摘要
在汽车行业中,安全应用的重要性在不断提升,例如受车辆自动化发展以及机械备用系统重要性降低的影响。为应对这些趋势,安全相关的电气和 / 或电子系统(E/E 系统)的电源输入必须由供电系统来保障,这使得功能安全需求日益提高。未来,符合 ISO 26262 标准将成为关注的重点。目前,符合 ISO 26262 标准可用于论证产品责任方面的最新技术水平,但未来它将成为车辆认证的强制性要求。其中,供电系统是关键环节,因为当前供电系统故障是导致车辆故障的主要原因,且这一趋势还在不断加剧。到目前为止,汽车行业尚未形成一套标准化方法,以确保供电系统的功能安全。为填补这一空白,本技术阐述围绕供电系统开发,对功能安全进行评估。因此,基于汽车行业和研究机构内部的讨论,本文提供了如何应用 ISO 26262 标准的指南。重点聚焦于概念阶段,即项目定义、危害分析与风险评估以及功能安全概念。功能安全概念基于结构化的层级分解,以便从项目层面系统地推导出安全需求,并将其细化至供电系统层面。除了安全供电和安全配电外,核心安全需求还包括确保安全相关组件与非安全相关组件之间不存在干扰。
一、引言
当前,汽车行业正受到电气化、自动驾驶(AD)以及高级驾驶辅助系统(ADAS)这些大趋势的推动。为顺应这些趋势,需要开发新的功能以及新的电气和 / 或电子系统(E/E 系统)。在汽车行业,ISO 26262 系列标准旨在确保安全相关 E/E 系统的功能安全。随着此类系统数量的增多和复杂度的提升,新的要求和新的失效模式不断涌现。因此,安全意识的增强以及安全供电领域的必要性变得至关重要。
这一情况直接影响着车辆的供电系统:如今的供电系统开发主要关注电压稳定性和负载平衡,而未来的工作还应涵盖系统在各种故障场景下的表现,以确保符合 ISO 26262 标准的要求。
(1)文章结构
本文首先介绍基本信息与目标,随后阐述供电系统中可能存在的故障及其影响。第二节详细阐述汽车行业的大趋势,以及这些趋势给供电系统开发带来的新的、更严格的要求。第三节结合技术建议、最新科技水平以及技术法规,探讨功能安全相关的法律现状,其中中国即将实施的法规将是重点关注内容。第四节作为文章的主体部分,提供了如何开发符合 ISO 26262 标准的供电系统的指南,介绍了将车辆层面的要求系统地分解到供电系统层面的方法,此外,还探讨了通过铅酸电池、线束和熔断式熔断器等实现这些要求的技术方案。
(2)目标
目前,汽车行业尚未有确保供电系统功能安全的标准化方法。为填补这一空白,本技术探讨围绕供电系统开发,对功能安全进行评估。文中阐述了当前及未来法律环境下的功能安全,并基于汽车行业和研究机构的讨论,提供了应用 ISO 26262 标准的指南。重点在于对 ISO 26262 标准实际应用的解读和建议,主要内容包括安全需求的汽车安全完整性等级(ASIL)分配与分解、失效率的预算与推导,以及防止不同组件之间产生干扰。
(3)供电系统故障
近期的车辆故障统计数据能够体现电气故障的重要性。图 1 显示了电气故障在整体车辆故障中产生的重大影响。在该图表中,电气故障包括电池、交流发电机、起动机、照明设备和线路等方面的故障。电气故障不仅是导致车辆故障的主要原因,而且在过去十年中,其占比还上升了约 12 个百分点。所有这些电气故障都可能对安全相关的 E/E 系统造成干扰,并有可能引发安全关键的行驶状况。
图1:ADAC(Allgemeiner Deutscher Automobil Club e.V.)的车辆故障统计数据显示,电气故障是主要原因,占总数的52.4%。ADAC是欧洲最大的汽车协会,代表和促进汽车和赛车运动的利益
由于目前最先进的安全相关负载(例如电动助力转向系统(EPS))自身仅能在一定程度上应对不当的电源输入,因此需要采取额外的安全措施来控制和 / 或预防电气故障。此类安全措施既可以集中实施在供电系统中,为多个安全相关负载提供保护,也可以分散实施在每个安全相关负载内部。
图2:电源系统架构示意图,包括最常见的失效模式
图 2 展示了供电系统的架构示意图,其中包含一个 48V 供电系统支路,该支路由发电机、48V 基础负载以及 48V/12V 直流 - 直流(DC/DC)转换器组成。12V 供电系统支路则由多个 12V 负载(包括非安全相关负载,如座椅加热和发动机冷却风扇,以及安全相关负载,如照明、制动和转向系统)和带有电子电池传感器(EBS)的电池构成。此外,图中还标注了供电系统中可能存在的故障。
将这些故障划分为以下类别,有助于实现系统化、一致性且全面的开发:
1. 供电故障;
2. 配电故障;
3. 其他电气组件故障。
