EV 功能安全开发 — 流程串联与三大 SG 协同

HARA(Hazard Analysis and Risk Assessment)在 ISO 26262 Part 3 §6 定义,EV 场景下输出物是一张表,每行一个"危害事件 + 驾驶场景 + S/E/C 评级 + ASIL"。EV 与传统燃油车的区别在于 HARA 多了 HV / 电池域的危害(燃油车没有的电触电 / TR 蔓延),所以这一步必须由跨域工程师共同评审,不能只靠传统底盘安全工程师。

S(Severity)/ E(Exposure)/ C(Controllability)三维评级:

• S0-S3:伤害严重度(无伤 / 轻伤 / 重伤 / 致命)
• E0-E4:发生频率(极少 / 偶尔 / 经常 / 总是)
• C0-C3:可控性(总能避免 / 通常可控 / 难以控制 / 几乎无法控制)

ASIL 查表 = S × E × C → A/B/C/D 或 QM(无 ASIL)。EV 三大典型 HARA 条目:

FSC(Functional Safety Concept,Part 3 §8)把 SG 转成整车级安全要求 FSR(Functional Safety Requirement),不涉及具体技术实现。TSC(Technical Safety Concept,Part 4 §6)把 FSR 落到子系统 → TSR(Technical Safety Requirement),指定哪个 ECU / 哪条信号 / 哪个 IC。HW/SW(Part 5 / Part 6)把 TSR 拆成元件级要求 + FMEDA 量化。每一级都有正向分配 + 反向追溯,中间断一环就不通过审计。

ASIL D 直接做开发成本指数级上升(coding standard / tool qualification / 验证强度都大幅加严)。ASIL 分解 是把 ASIL D 拆成两个独立 ASIL B(D) 通道,每条只要满足 B 级开发流程,合起来等效 D 级。这是 EV 工业上唯一可行的成本控制手段。分解的硬约束:

• 独立性:两通道硬件 + 软件 + 时基 + 供电完全独立
• 共因失效 (CCF) 必须 < 10% — 单一根因不能同时让两通道失效
• 诊断激活:两通道任一失效都必须能立即检测出来

实践配置:扭矩 ASIL D = MCU 主功能 ASIL B(D) + 安全 MCU 监控 ASIL B(D),两 MCU 互相 alive-message,任一掉线进 STO。

Level 1 (功能层):正常驾驶逻辑,跑 FOC / DTC 控制算法,输出 PWM。
Level 2 (功能监控):独立计算"应该输出的扭矩"与 Level 1 实际输出对比,差超 10% 触发 fault。
Level 3 (控制器监控):监控 Level 1+2 这个芯片本身是否正常工作(MCU 看门狗 / RAM/ROM 自检 / 时序检查),芯片自身故障触发 STO。

三级一旦任意一级判定 fault → 切 STO(Safe Torque Off):HVG + LVG 同时拉低,inverter 输出三相高阻,电机自然减速。

扭矩链信号必须双通道,典型组合:

• 加速踏板:两路独立电位器,差分超 5% 触发 fault
• 电机位置:旋转变压器 RDC + 备份编码器 / 备份 IPM 内置 hall
• 相电流:LEM 霍尔 + shunt + ADC 两通道独立采样
• 母线电压:HV 直采 + LV 端隔离放大独立通道

详见 topic-torque-safety §4 / topic-current-sensing-safety。

STO 不是软件命令,是 硬件中断 driver IC 的 enable 输入 — 任何软件 hang 都不能阻止 STO 生效。L6390 / UCC5870-Q1 / 1ED34xx 等都把 enable 引出独立 pin,接到安全 MCU GPIO + opto-isolator,双路冗余 任一路拉低即关栅。

详见 topic-torque-safety §6 + topic-gate-driver-safety。

EV HV 域必备五件保护元件(缺一不可):

详见 topic-hv-safety §2-6。

EV 上电序列:LV → HVIL 闭合 → IMD 自检 → 预充电(限流 50-100Ω 给 bulk cap 充电到 0.95×VHV) → 主接触器闭合 → 卸预充。下电序列反过来,但 接触器断开后必须立即启动主动放电,不能等"自然放电"(bulk 电阻百 MΩ 级别要小时级)。

主动放电有两种实现:

• 专用放电电阻 接在 bulk cap 上,继电器导通时放电(2-5s,典型 1-2kΩ / 50W)
• 复用 inverter 把 PWM 拉成持续偏置,让电机绕组当放电路径(Active Short Circuit,ASC)

后者更快(几百 ms)但需要 inverter 仍有 HVG/LVG 驱动能力 — 这就是 SG1 STO 与 SG2 主动放电的接力点:STO 关栅 = inverter 完全断电 = 无法 ASC,只能走专用放电电阻路径。

功率器件 Tj 不能直接测,只能间接:

• NTC 测壳温 Tc,Zth(t) 反推 Tj 估值
• SiC 内置 PT-T sensor (Wolfspeed / Infineon 部分型号)
• VDS(on) 温感法(精度低,需校准)

监控周期 100-1000ms 即可(热惯性大)。derating 策略 = Tj 接近上限时按 PI 控制器减小电流上限,保留扭矩控制平滑。详见 topic-thermal-safety §2-4 / topic-zth-transient-thermal。

电池 TR 三大触发信号(任一即认 TR):

• 单 cell 温升 > 8 K/s
• 单 cell 电压陡降 > 25%
• 电池模组烟雾 / VOC 传感器报警

触发后:

• 立即向 VCU 报 TR
• VCU 启动主动放电 + 紧急下电
• 5min 内不蔓延 / 不爆燃 / 不喷火即满足 GB 38031
• 同步通知乘员舱(声光 + 5s 后强制开门解锁)

详见 topic-bms-safety §3-5 + topic-thermal-safety §5。

冷却系统(水泵 + 散热器 + chiller + 阀门)本身是 ASIL B 元件 — 失效会让电池 / 功率器件温度失控,间接引发 SG3 触发。设计要点:

• 水泵接 12V 系统,不依赖 HV — 如果接 HV,SG2 主动放电后散热失效会立即引发 SG3 二次触发(死锁,见 §5.2)
• 冷却液流量传感器 + 出口温度传感器双冗余
• 阀门故障时默认"全开"(fail-open),让最大冷却量通过

三大 SG 的 FTTI 单调递增:扭矩 100ms < HV 1-5s < 热 5-60s。这意味着 触发时间优先级 = SG1 > SG2 > SG3 — 但 Safe State 优先级取最严:

接力链通畅时,扭矩失控 (SG1) → 关栅 + 信号给 BMS (SG2) → 主动放电 → 放电电阻散热监控 (SG3) → 整车 safe。但 EV 三大子系统的能量耦合让"通畅"是少数情况,工程上常见的两类死锁场景都源于"前级关断切断了后级的执行路径"。

死锁场景 1 — STO 后无放电路径:SG1 STO 关 HVG/LVG → inverter 三相高阻 → ASC 失能 → bulk cap 储能必须靠专用放电电阻泄放(1-5s,达不到 SG2 的 1s 目标)。修复:STO 状态下保留 LVG 路径,让三相通过下管短路放电(电机绕组当 dump load),时间能压到 100-300ms。

死锁场景 2 — 散热泵接 HV 失电:SG3 触发 → BMS 断主接触器 → 散热泵失电 → 局部 Tj 反而 ↑ → SG3 二次触发(永久)。修复:散热系统全部接 12V,不接 HV。

不能信任"SG1 触发后会通知 SG2 / SG3" — 软件链路本身有失效概率。正确做法:

• 每个 SG 独立监测自己的安全状态(扭矩 / VHV / Tcell)
• 任一进入 Safe State 都 同时 广播到其它两个域
• 接收端不立即 trust,而是 独立验证(再测一遍信号源)
• 形成"安全状态二维握手":发送 + 接收 + 验证 + 应答