王亚坤 王晏雯 向英英 叶慧灵

【摘  要】汽车功能安全设计日益受到重视，但当前针对电源分配的功能安全方面的研究相对缺乏。本文旨在研究给定汽车安全完整性等级（Automotive safety integrity level，ASIL）的电源分配设计方案。首先，确定电源分配子系统的ASIL等级;然后根据该ASIL等级探讨电源分配的安全要求，包括硬件度量指标和避免其他系统干扰两个方面;最后，提出两种不同的电源分配设计方案，并对方案的优缺点进行分析。

【关键词】电源分配;功能安全;自动驾驶

中图分类号：U463.6    文献标志码：A    文章编号：1003-8639（ 2023 ）05-0034-03

【Abstract】The design of automotive functional-safety has been paid more and more attention，but the current research on the functional-safety of power-supply distribution is relatively lacking. This paper aims to study the power-supply distribution design for a given automotive safety integrity level（ASIL）. First，the ASIL level of the power-supply distribution subsystem is determined. Then，according to the given ASIL level，the safety requirements of power distribution are discussed，including hardware metrics and avoiding interference from other systems. Finally，two different power distribution designs are proposed，and their advantages and disadvantages are analyzed.

【Key words】power-supply distribution;functional safety;automated driving

作者简介

王亚坤（1990—），男，工程师，从事汽车线束原理开发和电源分配设计工作。

随着汽车电动化、智能化等技术日趋发展，用户对于汽车功能的需求日益多样化，汽车的电子电气（Electronic/Electrical，E / E）系统变得更加复杂。与此同时，电气功能有关的故障和安全事故也呈不断上升的趋势[1]。汽车自动驾驶等级的提升使得驾驶安全责任逐渐从驾驶员转移到系统，而自动驾驶功能的实现将更多地依赖于线控技术（X-by-wire）的应用，即从机械方式转变为电驱动方式。因此，E / E系统的功能安全在汽车开发中已经越来越受到重视。

E / E系统的功能实现依赖于稳定可靠的供电，包括电源和电源分配，其中电源分配主要通过熔断丝盒和供电线束实现。在ISO 26262-5（2018）中已经明确，功能安全设计中需要将线束列为关注对象，但目前业内对于电源分配的系统性研究工作仍然较为缺乏。

本文主要研究汽車E/E系统在给定ASIL的前提下，如何设计满足功能安全要求的电源分配方案。

1  电源分配的ASIL等级

根据ISO 26262可将E/E系统分为不同的ASIL等级，包括QM（Quality Management）、ASIL A/B/C/D。其中QM等级的系统仅做常规品质管控，而ASIL A/B/C/D等级的系统则需要按照功能安全的要求进行设计和管理。

为了分析方便，我们将电源、电源分配系统视为相关项或功能的一个组成部分，而不是独立的系统[2]，如图1所示。按照ISO 26262中定义的ASIL分配和分解的原则，电源、电源分配需要满足和上级E/E系统同样高的功能安全要求。以电动助力转向系统（Electric Power Steering，EPS）为例，假定在某车型上EPS功能为ASIL C等级，那么对应的EPS电源和电源分配子系统也需要满足ASIL C的要求。

2  电源分配的安全要求

传统的电源分配系统除了要求安全相关的用电器使用单独的熔断丝供电以外，并未在设计上对不同ASIL等级的用电器进行区分，在主电源回路中仍需要共用一级、二级熔断丝，而三级熔断丝一般也不加隔离地位于同一个熔断丝盒内。显然，这种设计方案已经不能满足更高的ASIL等级要求，需要根据不同系统的功能安全目标设计对应的电源分配方案。

首先，需要明确ASIL等级的系统对应电源分配的功能安全要求，依此制定相应的安全方案，如图2所示。

2.1  硬件度量指标

ISO 26262-5（2018）规定了不同ASIL等级的硬件度量指标，包括随机硬件失效率（Probabilistic Metric for Random Hardware Failures，PMHF）、单点失效率（Single-point Fault Metric，SPFM）、潜在失效率（Latent-fault Metric，LFM），如表1所示[3]。以ASIL C等级为例，整个系统需要满足PMHF<100 FIT（Failure in time，1 FIT=1 failure in 109 hours），SPFM≥97%，LFM≥80%。按照ASIL等级的分配原则，电源分配部件也需要满足同样的硬件度量指标要求。

用电器的供电路径为：电源（蓄电池、发电机、DC/DC）—熔断丝（一级或多级）—用电器，还包括端子、导线等起到电气连接关系的组件。因此，用电器功能的正常供电，在硬件层面上依赖于该路径上所有组件的可靠运行。表2列出了供电回路中这些组件的失效模式和可能导致故障的原因。

