功能安全視角下的48V整車低壓電源系統(tǒng)解析

翻故紙堆，對于我來說是很有意義的一項活動，就好比是以更復(fù)雜的chatGPT模型去回答從前百思不解的問題，總有新收獲。這跟考完試直接看答案分析還不太一樣，因為錯的地方即使看過了幾遍正確答案也還是不理解為什么會錯。

一個比較厚的故紙堆，就是曾經(jīng)年少輕狂的時候在博世Weilimdorf寫的畢業(yè)論文，也算是第一次在校外接觸到嵌入式開發(fā)和功能安全實踐。

道上的朋友有一個比較有趣的理論，說寫論文好比去草原上獵兔子。兔子總歸到處都是的，本科的時候是各路導(dǎo)師一起手把手教你如何定位兔子捕捉兔子，碩士的時候?qū)熃o你指出一個兔子讓你去抓，博士的時候?qū)焺t是只給你一個大方向就什么都不管了。

個人沒有讀過博士，但是本科和碩士論文難度對我來說實在是天差地別。本科論文的時候在博世CC的導(dǎo)師真的超nice，循循善誘的，然后還有一大堆同事隨時可以問問題。而寫碩士論文第一次接觸到功能安全和整車電源網(wǎng)絡(luò)架構(gòu)的時候真的是一臉懵，只覺得是很棒的系統(tǒng)化思維，但是就是不理解，主打一個不明覺厲。

導(dǎo)師是卡魯工大博士畢業(yè)，職位是博世汽車電子事業(yè)部戰(zhàn)略統(tǒng)籌部門（AE-BE/EKE）經(jīng)理兼任功能安全經(jīng)理。當年(2012)ISO26262第一版還只是剛剛發(fā)布而已，他已經(jīng)陸續(xù)輔導(dǎo)了幾個功能安全的相關(guān)論文了。這幾篇論文按時間排列如下：

1. 2010年2月到8月

Erstellung eines Modellierungskonzeptes zur Umsetzung der Funktionalen Sicherheit innerhalb der?Elektrik/ElektronikSystemarchitekturentwicklung im Kraftfahrzeug-為汽車電子電器領(lǐng)域內(nèi)系統(tǒng)架構(gòu)的開發(fā)建立一個符合功能安全要求的建模概念

這篇論文中，作者探索了整車電源系統(tǒng)架構(gòu)的建模方法，不過在建模之前先討論了相關(guān)系統(tǒng)的安全目標和HARA分析。作者嘗試了使用適當?shù)墓ぞ撸ū热?UML、SysML 等）來建立系統(tǒng)架構(gòu)模型。在模型中，明確標識系統(tǒng)的各個組件、接口、數(shù)據(jù)流和狀態(tài)轉(zhuǎn)換等元素，以便全面了解系統(tǒng)的運作方式，并且在模型中引入風險分析，識別潛在的安全風險，并確定相應(yīng)的安全措施來降低或消除這些風險。這有助于制定有效的功能安全策略。

2. 2010年5月到11月

Sicherheits-und Zuverl?ssigkeitsanalyse zukünftiger Energiebordnetze im Kraftfahrzeug-車載電源電路的安全性及可靠性分析

這篇論文中，作者主要針對三個簡單架構(gòu)?（1. 單控制器架構(gòu)，2. 通過BUS連接的雙控制器架構(gòu)，3. 通過網(wǎng)關(guān)連接的雙節(jié)點架構(gòu)，兩個節(jié)點一個使用CAN低，一個使用CAN高）分別計算了每個架構(gòu)的單點失效率，其中第一個架構(gòu)在沒有安全機制的情況下SPFM為47.58%，第二個架構(gòu)為48.55%，第三個架構(gòu)為49.10%。然后三個架構(gòu)的SPFM在分別加入針對輸出控制的診斷覆蓋度為高的安全機制后都提高到85%以上，90%以下。其實這種系統(tǒng)級的FMEDA計算出的值跟硬件級別計算有顯著的不同，三種架構(gòu)的魯棒性這樣看起來是連ASIL B的要求都不滿足的，這大概是為什么這個思路沒有繼續(xù)下去。

3. 2011年6月到12月

Qualitative Analyse der Funktionalen-Sicherheit des Bordnetzes von segelf?hi-gen Micro-Hybrid Fahrzeugen nach ISO 26262-依據(jù)ISO26262對一輛可滑行輕混合動力汽車的車載電源電路進行功能安全的定性分析

