功能安全芯片选型 — 从整车 ASIL 目标反推器件安全指标

功能安全L1别名功能安全芯片选型 · ASIL ready · SEooC 选型 · safety element selection · AoU · assumptions of use · safety manual selection

本质与导读

本质既有 wiki 的安全手册阅读讲单器件文档怎么读，ASIL 分解讲指标怎么拆，但没有一页把它们串成「给定整车 ASIL 目标 → 反推每颗器件必须提供什么」的选型闭环。本页讲清:(1) 选型真正的硬约束不是 datasheet 数字而是 SEooC 安全包(安全手册 + FMEDA + AoU);(2) 为什么「器件标 ASIL D ready」远不等于系统达 ASIL D —— 缺口出在 AoU 未满足与集成假设错配;(3) 一套可执行的反推决策框架 + 厂商矩阵对比方法论。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 抓硬约束 — 选型的标的不是芯片而是「安全包」

功能安全选型最常见的误判，是把它当成普通器件选型的延伸:翻 datasheet 找最大电流、找最低导通电阻、找最高 ASIL 标称然后下单。这条路径在 ISO 26262 框架下从根上就错了，因为决定一颗器件能否进入某个 ASIL 系统的，不是它的电气参数，而是它是否随附一套可被集成方采信的安全包:安全手册(Safety Manual)、FMEDA 报告、以及使用假设清单(Assumptions of Use, AoU)。没有这套包，再贵再复杂的芯片也无法支撑安全论证。

从整车 ASIL 目标到器件安全指标的反推决策树

1.1 ASIL 目标如何分解为器件硬件指标

整车级安全目标(如「防止主驱意外输出转矩」)被分配为 ASIL 等级后，会落到一组硬件架构指标上。ISO 26262-5 要求 ASIL D 系统满足单点故障度量 $SPFM \geq 99%$ 、潜伏故障度量 $L FM \geq 90%$ 、随机硬件失效概率度量 $PM H F \leq 1 0^{- 8} h^{- 1}$ (即 $10$ FIT)。这些是系统级目标，但系统由器件串成，所以每颗承担安全功能的器件必须贡献自己的诊断覆盖率 $D C$ 与失效率 FIT 份额，否则系统指标无法凑齐。

系统指标	ASIL B 门槛	ASIL D 门槛	器件需提供的对应证据
SPFM(单点故障度量)	$\geq 90%$	$\geq 99%$	FMEDA 中各失效模式的 $D C$ 与安全机制清单
LFM(潜伏故障度量)	$\geq 60%$	$\geq 90%$	潜伏失效的诊断/上电自检覆盖证据
PMHF(随机失效概率)	$\leq 100$ FIT	$\leq 10$ FIT	器件 FIT 率(基础失效率 + 失效模式分布)
诊断覆盖率 $D C$	按分配	按分配	安全机制对各失效模式的 $D C$ 表

1.2 SEooC — 器件供应商在不知道整车 context 下如何开发

大多数半导体器件在开发时并不知道最终装到哪台车、承担哪个安全目标，因此它们以 SEooC(Safety Element out of Context，脱离上下文的安全元件) 模式开发。SEooC 的逻辑是:供应商假设一套使用场景(假设的安全需求、假设的 ASIL 等级、假设的外部安全机制由系统提供)，按此假设完成开发并把这些假设写成 AoU 交给集成方。集成方必须逐条验证「我的真实 context 是否满足供应商的假设」——这一步是选型的真正动作，也是后文第 2 节缺口的来源。

2. 因果分析 — 为什么「器件 ASIL D ready」不等于系统达 ASIL D

市场宣传里的「ASIL D ready」几乎总是一句 SEooC 声明:供应商在它假设的 context 下、在它列出的 AoU 全部被满足的前提下，该器件可支撑到 ASIL D。问题在于这句话有三个隐含前件，任何一个在你的真实系统里不成立，器件的安全能力就打折甚至失效。把宣传当结论而不去验前件，是功能安全选型最高频的系统性失误。

