跨页数值矛盾候选 — 2026-06-27

导读

自动扫描所有 topic 页提取 (概念 + 数值 + 单位)，跨页同概念数值跨度 ≥ 5× 视为候选。需要人工复核——很多情况是不同工况下合法的差异：Si vs SiC、 25 ℃ vs 150 ℃、不同 ASIL 等级、不同电压等级。

处理原则：看 sentence 字面。如果是装置/器件差异，加 cross-ref 让两页互相指认即可（不算矛盾）；如果是同一 concept 同一条件下不同页给出不同数字，属真实矛盾需要修正。

候选数：4

BV_DSS — 跨页幅度 1545.5×（基单位 V）

页	表达	句子（截断）
`topic-igbt-module-datasheet.md`	=1.1 V	电压电流额定的链式约束

1.1 VCES 不是工作电压

VCES(Collector-Emitter Voltage)是绝对最大不可击穿电压——这是芯片本征雪崩耐受。 | | topic-desat-protection.md | =7.0 V | 4 个参数互相约束,典型 driver 给出的 default 值已经平衡好,要改必算回 SCSOA 余量:

∥ 参数 ∥ 典型值 ∥ 选型边界 ∥ ∥---∥---∥---∥ ∥ V_DESAT 阈值 ∥ 9 V(Si IGBT) / 5-7 V(SiC MOSFET) ∥ VDS / VCE 上限要小于 BVDS | | topic-mosfet-avalanche.md | ~10.0 V | ### 5.1 BV_DSS vs ID 线性关系揭示 Tj 演化

Fig 8 显示 700 V 器件的 BV_DSS 随 ID 几乎线性变化(线性电阻 ~10 V/A 量级),且 BV_DSS 随 T 正温度系数(每升 100 K 增 ~5 %)。 | | topic-automotive-input-transient-protection-deep.md | =35.0 V | 现代车的发电机内部用 avalanche(雪崩)整流二极管,有明确的反向击穿电压,把抛负载在源头钳到 35V——这叫集中式抑制,对应 ISO 16750-2 的 Test B;老车或无此功能时母线裸冲到 101V——分布式抑制,对应 Test A,模块端必须独自吞下发电机全部能量。 | | topic-automotive-input-transient-protection-deep.md | =35.0 V | 后果是——如果模块端用一颗击穿电压低于 35V 的 shunt TVS 去保护,这颗 TVS 会先于发电机的内部钳位导通,于是被迫吞下发电机的全部能量,发电机的内部钳位形同虚设。 | | topic-load-dump-deep.md | =44.4 V | TVS (Transient Voltage Suppressor) 设计

TVS 是第一道防线:

6.1 选型

TVS 选型的工程特点 + 应用场景:

反向工作电压 Vrwm (standoff):40V(略高于 35V clamp,留 margin);击穿电压 Vbr ≈ **44.4V | | topic-reverse-polarity-protection-deep.md | ≥70.0 V | 反接保护与 Load Dump 关系

反接 + Load Dump 联合考虑:

N-MOS BVdss(击穿电压)必 ≥ 70V (考虑 87V load dump,有 TVS 后剩 35V × 2 margin)
TVS 在 N-MOS 后(Vbat 反接时 TVS 不导通)
详见 [topi | | topic-reverse-polarity-protection-deep.md | ≥70.0 V | 反接保护与 Load Dump 关系

反接 + Load Dump 联合考虑:

N-MOS BVdss(击穿电压)必 ≥ 70V (考虑 87V load dump,有 TVS 后剩 35V × 2 margin)
TVS 在 N-MOS 后(Vbat 反接时 TVS 不导通)
详见 [topi | | topic-protection-devices.md | =90.0 V | 关键特性：
能量处理：> 10 kJ（远大于 MOV）
响应时间：μs 级（慢）
漏电流：pA 级（最低）
电容：< 1 pF（几乎不影响信号）

典型规格（Bourns 2036 系列）：

击穿电压：90 V ± 20%
峰值电流：1 | | topic-ti-lm5180-wide-vin-deep.md | =100.0 V | ### 3.4 关键公式总览(KaTeX)

三个公式贯穿整个 LM5180-Q1 设计闭环 — VSW peak 决定 IC 选不选得过(BVDSS 100V 硬约束)、RSET 决定 fsw 工作点、V_BV_zener 决定 clamp 不被烧穿;Tier-1 schematic review 前必逐条算 | | topic-ti-lm5180-wide-vin-deep.md | >100.0 V | 5 大量产陷阱

ingest 自 TI datasheet + TIDA-020015 design guide + 实际项目经验合成,前 3 条是 datasheet 应用 FAQ Top reported:

∥ # ∥ 坑 ∥ 真实后果 ∥ 规避 ∥ ∥---∥---∥---∥---∥ ∥ 1 ∥ 变压 | | topic-mosfet-avalanche.md | =700.0 V | ### 5.1 BV_DSS vs ID 线性关系揭示 Tj 演化

Fig 8 显示 700 V 器件的 BV_DSS 随 ID 几乎线性变化(线性电阻 ~10 V/A 量级),且 BV_DSS 随 T 正温度系数(每升 100 K 增 ~5 %)。 | | topic-mosfet-avalanche.md | =700.0 V | ### 5.1 BV_DSS vs ID 线性关系揭示 Tj 演化

Fig 8 显示 700 V 器件的 BV_DSS 随 ID 几乎线性变化(线性电阻 ~10 V/A 量级),且 BV_DSS 随 T 正温度系数(每升 100 K 增 ~5 %)。 | | topic-gate-driver-protection-chain.md | =1700.0 V | ④ Soft Turn-Off / Two-Level Turn-Off

