智能汽车安全电网开发

原创 汽车电子与软件 2024-07-31 08:02


作者 | 窦明佳
出品 | 汽车电子与软件



#01

概  述

 

最近几年车辆智能配电的话题被越来越多的讨论,一方面是因为国内OEM电子电气架构向区域架构迈进,区域架构的优势之一即降低线束复杂度,实现区域配电,在区域配电时更多考虑采用MOSEFT/efuse实现智能配电,包括基于功能场景的配电、基于车辆模式的配电,目的是降低车辆低压能耗,提高电动汽车的续驶里程。但是除了上述维度,我想从车辆安全的方面考虑,为什么要开发安全电网,以及如何进行安全电网的开发。




#02

为什么要进行安全电网开发
 

2.1 供电系统失效 


传统的低压电网包含发电机或DCCDC、低压蓄电池、以及数量众多的保险、继电器、导线等,所有这些电气部件的失效都可能会影响安全相关的E/E系统,并可能导致驾驶过程的严重事故,因此,在低压电网系统的开发过程中也必须考虑相关的安全机制以避免违背安全目标,例如通过SmartMos检测线束的过流、过压及短路故障并快速关断,以在故障容忍时间间隔(FTTI)内过度到安全状态。


注:FTTI-Fault Tolerant Time Interval   


                   

图1:低压电网系统的失效模式


2.2 高阶智能驾驶 


随着车辆智能化的发展,乘用车及商用车都在大力发展智能驾驶技术,特别是在商用车行业,高阶智能驾驶技术将带来减员增效的商业价值,但是同时也对整车电气系统提出了新的变革,从失效安全(Fail Safe)过渡到失效可运行(Fail Operation),低压电网系统也要根据不同的功能回退策略需求实施不同的冗余要求。



2.3 法规标准的逐步实施 


ISO26262-道路车辆功能安全是针对汽车电气/电子系统的功能安全标准,虽然其不是强制性标准,但是作为推荐标准已经在汽车行业的关键系统开发中得到广泛实施,其为汽车安全性和可靠性的开发提供了一个全面的框架,遵循该标准的开发将是产品安全性、可靠性、质量的有力证明。   



汽车行业电源系统的开发一直没有规范和标准,安全电网的开发更是无标准可依,ISO26262在电源系统的应用方式也非常不同,从而导致电源系统的质量、可用性及安全性存在较大差异,德国VDA协会认识到澄清和指导的需要,并成立了一个工作组——VDA450工作组,负责提供一个与安全标准(ISO26262)以及法规要求(例如UN ECE R13(H),GB 21670和FMVSS用于制动,UN ECE R79和GB 17675用于转向,UN ECE R157用于自动车道保持)一致的电源系统的开发方法,VDA450标准由德国头部OEM及Tier1的专家制定,提供自上而下的方法推导电源系统开发应满足的需求。   



国标GB17675 汽车转向系基本要求 附录B规定了转向电子控制系统在功能安全方面的安全策略以及验证确认的要求,规定设计过程中应遵循的方法和系统确认时应具备的信息,以证明系统在正常运行和故障状态下均能实现功能概念和功能安全概念。为了满足转向电子控制系统相关危害的安全要求,转向供电系统也要满足响应的安全要求。   

         

 


#03

如何进行安全电网的开发 

遵循V模型的开发方式并符合功能安全开发标准,通过系统性的开发流程导出功能安全需求,计算系统层级硬件度量值验证ASIL等级的满足。


    

3.1 相关项定义(Item Definition)  


相关项定义主要是对相关项的功能、接口、环境条件、法规要求等进行描述,确定相关项的边界及接口,以及与其他相关项、要素、系统和部件相关的假设。相关项是系统或多系统的联合体去实现整车层面的功能,相关项定义通常由OEM来开展,因为其知道整车级别的功能及边界条件。如下整车级别的功能-转向,可被进一步分解为电动转向系统EPS以及供电系统



相关项的功能描述以整车视角(非技术组件层级)描述整车层级的功能,如下为整车级功能-转向的功描述。



3.2 危害分析和风险评估(HARA)  


首先利用HAZOP(Hazard and Operation Analysis)分析上面相关项所定义的功能在整车层级功能异常表现,HAZOP基于定义的功能使用以下引导词分析每个功能的异常表现:

  • 功能丧失(Loss Of Function):在有需求时不提供功能(如车速较低时,无法提供转向助力);


  • 在有需求时提供错误的功能-多于预期(More than intended)或少于预期(Less than intended)(如车速较低时,大幅增加施加的转向助力,车速较低时降低施加的转向助力);  

 

  • 提供相反的功能(Wrong Direction)(如车速较低时,对驾驶员施加的转向助力方向相反);


  • 无需求时提供功能(Unintended Actication of Function)(如车速较低时以外的提供转向助力);


