辅助电源 FMEDA + DFA 深度 — AUX 链 SPFM/LFM 量化 + 7 类 DFI 实战

低压辅助电源L1别名 AUX FMEDA · AUX DFA · 辅助电源 FMEDA · SBC FMEDA · 12V FMEDA · SPFM AUX · FFI AUX · 辅助电源独立性

本质与导读

本质 AUX 链是 ASIL D ECU 失效率(λ)的 SPOF 集中点 —— SBC + DC-DC 就占总 FIT 的约 ⅔(AUX 链整体占 ECU 50–60%),所以它决定 SPFM / LFM / PMHF 能否过 ASIL D 三阈,也是 I3 评审必查的 FMEDA + DFA 主战场。

主线坐标:旁支 · 低压控制域 · ↑ 全景主线

1. 为什么 AUX 是 FMEDA 主战场

ASIL D 主驱 ECU 的 FMEDA 报告通常 200+ 页,但失效率(λ)分布很不均匀 — 主功率(IGBT/SiC 模块)单器件 FIT 低(<1)但数量多、AUX 链单器件 FIT 高(SBC 50–80 FIT)但数量少,叠加后 AUX 链占总 λ 的 50–60%。这个分布决定了三件事:(1) SPFM 99% 阈值最紧的瓶颈在 AUX,(2) I3 评审通常第二天就攻 AUX,(3) SM 设计(诊断覆盖率 DC)对 AUX 的杠杆最大。本页解决的就是 — AUX 链应该怎么拆颗粒度、怎么算数字、怎么过评审。

2. AUX 链 6 级 — 失效模式 / DC / Safe State / FIT 分布

把 ECU AUX 链按物理边界切成 6 级,每级独立做 FMEDA 颗粒度:

AUX 电源链 6 级 FMEDA — 失效模式 / DC / Safe State / FIT 分布

2.1 六级边界与故障模式

每级展开各自的"失效模式 + 谁来诊断 + 故障后 ECU 进哪个 safe state":

① 12V / HV 输入 — 不属于 ECU 边界内,但 FMEDA boundary diagram 必须画清(load dump / reverse polarity / ESD 是 ECU 必须承受的 AoU = Assumption of Use);失效模式属于外部环境,不计入 ECU 内部 λ
② 输入防护 — TVS / 反接 MOSFET / π-filter / 自恢复 fuse;典型失效模式 = TVS 短路 / MOSFET 体二极管失效;DC 90%(Vin 电压监测)
③ AUX DC-DC — Flyback / Forward 拓扑,详见 HV→12V Flyback 深度 / Forward + Half-bridge 深度;典型失效 = 变压器开路 / MOSFET 短路 / 调节漂;DC 95%(OV/UV + 输出电流监测)
④ SBC 多 rail — VPRE / V3.3 / V1.2 / WDG 集中在一颗 die 内;典型失效 = rail 短路或漂 / WDG 漏咬;DC 99%(内部 BIST + OTP 校验)
⑤ POR Sequencer — 上电 / 掉电时序控制,详见 POR Sequencing 深度;失效 = 时序错乱 → MCU 进未定义态;DC 90%(sequencer feedback)
⑥ MCU / Lockstep — Aurix TC3xx 类双核 Lockstep + ECC RAM + Flash CRC;失效 = CPU 损坏 / 时钟漂 / Lockstep 失配;DC 99%(Lockstep + ECC)

2.2 FIT 分布 — SBC 主导

把每级的典型 FIT 比例摆开 — ② 5% / ③ 35% / ④ 30% / ⑤ 10% / ⑥ 20%(总 100%),SBC + DC-DC 占 65% 是 AUX 链的两大 SPOF 集中区。SM 设计的杠杆都在这两个区。

3. FIT 数据从哪来 — 3 个标准库 + 1 个 vendor

FMEDA 报告的第一个 I3 拦路问题永远是"你的 λ 从哪来"。三个公认库 + 一个 vendor 自报构成主流来源,项目开始时必须锁一个库,中途切换会推翻整个 SPFM/LFM:

