本文约18,000字,建议收藏阅读
作者 | 左成钢
出品 | 汽车电子与软件
#01
根据乘联会、九章智驾数据库数据显示,截止2023年底智能新车已占上市新车的79%,L2及以上的辅助驾驶功能装载率快速提高,2023年标配L2的新能源汽车销量占比超50%。2024年新能源新车搭载高速NOA的车型销量占比已达20%。所有车企都在加速布局自动驾驶领域。随着车辆的智能化及智驾的快速普及,汽车不再仅仅作为代步工具,而是成为能提供更多功能与服务的移动空间,这一转变对汽车行业甚至整个现代社会来讲,都可以说是百年未有之大变局,这一转变既推动了汽车产业链的变革与创新,同时也将深刻改变未来人们的出行方式及对汽车的使用方式。
L2及以上辅助驾驶装载率(数据来源:乘联会,九章智驾)
新能源车高速NOA搭载率(数据来源:九章智驾)
随着车辆辅助/自动驾驶系统搭载率的快速提升,自动驾驶技术的可靠性与安全性便成为了行业乃至整个社会关注的焦点。本文抛开那些复杂自动驾驶技术、传感器、芯片、算法、算力等不谈,单从决定安全的最底层因素“供电”这一角度来谈谈辅助/自动驾驶系统的安全问题。
在谈这个问题之前,有些基础信息我需要先交代清楚,以便大家理解为什么供电问题才是决定所有控制/执行系统,包括智驾系统可靠性与安全性的最底层逻辑,以及如何实现供电系统的冗余及隔离,这些问题之前从来没有任何文章系统性的讲清楚过,今天我就尝试一下,错漏在所难免,也请行业内的小伙伴们批评指正,一起为中国汽车行业的发展贡献绵薄之力。
注:本文关于车辆电气系统的部分的内容均节选自作者新书《广义车规级电子可靠性设计与开发实践》,由机械工业出版社于2024年6月份出版,本文节选后有所改编。
#02
在20世纪70年代以前,车辆是没有电子模块的,仅有一些简单的电气部件,比如发电机、整流器、车灯及雨刮等。直到70年代,随着排放法规的要求,电子模块才出现在车上。到90年代后期,电气架构才慢慢得到重视,典型的汽车电子电气系统如下图所示。
汽车电子电气系统(来源:左成钢《广义车规级电子可靠性》)
按照传统功能划分,汽车电子电气系统可分为:
动力系统,燃油车主要包括:发动机控制系统、点火系统、冷却系统、进排气系统及变速传动系统等。新能源车主要包括:动力系统、动力电池及充电系统、热管理系统等。
底盘系统,主要包括:转向系统、悬架系统、制动/车身稳定系统等,尤其是转向及制动系统,随着电气化及自动驾驶技术的推动,未来可见的方向就是线控转向及线控制动技术,这是实现完全自动驾驶技术的一个重要基础。
车身系统,主要包括:车身控制系统、无钥匙/一键启动系统及照明系统等。
安全/舒适系统,主要包括:安全系统如安全气囊及胎压监测等,舒适系统包括座椅系统如座椅调节/加热及空调系统等。
智能座舱系统,主要包括:座舱控制器、人机交互系统、网联系统及其他附件等。
自动/辅助驾驶系统,主要包括:自动驾驶控制器及雷达、摄像头系统。
基于成本及可靠性等原因,经过半个多世纪的发展,汽车行业普遍采用了单线制供电及负极搭铁的电气设计。如下图所示,蓄电池和发电机通常直接并联,通过电源正极为整车供电,而蓄电池负极则直接连接车体金属部分搭铁,车体作为整车电源的负极(即Ground,地,缩写为GND)为电流返回提供回路。
典型的汽车供电回路(来源:左成钢《广义车规级电子可靠性》)
单线制供电是指在汽车电气系统中,从电源到用电设备只用一根导线进行供电,而用汽车车身、底盘、发动机等金属机体作为另一根公共导线,从而形成一个完整的供电回路。单线制不同于常见的住宅及工业应用的多线制供电。汽车的单线制类似于电气化铁路中利用铁轨作为公共导线的设计,这种设计可以有效利用车身、底盘等金属部分作为供电回路,可优化车辆电气设计,节省导线,使线路简化清晰。同时电子电气零部件也不需要与车体绝缘,方便维护及检修,所以现代车辆的电气系统设计普遍采用单线制供电。如图4-5所示,整车电源正极通过接线盒进行电源分配,为控制器及负载供电,电源负极在用电器所在位置附近就近接搭铁,从而形成一个完整的供电回路。
在单线制中,通常会将蓄电池的一个电极直接连接车体,汽车行业称之为“搭铁”,连接点则称之为“搭铁点”。若蓄电池的负极与车体相接,就称负极搭铁,反之为正极搭铁。无论乘用车还是商用车,大都采用负极搭铁设计,而按照国家标准规定,国产汽车电气系统均需采用负极搭铁,所以在汽车行业,如无特殊说明,搭铁默认为负极搭铁。
目前绝大多数车辆,无论是燃油车或新能源车、亦或者乘用车或商用车,几乎全部采用可充电铅酸蓄电池作为启动电源,这是由铅酸蓄电池的众多优势所决定的。
从1859年可充电铅酸蓄电池被发明出来,到1920年实现大批量车载应用,这百年间铅酸蓄电池的基本原理并未发生大的改变。在1912年电启动器被发明之前并没有多少车辆配备蓄电池,直到1920年大多数新车都标配电启动器后,汽车蓄电池成为了必需品。最早的铅酸蓄电池电压是6V的,这已经能够满足当时的应用需求了。
随着车辆发动机以及其他电气系统对电力需求的增加,到1950年代,多数车辆已经开始使用12V蓄电池了。常见的12V铅酸电池有六个2V电池串联组成,如下图所示,每个2V电池包含2个极板,所以一组12V蓄电池总共有12个极板。而商用车则因为柴油发动机系统对电力的需求,通常采用两组12V电池串联组成24V系统,以支撑其巨大的启动电流及较长的启动时间。一旦车辆启动、发动机运转或高压系统上电,交流发电机或DC/DC就会接管车辆的电源供应为整车提供电力。
汽车铅酸蓄电池(来源:左成钢《广义车规级电子可靠性》)
铅酸蓄电池能够大规模用于车载应用长达上百年,且即使在纯电动车大量普及的今天,依然没有被锂电池所取代,这是由其具备众多重要的特性所决定的。
