HV 主驱逆变器 ISO 26262 安全概念:从 SG 到 TSC 到 FMEDA

这一节先把“V-cycle 五个 part 的角色”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

ISO 26262 还有 Part 8(支持过程)、Part 9(ASIL 相关分析)、Part 10/11(应用指南)。IC 供应商通常做 Part 3-6 的 work products,Part 7 是 Tier 1 量产责任。

传统模式:OEM 提需求 → Tier 1 设计 → 找 IC 厂买芯片。Tier 1 自己做 ISO 26262 全部安全工作,IC 厂只管芯片符合 SEooC 假设。

NXP / TI / Infineon 等头部 IC 厂的新策略:主动做完整的 Part 3-6 reference design(包括 Item Definition / HARA / FSC / TSC / 硬件软件架构),然后把所有 work products 发给 Tier 1 客户。Tier 1 拿来后:

• 如果应用匹配 → 直接 reuse,跳过 6-12 个月开发时间
• 如果应用差异 → 在 NXP 工作产品基础上改,只 review 差异部分
• 如果完全不匹配 → 当 starting point 提速,而不是从零

这是芯片销售模式从"卖硬件"升级到"卖工作产品 + 硬件"的实战路径——头部 IC 厂的护城河越来越深。

ISO 26262 严格要求 Item 边界(scope / boundaries / interfaces)清晰。HV 主驱逆变器典型边界:

• Scope:从 VCU(Vehicle Control Unit)收扭矩命令,驱动 AC 电机产生扭矩
• Boundaries:HV 输入(电池侧)/ AC 输出(电机侧)/ 12V LV 电源 / CAN 通信
• Interfaces:VCU(CAN / FlexRay)、电机(三相 + position resolver + temperature)、电池(HV 接触器 + DC 母线感应)、热管理(冷却液温度)
• Preliminary architecture:DC bus → IGBT/SiC 三相桥 → AC 电机
• Functional assumptions:CAN 通信延迟 < 5ms;电机相电流采样精度 ≥ 1%;HV 输入 200-800V;ambient -40 ~ +85°C

这一节先把“4 类 Hazard”的判断维度收拢到同一视图里，后面的表格用于横向比较各选项的边界。

注意:前两个 ASIL D 是因为 Severity S3(致命可能)+ Exposure E4(经常)+ Controllability C3(司机难纠正)三高叠加(查 ISO 26262-3 Table 4:S3+E4+C3 = ASIL D)。失加速降到 ASIL B 靠的是 controllability 降两档到 C1(司机可简单让出 / 靠边滑行,>99% 可控):同样 S3+E4,但 C3→C2 只到 ASIL C、C3→C1 才到 ASIL B——单说"C2"不足以从 D 降到 B。具体 S/E/C 以 OEM HARA 为准。

从 Hazard 推出 Safety Goal:

• SG1:Avoid unintended acceleration while stopped — ASIL D
• SG2:Avoid reverse torque — ASIL D
• SG3:Avoid sudden loss of acceleration — ASIL B

每个 SG 都附带 FTTI(Fault Tolerant Time Interval):主驱逆变器 FTTI 通常 200ms——从故障发生到必须进入安全状态的最大时间。这个数字几乎决定了整个监控链路的设计预算(MCU 任务周期 / CAN 报文频率 / safety mechanism 响应时间)。

把 FSC 落到具体系统架构。NXP 参考设计的 TSC 含 6 个主要监控模块:

• Battery Sensing + Battery Measure Fault Detect
• Motor Position Sensing(Resolver)+ MPS Measure Fault Detect
• Current Sensing + Current Measure Fault Detect
• Torque Processing(Estimation)+ Torque Comm. Fault
• Vehicle Communication Processing + Comm. Fault
• Power Failure Detection

每个模块的输出 fault 信号汇集到 Safety Manager,Safety Manager 再驱动 External Safety Logic(0 扭矩信号 + FS_ENB / FS_HS / FS_LS 三个 fail-safe 信号到 Motor Interface)。

EV 主驱的 safe state 不是"急停"——突然没扭矩会让车失控。但更细一层:主驱 safe state 有 3 个 ID,选哪个取决于车速(NXP HVINVERTERWPA4):

