Inverter ASIL D 端到端实现案例(Torque Safety + No Thermal Incident)
本质 ASIL D 不是"挑几个高 ASIL 器件 + 堆几条 SM" —— 它是一条从 Hazard 倒推到每颗器件 fault、再正向论证回 Safety Goal 的端到端工程链。论证缺任何一环(HARA / FSC / TSC / HSI / FMEDA / DFA / Safety Case)都站不住。本页用主驱 inverter 两个最经典的 ASIL D 项目场景——扭矩安全(UT / LoT) 和 HV no thermal incident——并排走完整条链,让你看清"99% SPFM"这个数字底下到底要做哪些事。前者是控制层 ASIL D,后者是高压 + 热管理层 ASIL C/D,两者放一起恰好覆盖 inverter 全部主要 hazard 类。
学习目标
读完本页后,你应该能够:
- 说出 ASIL D 端到端实现的 8 步流程(Item Definition → HARA → SG → FSC → TSC → HSI → FMEDA → Safety Case)
- 对扭矩安全和 HV no thermal incident 两类 SG 各自走完一遍 8 步
- 判断 ASIL 分解(D = B(D) + B(D))适用与不适用的边界
- 解释 FTTI 如何从 hazard 时间常数倒推到 ISR 周期
- 用 FMEDA 数字(SPFM ≥ 99% / LFM ≥ 90% / PMHF < 10 FIT)论证一个真实电路达标
- 写出 Safety Case 的 7 章骨架,把 SM 数字和 GSN 论证连起来
- 识别 ASIL D 端到端的 6 个常见反模式
1. 论证框架——为什么要这样走,每一步在论证什么
很多人以为 ASIL D 就是"lockstep MCU + Q&A WatchDog + DESAT 三件套"。这是设计模式不是论证——ASIL D 真正的难点不是"用了什么 SM",而是"凭什么这套 SM 足以保 Safety Goal 不被违反"。这一节讲清这条论证链的逻辑骨架:每一步存在的理由是什么、上一步的输出如何成为下一步的输入、为什么少一步整条链就垮。两个案例(§2 扭矩、§3 HV thermal)只是把这个框架套两遍。
1.1 核心问题:ASIL D 要回答的是什么
把 ASIL D 看作一道反证题——给定一辆车在路上跑,你要证明:
"这辆车的 inverter 不会让乘员处于不可控的伤害风险(具体到某个 Safety Goal)"——而且证明的依据要让第三方 assessor 复核也能通过。
证明一件否定性 + 全场景 的命题,必须从两个方向同时夹紧:
- 自顶向下(演绎):从 Hazard 出发拆功能要求 → 拆技术要求 → 拆到具体器件,保证"每个能产生 hazard 的 functional 路径都有人管"——回答的是 完备性(completeness)
- 自底向上(归纳):从每颗器件的 fault rate × DC 出发汇总成 SPFM/LFM/PMHF → 反算系统级失效率 < 法规阈值——回答的是 正确性(correctness)
两条链必须在 Safety Case 处闭合——top-down 证明"要管的都有人管",bottom-up 证明"每个管的人都管得住"。少一条都不成立:只有 top-down 等于"设计图齐全但不保证元件靠得住",只有 bottom-up 等于"元件可靠但没人保证它们覆盖了所有 hazard"。这是 ASIL D 端到端论证的本质结构。
1.2 八步流程,每一步的"为什么"
下面按顺序解释每一步为什么必须存在,跳过任何一步会怎样塌。重点是步骤之间的依赖关系,不是每步具体怎么填模板。
Step 1 — Item Definition:先把"被论证对象"画出来
为什么必须先做 —— 没有清晰的功能边界 + 接口 + 假设清单,HARA 就没法穷举 hazard、FMEDA 就没法划元件范围、Safety Case 就没法说"我证明的是什么"。
关键判断:什么属于 item 内部、什么是外部假设。把假设写错(比如默认 BMS 是 ASIL D 实际只是 ASIL C),等于把别人的 fault 算到自己头上,整套论证地基塌。
Step 2 — HARA:找出 SG,并定 ASIL 等级
为什么必须做 —— 整个 ASIL D 论证服务的"目的"在 HARA 之前根本不存在。HARA 是把"功能失常 × 驾驶场景 × S/E/C 评分"碰撞出来的产物,输出物是 Safety Goal + ASIL 等级 + FTTI。
HARA 完备性的三个判据:(1) 列举的 malfunction 覆盖 item 所有功能;(2) 每个 malfunction 套到所有相关驾驶场景;(3) S/E/C 评分有可追溯依据。漏一个高 ASIL hazard 等于整条论证链白做——这就是为什么 OEM safety assessor 总是先质疑 HARA 完备性。
Step 3 — FSC:把 SG 翻译成"系统行为"