短路状态下,如果直接快速关断: $d i / d t$ 经 stray inductance $L s$ 产生反向击穿电压 $V d s = V d c + L s \cdot d i / d t$ ,SiC 突破 1700V 击穿 → 二次烧 die。 |

PMHF — 跨页幅度 60.0×（基单位 FIT）

页	表达	句子（截断）
`topic-lockstep-core-deep.md`	=2.0 FIT	为什么 ASIL D 必须 lockstep

ASIL D 物理约束推导:

目标:PMHF ≤ 10 FIT (Probabilistic Metric for HW Failures)
单核 SEU FIT:典型 28nm CMOS ≈ 200-500 FIT (alpha + cosmi | | topic-lockstep-core-deep.md | =2.0 FIT | 为什么 ASIL D 必须 lockstep

ASIL D 物理约束推导:

目标:PMHF ≤ 10 FIT (Probabilistic Metric for HW Failures)
单核 SEU FIT:典型 28nm CMOS ≈ 200-500 FIT (alpha + cosmi | | topic-fit-fmeda-calculation.md | =2.4 FIT | ### 8.5 改进路径

从上面数值看,要达到 ASIL D 目标:

降 RF:DC_SPF 95% → 98% (添加冗余 ADC + 输入 plausibility),让 RF 从 1 → 0.4 FIT
降 latent:DC_LF 75% → 92%(把周期自测从 power-on | | topic-pmhf-quantification-deep.md | =3.4 FIT | PMHF ≈ 3.4 + ~0(双点) ≈ 3.4 FIT < 10 FIT ✓。 | | topic-driver-ic-fmeda-worked-deep.md | ≈4.5 FIT | ### 3.4 LFM 与 PMHF

LFM 主要来自 ⑥ CLAMP 失效(25% FIT,DC 25%)—— ⑤ 隔离障是 detected SPF(在线 99%),不计 latent:

λ_MPF, latent = 60 × 0.25 × (1-0.25) ≈ 11.3 FIT(⑤ 隔离障已作 | | topic-safety-case.md | =7.3 FIT | >

Strategy: Decompos…

Strategy: Decompose argument by 3 failure categories(per ISO 26262-9 Clause 9):

Random HW failures → FMEDA-based quantitative argument

Syste | | topic-lfdt-deep.md | ≈8.0 FIT | 实战 — Aurix TC397 LFM 计算

Aurix TC397 (典型 EV 主驱 ASIL D MCU) safety manual 列:

Total FIT: ~150 FIT
SPF: 5 FIT (after lockstep)
Residual: 3 FIT (after CCC)
| | topic-lfdt-deep.md | =8.0 FIT | 主驱 ASIL D:典型 LFM 95%,PMHF 8 FIT。 | | topic-adi-adbms6830-bms-afe-deep.md | <10.0 FIT | L4 用 lock-step MCU + FCCU + SBC 三件套把决策路径也做成冗余:
lock-step core(S32K344 / TC397)— 两 core 同步执行比对
FCCU 故障收集 — NFAULT → ERROR_PIN + 软件故障源汇总
**SBC / sa | | topic-asil-d-case-studies.md | <10.0 FIT | ## 学习目标

读完本页后，你应该能够：

说出 ASIL D 端到端实现的 8 步流程（Item Definition → HARA → SG → FSC → TSC → HSI → FMEDA → Safety Case）
对扭矩安全和 HV no thermal incident 两类 SG 各 | | topic-asil-decomposition-deep.md | <10.0 FIT | EV 主驱 ASIL D 主流方案是规则 ③:主 MCU 双核 lockstep (B(D)) + 独立安全 MCU + SBC + 硬件 STO 通道 (B(D)),合起来满足 ASIL D 完整性 + SPFM ≥ 99% + LFM ≥ 90% + PMHF < 10 FIT。 | | topic-asil-decomposition-deep.md | <10.0 FIT | 这就是 ISO 26262 §5 允许此种拆分的法律基础:
两通道独立(物理 + 共因 + 软件)
DFA 报告 6+ 项独立性确认
总 SPFM ≥ 99% + LFM ≥ 90% + PMHF < 10 FIT 满足
满足 100ms FTTI(典型 5-20ms 检测 + 20ms STO 触发 | | topic-current-sensing-safety.md | <10.0 FIT | ∥ 标准位置 ∥ 内容 ∥ 用途 ∥ ∥---∥---∥---∥ ∥ ISO 26262-5 Annex D, Table D.1 ~ D.14 ∥ 列每种 SM 对应的 fault model 与 DC 等级（Low/Med/High） ∥ FMEDA 填诊断覆盖率 ∥ ∥ **D.2.1.4 "Range | | topic-current-sensing-safety.md | <10.0 FIT | ∥ 标准位置 ∥ 内容 ∥ 用途 ∥ ∥---∥---∥---∥ ∥ ISO 26262-5 Annex D, Table D.1 ~ D.14 ∥ 列每种 SM 对应的 fault model 与 DC 等级（Low/Med/High） ∥ FMEDA 填诊断覆盖率 ∥ ∥ **D.2.1.4 "Range | | topic-dfa-fmeda-fta.md | ≤10.0 FIT | ## 学习目标

读完本页后,你应该能够:

区分 DFA / FMEDA / FTA 各自回答的核心问题——独立性 vs 随机硬件失效覆盖 vs 危险顶事件路径
说出三者在 ISO 26262 V 模型 / 安全开发各阶段的主要使用窗口
写出 DFA 五步流程 + 核心检查项(共因 / 共 | | topic-dfa-fmeda-fta.md | ≤10.0 FIT | - 顶事件定义过大或过模糊
逻辑层层混乱,系统边界不清
设计变更后故障树未更新

