EV 上下电系统级 FSM 深度 — 三方协同 + 6 状态 + handoff 安全契约 + worked

5 个子设计审计单独都过(POR ✓ / UVLO ✓ / SBC sequencer ✓ / Precharge ✓ / AD ✓),但合并到主驱 ECU 板上一上电:

• race condition 1:AUX 3.3 V rail 在 5 V rail 之前到达 → driver IC 的 logic 部分先上电,driver power 还没起,driver UVLO 信号未定 → 短暂误输出
• race condition 2:MCU POR 释放后立即开始 boot,但 SBC sequencer 还在拉 PG → MCU 读到 0xFF 寄存器 → boot 卡死
• race condition 3:Precharge 触发,主接触器闭合后 50 µs 才走 PG 完成,这 50 µs 内 driver 不知道 HV 已加 → 这 50 µs 内任何误触发都打穿 SiC
• race condition 4:整车上电 → AUX 起来 → MCU boot → 但 CAN 总线还没活 → MCU 不知道是否 OK 进 ACTIVE 状态(应该等 OEM 高压上电指令)

根因:每个子设计假设的"前提条件"和"后续条件"没有显式契约,合并时前提是另一个子系统的输出,但两者时序窗口未对齐。

药方:系统级 FSM,在每个状态显式声明 pre-condition + post-condition + safe state contract(§2)。这是 ISO 26262-4 part 4 §6 的要求,但实际项目里 80% 的 ECU 没有完整 FSM 文档,只有零散时序图。

观察故障注入测试数据:50%+ 的功能安全故障在状态转移瞬间被激发,而不是稳态。原因:

• 稳态下信号都已经稳定,FMEDA 假设的 SPFM/LFM 都按稳态算
• 转移瞬间:信号过渡 / 时钟 jitter / SBC watchdog kick 窗口 / driver UVLO 抖动 — 这些不在静态 FMEDA 模型里
• 多数 SM(Safety Mechanism)的检测窗口是 ms 级,handoff 瞬间是 µs-100 µs 级 → SM 看不到 → 漏检

药方:每个 handoff 写明确的 safety contract(§3),包括:最坏时序窗口(µs 级)+ 该窗口内的失效模式 + 兜底机制(通常是默认 safe state)。Fault injection 测试覆盖每个 handoff。

Power-up 有时间(整车上电后用户也得等几秒)。Power-down 通常是异常发起的:

• 紧急情况(碰撞 / HV 漏电):整车必须 50 ms 内进入 Safe State,Active Discharge 必须 5 s 内完成(ECE R100 §5.1.1)
• 故障关断(driver 短路检测):driver IC 自身关 + 报告 MCU + MCU 关其他驱动 + 进入 Safe State —— 这一连串 < 10 µs
• 正常下电(OEM 主开关):有时间走 graceful,但 AUX rail 不能崩,因为 MCU 要把状态写 NVM,且要确保 CAN 总线 final NM message 发出

5 种 power-down 路径对应不同的 handoff 顺序 + 不同的 Safe State 入口。多数项目只设计了"正常下电",紧急 / 故障路径覆盖率低 → 量产后碰撞或 HV 漏电时 Active Discharge 失败的真实案例每年都有。

药方:5 条 power-down 路径都写 FSM 转移 + 验证(§5)。

每个系统状态必须有唯一所有者:某个 subsystem 负责定义这个状态(发起、维持、退出条件),其他 subsystem 在这个状态下只能响应 + 报告,不能自己改状态。

例:

• STANDBY:SBC 所有(电源未起,SBC 在 sleep mode 等唤醒)
• BOOT:SBC + MCU 共同所有(SBC 出 PG,MCU 接管 boot)
• SAFE_CHECK:MCU 所有(运行 BIST + lockstep self-test + ASIL D init)
• PRECHARGE:MCU 所有(命令 BMS 闭合 PreCh 接触器 + 监控 HV bus 电压上升)
• READY:MCU 所有(HV 满压 + 主接触器闭合 + driver enable + 等待 torque request)
• ACTIVE:MCU 所有(执行 torque control + driver PWM 输出)

反模式:driver IC 自己根据 UVLO 决定退出 ACTIVE → driver 关了但 MCU 不知 → race condition。正确做法:driver IC 检测 UVLO → 报 nFLT 给 MCU → MCU 走 fault 路径,driver 自己关只是兜底(redundant)而非主路径。

