Driver IC Safety Manual — 怎么找 / 怎么看 / 5 个 quick check

功能安全L1别名 safety manual · FMEDA report · SEooC 文档 · driver IC FuSa · assumptions of use · AoU

本质与导读

本质隔离栅极驱动 IC 作为 SEooC 交付,datasheet 只给电气参数,真正让 ASIL D 系统跑得下去的是 NDA 的 Safety Manual——它给 SM 列表、AoU、DC 数值和 integrator responsibilities;没拿到它(以及对应 vendor portal 的下载权限),你的功能安全闭环根本无从建立。

主线坐标:第 5 站 · 逆变器(栅驱 + 功率模块) · ↑ 全景主线

1. 整体框架

每一家驱动 IC vendor 的 Safety 文档体系都按 ISO 26262 Part 10 SEooC 模板组织 — 公开 datasheet 给电气参数,Safety Manual 在 customer portal,FMEDA / FIT 报告则按等级分发。下图把标准 12 章 TOC + 工程师 5 个 quick check 一次看清:

驱动 IC Safety Manual — 标准结构 + 5 quick check

2. 4 类文档对照

vendor 给的 Safety 文档体系不是单一 PDF,而是4 类各自分工的文件 — 公开 datasheet 给电气参数,NDA 的 Safety Manual / FMEDA 给 SM 与数值,部分公开的 FIT report 用于 PMHF 计算。下表把 4 类放一起对照:

文档	公开/NDA	内容	用途
Datasheet	公开	电气参数 + pin / 时序 + 应用提示	选型 + 设计
Safety Manual	NDA / customer portal	AoU + SM 列表 + DC + 责任分工	集成 + safety case
FMEDA Report	NDA (FAE 给)	元件级失效模式 + FIT 拆分	系统级 FMEDA 累加
FIT Rate Report	部分公开 / NDA	累积 FIT 数据 + Tj 校准	PMHF 计算

没 Safety Manual 你做不了 system-level FMEDA,因为 SM 的 DC 值在 manual 才公布,datasheet 只说"该 IC 有 DESAT 检测",不给 DC 99% 这种数值。

3. 主流 vendor 分发模式

3.1 Infineon 1ED34xx (EiceDRIVER X3)

Infineon 把 Safety 资料锁在 myICP customer portal,需要 FAE / 经销商提升账号到 partner 才能下:

Datasheet: infineon.com 产品页公开
Safety Manual + FMEDA + Safety Analysis Report: myICP customer portal
获取路径:
1. myinfineon.com 注册公司邮箱
2. FAE / 经销商提升账号到 "partner" tier
3. 进 myICP → EiceDRIVER X3 → 下 FuSa package
claim:SEooC up to ASIL D(系统级,SM 配齐时)
文档体量:Safety Manual ~150 页 / FMEDA Excel ~5000 行

3.2 TI UCC21750-Q1 / UCC21520-Q1 / ISO5852S(注:ISO5852S 是 TI 不是 ADI)

TI 的 functional safety 文档最开放 — 登录 ti.com 就能下,文献编号是 SFFSxxx 系列。这对中小企业 / 初创非常友好,Infineon partner 账号那种门槛在 TI 几乎没有:

Datasheet: ti.com/lit/ds/symlink/PARTNUM.pdf 公开
Safety Manual + FIT report: TI 文献编号 SFFSxxx
获取路径:
- 产品页 → "Order now" → "Functional Safety" tab
- 或 TI FAE 直接发(通常不需 NDA,只需 ti.com 登录)
示例:TCAN4550-Q1 Safety Manual sffs246.pdf 是公开样本
claim:up to ASIL D(SEooC + 外部诊断)
TI 政策比 Infineon 更开放,适合中小企业 / 初创

3.3 ADI / Analog Devices (ADuM4135 / ADuM4221)

ADI 走"中间路线":datasheet 含 Functional Safety Capability Annex 是公开的(摘要 5-10 页),完整 Safety Manual 通过专用邮箱申请。这里有个常见误标需要先澄清:

注意:ISO5852S 不是 ADI 的,是 TI 的(Burr-Brown legacy)
ADI 真正的隔离驱动 IC:ADuM4135 / ADuM4136 / ADuM4221
Datasheet + Functional Safety Capability Annex(公开,5-10 页 summary)
完整 Safety Manual: functional.safety@analog.com 邮件申请

