LFDT 深度 — Latent Fault Detection Time + MPF 演化

下图把 SPF / MPF / LFDT 一次说清:

3 个核心区分:

• SPF:单次失效 → 直接 SG 违背(无 SM 缓冲)
• MPF:多次失效累积 → SG 违背
• Latent Fault:SM 本身静默失效,等下一次 primary fault 暴露

LFM (Latent Fault Metric) 公式(SPFM/LFM 架构度量公式见 26262-5 Annex C;ASIL D LFM ≥ 90% 目标见 26262-5 Clause 8.4 目标表):

$LFM=1-\frac{{\lambda }_{latent,undetected}}{{\lambda }_{total}-{\lambda }_{SPF}-{\lambda }_{residual}}$

其中:

• ${\lambda }_{latent,undetected}$:未被检测的 latent fault FIT
• ${\lambda }_{total}$:总 FIT
• ${\lambda }_{SPF}$:SPF 已计入 SPFM
• ${\lambda }_{residual}$:残余 fault 已计入 SPFM

ASIL D 目标:LFM ≥ 90%。

LFDT 是检测 latent 的时间窗口:

• latent fault 发生 → 必须在 primary fault 前发现
• 否则 SM 缺位 → primary fault → SG 违背
• LFDT ≤ MTBF (primary fault) — 物理约束
• Power-on BIST 类 SM 的 LFDT 上限 ≈ 一个驾驶周期(key-on→key-off,量级 ~1h);24h 只是车长期不熄火时的最坏连续运行假设,非驾驶周期长度

不同 SM 的 LFDT 预算不同:

LBIST + MBIST 是 LFDT 最长 SM:

SRAM ECC scrubbing 是中等 LFDT:

Flash CRC 周期 SM:

• 启动时全 Flash CRC 算 1 次
• 运行时低优先级 task 周期算
• 整个 Flash 算完 ~10 s
• LFDT ≈ 10 s

EV 主驱 ASIL D 项目典型:

总 LFM = ~95%,满足 ASIL D ≥ 90% 要求。

ASIL D LFDT 验证清单:

• SM 完整性测试 — Fault Injection 每个 SM 注入 latent fault,验证检测到
• 检测时间测试 — 实测 LFDT,不超 datasheet
• LFM 计算 — FMEDA 工具自动算 ≥ 90%
• Power-on BIST 覆盖 — 测试 LBIST + MBIST 覆盖率 ≥ 95%
• 周期 task 不影响 ASIL D — 验证周期 SM 不抢 ASIL D 任务时间

Aurix TC397 (典型 EV 主驱 ASIL D MCU) safety manual 列:

• Total FIT: ~150 FIT
• SPF: 5 FIT (after lockstep)
• Residual: 3 FIT (after CCC)
• Latent detected: 135 FIT
• Latent undetected: 7 FIT
• LFM = 1 - 7/(150-5-3) = 95% ✓
• PMHF ≈ 8 FIT ≤ 10 FIT ✓

国产 MCU LFDT 现状:

• 杰发 AC78xx — LFM 80% (ASIL B+)
• 国民技术 N32G45x — LFM 85% (ASIL B)
• 核芯互联 CXLD-MCU — LFM 90%+ (ASIL D 在路上)
• 芯擎 ELXi — LFM 95% (ASIL D cert)

国产LFDT/LFM 接近 Tier 1,但 cert 跟不上,主驱仍 NXP / Infineon。

LFDT 是 ASIL D 项目的 latent fault 时间预算 — latent SM 必在 primary fault 前被发现,LFM ≥ 90% 强制。主流 SM:CPU lockstep CCC (100μs) + SRAM ECC (100ms) + Flash CRC (10s) + Power-on BIST (~1 驾驶周期 ~1h)。主驱 ASIL D:典型 LFM 95%,PMHF 8 FIT。新项目设计 SM 时按 LFDT 分层 — 短 LFDT 用硬件 SM,长 LFDT 用周期 SM + 启动 BIST。LFDT 估错 = FMEDA 拒签 = 项目重做。