为什么需要这一层 —— SG 是结果约束("不出现 X 危险"),FSC 是行为约束("系统要做 A、B、C 才能避免 X")。没有 FSC 这一层,下游硬件团队拿不到可执行的行为目标。
FSC 在这里也是 ASIL 分解的天然窗口——把一条 ASIL D 的 FSR 拆成 B(D) + B(D) 两条独立路径。能否分解,决定了下游硬件复杂度(不分解就要双 lockstep,分解可以 main + monitor)。
关键 caveat:分解只在"两条路径真正独立"时合法。这就是为什么 §1.4 要先把 DFA 摆出来——分解的合法性不在 FSC 当下,而在后面 DFA 论证完成之后。
Step 4 — TSC:把 FSR 落到具体子系统
为什么不能跳到硬件 —— FSR 还是抽象行为("监控扭矩并比对"),TSR 才是技术约束("在 1ms 周期里读 Iq、估算 Torque、比对偏差、超 X 拉 STO")。中间这一层让架构选择(单核 vs 双核 vs 主从 MCU)和 safe state 定义(关 PWM vs ASC vs freewheel)显式化。
TSC 阶段同时把 FTTI 拆成预算:诊断时间 DTI + 反应时间 FRT ≤ FTTI。FTTI 怎么拆决定每条 SM 的实施层级(µs 必须硬件、ms 可以软件、s 可以跨 ECU)。
Step 5 — HSI:硬软件契约
为什么这一层不能省 —— 硬件团队和软件团队不在同一房间。HSI 是两边的合同——这个引脚干什么、这个寄存器怎么读、这个故障怎么报、这个 enable 谁优先。
跳过 HSI 的典型后果:硬件做了 STO 双路 enable,但软件只用了一路;软件做了 plausibility,但硬件 ADC 时序不对它读到的全是瞬态噪声。这种"两边都对、合起来错"的失效在 V&V 阶段才暴露,返工最贵。
Step 6 — HW + SM:选器件 + 配 SM
到这一步才进入"做" —— 前 5 步都是"想"。SM 选择不是自由发挥——每条 SM 的 DC 必须能引一条 ISO 26262-5 Annex D 的 entry 或器件 safety manual 的数字。这不是形式主义,是 FMEDA 阶段必须的输入。
关键约束:硬件层选 SM 时要回头检查 FTTI 预算——5ms FRT 留给软件 ISR + safe state confirm,硬件 SM 只能用剩下的几百 µs。预算不够就要换更快的硬件 SM 或重写 FSR。
Step 7 — FMEDA + DFA:自底向上汇总数字
为什么是两件事一起做:
- FMEDA 把所有元件 FIT × DC 加权,算出 SPFM/LFM/PMHF——回答"随机硬件失效率达不达标"
- DFA 把所有共因路径列出来,证明 SM 之间真正独立——回答"分解和冗余的前提成立不成立"
两者缺一就 数字达标但论证失效。常见塌方:FMEDA 算出 SPFM 99.5%,但 DFA 一查 main 通道和 monitor 通道共用 5V → 共因失效 → SPFM 实际 ≈ 50%。
Step 8 — Safety Case:闭合两条链
Safety Case 不是"文档写作" —— 它是论证的可视化。GSN 结构把 top-down 的完备性证据(HARA → FSC → TSC 全覆盖)和 bottom-up 的正确性证据(FMEDA 数字 + DFA 报告 + V&V 测试)连到 root claim "SG 满足"上。
判断 Safety Case 是否成立的标准:assessor 沿着 G1 → G7 任意子论证向下追溯,必须每一步都能找到具体证据(HARA 表 / FMEDA 行 / DFA 表 / 测试报告 / datasheet 引用)。任何一处"凭工程经验"或"行业惯例"未引证据 = 论证失败。
1.3 层次关系:抽象层级和时间响应层级双坐标
ASIL D 端到端不是单一线性流程——它在两个正交维度上同时分层。理解这两个坐标才能解释"为什么 DESAT 必须硬件而 plausibility 可以软件"这类决策。
- 抽象层 是论证完备性的纵深:高层定"管什么",低层定"怎么管"
- 时间层 是反应能力的横向分布:fault 演变快慢决定 SM 必须落在哪一层
两层关系决定 SM 选型——hazard 演变越快,FTTI 越短,SM 越往硬件层走。这就是为什么 SCWT 2µs 的 SiC 短路必须 DESAT 硬件,而热降额 s 级可以软件 + 跨 ECU。
1.4 论证的"两个独立性"——分解和冗余的隐藏前提
ASIL 分解(D = B(D) + B(D))和硬件冗余(双 ADC、双 iso-amp、main+monitor)都是降低单点 fault 概率的手段。但它们只在两侧真正独立时成立。这一条是整套论证里最容易塌的一处——它不在某一步内部论证,而是横跨 HW、FMEDA、DFA 三步的共同前提。
DFA 的角色就是把这个隐藏前提显式论证:枚举所有可能的共因路径(共享电源 / 时钟 / 复位 / 内存总线 / SM 逻辑 / 地 / 物理空间 / 散热 / 冷却液 / 维修流程),对每一条给出"已切断"的具体证据。
