01  概  述

最近幾年車輛智能配電的話題被越來(lái)越多的討論，一方面是因?yàn)閲?guó)內(nèi)OEM電子電氣架構(gòu)向區(qū)域架構(gòu)邁進(jìn)，區(qū)域架構(gòu)的優(yōu)勢(shì)之一即降低線束復(fù)雜度，實(shí)現(xiàn)區(qū)域配電，在區(qū)域配電時(shí)更多考慮采用MOSEFT/efuse實(shí)現(xiàn)智能配電，包括基于功能場(chǎng)景的配電、基于車輛模式的配電，目的是降低車輛低壓能耗，提高電動(dòng)汽車的續(xù)駛里程。但是除了上述維度，我想從車輛安全的方面考慮，為什么要開發(fā)安全電網(wǎng)，以及如何進(jìn)行安全電網(wǎng)的開發(fā)。

02  為什么要進(jìn)行安全電網(wǎng)開發(fā) 

2.1 供電系統(tǒng)失效 

傳統(tǒng)的低壓電網(wǎng)包含發(fā)電機(jī)或DCCDC、低壓蓄電池、以及數(shù)量眾多的保險(xiǎn)、繼電器、導(dǎo)線等，所有這些電氣部件的失效都可能會(huì)影響安全相關(guān)的E/E系統(tǒng)，并可能導(dǎo)致駕駛過(guò)程的嚴(yán)重事故，因此，在低壓電網(wǎng)系統(tǒng)的開發(fā)過(guò)程中也必須考慮相關(guān)的安全機(jī)制以避免違背安全目標(biāo)，例如通過(guò)SmartMos檢測(cè)線束的過(guò)流、過(guò)壓及短路故障并快速關(guān)斷，以在故障容忍時(shí)間間隔（FTTI）內(nèi)過(guò)度到安全狀態(tài)。

注：FTTI-Fault Tolerant Time Interval   

圖1：低壓電網(wǎng)系統(tǒng)的失效模式

2.2 高階智能駕駛 

隨著車輛智能化的發(fā)展，乘用車及商用車都在大力發(fā)展智能駕駛技術(shù)，特別是在商用車行業(yè)，高階智能駕駛技術(shù)將帶來(lái)減員增效的商業(yè)價(jià)值，但是同時(shí)也對(duì)整車電氣系統(tǒng)提出了新的變革，從失效安全（Fail Safe）過(guò)渡到失效可運(yùn)行(Fail Operation)，低壓電網(wǎng)系統(tǒng)也要根據(jù)不同的功能回退策略需求實(shí)施不同的冗余要求。

2.3 法規(guī)標(biāo)準(zhǔn)的逐步實(shí)施 

ISO26262-道路車輛功能安全是針對(duì)汽車電氣/電子系統(tǒng)的功能安全標(biāo)準(zhǔn)，雖然其不是強(qiáng)制性標(biāo)準(zhǔn)，但是作為推薦標(biāo)準(zhǔn)已經(jīng)在汽車行業(yè)的關(guān)鍵系統(tǒng)開發(fā)中得到廣泛實(shí)施，其為汽車安全性和可靠性的開發(fā)提供了一個(gè)全面的框架，遵循該標(biāo)準(zhǔn)的開發(fā)將是產(chǎn)品安全性、可靠性、質(zhì)量的有力證明。   

汽車行業(yè)電源系統(tǒng)的開發(fā)一直沒(méi)有規(guī)范和標(biāo)準(zhǔn)，安全電網(wǎng)的開發(fā)更是無(wú)標(biāo)準(zhǔn)可依，ISO26262在電源系統(tǒng)的應(yīng)用方式也非常不同，從而導(dǎo)致電源系統(tǒng)的質(zhì)量、可用性及安全性存在較大差異，德國(guó)VDA協(xié)會(huì)認(rèn)識(shí)到澄清和指導(dǎo)的需要，并成立了一個(gè)工作組——VDA450工作組，負(fù)責(zé)提供一個(gè)與安全標(biāo)準(zhǔn)（ISO26262）以及法規(guī)要求（例如UN ECE R13(H)，GB 21670和FMVSS用于制動(dòng)，UN ECE R79和GB 17675用于轉(zhuǎn)向，UN ECE R157用于自動(dòng)車道保持）一致的電源系統(tǒng)的開發(fā)方法，VDA450標(biāo)準(zhǔn)由德國(guó)頭部OEM及Tier1的專家制定，提供自上而下的方法推導(dǎo)電源系統(tǒng)開發(fā)應(yīng)滿足的需求。  

