PMHF + 7×6 DFI 矩阵

驱动与保护L1别名 Driver IC FMEDA · 6-pack driver FMEDA · 主功率链 FMEDA · driver IC SPFM LFM · SEooC driver

本质与导读

本质主功率链 6-pack driver IC 的 FMEDA 跟 AUX 单 SBC 性质不同:数量 6× 让 FIT 叠加、SPF 集中在单 die 的 OUT_H/OUT_L 输出 FET、6 路又共 supply/PWM/reset/热区/vendor 使 DFI 矩阵全红。后果是单链 SPFM/LFM/PMHF 都过不了 ASIL D,必须靠系统级补 SM + B(D)+B(D) 分解才达标。

主线坐标:第 5 站 · 逆变器(栅驱 + 功率模块) · ↑ 全景主线

1. 为什么 driver IC FMEDA 跟 AUX 链不同

EV 主驱 ECU 总 FIT 200–300,其中 AUX 链 100–150 FIT(aux-fmeda 已 worked)、主功率链 80–120 FIT 由 driver IC + driver supply + 模块 + 反馈环路四部分组成。driver IC 是主功率链 FIT 最大的单一贡献者(60–90 FIT,6×~10–15 FIT per IC),但跟 AUX 的 SBC 有 3 个关键区别决定了 FMEDA 写法不同:

数量 6×:6-pack 主驱配 6 个 driver IC,失效率简单 6 倍(SBC 是单点)
SPF 集中:driver IC SPF 集中在 OUT_H / OUT_L 输出 FET die(stuck-high / stuck-low),不像 SBC 那样分散到多个 rail
DFA 必算 6 路共因:6 个 driver IC 几乎共所有外部依赖(supply / MCU / reset / 热 / vendor),7 类 DFI 在 6×6 矩阵上全红

这就是为什么 SEooC 视角下 driver IC FMEDA 必须单 IC + 6× 叠加 + 6 路 DFA三层写,缺一不可。

2. 6-pack 主驱 Driver IC FMEDA 边界 + pin-level 失效模式

把单 driver IC 当 SEooC,FMEDA 边界画清:input pins (IN_PWM / EN / VCC1) 是 Tier-1 接口的 AoU;output pins (OUT_H / OUT_L / CLAMP / DESAT / VCC2 / VEE2) 是 SEooC 内部 SM 监测的对象。pin-level 失效模式 6 大,合计 100% FIT:

6-pack 主驱 Driver IC FMEDA 边界 — pin-level 失效模式 + SM + FIT 分布

2.1 6 大失效模式逐一说明

每个模式的物理来源 + 内置 SM + DC + Safe State:

① OUT stuck-high(25% FIT) — output FET die 短路 / latch,SiC 长开导致直通烧管;driver 内置 DESAT 检测 → FAULT pin 拉低,DC 90%;Safe State 2 切相
② OUT stuck-low(20% FIT) — output FET die 开路 / GND short,SiC 长关导致 6-pack 失相;MCU 通过 RDY 信号超时检测,DC 85%;Safe State 2 切相
③ UVLO 失效(10% FIT) — UVLO 检测 die 损坏,VCC2 跌落但 driver 还在开关;上电 BIST + RDY 监测,DC 95%;Safe State 1 禁开机
④ DESAT 误报(15% FIT) — DSAT 比较器 Vth 漂移(温漂 / 老化),正常工况下被误判短路;MCU 校 DESAT 时序窗(blanking 时间),DC 70%;Safe State 2 切相(上报)
⑤ 隔离障击穿(5% FIT) — 5 kV reinforced 障老化或污染击穿 → 共模流;Viso 在线监测 + 硬件 trap → Safe State 2,DC 99%(在线检测 → detected SPF,残余计入 SPFM,非 latent)
⑥ CLAMP 失效(25% FIT,隐藏)— AMC FET 损坏导致 Miller false trigger;无内置 SM(latent),DC 25%(靠系统级 oscilloscope 抓);这是 driver IC FMEDA 最大的 latent 弱点

