王亞坤 王晏雯 向英英 葉慧靈

【摘? 要】汽車功能安全設計日益受到重視，但當前針對電源分配的功能安全方面的研究相對缺乏。本文旨在研究給定汽車安全完整性等級（Automotive safety integrity level，ASIL）的電源分配設計方案。首先，確定電源分配子系統的ASIL等級;然后根據該ASIL等級探討電源分配的安全要求，包括硬件度量指標和避免其他系統干擾兩個方面;最后，提出兩種不同的電源分配設計方案，并對方案的優(yōu)缺點進行分析。

【關鍵詞】電源分配;功能安全;自動駕駛

中圖分類號：U463.6? ? 文獻標志碼：A? ? 文章編號：1003-8639（ 2023 ）05-0034-03

【Abstract】The design of automotive functional-safety has been paid more and more attention，but the current research on the functional-safety of power-supply distribution is relatively lacking. This paper aims to study the power-supply distribution design for a given automotive safety integrity level（ASIL）. First，the ASIL level of the power-supply distribution subsystem is determined. Then，according to the given ASIL level，the safety requirements of power distribution are discussed，including hardware metrics and avoiding interference from other systems. Finally，two different power distribution designs are proposed，and their advantages and disadvantages are analyzed.

【Key words】power-supply distribution;functional safety;automated driving

作者簡介

王亞坤（1990—），男，工程師，從事汽車線束原理開發(fā)和電源分配設計工作。

隨著汽車電動化、智能化等技術日趨發(fā)展，用戶對于汽車功能的需求日益多樣化，汽車的電子電氣（Electronic/Electrical，E / E）系統變得更加復雜。與此同時，電氣功能有關的故障和安全事故也呈不斷上升的趨勢[1]。汽車自動駕駛等級的提升使得駕駛安全責任逐漸從駕駛員轉移到系統，而自動駕駛功能的實現將更多地依賴于線控技術（X-by-wire）的應用，即從機械方式轉變?yōu)殡婒寗臃绞?。因此，E / E系統的功能安全在汽車開發(fā)中已經越來越受到重視。

E / E系統的功能實現依賴于穩(wěn)定可靠的供電，包括電源和電源分配，其中電源分配主要通過熔斷絲盒和供電線束實現。在ISO 26262-5（2018）中已經明確，功能安全設計中需要將線束列為關注對象，但目前業(yè)內對于電源分配的系統性研究工作仍然較為缺乏。

本文主要研究汽車E/E系統在給定ASIL的前提下，如何設計滿足功能安全要求的電源分配方案。

1? 電源分配的ASIL等級

根據ISO 26262可將E/E系統分為不同的ASIL等級，包括QM（Quality Management）、ASIL A/B/C/D。其中QM等級的系統僅做常規(guī)品質管控，而ASIL A/B/C/D等級的系統則需要按照功能安全的要求進行設計和管理。

為了分析方便，我們將電源、電源分配系統視為相關項或功能的一個組成部分，而不是獨立的系統[2]，如圖1所示。按照ISO 26262中定義的ASIL分配和分解的原則，電源、電源分配需要滿足和上級E/E系統同樣高的功能安全要求。以電動助力轉向系統（Electric Power Steering，EPS）為例，假定在某車型上EPS功能為ASIL C等級，那么對應的EPS電源和電源分配子系統也需要滿足ASIL C的要求。

2? 電源分配的安全要求

傳統的電源分配系統除了要求安全相關的用電器使用單獨的熔斷絲供電以外，并未在設計上對不同ASIL等級的用電器進行區(qū)分，在主電源回路中仍需要共用一級、二級熔斷絲，而三級熔斷絲一般也不加隔離地位于同一個熔斷絲盒內。顯然，這種設計方案已經不能滿足更高的ASIL等級要求，需要根據不同系統的功能安全目標設計對應的電源分配方案。

首先，需要明確ASIL等級的系統對應電源分配的功能安全要求，依此制定相應的安全方案，如圖2所示。

2.1? 硬件度量指標

ISO 26262-5（2018）規(guī)定了不同ASIL等級的硬件度量指標，包括隨機硬件失效率（Probabilistic Metric for Random Hardware Failures，PMHF）、單點失效率（Single-point Fault Metric，SPFM）、潛在失效率（Latent-fault Metric，LFM），如表1所示[3]。以ASIL C等級為例，整個系統需要滿足PMHF<100 FIT（Failure in time，1 FIT=1 failure in 109 hours），SPFM≥97%，LFM≥80%。按照ASIL等級的分配原則，電源分配部件也需要滿足同樣的硬件度量指標要求。

用電器的供電路徑為：電源（蓄電池、發(fā)電機、DC/DC）—熔斷絲（一級或多級）—用電器，還包括端子、導線等起到電氣連接關系的組件。因此，用電器功能的正常供電，在硬件層面上依賴于該路徑上所有組件的可靠運行。表2列出了供電回路中這些組件的失效模式和可能導致故障的原因。

