九、第三版新增趋势:数字化运维与OTA安全

9.1 数字孪生与预测性维护

ISO 26262第三版WD草案中引入了对数字孪生技术在运维阶段应用的讨论:

数字孪生在功能安全运维中的应用:

应用场景 技术实现 安全价值
**实时安全监控** 基于数字孪生的安全机制仿真 实时检测安全机制退化
**预测性维护** 基于运行数据的寿命预测模型 在安全件失效前主动更换
**OTA影响评估** 数字孪生中预验证OTA变更 在实车部署前发现安全问题
**故障复现** 数字孪生复现场故障场景 加速根因分析

9.2 V2X协同安全

第三版还关注了V2X通信对功能安全运维的影响:

  • 车辆可以通过V2X网络向其他车辆广播安全相关信息
  • 基础设施可以辅助检测车辆安全状态
  • 云端安全监控平台可以跨车队分析安全趋势

9.3 网络安全与功能安全的运维协同

根据ISO/SAE 21434与ISO 26262的协同要求,运维阶段需要同时考虑:

  1. 安全补丁管理:网络安全补丁不能影响功能安全机制
  2. 入侵检测与安全响应:检测到网络攻击时的安全功能保持
  3. 安全通信证书管理:V2X安全证书的吊销/更新不影响功能安全

十、常见陷阱与避坑指南

10.1 生产阶段的常见陷阱

陷阱 后果 正确做法
**安全参数抽检而非全检** 漏检可能让安全件带缺陷出厂 安全相关参数100%在线检测
**EOL测试时间压缩** 为提升产线UPH牺牲测试覆盖率 安全测试工站不能计入节拍
**允许安全件返修** 返修可能引入新的失效模式 安全件不合格直接报废
**追溯信息不完整** 召回时无法精确定位受影响批次 建立从物料到成品的完整追溯链
**忽视环境应力筛选(ESS)** 潜在缺陷在出厂后暴露 对安全件实施温度循环+振动筛选

10.2 运行阶段的常见陷阱

陷阱 后果 正确做法
**售后数据未按安全等级分类** 安全关键故障被当作普通故障处理 建立分级分类的快速响应机制
**OTA前不做安全评估** 安全机制被意外修改 OTA变更必须经过安全评审
**忽视"未触发DTC的隐性故障"** 安全机制静默失效 定期进行安全机制功能抽检
**HARA假设不随时间复核** 暴露度/可控性实际已变化但ASIL未更新 至少每年进行一次HARA复核

10.3 服务阶段的常见陷阱

陷阱 后果 正确做法
**使用非等效替换件** 安全度量不达标 严格执行替换件等效性验证
**维修后不做安全功能验证** 安全功能可能未恢复正常 维修后必须执行安全自检清单
**维修手册缺乏安全章节** 技师不了解安全特殊要求 维修手册必须包含安全操作专章

10.4 报废阶段的常见陷阱

陷阱 后果 正确做法
**报废安全件回流市场** 非安全件被当作安全件使用 物理破坏+电子吊销+标识销毁
**高压系统拆卸不规范** 人员触电风险 严格遵循高压安全拆卸SOP
**安全数据未备份就销毁** 丧失事故调查的关键证据 先备份后销毁,保留法规要求期限

十.五 Part 7工程工具链推荐

在实际实施ISO 26262-7的过程中,以下工具链可以显著提升工作效率:

生产阶段工具:

工具类型 推荐方案 核心功能
MES系统 SAP ME / 西门子Opcenter 生产过程数据采集与追溯
SPC工具 Minitab / InfinityQS 统计过程控制与分析
EOL测试 NI TestStand + LabVIEW 自动化产线末端测试
追溯系统 基于条码/RFID的追溯平台 全链路物料追溯

运行阶段工具:

工具类型 推荐方案 核心功能
故障管理 JIRA + 自定义安全插件 故障分类/追踪/闭环
数据分析 Python(akshare)+PowerBI 售后数据挖掘与可视化
OTA管理 AWS IoT / Azure IoT Hub OTA部署与回滚管理
数字孪生 ANSYS Twin Builder / MATLAB 运行状态实时仿真

服务与报废阶段工具:

工具类型 推荐方案 核心功能
维修手册 结构化XML(S1000D标准) 安全章节管理
备件管理 SAP PM / IBM Maximo 安全件替换件管理
数据销毁 Blancco / DBAN 安全数据擦除验证
合规管理 环保合规平台(RoHS/REACH) 报废处置合规

十一、审核与认证视角

11.1 TÜV审核中的常见问题

在功能安全认证审核中,Part 7相关的不符合项(Non-Conformity)通常集中在以下方面:

审核发现类型 严重程度 占比 典型描述
缺乏售后安全数据闭环流程 Major 25% 未建立S级故障的快速响应机制
生产COP程序不完善 Major 20% 安全参数检测未覆盖所有Safety Requirement
替换件管理缺失 Minor 15% 未建立安全件替换件等效性评估流程
OTA安全评估不充分 Major 20% OTA变更未经过安全影响评估即部署
报废处置规范缺失 Minor 10% 未建立安全件防回流机制
安全案例未持续维护 Minor 10% 安全案例停留在开发阶段,未随运行更新

11.2 审核准备Checklist

图9:ISO 26262-7审核准备Checklist


十二、总结与展望

12.1 核心要点总结

ISO 26262-7为功能安全的"最后一公里"提供了完整的框架指引。本文的核心要点如下:

阶段 核心关键词 工程核心要求
**生产** 一致性、防错、追溯 100%在线检测、安全件禁返修、完整追溯链
**运行** 闭环、反馈、OTA 分级响应、HARA复核、OTA安全评估
**服务** 等效性、验证、手册 替换件等效验证、维修后安全自检、安全章节
**报废** 数据安全、防回流 数据备份销毁、高压安全拆卸、防回流措施

12.2 Part 7与Part 1-6的追溯关系

ISO 26262-7并非孤立存在,它与Part 1-6有着紧密的双向追溯关系:

Part 7工作产品 追溯到 追溯来源
生产COP程序 技术安全需求(TSR) Part 4 Clause 5
EOL测试规范 安全需求(SSR + TSR) Part 4-6
售后故障报告 FMEA失效模式 Part 4-6 Clause 8
HARA复核报告 原始HARA报告 Part 3 Clause 7
OTA安全评估 功能安全概念 Part 3 Clause 9
替换件等效性报告 硬件安全度量 Part 5
安全案例更新 安全案例(原始版本) Part 2 Clause 7

核心原则:Part 7的每一个工作产品都必须能够追溯到Part 1-6的某个上游工作产品。如果无法追溯,说明安全管理链路存在断裂,需要在安全案例中补充说明。

12.3 未来展望

随着汽车产业向智能化、电动化、网联化方向发展,Part 7的重要性将持续提升:

  1. OTA将成为常态:软件定义汽车的趋势意味着OTA更新越来越频繁,每次更新都需要安全评估。据预测,到2028年,一辆智能汽车每年将接收10-20次OTA更新,其中30-50%涉及安全相关功能的调整。
  2. 数据驱动安全:海量道路数据将通过AI分析驱动安全改进。通过机器学习算法对百万辆车的运行数据进行分析,可以提前6-12个月预测潜在的安全风险。
  3. 数字孪生贯穿运维:从被动响应转向主动预测。每辆在途车辆都将拥有自己的数字孪生模型,实时监控安全机制的健康状态。
  4. 多标准协同:功能安全+网络安全+SOTIF在运维阶段的协同将成为新课题。特别是在OTA场景中,一次更新可能同时涉及三个标准的考量。
  5. 供应链安全延伸:随着SEooC概念的推广,芯片供应商需要在安全手册(Safety Manual)中包含更多关于生产一致性和替换件管理的要求。
  6. 监管合规趋严:各国监管机构(如NHTSA、UNECE WP.29)对售后安全的监管要求日趋严格,ISO 26262-7将成为进入全球市场的必备合规基础。

参考标准条款索引

  • ISO 26262-7:2018 Clause 4(适用性)
  • ISO 26262-7:2018 Clause 5(生产阶段要求)
  • ISO 26262-7:2018 Clause 6(运行阶段要求)
  • ISO 26262-7:2018 Clause 7(服务阶段要求)
  • ISO 26262-7:2018 Clause 8(报废阶段要求)
  • ISO 26262-1:2018 Clause 4(术语定义)
  • ISO 26262-2:2018 Clause 7(功能安全评估)
  • ISO 26262-3:2018 Clause 7-8(HARA)
  • ISO 26262 第三版WD草案(OTA与敏捷运维趋势)

