ASIL D 扭矩安全设计（Torque Safety）

功能安全L7别名扭矩安全 · Torque Safety · ASIL D 扭矩 · E-Gas · STO · UA · Unintended Acceleration · Runaway Torque

本质扭矩安全回答一个问题：驾驶员请求的扭矩和电机实际输出的扭矩之间的偏差，是否总被感知、总能在 FTTI 内纠正。EV 主驱的核心危害是Unintended Acceleration（意外加速）/ Runaway Torque（失控扭矩）/ Reverse Torque（扭矩反转），三者任何一个都会触发 ASIL D 级的安全目标。实现路径是三层嵌套的监控架构（E-Gas 3-level）+ 两条独立 STO 硬件通道 + 分解后两侧互为 B(D)，配合严苛的 FTTI 预算（典型 50–100 ms）和端到端 FMEDA 覆盖（SPFM ≥ 99 % / LFM ≥ 90 % / PMHF < 10 FIT）。不是"加个安全 MCU"那么简单——是从 HARA 到 Safety Case 的一整套可追溯论证。

学习目标

读完本页后，你应该能够：

写出 EV 主驱扭矩相关的 3 条典型 Safety Goal 及其 S × E × C 推导。
画出 E-Gas 三级监控架构（Level 1 功能 / Level 2 扭矩监控 / Level 3 控制器监控）并说明每层的职责。
把 ASIL D 分解成 B(D) + B(D) 的合法路径，解释两侧独立性的必要条件。
拆出一条完整的扭矩信号链，每段的 FTTI 预算（检测 τ_det + 反应 τ_react ≤ FTTI）。
列出扭矩安全所需的关键传感冗余（加速踏板双通道 / 电流双通道 / 位置双通道）。
说出 STO 硬件两条独立 Enable 的物理要求，并判断共因失效（CCF）的典型漏洞。
把 Safety Mechanism 清单落到 FMEDA 表的 $D C_{SPF}$ / $D C_{L F}$ 覆盖。
给出 Safety Case 需要的 8 项交付物。

1. Safety Goal 与 HARA

1.1 三条典型 Safety Goal

扭矩安全3 条核心 Safety Goal——扭矩偏离 > X Nm 必下电、Unintended Acceleration 必检、Unintended Direction 必检。三者都是 ASIL D,FTTI 50-100ms 主驱、5-20ms EPS。

#	Safety Goal	典型 ASIL	FTTI
SG-1	实际扭矩不得偏离驾驶员请求 > ±X Nm	D	50–100 ms
SG-2	电机不得在非请求下产生正扭矩（Unintended Acceleration / Runaway）	D	50–100 ms
SG-3	电机不得在下坡回馈工况下输出正扭矩（Reverse Torque）	C/D	100–200 ms

辅助 Safety Goal（间接支持扭矩安全）：

SG-4：速度不得超过 $V_{ma x}$ （SLS）——防止因传动错误扭矩导致超速
SG-5：HV 电能不得意外注入绕组（和 HV Safety 耦合）

1.2 HARA 推导（以 SG-2 为例）

场景：高速公路 120 km/h 巡航。

S（严重度）：误加速 → 追尾 → S3（致命伤害）
E（暴露）：高速巡航是日常工况 → E4
C（可控性）：驾驶员需要 1~2 s 以上反应 + 踩刹车才能制动 → C3（几乎不可控）

查 ISO 26262-3 Table 4：S3 × E4 × C3 = ASIL D。

FTTI 推导：120 km/h 下 50 ms 走 1.67 m；100 ms 走 3.33 m。业界共识FTTI ≤ 100 ms 以保证驾驶员仍有足够空间介入。

2. E-Gas 三级监控架构

E-Gas（德国汽车厂 Audi / BMW / VW / Bosch / Conti 共推的电子节气门监控概念，2000 年代初定型）是所有现代内燃机/EV 主驱扭矩安全的架构母版。2018 版 ISO 26262 把它写进 Annex，ASIL D 项目几乎无一例外沿用。