⑥ CLAMP 失效占 25% FIT 但 DC 只有 25% — 这是 driver IC SEooC 的最大设计 gap,旗舰 IC(TI UCC21750-Q1 / Infineon 2EDi3xxx) 已经加入 CLAMP 自检 BIST 把 DC 拉到 60%,但 2026 主流 IC 还在这条线下。

颗粒度提醒 — pin-level 是教学简化,die-level 才是量产 FMEDA:上面 6 大模式是 pin-level 汇总,但 I3 评审要的 component-FMEDA(ISO 26262-5 Annex E)更细——每个 pin-level 模式是多个物理机理的并集,DC 各异:

OUT stuck-high(25%) 拆:输出 FET die 短路(~15%,DESAT 可检)/ latch-up(~5%,可检)/ bond-wire 桥接(~5%,DESAT 难检)→ 合并成"90%"是加权平均
隔离障击穿(5%) 拆:介质 TDDB 老化(渐变,在线 Viso 可检)/ 污染闪络(突发,可检性低)
CLAMP 失效(25%) 拆:clamp MOS 开路(零 PWM 自检可抓)/ 阈值漂移(自检漏 → latent)/ 逻辑死

后果:pin-level 的 DC 是加权平均,乐观掩盖了某细机理的低 DC(bond-wire 桥接、阈值漂移)。ASIL D 报告须展开到 die/bond/metallization 级(典型 20-30 行),否则 I3 退回。本页 pin-level 数字是教学简化。

3. 6-pack SiC 主驱 SPFM / LFM / PMHF worked example

锚定具体场景 — 50 kW SiC 主驱 ECU / 8 年质保 / Aurix TC3xx + 6 × TI UCC21750-Q1,主功率链总 FIT 计算:

3.1 FIT 分布

主功率链 4 大部件 FIT 锚点(85°C 工况):

部件	单件 FIT	数量	总 FIT
Driver IC (UCC21750-Q1)	10	6	60
Driver isolated supply (Recom REM3)	3	6	18
SiC MOSFET module	0.5	6	3
反馈环 (current sense / DESAT R)	0.3	6	~ 2
主功率链总			~ 80 FIT

driver IC 占 75%,是 FMEDA 的绝对主战场。

3.2 SPFM

SPF + RF 来源:

① OUT stuck-high 残余(DC 90%)= 60 × 0.25 × (1-0.9) = 1.5 FIT
② OUT stuck-low 残余(DC 85%)= 60 × 0.20 × (1-0.85) = 1.8 FIT
③ UVLO 残余(DC 95%)= 60 × 0.10 × 0.05 = 0.3 FIT
④ DESAT 误报残余(DC 70%)= 60 × 0.15 × 0.30 = 2.7 FIT
其它 = ~ 1 FIT

合计 λ_SPF+RF ≈ 7.3 FIT:

SPFM = 1 - \frac{7.3}{80} = 90.9% < 99% (ASIL D 阈)

主功率链 SPFM 不过 ASIL D 阈! 这就是为什么 SiC 主驱必须 系统级补 SM(MCU + 外置 DESAT R + 相电流采样冗余 + 温度监测),把 DC 拉到 ASIL D 要求。

3.3 系统级 SM 补救后

加 MCU 端 SM 后:

① OUT stuck-high + MCU 相电流采样异常 → DC 99%(driver 90% + MCU 90%,串联)→ 残余 0.15 FIT
② OUT stuck-low + MCU RDY 超时 → DC 99% → 残余 0.18 FIT
④ DESAT 误报 + MCU blanking 时序校 → DC 95% → 残余 0.9 FIT

合计 λ_SPF+RF ≈ 1.7 FIT:

SPFM = 1 - \frac{1.7}{80} = 97.9% \approx 99% (接近 ASIL D 阈)

仍差 1.1 percent — ASIL D 主驱靠 B(D)+B(D) 分解 + 系统级冗余:两条独立通道各按 B 开发(省单链开发严格度/成本),但合并架构仍须满足 SPFM≥99%——靠两通道互补诊断 + DFA 达成,不是把 99% 阈降到 B(且分解前提是独立性,本页 6 路共 supply/MCU/热区须先过 DFA;详见 ASIL Decomposition 深度)。

