引言
功能安全不仅仅是一个开发和验证过程,它贯穿于产品的整个生命周期——从生产制造到投入使用,从日常维护到最终报废。
想象一个真实场景:某汽车厂商的电子稳定控制系统(ESP)在设计和开发阶段完全符合 ISO 26262 的要求,通过了所有的安全审核和评估。但是,在生产过程中,由于某批次的关键元器件存在焊接不良的问题,导致车辆在实际使用中频繁失效,造成了多起事故。
这个案例告诉我们:**即使设计和开发工作做得再好,如果生产过程控制不严,产品仍然可能存在安全隐患。**这正是 ISO 26262-7 生产和运行部分的核心使命。
生产和运行的目标和范围
生产和运行的核心活动
ISO 26262-7 定义了生产和运行的六个核心活动:
生产
- 生产规划
- 生产一致性(Production Conformity)
- 生产测试
- 质量控制
服务
- 维修和维护
- 软件更新
- 故障诊断
报废
- 报废流程
- 数据销毁
- 环保处理
运行监控
- 运行数据收集
- 故障统计分析
- 持续改进
变更管理
- 生产变更
- 服务变更
- 运行变更
事故处理
- 事故报告
- 事故调查
- 整改措施
生产和运行的输入和输出
输入
- 安全档案:来自开发和验证阶段
- 生产一致性计划(PCP):来自开发阶段
- 硬件生产文档:硬件设计文档
- 软件生产文档:软件设计文档
- 维护手册:来自开发阶段
输出
- 生产记录:生产过程中的所有记录
- 测试报告:生产测试报告
- 服务记录:维修和维护记录
- 运行监控报告:运行数据和分析报告
- 事故报告:事故调查报告
生产
生产规划
生产规划是确保生产过程符合功能安全要求的第一步。
生产规划的内容
生产流程设计
- 确定生产工艺
- 确定生产设备
- 确定生产人员
质量控制计划
- 确定质量控制点
- 确定检测方法
- 确定验收标准
生产一致性计划
- 确保生产的产品与设计一致
- 确保关键参数在规定范围内
- 确保安全机制有效
生产一致性(PCP)
生产一致性(Production Conformity) 是 ISO 26262-7 的核心概念,指的是确保生产的产品符合设计要求。
生产一致性的要求
关键特性识别
- 识别影响功能安全的关键特性
- 识别关键特性的参数范围
- 识别关键特性的测量方法
过程控制
- 控制生产过程的关键参数
- 控制生产环境(温度、湿度等)
- 控制生产人员的能力
产品验证
- 对生产的产品进行验证
- 确保产品符合设计要求
- 确保安全机制有效
案例:制动系统的生产一致性
关键特性识别:
| 关键特性 | 参数范围 | 测量方法 | 安全影响 |
|---|---|---|---|
| 压力传感器精度 | ±0.1 bar | 标准压力源测试 | 影响制动精度 |
| 阀门响应时间 | < 10 ms | 示波器测量 | 影响制动响应 |
| MCU 时钟精度 | ±50 ppm | 频率计测量 | 影响定时精度 |
| 看门狗超时时间 | 100 ms ± 5% | 示波器测量 | 影响故障检测 |
过程控制:
| 控制点 | 控制方法 | 控制范围 | 记录 |
|---|---|---|---|
| 焊接温度 | 温度控制器 | 250°C ± 10°C | 温度记录 |
| 焊接时间 | 时间控制器 | 5s ± 0.5s | 时间记录 |
| 清洗工艺 | 清洗机 | 清洗液浓度、温度 | 清洗记录 |
| 测试环境 | 环境测试箱 | 25°C ± 5°C | 环境记录 |
产品验证:
| 测试项 | 测试方法 | 验收标准 | 抽样比例 |
|---|---|---|---|
| 功能测试 | 自动测试台 | 通过所有测试用例 | 100% |
| 安全机制测试 | 故障注入测试 | 安全机制正常工作 | 10% |
| 可靠性测试 | 老化测试 | 24 小时无故障 | 5% |
| 标定测试 | 标定工具 | 标定参数在范围内 | 100% |
生产测试
生产测试是确保生产的产品符合设计要求的关键环节。
生产测试的类型
功能测试
- 测试产品的基本功能
- 测试产品的性能指标
安全机制测试
- 测试故障检测功能
- 测试故障容错功能
- 测试安全状态切换
可靠性测试
- 老化测试(Burn-in Test)
- 加速寿命测试
案例:制动系统的生产测试
功能测试用例:
| 测试用例 | 测试目的 | 测试步骤 | 预期结果 |
|---|---|---|---|
| TC-1 | 正常制动功能 | 施加踏板力,测量制动压力 | 制动压力与踏板力成正比 |
| TC-2 | 压力传感器测试 | 施加标准压力,测量输出 | 误差 < 0.1 bar |
| TC-3 | 阀门测试 | 施加阀门控制指令,测量响应 | 响应时间 < 10 ms |
| TC-4 | MCU 测试 | 运行测试程序,检查功能 | 通过所有测试用例 |
安全机制测试用例:
| 测试用例 | 测试目的 | 测试步骤 | 预期结果 |
|---|---|---|---|
| TC-5 | 看门狗测试 | 停止喂狗,等待超时 | 系统复位 |
| TC-6 | 压力传感器故障测试 | 断开压力传感器,模拟故障 | 检测到故障,进入安全状态 |
| TC-7 | 阀门故障测试 | 模拟阀门卡死,检测响应 | 检测到故障,进入安全状态 |
可靠性测试用例:
| 测试用例 | 测试目的 | 测试步骤 | 预期结果 |
|---|---|---|---|
| TC-8 | 老化测试 | 在高温环境下运行 24 小时 | 无故障 |
| TC-9 | 温度循环测试 | 在 -40°C 至 +85°C 之间循环 100 次 | 无故障 |
| TC-10 | 振动测试 | 在振动台上运行 8 小时 | 无故障 |
质量控制
质量控制是确保生产过程稳定和产品质量一致的关键环节。
质量控制的方法
统计过程控制(SPC)
- 控制图
- 过程能力指数(Cpk)
抽样检验
- AQL(接收质量限)
- LTPD(批允许不合格品率)
不合格品处理
- 不合格品识别
- 不合格品隔离
- 不合格品分析
- 不合格品处理
案例:生产过程能力分析
过程能力指数(Cpk):
$$ C_{pk} = \min\left(\frac{USL - \mu}{3\sigma}, \frac{\mu - LSL}{3\sigma}\right) $$
其中:
- $USL$:上规范限
- $LSL$:下规范限
- $\mu$:过程均值
- $\sigma$:过程标准差
压力传感器精度的过程能力分析:
假设:
- $USL = +0.1$ bar
- $LSL = -0.1$ bar
- $\mu = 0.02$ bar
- $\sigma = 0.02$ bar
计算: $$ C_{pk} = \min\left(\frac{0.1 - 0.02}{3 \times 0.02}, \frac{0.02 - (-0.1)}{3 \times 0.02}\right) $$ $$ C_{pk} = \min\left(\frac{0.08}{0.06}, \frac{0.12}{0.06}\right) $$ $$ C_{pk} = \min(1.33, 2.0) = 1.33 $$
结论:
- $C_{pk} = 1.33$,表示过程能力良好
- 通常要求 $C_{pk} \geq 1.33$
服务
维修和维护
维修和维护是确保产品在运行过程中保持功能安全的重要环节。
维修和维护的原则
- 安全性优先:维修和维护必须优先考虑安全性
- 文档化:所有维修和维护活动必须记录
- 可追溯性:维修和维护活动必须可追溯
- 人员资质:维修人员必须具备相应的资质
维修和维护的流程
故障诊断
- 使用诊断工具读取故障码
- 分析故障原因
- 确定维修方案
维修执行
- 按照维修手册执行维修
- 使用合格的备件
- 更新维修记录
维修验证
- 验证维修是否成功
- 验证安全机制是否正常
- 更新故障记录
案例:制动系统的维修流程
故障诊断:
| 故障码 | 故障描述 | 故障原因 | 维修方案 |
|---|---|---|---|
| C0011 | 压力传感器1故障 | 开路 | 更换压力传感器1 |
| C0012 | 压力传感器1故障 | 短路 | 更换压力传感器1 |
| C0021 | 阀门1故障 | 卡死 | 更换阀门1 |
| C0031 | MCU1故障 | 看门狗超时 | 检查MCU1,必要时更换 |
维修验证:
| 维修项 | 验证方法 | 验收标准 |
|---|---|---|
| 压力传感器更换 | 读取传感器数据 | 误差 < 0.1 bar |