3.4 onsemi NCV57001 / NCV57000

onsemi 的 functional safety 分两档(Design vs Support tier),NCV57 系列属于 Support 等级 → 没完整 Safety Manual,只有 FMEDA 摘要:

Datasheet: onsemi.com 公开
Safety Manual: 可能没有 — onsemi 分两档:
- Safety Design parts → 完整 manual
- Safety Support parts → 只 FIT report + qualification data
NCV57000 系列属 Safety Support tier,FAE 给 FMEDA 摘要,没完整 manual
不推荐 ASIL D EV 主驱直接用

3.5 Bosch SIC400(集成模块 + driver)

Bosch SIC400 是集成模块(driver + SiC + protection 一颗内),分发模式与上面 IC 厂完全不同 — 走 OEM 合同,任何外部工程师接触不到:

完全 NDA / OEM-only — Bosch Mobility 客户合同分发
公开只有 marketing PDF
集成 IC + 模块 + driver 一起 — 系统级 safety case 由 Tier-1 / OEM 负责
中小公司接触不到 — 通常通过整车 OEM 间接拿

4. ISO 26262 Part 10 SEooC 标准 12 章

Safety Manual 的章节顺序高度标准化,几乎每家 vendor 都按这个模板:

Scope & assumed use case — IC 假设在什么应用里(typically "3-phase traction inverter")
Product overview & block diagram — 边界 + 内外接口
Mission profile — 温度 / 电压 / 开关频率 / 寿命假设
Assumptions of Use (AoU) ★ — 编号清单,违 1 条 = 整 SM 失效
Safety concept & SM list — SM-01 / SM-02 / ... 每个 SM 有编号 + 触发条件
FMEDA quantitative results ★ — FIT / SPFM / LFM / PMHF 总和 + 拆分
DC per SM — 60% / 90% / 99% claims
Dependent failure analysis (CCF) — pin 短到 VCC/GND / supply collapse
Integrator responsibilities ★ — 系统级必须加的 SM(外部 watchdog / SBC / OC sense)
Avoidance of systematic faults — 开发流程 / 工具 / dev-kit 限制
Pin-level fault hypothesis table (optional)
Confirmation measures checklist (optional)

★ 标记的 3 章 (4/6/9) 是必读。其它章在快读时可跳过,深做时回来。

5. 5 个 quick check (工程师快读顺序)

Check 1 — AoU 列表先看

打开 Safety Manual 第 ④ 章 Assumptions of Use (AoU)。每个 AoU 是编号约束:

例:"AoU-01: Supply voltage Vcc rise time shall be less than 5ms"
例:"AoU-12: Output OUT_L pin shall be connected to gate through Rg ≤ 10Ω"
例:"AoU-23: Application shall not perform hot-swap at the isolation barrier"

任何一条违反 = 整 IC 的 SM 失效,整个 ASIL D claim 作废。

实操:打印 AoU 列表 → 跟 schematic 对照 → 把违反项标红 + 跟 vendor FAE 确认(可能可以加补偿 SM)。

Check 2 — SPFM / LFM 数值

第 ⑥ 章 FMEDA Quantitative Results 必须有三项核心数字:

SPFM(Single-Point Fault Metric): ≥ 99% for ASIL D, ≥ 90% for ASIL B
LFM(Latent Fault Metric): ≥ 90% for ASIL D, ≥ 60% for ASIL B
PMHF: < 10 FIT for ASIL D, < 100 FIT for ASIL B

只给总 FIT (例 50 FIT) 而没 SPFM/LFM 拆分 = 不是真 safety manual,只是 FIT report。这种文档不能直接用于 system 级 FMEDA。

Check 3 — SM 到 pin/signal 的映射

第 ⑤ 章 SM list 每项必须有触发条件 + 输出接口:

例:SM-01 DESAT → 触发后通过 nFLT pin 拉低 → integrator 必须把 nFLT 接 MCU IRQ
例:SM-05 OCP → 输出 OC_DETECT pin

对照自己 schematic — nFLT 接到 MCU 了吗?中间经过 buffer 吗?buffer 加多少 delay → 是否破坏 FRTI(Fault Reaction Time Interval)?