  • 输出卡滞在固定值上,功能不能按照需求更新(Output Stack at a Value)(如车速较低时,提供的转向助力卡滞在一个固定值)。


    

通过以上HAZOP分析导出危害(Malfunction),但是危害是抽象的可能性,不可量化,需结合不同的运行场景,形成具体的危害事件,运行场景即车辆的运行环境,包括道路场景(如道路类型、路面附着情况等)和驾驶场景(运行状态、车速等),J2980提供了场景分类参考,分析中需确保最大化的运行场景。 

 


同一危害在不同的运行环境形成危害事件的严重度(Severity)、出现的频次-暴露度(Exposure)、可控度(Controllability)均不同。


  • 严重度主要根据AIS分级,关注对人造成危害的严重程度,不仅需考虑车内驾驶员乘客伤害、还需考虑外部环境中的人员;


  • 暴露度可基于持续运行时间占比或频率决定,不应考虑装备该相关项的车辆数量或占比;


  • 可控度受多种因素影响,需驾驶员进行合理假设,通过统计数据或仿真测试确定;


通过上述三个参数的定义,根据ISO26262-3,Table 4 ASIL Determination 得到每个危害事件的安全等级ASIL,ASIL等级定义了相关项功能安全开发必须的要求和安全措施,同时针对相似的危害事件进行组合和分类再导出安全目标,若导出的安全目标存在相似,可对其进行合并,并继承其中最高的ASIL等级。   




3.3 功能安全概念(FSC)  


功能安全目标属于整车级别的安全需求,过于抽象,需要将其进行细化,得到为了满足功能安全目标基于系统组件级别的相对具体的功能安全需求,功能安全概念应该针对以下几个方面提出相对应的解决方案,作为FSR:


  • 故障预防;


  • 故障探测,控制故障或功能异常;


  • 过渡到安全状态;


  • 容错机制;


  • 发生错误时功能降级及与驾驶员预警的相互配合;


  • 将风险暴露时间减少到可接受的持续时间所必须得驾驶员预警;


  • 驾驶员预警,以增加驾驶员对车辆的可控性;


  • 车辆级别时间相关要求,及故障容错时间间隔,故障处理时间间隔;

   

  • 仲裁逻辑,从不同功能同时生成多种请求中选择最合适的控制请求。


如下对应整车级别功能安全目标:Prevent sudden loss of steering assist(ASIL C),其往系统层级的分解,分解到转向系统的功能安全需求SR1:Prevent sudden loss fo steering assist by EPS,分解到电网系统的功能安全需求SR2:Prevent sudden of steering assist due to failure in power supply-i.e ensure power supply stays within defined voltage/time intervals, 详细的需求包括电网应该避免EPS的供电电压小于6V持续时间大于100us(硬件不能重置)。



在往下分解到电网子系统级别,


  • SR2.1:电源(如蓄电池/DCDC)应该稳定供应电能;


  • SR2.2: 电源分配系统(如导线、保险、开关等)应该稳定的将电能分配到各电器零部件;


  • SR2.3:避免干扰,整车其他电器件的故障,包括电源分配系统、电源管理故障不应对EPS的电源供应产生干扰。


针对SR2.1电源应稳定供应电能其往下分解到蓄电池和DCDC,ASIL分解需要遵循独立性的原则,其可通过DFA分析确定蓄电池和DCDC满足独立性的原则。为了避免对DCDC提出功能安全的需求,我们将ASILC 分解为ASILC(C)+QM(C),这样蓄电池的开发需严格按照ASIL C的等级开发,如果是铅酸蓄电池则蓄电池传感器EBS需要满足ASIL C,如果是低压锂电池则BMS需要满足ASIL C;   


针对电源分配系统需要满足AISIL C的要求,需对电源系统的硬件进行硬件度量值计算,包括:


  • PMHF(Probabilistic Metric for random Hardware Failures):随机硬件失效概率度量表示在汽车运行周期中每小时平均失效概率,包括了对单点失效、残余失效、可探测的以及残余的双点失效的综合量化衡量,如下表中所示ASIL C的 PMHF目标值需小于100FIT(10-7/h);


  • SPFM(Single-Point Fault Metric):单点故障度量表征硬件安全机制或设计对单点和残余故障的覆盖是否足够,高单点故障度量值表示相关项硬件单点或残余故障所占比例低,系统可靠性高,如下表对于ASIL C的SPFM目标值需≥97%;


  • LFM(Latent-Fault Metric):潜伏故障度量反映硬件安全机制和设计对潜伏故障的覆盖是否足够,高潜伏故障度量值表示硬件潜伏故障所占比例低,系统可靠性高,如下表对于ASIL C的LFM目标值需≥80%;