层级	所在	职责
Level 1 功能层	主 MCU 主核（QM 级）	正常扭矩控制：踏板→目标扭矩→FOC→PWM→栅极
Level 2 扭矩监控层	主 MCU 锁步核或独立 Safety MCU（ASIL D）	独立重算允许扭矩上限；对比 L1 输出；超限则触发 Safe 反应
Level 3 控制器监控层	外部 SBC / 监控 IC（ASIL D）	挑战-应答看门狗；时钟/电源 BIST；强制 STO

三层的工作边界：

L1 负责性能和驾驶体验；允许复杂算法、大模型、在线学习——不承担安全责任
L2 用简化但可证伪的模型重算扭矩上限（如恒定 Map-based Lookup + 简化动力学）；只管"L1 有没有算超"
L3 根本不参与扭矩计算，只负责看 L2 还在不在跑（看门狗 + 应答时序检查）

为什么不用一层就把 ASIL D 实现？

复杂控制代码量大 → 系统性失效难论证（需求 + 架构 + 代码全链 ASIL D 是 10× 工作量）
L1 保持 QM → 快速迭代性能；L2 冻结成可论证，小代码量
"让最小的代码承担 ASIL D 责任"是分而治之的核心哲学

3. ASIL 分解路径

3.1 合法分解

原始 Safety Goal：SG-2 Runaway Torque，ASIL D。

分解路径 A：D → B(D) + B(D)（最常用）

子要求 A：L1 扭矩控制路径，ASIL B(D)
子要求 B：L2 扭矩监控路径，ASIL B(D)
两者组合输出共同决定是否进入 Safety State
条件：A 与 B 独立，通过 DFA 证明

分解路径 B：D → A(D) + C(D)（辅助路径）

适合某一侧必须承担主要逻辑（A 级），另一侧作校验（C 级）
较少使用

非法：D → QM + D（QM 不能承担任何 D 要求的一部分）

3.2 两侧独立性（DFA 必查）

独立性要求（Part 9 §7 严格定义）——任一共因足以让分解失效：

共因类型	典型隐患	缓解
电源 CCF	两侧共用同一 LDO	各用独立 LDO；Safety MCU 直接由 SBC 的 FSM 供电
时钟 CCF	两侧共用主晶振	独立参考时钟 + 交叉频率监测
温度 CCF	芯片过热导致两侧同时错	独立温度监测 + Over-Temp Safe State
EMI / 辐射	强 EMI 同时翻转两侧寄存器	物理布局隔离 + 屏蔽 + ECC
软件 CCF	共用同一份库/ISR/shared memory	L2 用不同编译器 / 不同语言 / 不同开发团队；形式化验证
布局 CCF	两核在版图上相邻	物理隔离（lockstep 对角布局）
通信 CCF	两侧通过同一 SPI/CAN 上报	E2E 协议 + 独立诊断通道

4. 关键信号链冗余

4.1 驾驶员请求（加速踏板）

加速踏板信号必须双通道冗余——APP1 + APP2 物理独立的两路电位器,MCU 比对两路一致性。任一异常立即降级安全模式。

冗余要点：

两路不同传感器：APS1 通常是 0%~100%，APS2 是 100%~0%（反向），让断线/短路表现出"两路之和 ≠ 常数"而被发现
独立供电：APS1 供 5V_A，APS2 供 5V_B；电源失效不会同时让两路出错
独立 ADC 通道：两路进两个 ADC（或同一 ADC 的两通道但交叉采样）
一致性检查：|APS1 + APS2 − 100%| ≤ 5%；梯度变化率 ≤ 限值

ASIL：APS 两路合成 ASIL B 的信号，配合 L2 做 ASIL D 的 Torque Request 论证。

4.2 相电流（FOC 反馈）

相电流采样3 个通道 + Kirchhoff 校验——三相电流必须满足 $i_{a} + i_{b} + i_{c} = 0$ 。任一通道偏离这条 KCL 立即触发故障检测。

三相电流 $i_{a}, i_{b}, i_{c}$ 必须满足 $i_{a} + i_{b} + i_{c} \approx 0$ （KCL 一致性）
至少两个独立分流通道 + CSA；或一路分流 + 一路霍尔/罗氏线圈
采样用两个独立 ADC 通道，锁步核交叉验算

