ASIL 分解 — Part 9 §5 规则 + EV 主驱实例
本质与导读
本质 让单个组件 single-handedly 扛 ASIL D 安全目标,成本和工艺都极高;ISO 26262-9 §5 允许把这条 SG 拆给两条充分独立的通道,各自只到较低 ASIL 合起来仍满足 D。但分解不是降级——括号里的 SG 仍是分解前的 ASIL,完整性一分不能削,且两通道的物理/共因/软件独立性由 DFA (Part 9 §7) 硬约束,共享 MCU 或 power/GND 一律不算分解。
1. 分解规则 + EV 主驱实例
ASIL 分解的整体框架可以一句话总结:把高 ASIL SG 拆给两个独立的低 ASIL 通道,每个通道用更便宜的开发流程,但合起来必须还能满足原 SG 的故障覆盖率与 FTTI 要求。下图把 ISO 26262-9 §5.4 允许的主要分解方案列出来,并配一个 EV 主驱 ASIL D 的实际拆法——主 MCU 双核 lockstep + 独立安全 MCU,两条都按 B(D) 开发,通过 DFA 证明独立后合并满足 ASIL D。
2. 允许的分解方案族(按起点 ASIL)
ISO 26262-9 §5.4.10 按起点 ASIL 定义方案族,核心规律:任一完整 ASIL 主通道可配一条 QM 通道(X→X(X)+QM(X)),或拆成两条更低、但合起来覆盖原级的通道。不准自创不满足覆盖的组合(如 D→B(D)+A(D)):
| 分解前 SG | 分解后两通道 | 用途 |
|---|---|---|
| ASIL D | D(D) + QM(D) | 一条全 D 主通道 + 一条 QM 监控/裁决(工业界极常用) |
| ASIL D | C(D) + A(D) | 主+辅不对称(主控做 C,辅助做 A 监控) |
| ASIL D | B(D) + B(D) | EV 主驱主流 — 两条 B 互补诊断 |
| ASIL C | C(C) + QM(C) | 全 C 主通道 + QM 监控 |
| ASIL C | B(C) + A(C) | 不对称 |
| ASIL C | A(C) + A(C) | 双 A 对称 |
| ASIL B | B(B) + QM(B) | 全 B 主通道 + QM |
| ASIL B | A(B) + A(B) | 双 A 对称 |
| ASIL A | A(A) + QM(A) | 全 A 主通道 + QM |
注解:
- "D(x)" 含义:"该通道实际开发等级为 D,但作为分解后的一部分,SG 仍为 x"
- 括号里的 SG 不能削 — 这是合规审查的红线
- 不允许 D → B(D) + A(D) 等组合(覆盖率不达 D 等级)
3. 独立性 — 分解的硬约束
分解能成立的前提是两个通道充分独立,这是 ISO 26262 Part 9 §7 (DFA, Dependent Failure Analysis) 的核心要求。独立性分三层:
3.1 物理独立 (Physical Independence)
物理独立打的是硬件级共因 — 让一台 ESD 攻击、一次 surge、一次温升不能同时挂掉两个通道。具体要求:
- PCB 分离(不同板,或同板但隔离区)
- 电源独立(各自 LDO / DC-DC,不共享上游)
- 接地分离(避免地干扰共因)
- 不同封装(芯片级共因被 packaging 消除)
- 物理距离(避免 thermal / vibration 共因)
3.2 共因独立 (Common-Cause)
共因独立要求任何单一外部应力都不能同时让两通道失效 — 这是 ISO 26262 Part 9 §7 DFA 的核心覆盖目标:
3.3 软件独立 (Software Independence)
软件独立处理的是设计/实现层的共因 — 同一个编译器 bug、同一段代码错误、同一个人员的认知盲点都可能同时坑两条通道,所以软件层的独立也要主动证明:
- 不同 toolchain (GCC vs Tasking, IAR vs Keil) — 编译器 bug 不共因
- 不同算法实现 (一个用 FOC, 另一个用直接转矩) — 算法 bug 不共因
- 独立验证 (V-cycle 各跑各的)
- 不同人员实现 (避免共同设计错误)
OEM 评审会要 DFA 报告 详列上述 6+ 项 + 证据 + residual risk。没 DFA = 分解不被认可。