锂电池的优势就是功率密度高,体积小。但其缺点同样明显,价格高,极易受温度影响,且安全性远低于铅酸蓄电池。车载应用,尤其是对传统燃油车来讲,蓄电池通常被安装在发动机舱,以便缩短蓄电池与起动机之间的距离。安装在发动机舱的设备所需满足的环境温度范围很宽,尤其是对高温的要求极高,通常需要达到105℃以上,而锂电池则通常不耐高温。锂电池的最佳工作温度范围和人体差不多,相对来讲是比较娇贵的,冬天需要加热,否则容量及充电性能都会急剧下降;夏天需要降温,否则放电性能及安全性都有问题,这种特性也就决定了其无法用于发动机舱或温度变化范围极大的应用。
铅酸蓄电池相对锂电池来讲,价格便宜,体积大,重量重,但工作温度范围及安全性均要高出很多。另外铅酸蓄电池很适合短时间高强度放电及小电流慢充,这种特点就特别契合燃油车的应用。在车辆启动时,可以短时间内为起动机提供极大的启动电流,而在车辆启动后,又可以通过发电机对其进行缓慢的充电。铅酸蓄电池的充放电特性如下表所示。C表示蓄电池的充放电倍率,定义为:充放电倍率=充放电电流/额定容量,例如额定容量为40Ah的电池,用40A电流进行放电时,其放电倍率即为1C。
不同容量铅酸蓄电池充放电特性参数(来源:左成钢《广义车规级电子可靠性》)
如上表所示,以40Ah蓄电池为例,1C即为40A,其最大充电电电流为0.3C也就是12A,通常铅酸蓄电池的推荐充电电流在0.1C左右。同时,铅酸蓄电池的瞬时放电能力很强,以40Ah蓄电池为例,其5s最大放电电流可达400A,而100A的蓄电池能达到800A,这种充放电电流特性很适合车载应用。但铅酸蓄电池并不适合持续的大电流充放电,通常来讲,超过1C的充电电流和超过5C的放电电流都称为高电流。
当然,随着目前电池技术的发展,目前也开始有一些新能源车型尝试采用小容量的锂电池替代铅酸蓄电池作为启动电源,一是可以减重,还有就是锂电本身就自带BMS,在省掉蓄电池IBS/EBS的同时,还支持更低的SOC放电,所以同等条件下可以大幅降低蓄电池的容量,比如从40Ah的铅酸降低到20Ah的锂电, 这些都是锂电的优势。所以如果能够解决温度问题,同时锂电价格合适(目前锂电价格大约是铅酸的2倍以上),未来12V/24V锂电完全取代铅酸电池也未可知。
车辆有两个电源,熄火后依靠蓄电池供电,一旦车辆启动,发动机运转或高压系统上电,交流发电机或DC/DC转换器就会接管系统的电源供应,持续为车辆提供电力,同时为蓄电池充电。车辆熄火后蓄电池电压通常为12.6V,启动后为14.55V,所以12V系统的典型电压值通常被认为是13.5V,是这二者的平均值。24V系统同理,典型电压值通常按照27V来进行考虑,所以众多的电气相关测试项目,典型电压值就是按照13.5V(12V系统)或27V(24V系统)。
自从20世纪50年代后期硅二极管整流器技术成熟后,车用发电机便从直流发电机变成了交流发电机,整流器将交流电转换成直流电供整车使用。但这中间有个问题,发电机的输出电流与转速和温度直接相关。以图4-12为例,12V/120A的发电机在冷态条件下,转速为2000r/min.(r/min.为转/分钟)时输出电流为80A,而热态则只有60A。转速在超过2000转后,输出电流快速提升,在2500转时接近120A的额定值,转速继续提高,输出电流基本稳定在120A左右。发电机的额定电流是其在6000r/min.时能够长期工作时提供的电流。
12V/120A交流发电机输出特性(来源:左成钢《广义车规级电子可靠性》)
而对于所有新能源车辆,包括混动与纯电动车辆,其低压电气系统部分与传统燃油车辆大致相同,其主要区别在于新能源车辆采用DC/DC转换器取代了发电机对整车进行供电,DC/DC的电源来自于车辆的高压动力电池。下表为一款用于12V系统的DC/DC转换器的一些参数。
一款12V DC/DC变换器参数(来源:左成钢《广义车规级电子可靠性》)
对于使用DC/DC变换器的车辆,DC/DC输出电压并不受车速及工作温度的影响。理论上来讲,如果DC/DC的额定输出功率大于整车电气系统的需求,其电压稳定性要高于传统采用发电机的燃油车。但实际上因为整车用电器数量较多,车辆工况也较为复杂,整车的动态电平衡设计存在较大的难度。所以随着车辆工况的变化,车辆电气系统用电情况差异较大,加上整车线束负载特性的影响,整车电压仍始终处于波动之中。
从成本角度考虑,无论是发电机还是DC/DC变换器的功率都不可能把设计裕量放的比较大,加上新能源车,尤其是纯电动车,因为没有起动机,不再需要考虑启动问题,铅酸蓄电池通常都会降低容量,比如从70Ah降低到40Ah,电池减小后对车辆瞬时大电流需求的支撑能力将会下降,所以相对于采用DC/DC变换器的新能源车,即使DC/DC本身的输出电压较为稳定,但整车系统电压的稳定性实际上可能并不会比采用发电机的燃油车有多少的改善。
传统燃油车(ICE)使用低压12V蓄电池很多人都可以理解,作用是为了在车辆熄火后重新启动车辆,那为什么新能源纯电动车(BEV)已经有了高压电池了,为什么还需要低压的12V/24V电池系统呢?那是因为高压系统和低压系统是完全独立的两个系统,高压系统也是需要低压系统来激活与启动的,换句话说,燃油车熄火后,发动机熄火,同样的,纯电动车熄火后,高压系统也会下电,这个与燃油车类似。
12V蓄电池对电动车的作用(来源:VARTA)
整体来讲,12V/24V低压蓄电池主要有四个作用,一是启动车辆,二是在车辆启动后作为冗余电源使用,三是为车辆的电力系统提供一定的储备功率,四是为熄火后的车辆提供电力。
1)启动车辆