Check 4 — Integrator Responsibilities

第 ⑨ 章 vendor 列出他不负责的部分,整套系统级 SM 必须由集成方加。

常见 integrator 责任:

外部 watchdog(SBC 内置)
MCU 端 DESAT 交叉检查(信号入 MCU 再比较)
上层 plausibility check
冗余 PWM 路径
power supply 监视

这一章往往比 SM list 还重要 — vendor 用它撇清 30-50% 的工作给集成方。提前看 = 项目早期评估工作量;晚看 = 量产前发现还差 5 个 SM。

Check 5 — Mission Profile 校准

第 ③ 章给的 mission profile 是vendor 假设条件,常见:

Tj 125℃ average
8000 hours lifetime
1000 power cycle

但 EV 主驱实际工况:

Tj 150-175℃ (Arrhenius:FIT 翻 ~2-3× @150℃,~5-8× @175℃,Ea 0.5-0.7 eV)
12000+ hours (8 年质保 + margin)
1.5M+ power cycles

FIT 必须 scale:vendor 给 30 FIT → EV 工况下可能 80-100 FIT。这种 mismatch 直接影响系统级 PMHF。

工程上必跟 vendor 索要mission profile dependent FIT 函数(FAE 通常能给一个 Tj 修正系数表)。

6. 没找到 Safety Manual 时怎么办

如果 vendor 死活不给(或者你是初创没 FAE 通道):

6.1 替代信息源

实在没拿到 Safety Manual 时,用公开样本 + datasheet annex 拼半个 manual 可以暂时跑起 ASIL B 评估;ASIL D 必须等到拿到真 manual:

数据手册 "Functional Safety" 章节:5-10 页 summary,有 SM 概述但没数值
Functional Safety Capability Annex (ADI / Infineon 部分公开):2-5 页 summary
TI SFFS 公开样本:sffs246.pdf (TCAN4550-Q1) 是公开,可以看模板
ST AN5691 / Microchip DS50003118:公开 sample,模板参考
学术论文 + IEEE 文献:TI / Infineon FAE 团队发的 SAE / IEEE paper

6.2 估算法

没 vendor 数据时保守估:

假 IC FIT = datasheet quality grade 的 5×
SPFM 假 90%(ASIL B 上限)
LFM 假 60%(ASIL B 上限)
验证靠FI test 实测 而非 vendor 文档

这种方式ASIL D 项目不可行(评审会拒);ASIL B 项目勉强能跑。

6.3 选可获取 Safety Manual 的 IC

选型阶段就该考虑文档可获取性,而不是设计完发现拿不到。下面是按可获取难度排序的实用建议:

TI 文档最公开 — Q1 系列基本都有 SFFS
Infineon 文档严格 — 需 partner 账号但完整
避免 Bosch SIC400 + onsemi NCV57000 等"获取困难"的 IC,除非你是 OEM

7. 实战示例 — 读 TI UCC21750-Q1 Safety Manual

(假设你拿到了 SFFS 文件)

打开 §4 AoU:核对 Vcc supply rise time / Rg / 隔离障 PCB clearance
打开 §6 FMEDA:确认 SPFM 99.x% (ASIL D claim)
打开 §5 SM list:DESAT / UVLO / Active Pull-down / Miller Clamp 各 SM 编号 + nFLT 输出
打开 §9 Integrator:发现必须 MCU 端做 DESAT plausibility 交叉检查
打开 §3 Mission profile:vendor 假 125℃ / 8000h,你的 EV 175℃ / 12000h → FIT × 5-8

第 5 步发现的 mismatch 是 关键 finding — 直接影响系统 PMHF 计算 → 找 FAE 要 Tj 修正系数。

8. 5 个常见误区

读 Safety Manual 的工程师误区集中在把它当 datasheet 第二版。下表是真实碰到的:

误区	真相
Safety Manual = 详细 datasheet	完全不同 — manual 给 SM/DC/AoU,不重复电气参数
FIT 数值就够做 FMEDA	必须 SPFM/LFM 拆分;只 FIT 不够
AoU 是"建议"不是必须	违 1 条 = SM 失效 = ASIL claim 作废
vendor 文档过了 = 系统过了	仅 IC 级,系统级仍要做 integrator 责任 + FI test
ASIL D IC 用了系统就 ASIL D	错 — ASIL D 是系统属性,IC 是 SEooC 仅做半

