Fault Injection Test (FIT) — 5 类故障 + SPFM/LFM 实测证据

ISO 26262 不规定具体怎么注故障,而是要求"针对每条 SM,设计对应 FI 用例覆盖"。工业实战上分 5 类,各自工具不同 + 工程师角色不同。下图把 5 类范围一次画清,后面章节是这张图的展开:

硬件 FI 直接操作 PCB pin,模拟传感器 / 驱动 / 电源失效。EV 主驱典型场景:

• DESAT pin 注 SC signal:用信号发生器把 DESAT pin 强拉到高(模拟短路触发),验栅极驱动 IC 在 < 2 μs 内 Soft Turn-Off + Fault 上报
• OC sense 强拉:相电流 sense 端注入超阈值电压,验 SSM 100ms 内进 ASC
• Tj NTC 短路 / 开路:模拟温度传感器损坏,验 SSM 判 fault → derate 或 STO
• Vbus over/under:DC bus 电压 sense 注入超 850V / 低于 300V 信号,验 SSM 反应
• Resolver wire cut:断 resolver 信号线,验位置丢失 → ASC

工具:自研 FI shield(DUT 板上预留 FI test points 接出来)+ LabVIEW / Python 控信号发生器自动化。

软件 FI 通过JTAG / Debug Probe / 内置 FI 框架在 MCU 运行时注入故障:

• RAM bit flip:翻转栈/堆某 bit,验 ECC 检出 + BIST 找到 + LFM 增加
• Flash CRC err:破坏 Flash 一字节,验启动 CRC 检出 + safe state
• Watchdog 不喂:暂停主任务,验 SBC watchdog 超时 → 拉 STO 硬件 pin
• Lockstep mismatch:在 application core 修改寄存器但 safety core 不修,验 lockstep trap
• Interrupt 漏 / 延迟:延后某 IRQ,验时序约束失效检出

工具:Vector vTESTstudio + Lauterbach TRACE32 + iSYSTEM winIDEA;工程师写 FI script 自动跑数千 case。

链接:Aurix TC3xx ASIL D / LFM 验证

ASIL D = B(D) + B(D) 分解的核心证据就是 CCF FI:

• EMC 攻击两 channel(主 MCU + safety MCU)同时,验不同时失效
• 电源 surge:在 12V 主电源注 ISO 7637 pulse,验 SBC 独立 LDO 不挂
• 温度 -40℃ → +125℃ 双通道反应时序差异
• 共时钟 故障:让主时钟漂,验 SBC 独立时钟不受影响

每条 CCF FI 直接对应 topic-asil-decomposition-deep §3 DFA 6 项之一,给 OEM 评审看的硬证据。

CCF FI 的通过判据不是"是否都挂",而是"是否同时挂":同一应力(如 ISO 7637 surge)下两通道双示波同步记各自失效时刻,算时间退耦裕度 $\Delta t=t_{\text{B}}-t_{\text{A}}$:

• 一通道失效、另一全程不失效 → 独立性成立(理想)
• 两通道都失效但 $\Delta t$ 足够大(后挂的已先把系统切进 safe state)→ 仍可接受
• 两通道同时刻(Δt 落进 FTTI 内)双挂 → CCF 暴露,β factor 实测偏高,分解判不成立 → 必加退耦(独立 LDO / 独立时钟 / 物理隔离)重测

所以 CCF FI 报告除 pass/fail 外,必附两通道失效时刻 oscope 叠图 + Δt 数值。

环境层面的 FI 不是"注故障",而是"让 ECU 在极端环境下跑":

• ISO 11452 RF 注入:射频干扰 0.1-1000 MHz,验 SSM 不误判
• ISO 11452-4 BCI (Bulk Current Injection):线束注入高频,验通讯不挂(抗扰度,与 CISPR 25 发射正交)
• 温度循环 -40℃ ↔ +125℃ 1000 cycle,验长期可靠 + Vth 漂监测
• 振动 / 跌落:G-shock 50G,验机械接触不松

工具:屏蔽暗室 + EMI 注入耦合器 + 环境箱(温湿)+ 振动台。

链接:CISPR 25 / ISO 11452 §5

最难的一类:从 HARA SG 反推故障路径。每个 SG 通常有 5-10 条故障路径,例:

SG-1: 防止非预期扭矩 > ±10% (UT):

• 路径 1:relay 粘连 → 整车失控
• 路径 2:resolver 错信 → FOC 角度偏 → 错扭矩
• 路径 3:DC bus 测量错 → Vd 计算错
• 路径 4:Flash 程序错 → 算法 bug
• 路径 5:lockstep core 失同步

每条路径都设计一个 FI scenario 验证。

SG-2: HV 触电:

• 路径 1:K1 粘连
• 路径 2:Pyro fuse 不引爆
• 路径 3:IMD 不报警
• 路径 4:active discharge 不放电

EV 主驱 ASIL D 项目 100+ scenario 是常态。每个 scenario 在 HIL 平台自动跑,记录响应 + FTTI + safe state 达成。

FTTI (Fault Tolerant Time Interval) 是故障发生 → 若无 SM 介入则危害事件发生之间的时间预算(由整车物理决定,非测量量;EV 主驱典型 5-100ms)。FI test 实测的是故障处理时间 = 检测时间 FDTI + 反应时间 FRTI;工程上要证 实测(FDTI+FRTI) ≤ FTTI 并留 margin:

测量故障处理时间 = t4 − t0(= FDTI + FRTI),须 ≤ FTTI 并留 margin。

工程上示波器 4 通道同步记 t0/t1/t2/t3,扭矩传感器记 t4。每个 SM 跑 10-100 次取均值 + 3σ 上限。

FI 不是一个独立测试阶段,而是贯穿 MIL/SIL/HIL/PIL 四层 V-cycle 测试的能力 — 越往下层走,FI 越接近真实失效物理,但成本和时间也越高。EV 主驱真正"出 FI 证据"的主战场是 HIL 这一层:

• MIL (Model in Loop):Simulink 仿真模型 + 故障注入;早期算法验证
• SIL (Software in Loop):编译目标 C 代码 + simulink 仿真硬件;算法 + 软件验证
• HIL (Hardware in Loop):真 MCU + 仿真硬件(电机 / 电池仿真);FI 主战场
• PIL (Processor in Loop):真 MCU + 部分真硬件;接近量产
• 真车测试:量产前最后一关

EV 主驱 FI test 99% 在 HIL 平台上跑 — dSPACE SCALEXIO 是行业事实标准。

EV 主驱 FI 工具栈通常多家产品组合用,每家擅长一个层面:

EV 主驱 ASIL D 项目典型组合:dSPACE HIL + Vector 编排 + Lauterbach SW FI + 自研 shield HW FI。

ISO 26262 Part 5 §11 要求 FI test 报告包含:

• 每个 SM 对应的 FI scenario list
• 注入条件 + 触发时序
• 实测 SM 响应 + FTTI
• safe state 达成与否
• SPFM / LFM 实测贡献 (诊断覆盖率)
• 残留风险论证(不能 100% 覆盖的部分为什么 acceptable)

报告体量 200-500 页,OEM PPAP 必交。Tier-1 → OEM 评审失败 1-3 次是正常的(典型问题:边界 case 没覆盖 / FTTI 测量不准 / DFA 证据不全)。

FI test 设计失败往往不在工具,而在scenario 覆盖率 + 时序测量精度 + 报告完整性。下表 5 个反复出现的坑: