智能汽车安全电网开发

最近几年车辆智能配电的话题被越来越多的讨论，一方面是因为国内OEM电子电气架构向区域架构迈进，区域架构的优势之一即降低线束复杂度，实现区域配电，在区域配电时更多考虑采用MOSEFT/efuse实现智能配电，包括基于功能场景的配电、基于车辆模式的配电，目的是降低车辆低压能耗，提高电动汽车的续驶里程。但是除了上述维度，我想从车辆安全的方面考虑，为什么要开发安全电网，以及如何进行安全电网的开发。

2.1 供电系统失效 

传统的低压电网包含发电机或DCCDC、低压蓄电池、以及数量众多的保险、继电器、导线等，所有这些电气部件的失效都可能会影响安全相关的E/E系统，并可能导致驾驶过程的严重事故，因此，在低压电网系统的开发过程中也必须考虑相关的安全机制以避免违背安全目标，例如通过SmartMos检测线束的过流、过压及短路故障并快速关断，以在故障容忍时间间隔（FTTI）内过度到安全状态。

注：FTTI-Fault Tolerant Time Interval   

图1：低压电网系统的失效模式

2.2 高阶智能驾驶 

随着车辆智能化的发展，乘用车及商用车都在大力发展智能驾驶技术，特别是在商用车行业，高阶智能驾驶技术将带来减员增效的商业价值，但是同时也对整车电气系统提出了新的变革，从失效安全（Fail Safe）过渡到失效可运行(Fail Operation)，低压电网系统也要根据不同的功能回退策略需求实施不同的冗余要求。

2.3 法规标准的逐步实施 

ISO26262-道路车辆功能安全是针对汽车电气/电子系统的功能安全标准，虽然其不是强制性标准，但是作为推荐标准已经在汽车行业的关键系统开发中得到广泛实施，其为汽车安全性和可靠性的开发提供了一个全面的框架，遵循该标准的开发将是产品安全性、可靠性、质量的有力证明。   

汽车行业电源系统的开发一直没有规范和标准，安全电网的开发更是无标准可依，ISO26262在电源系统的应用方式也非常不同，从而导致电源系统的质量、可用性及安全性存在较大差异，德国VDA协会认识到澄清和指导的需要，并成立了一个工作组——VDA450工作组，负责提供一个与安全标准（ISO26262）以及法规要求（例如UN ECE R13(H)，GB 21670和FMVSS用于制动，UN ECE R79和GB 17675用于转向，UN ECE R157用于自动车道保持）一致的电源系统的开发方法，VDA450标准由德国头部OEM及Tier1的专家制定，提供自上而下的方法推导电源系统开发应满足的需求。   

国标GB17675 汽车转向系基本要求 附录B规定了转向电子控制系统在功能安全方面的安全策略以及验证确认的要求，规定设计过程中应遵循的方法和系统确认时应具备的信息，以证明系统在正常运行和故障状态下均能实现功能概念和功能安全概念。为了满足转向电子控制系统相关危害的安全要求，转向供电系统也要满足响应的安全要求。   

、

遵循V模型的开发方式并符合功能安全开发标准，通过系统性的开发流程导出功能安全需求，计算系统层级硬件度量值验证ASIL等级的满足。

3.1 相关项定义（Item Definition）  

相关项定义主要是对相关项的功能、接口、环境条件、法规要求等进行描述，确定相关项的边界及接口，以及与其他相关项、要素、系统和部件相关的假设。相关项是系统或多系统的联合体去实现整车层面的功能，相关项定义通常由OEM来开展，因为其知道整车级别的功能及边界条件。如下整车级别的功能-转向，可被进一步分解为电动转向系统EPS以及供电系统

相关项的功能描述以整车视角（非技术组件层级）描述整车层级的功能，如下为整车级功能-转向的功描述。

3.2 危害分析和风险评估（HARA）  

• 功能丧失（Loss Of Function）:在有需求时不提供功能（如车速较低时，无法提供转向助力）；

• 在有需求时提供错误的功能-多于预期（More than intended）或少于预期（Less than intended）（如车速较低时，大幅增加施加的转向助力，车速较低时降低施加的转向助力）;  

• 提供相反的功能（Wrong Direction）（如车速较低时，对驾驶员施加的转向助力方向相反）；

• 无需求时提供功能(Unintended Actication of Function)（如车速较低时以外的提供转向助力）；

• 输出卡滞在固定值上，功能不能按照需求更新（Output Stack at a Value）（如车速较低时，提供的转向助力卡滞在一个固定值）。

通过以上HAZOP分析导出危害（Malfunction）,但是危害是抽象的可能性，不可量化，需结合不同的运行场景，形成具体的危害事件，运行场景即车辆的运行环境，包括道路场景（如道路类型、路面附着情况等）和驾驶场景（运行状态、车速等），J2980提供了场景分类参考，分析中需确保最大化的运行场景。 

同一危害在不同的运行环境形成危害事件的严重度（Severity）、出现的频次-暴露度（Exposure）、可控度（Controllability）均不同。

• 严重度主要根据AIS分级，关注对人造成危害的严重程度，不仅需考虑车内驾驶员乘客伤害、还需考虑外部环境中的人员；

• 暴露度可基于持续运行时间占比或频率决定，不应考虑装备该相关项的车辆数量或占比；

• 可控度受多种因素影响，需驾驶员进行合理假设，通过统计数据或仿真测试确定；

通过上述三个参数的定义，根据ISO26262-3，Table 4 ASIL Determination 得到每个危害事件的安全等级ASIL，ASIL等级定义了相关项功能安全开发必须的要求和安全措施，同时针对相似的危害事件进行组合和分类再导出安全目标，若导出的安全目标存在相似，可对其进行合并，并继承其中最高的ASIL等级。   