| 阀门更换 | 阀门响应测试 | 响应时间 < 10 ms |
| MCU更换 | 运行测试程序 | 通过所有测试用例 |
软件更新
软件更新是修复软件缺陷、添加新功能的重要手段。
软件更新的原则
- 安全评估:软件更新前必须进行安全评估
- 兼容性评估:软件更新必须考虑与现有系统的兼容性
- 回退方案:软件更新必须有回退方案
- 文档记录:软件更新必须记录
软件更新的流程
需求分析
- 确定更新的需求
- 分析更新的影响
安全评估
- 评估更新对安全的影响
- 确定更新是否需要重新进行功能安全评估
更新实施
- 按照更新计划实施
- 更新安全档案
更新验证
- 验证更新是否成功
- 验证安全机制是否正常
案例:制动系统的软件更新
更新需求:
修复制动控制算法的一个 bug,提高制动响应速度。
安全评估:
| 评估项 | 评估结果 | 说明 |
|---|---|---|
| 对安全目标的影响 | 无影响 | 不影响安全目标 |
| 对安全机制的影响 | 无影响 | 不影响安全机制 |
| 对系统性能的影响 | 有改善 | 提高制动响应速度 |
| 是否需要重新评估 | 否 | 不需要重新进行功能安全评估 |
更新实施:
- 备份当前软件版本
- 安装新软件版本
- 运行测试程序,验证更新
- 更新安全档案
更新验证:
| 验证项 | 验证方法 | 验收标准 |
|---|---|---|
| 软件版本 | 读取版本号 | 版本号正确 |
| 功能测试 | 运行测试程序 | 通过所有测试用例 |
| 性能测试 | 测量响应时间 | 响应时间符合要求 |
报废
报废流程
报废是产品生命周期的最后一个环节,也需要考虑功能安全。
报废的考虑
- 数据销毁:确保敏感数据被安全销毁
- 环保处理:确保产品符合环保要求
- 安全隐患:确保报废过程不会造成安全隐患
报废的流程
数据销毁
- 备份必要数据
- 销毁敏感数据
- 记录数据销毁过程
环保处理
- 分类回收
- 有害物质处理
- 符合环保法规
安全隐患处理
- 电池安全处理
- 高压系统安全处理
- 记录安全隐患处理过程
案例:电动车BMS的报废流程
数据销毁:
| 数据类型 | 销毁方法 | 记录 |
|---|---|---|
| 用户数据 | 物理销毁 | 销毁记录 |
| 故障记录 | 物理销毁 | 销毁记录 |
| 生产数据 | 物理销毁 | 销毁记录 |
环保处理:
| 部件 | 处理方法 | 记录 |
|---|---|---|
| 电池模组 | 专业回收 | 回收记录 |
| PCB板 | 金属回收 | 回收记录 |
| 塑料件 | 塑料回收 | 回收记录 |
安全隐患处理:
| 隐患 | 处理方法 | 记录 |
|---|---|---|
| 高压电容 | 放电处理 | 放电记录 |
| 锂电池 | 防短路处理 | 处理记录 |
| 有害物质 | 专业处理 | 处理记录 |
运行监控
运行数据收集
运行监控是收集产品在运行过程中的数据,用于分析和改进。
运行数据的类型
故障数据
- 故障码
- 故障时间
- 故障频率
性能数据
- 系统性能指标
- 传感器数据
- 执行器数据
使用数据
- 使用时间
- 使用环境
- 使用模式
案例:制动系统的运行监控
故障数据收集:
| 故障码 | 故障描述 | 故障次数 | 故障频率 | 故障时间 |
|---|---|---|---|---|
| C0011 | 压力传感器1故障 | 156 | 0.001/1000km | 2025-03-15 |
| C0012 | 压力传感器1故障 | 89 | 0.0005/1000km | 2025-04-22 |
| C0021 | 阀门1故障 | 34 | 0.0002/1000km | 2025-05-10 |
性能数据收集:
| 性能指标 | 平均值 | 标准差 | 趋势 |
|---|---|---|---|
| 制动响应时间 | 85 ms | 10 ms | 稳定 |
| 压力传感器精度 | 0.05 bar | 0.02 bar | 稳定 |
| 阀门响应时间 | 8 ms | 1 ms | 稳定 |
使用数据收集:
| 使用参数 | 平均值 | 范围 | 趋势 |
|---|---|---|---|
| 日使用时间 | 2.5 小时 | 0.5-8 小时 | 稳定 |
| 日行驶里程 | 80 km | 10-300 km | 稳定 |
