夜雨聆风
一人成军_从零搭建基于 OpenClaw 的功能安全 Agent(10)FMEA&FMEA-MSR完整工作流&规则清单
FMEA & FMEA-MSR 完整工作流
FMEA & FMEA-MSR 完整规则清单(R1~R11)
基于 ISO 26262 / AIAG & VDA FMEA Handbook / P016 Cluster 实战经验整理
R1~R11 速查
|
规则 |
约束内容 |
关键点 |
引用文件 |
|
R1 范围 |
全部要素都要分析,含 QM 元件 |
QM 故障可传播到安全链路 |
— |
|
R2 接口方向 |
Cat1-3,5-7 仅输出;Cat4 双向 TX+RX |
TX=RX 数量校验 |
— |
|
R3 FM 来源 |
P1→安全手册;P2→标准化源 |
同类别 FM 集强制一致 |
interface-failure-mode-sources.md |
|
R4 合并模板 |
FMEA+MSR 同行,DC 在 MSR 段 |
不可 MSR 独立成章 |
— |
|
R5 严重度 S |
FSR→违背类型→Table D1 五级映射 |
禁止二值化 S=10 |
AIAG&VDA Handbook |
|
R6 诊断覆盖率 DC |
文档值优先,否则 Annex D 默认 |
必须标注来源 |
ISO 26262-5 Annex D |
|
R7 Effect 终点 |
追踪到 SG 终点 + [SG:xxx] 引用 |
不可停在中间元件 |
— |
|
R8 Cause 三段式 |
输出端IC / 传递链路 / 接收端IC |
系统级锁定 + 物理一致性 |
FMEA_Cause_Lookup_Table.md |
|
R9 Effect 四级链 |
L1→L5 逐级推导不跳层 |
3-5 个箭头 |
FMEA_Effect_Determination_Charter.md |
|
R10 TSR 机制绑定 |
MSR 仅用 TSR 已声明机制 |
无 TSR→DC=N/A |
TSR_{project}.md |
|
R11 发生度 O |
Table D2 判定,车规IC→O=3-4 |
不可凭经验给分 |
AIAG&VDA Handbook |
逐条详解
R1 — 范围完整性
架构中全部要素都要分析,包括 QM 元件。QM 元件故障同样能传播到安全链路,不可跳过。Engineer 跳过 QM 元件 → VR 直接判定范围不完整。
R2 — 接口方向
Cat 1–3、5–7:仅分析输出方向,排除输入接口(输入已在源端分析过,重复分析导致范围爆炸)。
Cat 4(Communication — I2C/SPI/CAN 等):强制双向 TX+RX,两端各占一行独立分析。ISO 26262-11 Table 30 明确列出 COM_TX_FM + COM_RX_FM。B.1a 提交前 grep 校验 Cat4 TX 条目数 = RX 条目数。
R3 — FM 来源合法性
P1 元件(有安全手册的 IC):FM 从安全手册取。手册只描述检测机制未列 FM 的,从接口功能推导 FM,但 Detection 列引用手册中的机制。
P2 元件(无安全手册):FM 从标准化源取。通信外设看 Table 30,模拟/电源/振荡器看 Table 36,GPIO/PWM 用 HAZOP guide words。
同类别所有 P2 接口必须用完全相同的 FM 集。不适用也显式标注 N/A + 理由。例:Cat 2 的 18 个 GPIO 接口,每个都必须含 6 个 HAZOP words。
R4 — 合并模板
FMEA 和 MSR 是同一张表的不同列段,不可写成独立章节。
|
列段 |
列号 |
列名 |
|
FMEA 段 |
1–9 |
FMEA# | IF | Effect | S | Mode | Cause | Prevention | O | D | AP |
|
MSR 段 |
10–17 |
MSR# | Monitoring | Response | Mitigated Effect | DC | F | M | AP |
DC(Diagnostic Coverage)属于 MSR 段,在 Mitigated Effect 之后,不在 FMEA 段。旧格式中 DC 在 O 和 D 之间是错误的。
R5 — 严重度 S
S 值依据 FSR → 违背类型 → AIAG & VDA Handbook Table D1 五级映射,由 Effect 链终点后果判定。禁止二值化”违背 SG→S=10″。
|
S |
违背类型 |
典型场景 |
|
10 |
信息错误 |
LVDS 数据损坏 → 图标显示错误 → [SG: xxx violated] |
|
8 |
信息丧失 |
电源掉电 → 屏幕全黑 → [SG: xxx violated] |
|
6 |
诊断丧失 |
GPIO 诊断信号失效 → 故障无法检测 |
|
5 |
诊断降级 |
诊断覆盖率下降 → 部分故障漏检 |
|
4 |
无安全影响 |
QM 功能受影响,不违背任何 SG |
B.1a 阶段不分配接口级 S 值。S 在 B.2 阶段按每条 FM 的 Effect 链终点后果匹配类型后分配,同一接口不同 FM 的 S 可以不同。
R6 — 诊断覆盖率 DC
每个 DC 值必须标注来源:
·P1 元件:标注文档名 + 章节(如 NXP S32K312 Safety Manual §3.4.2)
·P2 元件:标注 Annex D 表格号(如 ISO 26262-5 Annex D, Table D.4 — E2E Communication Protection)
·无安全手册覆盖 → 标记“Annex D 默认值,待确认“
R7 — Effect 终点