在這篇論文中，作者開始直接討論起輕混車的電源架構(gòu)，其中包含發(fā)電機、電池、電池傳感器、啟動機、啟動電機、DC/DC轉(zhuǎn)換器、雙層電容器DLC等組件。作者也對這些部件組成的多種架構(gòu)做了定性的安全分析，比如FMEA、RBD（Reliability Block Diagram）和FTA（Fault Tree Analysis）。分析的架構(gòu)為以下6種，一是傳統(tǒng)的12V架構(gòu)；二是帶DC/DC的14V架構(gòu)；三是帶DC/DC和DLC的14V電源架構(gòu)；四是帶有下級電源網(wǎng)（14V-32V）的14V架構(gòu)；五是帶有一個蓄電池和一個鋰電池的12V-48V架構(gòu)；六大致與五相同，只是啟動機換成啟動電機。

4. 2012年4月到10月

Umsetzung der "FunktionalenSicherheit" nach ISO-26262 innerhalb der Elektrik/Elektronik-Systemarchitekturentwicklung im Kraftfahrzeug-依照ISO26262將功能安全實施到汽車電子電器領(lǐng)域內(nèi)系統(tǒng)架構(gòu)的開發(fā)中

這一篇論文作者的時間正好跟我的實習時間完全重疊，所以我們一起討論了很多。他的論文主要是研究功能安全開發(fā)流程的要求，以及評估PREEvision這個六邊形戰(zhàn)士一般得開發(fā)管理工具是否符合功能安全標準第八章中對于軟件工具置信度水平的要求。

5. 2012年10月到7月

Modellierung von zukünftigen Energie-bordnetz-Konzepten im Kraftfahrzeug und Bewertung der Funktionalen Siche-rheit nach ISO 26262 - 依照ISO26262對車載電源電路概念的建模與功能安全評估

這一篇是我的論文，主要是使用PREEvision去建模論文3中的六種架構(gòu)，以及使用RBD方法定量的去得出他們的系統(tǒng)級失效率以進行對比。

主線一

48V系統(tǒng)

從這些論文里面可以分析出兩條主線，一條就是所謂的onboard electrical system（Bordnetz）的架構(gòu)設(shè)計。傳統(tǒng)的12V電壓系統(tǒng)在引入啟停系統(tǒng)（Start-stop system）之后，基本已經(jīng)達到了功率輸出極限。如果在12V電壓下引入輕混系統(tǒng)，功率需求在10kW~15kW左右，這樣的電壓下電池的輸出電流高達1000A，這樣顯然是不可接受的。2011年，Audi, BMW, Daimler, Porsche, Volkswagen聯(lián)合推出48V系統(tǒng)，作為傳統(tǒng)12V電氣系統(tǒng)和高壓電池（如電動車）之間的中間電壓級別，以滿足日益增長的車載負載需求，更重要的是為了滿足2020年歐盟嚴格的排放法規(guī)。

另外也是因為60V是安全電壓，低于60V電壓的設(shè)備不需要采取額外的安全防護措施，48V電池的充電電壓最高56V已接近60V，因此48V是安全電壓下的最高安全等級。

圖1 整車電源架構(gòu)（來源:BOSCH）

為滿足當時歐盟提出的排放法規(guī)，歐洲主機廠都在積極推動48V系統(tǒng)，即采用48伏直流電壓供電的車輛電氣系統(tǒng)，可以看成是12V啟停系統(tǒng)的升級版，增加了48V儲能電池、48V/12V雙向DCDC、48V BSG（belt-driven starter generator）/ISG（integrated starter generator）、電動增壓器（可選配置）、電池管理系統(tǒng)，如圖2。

圖2 48V系統(tǒng)電氣架構(gòu)（來源：BOSCH）

首先，它優(yōu)點如下：

i. 駕駛體驗更舒適：48V系統(tǒng)電機扭矩和轉(zhuǎn)速更高，可將發(fā)動機短時間內(nèi)快速拖動至啟動的閾值，且通過皮帶的柔性連接，沒有12V啟動時機械介入和退出時的沖擊，因此啟動更平穩(wěn)。另外48V系統(tǒng)可提供額外的電力支持，通過加速助力及扭矩輔助等功能可提高整車起步時的加速性能及發(fā)動機的性能；?