来源	适用范围	特点
SN29500-1	通用电子元器件(电阻 / 电容 / IC)	西门子标准,EU 项目默认
IEC TR 62380	RIAC-HDBK-217 后继	民用航电起家,Tier 1 用
Telcordia SR-332	商用通讯设备	北美主流
Vendor datasheet	SBC / MCU / 驱动 IC 这种"系统级 IC"	TI / NXP / Infineon 自报 FIT,通常比通用库低 30–50%

工程公式 — 单元件失效率 = base FIT × 环境因子 × 工艺因子 × 温度因子:

λ_{part} = λ_{base} \cdot π_{env} \cdot π_{qual} \cdot π_{T}

其中 $π_{T}$ 用 Arrhenius 模型 — $π_{T} = e^{- E a / k \cdot (1/ T - 1/ T 0)}$ , $E a$ ≈ 0.7 eV(典型 Si), $T 0$ = 25°C。EV 主驱 ECU 工作温度 85°C → $π_{T} = e^{(0.7/8.617 \times 1 0^{- 5}) \cdot (1/298.15 - 1/358.15)}$ ≈ 96×(注:活化能对温度因子极敏感 — 若取低活化能元件 $E a$ ≈ 0.25 eV 才约 5×,故锁库时 $E a$ 必须按器件物理选准)。

典型 ASIL D 主驱 AUX 链 part FIT 锚点(85°C 工况):

部件	典型 FIT
TVS / 反接 MOSFET	1–3
AUX flyback controller + 变压器 + SR	20–40
SBC(FS65 / TLF35584 / TPS65381-Q1)	50–80
POR 外置 sequencer(若用)	5–10
Aurix TC3xx + DDR + Flash	30–50
AUX 链总 λ	100–150 FIT

4. SPFM / LFM / PMHF 给典型 8 年 ASIL D ECU AUX 链

锚定一个具体 worked example — 8 年质保 / 主驱 ECU / Aurix TC3xx + NXP FS65 SBC,AUX 链总 λ = 120 FIT(取中位)。把 ISO 26262-5 Annex E 的 3 个量化指标各算一遍:

4.1 SPFM — 残余单点故障覆盖率

SPFM 量化"硬件随机故障导致 SG 违反前,有多少比例被 SM 立即诊断捕获"。计算时把所有 safety-related 故障分类成 SPF(单点 → SM 没盖)+ RF(残余 → 部分盖)+ MPF(多点)+ safe(不导致 SG 违反),公式:

SPFM = 1 - \frac{\sum λ _{SPF} + \sum λ _{RF}}{\sum λ _{safety-related}}

AUX 链 worked:λ_safety-related ≈ 120 FIT(全链算 safety-related)λ_SPF + λ_RF ≈ 0.9 FIT(主要来自 ② 防护级 DC 未覆盖部分 + ③ DC-DC 残余):

SPFM = 1 - \frac{0.9}{120} = 99.25% \geq 99% (ASIL D) ✓

关键观察:99% 阈值对应 ≤ 1.2 FIT 残余单点 — 任何一级 DC 漏掉 5% 就直接超标。这就是为什么 ASIL D AUX 链每个 SM 都要做 SM-on-SM(下游 SM 也得有 SM 监测)。

4.2 LFM — 潜在故障覆盖率

LFM 处理"多点故障"分支 — 一个 SM 自己挂了没被发现 + 另一个故障同时发生 → SG 违反。这是 ASIL D 比 ASIL B 多出来的强约束。公式:

LFM = 1 - \frac{\sum λ _{MPF, latent}}{\sum λ _{safety-related} - \sum λ _{SPF+RF}}

AUX 链中 latent fault 主要来自三处 SM 自己挂:SBC Watchdog + ECC + Lockstep CCC 各贡献 ~1 FIT latent → λ_MPF,latent ≈ 4 FIT:

LFM = 1 - \frac{4}{120 - 0.9} = 1 - \frac{4}{119.1} = 96.6% \geq 90% (ASIL D) ✓

关键观察:LFM 由 LFDT(Latent Fault Detection Time) 决定 — 详见 LFDT 深度;SBC Watchdog 一般用 power-on BIST(每次启动跑一遍),LFDT = 平均行驶 1.5 个 trip = 1.5 小时,远低于 ASIL D 阈 24 小时。

4.3 PMHF — 全寿命周期残余风险

PMHF 把 SPF / RF / DPF / MPF latent 全部相加 → 整个 8 年寿命的失效概率:

PMHF = \sum λ_{residual} \approx 7 FIT = 7 \times 1 0^{- 9} / h

ASIL D 阈值 = $1 0^{- 8}$ /h → $7 \times 1 0^{- 9}$ ≤ $1 0^{- 8}$ 过(余量 30%)。

PMHF 余量 30% 对 ASIL D 算"刚好够用,不富余" — 任何 SM 退化(典型场景:Flash CRC 因为 EOL ECC 错误率上升)都会蹭掉 5–10% 余量。所以 PMHF 报告必须附老化曲线 + EOL 估算。

4.4 三个数字的工程含义

把 SPFM 99.25 / LFM 96.6 / PMHF 7e-9 三组数字串在一起读:

SPFM 决定 SM 在线诊断设计 — 每级 DC 必须高到把 SPF+RF 压到 ≤ 1 FIT;这是 SBC 内置 BIST / OTP / WDG Q&A 的存在理由
LFM 决定 SM-on-SM 设计 — 每个 SM 自己也要被另一个 SM 监测,这是双 watchdog / lockstep CCC / ECC 自检的存在理由
PMHF 决定老化裕度 — EOL 曲线 + thermal cycle 失效率 + workmanship aging 必须留 ≥ 20% 余量

5. DFA 在 AUX 链 — 7 类 DFI × 6 stage 耦合矩阵

ISO 26262-9 Annex C 规定 7 类 DFI(Dependent Failure Initiator) — 实务中如果只看 Power 一类就只解决了 30% 的 DFA 风险。把 7 类 × AUX 链 6 stage 摆成矩阵,红格 = 必出 DFA 工单 + 缓解措施 + work product:

DFA × AUX 链 — ISO 26262-9 Annex C 7 类 DFI 在 6 级电源链的耦合矩阵

5.1 五个必出 DFA 工单

矩阵里 ★ 标记的格子展开 — 每个都对应 I3 评审上一个 DFA work product:

① Power 整链共 Vin — 12V 短路 / 反接 → 6 级同时挂(单点共因)。缓解:独立电池备份 + 反接 MOSFET 真断开 + Vin OV/UV 监测;参考 Reverse Polarity 深度 §4
② SBC 物理集中 — VPRE / V3.3 / V1.2 / WDG 同一 die,die 失效 = 4 个 rail + 看门同时挂;缓解:双 watchdog(SBC + MCU 内部 STM 互查)+ 双 reset 信号;参考 SBC Watchdog 深度 + CCF §8
③ Resource 共 reset 线 — SBC reset_n 拉低 → MCU + 外设(CAN 收发器 / 驱动 IC)同时复位 → 信号瞬间不一致;缓解:reset 分两路(MCU 单独 + 外设链单独)+ STM 看门
④ Communication 共 SPI — SBC ↔ MCU 用一根 SPI,SPI 卡死 = 配置丢 + WDG Q&A 失效;缓解:E2E CRC + sequence counter + timeout 三件套(详见 CAN E2E + SecOC)
⑤ Implementation 同 BSW — SBC driver + WDG manager 都来自一家 vendor(典型 Vector MICROSAR),编译 bug 同时影响 SBC 配置 + WDG 心跳;缓解:tool qualification(详见 Tool Qualification 深度)+ diverse compile 或独立 review

5.2 Power + Resource + Communication 是 80% 价值

按主机厂 30 个 ASIL D AUX FMEDA 报告统计,DFA 找到的真实 CCF 80% 集中在 Power / Resource / Communication 3 类。Physical / Environment 因为 PCB 散热设计已经把热区分得清,Implementation 因为 toolchain 越来越成熟,二者风险已经退到 20%。新项目 DFA 优先扫这 3 类。