3.4 LFM 与 PMHF

LFM 主要来自 ⑥ CLAMP 失效(25% FIT,DC 25%)—— ⑤ 隔离障是 detected SPF(在线 99%),不计 latent:

λ_MPF, latent = 60 × 0.25 × (1-0.25) ≈ 11.3 FIT(⑤ 隔离障已作 detected SPF 计入 SPFM,不入 latent)
LFM = 1 - 11.3 / (80 - 1.7) = 85.6% < 90% ASIL D 阈

LFM 也不过! 这是 driver IC SEooC 的另一个硬约束 — 必须系统级补 CLAMP 自检 SM(MCU 定期发零 PWM 测 OUT 波形,DC +60%):

补救后 λ_MPF, latent ≈ 4.5 FIT → LFM = 94% ✓

PMHF = 残余 (SPF + LF + 其它) ≈ 6 FIT = $6 \times 1 0^{- 9}$ /h ≤ $1 0^{- 8}$ ASIL D 阈 ✓(余量 40%)。

3.5 三个数字的工程含义

把 SPFM / LFM / PMHF 三组数字串在一起读 — 揭示 driver IC SEooC 的工程边界:

SPFM 99% 必须系统级 SM(MCU 配合 driver 内置 SM)
LFM 90% 必须外置 CLAMP 自检(driver IC 内置 BIST 不够)
PMHF $1 0^{- 8}$ 配合 ASIL Decomposition 分解到 B(D) + B(D)

driver IC 自身做不到 ASIL D — 必须跟 MCU + 系统 SM 联合。这是 SEooC AoU 跟 Tier-1 integration 的核心。

4. DFA — 7 类 DFI × 6 路 driver 共因矩阵

6 个 driver IC 几乎共所有外部依赖,7×6 = 42 格里 30+ 格红:

DFA × 6-pack driver — 7 类 DFI 在 6 路 driver 间的共因矩阵

4.1 6 个 DFA 主战场

矩阵里红格集中的 6 个主战场,每个对应一个 I3 评审 DFA work product:

① 共 +15V/-3V 栅驱 supply — 6 路 driver 共 1 个 1 W 隔离 supply,supply 短路 → 6 路同时挂;缓解:6 路独立 supply(Murata MGJ × 6 颗)或 SBC + 在线 VGS 监测 SM
② 同 leg HS+LS 物理 — U/V/W 各相 HS+LS driver 共 PCB 区域,同相直通击穿(SiC 1500V 应力);缓解:HS/LS 物理隔离 + dead-time + DESAT 双重(详见 Dead-time tuning 深度)
③ 共 MCU PWM 信号 — MCU TIM 卡死 → 6 路 PWM 全错;缓解:MCU Lockstep + STM 看门 + 硬件 trap(详见 Lockstep Core 深度)
④ 共 MCU reset — SBC reset_n 拉低 → 6 路 driver EN 全失;缓解:双 reset 链(MCU 单独 + 外设链单独)
⑤ 主驱共热区 — 6-pack 模块同一热岛(典型 80°C ambient → 105°C ambient + Tj 150°C),6 路 driver 同时退化;缓解:NTC × 6 独立监测 + thermal derating
⑥ 同 vendor / 同 SKU — 6 路同一 IC 批次,制造缺陷是 CCF;缓解:跨批次采购 + 上电 BIST 校 + 在线 diagnostic

4.2 跟 AUX 链 DFA 对比

AUX 链的 aux-fmeda-dfa-deep §5 主战场是 Power / Resource / Communication(占 80%),driver 链不同:driver 链多 1 个"主驱热区"(Environment) 是主战场(因为 6-pack 模块自身就是发热源),Implementation 也升级到主战场(同 SKU 制造缺陷)。这是主功率链跟 AUX 链 DFA 的根本差异。

