Fail-Operational Architecture — L3 量产实战 + 6 相双绕组 + DREHB

Mercedes Drive Pilot 在 2022-05 拿到欧盟首张 SAE L3 认证(S-Class + EQS),2023 加州 / 2024 内华达扩展。5 个子系统全冗余:

• Brake:双 brake actuator + 独立液压 + 独立电子驱动 — 单 brake fail 不丢制动力
• Steering:双 steering motor + 双 ECU + 双 wheel rotation sensor — 单 motor fail 半助力 + alert
• Power:双电池架构 + isolation — 主 12V fail,备 12V 撑 ≥ 10s 等司机接管
• Compute:双 ECU + diverse algorithm — 不是简单 mirror,Primary 跑全功能 NN,Secondary 跑 rule-based MRC
• Sensor:camera + LiDAR + radar 3 模态 diverse — 任一模态 degrade,另两路融合补

来源:Mercedes-Benz Group — Drive Pilot redundancy

Honda Sensing Elite 在 Legend EX(日本,2021-03)上量产,比 Drive Pilot 早 14 个月。架构上类似但更依赖 3D HD map + GNSS 双源定位 — 这是它和 Mercedes 的关键差异。Honda 公开"约 10 million 仿真场景 + 130 万公里实测"才通过日本国土交通省的 SAE L3 认证。Take-over Request(TOR)给司机 10 秒,接管不到自动靠边。

来源:Honda Global Press

Tesla 算力极致(双 HW4 SoC,720 TOPS),算法增量更新快,但结构上无 L3 级冗余:

• 单 EHB + 单 EPS(无冗余 actuator)
• 单 12V + 单 HV(无独立备电池)
• 纯 vision(无 LiDAR,模态共因)
• 双 SoC 但同算法(systematic CCF 满分)

这是为什么 Musk 路线图反复延期 L3 — 不是算法不够好,是硬件结构性缺冗余(无冗余执行器 / 备电 / 异构算法)。FSD 永远只能是 L2+(司机时刻准备接管),想升 L3 必须重大架构改动。

Doer-Checker 是最常见但常被误用的模式。Doer 跑 QM(高性能 NN / FOC / 高级控制),Checker 跑 ASIL D(简单 range / sanity check),Checker 拒绝输出就拉 safe state。关键认知:Doer-Checker 不是 fail-operational — 它是 fail-safe,Checker 一旦拒绝 = 输出关停。把 Doer-Checker 当 fail-op 用是评审会立刻拒的反模式。

适用场景:主驱 motor torque(失 torque = 滑行,安全态存在)、BMS 限功率。不适用:Steer-by-Wire(失转向 = 不可控)、Brake-by-Wire(失制动 = 撞)、L3 ADAS Plan(失规划 = 失方向)。

来源:ARM Neoverse Safety Isolation

Primary-Secondary 是 Mercedes / Honda 都在用的实际模式,本质是 asymmetric architecture:

• Primary — ASIL B 全功能(变道 / 超车 / 高速跟车 / 路口决策)
• Secondary — ASIL D 简版(仅 MRC 控制 — 当前车道减速 / 双闪 / 等司机)
• 切换 — Primary fail,mux 切 Secondary,功能降级但继续行驶 ≤ 10s

关键认知:Primary-Secondary 不是 100% 功能续,Secondary 只做"安全降级到 MRC",这是 SoP 量产 Fail-Op 的折中。完整功能续(2oo3 / Active-Active 100%)成本太高,L3 商业化用不起。

来源:EE News Europe — Asymmetric Architecture

2oo3 是航空 1980s 的标准(Boeing 777 飞控,Airbus FBW),车规几乎只在 robotaxi L4 见到。关键陷阱:单 Voter = SPF — 你做了 3 通道冗余,但 Voter 自己挂了系统就死。航空解法是 Self-Checking Pair (SCP) Voter — 两个 Voter 互比,双 Voter 解 Voter 共因。

车规为什么少用 2oo3:×3 硬件成本 + Voter 必须 ASIL D + 双 Voter SCP 复杂度。Waymo / Cruise 量产 robotaxi 是这条路,但乘用车 L3 / L4 普遍走 Primary-Secondary 折中。

两套三相绕组必须在 stator 上空间偏移 30° 电角,不是 60° 不是 0°:

• 0° 偏移 = 两套绕组重合 = 同 phase 完全耦合 = CCF 灾难(一相短路同时挂双套)
• 30° 偏移 = 6 次(及 18 次)谐波自然抵消(12 次成为残余主谐波)= torque ripple 减半,单故障 ripple 增量可控
• 60° 偏移 = 等效三相,失去 6 相优势