那么怎么获取硬件的失效率呢?一般通过历史数据或测试或查询行业公认的标准,如SN29500、IEC62380提供的可靠性预估算法计算。根据ISO26262-5:2018 ASIL C系统在诊断覆盖率低于90%时SPF(单点故障)/RF(残余故障)需小于0.1 FIT,如果不能满足该要求需采取另外的安全措施,但是现有的电源分配系统(保险丝、继电器、导线)无法满足上述需求,除非采用SmartMos实现故障诊断、故障预测及故障保护等措施才能实现ASIL C的要求。      

 


针对电源系统内部的相关干扰,如下图QM负载(如散热风扇)短路,会引起DCDC转换器的电压迅速跌落,因为熔断式保险丝的熔断时间较长,超过EPS功能的安全容错时间,导致安全目标的违背,因此需要通过安全开关隔离QM负载和安全负载,在QM负载发生过流、短路等故障时,快速断开QM负载与安全负载的通路,从而保证转向EPS可从蓄电池获得稳定的电源供应。


    

 


#04

总  结

随着车辆安全可靠性需求提升、自动驾驶功能的普及以及法规标准的实施,针对整车电网的功能安全需求也越来越多,为保证安全供电,主要有三方面的安全必须考虑:


1)稳定的能量供给及存储;


2)安全的配电;


3)避免相关干扰。


传统电网系统的开发主要关注整车电量平衡,保险/继电器/导线的选型及电能的分配,而安全电网的开发则需要按照功能安全的开发流程从整车层级、系统层级到零部件层级进行安全需求的设计,根据需求设计电网拓扑,验证功能安全措施的有效性等,这通常是OEM的工作,同时也对OEM 电源系统设计工程师提出了新的能力需求,需要熟悉功能安全的开发流程及方法,从而运用于电网系统的开发。以上是我对为什么要进行安全电网开发以及如何进行安全电网开发的梳理,因功能安全不是我的专长上述观点难免会有纰漏,希望指正。   