5. SEooC AoU 视角 — driver IC 跟 Tier-1 的接口

driver IC 是典型的 SEooC — 供应商(TI / Infineon)按通用安全假设设计,Tier-1(博世 / 大陆)集成时必须接住 AoU 列表:

5.1 driver IC Safety Manual 12 章对应到 FMEDA

按 Driver IC Safety Manual 阅读法 §1 12 章模板,FMEDA 相关章节:

§3 AoU(Assumption of Use):Tier-1 必须接住,典型 6 条 — VCC1 5V/±5% / IN_PWM 时序窗 / 共模噪声边界 / 散热条件 / dead-time / 上电时序
§4 Safety Architecture:driver 内置 SM 列表(UVLO / DESAT / AMC / RDY / FAULT pins)
§6 FMEDA 量化:vendor 提供 FIT + DC + 失效模式分布(直接代入 Tier-1 FMEDA)
§9 Integrator Responsibilities:vendor 列出 Tier-1 必须补的系统级 SM(典型 4 项:MCU 端 RDY 超时 / 相电流采样冗余 / CLAMP 自检 / 温度监测)

5.2 AoU 不接住的后果

Tier-1 没接住 AoU 是 driver IC SEooC 集成失败的 #1 原因。典型案例:

VCC1 实际工作在 4.7V(超 AoU ±5% = 4.75–5.25)→ 驱动逻辑工作但 timing 偏移 → DESAT 误报
IN_PWM 最小 pulse 100 ns(超 AoU 200 ns)→ 内部 propagation delay 不足 → 输出窄脉冲消失
上电时序错 — VCC2 先于 VCC1 上电 → driver 内部 latch-up

ASIL D 项目的 SEooC integration 评审清单必含 AoU 接住验证 100%(I3 评审强制)。

6. driver IC FMEDA 跟 AUX 链 FMEDA 对照

两条 FMEDA 平行线的对照,帮 ASIL D 项目把 ECU 总 FMEDA 报告写完整:

维度	AUX 链 FMEDA	Driver IC FMEDA
总 FIT	100–150	80–120
失效率主体	SBC(50–80 FIT)	Driver IC(60 FIT,6×10)
SPF 集中	SBC 多 rail + WDG	Driver IC OUT_H/OUT_L FET
SPFM 单链	99.25%(单 SBC 内置 SM 够)	90.9%(必须系统级补 MCU SM)
LFM 主体	Watchdog + ECC	CLAMP 失效(latent)
DFA 主战场	Power + Resource + Comm(3 大)	+ 主驱共热区 + 同 SKU(5 大)
ASIL D 实现	单 SBC + 双 WDG	6 × driver + B(D)+B(D) 分解

ECU 总 FMEDA 报告必须两条链都过 ASIL D 三阈,任一条不过都不能 I3 签字。

7. 5 个 driver IC FMEDA 工程陷阱

I3 评审退回 driver IC FMEDA 报告几乎都落在这 5 类 — 都是 ASIL D 主驱 NPI 阶段反复出问题:

陷阱	描述	预防
FIT 单 IC 6 倍叠加忘	报告里只算 1 个 driver IC FIT,没 6×	FMEDA 边界图明确"6 个 IC 独立计 FIT"
CLAMP latent 漏算	25% FIT 隐藏失效,不算 LFM	必算 + MCU 端补 CLAMP 自检 SM
DFA 漏 Environment	主驱热区 6 路同时退化是 DFI	NTC × 6 独立 + thermal derating
AoU VCC1 边界忽略	实际 4.7V 跑超 4.75V AoU	DV 测试卡 VCC1 ±5% 强制
ASIL D 单链 99% 硬撞	driver IC SEooC 单链 SPFM 不过	B(D) + B(D) ASIL 分解