所有这些故障都需要通过功能安全来解决,因此将在第四节中进一步详细说明。根据 ISO 26262 标准,故障可分为随机性故障和系统性故障。对于系统性故障,其原因可追溯到开发阶段,这可能会迫使原始设备制造商(OEM)召回受影响的车辆。
2018 年,博世公司观察到,全球范围内有超过 900 万辆汽车因供电系统故障(如电池、电气负载或配电故障)而被召回,这一观察结果基于已公布的召回信息,例如文献中所提及的案例。为避免人员伤亡、降低召回成本并防止声誉受损,应通过遵循 ISO 26262 标准的合理开发流程来排查这些故障。
供电系统故障是导致车辆故障的主要原因,必须采取安全措施以避免违反安全目标。
二、大趋势——对供电系统的影响
本章将评估以下三方面因素对供电系统设计的影响:
1. 电气化(第二节1部分);
2. 自动驾驶(AD)与高级驾驶辅助系统(ADAS)(第二节2 部分);
3. 车辆重量增加(第二节 3部分)。
(1)电气化
在国家法规和消费者需求的双重驱动下,原始设备制造商(OEM)越来越多地研发、生产和销售电动汽车(EV),以替代内燃机(ICE)汽车。这一趋势主要是为了减少二氧化碳(CO₂)排放,例如遵循《巴黎气候协定》的要求。
图3:2019年和2030年全球汽车销售的燃料技术细分突显了电动汽车市场份额的不断增长
图 3 展示了不同燃料技术的预期市场份额,其中重点体现了电动汽车市场份额的增长情况。这一趋势可能会给供电系统带来多方面的变化,例如:
1. 引入新的组件,如电子制动助力器和电子驻车制动器,不过这些组件也可能应用于内燃机汽车;
2. 由于采用高动态直流 - 直流(DC/DC)转换器替代交流发电机,并且移除了与内燃机相关的负载,用于电池功能诊断的激励电流需求减少;
3. 由于不再需要通过启动发动机来间接测试电池性能(只要电池能够启动发动机,就表明其具备一定的性能),导致无法对电池性能进行隐性测试;
4. 高压电池重量较大,导致车辆重量增加,这一点在第二节 C 部分也会提及。
(2)自动驾驶与高级驾驶辅助系统
高级驾驶辅助系统(ADAS)被视为自动驾驶(AD)的前期阶段,在这一阶段,驾驶员仍需负责监控 ADAS 功能,以防止其出现故障时引发事故。图 4 展示了全球 ADAS 开发的市场趋势。2015 年至 2019 年,全球 ADAS 市场规模翻了一番,达到 156.3 亿美元。到 2023 年,市场规模将在 2019 年的基础上再次翻倍,达到 319.5 亿美元。
图4:2015年至2023年全球ADAS市场规模,描述了ADAS功能强劲增长的市场规模
在 SAE J 3016 标准中,根据 ADAS 或 AD 的能力定义了六个等级,每个等级都对应着车辆行为的特定标准。其中,0 级表示无驾驶自动化功能,5 级则代表完全驾驶自动化。
随着自动化等级的提高,驾驶员在车辆操控方面的责任逐渐减轻。在 0 级到 2 级阶段,驾驶员需对车辆的行驶行为全权负责。从 3 级开始,在功能激活期间,系统将承担相应的责任。由于此时驾驶员无法随时接管车辆,因此需要在电子层面设置冗余备份,以确保车辆能够执行最小风险运行。
如果自动驾驶通过线控(X-by-wire)系统实现,那么供电系统还需考虑额外的法律要求,例如在发生电气故障时,需具备足够的能量储备以确保车辆能够完成规定的紧急制动操作。线控系统也可能应用于手动驾驶场景。
(3)车辆重量
图 5 展示了 2007 年至 2019 年德国新注册车辆平均整备质量的增长情况。这一趋势主要由运动型多用途汽车(SUV)和纯电动汽车(BEV)推动。车辆重量的增加可能会对危害分析与风险评估(HARA)的结果产生影响。
图5:德国新注册车辆的平均整备质量可能会影响危险的风险评估,从而提高ASIL评级
对于重量更大的车辆,当转向助力突然失效时,由于转向齿条所需的转向力增大,驾驶员对车辆的操控难度会增加。此外,车辆重量越大,发生事故时的冲击力也越大,可能导致事故严重程度等级升高。操控性下降和严重程度升高这两个因素,都会使得在危害分析与风险评估(HARA)中汽车安全完整性等级(ASIL)的评级提高。因此,为防止和 / 或缓解诸如转向助力突然失效等故障,供电系统所需满足的安全需求也会相应提高。第四节将对此进行更详细的说明。
根据当前的市场预测,未来供电系统的安全需求预计还会进一步提高。
三、法律现状
供电系统开发中对功能安全的考量需求,是由相关法规和标准推动的。图 6 总结了影响未来供电系统开发流程的各类因素,需要区分常规供电系统设计流程、技术建议(第三节1部分)、最新科技水平(第三节2部分)以及技术法规(第三节 3 部分)。
图6:针对下一代电源系统设计过程的需求概述:影响电源系统开发过程的贡献者
(1)标准 —— 技术建议
