位置传感的功能安全诊断（Position Sensing Diagnostics）

读完本页后,你应该能够:

• 说出"角度错 → 扭矩错"的传播链,以及为什么 90° 错位会让扭矩反向输出
• 列出 ISO 26262 中关于位置采样的关键 SM 与 DC 估值
• 把 6 类位置采样链 fault model 映射到对应 SM
• 解释 Sin² + Cos² ≈ 1 这条物理约束为什么是位置传感的"KCL"
• 区分 RDC IC 内置自诊断 / 软件 plausibility / 双系统冗余各自的覆盖边界
• 设计一条满足 ASIL D 的 resolver 采样链(含 SM + FTTI + safe state)
• 识别位置采样诊断 5 个反模式

电机控制器要把驾驶员的扭矩指令转成三相电压矢量,中间最关键的一步是 Park 变换 + 反 Park 变换——它们都用 sin(θ)/cos(θ) 做坐标旋转。θ 错了,生成的电压矢量就指向了错误的电角度位置,结果不是"力小一点",而是"力的方向变了"——这是位置错比电流错更可怕的原因。

90° 和 180° 是"短路"和"反向"两类经典灾难,任何一个都会被 HARA 评为 ASIL D。这就是为什么位置链的 SM 不能只盖"小漂",必须能 100% 抓住 quadrant-flip 类大错。

位置链的 SM 在标准里和电流/电压并列,但多了 sin/cos 物理约束这一类专属手段。

位置链 = 传感器(resolver / Hall / TMR / 编码器)→ 激励/前端(resolver excitation + 差分前端)→ RDC(Resolver-to-Digital Converter)→ DSP。整条链 fault model 至少 8 类:

flowchart LR
  EXC["excitation"]
  RES["resolver"]
  AFE["AFE / RDC"]
  REG["DSP register"]
  EXC -->|"f2 dead exc"| RES
  RES -->|"f1 line break / f3 sin cos mismatch"| AFE
  AFE -->|"f5 quadrant flip / f6 frozen"| REG
  AFE -.->|"f4 offset / f7 EMI"| REG
  REG -->|"f8 common cause"| BAD["wrong theta"]("wrong theta".md)

Resolver-to-Digital Converter(AD2S1210 / AD2S1205 / TLE5012B 这类)是位置链的"心脏",ASIL D 项目通常选自带 fault output 的 RDC,把硬件级诊断打包进 IC 内部。直接引 datasheet 的 DC 数字到 FMEDA。

4.1 主流 RDC fault output 总览

RDC 输出的 fault pin 通常用 1-2 个 GPIO 编码,编码方式因厂商不同。以 AD2S1210 为例,fault 状态分 4 类:

这 4 个 pin 直接接 MCU 的中断引脚,反应时间 < 1 µs。这是 ASIL D 位置链最快的 SM,FMEDA 引 datasheet typical DC ≥ 95%。

4.2 RDC 自身的失效不能被自诊断盖住

RDC 内置自诊断不能覆盖"RDC 自己坏了" —— 比如 RDC 内部 ADC 失效、状态机锁死、fault pin 本身卡 high 或卡 low。这一类只能靠外部 SM:

• 启动时拉/推 fault pin 测试是否能正常翻转(loopback test)
• RDC 输出和 MCU 软件模型的角度速度交叉验证
• 双独立 RDC 比较(ASIL D 旗舰方案,但成本高)

这是位置传感最强的物理冗余 SM——和电流采样的"三相和为零"地位完全等价。Resolver 输出的两路信号本质就是单位圆上的 (x, y),严格满足:

${\sin }^2(\theta )+{\cos }^2(\theta )=1$

任何一路 sensor 漂移、单路 ADC 漂、放大器增益漂、激励信号失幅,都会破坏这个等式。信息冗余、零硬件成本、DC 高——和 KCL 一样的金钥匙地位。

5.1 残差定义与阈值

实际系统里残差不会真的为 0,要给允许带:

$|{\sin }^2(\theta )+{\cos }^2(\theta )-A^2|<{ϵ}_{amp}$

其中 $A$ 是名义信号幅度(随激励幅度走),${ϵ}_{amp}$ 由 sensor 精度 + ADC 量化误差 + 温漂综合决定。工程上 ${ϵ}_{amp}/A^2\approx 5\%$ 是典型起点,实际工况下用 EOL 测试标定。

5.2 抓得住 / 抓不住

关键认知:sin²+cos² 能抓"信号链 fault",抓不住"角度值 fault"。后者必须用速度积分 plausibility(§6)兜。两者正交互补,缺一不可。

这是抓 quadrant flip / frozen / 跳变 这类角度值层面 fault 的核心 SM。物理基础是"机械系统的转子角度不能瞬间跳"——任何超出物理可能的 θ 变化都是 fault。

6.1 角度 vs 速度积分

把上一步的角度加上"速度 × Δt"得到本步的预期角度,和实测角度比较:

$|{\theta }_{measured}-({\theta }_{prev}+\omega \cdot \Delta t)|<{ϵ}_{\theta }$

这条约束直接抓 quadrant flip——RDC 软件 bit 错让角度从 30° 跳到 120°,瞬时跳跃远超 $\omega \cdot \Delta t$ 的物理上限。

6.2 速度 vs 加速度

速度本身可以 plausibility——电机转动惯量决定了加速度上限,实测 $|d\omega /dt|$ 超过 $a_{max}$ 就是 fault:

$|{\omega }_n-{\omega }_{n-1}|<a_{max}\cdot \Delta t$

6.3 三联 plausibility 的设计要点

工程要点:

• 窗口长度 —— 太短会被噪声触发假阳,太长盖不住快事件,典型 1-2 个 PWM 周期(100-200 µs)
• 阈值要按工况切 —— standstill / startup / running 不同窗口
• debounce —— 软故障要求连续 N 次违反,硬故障(如角度突跳 > 90°)1 次即触发

主驱在中高速通常都跑 FOC 闭环并行 sensorless observer(EMF / SMO 类),这条 observer 输出的角度可以作为 RDC 的"独立通道"做交叉校验——免费的角度冗余,代价仅 CPU 时间。

典型实施:中高速时,RDC 角度 vs EMF observer 角度差异超阈值即报 fault。低速 RDC 是唯一来源,这条 SM 失效——所以不能完全替代物理冗余。

成本不敏感的旗舰项目(EPS、自动驾驶 EV)会装两套独立的位置传感系统,做 input comparison(D.2.10.4):

只有"双独立物理 sensor + 双独立 RDC + 双独立电源 + 双独立 MCU 通道"才是真正的 redundancy——任何共因(共用 sensor、共用 RDC、共用电源)都让冗余打折。

电机静止 + PWM 全关时,如果上一次停车记录了角度,这一次上电 RDC 读到的角度应该接近上次。差异大说明:

• sensor 校准漂移
• RDC 内部状态机重启时初值错
• resolver 转子位置实际被人扳动(机械边界 fault)

启动时还可以注入小电流(< 5% I_max)做一个"开环测试"——给已知 d-q 电流指令,看转子向预期方向移动多少,抓 sensor 极性接错 / 接线交换 / 标定数据丢失 这类 systematic fault。

位置链的 FTTI 比电流更紧——quadrant flip 在高速场景下可能瞬间触发反向扭矩,留给系统反应的窗口极短。

Quadrant flip 是位置链最快需要响应的 fault——高速场景下 FTTI 短到只有 1 个 PWM 周期可用,这一类必须在 control ISR 顶部检测,反应路径不能经过任何 ms 级软件层。

Element: 位置传感链(AD2S1210 RDC + resolver + EMF observer 软件冗余)
Total FIT = 30
Safety-related FIT = 28

$\text{SPFM}=1-\frac{1.35}{28}=95.2\%$

差点到 ASIL D 99%。提升办法:把 EMI / common cause 的 DC 升到 95%(更好屏蔽 + 真正双独立 RDC),或叠加 ASIL decomposition 把要求摊到 main + monitor 两通道。详见 ASIL 分解。

位置链诊断最常踩的 5 个反模式——识别它们能避免 SPFM 数字看起来达标但实际失效场景下保护失败。

把"采样诊断三件套"并排放在一起看,规律就清楚了——电流抓控制层 fault、电压抓控制 + HV + 维修三层 fault、位置抓"方向感"层 fault。

• 位置错 ≈ 扭矩错且方向也错 —— 5° → 8.7% 误差,90° → 失推力 + 烧管,180° → 反向扭矩,这些都触发 ASIL D
• Sin² + Cos² ≈ 1 是位置链的 KCL —— 物理冗余、零硬件成本、DC 高,但只抓信号链 fault,不抓角度值 fault
• 角度 / 速度 / 加速度三联 plausibility 抓 quadrant flip / frozen 这类角度值跳变,和 Sin²+Cos² 正交互补,缺一不可
• RDC IC 内置 LOS/LOT/DOS/CLIP fault output 是最快(< 1 µs)硬件 SM,但盖不住 RDC 自身失效
• Sensorless EMF observer 是免费的"中高速冗余",但低速完全失效,不能替代物理 sensor
• 双系统冗余的真前提:双 sensor + 双 RDC + 双电源 + 双 MCU 通道 + DFA 通过——任何共因让冗余打折
• Quadrant flip 必须 1 PWM 周期内反应 —— 软件 ms 级反应在高速场景过期,要硬件比较器或 ISR 顶部 + STO 直拉
• 5 反模式戒除:只信 RDC / plausibility 不分速度 / 双系统共用 RDC / observer 当主用 / quadrant flip 走 ms 软件

• ← 索引
• 位置传感器(HW 技术)
• 电流采样诊断(并列页)
• 电压采样诊断(并列页)
• Inverter ASIL D 端到端实现案例
• 功能安全总论
• 安全机制目录
• 转矩安全(ASC / STO / freewheel)
• 电机控制(FOC / SVPWM)
• HARA 危害分析
• DFA / FMEDA / FTA
• ASIL 分解
• 失效模式速查表