核心要点

主功率链 FMEDA(driver IC + driver supply + 模块)是 EV ECU 总 FMEDA 的第二条平行线,典型 80 FIT
driver IC 数量 6×,SPF 集中在 OUT_H/OUT_L FET,DFA 必算 6 路共因
6 大失效模式 FIT:OUT stuck-high 25% / stuck-low 20% / UVLO 10% / DESAT 误报 15% / 隔离障 5% / CLAMP 25%(latent)
CLAMP 失效是 driver IC SEooC 最大 latent gap(25% FIT × DC 25%)— 必须系统级补
单链 SPFM 90.9% 不过 ASIL D → 必须 MCU + 系统 SM 联合 + B(D)+B(D) ASIL 分解
7 类 DFI × 6 路 driver 矩阵 30+ 格红,6 大 DFA 主战场:共 supply / 同 leg / 共 PWM / 共 reset / 共热区 / 同 SKU
driver IC 是 SEooC,12 章 Safety Manual + §3 AoU + §9 Integrator Responsibilities 必读
跟 AUX 链 FMEDA 平行,两条都过 ASIL D 才能 I3 签字
5 陷阱:6 倍叠加 / CLAMP latent / Environment DFI / AoU 边界 / ASIL 分解

缩写表

只列本页专业术语:

缩写	全称 / 中文	备注
AMC	Active Miller Clamp	主动密勒钳位(防 Miller false trigger)
AoU	Assumption of Use	SEooC 接口假设清单
BIST	Built-In Self-Test	集成自测
CLAMP	(driver pin) Active Miller Clamp output	AMC 输出 pin
DESAT	Desaturation detection	短路检测(VDS 异常升高)
DFA / DFI	Dependent Failure Analysis / Initiator	共因失效分析 / 触发源(ISO 26262-9 Annex C 7 类)
DC(this page)	Diagnostic Coverage	诊断覆盖率;勿混 Direct Current
FIT	Failures In Time	每 $1 0^{9}$ 小时失效次数
FMEDA	Failure Mode Effects and Diagnostic Analysis	失效模式 + 诊断 + 量化分析
HS / LS	High-Side / Low-Side	高边 / 低边 SiC switch
I3	Independent Safety Assessment	独立安全评估(TÜV / SGS / DEKRA)
LFDT	Latent Fault Detection Time	潜在故障检测时间
LFM	Latent Fault Metric	潜在故障度量(ASIL D ≥ 90%)
OUT_H / OUT_L	(driver pin) Gate driver high-side / low-side output	输出 FET 推 SiC 栅极
PMHF	Probabilistic Metric for Random HW Failures	随机硬件失效概率(ASIL D ≤ $1 0^{- 8}$ /h)
RDY	(driver pin) Ready signal	driver 内部健康指示
SEooC	Safety Element out of Context	跨组织安全件(driver IC 默认 SEooC)
SM	Safety Mechanism	安全机制
SPFM	Single-Point Fault Metric	单点故障度量(ASIL D ≥ 99%)
SS1 / SS2	Safe State 1 / 2	安全状态(SS1 降功率 / SS2 切相)
STM	System Timing Monitor	MCU 内部独立时钟域看门
UVLO	Under-Voltage Lock-Out	欠压锁定
VGS / VDS	Gate-Source / Drain-Source voltage	MOSFET 栅源 / 漏源电压
Viso	Isolation voltage	隔离障耐压(5 kV reinforced)

Cross-references

← 索引
Driver Protection 全栈 — 上位 hub
功能安全工程师指南 — 上位 hub(交叉)
辅助电源 FMEDA + DFA 深度 — 对偶 worked(AUX 链)
Driver IC Safety Manual 阅读法 — SEooC 12 章模板
SEooC 实战深度 — Tier-2 ↔ Tier-1 接口工程
FMEDA 深度 — SPFM / LFM / PMHF 数学
ASIL 分解深度 — B(D) + B(D) 分解
共因失效(CCF)深度 — 7 类 DFI 详解
Lockstep Core 深度 — MCU 共 PWM SM
Dead-time tuning 深度 — 同 leg HS+LS DFI 缓解
Active Gate Driving 深度 — CLAMP 集成新方向
Safe State Manager 深度 — Safe State 1/2 切换
EV ECU FMEDA 总集成深度 — 上位系统级合并 worked(三链 → ASIL D)