独立性是必要前提,不是充分前提。分解合并达 ASIL D 还要第二个条件——两通道诊断互补:通道 B 必须能检出通道 A 的危险失效(反之亦然),否则即便物理 100% 独立,组合 SPFM 也上不去。反例:两条独立通道都只跑同一套 plausibility check,A 漏检的那类失效 B 同样漏检——独立但不互补,合并 SPFM 仍 = 单通道,过不了 D。所以 DFA 证"独立"之外,FMEDA 还要证"A 的 λSPF 落进 B 的检测范围"(B 把 A 的 SPF 转成 detected),这才是 B(D)+B(D) 合起来达 D 的覆盖率来源。
4. 分解 ≠ 降级
工程师常误把分解当"省事":"把 ASIL D 拆成 B + B 就好做了"——这种思路 OEM 会立刻拒。
法律含义:
- 分解后括号里的 SG 仍是原 ASIL — 每个通道完整开发流程 (HARA/FSC/TSC/DIA/Confirmation Measures) 仍是括号里 ASIL 的要求
- 分解只是允许该通道本身的实施技术 (compiler qualification、测试覆盖率、reviewer experience) 按较低 ASIL 来做
- 但 SG 失败的法律责任和 risk 论证仍按分解前 D 等级
- 量产 & PPAP 评审看的是分解前的 SG ASIL
实操:"把 D 拆 B+B" 节约的是单通道开发成本,不是整体 PPAP / 验证范围。两条 B 加起来的总工作量经常比一条 D 更多。
5. EV 主驱 ASIL D 标准实施
SG:"防止非预期扭矩 (UT) > ±10%"。FTTI = 100ms。规则 ③ (B(D) + B(D)) 拆分:
Channel A — 主 MCU 双核 lockstep (B(D))
主通道走"高性能 + 自检"路线 — 主 MCU 跑控制算法,另一个核做硬件级 lockstep 比较,达到 B 级的 SPFM 覆盖:
- Aurix TC3xx 双核 lockstep:Application Core 跑 FOC + SVPWM,Safety Core 同步跑同代码,硬件比较 → 单核失效 → trap → safe state
- lockstep 对 CPU 内核故障提供 high 档诊断覆盖(典型 DC > 99%,ISO 26262-5 Annex D)—— 本身即可支撑 ASIL D 内核完整性;本方案把该通道按 B(D) 开发,是 SG 覆盖率/裕度在两独立通道间的预算分配,不是 lockstep 能力被限制在 B
- 输入:resolver / 母线电压采样 / 三相电流采样
- 输出:6 路 PWM (高 + 低管)
Channel B — 独立安全 MCU + SBC + STO (B(D))
监控通道走"独立 + 简单"路线 — 不复制主 MCU 的计算工作,而是通过 heartbeat + 看门狗 + plausibility check 反向监视主 MCU,并保留独立硬件 STO 通道,触发后直接关断栅极驱动:
- 独立 MCU (NXP FS65 SBC) 监视主 MCU heartbeat / 看门狗 / CRC
- 独立电流 + 电压采样(不同 ADC) + plausibility 检查
- 安全 MCU 触发 STO 硬件通道 (栅极驱动 disable),100% 物理独立于主 MCU
- 满足 SPFM ≥ 90% + LFM ≥ 60% 在 B 级
6. DFA 必查的 6 项
Part 9 §7 要求Dependent Failure Analysis(注:下面 6 项是独立性检查的共享资源类别,与 Annex C 的 7 类 DFI〔dependent-failure initiators 分类〕是两套不同的东西——不是同一清单的 6 vs 7;FMEDA 页常按 Annex C 7 类 DFI 组织,本节按 §7 实践的 6 类共享资源检查):
- 共享电源 — 两通道是否共享 LDO / 滤波 / surge protection
- 共享时钟 — 两通道时钟源 / 振荡器是否独立
- 共享接地 — 地噪声 / 地反弹是否共因
- 共享 IO — 共用 SPI / I2C 总线 → bus-off 共因
- 共享 Bus / Network — CAN 同 bus、Ethernet 同 switch
- 共享软件库 — 同 OS / 同驱动 / 同 RTOS / 同 toolchain
每项给出独立性论证 + 测试证据,evidence 通常是 200-500 页文档。
深入 CCF 量化(β factor…