关键规则:高速绝不能用 3PO——电机反电势会通过 IGBT 体二极管反充 DC bus,产生强制动力矩,瞬间峰值可达额定 3-5 倍,司机失去方向控制 + 易翻车。所以高速失效必须 ASC(SS_HSS 或 SS_LSS),低速才能 3PO。

为什么 HSS / LSS 都要做:某些 IGBT 失效模式(开路 / 短路 / 栅极 floating)可能让 HSS / LSS 之一无效;两路冗余 → 总有一路有效。NXP 参考 BOM 用 FS65 SBC 的 FS_ENB / FS_HS / FS_LS 三个独立信号驱动外部 safety logic 实现这两组。

选哪一侧短接是故障驱动的,不只看速度:NXP 白皮书的原始术语是 3PSHS(three-phase high-side short,= 本页 SS_HSS)、3PSLS(three-phase low-side short,= SS_LSS)、three-phase open(= SS_3PO)。它给的选择规则是——high-side short 故障 → 用 3PSHS(三相短到电池);high-side open 故障 → 用 3PSLS(三相短到地),高速下。即顺着已发生故障所在的那一侧去补全短路,而非无脑进某个固定 ASC。这正是高 / 低侧驱动通道必须彼此独立的根因:单点故障不能同时让两侧失效,否则无法在 3PSHS 与 3PSLS 之间选择反应。

速度阈值切换的策略:Safety Manager 持续监测 motor 转速;高于阈值(例如 100 rpm)走 HSS,低于走 3PO。这个阈值本身也是 ASIL D 数据——读错速度等于选错 safe state,所以位置传感器必双路冗余 + plausibility check。

具体实现路径(参照 STO 实现):

1. PWM 信号停止(MCU 软件)
2. 栅极驱动器供电关断(SBC FS0B 直驱)
3. HV 接触器断开(VCU 协调,不在主驱本地做)

前两个在 FTTI 200ms 内完成是必须;第 3 个属于整车协调,可以稍慢但要在驾驶员接管前完成。

ISO 26262 推荐用 FTA(Fault Tree Analysis,自顶向下从 SG 反推)+ safety FMEA(自底向上从元件失效推影响)双向分析,识别:

• Single Point Fault(单点故障)→ 加 detection + reaction 降到 Latent Fault
• Latent Fault(潜伏故障)→ 加周期诊断检出
• Multi-Point Fault(多点故障)→ 通常假设独立性 + 周期诊断的 dual-mode 失效率可忽略

每个被识别出的故障都在 TSC 里写明:Detection(怎么发现) + Reaction(发现后做什么) + Reaction Time(< FTTI / DTI)。

safe state 选对了还不够——多快进入同样是 ASIL D 约束。NXP 白皮书把这个时间预算拆成三段数量级递减的嵌套窗口,这比单一的"FTTI 200ms"更能解释架构为什么长这样:

这三个数量级差(200ms / 100µs / 2µs)直接决定了"哪个机制必须放进硬件、哪个能留给软件":桥臂短路快到必须由 gate driver 在芯片内独立完成(GD3100 quick short-circuit protection,且用 SSD 2LTO 关断整形防 destructive overshoot),软件无论如何来不及;200ms 的 SG 级预算才轮得到 MCU 跑诊断链。把这三段画在一条时间轴上,就能一眼看出 gate driver 为什么必须有自主短路保护、而不能等 safety manager 发指令。GD3100 自身按 ASIL D 流程开发、检出 99% 自身故障,并经 redundant interface / channel 上报与执行反应。

NXP HVINVERTERWPA4 提了一个常被忽视的细节:IC 级 FMEDA 太细,直接搬到 system FMEDA 会爆表。例如 gate driver IC 内部逻辑可能有数十个失效模式,system 看其实只关心 "internal logic faulty" 这一个。所以要 regroup:把 IC FM 聚合成 system FM,带 ${\lambda }_{safe}$ + ${\lambda }_{MPF}$ + ${\lambda }_{RF}$ 三个数。

但有些 IC pin 必须保留细节——比如 PMIC 的 "ignition input" pin,其失效由 system 层 SM 检测(IC 自己不能,因为是输入),如果跟"PMIC 内部逻辑"合并就会被误判为"内部 SM 覆盖" → SPF 漏算。判定规则:任何由 system SM 而非 IC SM 保护的 IC pin / 子块,必须保持独立行,不能跟"IC 内部"合并。