Dashboard - Functional Safety (ISO 26262 · 逆变器)

导读

1. Domain Purpose

本域围绕 ISO 26262 与车用逆变器(traction inverter)功能安全展开,目的是把「整车危害」一路收敛到「芯片级诊断与安全状态」。核心服务三类读者:Tier-1 安全经理、逆变器系统/硬件架构师、负责 SBC/MCU/gate driver 选型的硬件工程师。一旦安全论证有误,后果是非预期扭矩(unintended torque)逃逸到车轮,因此本域的每一页都要回答「这条诊断凭什么能被 credit、独立性凭什么成立」。

2. Current Focus

当前最重要的几条主线(Current View):

  1. 逆变器扭矩安全链路收口 —— 以 unintended torque 为顶层 hazard,贯通 HARA → Safety Goal → FSC → TSC,落到 NoTI(No Torque Indication)与三相短路/主动短路(ASC)安全状态。
  2. FMEDA 诊断 credit 的论证质量 —— DESAT、电流/位置传感诊断到底能 claim 多少 DC,SPFM/LFM/PMHF 是否经得起评估员追问。
  3. ASIL decomposition 独立性证明 —— ASIL D 拆分为 QM(D) + D 或 B(D) + B(D) 时,DFA/Dependent Failure Analysis 如何证明 freedom from interference。
  4. 诊断职责在 MCU / SBC / gate driver / 电源 间的分配 —— 谁监谁、谁做 safe state actuator,避免诊断真空或重复 claim。
  5. Safety Case 可审计化 —— 用 GSN 把上面四条串成可被第三方评估的论证树。

3. Knowledge Map

完整安全链路(本域骨架,所有页面都挂在这条线上):

Hazard → Safety Go…

Hazard → Safety Goal → FSR → TSR → HW Safety Requirement → Diagnostic → Safe State

  • 流程 / 标准层(ISO 26262 各 part)
    • Part 3 概念阶段:HARA、Safety Goal、FSC
    • Part 4 系统、Part 5 硬件(FMEDA / SPFM / LFM / PMHF)、Part 6 软件
    • Part 9 ASIL 分析:ASIL decomposition、DFA、Dependent Failure Analysis
    • Part 11 半导体:芯片级 FMEDA、DC 评估
  • 分析方法层
    • 定性:HARA、FMEA、FTA、STPA、DFA
    • 定量:FMEDA → FIT / DC / SPFM / LFM / PMHF
  • 逆变器系统层
    • 安全目标:防 unintended torque,NoTI,主动短路 / freewheel safe state
    • 诊断:DESAT、电流采样、位置/角度、温度、电压监控
  • 器件诊断分配层
    • MCU(自检 / lockstep)、SBC(电源监控 / window WD)、gate driver(DESAT / UVLO / SCLO)、辅助电源
  • 论证层
    • Safety Case(GSN)、Safety Manual、Safety Plan、Assessment / Audit

4. Core Pages

入口与骨干页(只列真实存在页面,均在 work 域 wiki/pages/):

Watchlist(优先盯审的高风险论证主题)

主题风险点主链接
DESAT creditDC claim 是否过高topic-desat-protection-deep
ASIL 拆分独立性DFA 证据不足topic-asil-decomposition-deep
诊断职责分配真空 / 重复 claimtopic-mcu-sbc-asil-d-integration
PMHF 余量接近 ASIL D 门限topic-fit-fmeda-calculation

5. Active Questions

尚未收口、需要持续论证的问题:

  • Which diagnostics can be credited in FMEDA?
  • How to separate engineering failure from safety-relevant failure?
  • How to prove independence in ASIL decomposition?
  • How to map DESAT to safe state?
  • How to allocate diagnostic responsibility between MCU, SBC, gate driver and power supply?

6. Projects / Workflows

推进中的项目与长期工作流:

  • 逆变器整链 worked example:从一条 unintended torque hazard 出发,逐层落到 DESAT + ASC safe state,产出一份可复用的 HARA→FMEDA→Safety Case 范例链(部分页已成,缺端到端串联)。
  • FMEDA 诊断 credit 评审清单化:把「诊断能否 credit」的判据(可观测性 / 故障时序覆盖 / latent 监控)沉淀成 checklist,挂到各诊断深度页。
  • 器件诊断分配矩阵:MCU / SBC / gate driver / aux supply 的「监控者—被监控对象—safe state actuator」矩阵,统一术语避免重复 claim。
  • GSN Safety Case 模板化:以 topic-safety-case-gsn-authoring-deep 为底,固化逆变器层 GSN 骨架。
  • 逆变器安全开发流程编排器(planned)(计划)。

7. Decisions / Conclusions

已形成的关键判断与原则(Decision Log):

  • 顶层安全目标统一为「防非预期扭矩」:逆变器其余安全需求都是它的下游,safe state 默认走主动短路 / freewheel,见 topic-torque-safety
  • 诊断 credit 必须先证可观测性再谈 DC:不能观测到故障外在表现的机制不予 credit;DESAT 仅对短路类失效有效,不能笼统 claim 全部 driver 失效,见 topic-desat-protection-deep
  • 工程失效 ≠ 安全相关失效:只有违背 Safety Goal 的失效进 FMEDA safety 计算,其余进可靠性/质量域,二者账本分开。
  • ASIL 拆分先证独立性再分级:没有 DFA / Dependent Failure Analysis 证据的 decomposition 视为无效,见 topic-asil-decomposition-deep
  • 诊断职责单点归属:每个失效模式必须有且仅有一个明确的诊断 owner 与 safe state actuator,避免「都以为对方管」。

8. Review Queue

复盘 / 更新 / 拆分 / 重构的页面或主题:

9. Recent Outputs

最近产出与可复用资产:

  • 本 dashboard(认知驾驶舱)本身,作为本域统一入口。
  • 完整安全链路一行式骨架(见 §3),供所有新页对齐。
  • Watchlist 与 Decision Log 两张精简表,沉淀高风险主题与已定原则。
  • FMEDA 诊断 credit 判据(可观测性 / 时序覆盖 / latent 监控)初稿,待 checklist 化。

10. Next Actions

下一步可执行动作:

  1. 写「逆变器扭矩安全端到端 worked example」深度页:从 1 条 unintended torque hazard 串到 DESAT + ASC safe state,引用 §3 链路。
  2. topic-fmeda-deep 增补「诊断 credit checklist」小节(可观测性 / 故障时序 / latent),并补一张 hand-SVG。
  3. 用 hand-SVG 画 MCU / SBC / gate driver / aux supply 诊断分配矩阵,挂到 topic-mcu-sbc-asil-d-integration
  4. 对 §8 列出的 5 组浅/深重复页做去重决策,浅页尾加指向深页的 NOTE backlink。
  5. topic-fit-fmeda-calculation 跑一遍逆变器主回路 PMHF 算例,核对 ASIL D 门限余量。