翻故纸堆,对于我来说是很有意义的一项活动,就好比是以更复杂的chatGPT模型去回答从前百思不解的问题,总有新收获。这跟考完试直接看答案分析还不太一样,因为错的地方即使看过了几遍正确答案也还是不理解为什么会错。
一个比较厚的故纸堆,就是曾经年少轻狂的时候在博世Weilimdorf写的毕业论文,也算是第一次在校外接触到嵌入式开发和功能安全实践。
道上的朋友有一个比较有趣的理论,说写论文好比去草原上猎兔子。兔子总归到处都是的,本科的时候是各路导师一起手把手教你如何定位兔子捕捉兔子,硕士的时候导师给你指出一个兔子让你去抓,博士的时候导师则是只给你一个大方向就什么都不管了。
个人没有读过博士,但是本科和硕士论文难度对我来说实在是天差地别。本科论文的时候在博世CC的导师真的超nice,循循善诱的,然后还有一大堆同事随时可以问问题。而写硕士论文第一次接触到功能安全和整车电源网络架构的时候真的是一脸懵,只觉得是很棒的系统化思维,但是就是不理解,主打一个不明觉厉。
导师是卡鲁工大博士毕业,职位是博世汽车电子事业部战略统筹部门(AE-BE/EKE)经理兼任功能安全经理。当年(2012)ISO26262第一版还只是刚刚发布而已,他已经陆续辅导了几个功能安全的相关论文了。这几篇论文按时间排列如下:
1. 2010年2月到8月
Erstellung eines Modellierungskonzeptes zur Umsetzung der Funktionalen Sicherheit innerhalb der Elektrik/ElektronikSystemarchitekturentwicklung im Kraftfahrzeug-为汽车电子电器领域内系统架构的开发建立一个符合功能安全要求的建模概念
这篇论文中,作者探索了整车电源系统架构的建模方法,不过在建模之前先讨论了相关系统的安全目标和HARA分析。作者尝试了使用适当的工具(比如 UML、SysML 等)来建立系统架构模型。在模型中,明确标识系统的各个组件、接口、数据流和状态转换等元素,以便全面了解系统的运作方式,并且在模型中引入风险分析,识别潜在的安全风险,并确定相应的安全措施来降低或消除这些风险。这有助于制定有效的功能安全策略。
2. 2010年5月到11月
Sicherheits-und Zuverlässigkeitsanalyse zukünftiger Energiebordnetze im Kraftfahrzeug-车载电源电路的安全性及可靠性分析
这篇论文中,作者主要针对三个简单架构 (1. 单控制器架构,2. 通过BUS连接的双控制器架构,3. 通过网关连接的双节点架构,两个节点一个使用CAN低,一个使用CAN高)分别计算了每个架构的单点失效率,其中第一个架构在没有安全机制的情况下SPFM为47.58%,第二个架构为48.55%,第三个架构为49.10%。然后三个架构的SPFM在分别加入针对输出控制的诊断覆盖度为高的安全机制后都提高到85%以上,90%以下。其实这种系统级的FMEDA计算出的值跟硬件级别计算有显著的不同,三种架构的鲁棒性这样看起来是连ASIL B的要求都不满足的,这大概是为什么这个思路没有继续下去。
3. 2011年6月到12月
Qualitative Analyse der Funktionalen-Sicherheit des Bordnetzes von segelfähi-gen Micro-Hybrid Fahrzeugen nach ISO 26262-依据ISO26262对一辆可滑行轻混合动力汽车的车载电源电路进行功能安全的定性分析
在这篇论文中,作者开始直接讨论起轻混车的电源架构,其中包含发电机、电池、电池传感器、启动机、启动电机、DC/DC转换器、双层电容器DLC等组件。作者也对这些部件组成的多种架构做了定性的安全分析,比如FMEA、RBD(Reliability Block Diagram)和FTA(Fault Tree Analysis)。分析的架构为以下6种,一是传统的12V架构;二是带DC/DC的14V架构;三是带DC/DC和DLC的14V电源架构;四是带有下级电源网(14V-32V)的14V架构;五是带有一个蓄电池和一个锂电池的12V-48V架构;六大致与五相同,只是启动机换成启动电机。