4.3 转子位置

转子位置ASIL D 主流方案是旋变器——双通道正交模拟输出 + RDC 转换 + 两路独立 SPI。这条配置是 EV 主驱位置传感的工业标杆。

旋变（AD2S1210）输出两对正交模拟量，天然冗余
额外加霍尔或 Back-EMF 观测器作第二位置源
两源差异超阈值 → 进入 Safety State

4.4 母线电压 / 电流

母线电压电流ASIL D 也要双通道——主采样给控制环、监控采样给安全机制。两路独立隔离 ADC,任一异常即触发 STO。

$V_{D C}$ 双通道（主采样 + 监控采样）
母线电流有独立 shunt + CSA，用于功率估算与扭矩模型校验

5. L2 扭矩监控的算法核心

"允许扭矩"上限模型（简化 E-Gas Level 2）：

$T_{a ll o w e d} (t) = f (A PS, ω_{r}, V_{D C}, T_{j}, 档位, 刹车状态)$ L2 用独立实现（不同算法、不同查表）估算同一时刻允许的最大扭矩。只要 L1 实际扭矩 > $T_{a ll o w e d}$ + 容差，L2 立即触发 Safe Torque Disable。

Torque Estimation（L2 验算 L1 输出）：

$T_{e} = \frac{3}{2} p [ψ_{f} i_{q} + (L_{d} - L_{q}) i_{d} i_{q}]$ 其中 $i_{d}, i_{q}$ 来自独立采样通道。L2 把 $T_{e}$ 与 L1 的 $T_{re q u es t}$ 对比，偏差 > ΔT_max 持续 > τ_det 时断。

关键参数：

允许偏差 ΔT_max：典型 ±20 Nm（小型乘用车）到 ±50 Nm（SUV / 商用车）
检测持续时间 τ_det：10–30 ms（防止瞬态误触发）
反应时间 τ_react：STO 触发到电流降至 0 约 5–10 ms

FTTI = τ_det + τ_react ≤ 50–100 ms。

6. STO 硬件实现

6.1 两条独立 Enable

STO 靠两条独立 Enable 物理切断 PWM——主 MCU + 安全 MCU 各一路,经 AND 门后才到栅极驱动。任一路降低都让 PWM 归零,STO 立即生效。

物理要求（DFA 必达）：

INV_EN_A 和 INV_EN_B 分属不同的 MCU/SBC
两条独立 PCB 走线，不共用同一连接器排针
驱动 IC 的 DIS / EN 引脚要求两路都为有效电平才允许输出（AND 逻辑）
任一通道拉低 → 栅极驱动 IC 在 μs 级关闭 6 个开关
有效电平必须主动驱动高，不能依靠上拉（防止断线产生"开通"）

6.2 栅极驱动 IC 的 Enable 设计

主流 ASIL D 栅极驱动（TI UCC5870-Q1、Infineon 1EDI3035AS、NXP GD3162）都带两个独立 Enable 引脚：

$E N_{M A I N}$ — 主 MCU 控制
$E N_{S A FE}$ — Safety MCU / SBC 直控；通常 latched（一旦拉低，必须显式解锁）

这比"一个 Enable 拉下去"的单通道安全几个量级。

6.3 Active Short Circuit（ASC）方案

对 PMSM：仅关闭驱动（STO Free-Wheel）会在高速下因 Back-EMF 而通过体二极管产生不受控的制动扭矩。解决方案：

三相全低开通（ASC3）或三相全高开通（ASC6）
电机处于短路状态，相电流在绕组内环流，不向母线回灌
对 ASIL D 来说，ASC 通常由独立硬件电路（不通过主 MCU）触发

7. FTTI 预算拆分

FTTI 预算拆分让设计师按时间窗口分配各保护机制——主驱 100ms 总预算 = 检测 30ms + 决策 1ms + 切断 5ms + 电流衰减 30ms + 余量。每段都要单独验证。