9. 速查表 — 主流 IC 获取路径 (2026)

把上面所有 vendor 的获取路径 + 难度集中到一张表,选型阶段直接对照。难度高的 IC 不是不能选,而是要早期就联系 FAE 把文档拿到手:

IC	Safety Manual	FMEDA	难度
Infineon 1ED34xx	myICP partner	同上	中 (需 FAE)
TI UCC21750-Q1	ti.com SFFS	同上	低 (登录即可)
TI ISO5852S	ti.com SFFS	同上	低
ADI ADuM4135	functional.safety@analog.com	同上	中 (邮件申请)
onsemi NCV57001	不存在(Safety Support)	FAE FMEDA 摘要	高
Bosch SIC400	完全 NDA / OEM	同上	极高

核心要点

Safety Manual ≠ datasheet — manual 给 SM / DC / AoU / 责任分工,ASIL D 系统级 FMEDA 必读。
ISO 26262 Part 10 SEooC 模板让 Safety Manual 结构高度标准化 12 章,第 4 (AoU) / 6 (FMEDA 数值) / 9 (integrator) 必读。
TI 文档最公开(ti.com SFFS),Infineon 需 myICP partner 账号,Bosch SIC400 完全 NDA。
5 个 quick check 顺序:AoU → SPFM/LFM → SM-to-pin → integrator → mission profile。
AoU 违一条 = 整 IC SM 失效,ASIL claim 作废。
vendor mission profile 通常乐观,EV 实际工况 FIT scale 3-8×,需 FAE 给修正系数。
没 Safety Manual 时:用 TI SFFS / ST AN5691 公开模板参考,但 ASIL D 项目不可行。
onsemi Safety Support tier 没完整 manual,ASIL D 不建议选 NCV57000 系列。

缩写表

只列本页用到的工业标准缩写;通用英语…

只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的 层/Lx tag 不列。覆盖不到的术语见正文 inline 注释。

缩写	全称	中文 / 备注
FMEDA	Failure Modes, Effects and Diagnostic Analysis	含诊断覆盖的 FMEA
EV	Electric Vehicle	电动车
TI	Texas Instruments	德州仪器
ISO	International Organization for Standardization	国际标准化组织
ADI	Analog Devices	亚德诺半导体
ST	STMicroelectronics	意法半导体
FIT	Failures In Time	1e9 小时失效率单位 (1 FIT = 1 failure / 1e9 h)
SM	Safety Mechanism	安全机制
DC	Diagnostic Coverage	诊断覆盖率 (功能安全语境)
ASIL	Automotive Safety Integrity Level	ISO 26262 安全完整性等级 QM→A→B→C→D
PMHF	Probabilistic Metric for Hardware Failures	硬件随机失效概率指标
OEM	Original Equipment Manufacturer	整车厂 / 主机厂
SPFM	Single-Point Fault Metric	单点失效度量
LFM	Latent Fault Metric	潜伏故障度量
CCF	Common Cause Failure	共因失效
SBC	System Basis Chip	系统基础芯片(电源 + 收发器 + 监控集成)
MCU	Microcontroller Unit	微控制器(本页多指车规多核 MCU)
FRTI	Fault Reaction Time Interval	故障反应时间间隔
PWM	Pulse Width Modulation	脉冲宽度调制
SAE	Society of Automotive Engineers	美国汽车工程师学会
PCB	Printed Circuit Board	印刷电路板

Cross-references

← 索引
功能安全工程师指南 hub — V-cycle + 27 篇深度页全集 (本页在 §12.5 供应链文档)
Driver Protection 全栈 hub — 8 大主题 + 设计链路
FMEDA 深度 — 数值结构基础
Confirmation Measures 深度 — Safety Manual 在 I0-I3 评审中的角色
SiC 驱动专项 — IC 选型上游
栅极驱动保护链 — SM 在哪里触发
Fault Injection Test 深度 — Safety Manual 的实测验证
SEooC — ISO 26262 Part 10 Clause 9 框架
Tool Qualification
Driver IC FMEDA worked deep — 12 章 Safety Manual 中 §6 FMEDA 章节的 worked example
Safety Manual 写作模板深度 — 对偶视角(Tier-2 供应商怎么写)