| 使用环境温度 | 25°C | -20°C 至 +45°C | 稳定 |
故障统计分析
故障统计分析是分析运行数据,识别故障模式,制定改进措施。
故障统计分析的方法
- 帕累托分析:识别主要故障模式
- 趋势分析:分析故障趋势
- 相关性分析:分析故障之间的相关性
案例:制动系统的故障统计分析
帕累托分析:
| 故障模式 | 故障次数 | 累计故障次数 | 累计百分比 |
|---|---|---|---|
| 压力传感器故障 | 245 | 245 | 60% |
| 阀门故障 | 89 | 334 | 82% |
| MCU故障 | 34 | 368 | 90% |
| 其他故障 | 41 | 409 | 100% |
结论:
- 压力传感器故障是最主要的故障模式,占总故障的 60%
- 应优先解决压力传感器故障问题
趋势分析:
| 月份 | 故障次数 | 趋势 |
|---|---|---|
| 1月 | 35 | 上升 |
| 2月 | 42 | 上升 |
| 3月 | 38 | 下降 |
| 4月 | 31 | 下降 |
| 5月 | 28 | 下降 |
结论:
- 故障次数呈下降趋势,说明改进措施有效
变更管理
生产变更
生产变更是指生产过程中的变更。
生产变更的类型
- 生产工艺变更
- 生产设备变更
- 生产人员变更
- 生产环境变更
生产变更的流程
- 变更申请
- 变更影响评估
- 变更审批
- 变更实施
- 变更验证
案例:生产工艺变更
变更申请:
- 变更内容:将焊接工艺从波峰焊改为回流焊
- 变更原因:提高焊接质量,降低不良率
- 变更影响:影响所有使用焊接工艺的产品
变更影响评估:
| 评估项 | 评估结果 | 说明 |
|---|---|---|
| 对产品质量的影响 | 有改善 | 降低不良率 |
| 对安全性的影响 | 无影响 | 不影响安全特性 |
| 对生产成本的影响 | 有降低 | 降低返修成本 |
| 是否需要重新评估 | 否 | 不需要重新进行功能安全评估 |
变更验证:
| 验证项 | 验证方法 | 验收标准 |
|---|---|---|
| 焊接质量 | 显微镜检查 | 焊点良好 |
| 功能测试 | 运行测试程序 | 通过所有测试用例 |
| 可靠性测试 | 老化测试 | 24小时无故障 |
服务变更
服务变更是指服务过程中的变更。
服务变更的类型
- 维修流程变更
- 维修手册变更
- 备件变更
- 维修工具变更
案例:维修手册变更
变更申请:
- 变更内容:更新压力传感器更换流程
- 变更原因:提高维修效率
- 变更影响:影响所有维修人员
变更影响评估:
| 评估项 | 评估结果 | 说明 |
|---|---|---|
| 对维修质量的影响 | 有改善 | 提高维修效率 |
| 对安全性的影响 | 无影响 | 不影响安全特性 |
| 对维修成本的影响 | 有降低 | 降低维修时间 |
运行变更
运行变更是指运行过程中的变更。
运行变更的类型
- 运行参数变更
- 运行环境变更
- 运行模式变更
案例:运行参数变更
变更申请:
- 变更内容:调整制动控制算法的参数
- 变更原因:提高制动性能
- 变更影响:影响所有车辆的制动性能
变更影响评估:
| 评估项 | 评估结果 | 说明 |
|---|---|---|
| 对制动性能的影响 | 有改善 | 提高制动响应速度 |
| 对安全性的影响 | 无影响 | 不影响安全特性 |
| 对用户体验的影响 | 有改善 | 提高制动体验 |
| 是否需要重新评估 | 否 | 不需要重新进行功能安全评估 |
事故处理
事故报告
事故报告是记录事故信息,便于后续分析和改进。
事故报告的内容
事故基本信息
- 事故时间、地点
- 涉及的车辆
- 涉及的人员
事故描述
- 事故经过
- 事故原因
- 事故后果
初步分析
- 初步故障分析
- 初步责任分析
案例:制动失效事故报告
事故基本信息:
| 项目 | 内容 |
|---|---|
| 事故时间 | 2025年6月15日 10:30 |
| 事故地点 | XX高速公路 |
| 涉及车辆 | XX型电动车 |
| 涉及人员 | 驾驶员1人,轻微伤 |
事故描述:
车辆在高速公路上以100km/h的速度行驶时,驾驶员紧急制动,但制动系统失效,导致车辆追尾。
初步分析:
| 分析项 | 初步结论 |
|---|---|
| 故障原因 | 压力传感器故障 |
| 责任分析 | 压力传感器质量问题 |
事故调查
事故调查是深入分析事故原因,制定整改措施。
事故调查的方法
- 现场勘查
- 数据采集
- 实验室分析
- 专家评审
案例:制动失效事故调查
现场勘查:
- 勘查时间:2025年6月16日
- 勘查地点:事故现场
- 勘查内容:车辆状况、道路状况、环境状况
数据采集:
| 数据类型 | 采集方法 | 采集结果 |
|---|---|---|
| 制动系统数据 | 读取故障码 | C0011:压力传感器1故障 |
| 压力传感器数据 | 实验室测试 | 传感器开路 |
| 生产记录 | 查询生产记录 | 批次:2025-05-001 |
实验室分析:
| 分析项 | 分析方法 | 分析结果 |
|---|---|---|
| 压力传感器 | 开路测试 | 传感器开路 |
| 焊接质量 | 显微镜检查 | 焊点不良 |
| 故障原因 | 根本原因分析 | 焊接不良导致传感器开路 |
整改措施
整改措施是根据事故调查结果,制定和实施改进措施。
整改措施的制定
- 短期措施:立即实施,防止事故再次发生
- 中期措施:在短期内实施,改进产品和流程
- 长期措施:长期实施,从根本上解决问题
案例:制动失效事故整改措施
短期措施:
| 措施 | 实施时间 | 责任人 | 状态 |
|---|---|---|---|
| 召回批次2025-05-001的产品 | 2025年6月20日 | 质量经理 | 已完成 |
| 加强压力传感器进货检验 | 2025年6月18日 | 采购经理 | 已完成 |
| 更新生产焊接工艺 | 2025年6月25日 | 生产经理 | 进行中 |
中期措施:
| 措施 | 实施时间 | 责任人 | 状态 |
|---|---|---|---|
| 优化生产质量控制流程 | 2025年7月 | 质量经理 | 计划中 |
| 建立供应商质量评估体系 | 2025年7月 | 采购经理 | 计划中 |
| 加强生产人员培训 | 2025年7月 | 培训经理 | 计划中 |
长期措施:
| 措施 | 实施时间 | 责任人 | 状态 |
|---|---|---|---|
| 改进压力传感器设计 | 2025年Q4 | 研发经理 | 计划中 |
| 建立完善的追溯体系 | 2025年Q4 | IT经理 | 计划中 |
| 建立完善的运行监控体系 | 2025年Q4 | 运营经理 | 计划中 |
常见错误和最佳实践
常见错误
生产过程控制不严
- 忽视生产一致性
- 质量控制不到位
- 测试不充分
服务不规范
- 维修记录不完整
- 使用不合格备件
- 维修人员资质不足
运行监控不到位
- 数据收集不完整
- 故障分析不深入
- 改进措施不及时
事故处理不当
- 事故报告不及时
- 事故调查不深入
- 整改措施不彻底
最佳实践
建立完善的质量管理体系
- ISO 9001
- IATF 16949
- ISO 26262
实施统计过程控制(SPC)
- 使用控制图监控过程
- 计算过程能力指数(Cpk)
- 持续改进过程
建立完善的追溯体系
- 追溯生产批次
- 追溯元器件批次
- 追溯维修记录
建立完善的运行监控体系
- 收集运行数据
- 分析故障模式
- 实施改进措施
建立完善的事故处理流程
- 及时报告事故
- 深入调查事故
- 彻底整改措施
总结
ISO 26262-7 生产和运行部分确保了产品在整个生命周期中的功能安全。通过本文的深入解读和丰富的案例实践,我们掌握了:
生产:
- 生产规划
- 生产一致性(PCP)
- 生产测试
- 质量控制
服务:
- 维修和维护
- 软件更新
- 故障诊断
报废:
- 报废流程
- 数据销毁
- 环保处理
运行监控:
- 运行数据收集
- 故障统计分析
变更管理:
- 生产变更
- 服务变更
- 运行变更
事故处理:
- 事故报告
- 事故调查
- 整改措施
核心要点:
- 功能安全贯穿于产品的整个生命周期
- 生产一致性是确保产品安全的关键
- 服务和维修必须规范,确保安全机制有效
- 运行监控和事故分析是持续改进的重要手段
- 变更管理必须严格控制,确保不会引入新的风险
在下一篇文章中,我们将深入解读 ISO 26262-8 支持过程部分,学习配置管理、文档管理等支持活动。