核心要点

三者回答不同问题:DFA 看独立性 / FMEDA 看随机硬件失效覆盖 / FTA 看顶事件路径,互补不替代
在 V 模型里位置不同:DFA 偏概念 + 架构早期、FME | | topic-driver-ic-safety-manual-reading-deep.md | <10.0 FIT | ### Check 2 — SPFM / LFM 数值

第 ⑥ 章 FMEDA Quantitative Results 必须有三项核心数字:

SPFM(Single-Point Fault Metric): ≥ 99% for ASIL D, ≥ 90% for ASIL B
LFM(Latent | | topic-ev-ecu-fmeda-integration-deep.md | =10.0 FIT | ### 1.2 ASIL D 三阈

ISO 26262-5 Annex E 规定:

SPFM ≥ 99% — 单点 + 残余故障覆盖率
LFM ≥ 90% — 潜在故障覆盖率
PMHF ≤ $1 0^{- 8}$ /h(即 10 FIT) — 全寿命概率

3 项任一不过 → I3 | | topic-ev-ecu-fmeda-integration-deep.md | <10.0 FIT | - 把主驱拆 双链平行(典型:dual-3-phase / 双绕组 / 双 inverter),两条充分独立**(物理 + 共因 + 软件)

每条通道按 ASIL B 开发(工具链 / 验证 / 评审按 B 做,省单通道成本),但括号里 SG 仍是 D
**合并架构仍必须满足 ASI | | topic-ev-regulations.md | <10.0 FIT | EV 关键功能的典型 ASIL 分配：

∥ 功能 ∥ ASIL ∥ PMHF 目标 ∥ ∥---∥---∥---∥ ∥ 整车扭矩控制 ∥ D ∥ < 10 FIT ∥ ∥ HV 主接触器控制 ∥ D ∥ < 10 FIT ∥ ∥ HV 隔离监测（IMD） ∥ C ∥ < 100 FIT ∥ ∥ BMS 单体监测 ∥ | | topic-failure-types.md | <10.0 FIT | ΔT_j 减半 → Coffin–Manson 寿命 ×32（见热管理）

筛选：HTOL + Burn-in 清除婴儿期失效

目标：通过冗余和在线诊断把危险失效的概率降到目标以下（如 ASIL D 要求 PMHF < | | topic-fmeda-deep.md | <10.0 FIT | --- tags:

主线/功能安全
层/L1 aliases:
FMEDA
SPFM
LFM
PMHF
diagnostic coverage
failure rate
ISO 26262 Part 5
λ FIT created: 202 | | topic-fmeda-deep.md | <10.0 FIT | ### 5.2 ASIL D 阈值

PMHF < 10 FIT (= 10^-8 / h) — 即 100M 小时内只允许 1 次 SG 违反。 | | topic-fmeda-deep.md | >10.0 FIT | 例:SiC die 200 FIT × 6 个 = 1200 FIT 总 dangerous,即使 99% SPFM → $λ_{s p f}$ = 12 FIT > 10 FIT → 过不了 PMHF。 | | topic-fmeda-deep.md | <10.0 FIT | - SPFM ≥ 99% / LFM ≥ 90% / PMHF < 10 FIT 是 ASIL D 三阈值,全过才合规。 | | topic-fsar-deep.md | ≤10.0 FIT | ④ Hardware 安全分析

HW 分析 3 件:

5.1 FMEDA

FMEDA 的工程特点 + 应用场景:

SPFM / LFM / PMHF 计算结果
必带 FIT 库来源(SN 29500 / IEC 62380 / 供应商提供)
ASIL D 目标:SPFM ≥ 99% / LF | | topic-fta-deep.md | ≤10.0 FIT | FTA 量化分析

FTA 量化输出:

top event 概率 Ptop(无量纲)
top event 失效率 λtop(单位 1/h 或 FIT,由 basic event 失效率沿门传播得到)
每个 MCS 概率 PMCS
importance ranking
PMHF 对照(与 FMEDA | | topic-fta-deep.md | <10.0 FIT | FTA 量化分析

FTA 量化输出:

top event 概率 Ptop(无量纲)
top event 失效率 λtop(单位 1/h 或 FIT,由 basic event 失效率沿门传播得到)
每个 MCS 概率 PMCS
importance ranking
PMHF 对照(与 FMEDA | | topic-functional-safety-engineer-guide.md | ≤10.0 FIT | ③ FMEDA + FTA + LFDT — 量化分析

FMEDA + FTA 互补:

4.1 核心概念

FMEDA + FTA + LFDT 核心概念:

FMEDA bottom-up → SPFM / LFM / PMHF
FTA top-down → Minimal Cut Set
L | | topic-functional-safety.md | <10.0 FIT | ∥ ASIL ∥ SPFM ∥ LFM ∥ PMHF ∥ ∥---∥---∥---∥---∥ ∥ D ∥ ≥ 99 % ∥ ≥ 90 % ∥ < 10 FIT ∥ ∥ C ∥ ≥ 97 % ∥ ≥ 80 % ∥ < 100 FIT ∥ ∥ B ∥ ≥ 90 % ∥ ≥ 60 % ∥ < 100 FIT ∥

| | topic-functional-safety.md | <10.0 FIT | - 硬件度量：ASIL D 要求 SPFM ≥ 99 %、LFM ≥ 90 %、PMHF < 10 FIT——三项缺一不可。 | | topic-hara-worked-example-deep.md | ≤10.0 FIT | ASIL D = 最高安全等级,对应:

SPFM ≥ 99% / LFM ≥ 90% / PMHF ≤ 10 FIT
HW 必须 ISO 26262 cert
SW 必须 MISRA C + 完整单元测试 + Coverage ≥ 90%
项目周期 18-24 个月

8. |

| topic-hv-inverter-iso26262-concept.md | ≤10.0 FIT | 硬件 FMEDA(Part 5)

把 TSC 里的 safety mechanism 算成 FMEDA 数字:

$λ_{t o t a l}$ :元件总失效率(FIT)
$λ_{s a f e}$ :安全失效率(失效但不影响 SG)
$λ_{DD}$ :Dangerous Detecte | | topic-hv-inverter-iso26262-concept.md | ≤10.0 FIT | 硬件 FMEDA(Part 5)

把 TSC 里的 safety mechanism 算成 FMEDA 数字:

$λ_{t o t a l}$ :元件总失效率(FIT)
$λ_{s a f e}$ :安全失效率(失效但不影响 SG)
$λ_{DD}$ :Dangerous Detecte | | topic-hv-inverter-iso26262-concept.md | ≤10.0 FIT | ## 核心要点
HV 主驱逆变器有 3 个 ASIL D + 1 个 ASIL B Safety Goal,FTTI 通常 200ms
ISO 26262 V-cycle 标准路径:Item Definition → HARA → FSC(Part 3) → TSC(Part 4) → 硬件 FMEDA(Pa | | topic-hv-inverter-iso26262-concept.md | ≤10.0 FIT | ## 核心要点
HV 主驱逆变器有 3 个 ASIL D + 1 个 ASIL B Safety Goal,FTTI 通常 200ms
ISO 26262 V-cycle 标准路径:Item Definition → HARA → FSC(Part 3) → TSC(Part 4) → 硬件 FMEDA(Pa | | topic-hv-safety.md | <10.0 FIT | 四件套（HVIL + IMD + Active Discharge + Pyro）协同才能达到 SPFM ≥ 99 %、LFM ≥ 90 %、PMHF < 10 FIT。 | | topic-iso26262-part10-guidelines.md | =10.0 FIT | 三个最有价值的章节:(1) 与 IEC 61508 的关系 解释为什么汽车要走 26262 而不是直接用 61508(自动驾驶 controllability 维度 / 量产模式 / 多组织协作);(2) PMHF 单位与计算的细化 解释 10 FIT 怎么算到 vehicle lifetime;**( | | topic-iso26262-part10-guidelines.md | ≤10.0 FIT | ## 学习目标

读完本页后,你应该能够:

解释 ISO 26262 在 IEC 61508 基础上做的 4 个汽车行业 specific 调整
区分 ISO 26262 ASIL 与 IEC 61508 SIL 的 SEC 维度差异
写出 PMHF 单位 ≤ 10 FIT 在 vehicle lifet | | topic-iso26262-part10-guidelines.md | ≤10.0 FIT | ### 2.2 ASIL D PMHF ≤ 10 FIT 的意义

10 FIT × Vehicle lifetime(15 年 × 8000 hr 驾驶 = 120,000 hr)= 1.2 × 10⁻³ 次/车 = 0.12% 概率单车寿命内发生 dangerous failure。 | | topic-iso26262-part10-guidelines.md | ≤10.0 FIT | ![ISO 26262-10 指南导读 — informative 释义层:为各 part 提供关键概念图解 / ASIL 分解示例 / SEooC 应用 / item-element 层次,不引入新要求](../images/svg/topic-iso26262-part10-guidelines/01-part10 | | topic-iso26262-part10-guidelines.md | ≤10.0 FIT | ![ISO 26262-10 指南导读 — informative 释义层:为各 part 提供关键概念图解 / ASIL 分解示例 / SEooC 应用 / item-element 层次,不引入新要求](../images/svg/topic-iso26262-part10-guidelines/01-part10 | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | --- tags:

主线/功能安全
层/L3 aliases:
ISO 26262 Part 5
26262-5
SPFM 计算
LFM 计算
PMHF 计算
λSPF λRF λMPF λS
residual fault
safe fau | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | 真正难的是把"硬件元件失效率 λ"分成四类(…" confidence: medium source_quality: primary review_due: 2026-07-31 sources: ISO 26262-5:2018(E) — Road vehicles Functional safety Part | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | ∥ 等级 ∥ SPFM ∥ LFM ∥ PMHF ∥ ∥---∥---∥---∥---∥ ∥ ASIL B ∥ ≥ 90% ∥ ≥ 60% ∥ ≤ 100 FIT ∥ ∥ ASIL C ∥ ≥ 97% ∥ ≥ 80% ∥ ≤ 100 FIT ∥ ∥ ASIL D ∥ ≥ 99% ∥ ≥ 90% ∥ ≤ 10 FIT ∥ | | topic-iso26262-part5-hardware.md | =10.0 FIT | ASIL D 要求 ≤ 10 FIT 是最难的——因为典型 ECU 几百 FIT 起,要降到 10 FIT 必须靠SM 把 70%+ 失效转成 detected(诊断捕获后维修,不进 PMHF 累积)。 | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | ## 核心要点
失效率四分解 $λ = λ_{SPF} + λ_{RF} + λ_{MPF} + λ_{S}$ 是 Part 5 数学基础,safe fault 必须 traceable 论证
DC 三档 60/90/99%,ASIL D 关键路径 99%,大部分 | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | ## 核心要点
失效率四分解 $λ = λ_{SPF} + λ_{RF} + λ_{MPF} + λ_{S}$ 是 Part 5 数学基础,safe fault 必须 traceable 论证
DC 三档 60/90/99%,ASIL D 关键路径 99%,大部分 | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | ## 核心要点
失效率四分解 $λ = λ_{SPF} + λ_{RF} + λ_{MPF} + λ_{S}$ 是 Part 5 数学基础,safe fault 必须 traceable 论证
DC 三档 60/90/99%,ASIL D 关键路径 99%,大部分 | | topic-lockstep-core-deep.md | ≤10.0 FIT | --- tags:
- 主线/功能安全
- 层/L2 aliases:
- lockstep
- dual-core lockstep
- CPU comparator
- DCC
- split-lock
- Aurix DCC created: 2026-05-18 updated: | | topic-lockstep-core-deep.md | ≤10.0 FIT | Lockstep core 是…" confidence: medium source_quality: primary review_due: 2026-08-16 sources: Infineon Aurix TC397 Safety Manual / NXP S32K3xx RM + Safety Manual | | topic-lockstep-core-deep.md | ≤10.0 FIT | Lockstep core 是 ISO 26262 Part 5 Annex D 编目的高 DC 安全机制(PMHF ≤ 10 FIT 目标见 §8):两个完全相同的 CPU 同步执行同一指令流,硬件 CPU Comparator (CCC) 每 cycle 对比输出 → 不一致即 trap。 | | topic-lockstep-core-deep.md | ≤10.0 FIT | 为什么 ASIL D 必须 lockstep