4. 2012年4月到10月
Umsetzung der "FunktionalenSicherheit" nach ISO-26262 innerhalb der Elektrik/Elektronik-Systemarchitekturentwicklung im Kraftfahrzeug-依照ISO26262将功能安全实施到汽车电子电器领域内系统架构的开发中
这一篇论文作者的时间正好跟我的实习时间完全重叠,所以我们一起讨论了很多。他的论文主要是研究功能安全开发流程的要求,以及评估PREEvision这个六边形战士一般得开发管理工具是否符合功能安全标准第八章中对于软件工具置信度水平的要求。
5. 2012年10月到7月
Modellierung von zukünftigen Energie-bordnetz-Konzepten im Kraftfahrzeug und Bewertung der Funktionalen Siche-rheit nach ISO 26262 - 依照ISO26262对车载电源电路概念的建模与功能安全评估
这一篇是我的论文,主要是使用PREEvision去建模论文3中的六种架构,以及使用RBD方法定量的去得出他们的系统级失效率以进行对比。
主线一
48V系统
从这些论文里面可以分析出两条主线,一条就是所谓的onboard electrical system(Bordnetz)的架构设计。传统的12V电压系统在引入启停系统(Start-stop system)之后,基本已经达到了功率输出极限。如果在12V电压下引入轻混系统,功率需求在10kW~15kW左右,这样的电压下电池的输出电流高达1000A,这样显然是不可接受的。2011年,Audi, BMW, Daimler, Porsche, Volkswagen联合推出48V系统,作为传统12V电气系统和高压电池(如电动车)之间的中间电压级别,以满足日益增长的车载负载需求,更重要的是为了满足2020年欧盟严格的排放法规。
另外也是因为60V是安全电压,低于60V电压的设备不需要采取额外的安全防护措施,48V电池的充电电压最高56V已接近60V,因此48V是安全电压下的最高安全等级。
图1 整车电源架构(来源:BOSCH)
为满足当时欧盟提出的排放法规,欧洲主机厂都在积极推动48V系统,即采用48伏直流电压供电的车辆电气系统,可以看成是12V启停系统的升级版,增加了48V储能电池、48V/12V双向DCDC、48V BSG(belt-driven starter generator)/ISG(integrated starter generator)、电动增压器(可选配置)、电池管理系统,如图2。
图2 48V系统电气架构(来源:BOSCH)
首先,它优点如下:
i. 驾驶体验更舒适:48V系统电机扭矩和转速更高,可将发动机短时间内快速拖动至启动的阈值,且通过皮带的柔性连接,没有12V启动时机械介入和退出时的冲击,因此启动更平稳。另外48V系统可提供额外的电力支持,通过加速助力及扭矩辅助等功能可提高整车起步时的加速性能及发动机的性能;
ii. 附件电源优化:传统12V系统对附件设备供电有一定限制,48V 系统可以提供比 12V 和 24V 系统更高的功率输出,可以满足更高功率附件设备的需求,如电动涡轮增压器、电动助力转向系统等,提升车辆性能和驾驶体验。由于功率与电压乘积得到的电流成反比,48V 系统在提供相同功率时,所需的电流会比 12V 或 24V 系统更低。这有助于减轻电线和元件的负载,能量转换效率更高,并降低线路损耗;
iii. 故障检测和诊断:48V系统具备更先进的故障检测和诊断功能,通过电子控制单元(ECU)对电池和电气系统进行监控和管理,能够及时检测电气故障并提供相应的故障代码和警报,以帮助车主或技术人员进行故障排除和维修;
iv. 能量回收和储存:48V系统可用于能量回收和储存,将车辆制动过程中产生的能量转化为电能,并存储在48V电池中。这些储存的能量可以在需要时供给车辆的辅助设备或动力系统,提高能源利用效率;