深入 CCF 量化(β factor 先减后乘 / IEC 61508-6 Annex D 37 题评分)+ 7 类 DFI 全谱 + AURIX lockstep 三重缓解 + 5 个反模式 → 共因失效 CCF 深度
7. 分解到 SEooC (Safety Element out of Context)
很多 ASIL D 组件其实是通用元件被嵌到 SG 链(MCU / 加速度计 / 传感器),供应商不知道最终 SG。这时用 SEooC 接口:供应商按假设 ASIL 开发该元件,假设清单 (assumption list) 中明确"我假设的使用情况",用户 OEM 把假设和实际匹配。
ASIL 分解和 SEooC 经常结合:OEM 选两个不同供应商的 SEooC(各自 ASIL B(D)) 拼成 ASIL D。Bosch / Continental / NXP / Infineon 都提供 SEooC 接口。
8. 5 个常见误用
ASIL 分解的法律严肃性是工程师反复低估的点。下面是 OEM 评审会直接拒的 5 种误用:
| 误用 | 描述 | 评审反应 |
|---|---|---|
| 两通道同 MCU 跑两份代码 | 软件共因不去除 → DFA 不通过 | reject — 必上独立 MCU |
| 共享 power supply | 电源 surge 同时挂 | reject |
| 同 PCB + 同 GND plane | 物理共因 | reject — PCB 分区或分板 |
| 无 DFA 报告 | 独立性无证据 | reject — 必补 |
| 把分解当降级 | 括号里 SG 削减 → 合规失败 | reject — 重学 Part 9 |
9. 与其它 Part 关联
ASIL 分解不是 Part 9 独自负责的工作,而是横跨 Part 3-8 的整链协同活动。每个 Part 都在分解决策、证据、验证里贡献自己的角色:
- Part 3 (HARA) 决定 SG ASIL → 分解前提
- Part 4 (FSC) 把 SG 映射到 architecture → 分解决策
- Part 5 (Hardware) SPFM / LFM / PMHF 度量 → 验证分解后仍满足
- Part 6 (Software) software unit / integration test 按括号里 ASIL
- Part 8 §11 (DIA) 接口协议 → 与供应商对齐分解假设
- Part 9 §5 + §7 本页主战
核心要点
- ASIL 分解 ISO 26262-9 §5.4.10 方案族:每条完整 ASIL 主通道可配 QM(X→X(X)+QM(X)),或拆两条更低级合起来覆盖;常用 D→D(D)+QM(D) / C(D)+A(D) / B(D)+B(D)。
- 括号里的 SG 不能削 — 分解 ≠ 降级。
- 独立性三层:物理 / 共因 / 软件,DFA 报告必出。
- EV 主驱 ASIL D 主流:规则 ③ (B(D)+B(D)) — 主 MCU lockstep + 独立安全 MCU + STO。
- 节省的是单通道开发成本,整体 PPAP / 验证范围仍按 D。
- DFA 6 项:电源 / 时钟 / 接地 / IO / Bus / 软件库。
- SEooC 与 ASIL 分解经常结合,两个不同供应商的 B(D) 组件拼成 ASIL D。
- OEM 评审最常拒 5 种误用:共 MCU / 共电源 / 共 PCB / 无 DFA / 当降级用。
缩写表
只列本页用到的工业标准缩写;通用英语…
只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的
层/Lxtag 不列。覆盖不到的术语见正文 inline 注释。
| 缩写 | 全称 | 中文 / 备注 |
|---|---|---|
| ASIL | Automotive Safety Integrity Level | ISO 26262 安全完整性等级 QM→A→B→C→D |
| ISO | International Organization for Standardization | 国际标准化组织 |
| DFA | Dependent Failure Analysis | 相关失效分析(ISO 26262-9) |
| SG | Safety Goal | 安全目标(ISO 26262-3) |
| MCU | Microcontroller Unit | 微控制器(本页多指车规多核 MCU) |