ISO 26262 标准是 IEC 61508 标准的改编版本,旨在 “满足道路车辆中电气和 / 或电子(E/E)系统的行业特定需求”。该标准由国际标准化组织(ISO)的一个技术委员会制定。总体而言,是否符合 ISO 26262 标准的要求是自愿性的,并非车辆认证的强制性要求。
然而,强烈建议采用该标准。在产品责任案件中,证明符合最新技术水平是免除损害赔偿责任和个人责任的最低要求。以 ISO 标准为代表的技术建议被视为最新技术水平的体现。这些标准基于特定时期的知识制定,且不会持续更新。
(2)最新科技水平
除技术建议外,每个原始设备制造商(OEM)和供应商都有责任关注最新科技水平,以便在产品责任案件中进行辩护。企业可以通过参与专家委员会、参加行业会议等方式,及时了解最新科技动态,掌握最新科技水平。
德国汽车工业协会(VDA)是由德国多家原始设备制造商(OEM)和供应商组成的技术协会,该协会致力于捕捉最新科技水平,并将其转化为工业应用的最佳实践。例如,VDA 450 工作组目前正在制定自动驾驶场景下供电系统的最低要求和可能的拓扑结构实施方案。供电系统设计要求根据 ISO 26262 标准推导得出。VDA 计划在 2021 年底发布一份白皮书,该白皮书届时将成为供电系统开发领域的最新技术水平标准。
为在产品责任诉讼中进行有效辩护,强烈建议同时符合技术建议和最新科技水平的要求。
(3)法规 —— 技术规章
除了技术建议和有关最新科技水平的文献外,还存在相关的法律要求。这些法律要求以技术规章的形式确定,是车辆认证的强制性要求,具有法律约束力。
在欧洲,联合国欧洲经济委员会(UNECE 或 ECE)负责制定此类规章。该委员会的目标是促进欧洲范围内的经济合作与一体化,并统一各成员国的技术规章。与供电系统相关的要求可从以下 ECE 规章中推导得出:
1. 《关于就制动系统批准车辆的统一规定》——ECE R 13 H;
2. 《关于就转向装置批准车辆的统一规定》——ECE R 79;
3. 《关于就正面碰撞中乘员保护批准车辆的统一规定》——ECE R 94。
这些规章直接或间接地对供电系统开发提出了多项要求。例如,根据 ECE R 94 规章,“每一排座位至少应有一个车门 [...] 能够打开”。也就是说,即使在碰撞后的场景下,供电系统也需确保为每一排座位的至少一个车门电子控制单元(ECU)供电。
此外,欧洲经济委员会(ECE)于 2020 年 6 月宣布将针对 3 级自动驾驶车辆的自动车道保持系统(ALKS)制定一项规章。该规章(ECE R 157)明确规定,“制造商应在设计和开发过程中对自动化系统的功能安全和运行安全进行保障”。所形成的文件应能证明该系统 “不会对驾驶员、乘客及其他道路使用者构成不合理的安全风险”。
在中国,技术建议和规章被纳入国家标准(简称 “国标”):
1. GB/T 34590《道路车辆 功能安全》是 ISO 26262 标准在中国的对应版本。
2. GB 17675《汽车转向系统 基本要求》是 ECE R 79 规章在中国的对应标准,且为车辆认证的强制性要求。
2021 年初,对 1999 年版的 GB 17675 标准进行了修订并发布了新版本(GB 17675-2021)。该新版本自 2022 年初起适用于新的车型认证。修订后的版本引用了 GB/T 34590 标准,这使得功能安全成为车辆认证的必要条件。因此,转向电子控制系统(包括其供电系统)的开发和评估必须符合功能安全标准,才能在中国获得车辆认证。
自 2022 年起,在中国进行转向电子控制系统(包括其供电系统)的车型认证时,符合 GB/T 34590 标准(即 ISO 26262 标准)将成为强制性要求。
四、依据ISO 26262开发安全供电系统——概念阶段
ISO 26262 标准的目的是提供指导,以防范因技术复杂度提升、软件和机电一体化应用增加而产生的系统性故障和随机性硬件故障所带来的风险。该标准分为 12 个部分,每个部分要么聚焦于安全相关 E/E 系统安全生命周期中的不同阶段和 / 或活动,要么提供实用的应用指南和说明。
本文提出了一种依据 ISO 26262 标准系统开发安全供电系统的方法,重点关注第 3 部分:概念阶段,并明确了以下几方面的要求:
1.项目定义(第四节1 部分);
2.危害分析与风险评估(第四节2部分);
3.功能安全概念(第四节3部分)。
此外,本文还详细阐述了供电系统组件在功能安全背景下的相关问题(第四节4部分)。
(1)项目定义
ISO 26262 开发流程的第一步是项目定义。其目标是 “对项目、项目的功能、项目与驾驶员、环境及车辆层面其他项目的依赖关系和交互作用进行定义和描述”。这对于后续所有阶段都至关重要:必须确保待开发项目的定义清晰明确,避免产生任何误解,定义内容应包括:
1. 法律要求、国家及国际标准;
2. 功能行为和运行模式;
3. 边界、接口和功能依赖关系;
4. 环境条件;
5. 已知的失效模式和危害。
项目本身被定义为 “应用 ISO 26262 标准的系统或系统组合,用于在车辆层面实现某项功能或功能的一部分”。这一步骤通常由原始设备制造商(OEM)负责,因为只有 OEM 能够全面了解整个车辆及其边界条件。建议让所有相关利益相关者参与进来,例如产品管理部门、销售部门、潜在供应商或认证机构,以便尽可能精确地定义功能和边界条件。
原始设备制造商(OEM)在进行项目定义时,需综合考虑功能、接口、环境条件、法律要求和危害等因素。
例如,“转向功能” 这一车辆功能(即 “车辆的一种行为,[...] 可被客户观察到”),可通过 “转向” 这一项目来实现。该项目可分配给电动助力转向系统(EPS)和供电系统,如图 7 所示。只要每个系统 “至少包含一个传感器、一个控制器和一个执行器,且它们之间相互关联 [...] 相关的传感器或执行器既可以包含在系统内部,也可以位于系统外部”,这样的定义就是有效的。在这种情况下,根据 ISO 26262-10:2018 标准第 9 章的规定,供电系统可作为 “上下文外安全元素”(SEooC)进行开发,即作为一种独立于特定车辆背景的平台解决方案。然而,当将作为上下文外安全元素(SEooC)的供电系统集成到特定车辆的项目中时,需要验证在定制化的上下文外安全元素(SEooC)开发过程中所做的所有假设是否成立。此外,也可将供电系统本身定义为一个项目。在这种情况下,需根据 ISO 26262-3:2018 标准第 6.4.2.6 章的要求,在供电系统层面开展危害分析与风险评估(HARA),并考虑其对多个系统的影响,这可能会导致更高的汽车安全完整性等级(ASIL)评级。
图7:项目和系统定义
在下文内容中,我们选择第一种方案,即把供电系统视为 “转向” 项目下的一个系统进行举例说明。
(2)危害分析与风险评估
在项目定义充分完成后,需识别并分类 “由项目故障行为引发的危害事件”。这一步通常通过情景分析来完成。之后,对危害事件进行分类,并推导相应的汽车安全完整性等级(ASIL)评级。此外,还需制定用于预防和 / 或缓解危害事件的所有安全目标。
为系统地识别所有潜在的危害事件,采用引导词分析(Guideword Analysis)和行驶情景目录(Driving Situation Catalogues)可能会有所帮助。其中,危险与可操作性分析(HAZOP)就是一种引导词分析方法,它有助于识别危害事件。在文献中,HAZOP被定义为 “一种探索性分析方法,将适用的引导词应用于项目的各项功能可识别和评估项目的故障行为”]。
通过使用这些引导词,能够以更具结构性和系统性的方式识别危害事件。此外,行驶情景目录通过涵盖(但不限于)以下各类影响因素的不同组合,系统地捕捉各种行驶情景:
1. 位置:如高速公路、城市道路等;
2. 道路条件:如铺装路面、沥青路面等;
3. 交通情景 / 运行:如超车、停车、转弯等;
4. 车辆状态:如滑行、加速等;
5. 不同的车辆速度。
例如,德国汽车工业协会(VDA)在 2015 年发布了一份此类情景目录。该目录中的每个情景都有对应的暴露度评级。此外,SAE J 2980 标准也包含了多种潜在的车辆运行情景。根据 ISO 26262 标准,除了基于特定情景的暴露度(E)评级外,还需对危害事件的可控性(C)和严重程度(S)进行分类。
危害分析与风险评估(HARA)借助引导词分析和行驶情景目录,系统地推导危害事件。
表 1 详细说明了对暴露度(E)、可控性(C)和严重程度(S)的评估方法 [3]。该标准明确指出,评估时不仅要考虑驾驶员这一潜在风险承受者,还应涵盖骑行者、行人或其他车辆的乘员。此外,若在暴露度、可控性或严重程度的分类上存在歧义,应采用保守分类原则,即 “当存在合理疑问时,应选择更高的 S 级、E 级或 C 级”]。关于危害分类的更多具体示例,可参考 ISO 26262 标准第 3 部分的附录 B。汽车安全完整性等级(ASIL)评级需根据暴露度、可控性和严重程度来推导得出。
表 1:暴露度、可控性和严重程度的评估
表2:ASIL等级的确定
表2展示了汽车安全完整性等级(ASIL)评级的确定方法:
1. 质量管理(QM):质量管理流程被认为足以管理已识别的风险。这并不意味着已识别的风险与安全无关,而是无需遵循 ISO 26262 标准的要求。
2. 汽车安全完整性等级(ASIL):ASIL A 级被视为最低安全完整性等级,而 ASIL D 级则代表最高安全完整性等级。