R7a:Effect 必须追踪到安全目标违背或功能失效终点,不可停在中间元件。
R7b:Effect 末尾必须显式引用 [SG: xxx violated] / [not violated] / [待确认]。无 SG 引用 → FAIL。
R8 — Cause 三段式编号
每条 Cause 同一列三段式编号,锁定系统级,不涉及 IC 内部电路(留给硬件 FMEDA):
1. 输出端IC 故障:[元件名] 故障 — [功能表现]2. 传递链路:[链路类型] 异常 — [功能表现]3. 接收端IC 故障:[元件名] 故障 — [功能表现]
|
子规则 |
约束 |
|
R8a |
同 FM 同 Cause,从 Lookup Table 取模板 |
|
R8b |
P1 例外,安全手册替换对应段 |
|
R8c |
系统级锁死 — IC 故障仅功能描述,禁止内部子电路术语 |
|
R8d |
通信双向 — Cat 4 TX+RX 各一行,独立三段式 |
|
R8e |
无关段省略 — 不涉及的段标 — |
|
R8f |
传递链路必须与 FM 物理逻辑一致(常高→对VDD短路;丧失→开路) |
禁止出现的 IC 内部术语
电容、电阻、晶体管、寄存器、焊盘、SEU、FIFO、PLL、晶振、采样保持、调整管、移位寄存器、锁存器、反馈电阻、基准电压源、SAR、比较器阈值、ESR、PGA、缓冲器、运算放大器、Vos。
正确写法:MCU GPIO 故障 — 无输出信号(不写 MCU GPIO 输出驱动管开路)。
R9 — Effect 四级推导链
每条 Effect 按四级结构逐级推导,3–5 个箭头(→):
L1: [FM 表现] → L2: [局部失效影响] → L3: [系统级功能影响] → L4: [驾驶员/车辆影响] → L5: [SG 判定]
|
子规则 |
约束 |
示例 |
|
R9a |
起点固定 — 以 B.1a 确认的 FM 为起点 |
禁止改判 FM 名称或方向 |
|
R9b |
逐级推导不跳层 |
禁止“3V3 过压 → 无安全图标“ |
|
R9c |
元件名具体化 |
用 MCU/OSD IC 替代”下游 IC” |
|
R9d |
链路方向一致 |
追踪方向 = B.1a 确认的信号方向 |
|
R9e |
SG 判定三态 |
violated / not violated / 待确认 |
|
R9f |
无影响也需完整链 |
不得简写“无影响“,必须给出因果链 |
R10 — TSR 机制绑定
MSR 列只能使用 TSR 已声明的安全机制。TSR 必须在 B.2 分派前建立。
无 TSR 覆盖的 FM:DC=N/A, D=10, M=10。MSR 机制标注 [推荐新增— 无 TSR 对应机制]。
CR 检查:grep FMEA 中所有 DC 值,每个非 N/A 的 DC 可溯源到 TSR ID。
R11 — 发生度 O
按 AIAG & VDA Handbook Table D2 判定。车规级 IC 统一O=3–4。不可凭经验随意给分。
B.1a 接口分类规则
|
规则 |
内容 |
|
分类范围 |
扫描架构所有要素的输出和通信接口 |
|
Cat 1–7 |
Power / GPIO / Analog / Communication / PWM / Image Stream / Oscillator |
|
P1/P2 判定 |
P1 = 有安全手册的 IC,P2 = 无安全手册的元件 |
|
功能描述 |
信号名自描述的简写,有歧义的必须完整描述 |
|
Cat 4 双向 |
TX+RX 各一行,提交前 grep 校验数量相等 |
|
暂停确认 |
分类后暂停,用户确认后才进 B.2 |
|
不做推导 |
不做 Effect 推导、不分配 S 值、不做影响链路预判 |
|
不确定就问 |
方向/Cat/归属不确定的逐条列出交用户裁决,不瞎猜 |
活动卡三角色分工
|
角色 |
职责 |
不可跨越 |
|
Engineer |
执行 B.1a 分类 + B.2 全量分析,唯一产出分析内容 |
— |
|
Manager |
VR 技术审查,对照 R1~R11 逐项核查,输出 ✅/⚠️/❌ |
不修改 Engineer 产出 |
|
Head |
调度 + CR 认可评审,不执行具体活动,不改任何产出 |
发现错误→列不符合项→派回 Engineer |
修改回环铁律:每次修改必须重走 Engineer → Manager VR → Head CR 全链路,不可跳过任何环节。
关键参考文件
|
文件 |
用途 |
B.1a |
B.2 |
|
interface-failure-mode-sources.md |
7 类接口 FM 基线 |
✅ 查 FM |
✅ 查 FM |
|
FMEA_Cause_Lookup_Table.md |
58 条 Cause 三段式模板 |
— |
✅ 查 Cause |
|
FMEA_Effect_Determination_Charter.md |
四级 Effect 链模板 |
— |
✅ 查 Effect |
|
TSR_{project}.md |
技术安全需求(安全机制声明) |
— |
✅ 查 MSR 机制 |
|
AIAG&VDA FMEA Handbook.md |
DFMEA Ch.2 + FMEA-MSR Ch.4 |
— |
✅ 方法论参考 |
|
iso-26262-5.md |
Annex D — DC 默认值 |
— |
✅ 查 DC 依据 |
|
iso-26262-11.md |
Table 30/36 — FM 来源 |
✅ 查 FM |
✅ 查 FM |
────────────────────────────────────────
© 2026 本文档内容受知识产权保护,未经作者许可,严禁以任何形式转载、复制或用于商业用途。