ASIL D 物理约束推导:

目标:PMHF ≤ 10 FIT (Probabilistic Metric for HW Failures)
单核 SEU FIT:典型 28nm CMOS ≈ 200-500 FIT (alpha + cosmi | | topic-lockstep-core-deep.md | ≥10.0 FIT | 一句话总结

Lockstep core = ASIL D MCU 的物理必要条件 — 单核 PMHF 物理上 ≥ 10 FIT,无 lockstep 凑不齐 ASIL D。 | | topic-lockstep-core-deep.md | ≥10.0 FIT | ---

核心要点

ASIL D 单核 PMHF 物理上 ≥ 10 FIT,必须 lockstep
Master + Slave + CCC + 2 cycle delay + 物理隔离
CCC 比 5 类信号 (PC / GPR / ALU / Bus / Trap)
Aurix DCC / S | | topic-peu-development.md | <10.0 FIT | EPS 5–20 ms
覆盖目标：SPFM ≥ 99 % / LFM ≥ 90 % / PMHF < 10 FIT（ASIL D）
safety case：把 §3.1~§3.6 的所有试验报告挂进 ISO 26262 Part 4 §9 的 V&V 表

4. |

| topic-pmhf-quantification-deep.md | <10.0 FIT | --- tags:

主线/功能安全
层/L1 aliases:
PMHF
Probabilistic Metric for random Hardware Failures
Markov FMEDA
FTA 量化
双点失效率
MPFDI
双点检测间 | | topic-pmhf-quantification-deep.md | <10.0 FIT | " confidence: medium source_quality: primary review_due: 2026-09-20 sources: ISO 26262-5:2018 §9 + Annex F（一阶 PMHF）+ Annex G（FTA/FMEA）/ ISO 26262-10:2018（PMHF 详 | | topic-pmhf-quantification-deep.md | <10.0 FIT | " confidence: medium source_quality: primary review_due: 2026-09-20 sources: ISO 26262-5:2018 §9 + Annex F（一阶 PMHF）+ Annex G（FTA/FMEA）/ ISO 26262-10:2018（PMHF 详 | | topic-pmhf-quantification-deep.md | <10.0 FIT | " confidence: medium source_quality: primary review_due: 2026-09-20 sources: ISO 26262-5:2018 §9 + Annex F（一阶 PMHF）+ Annex G（FTA/FMEA）/ ISO 26262-10:2018（PMHF 详 | | topic-pmhf-quantification-deep.md | <10.0 FIT | ## 学习目标
说清 PMHF 与 SPFM/LFM 的区别:为什么 SPFM 过了 PMHF 仍可能不过
写出 ISO 26262-5 Annex F.2 的一阶 PMHF 闭式公式并解释三项
推导双点失效率 = $\lambda_\text{det}\cdot\lambda_\text{lat}\cd | | topic-pmhf-quantification-deep.md | <10.0 FIT | ---

核心要点

PMHF 是绝对率阈(ASIL D < 10 FIT),与 SPFM/LFM(比率)不同;SPFM 过 ≠ PMHF 过
闭式一阶:$\text{PMHF}=\sum\lambda_\text{SPF}+\sum\lambda_\text{RF}+\sum\lambda_\t | | topic-pmhf-quantification-deep.md | <10.0 FIT | ---

核心要点

PMHF 是绝对率阈(ASIL D < 10 FIT),与 SPFM/LFM(比率)不同;SPFM 过 ≠ PMHF 过
闭式一阶:$\text{PMHF}=\sum\lambda_\text{SPF}+\sum\lambda_\text{RF}+\sum\lambda_\t | | topic-pmhf-quantification-deep.md | <10.0 FIT | ---

核心要点

PMHF 是绝对率阈(ASIL D < 10 FIT),与 SPFM/LFM(比率)不同;SPFM 过 ≠ PMHF 过
闭式一阶:$\text{PMHF}=\sum\lambda_\text{SPF}+\sum\lambda_\text{RF}+\sum\lambda_\t | | topic-position-sensing-safety.md | <10.0 FIT | ∥ 标准位置 ∥ 内容 ∥ 用途 ∥ ∥---∥---∥---∥ ∥ ISO 26262-5 Annex D, Table D.1 ~ D.14 ∥ range / plausibility / 比较 / BIST 等 SM 与 DC 表 ∥ 同采样三件套 ∥ ∥ **D.2.4 "Plausibility c | | topic-safe-state-manager-deep.md | <10.0 FIT | SSM + 2nd-Level 验证 — Fault Injection Test

ISO 26262 Part 5 §11 要求fault injection test 验证 SM 覆盖率:

硬件 FI:在 DESAT pin / OC pin / Tj pin 注入虚假 fault → 验 | | topic-safe-state-manager-deep.md | <10.0 FIT | - Fault Injection Test 必上 100+ scenario,SPFM ≥ 99% / LFM ≥ 90% / PMHF < 10 FIT。 | | topic-safety-case-gsn-authoring-deep.md | ≤10.0 FIT | 以默认 S-Type-A "3 故障类拆解" 为例,主驱 SG-1 的 sub-goal 模板:
G2:随机故障已 cover — 量化指标 SPFM ≥ 99% / LFM ≥ 90% / PMHF ≤ 10 FIT
G3:系统故障已 cover — ISO 26262 V-model + | | topic-safety-case.md | ≤10.0 FIT | >