國(guó)標(biāo)GB17675 汽車轉(zhuǎn)向系基本要求 附錄B規(guī)定了轉(zhuǎn)向電子控制系統(tǒng)在功能安全方面的安全策略以及驗(yàn)證確認(rèn)的要求，規(guī)定設(shè)計(jì)過(guò)程中應(yīng)遵循的方法和系統(tǒng)確認(rèn)時(shí)應(yīng)具備的信息，以證明系統(tǒng)在正常運(yùn)行和故障狀態(tài)下均能實(shí)現(xiàn)功能概念和功能安全概念。為了滿足轉(zhuǎn)向電子控制系統(tǒng)相關(guān)危害的安全要求，轉(zhuǎn)向供電系統(tǒng)也要滿足響應(yīng)的安全要求。   

、

03  如何進(jìn)行安全電網(wǎng)的開發(fā) 

遵循V模型的開發(fā)方式并符合功能安全開發(fā)標(biāo)準(zhǔn)，通過(guò)系統(tǒng)性的開發(fā)流程導(dǎo)出功能安全需求，計(jì)算系統(tǒng)層級(jí)硬件度量值驗(yàn)證ASIL等級(jí)的滿足。

3.1 相關(guān)項(xiàng)定義（Item Definition）  

相關(guān)項(xiàng)定義主要是對(duì)相關(guān)項(xiàng)的功能、接口、環(huán)境條件、法規(guī)要求等進(jìn)行描述，確定相關(guān)項(xiàng)的邊界及接口，以及與其他相關(guān)項(xiàng)、要素、系統(tǒng)和部件相關(guān)的假設(shè)。相關(guān)項(xiàng)是系統(tǒng)或多系統(tǒng)的聯(lián)合體去實(shí)現(xiàn)整車層面的功能，相關(guān)項(xiàng)定義通常由OEM來(lái)開展，因?yàn)槠渲勒嚰?jí)別的功能及邊界條件。如下整車級(jí)別的功能-轉(zhuǎn)向，可被進(jìn)一步分解為電動(dòng)轉(zhuǎn)向系統(tǒng)EPS以及供電系統(tǒng)。

相關(guān)項(xiàng)的功能描述以整車視角（非技術(shù)組件層級(jí)）描述整車層級(jí)的功能，如下為整車級(jí)功能-轉(zhuǎn)向的功描述。

3.2 危害分析和風(fēng)險(xiǎn)評(píng)估（HARA）  

首先利用HAZOP（Hazard and Operation Analysis）分析上面相關(guān)項(xiàng)所定義的功能在整車層級(jí)功能異常表現(xiàn)，HAZOP基于定義的功能使用以下引導(dǎo)詞分析每個(gè)功能的異常表現(xiàn)：

· 功能喪失（Loss Of Function）:在有需求時(shí)不提供功能（如車速較低時(shí)，無(wú)法提供轉(zhuǎn)向助力）；

· 在有需求時(shí)提供錯(cuò)誤的功能-多于預(yù)期（More than intended）或少于預(yù)期（Less than intended）（如車速較低時(shí)，大幅增加施加的轉(zhuǎn)向助力，車速較低時(shí)降低施加的轉(zhuǎn)向助力）;  

· 提供相反的功能（Wrong Direction）（如車速較低時(shí)，對(duì)駕駛員施加的轉(zhuǎn)向助力方向相反）；

· 無(wú)需求時(shí)提供功能(Unintended Actication of Function)（如車速較低時(shí)以外的提供轉(zhuǎn)向助力）；

· 輸出卡滯在固定值上，功能不能按照需求更新（Output Stack at a Value）（如車速較低時(shí)，提供的轉(zhuǎn)向助力卡滯在一個(gè)固定值）。

通過(guò)以上HAZOP分析導(dǎo)出危害（Malfunction）,但是危害是抽象的可能性，不可量化，需結(jié)合不同的運(yùn)行場(chǎng)景，形成具體的危害事件，運(yùn)行場(chǎng)景即車輛的運(yùn)行環(huán)境，包括道路場(chǎng)景（如道路類型、路面附著情況等）和駕駛場(chǎng)景（運(yùn)行狀態(tài)、車速等），J2980提供了場(chǎng)景分類參考，分析中需確保最大化的運(yùn)行場(chǎng)景。 

同一危害在不同的運(yùn)行環(huán)境形成危害事件的嚴(yán)重度（Severity）、出現(xiàn)的頻次-暴露度（Exposure）、可控度（Controllability）均不同。

· 嚴(yán)重度主要根據(jù)AIS分級(jí)，關(guān)注對(duì)人造成危害的嚴(yán)重程度，不僅需考慮車內(nèi)駕駛員乘客傷害、還需考慮外部環(huán)境中的人員；