危害分析与风险评估(HARA)的最后一步是确定安全目标及其对应的汽车安全完整性等级(ASIL)评级。一般而言,“对于在危害分析与风险评估中评估出具有汽车安全完整性等级(ASIL)的每个危害事件,都应确定一个安全目标”。安全目标也被称为顶层安全需求。此外,可将相似的安全目标进行合并,在这种情况下,合并后的安全目标应采用其中最高的汽车安全完整性等级(ASIL)评级。通常,在推导安全目标时,会将危害与 “预防” 或 “缓解” 等引导词相结合。
表 3 以 “转向助力突然失效” 这一危害为例,展示了评估过程以及相应安全目标 “防止转向助力突然失效” 的推导过程。故障容忍时间间隔(FTTI)被定义为 “从项目发生故障到可能发生危害事件的最小时间间隔”,并且是 “安全目标的一个相关属性”,因此在项目层面进行定义。它是根据危害分析与风险评估(HARA)中特定的危害事件推导得出的。在本例中,我们假设转向助力失效 100 毫秒就可能引发危害事件,即故障容忍时间间隔(FTTI)设定为 100 毫秒。
表3. “转向助力突然失效” 危害的示例评估
由于转向功能失效会直接导致行驶过程中的危险情景,因此需为 “转向” 项目规定安全相关可用性(SaRA)要求。针对这一安全目标,可定义以下两种安全状态:
1. 转向助力需确保驾驶员能够执行最小风险操作,直至车辆根据原始设备制造商(OEM)特定的警示和降级策略停稳。
2. 提前向驾驶员警示转向功能即将失效,并在合理的时间范围内缓慢停用转向系统。
第二种安全状态定义可能与其他安全目标存在冲突。例如,根据文献中的车辆危害 3,转向助力失效后,需避免出现 ASIL A 级的转向沉重情况。
安全相关可用性(SaRA)要求规定功能需具备与其安全目标或要求对应的汽车安全完整性等级(ASIL)评级所要求的可用性。若存在不同汽车安全完整性等级(ASIL)评级的安全相关可用性(SaRA)要求,则可能需要采取多项安全措施。这些安全措施包括:
1. 故障预防;
2. 故障容忍;
3. 故障预测与故障检测。
故障预防应被视为实现质量和功能安全的坚实基础,也是最基本的要求。通过遵循规范化的开发流程(如依据 ISO 26262 标准),或仅使用达到特定质量等级的组件,至少能在一定程度上实现故障预防。在供电系统开发领域,目前市场上主要有两种确保制动和转向系统安全供电的策略:
1. 故障容忍策略:重点在于通过冗余供电支路提供额外的备用电源,例如采用冗余直流 - 直流(DC/DC)转换器来实现。若通过可分离的供电支路实现故障容忍,则需要配备触发分离的检测机制。
2. 故障预测与故障检测策略:重点在于先进的诊断技术以及基于电子熔断器实现的快速、精细化开关控制。
通过降低车辆最高速度(即 “跛行回家模式”)等方式缓解故障影响,并不被视为一种独立的策略。相反,故障影响缓解可纳入以故障容忍或故障预测与故障检测为核心的安全概念中,以降低存在一个或多个故障时特定危害的风险,从而确保车辆能够进行应急运行。
预计在未来几年,为 “防止转向助力突然失效” 而达到 ASIL C 级评级的电动助力转向系统(EPS)数量将持续增加。原因包括车辆重量不断增加(见第二节 C 部分),以及驾驶员缺乏应对转向沉重情况的经验 —— 这使得机械备用情景下可接受的转向力下限降低。
“转向” 项目将安全相关可用性要求分配给电动助力转向系统(EPS)和供电系统。
(3)功能安全概念
为预防和 / 或缓解前文推导得出的危害事件(即满足安全目标),功能安全概念制定了安全措施并明确了功能安全需求。其中,功能安全概念的目标包括:
1. “规定项目的正常功能行为或降级功能行为”;
2. “规定在符合安全目标的前提下,对相关故障进行适当且及时的检测和控制的约束条件”。
最后一步是将功能安全需求分配到系统架构设计中。在开发初期,这一过程可借助初步的架构假设来完成。
通常,安全目标的细化采用层级化的方式进行。图8 以 “防止转向助力突然失效” 这一安全目标(ASIL C 级评级)为例,展示了这种层级化分解过程。
图8:安全目标“防止转向辅助突然失效”的分层需求推导示例
在所示案例中,尤其在安全相关可用性(SaRA)需求的驱动下,需明确规定以下内容:
1. 预防危害事件所需的功能;
2. 失效响应(应急运行);
3. 安全状态。
安全状态,即 “项目在发生失效时,不存在不合理风险的运行模式”(在项目层面定义),在系统层面被示例性地分解到电动助力转向系统(EPS)和供电系统中:
1. 安全需求 1(SR1):电动助力转向系统(EPS)本身需保持可用。只有当不可用持续时间低于故障容忍时间间隔(FTTI)(100 毫秒),或其功能丧失提前发出警示时,才允许出现不可用情况。