对于传统燃油车大家都很熟悉了,内燃机需要起动机进行启动,而起动机的电力就来自12V/24V低压蓄电池,尤其是在低温情况下,启动电流要比常温时高得多,如下图即为一个24V/20Ah的锂电蓄电池在启动时的电流及电压波形。
24V/20Ah的电池在启动时的电流及电压波形(来源:骆驼蓄电池)
对于纯电动车,因为没有起动机,所以就不需要低压电池提供这么大的启动电流,但是车辆的启动还是依赖于低压蓄电池。电动车在启动前需要先进行预充,如下图,即先闭合HV-高压接触器,再闭合预充接触器,高压回路中的电容即开始充电,待充电完成后,再闭合HV+高压接触器,整车完成高压上电。而参与控制高压上电整个过程的VCU和BMS,包括高压接触器的驱动,电力均来自于12V/24V低压蓄电池,因为在高压系统上电之前,也就是系统上ON档前,车辆的动力电池是处于断开状态的,整车的所有能量都来自于低压蓄电池。所以如果电动汽车的12V电池亏电了,会发生什么?就像油车一样,许多关键系统的电力供应会都受到影响。如果车内的点火按钮或开关等功能不起作用,即使高压电池组充满电,也无法启动车辆。当然,现在也有车辆采用高压不下电,或采用车辆唤醒后即上高压的方式,在此不再赘述。
纯电动车的预充及启动(来源:网络)
2)启动后作为冗余电源
对于车辆的电气系统,可靠性主要考虑用电设备电源的可靠性,也就是如果在车辆运行过程中发生某个电源失效后,如何保障车辆的运行安全,对于供电设计来讲,通常采用的方法就是冗余供电设计,也就是说整车采用双路冗余供电,即低压蓄电池和发电机或高压DC/DC转换器进行并联的设计,这样即使在行车规程中,发动机意外熄火,发电机没有电力输出,或者高压系统发生异常,DC/DC转换器无法为整车提供低压电力,那么低压蓄电池在此时依然可以为整车提供电力,保证车辆的安全功能如转向、制动、灯光、雨刮,以及其他功能如仪表、导航、门锁、车窗等工作正常,进而在最大程度上保证车辆的行驶安全。
3)提供一定的储备功率
随着车辆电气化及智能化程度的提高,以及智驾功能的逐步普及,车辆电气系统对电力的需求也在急剧增加,汽车在智驾系统、信息娱乐系统、舒适性系统及安全性能方面的发展正在不断提升对电源的要求,在过去10年中,典型12V电源需求从1.2kW增加到了3kW的持续负载,比如智驾系统、主动悬架、电动转向、舒适系统、车载影音娱乐系统等都属于用电大户。
从理论上来讲,发电机或DC/DC的额定输出功率必定是大于整车电气系统需求的,但基于成本考虑,无论是发电机还是DC/DC变换器的功率都不可能把设计裕量放的比较大,因为整车用电器数量较多,车辆工况也较为复杂,整车的动态电平衡设计存在较大的难度。随着车辆工况的变化,车辆电气系统用电情况差异较大,车辆电力系统的供电电流也在不断地发生变化。比如转向系统需要一个200A的瞬时电流,如果此时整车的稳态负载电流已经达到了100A,而DC/DC的额定输出功率只有250A,那么这个瞬时电流就会导致DC/DC发生过流保护(OCP),此时和DC/DC并联供电的低压蓄电池便可以提供这个瞬时电流,从而保证车辆的正常运行。而如果没有并联供电的低压蓄电池,那么就需要大幅提高DC/DC的瞬时功率,否则就可能会发生整车异常掉电的问题。顺便再说一下,通常DC/DC发生OCP后是不会自动恢复的。
如下图所示,该12V/1.5kW DC/DC的额定输出电流为143A,过流保护的范围为160A到180A,典型值为170A。
一款12V/1.5kW DC/DC的部分参数(来源:左成钢)
4)为熄火后的车辆提供电力
这个比较容易理解。车辆熄火后需要提供电力的场景有两个,一是启动前及熄火后,如果此时车辆还处于ON档,则整车几乎所有的功能都是可以使用的,包括灯光、雨刮、门锁、车窗升降及影音娱乐系统等。另外就是车辆在长期停放过程中需要为一些设备持续供电,如智能进入系统、智能网联系统等。这些系统将持续性的消耗整车的电力,也就是常说的整车静态电流。通常来讲,大多数汽车OEM都会将待机时间设计为50天,按照20mA的静态电流计算,参见下表可知,需要的蓄电池容量约为52Ah。
车辆蓄电池容量、静态电流与停放时间的关系(来源:左成钢《广义车规级电子可靠性》)
#03
车载电子电气设备不同于采用稳定电源供电的消费类设备或工业设备,也不同于纯粹采用电池供电的移动设备,车载电子电气设备的供电电压波动范围要大的多。各种应用的电压范围对比参见下表,由表中对比可见车载应用的电压变化范围相对而言要大的多,这也就意味着车载电子设备要应对的电源环境要复杂的多,设计要求也要高的多。
各种应用电压范围对比推荐(来源:左成钢《广义车规级电子可靠性》)
为什么车辆的供电电压范围这么宽,电压波动这么大?这就需要先了解车辆的电气系统。无论是采用内燃机的传统车辆,还是采用混合动力或纯电动力的新能源车辆,其本质上都采用了双电源供电系统:
启动电源,启动电源通常是一块铅酸蓄电池或锂电池。车辆熄火后,随着发动机熄火以及高压系统下电,车辆在失去动力的同时,也失去了一个持续稳定的提供电能的电源,这个电源或者是发电机,或者是高压动力电池。熄火状态下,车辆再次启动以及一些其他系统工作所需的电能便藉由启动电源提供。某些带启停功能的乘用车还会额外的再增加一个专门的启动蓄电池供启停系统使用,传统商用车则通常单独增加一组蓄电池为驻车空调供电。启动电源主要有四个功能:一是为车辆再次启动提供电能,无论是内燃机启动或者是高压动力电池上电,都需要通过12V/24V低压系统;二是为熄火状态下的用电设备提供电能,如照明系统、影音娱乐系统、电动门锁及防盗系统等;三是在车辆行驶过程中,保持整车电源系统电压稳定及提供供电冗余,四就是提供一定的功率储备。