针对这些失效模式，需要对电源分配组件进行改进或规避。比如，改善端子结构以保证较大的接触面积，对重要功能采用更可靠的端子镀层（镀银或镀金）以提高寿命和可靠性[4];在高风险区域增加对导线的保护，对重要系统的电源线和搭铁线适当增加截面积;使用可恢复式的熔断丝以提高鲁棒性，如电子熔断丝（E-fuse）。

2.2 避免其他系统干扰的要求

除了需要满足硬件度量指标要求以外，电源分配系统还需要具备抗干扰能力。当QM负载发生短路故障时，不能对安全负载的正常工作产生影响。具体体现在安全负载的工作电压低于正常范围的时间需要控制在一定范围内。表3列出了一些典型ASIL系统对电源输入电压的要求，具体数值仅供参考，需依据系统的实际能力来定义。

传统汽车的电源系统仅能对蓄电池的状态（电压、电流）进行监测，而不能对各路用电器的供电回路状态（电压、电流）进行实时监测。自动驾驶和功能安全要求的提升对整车电网的状态监控提出了更高的要求。对电网进行实时状态监测的好处主要有两个方面：一是可以第一时间明确是具体哪个用电器电流、电压异常，以针对性地采取相应措施;二是可以将累积数据进行分析，得出电气数据随着汽车使用寿命的变化趋势，提前对可能出现的故障进行预测和提醒。

功能安全目标要求系统可以在发生潜在风险的时候，能够及时地对故障进行处理、功能降级（回退），尽快使系统进入安全状态，以免造成实际的危害。比如，自动驾驶系统在运行的过程中，如出现某个重要传感器故障，需要在驾驶员接管前，安全地控制车辆的速度、方向直至车辆停至相对安全的地带，这就需要整个系统具备一定的冗余设计。

对电源分配方案来说，则意味着可能需要至少两套相互独立的电源和供电回路，并且在其中一套电源发生故障时，能够快速地将故障电源隔离开并切换到备用电源和供电回路，以保证系统的正常供电不间断。另外，如果出现QM负载的短路情况，应保证相应的熔断丝在规定的时间内断开，以免影响到安全负载的供电电压。

3  电源分配设计方案

为满足上述安全要求，可提出两种可能的电源分配设计方案：①电子隔离开关;②全电子式电源分配方案。下面将详细介绍这两种设计方案，并分析各自的优缺点。

3.1  电子隔离开关方案（eSwitch）

首先，需要分析整车的电源情况。对于燃油车型，为整车低压用电器供电的电源为12V蓄电池和发电机。发电机的电能来自发动机的动力，二者通过纯机械结构连接;在发生碰撞时，发动机可能会熄火从而造成发电机无法输出电能给碰撞后需要供电的用电器;另外，发电机的动态输出能力有限，难以满足对于动态响应能力要求较高的用电器需求，如EPS功能。对于混合动力车或纯电动车型，电源则为12V蓄电池和DC/DC。48V/12V或HV/12V的DC/DC理论上也可以达到较高的ASIL等级，但也存在动态输出能力的限制;另外，由于电能来自48V电池或HV电池，在碰撞等情况下整车可能会切断高压电池的供电;最后，增加了DC/DC本身也会失效的环节。相对而言，12V蓄电池是更加稳定、可靠的电源。如果要达到更高功能安全等级，还可以使用12V锂电池替代传统的12V鉛酸蓄电池。锂电池可以更加精确地对蓄电池的电压、电流、温度等参数进行监测，这对于故障诊断和预测非常有利。综上，我们可将12V蓄电池视为主电源。

如前所述，系统对电源分配的安全要求是保证稳定的供电，在出现电源（发电机或DC/DC）故障或者QM负载短路的情况时，不能影响ASIL负载的供电。因此，需要对故障部件进行快速、有效地隔离。以纯燃油车为例，使用eSwitch的电源分配方案拓扑图如图3所示，其中S为eSwitch，其位于12V电源网络的主干上。

以ASIL C的EPS为例，各个部分的电源路径ASIL分解情况如图4所示。

对于高度自动驾驶（Highly automated driving，HAD）车辆，与驾驶安全有关的系统需要更高的功能安全等级，最高可至ASIL D等级。单个12V蓄电池如果发生单点失效情况，则不存在安全状态可供回退。另外，现有的12V蓄电池技术也难以满足ASIL D的要求。因此，高级别自动驾驶车辆一般需要两块相互独立的12V蓄电池为ASIL供电，互为备份。对于HAD车辆和更高的ASIL等级要求的情况，可使用2个相互独立的eSwitch，拓扑图如图5所示。