ii. 附件電源優(yōu)化：傳統(tǒng)12V系統(tǒng)對附件設(shè)備供電有一定限制，48V 系統(tǒng)可以提供比 12V 和 24V 系統(tǒng)更高的功率輸出，可以滿足更高功率附件設(shè)備的需求，如電動渦輪增壓器、電動助力轉(zhuǎn)向系統(tǒng)等，提升車輛性能和駕駛體驗。由于功率與電壓乘積得到的電流成反比，48V 系統(tǒng)在提供相同功率時，所需的電流會比 12V 或 24V 系統(tǒng)更低。這有助于減輕電線和元件的負載，能量轉(zhuǎn)換效率更高，并降低線路損耗；

iii. 故障檢測和診斷：48V系統(tǒng)具備更先進的故障檢測和診斷功能，通過電子控制單元（ECU）對電池和電氣系統(tǒng)進行監(jiān)控和管理，能夠及時檢測電氣故障并提供相應(yīng)的故障代碼和警報，以幫助車主或技術(shù)人員進行故障排除和維修；

iv. 能量回收和儲存：48V系統(tǒng)可用于能量回收和儲存，將車輛制動過程中產(chǎn)生的能量轉(zhuǎn)化為電能，并存儲在48V電池中。這些儲存的能量可以在需要時供給車輛的輔助設(shè)備或動力系統(tǒng)，提高能源利用效率；

v. 高壓系統(tǒng)輔助：一些汽車制造商還開始將48V系統(tǒng)與高壓電池系統(tǒng)（如電動汽車或混合動力汽車）結(jié)合使用，以提供額外的輔助功能，如電動座椅調(diào)節(jié)、電動空調(diào)壓縮機等。通過整合不同電壓級別的電氣系統(tǒng)，可以降低成本和復(fù)雜性；

vi. 標準和規(guī)范：為了推動48V系統(tǒng)的發(fā)展和應(yīng)用，相關(guān)標準和規(guī)范也在逐漸完善。例如，ISO 21780標準《道路車輛-48V供電電壓-電氣要求和試驗》已于2020年發(fā)布，旨在提供有關(guān)48V電源系統(tǒng)的安全性、性能和通信要求的指南，促進該領(lǐng)域的統(tǒng)一和規(guī)范。

缺點如下：

i. 電壓的升高，電磁兼容要求會更高；

ii. 48V電壓下會存在電弧，是風險隱患，需要處理；

iii. 原來的12V車載設(shè)備遷移到48V需要重新開發(fā)以及測試，代價巨大并且周期長；

iv. 比12V start-stop系統(tǒng)成本高，節(jié)能效果不如高壓混動系統(tǒng)。

48V系統(tǒng)工作模式有如下幾種：

A 自動啟停 (START-STOP)：?

當車速低于3公里每小時時，啟停系統(tǒng)會關(guān)閉車輛的發(fā)動機，電池利用存儲的能量維持車載電氣的正常運行，發(fā)動機可以隨時快速啟動。這種短暫停車尤其發(fā)生在城市交通中（如紅綠燈、人行橫道、平交道口等）或交通堵塞中。此功能可降低燃油消耗并減少二氧化碳排放。

B 能量回收 (RECUPERATION)：

在混合動力汽車的背景下，制動能量的回收被稱為能量回收，可以將動能轉(zhuǎn)化為電能，并存儲到電池中。僅能量回收功能就可以降低大約7%的油耗。

C 被動輔助 (PASSIVE BOOST) :

在提速階段，電機的輔助動力能彌補發(fā)動機動力的不足，實現(xiàn)不損失動力的情況下降低排放。在加速階段期間，內(nèi)燃發(fā)動機通過發(fā)電機功率的降低而得到緩解，以便能夠為加速過程提供其全部功率。這是通過調(diào)節(jié)發(fā)電機的勵磁線圈來實現(xiàn)的，耗電元件由電池供電。

D 自動啟停-航行（Start-stop COASTING)：

在車輛恒速運行，并且電池電量充足的情況下，關(guān)閉發(fā)動機噴油系統(tǒng)，車輛處于滑行階段，離合器分離發(fā)動機和傳動系統(tǒng)的機械連接，徹底關(guān)閉發(fā)動機，僅靠電機保持車輛巡航。電機提供的動力用來抵消行駛阻力以及發(fā)動機的拖拽阻力，實現(xiàn)更長的行駛距離。相當于傳統(tǒng)車輛空檔滑行，只不過傳統(tǒng)車輛在切換到空檔滑行之后，發(fā)動機轉(zhuǎn)速在降到怠速時依然需要噴油來維持發(fā)動機的運行。當再次踩下油門踏板，發(fā)動機會迅速啟動，平滑切入到當前車速。