器件 ASIL ready 不等于系统达标的 AoU 缺口因果图

2.1 缺口一:AoU 未被满足

AoU 是供应商对集成方提的「使用契约」，典型条目包括:必须由外部 MCU 周期性读取诊断寄存器并在 FTTI 内响应、必须配置某引脚为安全态、上电必须执行某自检、某诊断仅在特定时钟频率下有效。集成方若没逐条落实(比如没接诊断回读、把可配置安全引脚配错)，FMEDA 中靠这些机制贡献的 $D C$ 就不成立，器件实际 $D C$ 远低于声明值，系统 SPFM 凑不到 $99%$ 。AoU 不是附录，是选型阶段就要核对可行性的硬清单。

2.2 缺口二:集成假设错配

SEooC 假设的 ASIL 等级、安全功能边界、FTTI 可能与你的真实分配不一致。供应商假设器件承担 ASIL B 并据此做 FMEDA，你却把它放在 ASIL D 关键路径上——它的 $D C$ 目标本就是按 ASIL B 设的，不会自动满足 ASIL D 的 $99%$ 。又如供应商假设 FTTI 为 $10 ms$ 而你的转矩安全路径要求 $1 ms$ 内进入安全态，器件的诊断响应时间假设就失配。选型必须把双方 ASIL/FTTI/安全功能边界逐项对齐。

2.3 缺口三:DC 在特定失效模式上不覆盖

诊断覆盖率是按失效模式分布加权的平均值。一颗声明 $D C = 99%$ 的器件，可能对「输出短路」覆盖很好，却对某个寄存器位翻转或某条内部时钟停摆几乎不覆盖。如果你的安全分析恰好把那条未覆盖的失效模式判为系统关键失效，器件的高平均 $D C$ 帮不上忙。必须读 FMEDA 的逐模式 $D C$ 表，而不是只看汇总数字——这也是为什么先看安全手册与 FMEDA、再看 datasheet 是正确次序。

2.4 安全机制的归属边界:片内 SM vs 系统级 SM

缺口的根因往往是没分清安全机制由谁实现。器件能在片内自带的安全机制(片内温度监测、输出电流监测、寄存器 CRC、ASC 引脚直驱)贡献片内 $D C$ ;而很多失效模式的覆盖被供应商假设由系统侧实现(外部看门狗、跨芯片交叉检查、MCU 软件诊断、冗余通道)。选型时要画出这条边界:凡是落在系统侧的 SM，都是你必须自己补的工作量，若补不上就得换更高集成度的器件或加外部冗余。

失效覆盖来源	谁实现	选型含义
片内 SM(温度/电流/寄存器 CRC/ASC)	器件本身	直接计入器件声明 $D C$ ，省系统工作量
系统级 SM(外部 WDT/交叉检查/软件诊断)	集成方系统	写在 AoU 里，是你必须落实的前件
跨芯片冗余(双通道/异构监控)	集成方架构	把 QM 器件「抬」到 ASIL 的合法路径

3. 解决方案 — 反推选型决策框架与核对清单矩阵

把前两节的硬约束与缺口收束成一条可执行流程:不是「挑一颗 ASIL 最高的芯片」，而是从安全功能出发，逐颗器件核对它必须提供的安全机制、指标份额与文档证据，凡缺口都明确是「换器件」还是「加系统冗余」补足。这条流程的输出直接喂给安全案例，把选型与论证闭环。

功能安全选型核对清单矩阵

3.1 六步反推选型框架

选型从整车安全目标开始向器件反推，每一步都把上一层的约束细化为对器件的具体要求，最后落到「这颗器件够不够、不够怎么补」的判定。下表把原始六步框架补全为带反推方向与判据的可执行版本。