3.2  全电子式电源分配方案（ePDU）

E-Fuse与传统熔断丝相比，具有以下优点：①动作速度快，当发生短路或过载时，其保护时间可以达到微秒级，而传统熔断丝则需要几十毫秒甚至1s以上才能熔断，这一点对于满足ASIL系统的供电电压不受其他系统故障的干扰至关重要;②支持实时的电压、电流监测功能，能够根据监测状态判断故障类型，并针对用电器的类型制定相应的安全策略;③支持自动复位功能，当故障或短暂的扰动消除后，可以自行恢复导通状态，免更换。

ePDU方案的拓扑图如图6所示。需要指出的是，该方案可在不改变原来电源分配拓扑结构的基础上，将传统的熔断丝完全替换成E-fuse。

基于电子熔断丝可实时状态监测、主动关断和复位等特点，全电子式电源分配方案可依据负载ASIL等级的不同制定多种安全策略。例如，当QM负载发生短路或过载时，可以将其供电快速切断进行隔离，当故障消除后恢复其供电;当电源功率不足时，可以切断QM和低ASIL等级的负载，以优先保证高ASIL等级负载的供电，当电源正常时恢复供电。

由于不同的用电器具有不同的ASIL等级，需要对E-Fuse路径分配与负载相同的ASIL等级。为了平衡硬件资源、成本、开发难度等因素，可将不同ASIL等级的负载合并放入同一个电气盒中，那么该电气盒应符合负载的最高ASIL等级要求。对于最高为ASIL C级的ePDU方案，电源路径的ASIL分解示例如图7所示。

3.3  方案对比讨论

前文介绍了两种不同的电源分配方案，它们都可以实现对低压电网的状态监测、故障件隔离，并可以通过冗余设计实现最高ASIL D的电源分配功能。然而，两种方案在成本、安全策略、其他电气影响等方面又存在区别，下面将展开进行讨论。

1）成本。两种方案的原理都是基于MOSFET技术，包括分离式MOSFET或者集成式驱动芯片，而当前芯片的价格相对传统熔断丝器件要高很多。eSwitch仅在电源主回路上采用MOSFET技術，整车电源分配仍可以保留大量的传统器件，而ePDU则全部采用MOSFET技术替代传统器件，因此ePDU的成本比eSwtich更高。

2）安全策略。eSwitch方案由于只能控制电源主回路的通断，因此只能对故障负载所在的电源主回路进行隔离，不能对单个负载电源回路进行控制。ePDU理论上可以实现对所有不同ASIL等级的负载电源回路进行控制，因而具备更大的灵活性，可以针对不同ASIL等级的负载制定不同的安全策略，例如当供电不足时，可以主动将大功率的QM负载进行断电或限流。

3）电气影响。eSwitch对于传统电源分配方案来说是新增组件，且需要在物理上将QM负载和不同ASIL等级的负载分配到不同的电气盒中，因此对整车线束的影响较大。ePDU可以完全替代传统的电气盒，所有的ASIL等级负载的划分和相应安全策略都可以在ePDU内部通过软硬件来完成，因此对整车线束的影响较小。但是，在整车下电状态下，传统的熔断丝可以方便地提供蓄电池常电至控制器，由控制器决定是否休眠以节省电能;而基于MOSFET的电子熔断丝则在整车下电状态下需要断开，否则持续的静态电流消耗将可能引起低压蓄电池亏电，这就要求控制器做出相应改变来与之进行适应。

4  结论

本文通过分析功能安全对电源分配的要求，提出了eSwitch和ePDU两种电源分配的解决方案。这两种方案各有利弊，需要整车厂根据具体车型的需求进行综合评估来选择，也可以考虑将两种方案进行一定的融合，在满足功能安全要求的同时，达到成本、技术、复杂度等各方面的平衡。

参考文献：

[1] ADAC. Pannenstatistik 2020：Die Zuverlassigkeits-Hitliste. [OL]. 2021-04-04. https：//www.adac.de/rund-umsfahrzeug/unfall-schaden-panne/adac-pannenstatistik/.

[2] P. Kilian，Armin Kohler，Patrick Van Bergen.Principle Guidelines for Safe Power Supply Systems Development[J]. IEEE Access，2021（9）：107751-107766.

[3] ISO 26262-5Road Vehicles-Functional SafetyPart 5：Product Development at the Hardware Level[S]. 2018.

[4] 杨磊. 汽车整车线束系统可靠性分析[J]. 汽车工程师，2019（2）：43-46.

（编辑  杨  景）