行车电源。通常为发电机或高压到低压的直流-直流变换器(Direct Current to Direct Current Converter,DC/DC Converter,简称DC/DC),行车电源可以为车辆低压电气系统提供持续稳定的电能。对燃油车来讲,发电机的供电电流能力通常在100A左右,而对于纯电动车来讲,DC/DC变换器的功率通常在3kW~6kW之间。
对于整车来讲,供电系统的电压是一直在波动的,如果系统电压被拉的过低通常被称为欠压。在实际应用中有两种情况会发生欠压,一种是在燃油车启动过程中,或者某些大功率负载启动,另一种就是车辆被长时间放置后蓄电池电量耗尽导致的欠压。欠压会导致车辆用电器无法正常工作,同时也会导致车辆无法启动。除蓄电池老化外,蓄电池欠压通常都是因为蓄电池电量被耗尽导致的。
传统燃油车在启动时需要蓄电池在短时间内提供极大的启动电流供起动机使用,因此整车系统电压将会出现一个强烈的电压跌落,这会导致车辆的照明灯具出现闪烁以及收音机的短时间关闭。这些问题在车辆初次启动时出现的话是可以忍受的,但对于有启停功能的车辆,如果行驶过程中的发动机频繁启动时出现则是不能接受的。以40Ah的蓄电池为例,如果端电压为13.5V,内阻为8.5mΩ,启动电流按500A计算,蓄电池电压将会下降到9.25V。
大功率负载启动类似于燃油车启动,其本质上都是一个大功率负载瞬时需要电力系统提供一个极大的电流,这个电流如果超过发电机或DC的输出能力,低压蓄电池就会作为冗余备份,利用储备功率来提供这部分电力需求的缺口,从而保证车辆的正常运行。
其实还有一种情况类似于大功率负载启动,那就是大功率负载短路。因为小功率负载通常匹配的线径较细,且多数位于二级配电,即使短路,因整体阻抗较大,很难产生较大的短路电流。但是大功率负载则不同,因其大都处于一级配电,同时匹配的保险及线径都较大,如果发生硬短路,其短路电流可能会非常大,且持续时间较长。在保险熔断前的这段时间内,电力系统就需要为短路的这个回路提供极大的短路电流,这就会导致系统电压被大幅拉低,甚至可能影响到其他回路负载的正常功能。
以下图为例,对于板式保险来讲,3.5倍过载时,其保护时间在0.3s~5s,也就是说,假如一个100A的保险,如果短路电流为350A,那么其保护时间最长可能达到5s,最快则是300ms。
车载保险丝熔断时间(来源:Littelfuse)
以下图为例,如果上面的负载1发生短路,则下面负载2的电压也会被瞬间拉低,拉低的时间取决于保险保护的时间,拉低的幅度取决于短路电流。也就是说,在电源故障的这段时间内,如果车辆刚好处于自动驾驶状态下,那么涉及到的一些关键零部件如感知单元、控制器及执行器,比如雷达、摄像头、自动驾驶控制单元、刹车系统、转向系统等,功能可能是无法正常实现或者可能要降级的。
负载电压瞬降(来源:左成钢《广义车规级电子可靠性》)
带有启停系统的车辆通常会采用电池传感器来持续检测蓄电池的荷电状态,以决定在行车过程中是否可以关闭发动机;以及关闭发动机后,在蓄电池电量尚能支撑发动机下次启动时,立即启动发动机为蓄电池充电,避免在行车过程中,在车辆短暂熄火后,出现因蓄电池欠压导致无法再次启动的问题。
还有一种系统级低电压比较常见,也就是常说的亏电,就是车辆被长时间放置后蓄电池电量耗尽导致的欠压。车辆上会有众多的通过KL30电源进行供电的设备,比如发动机ECU、车身控制模块等,除非拆除蓄电池线束,否则这些设备永不断电。尽管这些设备的静态功耗已经被设计的非常低了,但是如果车辆停放时间过长,加上蓄电池的自放电特性,还是存在蓄电池电量被耗尽的可能性。欠压会导致车辆用电器无法正常工作,同时也会导致车辆无法启动。除蓄电池老化外,蓄电池欠压通常都是因为蓄电池电量被耗尽导致的。
对于12V乘用车电气系统来讲,电压通常在9V~16V之间,即使发电机电压调节器失效,根据ISO 16750-2:2012标准的规定,这个过电压为18V,测试时间为60min,但这个电压依然远低于跳线启动电压和抛负载电压。
车辆的跳线启动,也叫辅助启动、搭线启动、搭电启动,俗称搭电。搭电是指对于一辆蓄电池电量完全耗尽无法自主启动的车,将另一台车辆的电池或其他外部电源连接到电池耗尽的车辆上,从而使电池耗尽的车辆得以启动的方法,如图4-18所示。在车辆启动后,如果发电机可以正常工作,蓄电池就可以充电,这时候就可以移除辅助电源。对于12V乘用车来讲,通常会用12V辅助电源为电池耗尽的车辆进行跳线启动操作,但在某些极端情况下,比如不清楚车辆的电压等级,或野外条件下没有可用的12V辅助电源时,则可以采用商用车的24V电源系统进行跳线启动操作,从设计上来讲,这种操作也是被允许的。
抛负载这个词不能顾名思义,这个抛的负载实际上是蓄电池,而非一个用电器。抛负载是指发电机正在发电,且在为蓄电池进行充电,并同时为系统进行供电时,蓄电池的接线柱突然断开连接的一种现象。蓄电池实际上是一个大电容,这个电容可以稳定系统的电压,如果这个大电容突然断开,就会带来类似于系统的感性负载突然增大的效果。同样的道理,如果系统突然有一个大电流的感性负载进行切换,也会产生抛负载。
根据ISO 16750-2:2012(国标是GB/T 28046.2-2019)试验标准的要求,对12V系统中脉冲A参数的规定,以12V系统为例,脉冲A的最高电压可达到101V,整个脉冲持续时间长达400ms,内阻可低至0.5Ω。
标准对12V系统中脉冲A参数的规定(来源:左成钢《广义车规级电子可靠性》)
想把车上所有的负载详细的进行分类是一件很困难的事情。但负载按类型大体可以分为三种:阻性、容性及感性,所有的负载都在这几种范围内或者是其的组合。负载类型及其特性如下表所示。