Strategy: Decompos…

Strategy: Decompose argument by 3 failure categories(per ISO 26262-9 Clause 9):

Random HW failures → FMEDA-based quantitative argument

Syste | | topic-torque-safety.md | <10.0 FIT | 实现路径是三层嵌套的监控架构（E-Gas 3-level）+ 两条独立 STO 硬件通道 + 分解后两侧互为 B(D)，配合严苛的 FTTI 预算（典型 50–100 ms）和端到端 FMEDA 覆盖（SPFM ≥ 99 % / LFM ≥ 90 % / PMHF < 10 FIT）。 | | topic-torque-safety.md | <10.0 FIT | FMEDA 覆盖目标

8.1 三个硬指标（ASIL D）

ASIL D 主驱3 个硬指标——SPFM ≥ 99%、LFM ≥ 90%、PMHF < 10 FIT。 | | topic-torque-safety.md | <10.0 FIT | ∥ 指标 ∥ 门槛 ∥ 实现手段 ∥ ∥---∥---∥---∥ ∥ SPFM ∥ ≥ 99 % ∥ 双 MCU lockstep + 双 APS + 双电流 + 双位置 + E2E CRC ∥ ∥ LFM ∥ ≥ 90 % ∥ POST + 周期 PDT（100 ms）+ SBC Challenger Watchdo | | topic-torque-safety.md | <10.0 FIT | PMHF < 10 FIT 靠 AEC-Q Grade 1 + 低结温 + 短 τ_test。 | | topic-voltage-sensing-safety.md | <10.0 FIT | ∥ 标准位置 ∥ 内容 ∥ 用途 ∥ ∥---∥---∥---∥ ∥ ISO 26262-5 Annex D ∥ range / plausibility / 比较 / BIST 等 SM 与 DC 表 ∥ 同电流采样,FMEDA 套用 ∥ ∥ ISO 26262-5 §8 + §9 ∥ SPFM / | | topic-ev-ecu-fmeda-integration-deep.md | =11.0 FIT | ### 2.2 系统级 SM 补救后

按 driver-ic-fmeda §3.3 加 MCU 系统级 SM(RDY 超时 + 相电流采样冗余 + DESAT 时序校 + CLAMP 自检 BIST):

λ_SPF+RF = 0.9 + 1.7 + 0.5 = 3.4 FIT(driver 链 | | topic-safety-case.md | =11.0 FIT | 超出温度区间: SC 范围内 -40~+85°C,实际边缘 corner cases 在 +90°C 时 PMHF 升至 11 FIT(超 10 FIT 阈值)。 | | topic-driver-ic-fmeda-worked-deep.md | =80.0 FIT | 本页讲清 driver IC pin-level 6 大失效模式 × DC × Safe State × FIT、6-pack 主驱 SPFM/LFM/PMHF worked(典型 80 FIT 总 → 单链 SPFM 90.9% / LFM 85.6% 均不过 ASIL D → 系统级补 SM | | topic-ev-safety-development-flow.md | =100.0 FIT | ∥ 指标 ∥ 目标 (ASIL D / C / B) ∥ 含义 ∥ ∥---∥---∥---∥ ∥ SPFM ∥ ≥ 99% / 97% / 90% ∥ 单点失效抑制比 ∥ ∥ LFM ∥ ≥ 90% / 80% / 60% ∥ 潜在失效抑制比 ∥ ∥ PMHF ∥ ≤ 10 / 100 / 100 FIT ∥ 平均每 | | topic-iso26262-part5-hardware.md | ≤100.0 FIT | ∥ 等级 ∥ SPFM ∥ LFM ∥ PMHF ∥ ∥---∥---∥---∥---∥ ∥ ASIL B ∥ ≥ 90% ∥ ≥ 60% ∥ ≤ 100 FIT ∥ ∥ ASIL C ∥ ≥ 97% ∥ ≥ 80% ∥ ≤ 100 FIT ∥ ∥ ASIL D ∥ ≥ 99% ∥ ≥ 90% ∥ ≤ 10 FIT ∥ | | topic-lockstep-core-deep.md | ~100.0 FIT | lockstep 把 PMHF 从 ~100 FIT 压到 ~10 FIT,LFM ≥ 90% 必备硬件。 | | topic-lockstep-core-deep.md | =100.0 FIT | 为什么 ASIL D 必须 lockstep

ASIL D 物理约束推导:

目标:PMHF ≤ 10 FIT (Probabilistic Metric for HW Failures)
单核 SEU FIT:典型 28nm CMOS ≈ 200-500 FIT (alpha + cosmi | | topic-aux-fmeda-dfa-deep.md | =120.0 FIT | 本页把 6 级 AUX 链(HV / 12V 输入 → 输入防护 → AUX DC-DC → SBC → POR Sequencer → MCU)当 FMEDA 目标系统,跑通四件套:(1) 每级 FIT × DC × Safe State 表;(2) SPFM / LFM / PMHF worke | | topic-aux-fmeda-dfa-deep.md | =120.0 FIT | 本页把 6 级 AUX 链(HV / 12V 输入 → 输入防护 → AUX DC-DC → SBC → POR Sequencer → MCU)当 FMEDA 目标系统,跑通四件套:(1) 每级 FIT × DC × Safe State 表**;**(2) SPFM / LFM / PMHF worke | | topic-aux-fmeda-dfa-deep.md | =120.0 FIT | 5 个 AUX FMEDA 工程陷阱