6. SBC 双 Watchdog 真独立 — 3 方案对比

SBC 是 AUX 链最大 SPOF,但 SBC 内置 watchdog 不能监测自己 — 这是 CCF 深度 §8 已经讲过的命题。AUX 视角下需要额外强调三个方案的残余 CCF:

方案	独立性来源	残余 CCF	ASIL 适用
仅 SBC 内置 WDG	共 die / 共 power / 共 clock	高	≤ ASIL B
外置硬件 WDG + SBC WDG	物理分离 die + 独立 VCC	中 — 共 reset 链	ASIL C
MCU 内部 STM + SBC Q&A WDG	真双向互查 + 独立时钟 + 双路 reset	低	ASIL D

ASIL D 方案的关键工程化 — STM(System Timing Monitor)在 MCU 内部跑独立时钟域 + 跑独立软件任务,定期发 SPI 命令到 SBC 读 WDG 状态;同时 SBC 也用 Q&A 协议反向问 MCU 心跳。两条独立链各有 6 个 DFI 缓解措施,IS 26262-9 Annex D 评分通常拿 ≥ 60 分。

7. AUX FMEDA 报告 8 段 — I3 评审对标

I3 评审(TÜV / SGS / DEKRA)对 AUX 链 FMEDA 报告的预期结构来自 ISO 26262-5 Annex E + Part 9 Clause 7,8 段缺一不可:

Scope + 边界图 — 标注 ECU pin level + boundary diagram + AoU 列表(load dump / reverse polarity / ESD)
假设 + AoU — 引用 SEooC 实战深度的 AoU 模板
FIT 库引用 — 锁一个库 + 备注切换历史
失效模式列表(FMEA) — 6 级 × 每级 4–8 模式 = 30–50 条
SM 列表 + DC 矩阵 — 每个故障模式 → 哪个 SM 盖 → DC %
SPFM / LFM / PMHF 计算 — 含 Arrhenius 温度因子 + 8 年寿命外推
Safe State 切换路径 — 链 Safe State Manager 深度;每级故障 → SS1(降功率)/ SS2(切断)
未覆盖部分残余风险论证 — DC < 100% 的部分必须写"为什么残余风险可接受"

报告字数典型 80–150 页,完整一份 AUX FMEDA + DFA 报告人工写作 4–6 周;**IQ-FMEDA 工具(详见 Functional Safety 工具栈)**可压缩到 1.5 周。

8. 5 个 AUX FMEDA 工程陷阱

新项目踩坑几乎都集中在 5 类 — FIT 库 / 边界 / DC / latent / DFI 完整性:

陷阱	描述	预防
FIT 库不一致	SN29500 vs SR-332 vs vendor 数值差 3–5×	锁一个库,vendor 提供数据折算回标准库
边界不清	12V 输入算不算 ECU?BCM 上游算不算?	boundary diagram + AoU 列表写在 §1
DC 估算过高	SM 自报 99% 但 SM 自己也会挂 → 实测 ~93%	SM-on-SM 量化 + 校准实测 DC
latent 没算	只算 SPFM 不算 LFM → I3 退回	LFDT 测试 + power-on BIST + 24 小时 trip 周期
DFA 漏 7 类	只看 Power / Comm 漏 Implementation / Resource	走完 ISO 26262-9 Annex C 7 类 checklist

核心要点

AUX 链是 ECU FMEDA 的 SPOF 集中点 — SBC + DC-DC 占总 FIT ~⅔(65%)
6 级 chain × 失效模式 × DC × Safe State 是 AUX FMEDA 颗粒度
典型 120 FIT → SPFM 99.25% / LFM 96.6% / PMHF $7 \times 1 0^{- 9}$ /h,过 ASIL D 三阈但余量仅 30%
FIT 库 3 个标准 + vendor 自报,项目开始就锁一个,Arrhenius 温度因子 85°C → ~96×(Ea=0.7eV)
ISO 26262-9 Annex C 7 类 DFI,AUX 链主战场是 Power + Resource + Communication(占 80% 价值)
SBC 双 Watchdog 真独立 = MCU STM + SBC Q&A 双向互查 + 独立时钟 + 双路 reset
AUX FMEDA 报告 8 段 对标 ISO 26262-5 Annex E + Part 9 Clause 7
5 陷阱:FIT 库 / 边界 / DC 高估 / latent 漏算 / 7 类 DFI 不全