由于發(fā)電機在航行階段不是由電機驅(qū)動的，因此耗電設(shè)備需要由蓄電池供電。只有當能量存儲系統(tǒng)能夠在任何時候為車輛提供足夠的能量以啟動小齒輪時，能量管理系統(tǒng)才允許航行。一旦駕駛員想要再次加速，發(fā)動機就會接合并啟動。這時候有兩種可能的啟動方式。一是在離合器啟動時，發(fā)動機由車輛的剩余動能啟動；二是由傳統(tǒng)的電動機帶動小齒輪啟動（Ritzelstart）。

下圖是博世AE當時（2013）的開發(fā)路線圖，可以從中看出整車低壓電源網(wǎng)絡(luò)架構(gòu)的功能增長規(guī)劃。

圖 博世AE混動系統(tǒng)Roadmap（來源:BOSCH）

主線二

功能安全評估

另一條主線自然是功能安全。在新的安全要求、減輕重量（降低二氧化碳排放）或新的駕駛和舒適功能（例如駕駛員輔助系統(tǒng)）的推動下，一些組件被淘汰，并添加了新組件（例如現(xiàn)代電池技術(shù)或使用 DC/DC 轉(zhuǎn)換器代替?zhèn)鹘y(tǒng)發(fā)電機），日益復(fù)雜的布線和新的能源分配組件影響著車載能源網(wǎng)絡(luò)（Energiebordnetz）的結(jié)構(gòu)，功能安全及其衍生的要求是車載能源網(wǎng)絡(luò)演變和進一步發(fā)展的決定性因素。

圖 傳統(tǒng)電源網(wǎng)絡(luò)（來源: Leoni）

車燈、雨刷器、制動器或轉(zhuǎn)向輔助裝置都可以歸類為安全相關(guān)的設(shè)備，因為他們的失效都可能會影響到行人或者駕駛員安全。這意味著必須確保這些系統(tǒng)和組件的能源供應(yīng)，這也對安全相關(guān)駕駛功能的定義和實現(xiàn)提出了明確的要求。其中有規(guī)定非安全相關(guān)的駕駛功能不得對安全相關(guān)的功能產(chǎn)生任何影響。如果不能排除負面影響，則必須提供機制以確保不做出反應(yīng)。如果車載電源系統(tǒng)存在電壓波動、電磁干擾或電源故障等問題，可能會導(dǎo)致這些安全相關(guān)功能的錯誤操作、數(shù)據(jù)丟失或系統(tǒng)不可用。

圖 車載電源網(wǎng)絡(luò)的失效分析（來源：Uni Stuttgart-Institute of Maschinenelemente）

上圖是母校斯圖加特大學IMA學院的“能源電網(wǎng)功能安全領(lǐng)域的技術(shù)安全機制”研究項目示意圖。

可能對其他控制器的安全要求產(chǎn)生直接影響的最著名的故障案例之一是線路或組件對車輛接地的電氣短路。這可能會導(dǎo)致整個車載電源系統(tǒng)在一段時間內(nèi)出現(xiàn)嚴重欠壓，從而導(dǎo)致所有安全相關(guān)組件出現(xiàn)功能故障。根據(jù)現(xiàn)有技術(shù)，許多車輛中安裝有熔斷器以保護電纜免受火災(zāi)等的影響。然而如果保險絲熔斷速度不夠快，或者車載電源系統(tǒng)設(shè)計不當，無法防止出現(xiàn)臨界電壓降，則可能會出現(xiàn)問題。如果這種情況發(fā)生在耗能型駕駛操作中，在極端情況下可能會導(dǎo)致車載電氣系統(tǒng)完全故障，進而導(dǎo)致嚴重后果。一些汽車制造商為這些已知的故障情況安裝了半導(dǎo)體元件，可以防止能量在幾毫秒內(nèi)流入短路，從而保持車載電氣系統(tǒng)的穩(wěn)定。