步骤	反推动作	判据 / 参考
1. 锁定安全目标与 ASIL	把整车危害分析结果分配到该子系统	ISO 26262-3 HARA / 26262-5 指标分配
2. 分解硬件指标份额	把 SPFM/LFM/PMHF 拆到每颗器件的 $D C$ 与 FIT	系统 FMEDA / 指标预算表
3. 确认器件在安全概念中的职责	该器件承担哪条安全功能、需哪些安全引脚(ASC/诊断/WDT)	技术安全概念 TSC
4. 核对器件安全包	安全手册 / FMEDA 逐模式 $D C$ / AoU / FIT 是否齐全且达份额	供应商安全手册、FMEDA 报告
5. 验 AoU 在真实 context 可满足	逐条 AoU 对照系统能否落实，识别集成假设错配	第 2 节三缺口
6. 补缺口并收证据	缺口→换器件或加系统冗余;齐则编安全案例	ISO 26262-9 安全案例

3.2 厂商矩阵对比方法论 — 比安全包而非比参数

横向比较多家厂商时，正确的做法是用统一的安全包维度建表，而不是把各家 datasheet 参数堆在一起比大小。核心维度是:是否提供完整安全手册、FMEDA 是否给逐模式 $D C$ 、AoU 是否清晰可核、声明 ASIL 与你的目标是否一致、片内 SM 覆盖了哪些失效模式、剩余靠系统补的工作量有多大。安全包齐整、AoU 与你 context 契合度高的器件，即便单价更高，也能显著压缩你的安全案例工作量与集成风险——这才是「贵 = 值」的正确含义，与「贵 = 安全」的误区相反。

3.3 典型应用:EV 主驱逆变器关断路径

把框架落到既有 wiki 已覆盖的逆变器关断路径上并深化。主驱的安全目标是「防止意外转矩」，分解后通常给出两条关断路径:MCU 经 PWM 控制 6 路驱动进入安全态的主路径(承担 ASIL A/D)，与独立硬件逻辑直驱 ASC 引脚的冗余路径(承担 ASIL C/D)。冗余路径要求驱动 IC 片内自带 ASC 引脚且其失效模式被 FMEDA 覆盖到对应 $D C$ ——这是片内 SM 必须落地、无法靠系统补的部分，因为主驱空间与 FTTI(常要求毫秒级)不允许再叠一层外部硬件冗余。

主路径若用仅 QM 的普通驱动，则必须在系统层补独立硬件安全回路(如数字隔离器构成的独立关断通道) 来承担冗余关断，并在 FMEDA 中把这条系统级 SM 的 $D C$ 算进去。这正是第 2.4 节「系统级 SM 由集成方补」的具体落地。

3.4 厂商案例 — 纳芯微 SafeNovo 安全产品矩阵

把上面的方法论落到一个真实厂商:纳芯微(Novosense) 通过 ISO 26262 ASIL D "Defined-Practiced" 能力认证，SafeNovo 系列覆盖传感器 / 信号链 / 电源管理三方向，从 QM 到 ASIL D 一条线齐全，正好演示「按器件职责选 ASIL 等级、QM 配系统冗余」的全谱。注意下表读法应遵循 3.2 的方法论——关注每款是否附完整安全手册 + FMEDA(SafeNovo ASIL 器件均附)，而非只看标称等级。

等级	产品系列	关键安全特性	典型应用
ASIL D	NSI6911F 隔离栅极驱动	ASC 引脚 / 双向诊断 / 内置 MOSFET 驱动 / 6 路同步	EV 主驱逆变器冗余关断路径
ASIL B	NSUC1800 超声雷达探头	低功耗 / 集成 ADC / 雷达信号处理	ACC、盲区检测
ASIL B	NSL21912/16/24FS 线性 LED 驱动	恒流恒压 / PWM / 软启动	车灯、仪表背光
ASIL B/D	NSM41xx ABS 轮速传感器	高分辨率 / 温漂补偿 / 内置诊断	制动系统安全回路
QM	NSI82xx 数字隔离器	隔离时延 $< 10 ns$ / 默认安全高电平	冗余关断信号传递、诊断桥梁
QM	常规电流传感器 / 运放 / ADC	低成本，可经系统冗余实现 ASIL C/D	电机电流采样、功率监控