12.4 Part 7实施成熟度模型

为了帮助企业评估和改进Part 7的实施水平,以下是功能安全运维成熟度模型:

成熟度等级 描述 典型特征
**Level 1 - 初始级** 被动响应 无正式COP流程;售后数据未分类;维修手册无安全章节
**Level 2 - 管理级** 建立基本流程 有COP但覆盖率不完整;有故障分类但无快速响应;有替换件清单但未分级
**Level 3 - 定义级** 标准化流程 完整的COP体系;分级故障响应机制;替换件等效性验证流程;维修手册安全章节
**Level 4 - 量化管理级** 数据驱动 SPC监控所有安全参数;KPI量化管理;HARA定期复核;安全案例持续维护
**Level 5 - 持续优化级** 预测性管理 数字孪生实时监控;AI驱动的故障预测;闭环数据驱动设计改进;跨标准协同管理

行业现状:根据TÜV SÜD 2025年的功能安全审核统计,全球OEM中约有60%处于Level 2-3水平,30%处于Level 3-4水平,仅约10%达到了Level 5。Tier1供应商的整体成熟度更低,约50%仍在Level 2以下。这也是为什么ISO 26262第三版特别强化了对Distributed Development(分布式开发)中供应商安全管理的要求。

12.5 给安全工程师的行动清单

如果你正在负责建立或完善Part 7的实施体系,以下是建议的行动清单:

短期行动(0-3个月):

  • 盘点现有的生产安全测试覆盖率,识别遗漏的安全参数
  • 建立售后故障的安全分级分类标准
  • 审查维修手册中是否包含安全操作章节
  • 制定安全件替换件的管理规范

中期行动(3-12个月):

  • 建立完整的追溯系统,实现从物料到成品的全链路追溯
  • 部署SPC系统,对安全关键工序进行统计监控
  • 建立OTA安全评估流程,与软件版本管理集成
  • 开发售后安全数据分析平台

长期行动(12个月+):

  • 引入数字孪生技术,实现运行状态的实时监控
  • 建立AI驱动的故障预测系统
  • 实现功能安全+网络安全+SOTIF的统一运维管理平台
  • 推动组织达到成熟度Level 4-5水平

*本文基于ISO 26262:2018标准原文编写,工程实践部分参考行业公开资料与通用工程经验。文中案例均为教学演示用途,不代表特定企业的实际事件。所有成本数据为行业估算范围,实际值因企业规模和车型定位而异。*


本文基于ISO 26262:2018标准原文编写,工程实践部分参考行业公开资料。文中案例均为教学演示用途,不代表特定企业的实际事件。

相关推荐
lularible2 小时前
HSM技术精讲(3.8):证书对象——数字世界的“身份证明“
安全·开源·嵌入式·汽车电子·hsm
叶修_A1 天前
FS-05 功能安全ISO26262之安全目标与功能安全概念深度解析
汽车电子·功能安全·iso26262·asil·hara
灵朔科技3 天前
当Hypervisor遇上车规MCU:软件定义安全分区的边界与可能
虚拟化·功能安全·hypervisor·车规mcu·asil-d·risc-v h扩展·混合关键性
齊家治國平天下4 天前
Google AAOS 中 SOME/IP 框架深度解析:从架构到实践
android·autosar·aaos·车载以太网·some/ip·sdv·vsomeip
叶修_A22 天前
AP-03 SOME/IP协议实战 - AUTOSAR自适应平台通信中间件深度解析
autosar·汽车电子·some/ip·ap·通信中间件
赞哥哥s24 天前
Autosar网络管理笔记-被动唤醒和主动请求时Nm报文发送的差异
autosar·网络管理·nm
硅农深芯25 天前
解读AUTOSAR:定义现代汽车电子的标准化架构
架构·汽车·autosar
lularible1 个月前
从沙子到车辙(7.4):《兰亭集序》的启示
开源·嵌入式·汽车电子
樱木的追风者1 个月前
AUTOSAR-Safety-01_02_Ram ECC是什么
功能安全