3.3 功能安全概念（FSC）  

功能安全目标属于整车级别的安全需求，过于抽象，需要将其进行细化，得到为了满足功能安全目标基于系统组件级别的相对具体的功能安全需求，功能安全概念应该针对以下几个方面提出相对应的解决方案，作为FSR：

• 故障预防；

• 故障探测，控制故障或功能异常；

• 过渡到安全状态；

• 容错机制；

• 发生错误时功能降级及与驾驶员预警的相互配合；

• 将风险暴露时间减少到可接受的持续时间所必须得驾驶员预警；

• 驾驶员预警，以增加驾驶员对车辆的可控性；

• 车辆级别时间相关要求，及故障容错时间间隔，故障处理时间间隔；

• 仲裁逻辑，从不同功能同时生成多种请求中选择最合适的控制请求。

如下对应整车级别功能安全目标：Prevent sudden loss of steering assist（ASIL C），其往系统层级的分解，分解到转向系统的功能安全需求SR1:Prevent sudden loss fo steering assist by EPS,分解到电网系统的功能安全需求SR2:Prevent sudden of steering assist due to failure in power supply-i.e ensure power supply stays within defined voltage/time intervals, 详细的需求包括电网应该避免EPS的供电电压小于6V持续时间大于100us（硬件不能重置）。

在往下分解到电网子系统级别，

• SR2.1：电源（如蓄电池/DCDC）应该稳定供应电能；

• SR2.2: 电源分配系统（如导线、保险、开关等）应该稳定的将电能分配到各电器零部件；

• SR2.3：避免干扰，整车其他电器件的故障，包括电源分配系统、电源管理故障不应对EPS的电源供应产生干扰。

针对SR2.1电源应稳定供应电能其往下分解到蓄电池和DCDC，ASIL分解需要遵循独立性的原则，其可通过DFA分析确定蓄电池和DCDC满足独立性的原则。为了避免对DCDC提出功能安全的需求，我们将ASILC 分解为ASILC(C)+QM(C)，这样蓄电池的开发需严格按照ASIL C的等级开发，如果是铅酸蓄电池则蓄电池传感器EBS需要满足ASIL C，如果是低压锂电池则BMS需要满足ASIL C；   

针对电源分配系统需要满足AISIL C的要求，需对电源系统的硬件进行硬件度量值计算，包括：

• PMHF（Probabilistic Metric for random Hardware Failures）：随机硬件失效概率度量表示在汽车运行周期中每小时平均失效概率，包括了对单点失效、残余失效、可探测的以及残余的双点失效的综合量化衡量，如下表中所示ASIL C的 PMHF目标值需小于100FIT（10-7/h）;

• SPFM(Single-Point Fault Metric):单点故障度量表征硬件安全机制或设计对单点和残余故障的覆盖是否足够，高单点故障度量值表示相关项硬件单点或残余故障所占比例低，系统可靠性高，如下表对于ASIL C的SPFM目标值需≥97%；

• LFM（Latent-Fault Metric）:潜伏故障度量反映硬件安全机制和设计对潜伏故障的覆盖是否足够，高潜伏故障度量值表示硬件潜伏故障所占比例低，系统可靠性高，如下表对于ASIL C的LFM目标值需≥80%；

那么怎么获取硬件的失效率呢？一般通过历史数据或测试或查询行业公认的标准，如SN29500、IEC62380提供的可靠性预估算法计算。根据ISO26262-5：2018 ASIL C系统在诊断覆盖率低于90%时SPF（单点故障）/RF（残余故障）需小于0.1 FIT，如果不能满足该要求需采取另外的安全措施，但是现有的电源分配系统（保险丝、继电器、导线）无法满足上述需求，除非采用SmartMos实现故障诊断、故障预测及故障保护等措施才能实现ASIL C的要求。      

针对电源系统内部的相关干扰，如下图QM负载（如散热风扇）短路，会引起DCDC转换器的电压迅速跌落，因为熔断式保险丝的熔断时间较长，超过EPS功能的安全容错时间，导致安全目标的违背，因此需要通过安全开关隔离QM负载和安全负载，在QM负载发生过流、短路等故障时，快速断开QM负载与安全负载的通路，从而保证转向EPS可从蓄电池获得稳定的电源供应。

随着车辆安全可靠性需求提升、自动驾驶功能的普及以及法规标准的实施，针对整车电网的功能安全需求也越来越多，为保证安全供电，主要有三方面的安全必须考虑：

1)稳定的能量供给及存储;

2)安全的配电;

3)避免相关干扰。

传统电网系统的开发主要关注整车电量平衡，保险/继电器/导线的选型及电能的分配，而安全电网的开发则需要按照功能安全的开发流程从整车层级、系统层级到零部件层级进行安全需求的设计，根据需求设计电网拓扑，验证功能安全措施的有效性等，这通常是OEM的工作，同时也对OEM 电源系统设计工程师提出了新的能力需求，需要熟悉功能安全的开发流程及方法，从而运用于电网系统的开发。以上是我对为什么要进行安全电网开发以及如何进行安全电网开发的梳理，因功能安全不是我的专长上述观点难免会有纰漏，希望指正。   

/ END /