新项目踩坑几乎都集中在 5 类 — FIT 库 / 边界 / DC / latent / DFI 完整性:

∥ 陷阱 ∥ 描述 ∥ 预防 ∥ ∥---∥---∥---∥ ∥ FIT 库不一致 ∥ SN29500 vs SR-332 vs vendor 数值差 3–5× ∥ 锁一 |

ASIL D PMHF — 跨页幅度 40.0×（基单位 FIT）

页	表达	句子（截断）
`topic-lockstep-core-deep.md`	=2.0 FIT	为什么 ASIL D 必须 lockstep

ASIL D 物理约束推导:

目标:PMHF ≤ 10 FIT (Probabilistic Metric for HW Failures)
单核 SEU FIT:典型 28nm CMOS ≈ 200-500 FIT (alpha + cosmi | | topic-lfdt-deep.md | =8.0 FIT | 主驱 ASIL D:典型 LFM 95%,PMHF 8 FIT。 | | topic-adi-adbms6830-bms-afe-deep.md | <10.0 FIT | L4 用 lock-step MCU + FCCU + SBC 三件套把决策路径也做成冗余:
lock-step core(S32K344 / TC397)— 两 core 同步执行比对
FCCU 故障收集 — NFAULT → ERROR_PIN + 软件故障源汇总
**SBC / sa | | topic-current-sensing-safety.md | <10.0 FIT | ∥ 标准位置 ∥ 内容 ∥ 用途 ∥ ∥---∥---∥---∥ ∥ ISO 26262-5 Annex D, Table D.1 ~ D.14 ∥ 列每种 SM 对应的 fault model 与 DC 等级（Low/Med/High） ∥ FMEDA 填诊断覆盖率 ∥ ∥ **D.2.1.4 "Range | | topic-dfa-fmeda-fta.md | ≤10.0 FIT | - 顶事件定义过大或过模糊
逻辑层层混乱,系统边界不清
设计变更后故障树未更新

核心要点

三者回答不同问题:DFA 看独立性 / FMEDA 看随机硬件失效覆盖 / FTA 看顶事件路径,互补不替代
在 V 模型里位置不同:DFA 偏概念 + 架构早期、FME | | topic-ev-ecu-fmeda-integration-deep.md | <10.0 FIT | - 把主驱拆 双链平行(典型:dual-3-phase / 双绕组 / 双 inverter),两条充分独立(物理 + 共因 + 软件)
每条通道按 ASIL B 开发(工具链 / 验证 / 评审按 B 做,省单通道成本),但括号里 SG 仍是 D
**合并架构仍必须满足 ASI | | topic-failure-types.md | <10.0 FIT | ΔT_j 减半 → Coffin–Manson 寿命 ×32（见热管理）
筛选：HTOL + Burn-in 清除婴儿期失效

目标：通过冗余和在线诊断把危险失效的概率降到目标以下（如 ASIL D 要求 PMHF < | | topic-fmeda-deep.md | <10.0 FIT | --- tags:

主线/功能安全
层/L1 aliases:
FMEDA
SPFM
LFM
PMHF
diagnostic coverage
failure rate
ISO 26262 Part 5
λ FIT created: 202 | | topic-fsar-deep.md | ≤10.0 FIT | ④ Hardware 安全分析

HW 分析 3 件:

5.1 FMEDA

FMEDA 的工程特点 + 应用场景:

SPFM / LFM / PMHF 计算结果
必带 FIT 库来源(SN 29500 / IEC 62380 / 供应商提供)
ASIL D 目标:SPFM ≥ 99% / LF | | topic-fta-deep.md | ≤10.0 FIT | FTA 量化分析

FTA 量化输出:

top event 概率 Ptop(无量纲)
top event 失效率 λtop(单位 1/h 或 FIT,由 basic event 失效率沿门传播得到)
每个 MCS 概率 PMCS
importance ranking
PMHF 对照(与 FMEDA | | topic-functional-safety-engineer-guide.md | ≤10.0 FIT | ③ FMEDA + FTA + LFDT — 量化分析

FMEDA + FTA 互补:

4.1 核心概念

FMEDA + FTA + LFDT 核心概念:

FMEDA bottom-up → SPFM / LFM / PMHF
FTA top-down → Minimal Cut Set
L | | topic-functional-safety.md | <10.0 FIT | - 硬件度量：ASIL D 要求 SPFM ≥ 99 %、LFM ≥ 90 %、PMHF < 10 FIT——三项缺一不可。 | | topic-hv-inverter-iso26262-concept.md | ≤10.0 FIT | ## 核心要点
HV 主驱逆变器有 3 个 ASIL D + 1 个 ASIL B Safety Goal,FTTI 通常 200ms
ISO 26262 V-cycle 标准路径:Item Definition → HARA → FSC(Part 3) → TSC(Part 4) → 硬件 FMEDA(Pa | | topic-iso26262-part10-guidelines.md | ≤10.0 FIT | ### 2.2 ASIL D PMHF ≤ 10 FIT 的意义

10 FIT × Vehicle lifetime(15 年 × 8000 hr 驾驶 = 120,000 hr)= 1.2 × 10⁻³ 次/车 = 0.12% 概率单车寿命内发生 dangerous failure。 | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | --- tags:

主线/功能安全
层/L3 aliases:
ISO 26262 Part 5
26262-5
SPFM 计算
LFM 计算
PMHF 计算
λSPF λRF λMPF λS
residual fault
safe fau | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | 真正难的是把"硬件元件失效率 λ"分成四类(…" confidence: medium source_quality: primary review_due: 2026-07-31 sources: ISO 26262-5:2018(E) — Road vehicles Functional safety Part | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | ASIL D 要求 ≤ 10 FIT 是最难的——因为典型 ECU 几百 FIT 起,要降到 10 FIT 必须靠SM 把 70%+ 失效转成 detected(诊断捕获后维修,不进 PMHF 累积)。 | | topic-iso26262-part5-hardware.md | ≤10.0 FIT | ## 核心要点
失效率四分解 $λ = λ_{SPF} + λ_{RF} + λ_{MPF} + λ_{S}$ 是 Part 5 数学基础,safe fault 必须 traceable 论证
DC 三档 60/90/99%,ASIL D 关键路径 99%,大部分 | | topic-lockstep-core-deep.md | ≤10.0 FIT | --- tags:
- 主线/功能安全
- 层/L2 aliases:
- lockstep
- dual-core lockstep
- CPU comparator
- DCC
- split-lock
- Aurix DCC created: 2026-05-18 updated: | | topic-lockstep-core-deep.md | ≤10.0 FIT | Lockstep core 是…" confidence: medium source_quality: primary review_due: 2026-08-16 sources: Infineon Aurix TC397 Safety Manual / NXP S32K3xx RM + Safety Manual | | topic-lockstep-core-deep.md | ≥10.0 FIT | 一句话总结

Lockstep core = ASIL D MCU 的物理必要条件 — 单核 PMHF 物理上 ≥ 10 FIT,无 lockstep 凑不齐 ASIL D。 | | topic-lockstep-core-deep.md | ≥10.0 FIT | ---

核心要点

ASIL D 单核 PMHF 物理上 ≥ 10 FIT,必须 lockstep
Master + Slave + CCC + 2 cycle delay + 物理隔离
CCC 比 5 类信号 (PC / GPR / ALU / Bus / Trap)
Aurix DCC / S | | topic-pmhf-quantification-deep.md | <10.0 FIT | --- tags:
- 主线/功能安全
- 层/L1 aliases:
- PMHF
- Probabilistic Metric for random Hardware Failures
- Markov FMEDA
- FTA 量化
- 双点失效率
- MPFDI
- 双点检测间 | | topic-pmhf-quantification-deep.md | <10.0 FIT | " confidence: medium source_quality: primary review_due: 2026-09-20 sources: ISO 26262-5:2018 §9 + Annex F（一阶 PMHF）+ Annex G（FTA/FMEA）/ ISO 26262-10:2018（PMHF 详 | | topic-pmhf-quantification-deep.md | <10.0 FIT | ---

核心要点

PMHF 是绝对率阈(ASIL D < 10 FIT),与 SPFM/LFM(比率)不同;SPFM 过 ≠ PMHF 过
闭式一阶:$\text{PMHF}=\sum\lambda_\text{SPF}+\sum\lambda_\text{RF}+\sum\lambda_\t | | topic-torque-safety.md | <10.0 FIT | FMEDA 覆盖目标

8.1 三个硬指标（ASIL D）

ASIL D 主驱3 个硬指标——SPFM ≥ 99%、LFM ≥ 90%、PMHF < 10 FIT。 | | topic-driver-ic-fmeda-worked-deep.md | =80.0 FIT | 本页讲清 driver IC pin-level 6 大失效模式 × DC × Safe State × FIT、6-pack 主驱 SPFM/LFM/PMHF worked(典型 80 FIT 总 → 单链 SPFM 90.9% / LFM 85.6% 均不过 ASIL D → 系统级补 SM |

V_GS(th) — 跨页幅度 8.6×（基单位 V）

页	表达	句子（截断）
`topic-book-semiconductor-physics-liuenke.md`	=0.7 V	刘恩科这本书做的事,就是把这些参数往下挖到根 —— 挖到晶格、能带、费米统计和载流子输运,让你明白"为什么阈值电压会随温度漂"、"为什么重掺杂区少子寿命只有纳秒"、"为什么 pn 结正向压降是 0.7 V 而不是别的数"这类问题的物理答案。
`topic-sic-devices.md`	=3.0 V	这个漂移看起来不大，但对阈值电压只有 2～3 V 的 SiC MOSFET 来说意味着：

$R D S (o n)$ 漂移（每 100 mV $V t h$ 变化约对应 5～10% $R D S (o n)$ 变化）
误开通风险加大（ $V t h$ 变低后，Cross-talk 噪声更容易触发）
并联均流恶化

**AE | | topic-igbt.md | =6.0 V | - $t r$ / $t f$ —— 电流上升 / 下降时间

$t d (o n)$ / $t d (o ff)$ —— 开通 / 关断延迟时间
$tt ai l$ —— 拖尾时间（NPT 定义的参数，FS 里未必有）

3 决定 FWD 损耗

$V F$ —— FWD 正向压降（续流时 |

跨页数值矛盾候选 — 2026-06-27

导读

1. BV_DSS — 跨页幅度 1545.5×（基单位 V）

1.1 VCES 不是工作电压

6.1 选型

2. PMHF — 跨页幅度 60.0×（基单位 FIT）

7. 核心要点

5.1 FMEDA

4.1 核心概念

8. |

7. 核心要点

4. |

7. 核心要点

7. 核心要点

7. 核心要点

8.1 三个硬指标（ASIL D）

5. ASIL D PMHF — 跨页幅度 40.0×（基单位 FIT）

7. 核心要点

5.1 FMEDA

4.1 核心概念

7. 核心要点

7. 核心要点

8.1 三个硬指标（ASIL D）

6. V_GS(th) — 跨页幅度 8.6×（基单位 V）

BV_DSS — 跨页幅度 1545.5×（基单位 V）

PMHF — 跨页幅度 60.0×（基单位 FIT）

核心要点

核心要点

核心要点

核心要点

核心要点

ASIL D PMHF — 跨页幅度 40.0×（基单位 FIT）

核心要点

核心要点

核心要点

V_GS(th) — 跨页幅度 8.6×（基单位 V）