负载类型及其特性(来源:左成钢《广义车规级电子可靠性》)
随着车辆的电气化,车上电机的数量正在快速增长,从最常见的雨刮电机,到门锁、车窗电机,再到座椅调节电机等,一辆中等轿车上大约有40个左右的电机,高档轿车可能有上百个电机,汽车配置越高,电机数量就越多。除电机外,风扇、水泵、电磁阀等都属于感性负载。下图为一个12V/150W直流电机在不同负载情况下的电流波形图。
感性负载电流波形图(来源:左成钢《广义车规级电子可靠性》)
车辆的电气系统主要包括发电机、蓄电池、点火锁、接线盒、各电子模块、用电设备,以及在其中起到连接作用的、由导线和连接器等组成的线束。启动状态下整车的电力来源是发电机(新能源车是DC/DC转换器,将高压直流电转到低压12V或24V直流电)和蓄电池并联供电,非启动状态就是蓄电池单独供电。实际上车辆启动后,即使把蓄电池拆除,车辆功能是基本不受影响的,所以在蓄电池亏电时,通过搭电启动后车辆就可以正常工作了,即使此时蓄电池依然处于亏电状态。
车辆的各电气设备根据使用要求被定义了不同的电源接通状态,除KL30常电外(常电在商用车领域通常被称为B+,即蓄电池常电;而30电则为总闸电,即总闸闭合后的电气属性,这两点是不同于乘用车的),一般按点火开关档位(OFF、ACC、ON、START)进行划分电源属性。现在的很多乘用车已经取消了点火钥匙的ACC档,但ACC电气属性还是存在的。例如钥匙在OFF档时,车窗是没电的,是不能调节的;但在钥匙从ON档切换到OFF档后的一段时间内,只要不拔出钥匙,音乐还可以播放,这是一种人性化设置,此时娱乐设备的电源属性就是ACC档;另外,在车辆启动的瞬间,动作中的车窗和雨刮会暂停一下,这是为了暂时性的将大功率用电设备的电力切断,以节省蓄电池电力给起动机使用;在启动过程中会被切断的设备的电源属性就是IGN2,而仍可持续工作的设备就是IGN1。
如下图所示,某些ECU的供电同时有KL30常电及IGN1,比如发动机ECU与车身控制器BCM,而BCM通常还要使用IGN2与ACC电对车窗及其他设备进行控制,影音娱乐系统及点烟器通常使用ACC电,车窗、后窗加热、雨刮等大功率负载通常使用IGN2。
车辆电源属性简图(来源:左成钢《广义车规级电子可靠性》)
不同的电源属性通常是通过接线盒里面的继电器来进行控制的,点火锁信号可以直接控制电源分配继电器,或者通过BCM或无钥匙系统(Passive Enter Passive Start,直译为“被动进入被动启动”,缩写PEPS)进行间接控制,即BCM/PEPS采集点火锁/启动按钮信号后控制电源分配继电器,进而控制接线盒里的继电器。在这种控制模式下,很多控制逻辑在设计之初就是通过硬线控制确定了的,软件是无法更改的。例如把钥匙从ON档打到OFF档后,很多功能就不能用了,因为电源被切断了,除非对线路设计进行更改,否则逻辑是不能改的,也就是说,这些功能通常是无法通过软件直接更改的,所以也是不支持OTA的。
在整个电气系统设计中,电源分配和电路保护是两个非常重要的部分。车辆的电源分配及电路保护通常是通过电气接线盒来实现的。乘用车通常有两个接线盒,一个位于发动机舱,被称为发动机舱接线盒(Engine Junction Box,EJB),一个位于乘客舱,被称为乘客舱接线盒(Passenger Junction Box,PJB)。商用车通常也有两个接线盒,一个位于后部的电池仓,被称为底盘接线盒(客车称之为后盒),一个位于驾驶舱,被称为中央电气接线盒(客车称之为前盒)。
电源分配可分为两种,一种是KL30常电,直接通过熔断器进行分配,没有控制;另一种是开关电,通过熔断器及继电器进行分配。熔断器负责线路保护,继电器负责电源控制。继电器的作用就是弱电控制强电,因为车上的多数开关均为微动开关和小电流开关,受制于驱动能力,一般不能直接对大电流负载进行开关切换;ECU负责采集开关信号及输出控制信号,通过接线盒中的继电器来进行电源分配及控制。有些ECU内部会集成一些PCB继电器,可以对负载进行电源分配及控制,但这些大电流回路的线路保护通常还是通过接线盒里的熔断器来实现的,当然,这就要额外的电线。
传统车辆配电原理简图(来源:左成钢)
传统车辆的配电系统通常分前后两级:一级装在蓄电池边上,负责大电流负载的电源分配,以及一些前舱及底盘部分负载的电源分配;二级配电盒装在驾驶室里面,也叫驾驶室配电盒,卡车上叫中央配电盒,负责驾驶室负载及其他一些负载的电源分配。
#04
书归正传,经过前面一系列的铺垫,我们从车辆的供电方式,到蓄电池及DC/DC,从系统电压的波动,到车辆的电源分配系统,基本上把车辆的供电、电源、电力分配系统梳理清楚了,这些基本信息有助于我们理解接下来要具体分析的电源冗余供电部分的内容。
我们通常所说的冗余其实有两层含义,一是指多余的不需要的部分,二是指人为增加的重复部分,其目的是用来对原本的单一部分进行备份,以达到增强其安全性的目的,这在汽车行业甚至信息通信系统中都有着广泛的应用。
对于汽车、飞机以及其他对安全性要求很高的行业,高可靠性和高一致性固然重要,但也不可能无限提高,还需要考虑工程实践。可靠性是一个概率问题,属于数学和统计学范畴,这就意味着无论可靠性如何提高,也无法做到100%。即使从技术上来讲,可靠性可以不断提高,但从工程角度来讲,则必须考虑时间、成本等工程实践因素。从工程角度来考虑一个问题,首先是可行性,其次是时间和成本。