/ END /




汽车电子与软件 主要介绍汽车电子软件设计相关内容,每天分享一篇技术文章!
评论
  • 天问Block和Mixly是两个不同的编程工具,分别在单片机开发和教育编程领域有各自的应用。以下是对它们的详细比较: 基本定义 天问Block:天问Block是一个基于区块链技术的数字身份验证和数据交换平台。它的目标是为用户提供一个安全、去中心化、可信任的数字身份验证和数据交换解决方案。 Mixly:Mixly是一款由北京师范大学教育学部创客教育实验室开发的图形化编程软件,旨在为初学者提供一个易于学习和使用的Arduino编程环境。 主要功能 天问Block:支持STC全系列8位单片机,32位
    丙丁先生 2024-12-11 13:15 45浏览
  • 全球知名半导体制造商ROHM Co., Ltd.(以下简称“罗姆”)宣布与Taiwan Semiconductor Manufacturing Company Limited(以下简称“台积公司”)就车载氮化镓功率器件的开发和量产事宜建立战略合作伙伴关系。通过该合作关系,双方将致力于将罗姆的氮化镓器件开发技术与台积公司业界先进的GaN-on-Silicon工艺技术优势结合起来,满足市场对高耐压和高频特性优异的功率元器件日益增长的需求。氮化镓功率器件目前主要被用于AC适配器和服务器电源等消费电子和
    电子资讯报 2024-12-10 17:09 84浏览
  •         在有电流流过的导线周围会感生出磁场,再用霍尔器件检测由电流感生的磁场,即可测出产生这个磁场的电流的量值。由此就可以构成霍尔电流、电压传感器。因为霍尔器件的输出电压与加在它上面的磁感应强度以及流过其中的工作电流的乘积成比例,是一个具有乘法器功能的器件,并且可与各种逻辑电路直接接口,还可以直接驱动各种性质的负载。因为霍尔器件的应用原理简单,信号处理方便,器件本身又具有一系列的du特优点,所以在变频器中也发挥了非常重要的作用。  &nb
    锦正茂科技 2024-12-10 12:57 76浏览
  • 智能汽车可替换LED前照灯控制运行的原理涉及多个方面,包括自适应前照灯系统(AFS)的工作原理、传感器的应用、步进电机的控制以及模糊控制策略等。当下时代的智能汽车灯光控制系统通过车载网关控制单元集中控制,表现特殊点的有特斯拉,仅通过前车身控制器,整个系统就包括了灯光旋转开关、车灯变光开关、左LED前照灯总成、右LED前照灯总成、转向柱电子控制单元、CAN数据总线接口、组合仪表控制单元、车载网关控制单元等器件。变光开关、转向开关和辅助操作系统一般连为一体,开关之间通过内部线束和转向柱装置连接为多,
    lauguo2013 2024-12-10 15:53 78浏览
  • RK3506 是瑞芯微推出的MPU产品,芯片制程为22nm,定位于轻量级、低成本解决方案。该MPU具有低功耗、外设接口丰富、实时性高的特点,适合用多种工商业场景。本文将基于RK3506的设计特点,为大家分析其应用场景。RK3506核心板主要分为三个型号,各型号间的区别如下图:​图 1  RK3506核心板处理器型号场景1:显示HMIRK3506核心板显示接口支持RGB、MIPI、QSPI输出,且支持2D图形加速,轻松运行QT、LVGL等GUI,最快3S内开
    万象奥科 2024-12-11 15:42 66浏览
  • 概述 通过前面的研究学习,已经可以在CycloneVGX器件中成功实现完整的TDC(或者说完整的TDL,即延时线),测试结果也比较满足,解决了超大BIN尺寸以及大量0尺寸BIN的问题,但是还是存在一些之前系列器件还未遇到的问题,这些问题将在本文中进行详细描述介绍。 在五代Cyclone器件内部系统时钟受限的情况下,意味着大量逻辑资源将被浪费在于实现较大长度的TDL上面。是否可以找到方法可以对此前TDL的长度进行优化呢?本文还将探讨这个问题。TDC前段BIN颗粒堵塞问题分析 将延时链在逻辑中实现后
    coyoo 2024-12-10 13:28 101浏览
  • 近日,搭载紫光展锐W517芯片平台的INMO GO2由影目科技正式推出。作为全球首款专为商务场景设计的智能翻译眼镜,INMO GO2 以“快、准、稳”三大核心优势,突破传统翻译产品局限,为全球商务人士带来高效、自然、稳定的跨语言交流体验。 INMO GO2内置的W517芯片,是紫光展锐4G旗舰级智能穿戴平台,采用四核处理器,具有高性能、低功耗的优势,内置超微高集成技术,采用先进工艺,计算能力相比同档位竞品提升4倍,强大的性能提供更加多样化的应用场景。【视频见P盘链接】 依托“
    紫光展锐 2024-12-11 11:50 44浏览
  • 一、SAE J1939协议概述SAE J1939协议是由美国汽车工程师协会(SAE,Society of Automotive Engineers)定义的一种用于重型车辆和工业设备中的通信协议,主要应用于车辆和设备之间的实时数据交换。J1939基于CAN(Controller Area Network)总线技术,使用29bit的扩展标识符和扩展数据帧,CAN通信速率为250Kbps,用于车载电子控制单元(ECU)之间的通信和控制。小北同学在之前也对J1939协议做过扫盲科普【科普系列】SAE J
    北汇信息 2024-12-11 15:45 73浏览
  • 【萤火工场CEM5826-M11测评】OLED显示雷达数据本文结合之前关于串口打印雷达监测数据的研究,进一步扩展至 OLED 屏幕显示。该项目整体分为两部分: 一、框架显示; 二、数据采集与填充显示。为了减小 MCU 负担,采用 局部刷新 的方案。1. 显示框架所需库函数 Wire.h 、Adafruit_GFX.h 、Adafruit_SSD1306.h . 代码#include #include #include #include "logo_128x64.h"#include "logo_
    无垠的广袤 2024-12-10 14:03 69浏览
  • 习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习笔记&记录学习习笔记&记学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记
    youyeye 2024-12-10 16:13 105浏览
  • 我的一台很多年前人家不要了的九十年代SONY台式组合音响,接手时只有CD功能不行了,因为不需要,也就没修,只使用收音机、磁带机和外接信号功能就够了。最近五年在外地,就断电闲置,没使用了。今年9月回到家里,就一个劲儿地忙着收拾家当,忙了一个多月,太多事啦!修了电气,清理了闲置不用了的电器和电子,就是一个劲儿地扔扔扔!几十年的“工匠式”收留收藏,只能断舍离,拆解不过来的了。一天,忽然感觉室内有股臭味,用鼻子的嗅觉功能朝着臭味重的方向寻找,觉得应该就是这台组合音响?怎么会呢?这无机物的东西不会腐臭吧?
    自做自受 2024-12-10 16:34 136浏览
  • 时源芯微——RE超标整机定位与解决详细流程一、 初步测量与问题确认使用专业的电磁辐射测量设备,对整机的辐射发射进行精确测量。确认是否存在RE超标问题,并记录超标频段和幅度。二、电缆检查与处理若存在信号电缆:步骤一:拔掉所有信号电缆,仅保留电源线,再次测量整机的辐射发射。若测量合格:判定问题出在信号电缆上,可能是电缆的共模电流导致。逐一连接信号电缆,每次连接后测量,定位具体哪根电缆或接口导致超标。对问题电缆进行处理,如加共模扼流圈、滤波器,或优化电缆布局和屏蔽。重新连接所有电缆,再次测量
    时源芯微 2024-12-11 17:11 68浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