2. 安全需求 2(SR2):电动助力转向系统(EPS)的输入电压低于 8 伏的持续时间不得超过 100 毫秒 —— 前提条件是,只要电动助力转向系统(EPS)的电压≥8 伏,就能为最小风险操作提供充分支持。此外,需避免转向系统出现硬件(HW)复位(例如,电压 <6 伏且持续时间> 100 微秒),因为电动助力转向系统(EPS)在硬件复位后重新启动和恢复助力所需的时间远超过故障容忍时间间隔(FTTI)。
通过实施分散式措施(例如,将逻辑供电与负载供电分离,并为逻辑供电配置分散式储能元件),可提高单个组件抵御硬件复位(符合安全需求 2(SR2))的稳健性。然而,由于该措施需应用于多个安全相关负载,且无法解决安全需求 1(SR1)的问题,因此强烈建议在基础设施层面采取全面的供电系统措施,同时应对安全需求 1(SR1)和安全需求 2(SR2)。关于硬件复位阈值,故障处理时间间隔最大值(FHTI_max)设定为 100 微秒。此外,还需考虑软件(SW)关闭阈值。图 8 中仅显示了最短的故障处理时间间隔最大值(FHTI_max)。但由于电压 - 时间限制与所采用的组件及规定的最小风险操作密切相关,因此无法给出通用的电压 - 时间限制标准。
在供电系统层面(子系统层面),需重点解决以下三个核心问题:
1. 安全需求 2.1(SR2.1)—— 供电:能源源和 / 或储能装置必须为电气负载提供电力。
2. 安全需求 2.2(SR2.2)—— 配电:供电系统的线路、熔断装置和开关必须将电力从能源源 / 储能装置输送到电气负载。
3. 安全需求 2.3(SR2.3)—— 无干扰:电气负载、供电系统物理组件以及供电管理系统不得因违反安全需求 2(SR2)而对供电产生干扰。ISO 26262 标准的一项基本原则是,执行不同汽车安全完整性等级(ASIL)评级功能的子元素之间必须保持无干扰。
安全供电系统开发的高层级安全需求包括:
1. 供电;
2. 配电;
3. 无干扰。
下文重点强调了依据 ISO 26262 标准进行供电系统开发的若干建议和提示。
①. 汽车安全完整性等级(ASIL)分配与分解
总体而言,细化过程主要分为两类:汽车安全完整性等级(ASIL)分配和汽车安全完整性等级(ASIL)分解。在汽车安全完整性等级(ASIL)分配过程中(图 8 中以黑色箭头标注),高层级要求(如安全目标)被细化为多个低层级要求(如安全需求 1(SR1)和安全需求 2(SR2)),这些低层级要求继承了初始的汽车安全完整性等级(ASIL)评级。基本原则是:在非冗余系统中进行分配时,需满足所有低层级要求,才能实现高层级安全需求 [37]。相反,在存在冗余的情况下,可通过汽车安全完整性等级(ASIL)分解降低 ASIL 评级。在我们的层级化要求推导过程中,供电要求被分解(图 8 中以浅绿色箭头标注)为电池供电(安全需求 2.1.1(SR2.1.1))和直流 - 直流(DC/DC)转换器供电(安全需求 2.1.2(SR2.1.2))。根据 ISO 26262 标准,汽车安全完整性等级(ASIL)分解被定义为 “将冗余安全需求分配给具有足够独立性的元素,以实现同一安全目标”。因此,需考虑多项要求,例如:
1. “依据允许的汽车安全完整性等级(ASIL)分解方案进行分解”;
2. “每个分解后的安全需求自身都应满足初始安全需求”;
3. “需提供证据,证明分解后各元素具备足够的独立性”。
关于分解方案,ISO 26262 标准允许将 ASIL C 级要求分解为 QM(C)级和 ASIL C(C)级,或 ASIL A(C)级和 ASIL B(C)级。我们选择第一种方案,将 ASIL C(C)级分配给电池,以避免对电源提出更严格的安全需求。通过这种分解,必须依据 ASIL C 级标准对电池监控进行系统性开发,以确保电池能够安全供电。
只有当每个分解后的要求都能独立实现高层级要求的功能时,分解后的安全需求才算满足初始要求。除故障处理时间间隔最大值(FHTI_max)外,还可定义多点故障检测时间间隔(MPFDTI)—— 其时间跨度通常比故障处理时间间隔最大值(FHTI_max)更长 —— 用于 “在多点故障发展为多点失效前对其进行检测”。在本例中,只要能满足安全需求 2.1.1(SR2.1.1)(电池供电)或安全需求 2.1.2(SR2.1.2)(直流 - 直流(DC/DC)转换器供电)中的任意一项,就能确保为电动助力转向系统(EPS)供电。
若将汽车安全完整性等级(ASIL)分解为两个冗余功能,则每个单一功能都应能独立实现初始功能,且在与冗余功能组合时也能实现初始功能 —— 同时需考虑初始的故障容忍时间间隔(FTTI)。