记住这条:FMEDA 数字达标但 DFA 没做完 = 数字是假的。这是 ASIL D 论证的"暗坑之首"。
1.5 完成度的判据——什么时候这条论证算"做完"
ASIL D 论证没有"全部完成"的状态——只有当前可论证的范围内闭合。判断闭合的三个判据:
- 完备性闭合:HARA → SG → FSR → TSR → HSI 链上每个节点都有下游对应,没有"悬空"的 SG(无 FSR 实现)或"孤儿" SM(不对应任何 FSR)
- 正确性闭合:每条 SM 的 DC 有 datasheet / 标准引证;FMEDA 数字达标;DFA 共因全切断
- 法规闭合:HV 类 hazard 引到 UN R100 / ISO 6469-3;扭矩类引到 UN R79 / R140;功能安全总框架引到 ISO 26262
三者全闭合才能向 OEM 提交 Safety Case。任何一项不闭合,剩下的都是半成品——OEM assessor 第一轮 audit 就会打回。
下面 §2 和 §3 把这个框架分别套到扭矩安全和 HV no thermal incident 两个最经典 ASIL D 场景上,每一节按 §1.2 的 8 步走完一遍——你能看到框架在两类完全不同的 hazard 上如何统一发力。具体 SM 实现细节请跳转专题页(电流/电压采样诊断、安全机制目录、转矩/HV/热安全),本页只串论证逻辑。
2. 案例 A:Inverter 扭矩安全 ASIL D
把 §1 的框架套到扭矩安全:驾驶员通过油门请求扭矩,inverter 执行——这条功能链一旦失常输出"驾驶员没要的扭矩",就是 UT,整车在高速直接失控。所以整套论证的目的只有一个:在 hazard 演变到不可控之前(FTTI 内),把 fault 探测出来并把扭矩压到安全等级。这条目的反向决定了下面所有步骤——HARA 要找出哪些 malfunction 会引起 UT、FSC 要规定"必须监控实际扭矩"、TSC 要把监控落到独立的 main+monitor 双路、HSI 要规定 monitor 通道的 STO 直拉路径、HW 要给 FOC 链每个传感器配 SM、FMEDA 要算 SPFM 达 99%、DFA 要切断 main 和 monitor 的所有共因、Safety Case 把这些证据串成"SG-T1 满足"的论证。
下面 8 步每一步都在解决上一步留下的开放问题——读的时候关注步骤之间的"为什么从这里到那里",而不是单步内部的细节。
2.1 Item Definition
把"被论证对象"定义清楚是 8 步的根。一个标准的 traction inverter item definition 至少包含功能边界 + 接口 + 工作模式 + 假设。这一步的开放问题来自 RFQ——"OEM 让我做的到底是什么";它要给下一步 HARA 提供完整的功能枚举范围。
| 字段 | 内容 |
|---|---|
| Item | EV traction inverter(PMSM 驱动) |
| 功能 | 把 HV 直流转为三相 AC 驱动电机;执行 VCU 扭矩指令 |
| 物理边界 | DC 母线接口 + 三相输出 + LV 接口 + 通信接口 + 冷却接口 |
| 工作模式 | 启动 / 低速 / 中高速 / 反电制 / standstill / fault |
| 假设 | VCU 是 ASIL D;BMS 提供 ASIL C 的 V_bat;冷却系统是 ASIL B |
2.2 HARA(典型推导)
HARA 是把 Item Def 提供的"功能"逐一翻成"功能失常"——每个功能问"如果它做错了/不做/做反了/做太多/做太少 会怎样",再把这些 malfunction 套到所有相关驾驶场景,用 S/E/C 评分查 ASIL 表。这里输出的 SG 就是后面所有步骤的论证目标——SG 错或漏,下游做得再好也证伪不了 hazard。下面只列扭矩相关的关键 hazard,完整 HARA 在 HARA 危害分析。
| Malfunction | 场景 | S | E | C | ASIL | Safety Goal |
|---|---|---|---|---|---|---|
| 扭矩 > 请求 + 100 Nm | 高速直道 | S3 | E4 | C3 | D | SG-T1:UT |
| 扭矩 反向输出 | 低速倒车切换 | S3 | E3 | C2 | C | SG-T2:反向 |
| 扭矩 = 0(请求 ≠ 0) | 高速直道 | S2 | E4 | C2 | B | SG-T3:LoT |
| 持续输出 > 50% 请求 | 驻车 | S2 | E2 | C2 | A | SG-T4:驻车蠕动 |
SG-T1(ASIL D):Inverter 不应在驾驶员未请求时输出扭矩 > X Nm 持续 > T_FTTI ms。
2.3 FSC(功能安全概念)
FSC 解决的开放问题是:"SG 是结果约束,但系统要做什么行为才能保证这个结果"。回答它就要把 SG 拆成若干 FSR——每条 FSR 都是 SG 的一个必要条件,所有 FSR 合起来构成 SG 的充分条件。这里也是 ASIL 分解的天然窗口:把一条 ASIL D 的 FSR 拆成两条独立的 B(D) 路径,把下游硬件复杂度降一档,但代价是后面 DFA 必须证明两侧真正独立。