典型 FTTI 100 ms 预算分配：

阶段	时间预算	说明
L2 检测 τ_det	10–30 ms	含去抖 / 持续时间阈值
决策 + 通信 τ_dec	< 1 ms	CAN/SPI 告警到栅极驱动
栅极驱动关断 τ_off	5–10 ms	DESAT Soft-Off 时间
反电动势自然衰减 τ_zero	10–30 ms	相电流指数衰减（L/ $R_{p ha se}$ ）
机械惯性到安全态	剩余	扭矩归零后车辆减速到可控

余量法则：每段预算做到实测值 2× 以上裕度（应对器件老化、温漂、生产分散）。

8. FMEDA 覆盖目标

8.1 三个硬指标（ASIL D）

ASIL D 主驱3 个硬指标——SPFM ≥ 99%、LFM ≥ 90%、PMHF < 10 FIT。三者都要同时满足,任一不达标就要返工诊断或加冗余。

指标	门槛	实现手段
SPFM	≥ 99 %	双 MCU lockstep + 双 APS + 双电流 + 双位置 + E2E CRC
LFM	≥ 90 %	POST + 周期 PDT（100 ms）+ SBC Challenger Watchdog
PMHF	< 10 FIT	高质量元件（AEC-Q Grade 1）+ 严控结温 + 短 τ_test

8.2 关键 Safety Mechanism 清单

扭矩安全 SM 覆盖 8 类失效——加速踏板、电流、位置、扭矩计算、PWM、栅极驱动、母线、HV 互锁。每类都有 DC 估值,组合后达到 SPFM ≥ 99%。

功能	SM	典型 DC
MCU 计算正确性	双核 lockstep + checker	99 %
Flash 数据完整性	ECC	99 %
RAM 内存完整性	ECC + MBIST POST + PDT	99 %
寄存器正确性	镜像 + 周期回读	95 %
时钟稳定性	独立参考 + frequency monitor	95 %
电源范围	VR monitor + UV/OV	99 %
扭矩请求输入	APS1 + APS2 双路一致性	99 %
电流采样	三相 KCL + 双通道交叉	95 %
位置采样	旋变 SIN/COS + 第二位置源	95 %
栅极驱动	DESAT + UVLO + FAULT	99 %
输出级	两条独立 $I N V_{EN}$ + ASC	99 %
L2 监控	独立算法 + 挑战应答	95 %
SBC 监控主 MCU	Windowed Challenger WDT	99 %
诊断自检	POST + PDT 100 ms	LF 90 %

注：每项 DC 最终数字取决于具体实现 + 故障注入验证；Safety Manual 里要写明测量方法和时间常数。

9. 常见失效场景与缓解

主驱6 类典型失效场景——APP 短路/开路、相电流偏差、位置传感器跳动、HV 母线异常、PWM 卡死、SBC 失效。每类对应特定缓解机制。

场景	失效机制	缓解
踏板传感器粘连	APS1 机械卡死	双路反向 → 一致性检查捕获
SPI 通信中断	连接器接触不良	E2E 协议 + timeout → Safe State
主 MCU 死锁	栈溢出 / 死循环	SBC Challenger WDT 无应答 → STO
单粒子翻转 SEU	RAM / 寄存器位翻转	ECC 纠 1-bit；DBE → reset + Safe
栅极驱动被干扰误开通	dV/dt 穿透 miller	驱动带 active miller clamp；差分 PWM
位置信号错乱 → 反转扭矩	旋变相位偏差	第二位置源对齐检查；异常 → STO
共用 LDO 故障	两侧同时复位	SBC FSM 自带 bandgap；主控用独立电源
L2 算法 bug（系统性）	复制 L1 bug	L2 独立实现 + 不同团队开发 + 形式化验证
HV 接触器焊死	机械触点粘连	HVIL 检测；配合 HV Safety Pyro Fuse
SCC 热失控（Spirito）	SiC 饱和区负温系	模块 NTC + 驱动 IC 温度输入 → 降额 → STO