SafeNovo 的 NSI6911F 是 3.3 节冗余路径「片内 ASC 必须落地」的现成解;而 QM 的 NSI82xx 默认安全高电平，是冗余关断路径的理想桥接元件——搭一颗 QM 电流传感器，靠系统级交叉检查即可拼出 ASIL C/D 采样链，这恰是 2.4 节「跨芯片冗余把 QM 抬到 ASIL」的合法路径范例。

缩写表

缩写	全称	一句话解释
ASIL	Automotive Safety Integrity Level	整车安全完整性等级(A~D，D 最严)
QM	Quality Management	无安全等级要求、走质量流程的器件
SEooC	Safety Element out of Context	脱离整车上下文、按假设场景开发的安全元件
AoU	Assumptions of Use	供应商交给集成方的使用假设契约清单
SM	Safety Mechanism	安全机制(检测/控制失效的手段)
SPFM	Single-Point Fault Metric	单点故障度量
LFM	Latent Fault Metric	潜伏故障度量
PMHF	Probabilistic Metric for random HW Failures	随机硬件失效概率度量
DC	Diagnostic Coverage	诊断覆盖率
FIT	Failures In Time	每 $1 0^{9}$ 小时的失效次数
FMEDA	Failure Modes, Effects and Diagnostic Analysis	失效模式、影响及诊断分析
FTTI	Fault Tolerant Time Interval	容错时间区间
ASC	Active Short Circuit	主动短路(驱动安全态)
TSC	Technical Safety Concept	技术安全概念
WDT	Watchdog Timer	看门狗定时器

核心要点

选型标的是「安全包」(安全手册 + FMEDA + AoU)，不是 datasheet 电气参数;先看安全手册与 FMEDA，再看 datasheet
「ASIL D ready」是 SEooC 声明，有三个隐含前件:AoU 全满足、集成假设对齐、关键失效模式被 $D C$ 覆盖;任一不成立则系统不达标
区分片内 SM 与系统级 SM 的边界:系统侧的每条 SM 都是写在 AoU 里、你必须落实的工作量
反推选型六步:安全目标 → 指标份额 → 器件职责 → 核对安全包 → 验 AoU 可满足 → 补缺口并收证据
厂商对比比安全包不比参数;跨芯片冗余 + 交叉检查 + 软件诊断是把 QM 器件合法抬到 ASIL 的路径
误区纠正:能否做 ASIL 取决于功能安全开发流程合规性与安全包完整性，不是 datasheet 上某个数字

Engineering Objects

device_safety_package(器件安全包:安全手册 + FMEDA + AoU 三件套，选型核对的真正标的)
aou_checklist(使用假设清单，逐条对照真实 context 验可满足性的核心工件)
hw_metric_budget(SPFM/LFM/PMHF 分解到各器件的 $D C$ 与 FIT 份额预算表)
sm_ownership_map(片内 SM vs 系统级 SM 的归属边界图，定位待补工作量)

Cross-references

← 索引
安全手册阅读 deep — 单器件安全包逐节怎么读，本页讲多器件如何反推选型
ASIL 分解 deep — 系统指标如何拆到器件，是本页第 1.1 步的方法基础
硬件要素评估 — 器件 I/II/III 分类的判据
ISO 26262 硬件分类 — 分类与本页职责确认互补
功能安全总体概念 — 上位概念前置
安全手册 — 安全包文档形态
失效模式速查 — FMEDA 逐模式 $D C$ 的失效模式来源
驱动芯片技术 — 逆变器关断路径的器件层
汽车 MCU — 系统级 SM 的实现载体
安全案例 — 选型证据的最终收口

来源:纳芯微 SafeNovo 安全产品矩阵(厂商资料) / ISO 26262-5 (2018) §8-9 硬件架构指标 / ISO 26262-10 (2018) SEooC 章节 / 内部 clipping 20260428-kIEtdZhLwSMwVaetBOTTFg。综合整理，非单一来源。