| VDA | Verband der Automobilindustrie | 德国汽车工业协会 |
| TUV | Technischer Überwachungsverein | 德国技术监督协会 |
| SAE | Society of Automotive Engineers | 美国汽车工程师学会 |
| EV | Electric Vehicle | 电动车 |
| SBC | System Basis Chip | 系统基础芯片(电源 + 收发器 + 监控集成) |
| STO | Safe Torque Off | 安全转矩关闭 (IEC 61800-5-2) |
| SPFM | Single-Point Fault Metric | 单点失效度量 |
| LFM | Latent Fault Metric | 潜伏故障度量 |
| PMHF | Probabilistic Metric for Hardware Failures | 硬件随机失效概率指标 |
| FIT | Failures In Time | 1e9 小时失效率单位 (1 FIT = 1 failure / 1e9 h) |
| OEM | Original Equipment Manufacturer | 整车厂 / 主机厂 |
| FTTI | Fault Tolerant Time Interval | 容错时间间隔 |
| ESD | Electrostatic Discharge | 静电放电 |
| PCB | Printed Circuit Board | 印刷电路板 |
| LDO | Low Dropout Regulator | 低压差线性稳压器 |
| DC-DC | DC-to-DC Converter | 直流-直流变换器 |
| EMC | Electromagnetic Compatibility | 电磁兼容 |
| FOC | Field-Oriented Control | 磁场定向控制 |
| HARA | Hazard Analysis and Risk Assessment | 危害分析与风险评估,part 3 |
| FSC | Functional Safety Concept | 功能安全概念(part 3) |
| TSC | Technical Safety Concept | 技术安全概念(part 4) |
| DIA | Development Interface Agreement | 开发接口协议(ISO 26262-8) |
| PPAP | Production Part Approval Process | 生产件批准程序(汽车业) |
| SVPWM | Space Vector PWM | 空间矢量脉宽调制 |
| PWM | Pulse Width Modulation | 脉冲宽度调制 |
| NXP | NXP Semiconductors | 恩智浦半导体 |
| ADC | Analog-to-Digital Converter | 模数转换器 |
| SPI | Serial Peripheral Interface | 串行外设接口 |
| I2C | Inter-Integrated Circuit | 两线制串行总线 |
| CAN | Controller Area Network | 控制器局域网 |
| RTOS | Real-Time Operating System | 实时操作系统 |
| CCF | Common Cause Failure | 共因失效 |
| IEC | International Electrotechnical Commission | 国际电工委员会 |
| DFI | Dependent Failure Initiator | 相关失效起因 |
| AURIX | Audio Realtime Infineon X-architecture | Infineon TriCore 多核车规 MCU 系列 |
Cross-references
- ← 索引
- 功能安全工程师指南 hub — V-cycle + 8 大主题
- ISO 26262 总览
- HARA + ASIL 分类
- FSC / TSC
- SPFM / LFM / PMHF 度量
- SEooC
- DIA
- Main Drive ASIL D 案例
- EV ECU FMEDA 总集成深度 — B(D)+B(D) 在三链合并 worked 中的实战