10. Safety Case 交付物清单

最小可交付（ISO 26262-2 + Part 5/6）：

Item Definition — 扭矩控制系统范围、接口、已知假设
HARA Report — 每条 Safety Goal 的 S/E/C 表 + ASIL 推导
Functional Safety Concept (FSC) — L1/L2/L3 架构、STO 定义、FTTI 预算
Technical Safety Concept (TSC) — 硬件/软件分解、冗余结构、DFA 报告
FMEDA Report — SPFM / LFM / PMHF 数字 + 每项 SM 的 DC 论证
FTA Report — 顶事件（Runaway / UA / Reverse）最小割集
Verification & Validation Report — DV 试验、故障注入、DVP&R
Safety Manual / Assumptions of Use — 给下游集成方的使用假设
Confirmation Measures Records — Review / Audit / Assessment 三档签字
Residual Risk Statement — 已知未消除风险 + 可接受理由

核心要点

扭矩安全 ASIL D 的核心架构是 E-Gas 三级监控：L1 功能层（QM）+ L2 扭矩监控层（ASIL B(D)）+ L3 控制器监控层（ASIL B(D)）——让最小可论证的代码承担安全责任。
ASIL 分解 D = B(D) + B(D) 是主流路径；两侧必须通过 DFA 证明电源/时钟/EMI/软件/通信/布局均无共因。
关键信号链必须冗余：APS 双路反向、相电流双通道 + KCL 一致性、位置旋变 + 第二源、 $V_{D C}$ 双 ADC；每路都有独立供电与 ADC。
STO 两条独立 Enable 硬件直达栅极驱动 IC—— $E N_{M A I N}$ （主 MCU）+ $E N_{S A FE}$ （Safety MCU/SBC），两条都拉高才输出；任一拉低 μs 级关断 6 开关。
PMSM 的 STO 必须搭配 ASC3/ASC6，防止高速下 Back-EMF 通过体二极管产生不受控制动扭矩。
FTTI 典型 50–100 ms，拆分为 τ_det（10–30 ms）+ τ_dec（< 1 ms）+ τ_off（5–10 ms）+ 相电流衰减（10–30 ms）；每段留 2× 裕度。
三个硬件度量同时过：SPFM ≥ 99 % 靠冗余 + 诊断；LFM ≥ 90 % 靠 POST + PDT 100 ms + Challenger WDT；PMHF < 10 FIT 靠 AEC-Q Grade 1 + 低结温 + 短 τ_test。
Safety Case 最小 10 项交付物：HARA、FSC、TSC、FMEDA、FTA、DFA、V&V、Safety Manual、Confirmation Measures、Residual Risk；每项都要可追溯到具体 work product。
最常被 Assessor 挑战的 3 处：L1/L2 独立性（共用什么、不共用什么的论证）、DC 估值是否有故障注入证据、STO 到电流归零的实测时延是否满足 FTTI 2× 裕度。

Cross-references

← 索引
功能安全（Functional Safety） — HARA / ASIL / FMEDA / DFA / FTA / FSA 基础
电机控制（Motor Control） — FOC / SVPWM / STO / SS1 / SLS 框架
逆变器栅极驱动 IC — 栅极驱动 IC 的 STO/EN 设计
栅极驱动（Gate Driver） — DESAT / Soft-Off / Active Miller Clamp
位置传感器 — 旋变 / 霍尔 / 无传感器冗余
电流传感器 — 分流 / 霍尔 / AMR 双通道
ISO 16750 环境条件测试 — 环境应力与 DV 条件
AEC-Q 车规认证 — 元件 Grade 选型对 PMHF 的影响
DV 与 PV 详解 — 故障注入与 FMEDA 数字的证据
失效模式速查 — 扭矩相关失效模式定位
DFA / FMEDA / FTA 三种核心分析方法 — "危险扭矩输出"是 FTA 顶事件的标准例,DFA 看监控 / 控制双链独立性
HARA 危害分析与风险评估 — 主驱"unintended torque"是 HARA 经典案例,推导 ASIL D + FTTI 50ms
ASIL 分解(Decomposition) — EPS 主+监控 MCU 分 B(D)+B(D),主驱常用 lockstep 单 ASIL D