每个状态转移点写 pre/post-condition 契约:

这种 contract 写出来后:

• 子系统设计者知道自己输出什么才能让上游接收
• 测试设计者知道注入什么故障会破坏 contract → 测什么
• 评审者知道每条 contract 是否覆盖了 ISO 26262-9 的 FMEDA 覆盖率假设

ISO 26262-1 定义 Safe State 是"一个或多个特定操作模式,在 fault 出现时进入并维持安全"。关键是每个系统状态都对应一个 Safe State(进入路径 + 维持机制):

ACTIVE 状态的 Safe State 进入路径有三级递进(PWM=0 / driver disable / EMR open),因为直接 EMR open 会引起 HV bus 电压尖峰打穿 SiC。这种"分级 Safe State"是 ASIL D 主驱常见设计,但多数项目只写了 EMR open 这一级。

下表给出每个状态的所有者 / 持续时间 / 进入条件 / 退出条件 / Safe State:

时序预算:整个 power-up STANDBY → ACTIVE 典型 500-1500 ms。其中 PRECHARGE 占最多(200-1000 ms,取决于电池容量和预充电阻)。

任何 pre/post-condition 失败 → 进入 FAULT 状态:

• 临时 fault(可恢复):驱动 nFLT 偶发 → MCU 重试 3 次 + 报 DTC,过则恢复
• 持久 fault(不可恢复):lockstep 失配 + 短路检测 + HV 漏电 → 立即进 Safe State 永久 lock
• 持久 fault 后需要 service mode(诊断仪清码 + 物理拆装)才能复位

FAULT 状态本身的 Safe State 取决于上一个状态:从 ACTIVE 进 FAULT → 走三级递进;从其他状态进 FAULT → 直接 EMR_OPEN + STANDBY。

下面是典型 800V 主驱(Aurix TC397 + L9961 SBC + 6 × EiceDriver 1ED3491 + 400 µF DC link + 100 kWh 电池包)的具体时序预算:

关键节点:t = 80 ms 的 SAFE_CHECK 入口是评审重点 — 这里 MCU 必须完成 lockstep self-test 才能进下一步。

为了帮你定位每个状态依赖哪张 deep 页:

每个 transition 写五段:

把 §4.1 的五段模板套到 BOOT → SAFE_CHECK 这个具体转移上,可以看到契约是怎么把 race condition 显式化的。

这种契约写出来后,测试用例可以从契约直接生成:每个 post-condition 都是一个 fault injection 候选(强制让它失败,看 fallback 是否被触发)。

ACTIVE 是最难的转移,因为不能瞬间断 EMR(会引起 HV bus 尖峰打穿 SiC)。三级递进契约:

transition: ACTIVE → SAFE_STATE,三级在 50 ms 内完成。

为什么不能直接跳到 Level 3:直接 EMR open 在 DC link 电容仍有 400V+ 残压时会引起回路寄生电感产生 dV/dt 尖峰,SiC 模块 SCSOA 会被击穿。三级递进让 DC link 电容能量先通过 PWM=0(switch off 但保持流过)、再通过 driver disable(SiC body diode 续流)、最后通过 AD 主动放电。

触发:OEM 整车主控发 HV-OFF 指令(CAN 报文)。

时序(典型 2-5 s):

1. ACTIVE → READY:torque request = 0 持续 1 s,MCU 走三级递进 Safe State
2. READY → PRECHARGE_DOWN:命令 BMS 主接触器断
3. PRECHARGE_DOWN → STANDBY:触发 Active Discharge,DC bus < 60V
4. STANDBY:MCU 写 NVM(故障码 / 里程 / DTC)+ 关 SBC

Safe State 触发:Level 3(EMR open + AD)走完即可,不需要紧急路径。

触发:MCU 内部 fault(lockstep 失配 / RAM ECC 失败 / driver nFLT 持久)。

时序(典型 50-100 ms):

1. fault 立即触发 Level 1 PWM = 0(≤ 1 ms)
2. Level 2 driver disable(≤ 5 ms)
3. Level 3 EMR open + AD(≤ 50 ms)
4. STANDBY,但 SBC 不重启,等待诊断仪清码

关键差异:不允许 graceful 写 NVM(可能 NVM 控制器也 corrupted),只能强制 EMR 断 + 永久 lock。

触发:airbag squib fire 信号(碰撞)或 HV insulation monitor 报警(漏电)。

时序(必须 ≤ 50 ms 进 Safe State,ECE R100):