另外當今熱點的自動駕駛功能，根據(jù)車輛的SAE級別和應(yīng)用（操作設(shè)計領(lǐng)域），對某些功能的可用性的要求顯著增加。例如，當電源電壓異?；蚬╇妴卧收蠒r，系統(tǒng)應(yīng)能夠自動切換到備用電源或進入安全模式，以保證功能的持續(xù)可用性和安全性。根據(jù)架構(gòu)和總體概念，這些要求可以或必須轉(zhuǎn)移到車載能源系統(tǒng)。這還要求整車電源網(wǎng)絡(luò)還應(yīng)具備故障檢測、容錯能力以及報警功能，以確保在出現(xiàn)電源故障時能夠及時檢測并采取相應(yīng)的措施。整車電源網(wǎng)絡(luò)還應(yīng)提供穩(wěn)定和可靠的數(shù)據(jù)傳輸通道，以確保傳感器數(shù)據(jù)的完整性和實時性。比如ADAS功能通常需要從多個傳感器獲取數(shù)據(jù)，并將數(shù)據(jù)傳輸給計算單元進行處理和決策。如果電源網(wǎng)絡(luò)存在通信故障或干擾，可能會導(dǎo)致傳感器數(shù)據(jù)錯誤、延遲或中斷，從而影響ADAS功能的準確性和可靠性。

在功能安全這條主線上，博世作為48V系統(tǒng)核心零部件供應(yīng)商，需要先對整個48V系統(tǒng)（作為Item）進行符合功能安全的設(shè)計分析、驗證和測試，確保整車電源網(wǎng)絡(luò)滿足相應(yīng)的功能安全要求和標準（如ISO 26262），以保證由48V系統(tǒng)供電的各附件功能在各種情況下的可靠性和安全性。導(dǎo)師這一系列課題設(shè)計就是在驗證電源網(wǎng)絡(luò)系統(tǒng)是否能夠滿足這些要求，從探索合適的建模方法，在整車級別創(chuàng)建或評估安全概念，進行定性FMEA分析，RBD可靠性框圖分析，同時也嘗試著做了 FTA故障樹分析，到使用專有工具建模直到計算架構(gòu)整體失效率的定量安全分析。因為這一系列工作都是由導(dǎo)師所在的汽車電子硬件部門去牽頭的，所以在這些探索之中都有或多或少地考慮硬件失效率的問題，相信是為了去迎合主機廠或者第三方機構(gòu)的要求，或者是將功能安全作為評估不同產(chǎn)品方案的關(guān)鍵指標之一。

另外一個重要的背景就是PREEVision工具的加入。PREEVision是一個用于汽車電子電氣架構(gòu)設(shè)計優(yōu)化的工具，它自上而下地整合了需求分析Requirement Specification, 功能設(shè)計 Design, 軟硬件及網(wǎng)絡(luò)開發(fā) HW&SW&Network Development, 線束設(shè)計 Harness Design, 拓撲結(jié)構(gòu)設(shè)計 Topological Design等一系列領(lǐng)域內(nèi)基于模型的開發(fā)，并且層與層之間相關(guān)滲透著便于用戶評估的算法工具。這就使得ISO26262功能安全導(dǎo)入在這個工具上極其便利，因為它的層級幾乎就是V-Model的層級（另外PREEVision也可以與AUTOSAR無縫鏈接）。因此幾乎跟我同期的實習生就在與Vector緊密合作，研究PREEvision工具的TCL等級，結(jié)果是將這個工具評級為TCL1。

總結(jié)和展望

整車低壓電源系統(tǒng)由于肩負著給多個安全相關(guān)控制器供電的重任，其功能安全的關(guān)鍵性不言而喻。我有幸在48V輕混系統(tǒng)的早期引入階段參加了這一系統(tǒng)的功能安全工作，并且以此為基礎(chǔ)得以持續(xù)奮斗在功能安全第一線，可以說是保持初心了。

作為延申，如博世和斯圖加特大學IMA學院聯(lián)合發(fā)表的一篇論文所言，供電系統(tǒng)的功能安全要求正在不斷增加和細化，必須考慮的安全要點包括：

1）電源和存儲器的供電：關(guān)于電池供電，目前的現(xiàn)狀是針對架構(gòu)中的智能電池進行故障診斷是強制的，比如通過BMS和EBS，目標是保證供電系統(tǒng)至少可以執(zhí)行最小風險的操作。

2）通過線束進行電源分配：線束組件需要在定性分析的基礎(chǔ)上增加考慮定量分析，也就是說要考慮線束及接插件的失效率的優(yōu)化，ZVEI（www.zvei.org）目前正在研究標準化布線故障率的技術(shù)指南，大家如果有興趣可以去看下。

3）保證互不干擾：為妥善確保不受干擾，改論文建議使用電子開關(guān)，因為可以非常快速和細粒度的進行電源網(wǎng)絡(luò)的切換和可以進行外部診斷，具體措施可以包括在電路中加入智能安全開關(guān)或分散式電子保險絲。

審核編輯：黃飛

?