· 暴露度可基于持續(xù)運(yùn)行時(shí)間占比或頻率決定，不應(yīng)考慮裝備該相關(guān)項(xiàng)的車輛數(shù)量或占比；

· 可控度受多種因素影響，需駕駛員進(jìn)行合理假設(shè)，通過(guò)統(tǒng)計(jì)數(shù)據(jù)或仿真測(cè)試確定；

通過(guò)上述三個(gè)參數(shù)的定義，根據(jù)ISO26262-3，Table 4 ASIL Determination 得到每個(gè)危害事件的安全等級(jí)ASIL，ASIL等級(jí)定義了相關(guān)項(xiàng)功能安全開發(fā)必須的要求和安全措施，同時(shí)針對(duì)相似的危害事件進(jìn)行組合和分類再導(dǎo)出安全目標(biāo)，若導(dǎo)出的安全目標(biāo)存在相似，可對(duì)其進(jìn)行合并，并繼承其中最高的ASIL等級(jí)。

3.3 功能安全概念（FSC）  

功能安全目標(biāo)屬于整車級(jí)別的安全需求，過(guò)于抽象，需要將其進(jìn)行細(xì)化，得到為了滿足功能安全目標(biāo)基于系統(tǒng)組件級(jí)別的相對(duì)具體的功能安全需求，功能安全概念應(yīng)該針對(duì)以下幾個(gè)方面提出相對(duì)應(yīng)的解決方案，作為FSR：

· 故障預(yù)防；

· 故障探測(cè)，控制故障或功能異常；

· 過(guò)渡到安全狀態(tài)；

· 容錯(cuò)機(jī)制；

· 發(fā)生錯(cuò)誤時(shí)功能降級(jí)及與駕駛員預(yù)警的相互配合；

· 將風(fēng)險(xiǎn)暴露時(shí)間減少到可接受的持續(xù)時(shí)間所必須得駕駛員預(yù)警；

· 駕駛員預(yù)警，以增加駕駛員對(duì)車輛的可控性；

· 車輛級(jí)別時(shí)間相關(guān)要求，及故障容錯(cuò)時(shí)間間隔，故障處理時(shí)間間隔；

 ·  仲裁邏輯，從不同功能同時(shí)生成多種請(qǐng)求中選擇最合適的控制請(qǐng)求。

如下對(duì)應(yīng)整車級(jí)別功能安全目標(biāo)：Prevent sudden loss of steering assist（ASIL C），其往系統(tǒng)層級(jí)的分解，分解到轉(zhuǎn)向系統(tǒng)的功能安全需求SR1:Prevent sudden loss fo steering assist by EPS,分解到電網(wǎng)系統(tǒng)的功能安全需求SR2:Prevent sudden of steering assist due to failure in power supply-i.e ensure power supply stays within defined voltage/time intervals, 詳細(xì)的需求包括電網(wǎng)應(yīng)該避免EPS的供電電壓小于6V持續(xù)時(shí)間大于100us（硬件不能重置）。

在往下分解到電網(wǎng)子系統(tǒng)級(jí)別，

· SR2.1：電源（如蓄電池/DCDC）應(yīng)該穩(wěn)定供應(yīng)電能；

· SR2.2: 電源分配系統(tǒng)（如導(dǎo)線、保險(xiǎn)、開關(guān)等）應(yīng)該穩(wěn)定的將電能分配到各電器零部件；

· SR2.3：避免干擾，整車其他電器件的故障，包括電源分配系統(tǒng)、電源管理故障不應(yīng)對(duì)EPS的電源供應(yīng)產(chǎn)生干擾。

針對(duì)SR2.1電源應(yīng)穩(wěn)定供應(yīng)電能其往下分解到蓄電池和DCDC，ASIL分解需要遵循獨(dú)立性的原則，其可通過(guò)DFA分析確定蓄電池和DCDC滿足獨(dú)立性的原則。為了避免對(duì)DCDC提出功能安全的需求，我們將ASILC 分解為ASILC(C)+QM(C)，這樣蓄電池的開發(fā)需嚴(yán)格按照ASIL C的等級(jí)開發(fā)，如果是鉛酸蓄電池則蓄電池傳感器EBS需要滿足ASIL C，如果是低壓鋰電池則BMS需要滿足ASIL C；   