針對這些失效模式，需要對電源分配組件進行改進或規(guī)避。比如，改善端子結構以保證較大的接觸面積，對重要功能采用更可靠的端子鍍層（鍍銀或鍍金）以提高壽命和可靠性[4];在高風險區(qū)域增加對導線的保護，對重要系統的電源線和搭鐵線適當增加截面積;使用可恢復式的熔斷絲以提高魯棒性，如電子熔斷絲（E-fuse）。

2.2 避免其他系統干擾的要求

除了需要滿足硬件度量指標要求以外，電源分配系統還需要具備抗干擾能力。當QM負載發(fā)生短路故障時，不能對安全負載的正常工作產生影響。具體體現在安全負載的工作電壓低于正常范圍的時間需要控制在一定范圍內。表3列出了一些典型ASIL系統對電源輸入電壓的要求，具體數值僅供參考，需依據系統的實際能力來定義。

傳統汽車的電源系統僅能對蓄電池的狀態(tài)（電壓、電流）進行監(jiān)測，而不能對各路用電器的供電回路狀態(tài)（電壓、電流）進行實時監(jiān)測。自動駕駛和功能安全要求的提升對整車電網的狀態(tài)監(jiān)控提出了更高的要求。對電網進行實時狀態(tài)監(jiān)測的好處主要有兩個方面：一是可以第一時間明確是具體哪個用電器電流、電壓異常，以針對性地采取相應措施;二是可以將累積數據進行分析，得出電氣數據隨著汽車使用壽命的變化趨勢，提前對可能出現的故障進行預測和提醒。

功能安全目標要求系統可以在發(fā)生潛在風險的時候，能夠及時地對故障進行處理、功能降級（回退），盡快使系統進入安全狀態(tài)，以免造成實際的危害。比如，自動駕駛系統在運行的過程中，如出現某個重要傳感器故障，需要在駕駛員接管前，安全地控制車輛的速度、方向直至車輛停至相對安全的地帶，這就需要整個系統具備一定的冗余設計。

對電源分配方案來說，則意味著可能需要至少兩套相互獨立的電源和供電回路，并且在其中一套電源發(fā)生故障時，能夠快速地將故障電源隔離開并切換到備用電源和供電回路，以保證系統的正常供電不間斷。另外，如果出現QM負載的短路情況，應保證相應的熔斷絲在規(guī)定的時間內斷開，以免影響到安全負載的供電電壓。

3? 電源分配設計方案

為滿足上述安全要求，可提出兩種可能的電源分配設計方案：①電子隔離開關;②全電子式電源分配方案。下面將詳細介紹這兩種設計方案，并分析各自的優(yōu)缺點。

3.1? 電子隔離開關方案（eSwitch）

首先，需要分析整車的電源情況。對于燃油車型，為整車低壓用電器供電的電源為12V蓄電池和發(fā)電機。發(fā)電機的電能來自發(fā)動機的動力，二者通過純機械結構連接;在發(fā)生碰撞時，發(fā)動機可能會熄火從而造成發(fā)電機無法輸出電能給碰撞后需要供電的用電器;另外，發(fā)電機的動態(tài)輸出能力有限，難以滿足對于動態(tài)響應能力要求較高的用電器需求，如EPS功能。對于混合動力車或純電動車型，電源則為12V蓄電池和DC/DC。48V/12V或HV/12V的DC/DC理論上也可以達到較高的ASIL等級，但也存在動態(tài)輸出能力的限制;另外，由于電能來自48V電池或HV電池，在碰撞等情況下整車可能會切斷高壓電池的供電;最后，增加了DC/DC本身也會失效的環(huán)節(jié)。相對而言，12V蓄電池是更加穩(wěn)定、可靠的電源。如果要達到更高功能安全等級，還可以使用12V鋰電池替代傳統的12V鉛酸蓄電池。鋰電池可以更加精確地對蓄電池的電壓、電流、溫度等參數進行監(jiān)測，這對于故障診斷和預測非常有利。綜上，我們可將12V蓄電池視為主電源。

如前所述，系統對電源分配的安全要求是保證穩(wěn)定的供電，在出現電源（發(fā)電機或DC/DC）故障或者QM負載短路的情況時，不能影響ASIL負載的供電。因此，需要對故障部件進行快速、有效地隔離。以純燃油車為例，使用eSwitch的電源分配方案拓撲圖如圖3所示，其中S為eSwitch，其位于12V電源網絡的主干上。

以ASIL C的EPS為例，各個部分的電源路徑ASIL分解情況如圖4所示。

對于高度自動駕駛（Highly automated driving，HAD）車輛，與駕駛安全有關的系統需要更高的功能安全等級，最高可至ASIL D等級。單個12V蓄電池如果發(fā)生單點失效情況，則不存在安全狀態(tài)可供回退。另外，現有的12V蓄電池技術也難以滿足ASIL D的要求。因此，高級別自動駕駛車輛一般需要兩塊相互獨立的12V蓄電池為ASIL供電，互為備份。對于HAD車輛和更高的ASIL等級要求的情況，可使用2個相互獨立的eSwitch，拓撲圖如圖5所示。