v. 高压系统辅助:一些汽车制造商还开始将48V系统与高压电池系统(如电动汽车或混合动力汽车)结合使用,以提供额外的辅助功能,如电动座椅调节、电动空调压缩机等。通过整合不同电压级别的电气系统,可以降低成本和复杂性;
vi. 标准和规范:为了推动48V系统的发展和应用,相关标准和规范也在逐渐完善。例如,ISO 21780标准《道路车辆-48V供电电压-电气要求和试验》已于2020年发布,旨在提供有关48V电源系统的安全性、性能和通信要求的指南,促进该领域的统一和规范。
缺点如下:
i. 电压的升高,电磁兼容要求会更高;
ii. 48V电压下会存在电弧,是风险隐患,需要处理;
iii. 原来的12V车载设备迁移到48V需要重新开发以及测试,代价巨大并且周期长;
iv. 比12V start-stop系统成本高,节能效果不如高压混动系统。
48V系统工作模式有如下几种:
A 自动启停 (START-STOP):
当车速低于3公里每小时时,启停系统会关闭车辆的发动机,电池利用存储的能量维持车载电气的正常运行,发动机可以随时快速启动。这种短暂停车尤其发生在城市交通中(如红绿灯、人行横道、平交道口等)或交通堵塞中。此功能可降低燃油消耗并减少二氧化碳排放。
B 能量回收 (RECUPERATION):
在混合动力汽车的背景下,制动能量的回收被称为能量回收,可以将动能转化为电能,并存储到电池中。仅能量回收功能就可以降低大约7%的油耗。
C 被动辅助 (PASSIVE BOOST) :
在提速阶段,电机的辅助动力能弥补发动机动力的不足,实现不损失动力的情况下降低排放。在加速阶段期间,内燃发动机通过发电机功率的降低而得到缓解,以便能够为加速过程提供其全部功率。这是通过调节发电机的励磁线圈来实现的,耗电元件由电池供电。
D 自动启停-航行(Start-stop COASTING):
在车辆恒速运行,并且电池电量充足的情况下,关闭发动机喷油系统,车辆处于滑行阶段,离合器分离发动机和传动系统的机械连接,彻底关闭发动机,仅靠电机保持车辆巡航。电机提供的动力用来抵消行驶阻力以及发动机的拖拽阻力,实现更长的行驶距离。相当于传统车辆空档滑行,只不过传统车辆在切换到空档滑行之后,发动机转速在降到怠速时依然需要喷油来维持发动机的运行。当再次踩下油门踏板,发动机会迅速启动,平滑切入到当前车速。
由于发电机在航行阶段不是由电机驱动的,因此耗电设备需要由蓄电池供电。只有当能量存储系统能够在任何时候为车辆提供足够的能量以启动小齿轮时,能量管理系统才允许航行。一旦驾驶员想要再次加速,发动机就会接合并启动。这时候有两种可能的启动方式。一是在离合器启动时,发动机由车辆的剩余动能启动;二是由传统的电动机带动小齿轮启动(Ritzelstart)。
下图是博世AE当时(2013)的开发路线图,可以从中看出整车低压电源网络架构的功能增长规划。
图 博世AE混动系统Roadmap(来源:BOSCH)
主线二
功能安全评估
另一条主线自然是功能安全。在新的安全要求、减轻重量(降低二氧化碳排放)或新的驾驶和舒适功能(例如驾驶员辅助系统)的推动下,一些组件被淘汰,并添加了新组件(例如现代电池技术或使用 DC/DC 转换器代替传统发电机),日益复杂的布线和新的能源分配组件影响着车载能源网络(Energiebordnetz)的结构,功能安全及其衍生的要求是车载能源网络演变和进一步发展的决定性因素。
图 传统电源网络(来源: Leoni)
车灯、雨刷器、制动器或转向辅助装置都可以归类为安全相关的设备,因为他们的失效都可能会影响到行人或者驾驶员安全。这意味着必须确保这些系统和组件的能源供应,这也对安全相关驾驶功能的定义和实现提出了明确的要求。其中有规定非安全相关的驾驶功能不得对安全相关的功能产生任何影响。如果不能排除负面影响,则必须提供机制以确保不做出反应。如果车载电源系统存在电压波动、电磁干扰或电源故障等问题,可能会导致这些安全相关功能的错误操作、数据丢失或系统不可用。
图 车载电源网络的失效分析(来源:Uni Stuttgart-Institute of Maschinenelemente)
上图是母校斯图加特大学IMA学院的“能源电网功能安全领域的技术安全机制”研究项目示意图。