以车辆的制动系统为例,从技术角度来讲,可以制造一个失效率极低,可靠性极高的刹车踏板传感器,但从工程角度却肯定不会这么做,工程师会采用冗余设计,使用两个可靠性不是那么高,但是也够用的传感器组成冗余系统,以此来实现更高的系统可靠性,同时还可以降低系统成本。比如2个可靠性为90%的传感器组成的冗余系统,成本仅仅翻了一番,可靠性就可以轻松做到99%,而一个可靠性为99%的传感器的成本可能会翻5倍甚至更高。简单来讲,工程化思维的本质就是花小钱办大事。
车辆上采用冗余设计的工程思想来解决可靠性问题的典型案例就是制动系统,制动系统的液压管路通常被设计成X形布置,即左前轮和右后轮的制动器共用一个液压回路,右前轮和左后轮布置在另一个回路,在一个回路失效的情况下也依然可以保证较好的制动力分配,保证车辆安全。
液压制动系统管路的布置形式(来源:左成钢)
随着辅助驾驶等级越来越高,驾驶主体从驾驶员逐渐转变为车辆系统,为保证智驾系统始终处于安全运行状态,冗余系统必不可少,尤其是系统当升级到L3及以上辅助驾驶时,冗余系统必须成为标配。目前,高级辅助驾驶冗余范围主要有感知/定位冗余(环境监控)、控制器冗余(运算、决策)、执行器冗余(制动、转向)、通信冗余(中央及子网关)、电源冗余(主电源及次级电源)。以下图长城汽车发布的自动驾驶冗余系统为例,6大冗余分别为:感知冗余、控制器冗余、架构冗余、制动冗余、转向冗余,以及电源冗余。但是从底层逻辑来讲,电源冗余是一切冗余的基础,所有电气系统离开了电力,功能冗余都无从谈起。
对于电力系统来讲,电源可以分为一级供电冗余和后级供电冗余,从供电可靠性角度来讲,电源还需要互相隔离,这就进而引申出了一级供电冗余隔离和后级供电冗余隔离,我们分开来讲。
长城汽车自动驾驶的6大冗余(来源:网络)
对于车辆的供电系统,从工程角度来讲,我们不可能设计一个可靠性为99%的蓄电池或者DC/DC,那样成本可能会翻5倍甚至更高。而如果采用2个可靠性为90%的电源组成的冗余供电系统,成本仅仅翻了一番,可靠性就可以轻松做到99%。
以下图为例,目前行业内采用较多的方式是把涉及到自动驾驶安全的系统或零部件全部放到一级配电,如转向、制动、智驾系统、网关等;而把那些非关键的零部件及负载放到二级配电,如灯光、门锁、空调、热管理、娱乐系统等。
冗余供电方案-1(来源:左成钢)
如上图所示,以纯电动车为例,DC/DC与蓄电池并联组成双冗余电源供电,为转向、制动、智驾系统等进行双冗余供电,也就是说这些系统的供电回路全部都是冗余的,比如转向系统就同时存在两个供电电源:转向-1和转向-2,这两路电源就构成了转向系统的冗余供电。图中EF既可以是传统保险,也可以是基于半导体技术的eFuse。
这里需要解释一下为什么要把涉及到智驾系统的,关键的、功能安全等级较高系统及零部件放到一级配电,主要有几点需要考虑:
成本更低。一级配电已经有了双冗余供电电源:蓄电池及DC/DC,可以直接组成冗余供电系统为冗余负载供电,而如果把冗余放在二级配电,则需要一级再输出两个冗余电源为二级配电供电,再由二级输出两个电源为冗余负载供电。
复杂度更低,可靠性更高。如下图所示,冗余供电放在二级配电后,系统复杂性及成本均大幅提高,同时可靠性反而降低了。
冗余供电方案-2(来源:左成钢)
好了,现在我们已经有了一个冗余供电方案1,他有两个电源:蓄电池及DC/DC,两个电源可以互为备份,任一电源发生故障时,另一电源可以作为冗余备份,为车辆提供电力,从而保证车辆的安全运行,同时蓄电池还可以为电力系统提供一定的储备功率,以备不时之需,很完美对不对?但是好像又有哪儿不对?说不上来。你有这个感觉就对了,因为传统车辆的电力系统就是这么设计的,业内人士看久了就会觉着这很正常,但是传统车辆他没有智驾系统啊?
好了,我们再来仔细看一下方案1,如下图,我在蓄电池输出上加了保险,实际上的配电系统也是这么设计的,然后蓄电池及DC/DC并联进入一级配电盒。
冗余供电方案-1(来源:左成钢)
这会带来什么问题呢?我们分析一下。如果任一电源或供电线路发生故障,故障类型为开路时,很完美,两个电源就互为冗余,没有问题。但是如果是线路发生短路或者过载呢?DC/DC本身有OCP过流保护功能,蓄电池有保险,保险会熔断来保护蓄电池,看起来都很完美,但是别忘了蓄电池保险和DC/DC的保护特性并不一致,或者说可能差异很大。对于实车来讲,短路故障是极其复杂的,DC/DC本身可能发生故障而短路,线路也会短路,蓄电池也有可能短路,短路点很难预测,每次短路的特性可能还不一样,这就对线路保护设计提出了很高的要求。举例来讲,如果短路点发生在蓄电池侧,DC/DC很可能在蓄电池保险熔断前发生OCP保护,那么结局就很悲催,那就是整车掉电,这是我们不愿意看到的。
聪明的你看肯定想到了,既然有这种风险,那我们就把两个电源互相隔离不就好了,没错,负责配电设计的工程师也是这么想的。
我们基于方案1先来设计一个方案3,把一级配电的两个电源DC/DC和蓄电池通过保险EF2给隔离开来,当然了,为了可靠性及安全考虑,这个保险EF2最好采用eFuse,可靠性更高,关键是动作速度可以非常快。
冗余供电方案-3(来源:左成钢)
这时候我们再来看一下改进后的方案3,两个电源互相隔离后,即使任一电源发生故障,无论是开路还是短路,开路就不用说了,对系统几乎没有影响。短路时EF2可以立即动作,将两个电源隔离开。以EPS为例,这时候即使EPS-1掉电了,EPS-2仍然可以为EPS系统供电,保证故障期间即使EPS系统降级工作,但也不至于失效,从而保证了车辆的行驶安全。
在方案3的基础上,我们可以再改进一下,比如可以再增加两个隔离EF1和EF3,将左边的故障和右边的故障完全隔离,这样设计的好处就是,即使某个电源发生了失效,EF1和EF3也可以将故障隔进行离开,从而保证了冗余负载仍然具有双电源供电。同样以EPS为例,如果蓄电池发生了短路,EF3可以将故障隔离,EPS-1及EPS-2都将正常工作,为EPS系统供电。当然了,这样的设计又增加了两个隔离开关EF1及EF3,系统的复杂度及成本肯定会升高不少,具体的实施方案可以根据OEM的要求进行综合评估。
