EV ECU FMEDA 总集成深度 — 三链合并 + B(D)+B(D) + Safety Case GSN worked

按物理边界 + FMEDA 颗粒度切:

• ① AUX 链(120 FIT)— 12V → 输入防护 → AUX flyback → SBC → POR sequencer → MCU。SBC 50–80 FIT 主导。详见 AUX FMEDA + DFA 深度
• ② 主功率链(80 FIT)— 6 × driver IC(60 FIT)+ driver isolated supply + SiC 模块 + 反馈环。6 × driver IC 75% 主导。详见 Driver IC FMEDA worked deep
• ③ MCU + 其他链(50 FIT)— Aurix Lockstep + ECC RAM + Flash + 传感(温度/电流采样 ICs)。MCU 30 + 传感 20

总 λ = 250 FIT。ASIL D 主驱 ECU 典型值,跟 200–300 区间一致。

ISO 26262-5 Annex E 规定:

• SPFM ≥ 99% — 单点 + 残余故障覆盖率
• LFM ≥ 90% — 潜在故障覆盖率
• PMHF ≤ $10^{-8}$/h(即 10 FIT) — 全寿命概率

3 项任一不过 → I3 评审退回 + 重测 + 重评审,延期 2–3 个月。

直接累加各链:

• 总 λ = 120 + 80 + 50 = 250 FIT
• λ_SPF+RF = 0.9 + 7.3 + 0.5 = 8.7 FIT
• SPFM_raw = 1 - 8.7/250 = 96.5% ✗(不过 99%)
• LFM_raw = 1 - 16.8/(250-8.7) = 93% ✓(过 90% 但紧)
• PMHF_raw = 25 FIT = $2.5\times 10^{-8}$/h ✗(超 $10^{-8}$)

3 项里 2 项不过,driver 链是主要瓶颈(贡献 SPF 84%、MPF 67%)。

按 driver-ic-fmeda §3.3 加 MCU 系统级 SM(RDY 超时 + 相电流采样冗余 + DESAT 时序校 + CLAMP 自检 BIST):

• λ_SPF+RF = 0.9 + 1.7 + 0.5 = 3.4 FIT(driver 链 7.3 → 1.7)
• SPFM = 1 - 3.4/250 = 98.6% ≈ 99%(差 0.4%)
• λ_MPF,latent = 4 + 4.5 + 1.5 = 10 FIT(CLAMP 自检 BIST 11.3 → 4.5,与 driver-ic 页 §3.4 一致)
• LFM = 1 - 10/(250-3.4) = 96% ✓
• PMHF = 11 FIT ≈ $1.1\times 10^{-8}$/h —— 略超 ASIL D 的 10 FIT($10^{-8}$/h)阈,靠 B(D)+B(D) 双链冗余进一步降到阈下

SPFM 仍差 0.4%(98.6% vs 99% 阈)。这是 driver IC SEooC 的单链工程极限 — driver IC 单 chip 物理上没法把 SPFM 推过 99%。

详见 ASIL Decomposition 深度 §4-§5,Part 9 §5 允许 ASIL D = ASIL B(D) + ASIL B(D)。关键:分解分配的是每通道的【开发流程严格度】,不是放宽硬件度量阈值 —— 把单链 SPFM 阈「从 99% 降到 90%」再说「97.9% > 90% 所以过 D」,是把分解当降级,评审会直接 reject(见分解页 §8 第一条误用)。

• 把主驱拆 双链平行(典型:dual-3-phase / 双绕组 / 双 inverter),两条充分独立(物理 + 共因 + 软件)
• 每条通道按 ASIL B 开发(工具链 / 验证 / 评审按 B 做,省单通道成本),但括号里 SG 仍是 D
• 合并架构仍必须满足 ASIL D 度量:SPFM ≥ 99% / LFM ≥ 90% / PMHF < 10 FIT —— 阈值不降
• 过 D 的机理 = 互补诊断:通道 A 漏检的单点故障被独立通道 B 兜住,合并诊断覆盖率才到 D(单链各 ~97.9% / 96% 只是每通道按 B 自检的指标,两条独立互补叠加后合并 SPFM 才 ≥ 99%);必须附 DFA(Part 9 §7) 证两链独立

B(D)+B(D) 省的是单通道开发成本,不是整体验证范围或度量目标,EV 主驱 2026 主流(详见 Fail-Operational Architecture 深度 6 相双绕组)。

GSN Community Standard v3 规定 5 种节点:

• Goal(矩形)— 要证明的安全声明
• Strategy(平行四边形)— 证明的方法
• Solution(圆形/椭圆)— 具体证据落点
• Context(椭圆,实线)— 边界 / 假设
• Assumption(椭圆,A 标记)— 待验证假设

主驱 ECU GSN tree 节选(详见 SVG 02):

• G1(Top Goal):主驱 ECU 满足 ASIL D 安全目标(防意外加速 / 意外断电 / 意外转矩)
• C1(Context):整车 L0/L1 ADAS + 主驱 + 50 kW 应用边界
• S1(Strategy):通过 V-cycle + FMEDA 量化(HARA + FSC/TSC + FMEDA + V&V + I3)
• G1.1–G1.4:HARA 完整 / V-cycle 闭合 / FMEDA 三阈 / V&V 完成
• Sn1.3.1–Sn1.3.3(Solutions):AUX 链(99.25%) / driver 链(B(D)+B(D),合并达 D)/ MCU 链(99%)
• Evidence E1.3.1–E1.3.3:三链各自的 FMEDA 报告(aux-fmeda-dfa report / driver-ic-fmeda report / MCU SafeTLib report)

GSN tree 跟 ISO 26262-10 §5.4 规定的 Safety Case 8 段一对一映射:

I3 评审员逐段查 GSN tree,每个 Goal 必须有 Strategy 拆解 + Solution 落到 Evidence。任何一个 Goal 没 Evidence 支撑 → defeater(论证缺口)→ 退回。

driver 链 SPFM 90.9% 不过 ASIL D 是 30 个项目里 23 个被退回的原因(77%)。缓解方案的 ROI 排序:

• B(D)+B(D) 分解(ROI 最高)— 双链各按 B 开发省成本,合并靠互补诊断 + DFA 仍达 D 度量,主驱主流方案
• MCU SafeTLib + CLAMP 自检 BIST — 加 ~ 0.5 月开发工时,救 SPFM 90.9% → 98.6%
• 驱动 IC 双 vendor 冗余 — 跨批次 + diverse compile,救 LFM Implementation 类 DFI

主流 ASIL D 主驱 = B(D)+B(D) 分解 + MCU SafeTLib + CLAMP BIST 三件套,缺一不可。