必须确保电池和直流 - 直流(DC/DC)转换器之间具备足够的独立性,例如可通过相关性失效分析(DFA)来验证。若发现相关性失效(例如,直流 - 直流(DC/DC)转换器故障导致电池放电),则需采用符合初始 ASIL C 级要求的安全机制来应对这种相关性,并考虑第四节3部分第 3 点中更严格的要求。为避免这些额外要求,一种优选措施是在电子配电器中额外检测电池持续放电情况,将其作为另一项 ASIL 分解内容。
②. 包含预算的硬件指标
除确保系统性开发外,ISO 26262 标准还要求通过所谓的硬件指标对随机性硬件故障进行定量安全评估。表 4 总结了不同汽车安全完整性等级(ASIL)评级对应的硬件指标目标:
表 4:取决于汽车安全完整性等级(ASIL)评级的硬件指标目标
(1)随机性硬件失效概率指标(PMHF):“是一种定量分析方法,用于评估硬件元素的随机失效对所考虑安全目标的违背情况”。
(2)单点故障指标(SPFM):“用于衡量安全机制对硬件架构中单点故障或残余故障的风险防范覆盖是否充分”。
(3)潜伏故障指标(LFM):与单点故障指标(SPFM)类似,但重点关注 “安全机制对硬件架构中潜伏故障的风险防范覆盖是否充分”。
随机性硬件失效概率指标(PMHF)的计算结果被视为 “项目整个运行生命周期内每小时的平均概率”,其单位为失效次数 / 10⁹小时(FIT)。1 FIT 定义为每 10⁹运行小时发生 1 次失效。随机性硬件失效概率指标(PMHF)的目标值以及硬件架构指标(即单点故障指标(SPFM)和潜伏故障指标(LFM))的目标值均需在项目层面达成。
ISO 26262 标准未对分配和分解后的安全需求规定明确的目标值。但原始设备制造商(OEM)可将特定的随机性硬件故障概率指标(PMHF)预算分配给技术组件的特定失效模式。预算分配必须确保项目层面的随机性硬件故障概率指标(PMHF)不会升高。关于硬件架构指标,可初步采用以下建议:
1. ASIL 分配:直接沿用高层级需求的单点故障指标(SPFM)和潜伏故障指标(LFM)目标值即可。
2. ASIL 分解:单点故障指标(SPFM)沿用高层级要求的潜伏故障指标(LFM)目标值,对低层级不直接规定潜伏故障指标(LFM)要求。或者,可在分解后的要求之间进行单点故障指标(SPFM)预算分配,只要能满足初始的潜伏故障指标(LFM)目标即可。
图 8 展示了一个预算分配示例。解释如下:在存在冗余且无相关性的情况下,低层级要求的单点故障(SPF)不会直接违背高层级安全需求;相反,低层级的单点故障可被视为高层级需求的潜伏故障。
根据表 4,对于 ASIL C 级安全目标,在项目层面推导得出的随机性硬件故障概率指标(PMHF)目标值为 100 FIT。在进行随机性硬件失效概率指标(PMHF)预算分配时,该项目层面的目标值 “可直接分配给构成项目的各个系统”。因此,电动助力转向系统(EPS)本身(安全需求 1(SR1))和电动助力转向系统(EPS)的供电系统(安全需求 2(SR2))需在系统层面分别独立达到 100 FIT 的随机性硬件失效概率指标(PMHF)目标值。目前,对于 ISO 26262-5:2018 标准第 9.4.2.3 章的适用性,行业尚未形成统一共识。根据该条款,需满足以下条件:
1. “这些系统中的每一个都有可能违背同一安全目标;
2. “相应项目目标值的升高幅度不超过一个数量级”。
注:只有当要求推导至系统层面(如第四节1部分和图 8 所述),即考虑 ISO 26262 标准中的系统定义时,此流程才有效。然而,若将供电系统视为一个独立项目(即采用第四节1部分中的备选方案),则随机性硬件故障概率指标(PMHF)目标值会更明确,但必须仔细分析其与其他项目的依赖关系。
目前,行业对 ISO 26262-5:2018 标准第 9.4.2.3 章的适用性尚未形成统一共识,期待在 ISO 26262 标准的第三版中能对此进一步明确。
③. 聚焦单点故障和残余故障的失效率推导
若安全目标为 ASIL C 级或 ASIL D 级,则需额外考虑 ISO 26262 标准中关于单点故障(SPF)和残余故障(RF)的要求。需采取定量或定性措施,证明单点故障(SPF)和残余故障(RF)的 “发生概率足够低”,具体要求如表 5 所示:
表5:单点故障(SPF)和残余故障(RF)的 FIT 率目标
在图 8 所示的示例中,硬件部件的单点故障(SPF)违背安全目标的概率(例如,电动助力转向系统(EPS)线路开路)应<0.1 FIT。为进行定量分析,可采用失效模式、影响及诊断分析(FMEDA)作为归纳分析方法,替代或补充演绎分析方法故障树分析(FTA)。如需对供电系统进行详细分析,可考虑不同的时间基准(例如诊断相关时间基准)。