3.2? 全電子式電源分配方案（ePDU）

E-Fuse與傳統熔斷絲相比，具有以下優(yōu)點：①動作速度快，當發(fā)生短路或過載時，其保護時間可以達到微秒級，而傳統熔斷絲則需要幾十毫秒甚至1s以上才能熔斷，這一點對于滿足ASIL系統的供電電壓不受其他系統故障的干擾至關重要;②支持實時的電壓、電流監(jiān)測功能，能夠根據監(jiān)測狀態(tài)判斷故障類型，并針對用電器的類型制定相應的安全策略;③支持自動復位功能，當故障或短暫的擾動消除后，可以自行恢復導通狀態(tài)，免更換。

ePDU方案的拓撲圖如圖6所示。需要指出的是，該方案可在不改變原來電源分配拓撲結構的基礎上，將傳統的熔斷絲完全替換成E-fuse。

基于電子熔斷絲可實時狀態(tài)監(jiān)測、主動關斷和復位等特點，全電子式電源分配方案可依據負載ASIL等級的不同制定多種安全策略。例如，當QM負載發(fā)生短路或過載時，可以將其供電快速切斷進行隔離，當故障消除后恢復其供電;當電源功率不足時，可以切斷QM和低ASIL等級的負載，以優(yōu)先保證高ASIL等級負載的供電，當電源正常時恢復供電。

由于不同的用電器具有不同的ASIL等級，需要對E-Fuse路徑分配與負載相同的ASIL等級。為了平衡硬件資源、成本、開發(fā)難度等因素，可將不同ASIL等級的負載合并放入同一個電氣盒中，那么該電氣盒應符合負載的最高ASIL等級要求。對于最高為ASIL C級的ePDU方案，電源路徑的ASIL分解示例如圖7所示。

3.3? 方案對比討論

前文介紹了兩種不同的電源分配方案，它們都可以實現對低壓電網的狀態(tài)監(jiān)測、故障件隔離，并可以通過冗余設計實現最高ASIL D的電源分配功能。然而，兩種方案在成本、安全策略、其他電氣影響等方面又存在區(qū)別，下面將展開進行討論。

1）成本。兩種方案的原理都是基于MOSFET技術，包括分離式MOSFET或者集成式驅動芯片，而當前芯片的價格相對傳統熔斷絲器件要高很多。eSwitch僅在電源主回路上采用MOSFET技術，整車電源分配仍可以保留大量的傳統器件，而ePDU則全部采用MOSFET技術替代傳統器件，因此ePDU的成本比eSwtich更高。

2）安全策略。eSwitch方案由于只能控制電源主回路的通斷，因此只能對故障負載所在的電源主回路進行隔離，不能對單個負載電源回路進行控制。ePDU理論上可以實現對所有不同ASIL等級的負載電源回路進行控制，因而具備更大的靈活性，可以針對不同ASIL等級的負載制定不同的安全策略，例如當供電不足時，可以主動將大功率的QM負載進行斷電或限流。

3）電氣影響。eSwitch對于傳統電源分配方案來說是新增組件，且需要在物理上將QM負載和不同ASIL等級的負載分配到不同的電氣盒中，因此對整車線束的影響較大。ePDU可以完全替代傳統的電氣盒，所有的ASIL等級負載的劃分和相應安全策略都可以在ePDU內部通過軟硬件來完成，因此對整車線束的影響較小。但是，在整車下電狀態(tài)下，傳統的熔斷絲可以方便地提供蓄電池常電至控制器，由控制器決定是否休眠以節(jié)省電能;而基于MOSFET的電子熔斷絲則在整車下電狀態(tài)下需要斷開，否則持續(xù)的靜態(tài)電流消耗將可能引起低壓蓄電池虧電，這就要求控制器做出相應改變來與之進行適應。

4? 結論

本文通過分析功能安全對電源分配的要求，提出了eSwitch和ePDU兩種電源分配的解決方案。這兩種方案各有利弊，需要整車廠根據具體車型的需求進行綜合評估來選擇，也可以考慮將兩種方案進行一定的融合，在滿足功能安全要求的同時，達到成本、技術、復雜度等各方面的平衡。

參考文獻：

[1] ADAC. Pannenstatistik 2020：Die Zuverlassigkeits-Hitliste. [OL]. 2021-04-04. https：//www.adac.de/rund-umsfahrzeug/unfall-schaden-panne/adac-pannenstatistik/.

[2] P. Kilian，Armin Kohler，Patrick Van Bergen.Principle Guidelines for Safe Power Supply Systems Development[J]. IEEE Access，2021（9）：107751-107766.

[3] ISO 26262-5Road Vehicles-Functional SafetyPart 5：Product Development at the Hardware Level[S]. 2018.

[4] 楊磊. 汽車整車線束系統可靠性分析[J]. 汽車工程師，2019（2）：43-46.

（編輯? 楊? 景）