1. 跳过 Level 1(没时间走 PWM=0,直接 hardware 路径)
2. 硬件路径:驱动 IC 输入 EMR_OFF 强制信号 → driver 立即关 + 报 nFLT(≤ 1 ms)
3. 硬件路径:碰撞信号通过 fail-safe relay 直接断 BMS 主接触器(不经 MCU)
4. Active Discharge:触发 AD,5 s 内 DC bus < 60V(ECE R100 强制)

关键:这条路径绕过 MCU,因为 MCU 可能在碰撞中已经断电。硬件 wire-OR 把 squib + insulation 直接接 driver IC EMR pin 和 BMS 主接触器线圈。

触发:driver IC 自身检测短路(DESAT / OC),独立于 MCU。

时序(必须 ≤ 10 µs):

1. 硬件路径:driver IC 内部 DESAT 检测 → 立即软关(soft turn-off)→ 拉高 nFLT 通知 MCU
2. driver IC 自己锁住(latch),需要 MCU 主动 clear nFLT 才能解锁
3. MCU 收到 nFLT 后:Level 2 (driver disable 其他 5 路) + Level 3
4. Active Discharge:正常 AD 即可,不要求紧急 5 s

关键差异:这条路径driver IC 自己跑 Level 1 软关,因为软关只能 driver 自己做(MCU 反应不过来 µs 级)。详见 Desat Protection deep。

触发:CAN UDS 诊断指令(0x10 0x02 程序模式或 0x10 0x03 扩展模式)。

时序(慢速,几 s):

1. ACTIVE → READY 走正常路径
2. 额外步骤:MCU 等诊断仪握手(security access),才允许进入维护模式
3. 维护模式下:driver disabled 但 SBC 仍运行(可以做 UDS 通信)
4. 退出维护需要诊断仪显式命令

关键差异:维护模式下 SBC 不断电,因为要 UDS 通信。这是为什么需要独立的 ACTIVE_MAINTENANCE 子状态,而不是直接退 STANDBY。

对每个 transition,注入下面 6 类故障,看 fallback 是否被正确触发:

典型测试矩阵:6 transitions × 6 故障类型 = 36 个 FI 案例。Aurix TC397 项目实测 36 案例覆盖率 80%+ 时可申报 ASIL D。

如果时间只够测 10 个,挑下面这 10 个 — 它们覆盖 §4 五个 contract 和 §5 五条 power-down 路径的关键 race / 边界。

这 10 个测过 + 报告齐备,过 ASIL D I3 评审基本无悬念。

每个 FI 用例对应 FMEDA 表里的 1-3 个 failure mode。具体映射:

• FI 案例 #1-3 → 覆盖 POR sequencing 的 5 大 root cause
• FI 案例 #4-6 → 覆盖 HV precharge 的主接触器粘连
• FI 案例 #5-6 → 覆盖 Desat protection deep 的短路保护
• FI 案例 #7 → 覆盖 Active discharge design 的紧急路径
• FI 案例 #8-10 → 覆盖 Safe state manager deep 的边界条件

详细 FMEDA × FI 对应矩阵见 EV ECU FMEDA integration deep。

典型 800V 主驱配置,选 ASIL D 主流方案 — 这是 2024-2025 多家 OEM 投产架构。

下面是真实硬件上 logic analyzer 实测的时序序列,精确到 5 ms 节点,可以直接对你的项目板做对照。

每个关键事件用 logic analyzer + oscilloscope 同步采样验证:

• t = 5 ms:SBC PG 应当为干净的单调上升,不能有 glitch
• t = 60 ms:WDG 第一 kick 必须在 L9961 期望窗口内(100 ms 之前)
• t = 80-100 ms:6 driver nFLT 必须全部为高,任一为低则进 FAULT
• t = 300-700 ms:DC bus 电压必须单调上升,无尖峰
• t = 700 ms:主接触器闭合瞬间,HV bus 电压不能跌超过 50V
• t = 850 ms:driver enable 之后,SiC Vds 应稳定在 Vbus,无 dV/dt