可能对其他控制器的安全要求产生直接影响的最著名的故障案例之一是线路或组件对车辆接地的电气短路。这可能会导致整个车载电源系统在一段时间内出现严重欠压,从而导致所有安全相关组件出现功能故障。根据现有技术,许多车辆中安装有熔断器以保护电缆免受火灾等的影响。然而如果保险丝熔断速度不够快,或者车载电源系统设计不当,无法防止出现临界电压降,则可能会出现问题。如果这种情况发生在耗能型驾驶操作中,在极端情况下可能会导致车载电气系统完全故障,进而导致严重后果。一些汽车制造商为这些已知的故障情况安装了半导体元件,可以防止能量在几毫秒内流入短路,从而保持车载电气系统的稳定。
另外当今热点的自动驾驶功能,根据车辆的SAE级别和应用(操作设计领域),对某些功能的可用性的要求显着增加。例如,当电源电压异常或供电单元故障时,系统应能够自动切换到备用电源或进入安全模式,以保证功能的持续可用性和安全性。根据架构和总体概念,这些要求可以或必须转移到车载能源系统。这还要求整车电源网络还应具备故障检测、容错能力以及报警功能,以确保在出现电源故障时能够及时检测并采取相应的措施。整车电源网络还应提供稳定和可靠的数据传输通道,以确保传感器数据的完整性和实时性。比如ADAS功能通常需要从多个传感器获取数据,并将数据传输给计算单元进行处理和决策。如果电源网络存在通信故障或干扰,可能会导致传感器数据错误、延迟或中断,从而影响ADAS功能的准确性和可靠性。
在功能安全这条主线上,博世作为48V系统核心零部件供应商,需要先对整个48V系统(作为Item)进行符合功能安全的设计分析、验证和测试,确保整车电源网络满足相应的功能安全要求和标准(如ISO 26262),以保证由48V系统供电的各附件功能在各种情况下的可靠性和安全性。导师这一系列课题设计就是在验证电源网络系统是否能够满足这些要求,从探索合适的建模方法,在整车级别创建或评估安全概念,进行定性FMEA分析,RBD可靠性框图分析,同时也尝试着做了 FTA故障树分析,到使用专有工具建模直到计算架构整体失效率的定量安全分析。因为这一系列工作都是由导师所在的汽车电子硬件部门去牵头的,所以在这些探索之中都有或多或少地考虑硬件失效率的问题,相信是为了去迎合主机厂或者第三方机构的要求,或者是将功能安全作为评估不同产品方案的关键指标之一。
另外一个重要的背景就是PREEVision工具的加入。PREEVision是一个用于汽车电子电气架构设计优化的工具,它自上而下地整合了需求分析Requirement Specification, 功能设计 Design, 软硬件及网络开发 HW&SW&Network Development, 线束设计 Harness Design, 拓扑结构设计 Topological Design等一系列领域内基于模型的开发,并且层与层之间相关渗透着便于用户评估的算法工具。这就使得ISO26262功能安全导入在这个工具上极其便利,因为它的层级几乎就是V-Model的层级(另外PREEVision也可以与AUTOSAR无缝链接)。因此几乎跟我同期的实习生就在与Vector紧密合作,研究PREEvision工具的TCL等级,结果是将这个工具评级为TCL1。
总结和展望
整车低压电源系统由于肩负着给多个安全相关控制器供电的重任,其功能安全的关键性不言而喻。我有幸在48V轻混系统的早期引入阶段参加了这一系统的功能安全工作,并且以此为基础得以持续奋斗在功能安全第一线,可以说是保持初心了。
作为延申,如博世和斯图加特大学IMA学院联合发表的一篇论文所言,供电系统的功能安全要求正在不断增加和细化,必须考虑的安全要点包括:
1)电源和存储器的供电:关于电池供电,目前的现状是针对架构中的智能电池进行故障诊断是强制的,比如通过BMS和EBS,目标是保证供电系统至少可以执行最小风险的操作。
2)通过线束进行电源分配:线束组件需要在定性分析的基础上增加考虑定量分析,也就是说要考虑线束及接插件的失效率的优化,ZVEI(www.zvei.org)目前正在研究标准化布线故障率的技术指南,大家如果有兴趣可以去看下。
3)保证互不干扰:为妥善确保不受干扰,改论文建议使用电子开关,因为可以非常快速和细粒度的进行电源网络的切换和可以进行外部诊断,具体措施可以包括在电路中加入智能安全开关或分散式电子保险丝。