冗余供电方案-4(来源:左成钢)
方案4是将原来供电系统的2个冗余电源进行了隔离,这是一种比较常见、也比较容易实施的设计方案。在方案4的基础上,还衍生出了一种新的设计,那就是参考传统的双电源并联供电方式,在DC/DC上直接并联了另外一组冗余蓄电池,如下图方案5所示。
冗余供电方案-5(来源:左成钢)
基于方案5的变形,其实还有一种方案,就是在蓄电池1的基础上再加一个DC/DC,如下图方案6所示。这样就是两个完全独立的供电系统,类似于传统双电源并联方案的冗余,理论上可以做到完全相互冗余,不过这样设计的成本较高,需要两组DC/DC和蓄电池,同时导致整车空间布置难度也较大。
冗余供电方案-6(来源:左成钢)
经过以上方案分析,我们基本把每种可行的一级电源供电方案讲了一遍,下面我将方案汇总成了表格,并进行了分析对比,方便理解和记忆。
另外,关于隔离速度这块儿,行业内并没有明确的标准,各家OEM的要求也不尽相同,目前见到比较多的是要求百微秒级别。当然,对这一块儿参数有公开展示的,目前见到的也就长城一家,如下图所示,隔离速度是500µs。电源隔离这一块儿做起来还是有难度的,隔离开关需要快速识别和响应电源故障,但同时也要对系统的冲击电流保持一定的鲁棒性,也就是对冲击不敏感,但是对故障敏感。
长城汽车自动驾驶的电源冗余(来源:网络)
下面是一张示波器实测的电源故障隔离速度的电流及电压波形图,系统电压为24V,保护时间为110µs。
24V系统电源故障隔离速度(来源:左成钢)
一级供电冗余比较容易理解,那么什么是后级供电冗余呢?其实道理和一级是一样的。后级的范围包括制动系统,转向系统、智驾系统等自动驾驶中需要冗余的系统,比如智驾控制器,冗余就是两个独立的控制器,或者集成在1个盒子的2块控制板,或者一个板子上的两套控制系统,当然了,电源也是独立的两套电源。除控制器外,还需要冗余的就是执行机构,也就是执行器部分,主要就是制动系统和转向系统。以转向系统为例,转向冗余一般是两套相互冗余的EPS控制单元和2个独立EPS电机。当然为了降低成本,也可以使用1个多绕组EPS电机,但是需要使用2个控制单元进行独立控制。
以EPS系统为例,后级供电冗余方案如下图所示。一级供电采用双冗余供电,为后级的EPS系统提供双电源冗余供电。一级供电可以采用单隔离方案,也可以采用多隔离方案,如右图所示。EPS可以采用集成方案,也可以采用独立方案。
后级冗余供电方案-1(来源:左成钢)
以下图英飞凌提供的EPS冗余方案为例,方案采用两套完全独立的电源、控制、驱动及电机绕组,组成了2个完全独立的冗余系统,即使一套系统失效,另一套也可以完全不受影响。
EPS冗余设计(来源:英飞凌)
后级冗余供电方案-2(来源:左成钢)
#05
除非采用纯机械结构设计,电源是任何电控系统的最关键组成部分,甚至可以说是决定可靠性的底层逻辑,没有电,一切电子电气系统的功能安全设计都是空谈,因为功能安标准的范围就是电子电气系统,你在高速上爆胎了,虽然也很危险,但是和功能安全就没关系。
GB/T 34590标准范围及术语定义(来源:标准)
从底层逻辑上来讲,L2级及以上智驾系统需要足够安全稳定的供电,自动驾驶等级越高,对供电系统的可靠性及性能就要求越高。
不同级别智驾系统的失效处理模式(来源:网络)
一般情况下,L2及以上自动驾驶系统需要配备至少两个互为冗余且具有隔离功能的低压电源,用于系统内控制器及执行器的供电。理论上来讲,供电的功能安全等级越高越好,但即使要求ASIL-D,实际上从系统复杂度、可靠性及成本等角度考虑,单路电源供电都无法满足可靠性的要求,所以一般还是采用两路冗余电源,且每路电源的容量均需要能够独立支持系统的需求,至于这个需求是Fail Safe。还是Fail Degraded,那就看设计要求了。
实际设计中,基于成本及功能考虑,根据智驾系统的不同,核心的控制器及关键执行器需要同时接2个电源,而有些零部件如已经冗余设计的感知单元只需要接其中1个电源即可。另外,不同安全等级的负载(例如安全负载和常规负载)可以接入不同的电源网络,以提升安全性能。比如安全负载可以尽量放在一级配电,而常规负载则可以尽量放在二级配电。
对于一级配电,从功能安全角度来讲,如果要求电源不掉电,就需要对DC/DC及蓄电池提出功能安全等级的要求,但是却无法对连接DC/DC、蓄电池、配电盒的电缆及接线柱等提出功能安全要求,这个问题其实对于后级控制器或执行机构也是同样存在的,也就是我们无法对连接器和线束提出功能安全要求,那么最简单的可靠性设计就是做冗余,也就是输入电源做冗余设计、输出电源也做冗余设计,同时执行器也做冗余设计。
蓄电池和一级配电盒(来源:左成钢)
DC/DC作为电子电气零部件,是可以有功能安全等级的,但是目前行业内对此并无明确定义,也很少看到某个DC/DC明确其功能安全等级是ASIL B或者C;而蓄电池作为电化学产品,功能安全只能依靠蓄电池IBS/EBS来做,理论上是可以到ASIL C或者D的。
如果把功能安全暂时先放一边,单纯从供电冗余设计的角度考虑,方案4是一种兼顾了成本和可行性的工程化实施方案,但是这里还有一个问题,那就是假如蓄电池失效以后,DC/DC有可能无法支撑系统对供电功率储备的需求,换句话说,就是DC/DC对负载的动态响应速度要远低于蓄电池。如果再把这个问题引申一下,那就是,为什么如今的纯电动车已经有动力电池了,为什么不可以取消低压蓄电池呢?