針對(duì)電源分配系統(tǒng)需要滿足AISIL C的要求，需對(duì)電源系統(tǒng)的硬件進(jìn)行硬件度量值計(jì)算，包括：

· PMHF（Probabilistic Metric for random Hardware Failures）：隨機(jī)硬件失效概率度量表示在汽車運(yùn)行周期中每小時(shí)平均失效概率，包括了對(duì)單點(diǎn)失效、殘余失效、可探測(cè)的以及殘余的雙點(diǎn)失效的綜合量化衡量，如下表中所示ASIL C的 PMHF目標(biāo)值需小于100FIT（10-7/h）;

· SPFM(Single-Point Fault Metric):單點(diǎn)故障度量表征硬件安全機(jī)制或設(shè)計(jì)對(duì)單點(diǎn)和殘余故障的覆蓋是否足夠，高單點(diǎn)故障度量值表示相關(guān)項(xiàng)硬件單點(diǎn)或殘余故障所占比例低，系統(tǒng)可靠性高，如下表對(duì)于ASIL C的SPFM目標(biāo)值需≥97%；

· LFM（Latent-Fault Metric）:潛伏故障度量反映硬件安全機(jī)制和設(shè)計(jì)對(duì)潛伏故障的覆蓋是否足夠，高潛伏故障度量值表示硬件潛伏故障所占比例低，系統(tǒng)可靠性高，如下表對(duì)于ASIL C的LFM目標(biāo)值需≥80%；

那么怎么獲取硬件的失效率呢？一般通過(guò)歷史數(shù)據(jù)或測(cè)試或查詢行業(yè)公認(rèn)的標(biāo)準(zhǔn)，如SN29500、IEC62380提供的可靠性預(yù)估算法計(jì)算。根據(jù)ISO26262-5：2018 ASIL C系統(tǒng)在診斷覆蓋率低于90%時(shí)SPF（單點(diǎn)故障）/RF（殘余故障）需小于0.1 FIT，如果不能滿足該要求需采取另外的安全措施，但是現(xiàn)有的電源分配系統(tǒng)（保險(xiǎn)絲、繼電器、導(dǎo)線）無(wú)法滿足上述需求，除非采用SmartMos實(shí)現(xiàn)故障診斷、故障預(yù)測(cè)及故障保護(hù)等措施才能實(shí)現(xiàn)ASIL C的要求。     

針對(duì)電源系統(tǒng)內(nèi)部的相關(guān)干擾，如下圖QM負(fù)載（如散熱風(fēng)扇）短路，會(huì)引起DCDC轉(zhuǎn)換器的電壓迅速跌落，因?yàn)槿蹟嗍奖ｋU(xiǎn)絲的熔斷時(shí)間較長(zhǎng)，超過(guò)EPS功能的安全容錯(cuò)時(shí)間，導(dǎo)致安全目標(biāo)的違背，因此需要通過(guò)安全開關(guān)隔離QM負(fù)載和安全負(fù)載，在QM負(fù)載發(fā)生過(guò)流、短路等故障時(shí)，快速斷開QM負(fù)載與安全負(fù)載的通路，從而保證轉(zhuǎn)向EPS可從蓄電池獲得穩(wěn)定的電源供應(yīng)。

04  總  結(jié)

隨著車輛安全可靠性需求提升、自動(dòng)駕駛功能的普及以及法規(guī)標(biāo)準(zhǔn)的實(shí)施，針對(duì)整車電網(wǎng)的功能安全需求也越來(lái)越多，為保證安全供電，主要有三方面的安全必須考慮：

1)穩(wěn)定的能量供給及存儲(chǔ);

2)安全的配電;

3)避免相關(guān)干擾。

傳統(tǒng)電網(wǎng)系統(tǒng)的開發(fā)主要關(guān)注整車電量平衡，保險(xiǎn)/繼電器/導(dǎo)線的選型及電能的分配，而安全電網(wǎng)的開發(fā)則需要按照功能安全的開發(fā)流程從整車層級(jí)、系統(tǒng)層級(jí)到零部件層級(jí)進(jìn)行安全需求的設(shè)計(jì)，根據(jù)需求設(shè)計(jì)電網(wǎng)拓?fù)?，?yàn)證功能安全措施的有效性等，這通常是OEM的工作，同時(shí)也對(duì)OEM 電源系統(tǒng)設(shè)計(jì)工程師提出了新的能力需求，需要熟悉功能安全的開發(fā)流程及方法，從而運(yùn)用于電網(wǎng)系統(tǒng)的開發(fā)。以上是我對(duì)為什么要進(jìn)行安全電網(wǎng)開發(fā)以及如何進(jìn)行安全電網(wǎng)開發(fā)的梳理，因功能安全不是我的專長(zhǎng)上述觀點(diǎn)難免會(huì)有紕漏，希望指正。