缩写表

只列本页专业 FS 术语(常识缩写 ASIL / ECU / MCU / SBC / IEC / ISO / EV / HV / ESD / WDG / CCF / OEM 等不重复):

缩写	全称 / 中文	备注
AoU	Assumption of Use	SEooC 接口假设清单
DC(this page)	Diagnostic Coverage	诊断覆盖率(SM 捕获故障的比例);勿混 Direct Current
DFA	Dependent Failure Analysis	共因 / 共连失效分析
DFI	Dependent Failure Initiator	共因失效触发源(ISO 26262-9 Annex C 7 类)
FFI	Freedom From Interference	干扰免疫(ISO 26262 §6.4)
FIT	Failures In Time	每 $1 0^{9}$ 小时失效次数(失效率单位)
FMEDA	Failure Mode Effects and Diagnostic Analysis	失效模式 + 诊断 + 量化分析(ISO 26262-5 Annex E)
I3	Independent Safety Assessment	独立安全评估(TÜV / SGS / DEKRA / Rheinland)
IQ-FMEDA	exida 商用工具	主流 FMEDA 工具(对比 Polarion / Medini)
LFDT	Latent Fault Detection Time	潜在故障检测时间(ASIL D 24 h 内必触发)
LFM	Latent Fault Metric	潜在故障度量(ASIL D ≥ 90%)
MPF / SPF	Multiple / Single Point Fault	多点 / 单点故障(FMEDA 分类)
PMHF	Probabilistic Metric for Random HW Failures	随机硬件失效概率(ASIL D ≤ $1 0^{- 8}$ /h)
RF(this page)	Residual Failures	残余故障(SPFM 公式分子);非"射频"
SecOC	Secure Onboard Communication	AUTOSAR 安全总线协议(消息认证 + counter)
SEooC	Safety Element out of Context	跨组织安全件(Tier-2 ↔ Tier-1)
SN29500-1	Siemens reliability handbook	西门子可靠性数据库(EU 主流 FIT 库)
SPFM	Single-Point Fault Metric	单点故障度量(ASIL D ≥ 99%)
SR-332	Telcordia reliability prediction	北美主流可靠性库(对比 SN29500)
STM	System Timing Monitor	MCU 内部独立时钟域看门(SBC WDG 对偶)
TÜV	Technischer Überwachungsverein	德国技术监督协会(I3 评估)

Cross-references

← 索引
辅助电源全栈 hub — 上位 hub
功能安全工程师指南 — 上位 hub(交叉)
FMEDA 深度 — SPFM / LFM / PMHF 数学
DFA / FMEDA / FTA — 三种分析方法对比
共因失效(CCF)深度 — 7 类 DFI + β factor + Lockstep CCF
SBC Watchdog 深度 — Simple / Window / Q&A 三档协议
SBC 多 rail Sequencing — POR 时序 + latch-up
Safe State Manager 深度 — SS1 / SS2 切换
LFDT 深度 — Latent Fault Detection Time
Tool Qualification 深度 — IQ-FMEDA / Polyspace
HV→12V Flyback 深度 — AUX DC-DC ③
Forward + Half-bridge AUX 深度 — AUX DC-DC ③ 中功率段
POR Sequencing 深度 — Sequencer ⑤
Reverse Polarity 深度 — 防护 ②
辅助电源 PCB Layout + 散热深度 — DFA 7 类落到 PCB 物理实现的 checklist
Driver IC FMEDA worked deep — 对偶 worked(主功率链 6-pack)
EV ECU FMEDA 总集成深度 — 上位系统级合并 worked(三链 → ASIL D)