对于习惯了传统燃油车发电机配蓄电池的小伙伴们,估计已经习惯性忽略了蓄电池作为功率储备的这个隐藏功能,或者说,对于传统燃油车来讲,这一点可能体现的并不明显;还有一个原因可能是对于传统发电机来讲,其抗过载能力要比电动车用的DC/DC强得多,也就是说,同等条件下发电机的抗过流能力要强得多,过流通常只会导致发电机的输出电压降低,而DC/DC很可能就发生OCP过流保护了。
现在我们再把思路拉回如今新车销售占比达到50%的新能源车,当车辆中已经有400V 或800V动力电池为整车供电的同时,为什么打开引擎盖(或者后备箱下盖板)后,你还是能发现有一个传统的12V铅酸电池或锂电池?他们不仅增加了整车的成本和重量,还占用了宝贵的空间,为什么不取消12V电池,直接使用400~800V电池为车内所有电气部件供电呢?这的确是一个好问题,是一个外行人能一下子问到我们干了十几年汽车行业老人不知该如何回答的复杂问题。
为什么电动汽车还需要一块传统低压蓄电池?
一个可能的答案是,许多汽车电子电气系统,尤其是涉及到安全的系统,必须对功率的突然变化做出快速响应,也就是动态响应能力,评估这个能力的参数就是动态响应时间(Dynamic Response Time),而电池通常要比DC/DC电源转换器具有更快的响应时间。对于电源系统来讲,这个对后级电流需求瞬态变化的响应能力,我们通常用压摆率(Slew Rate)这个参数来进行衡量。如下图所示,一款LDO的Slew Rate可以做到1A/µs,而蓄电池的动态响应速度可以做到2.5 A/µs。,但很多DC/DC通常并不给出这个参数,而是给一个Full Load Rise Time,通常在500ms左右,而动态响应时间可能长达1s,
一款LDO的输出动态响应曲线(来源:TPS7A54-Q1)
一款DC/DC的动态影响时间(来源:EVDB-380-3000-12参数手册)
取消低压蓄电池需要解决两个问题,一是车辆运行过程中的电力系统对电源动态响应能力的要求,还有就是车辆下高压并休眠后,为整车常电设备进行低功耗供电的要求。而这两点要求对于低压蓄电池来讲都是其基础特性。比如低功耗供电,蓄电池除了自放电外,在不对外供电时,自身并没有任何功率损耗;而DC/DC则不然,在正常供电时有转换效率问题,在不对外供电时,其自身的功耗也不会降到零,反而可能比整车的静态功耗还要高。但同时这又会牵涉到另外一个问题,那就是车辆就不能彻底的下高压了,无论采用单DC/DC还是采用一个主DC加一个小DC的方案,DC/DC都是不能下高压了,否则整车就没有低压电了,没有低压,自然也就无法上高压了,除非整车永远不下高压。
同理,对于自动驾驶系统的冗余供电也存在电源动态响应的问题。以方案4为例,如果蓄电池失效,DC/DC的动态响应无法满足智驾系统的需求,Fai Operational是肯定不可能的了,Fail Degraded是一定的,但也不能保证的,甚至Fail Safe都不太好说。
回到我们的主题,在无法保证DC/DC动态响应能力的当下,采用双蓄电池的方案5有可能是一种最优的工程设计,尤其是对于L3及以上等级的智驾系统,因为即使一个蓄电池失效,还有另外一个蓄电池作为冗余。
冗余供电方案-5(来源:左成钢)
#06
在以上的讨论中,我们均没有对配电系统中决定配电可靠性的核心器件:保险,进行深入的分析,实际上保险才是决定供电系统可靠性的底层逻辑,甚至可以说,如果采用传统保险丝,供电系统的功能安全可能就无从谈起。首先我们来看一下传统车用保险丝的可靠性数据。下面是Bussmann对保险丝MTBF和FIT数据的回复,整体来讲就是没有数据可言。
对保险丝的MTBF/FIT(来源:Bussmann)
我们再来看用来取代传统保险丝+继电器的智能高边开关HSD的使用寿命及可靠性。
保险、继电器及HSD可靠性数据对比(来源:左成钢)
最后我们再看一下采用基于半导体的保险丝也就是常说的eFuse来设计的配电盒,也就是通常我们所说的智能配电盒(保险盒)的冗余供电及隔离方案。说到这里,特斯拉是永远无法绕过去的行业标杆,Model 3车型是全球首个实现量产智能配电的车型,整车电源分配及负载控制全部采用芯片化设计方案,大负载采用MOSFET,小负载采用HSD,并且其电源供电采用了冗余及隔离设计,输出也可以做到多路隔离供电。如下图所示,BATT输入和DC/DC经MOS并联,在实现冗余供电的同时实现了隔离功能,BCM-L及R均采用基于MOS的eFuse输出,同时EPS采用了双冗余输出,即EPS-1和EPS-2均通过eFuse进行冗余供电,且电源分配位于一级配电。
特斯拉VCFront的供电冗余及隔离设计(来源:左成钢)
除左右BCM供电及EPS供电外,VCFront还实现了不少系统及部件的供电及控制,如下表所示。
VCFront的部分功能定义(来源:左成钢)
特斯拉从Model 3开始,整车低压电气部分就取消了所有的保险丝和继电器,用基于MOSFET的半导体方案进行替代。同时,Model 3也是全球第一款引入了区域架构的量产车型,且其负责电源分配及负载/执行器驱动的三个模块:FBCM、LBCM、RBCM全都是特斯拉自主设计的。
从2017年9月第一辆Model 3下线至今近7年时间,国内新能源车型也在朝着智能配电及区域架构的方向迈进,但明确宣称整车实现智能配电及区域架构的车型仍然屈指可数。特斯拉作为全球新能源技术及自动驾驶技术的先驱,其率先采用智能配电是在其整车电子电气架构设计下自然而然的结果。当然,车辆低压电气系统的安全性提高也是其必然结果,这也是保障其自动驾驶系统安全性及可靠性的一个物理基础,就像你想做个高精度的钟表,你肯定不能采用纯机械的方式,因为机械表的精度再高,也不可能有石英表高,虽然高级的机械表精度可以比低级的石英表高,但石英表的常规水平就可以比顶尖的机械表精度高得多,这是由其物理基础决定的。
最后汇总一下:
1.冗余供电比没有冗余更安全。
2.隔离供电比没有隔离更安全。
3.目前蓄电池的动态响应比DC/DC高。
4.智能配电比传统保险配电要可靠的多。
/ END /