| FSR | 描述 | ASIL |
|---|---|---|
| FSR-1 | 系统应正确接收 VCU 扭矩请求并执行 | D |
| FSR-2 | 系统应监控实际扭矩 vs 请求扭矩,偏差 > X 时切到 safe state | D |
| FSR-3 | 系统应在 FTTI 内将扭矩降至 ≤ Y Nm | D |
| FSR-4 | Safe state = 关 PWM(低速)/ ASC(中高速) | D |
| ASIL 分解 | FSR-2 拆 ASIL D = B(D) main path + B(D) safety monitor | D → 2× B(D) |
FTTI 怎么定:从 Hazard 反推——100 Nm 异常扭矩 + 整车惯量 + 高速场景,整车从"过扭矩出现"到"驾驶员失控"约 100~200 ms 内。FTTI 取下界 + 安全余量 = 40 ms。
2.4 TSC(技术安全概念)
TSC 解决的是"FSR 还是抽象行为,硬件团队拿不到可执行目标"。它把 FSR 落到具体子系统 + 信号 + 时间预算——架构选 main+monitor 还是双 lockstep、safe state 是关 PWM 还是 ASC、FTTI 怎么拆成 DTI + FRT。这一步的输出直接决定 §2.6 SM 选型——FRT 留给硬件还是软件、几路冗余、走哪条物理路径。以 FSR-2(扭矩监控)为例:
TSC 关键决策:
- ASIL 分解到 B(D) + B(D):main 通道(FOC 控制)和 monitor 通道(独立扭矩估算 + STO 拉栅)必须独立——独立 MCU 核(lockstep 或独立芯片)+ 独立电源 + 独立时钟 + 独立软件栈
- L2 monitor 算法:用电压方程 + 转速 + 估算磁链反算 Torque_estimate,与 cmd 比对
- STO 实现:栅极驱动 IC 的 enable 引脚由 monitor 直拉,不经 main MCU
2.5 HSI(硬件软件接口)
HSI 解决"硬件团队和软件团队不在同一房间"——TSR 写"扭矩监控独立通道",但谁的代码读哪个 ADC、哪个 GPIO 拉栅极 enable、谁优先级更高,必须钉死才能两边同时开发。这一层是论证里"最不显眼但返工最贵"的一环——跳过它的项目都在 V&V 阶段才发现"硬件做了但软件没用、软件查了但硬件配错时序"。下面是 SG-T1 涉及的关键 HSI 行:
| 信号 | 物理位置 | 主功能 | 安全约束 |
|---|---|---|---|
| Iu/Iv/Iw | 三路 shunt + INA240 | FOC 电流反馈 | KCL + range + plausibility(详见 电流采样诊断) |
| Vdc | HV 分压 + AMC1311 | modulation depth | 双通道 + plausibility(详见 电压采样诊断) |
| 转子位置 θ | Resolver + RDC | Park/SVPWM | RDC 自诊断 + 角度速度 plausibility |
| Torque cmd | CAN E2E P05 | 控制指令 | E2E CRC + Counter + 范围 |
| Gate enable | MCU IO 双路 | 控制 STO | 物理双路 enable,monitor 拉低优先 |
2.6 关键失效模式与 SM 分配
到这一步才进入"做硬件"——前 5 步把 SG → FSR → TSR → HSI 都钉死后,硬件设计的自由度其实只剩"用什么器件、配哪条 SM、DC 引哪个数字"三件事。把 SG-T1 涉及的 fault tree 走一遍,每个 basic event 都要至少一个 SM 抓——没人管的 basic event 就是 §1.1 完备性闭合的漏洞,FMEDA 阶段会暴露。
| Fault | 影响 | SM | DC |
|---|---|---|---|
| Iq 估算错(电流 sensor 漂) | UT | KCL + range + plausibility + dual ADC | ≥ 99% |
| Vdc 读数错(虚低 → 过调制) | UT | 双 iso-amp + plausibility | ≥ 99% |
| 转子角错(resolver 漂) | UT | RDC fault output + 速度 plausibility | ≥ 95% |
| MCU 跑飞(FOC 算错) | UT | Lockstep + Q&A WD | ≥ 99% |
| 栅极驱动 IC fault | UT | DESAT + UVLO + STO | ≥ 99% |
| CAN cmd 篡改 | UT | E2E P05 + range | ≥ 99% |
| Monitor 自身失效 | 失去诊断 | Monitor heartbeat + LBIST 周期自检 | ≥ 90% |
2.7 FMEDA 数字账
FMEDA 是 §1.1 自底向上正确性论证的具体动作——把每个元件 FIT × DC 加权汇总反算 SPFM/LFM/PMHF。它的真正价值不在算出 99% 这个数字,而在反向暴露漏点:哪个 fault group 的 residual 太高就回到 §2.6 补 SM 或换器件,回路反复直到达标。下面是简化数字(实际 FMEDA 一行就是上百条):
Element: Inverter (含 MCU + driver + sensor + power stage)
Total FIT = 500
Safety-related FIT = 450
| Fault group | FIT | Combined DC | residual SPF |
|---|---|---|---|
| Power stage(IGBT/SiC) | 80 | 99% | 0.8 |
| Gate driver | 60 | 99% | 0.6 |
| Current sensing chain | 50 | 99% | 0.5 |
| Voltage sensing chain | 40 | 99% | 0.4 |
| Position sensing | 35 | 95% | 1.75 |
| MCU | 100 | 99% | 1.0 |
| SBC + WD | 35 | 99% | 0.35 |
| CAN / E2E | 20 | 99% | 0.2 |
| 电源树 | 30 | 95% | 1.5 |
差点到 99%。提升办法:把 Position sensing 升到 99%(双 resolver 或 resolver + Hall);电源树用 redundant rail。 则要单独算 multi-point fault → 通常靠 lockstep + DFA 把 latent fault 抓出来。
2.8 DFA(独立性论证)
DFA 收的是 §2.3 ASIL 分解和 §2.7 FMEDA 留下的"两侧独立"假设的账——分解和冗余的合法性不在它们自己那一步证明,而在 DFA 这一步证明。任何一条共因路径未切断都意味着分解失效、FMEDA 数字虚高。这是 §1.4 讲的"暗坑之首"。
| 共因路径 | 切断方案 |
|---|---|
| 共享电源 5V | Main 用 SBC1,Monitor 用 SBC2 独立电源 rail |
| 共享时钟 | Main 用主晶振,Monitor 用独立 RC 振荡 |
| 共享复位 | 独立 reset 域 |
| 共享 CAN bus 接收 | E2E + Counter,两侧独立解码 |
| 共享栅极 enable | 物理双路 enable + AND |
| 共享 PCB 区域(一颗大颗粒辐射) | 物理隔离 ≥ 5 mm |
2.9 Safety Case 骨架
Safety Case 是 §1.1 两条论证链(top-down 完备性 + bottom-up 正确性)在 root claim 处的闭合点。它不是文档写作而是论证可视化——assessor 沿着 G1 向下追溯,每一节点都必须能找到证据出处(HARA 表 / FMEDA 行 / DFA 报告 / 测试用例 / datasheet 引用)。GSN(Goal Structuring Notation)骨架:
G1: SG-T1 满足 (UT 在 FTTI 内被 detect 并 react)
├─ G2: Hazard 分析完整 (HARA 覆盖全场景)
├─ G3: FSC/TSC 设计正确 (E-Gas L2 + ASIL 分解)
├─ G4: SPFM ≥ 99% (FMEDA 表 §2.7)
├─ G5: LFM ≥ 90%
├─ G6: 独立性满足 (DFA 表 §2.8)
└─ G7: V&V 完成 (单元/集成/HIL/整车测试)
详见 Safety Case。
3. 案例 B:HV "No Thermal Incident" ASIL D
把 §1 的框架套到 HV thermal——和扭矩案例的根本差别在两处:(1) hazard 类型多(起火 / 爆炸 / 触电 / 泄漏 / 过充 / 接触器粘连 …),不是单一的 UT/LoT;(2) 受双重监管约束(ISO 26262 + UN R100/ISO 6469-3),法规阈值比 ASIL D 数字更硬。这两个差别决定了 HV 案例的论证形态:FSC 不是 1 条 SG 拆 4 条 FSR,而是 1 条总 SG 下挂 7 条 sub-SG,每条都有自己独立的硬件链;FMEDA 必须按 sub-SG 分别算(不能混算);Safety Case 必须把法规条款显式引到 GSN 节点。
下面同样按 8 步走,但结构上你能看到——因为多 hazard、多硬件链、多法规,每一步内部的展开方式都和扭矩案例不同。这恰好印证 §1 的框架不是模板填空,而是论证逻辑——形态可变,逻辑不变。
3.1 Item Definition + 范围
HV thermal incident 的"item"边界比扭矩大——不是单 inverter,而是 HV 子系统(电池 + BMS + 接触器 + inverter + OBC + DC/DC + 电缆 + 冷却 + 整车 HVIL)。Item 边界画在哪、谁负责哪段,决定了哪些 fault 是自己的、哪些是别人传过来的"假设"。这里只看 inverter 在其中的责任分担。
| 字段 | 内容 |
|---|---|
| Item | HV 子系统中的 inverter 端 |
| 责任分担 | inverter 负责: 自身不起火、不引起电池热失控、维修人员不触电;整车 thermal 由 BMS+OBC+inverter 协同 |
| Hazard 类型 | 起火 / 爆炸 / 触电 / 泄漏 |
3.2 HARA(thermal-related 关键 hazard)
HV thermal 的 HARA 比扭矩多一个枚举维度——除了 malfunction 本身,还要按 能量路径(短路放能 / 持续过流 / 散热失败 / 残压 / 绝缘漏 / 接触器卡)枚举,因为每条能量路径下游对应的物理 hazard 不同(瞬时起火 vs 慢热失控 vs 触电)。下表把六条主要路径对应的 SG 列出来——你能看到 ASIL 等级直接由 S/E/C 决定,没有"工程经验"调节的余地。
| Malfunction | 场景 | S | E | C | ASIL | Safety Goal |
|---|---|---|---|---|---|---|
| 直通短路(上下管同时 ON) | 任意 | S3 | E4 | C3 | D | SG-H1:no through-short fire |
| 持续过流未关栅 | 任意 | S3 | E4 | C3 | D | SG-H2:OCP 必须有效 |
| 散热失效 + 高负载 | 上坡满载 | S3 | E3 | C3 | C | SG-H3:热降额 |
| HV 残压 > 60V 后开盖 | 维修 | S3 | E2 | C3 | C | SG-H4:放电完成 |
| 绝缘失效 + 漏电 | 涉水 | S3 | E2 | C2 | B | SG-H5:IMD 监测 |
| 接触器粘连 | 任意 | S2 | E3 | C2 | C | SG-H6:粘连检测 |
合并后整车 SG:"HV 系统在任何工况下应不发生 thermal incident(起火 / 爆炸)"——综合等级 ASIL D。
3.3 FSC
HV 案例的 FSC 形态和扭矩不一样——不是把 1 条 SG 拆几条同类 FSR,而是 1 条总 SG 下挂 7 条彼此独立的 sub-SG / FSR,每条对应一类 hazard(短路 / 过流 / 过热 / 残压 / 绝缘 / HVIL / 接触器)。这 7 条 FSR 可以独立设计、独立做 FMEDA、独立做 V&V,但 Safety Case 收尾时必须证明它们合起来覆盖整个 thermal incident 空间——这是 §1.5 完备性闭合的考验。
| FSR | 描述 | ASIL | 主要硬件 |
|---|---|---|---|
| FSR-H1 | 短路在 SCWT 内被检测并关栅 | D | DESAT + soft-off |
| FSR-H2 | 过流在 100 µs 内被检测并关栅 | D | OCP comparator + STO |
| FSR-H3 | 热超温时降额 → 限功率 → 关栅 | C | NTC + 热模型 + 双通道 |
| FSR-H4 | 接触器关 → 5 s 内 Vdc < 60 V | C | Active discharge + Vdc 双通道监测 |
| FSR-H5 | HV-底盘绝缘异常时切断 | B | IMD |
| FSR-H6 | HVIL 断时立刻 STO + 放电 | C | HVIL loop + STO |
| FSR-H7 | 接触器粘连时报警 + 限功率 | C | 粘连检测 |
3.4 TSC + HSI(关键技术分配)
TSC 在 HV 案例的关键决策是"每条 FSR 走独立的硬件链"——这和扭矩案例的"main+monitor 双路同源 fault"是两种完全不同的架构。HV 类 hazard 演变机制各异(短路 µs 级、热 s 级、放电 s 级、绝缘 min 级),用一套硬件覆盖会被最严的时间约束拉死,分链反而是必然选择。下面这张图就把"7 条 FSR → 7 条独立硬件链"的对应关系画出来:
每条 FSR 在 HSI 都有具体落地:
| 信号 | 物理位置 | 安全约束 |
|---|---|---|
| Vdc | HV 分压 + 双 AMC1311 | 双独立通道 + plausibility(电压采样诊断) |
| Iu/Iv/Iw | shunt + CSA | OCP comparator 直拉 STO(< 1 µs) |
| T_module | 多颗 NTC + module 内部 ts pin | NTC 断/短检测 + 热模型双冗余 |
| HVIL loop | 串联连接器引脚 | 25mA 监测电流 + 断线立即 STO |
| IMD | Bender 类独立 IC | < 100 Ω/V 报警 |
| Discharge enable | MCU + 物理 fail-safe 电阻 | MCU 不可达时被动放电仍工作 |
3.5 关键 SM 分配(按 FSR)
把每条 FSR 配上 SM,能直观看到 §1.3 时间层论的体现——FTTI 越短的 FSR,SM 越被推到硬件层(DESAT、OCP comparator、HVIL loop 都是纯硬件链),越宽松的越能用软件甚至跨 ECU 协调(thermal derate、IMD 是 s 级软件)。这不是设计偏好,是物理约束的必然。
| FSR | SM | DC | 反应时间 |
|---|---|---|---|
| FSR-H1 short circuit | DESAT (driver IC 内置) | 99% | < 2 µs(SiC SCWT 内) |
| FSR-H2 OCP | 比较器 + STO 直拉 | 99% | < 1 µs |
| FSR-H3 thermal | NTC × N + 热模型双冗余 + 降额表 | 95% | s 级(热时间常数大) |
| FSR-H4 discharge | Active discharge IC + Vdc 双通道监测 | 99% | < 5 s(UN R100) |
| FSR-H5 IMD | Bender ASIL B IC 独立运行 | 95% | s 级 |
| FSR-H6 HVIL | 25mA loop + STO 双路 enable | 99% | < 100 ms |
| FSR-H7 contactor | 粘连检测(Vdc jump + coil V/I) | 95% | 100 ms 级 |
3.6 FMEDA + 多 hazard 合并
HV thermal 的 FMEDA 比扭矩多一道"分账"工作——多个 SG 共享同一硬件元件(比如 Vdc 采样既服务 FSR-H4 残压判定,也服务扭矩 modulation),FIT 不能重复算,要按"每个 SG 单算 SPFM/LFM"。这就是为什么实际项目里 FMEDA 表是按 SG 切片的,不是按元件切片——一个 IGBT die fault 可能同时进 SG-T1 和 SG-H1 两张表。
SG-H1 short circuit: SPFM 99.5% LFM 92% PMHF 7.2 FIT
SG-H2 OCP: SPFM 99.4% LFM 90% PMHF 8.1 FIT
SG-H3 thermal derate: SPFM 97.0% LFM 85% PMHF 12 FIT → 需补 SM
SG-H4 discharge: SPFM 99.0% LFM 91% PMHF 6.8 FIT
SG-H6 HVIL: SPFM 99.5% LFM 93% PMHF 5.5 FIT
SG-H3 不达标的常见补法:换更高精度 NTC、加 IGBT/SiC die 内部 ts pin、把热模型做成 ASIL B 软件模块。
3.7 DFA(HV 特有共因)
HV 子系统的共因路径比扭矩多一个维度——机械 / 流体 / 电气三类同时存在。冷却液一漏可能同时打挂多颗 NTC + IMD 板 + 控制板,这是扭矩案例不会遇到的物理形态。HV DFA 必须把这三类共因都显式枚举并切断,否则 §3.6 的 FMEDA 数字仍是虚高。
| 共因 | 例 | 切断方案 |
|---|---|---|
| 冷却液泄漏 | 同时损坏多颗温度传感器 | NTC 物理分散布点 + IMD 单独电气域 |
| HV+ HV- 共模冲击 | iso-amp / IMD 同时失效 | 双独立 vendor / 不同隔离技术 |
| 12V 失电 | 整个保护链瘫痪 | 备用电池 + active discharge 用纯硬件 fail-safe(不依赖 12V) |
| MCU 失效 | 所有软件 SM 瘫 | 硬件链(DESAT / OCP / HVIL / discharge)必须独立于 MCU |
3.8 Safety Case 骨架
Safety Case 在 HV 案例的关键差别是G6 必须显式引法规——ISO 26262 的 99% SPFM 不能替代 UN R100 的 5s/60V 物理判据。两者并列论证才闭合。
G1: SG "no thermal incident" 满足
├─ G2: Hazard 7 类全列入 HARA
├─ G3: FSC 7 条 FSR 覆盖全 hazard
├─ G4: 每条 FSR 的 FMEDA 数字达标 (§3.6)
├─ G5: 共因失效切断(DFA §3.7,含机械流体)
├─ G6: 法规符合(UN R100 / ISO 6469-3 §5.1.4)
└─ G7: V&V 完成(DV/PV + 整车碰撞试验 + IP6K9K 等)
4. 两个案例的共同模式
把扭矩和 HV thermal 两个案例并排看,结构差异巨大(一条 SG vs 七条 sub-SG、纯电气 vs 机械流体电气混合、单一硬件链 vs 多硬件链),但论证骨架完全一样——都走 §1.2 的 8 步、都靠 §1.4 的两个独立性、都在 §1.5 的三类闭合处收口。这反过来证明 §1 的框架不是经验总结而是逻辑必然。下面 5 条是从两个案例反提的"任何 ASIL D 论证都成立"的共同律:
| 共同律 | 扭矩案例 | HV thermal 案例 |
|---|---|---|
| Hazard → FTTI 倒推 | 高速 UT → 100ms → FTTI 40ms | 短路 → SCWT 2µs → 硬件 SM |
| ASIL 分解 = 两侧独立 | Main FOC + L2 monitor | 软件链(监测)+ 硬件链(DESAT/HVIL) |
| 硬件 SM 抓快事件,软件 SM 抓慢事件 | DESAT/OCP < 1µs;plausibility ms 级 | 同 |
| 物理冗余 > 计算冗余 | KCL 三相和;E2E CRC | Vdc 双通道;NTC 多颗分散 |
| 法规约束最严的 hazard 主导设计 | UT 高速 ASIL D | UN R100 残压 5s/60V |
5. ASIL D 端到端 6 反模式
这 6 条是 OEM safety assessor 审 inverter safety case 时最常打回的问题,识别它们能让你少返工至少一轮。
| 反模式 | 表现 | 修法 |
|---|---|---|
| HARA 漏场景 | 只列了直道高速 UT,没列倒车切换、上坡蠕动 | 用驾驶情景矩阵穷举(直/弯/坡/挡/速) |
| ASIL 分解但两侧不独立 | Main 和 Monitor 共用 SBC 5V → 共因 → 分解无效 | DFA 强制走一遍 |
| FMEDA 数字凑 | 给所有 SM 都填 "99%",无 datasheet 引用 | 每行 DC 必须能引 26262-5 Annex D 或器件 safety manual |
| FTTI 没倒推 | 拍脑袋 "FTTI = 50 ms",没从整车惯量算 | 从 hazard 演变时间常数倒推 |
| Safety case 没提 V&V | 只论证设计正确,未论证测试覆盖 | 单元/集成/HIL/整车 4 层全覆盖 |
| 法规和 SG 没串 | Safety Case 不提 UN R100 / ISO 6469-3 | HV 类 hazard 必须把法规条款引到 G6 |
6. 8 步流程速查(带模板)
下表把 ASIL D 端到端流程压成一页,可直接当项目启动时的 checklist。
| # | 步骤 | 输入 | 输出 | 谁做 |
|---|---|---|---|---|
| 1 | Item Definition | OEM RFQ + 系统图 | Item def 文档(功能边界 / 接口 / 假设) | 系统工程 |
| 2 | HARA | Item def + 驾驶场景库 | Hazard list + ASIL + Safety Goal | 安全工程 |
| 3 | FSC | SG | FSR list + ASIL 分解 | 安全工程 + 系统 |
| 4 | TSC | FSR | TSR list + safe state 定义 + FTTI | 系统 + 各域工程 |
| 5 | HSI | TSR | 信号 / 引脚 / 寄存器表 + 双方约束 | 硬件 + 软件 |
| 6 | HW + SM 设计 | HSI | 原理图 / SM 配置 + datasheet 引用 | 硬件 |
| 7 | FMEDA + DFA | HW + SM | SPFM/LFM/PMHF + DFA 报告 | 安全工程 + 硬件 |
| 8 | Safety Case | 全部上方 | GSN 论证 + V&V 报告 + 法规符合证据 | 安全工程 |
核心要点
- ASIL D 不是堆 SM —— 是 8 步端到端论证(Item → HARA → SG → FSC → TSC → HSI → FMEDA + DFA → Safety Case)
- 扭矩安全 ASIL D 核心:E-Gas L2 monitor + ASIL 分解到 B(D)+B(D) + Main/Monitor 完全独立 + STO 双路 enable
- HV thermal ASIL D 核心:DESAT/OCP 硬件链 + Active discharge 5s/60V + HVIL + IMD + 多 hazard 合并 FMEDA
- FTTI 必须从 Hazard 倒推——拍脑袋的 FTTI 是 safety case 第一被打回的项
- ASIL 分解的成立完全靠 DFA——共因没切断 = 分解无效 = 仍是单一 ASIL D
- 快事件用硬件 SM,慢事件用软件 SM —— DESAT < 2µs 必须硬件,热降额 s 级软件
- 物理冗余 > 计算冗余 —— KCL 三相和、双 iso-amp、多颗分散 NTC
- HV 类 hazard 受双重约束 —— ISO 26262 + UN R100 / ISO 6469-3,Safety Case 必须双引
- 6 反模式戒除:HARA 漏场景 / 分解不独立 / FMEDA 凑数 / FTTI 不倒推 / 缺 V&V / 法规没串