来源:IET Power Electronics 2025 — Fault-Tolerant Six-Phase PMSM

Inverter A 故障 → B 升 100% → torque 减半 + ripple 急升 → 司机方向盘有顿挫感。3 招缓解:

• Harmonic current injection — 注入 5 次 / 7 次反相电流主动抵消主谐波
• Quasi-PR (QPR) current controller — 比 PI 更适合 dual-three-phase,稳态零误差
• 依赖 30° 偏移天然消 6 次(及 18 次) — 即使单故障,空间结构仍提供基础 ripple 抑制(12 次为残余主谐波)

工程现实:两个 Inverter 即使硬件一样,控制算法必须 diverse:

• Inv A — FOC(Field-Oriented Control,经典)
• Inv B — DTC(Direct Torque Control,另一族)

不 diverse 的话,同一软件 bug 同步打两路 = systematic CCF — 违反 ISO 26262-9 Annex C 第 ⑥ 类。

最上层是双液压源,A 路 / B 路各自独立 motor + pump,任一失压另一路接管;关键是双 vendor + 双电源,不是双 unit:

• Motor + Pump A — Vendor X,主路 200 bar
• Motor + Pump B — Vendor Y,备路 180 bar
• 单故障应对:A 失压 → B 接管 ≤ 20ms · ASIL D
• 关键:双 vendor / 双电源 / 双 CAN,不只是双 unit

中层是 valve matrix,负责把 Layer 1 的液压源送到 Layer 3 的 4 个 caliper,并在 valve 卡死时跨路绕行 — 这一层独立于 Layer 1 任一 vendor 的 MCU,避免共因:

• Solenoid Valve Matrix(2×2)— 任一 valve 卡死,跨路供油绕过故障 valve
• 隔离时间 ≤ 10ms,ABS / ESC 仍能正常工作
• 关键:valve 控制器独立,不能挂在 Layer 1 任一 vendor 的 MCU

最下层是 4 轮独立 caliper,每轮有自己的 ECU + 液压回路,单轮失效靠对角轮补偿保持制动力矩平衡:

• 4 个 caliper 各自 independent ECU + 独立液压回路
• 单轮失效 → 对角轮补偿(典型 FL fail → RR 加压,保持力矩平衡)
• 3 wheel braking 仍能停车

DREHB 仿真验证 $PFH\approx 6\times 10^{-9}/h$,约为 ASIL D PFH 阈值 $10^{-8}/h$ 的 0.6 倍(~1.7× 裕度)。L3 ADAS / autonomous 驾驶必备,L2 用不上(司机能踩物理刹车踏板兜底)。

来源:MDPI Actuators 2021 — DREHB

L3 的 MRC 假设司机最终接管,系统过渡 ≤ 10s:

• ① Normal → ② Fault detected(≤ 50ms)→ Secondary 接管 + HMI alert
• ② 后 2s alert 无应答 → ③ TOR(声 + 光 + 振动,最多 10s)
• ③ 后 10s 无应答 → ④ MRC = 停在当前车道 + 双闪 + 0.5g 减速(不变道,不找路肩)
• ⑤ MRC 达成 → 等司机回神 / eCall 自动呼救

关键:L3 MRC 不变道 — 因为系统不能保证变道安全(感知冗余不够)。这是 Mercedes / Honda 共同的设计选择。

L4 无司机兜底,必须自主达到安全位置:

• ② Degraded mode → 2oo3 退 1oo2,降速 + 限制规划复杂度
• ③ Find Safe Spot — 用 HD map 查最近 shoulder / 应急车道
• ④ MRC = 主动变道 + 靠边停(需要变道感知冗余 + 路肩识别)
• ⑤ MRC 达成 → remote takeover(远程操作员接管 / 拖车)

L4 MRC 难度比 L3 高一个量级 — 需要变道安全检查 + 路肩识别全功能仍在 degraded 模式下工作。这是 Waymo / Cruise 量产 robotaxi 的核心挑战。

把上面 5 步决策落到具体子系统的实际组合 — 这是 SoP 量产团队踩过坑反推回来的"安全默认值",可直接当起点:

• L3 EPS / SbW — 6 相双绕组 + Active-Active + Primary-Secondary ECU + diverse algorithm
• L3 Brake-by-Wire — DREHB 3 层级联(L1 双 pump + L2 valve matrix + L3 4-wheel indep)
• L3 Compute — Asymmetric Primary-Secondary(Primary 高性能 NN,Secondary rule-based MRC)
• L4 robotaxi Compute — 2oo3 + SCP Voter,成本接受