任一项异常 → 进对应 FAULT 路径(§4.2 的 contract 自动触发)。

读 POR sequencing deep 拿 t = 0-30 ms 的 rail 顺序细节; 读 SBC multi-rail sequencing deep 拿 t = 60 ms 的 WDG handshake 细节; 读 Driver UVLO deep 拿 t = 80-100 ms 的 driver supply rail 阈值; 读 HV precharge 拿 t = 200-700 ms 的 R + 接触器 sizing; 读 Aurix TC3xx ASIL D 拿 t = 30-80 ms 的 MCU init 细节。

本 deep 把这些零散时序粘成一张系统级时序图 + 一套契约,这是 I3 评审最想看到的文档形态。

症状:整车上电偶发 MCU 卡死 boot。

根因:SBC 的 5V rail PG 信号上升过快,MCU POR 释放后立即 boot,但 3.3V rail 还在爬坡 → MCU 读到的某些寄存器初值为 0xFF → boot loader 卡死。

缓解:SBC 强制 PG debounce ≥ 1 ms(具体默认去抖时长查 SBC 数据手册,通常需软件配置加长),且 PG 上升斜率限制 ≤ 5 V/ms。

症状:SAFE_CHECK 时偶发 nFLT 误报。

根因:driver supply rails 上升瞬间(t = 30-50 ms)有 50-200 µs 的 ringing,driver IC 内部判 UVLO 时 nFLT 短暂 = 低。MCU 在 t = 80 ms 检查时已经稳定,但如果 SAFE_CHECK 入口提前到 t = 50 ms,会误判。

缓解:nFLT 检查必须 debounce ≥ 200 µs,且 SAFE_CHECK 入口至少在 supply rails PG 后 50 ms。

症状:Precharge 完成后主接触器闭合时 DC bus 出现 200V+ 尖峰。

根因:PreCh 接触器粘连(残磁 / 触点焊接),Precharge 完成命令断 PreCh 但没断 → 主接触器闭合时 Bridge 路径短路 PreCh + R → R 烧。

缓解:增加 PreCh 接触器电流检测(monitor R 两端电压),Precharge 完成后必须等 PreCh 接触器电流 = 0 持续 50 ms 才允许主接触器闭合。

症状:碰撞后 Active Discharge 不响应,DC bus 电压 > 60V 超过 5s,ECE R100 违规。

根因:AD MOSFET 失效模式之一是栅极开路(EOL 老化或焊接虚焊),触发信号到但 MOSFET 不导通,无 feedback 让 MCU 知道。

缓解:AD MOSFET 加 drain 电流监测,触发 AD 后必须在 100 ms 内检测到 ≥ 100 mA 电流,否则切第二 AD 路径(冗余设计)。详见 Active discharge design 的双路径架构。

症状:维护模式做诊断后退出,首次进 ACTIVE 时 driver nFLT = 低,无法 PWM。

根因:维护模式中曾经触发 driver 软关用于测试,driver IC 内部 latch,退出维护时 MCU 没显式 clear latch。

缓解:进 ACTIVE 之前必须显式发送 driver IC clear command(EiceDriver 1ED3491 是 0x55 write to clear register),并验证 nFLT = 高才进 ACTIVE。

症状:紧急情况下 AD 触发但 driver 没关 → SiC 短路打穿。

根因:碰撞信号触发 EMR off + AD trigger,但 driver IC 的 ENABLE pin 仍由 MCU 拉高(MCU 还活着,只是不及时反应)→ driver 仍输出 PWM,EMR 已断 → bridge 在 DC link 残压上短路。

缓解:driver IC ENABLE pin 必须接 wire-AND 逻辑 — MCU enable AND (NOT crash signal) AND (NOT insulation fault)。这样紧急信号无论 MCU 是否反应都能强制 driver 关。

跟新项目时按以下顺序展开 FSM 设计,可以 ~2 周完成系统级文档:

• Week 1:用本 deep §3.1 表填 6 个状态的 owner / 时长 / 进入退出
• Week 1:用本 deep §4.1 模板写 6 个 transition 的 Safety Contract
• Week 1:用本 deep §5 决策树写 5 条 power-down 路径
• Week 2:用本 deep §6 FI 矩阵设计 36 个测试用例
• Week 2:用本 deep §7 worked 跑实际硬件 ~850 ms 时序验证
• Week 2:把上述 6 个产出物组装成 FSAR §5-§8

评审前一周拿下面 7 条逐项自检,过了再约会议,降低评审退回率到 5% 以下。

7 条全过 = ASIL D 主驱 ECU 上下电时序部分评审通过率 95%+。