失效模式、影响及诊断分析(FMEDA)或故障树分析(FTA)中基本事件的失效率通常结合失效率手册和故障分布来推导。在汽车行业,SN 29500是常用的失效率手册,通常与 Birolini 提出的故障分布结合使用。此外,还有其他多种失效率手册,例如:
1. IEC 62380;
2. MIL HDBK 217 F;
3. IEC 61709;
4. FIDES 2009 EdA;
5. GJB/Z 299C。
若要在特定应用场景(如特定温度曲线或电压范围)中使用这些手册中的失效率数据,可能需要根据特定任务剖面(例如依据 IEC 62389 标准或内部研究结果)对其进行修正。除使用 ISO 26262 标准中所述的 “公认行业来源”(即失效率手册)外,也可基于现场返回数据统计或专家判断来估算失效率。需提供充分证据,证明所采用的失效率推导方法的合理性。
④. 无干扰
“无干扰用于证明具有不同指定汽车安全完整性等级(ASIL)或无指定 ASIL 的元素可共存”。供电系统中既包含具有特定 ASIL 评级的安全相关负载,也包含无任何 ASIL 评级的质量管理(QM)组件。一种潜在故障情况是:质量管理(QM)组件(如发动机冷却风扇或座椅加热器)发生短路,导致供电系统出现电压下降,进而引发欠压场景,影响安全相关负载的功能。这种质量管理(QM)组件对安全相关功能的干扰应予以避免。为此,可采取以下潜在措施:
1. 证明即使在最坏情况下,质量管理(QM)组件的故障也不会影响安全相关功能,同时需考虑相关性故障。
2. 按照最高 ASIL 评级对质量管理(QM)组件进行认证,以避免其对安全相关功能产生干扰。但该方法存在诸多弊端,例如:
a. 大量组件的认证会导致成本过高;
b. 不同车辆细分市场对供电系统要求不同,采用该方法会降低系统的可扩展性;
c. 需在整个车辆及供应链范围内推行符合 ISO 26262 标准的开发流程,导致开发复杂度大幅增加。
3. 制定专门的安全机制,在规定的故障处理时间间隔(FHTI)内处理质量管理(QM)组件的故障。为此,需在安全相关供电系统中安装额外组件,如电子开关、配电器和 / 或备用储能装置。
若使用备用储能装置,则必须配备在欠压和过压场景下将备用电源与主电源分离的机制。备用储能装置既可为单个组件供电,也可为一组组件供电。另一种解决方案是采用完全冗余的供电系统或冗余功能系统。
为避免采用类似航空电子设备中使用的完全冗余独立供电系统,需安装额外组件(如电子开关装置或备用储能装置),以确保安全相关供电系统的无干扰性。
(4)关键问题:功能安全需求向技术方案的分配
下文将针对安全需求 2.1(SR2.1)、安全需求 2.2(SR2.2)和安全需求 2.3(SR2.3),结合不同技术方案进行详细探讨,并评估这些技术方案在安全相关应用中的适用性。
①. 安全需求 2.1(SR2.1)—— 供电
如第四节 C 部分所述,我们将供电分解为 “储能装置供电”(如铅酸电池或锂离子电池)和 “电源供电”。
a:采用铅酸电池实现安全供电
本章聚焦于 12V 铅酸电池供电。若在安全概念中将供电视为安全相关功能,则由于电池存在电气接口,其供电功能的开发过程需依据文献的要求进行 —— 尽管电池本身属于电化学元件。
根据 ISO 26262 标准,需区分系统性故障和随机性硬件故障。通常,系统性故障(即根源可解释的故障)不纳入定量分析,因为开发流程中已制定安全措施以避免产生严重故障影响。然而,若系统性根源(如安全措施不足或生产过程中控制功能存在系统性测量偏差)导致随机性硬件故障,则需依据 ISO 26262 标准将这些根源纳入定量评估。因此,博世公司在定量分析中会考虑电池的主要系统性问题(如腐蚀或硫化)。
从诊断角度,可将电池故障分为以下两类:
1. 渐进性故障:可提前检测,即在安全需求 2.1.1(SR2.1.1)被违背前检测到;
2. 突发性故障:仅能事后检测,即在安全需求 2.1.1(SR2.1.1)被违背后检测到 —— 仅在冗余供电系统中,事后检测机制才可用于提升 ISO 26262 指标。
电池的渐进性故障由老化、低充电状态(SoC)或低温等系统性因素引发,这些因素无法通过设计完全避免。因此,需采取措施提前检测性能衰退的电池,即在渐进性故障导致安全需求 2.1.1(SR2.1.1)被违背前完成检测。为确保电池供电符合 ISO 26262 标准,需为电池的每种失效模式配备专门的安全机制。此外,若缺乏专门的安全机制,由于电池故障在供电系统故障中占主导地位,通常难以达到 ISO 26262 标准的目标指标。由于电池寿命很大程度上取决于使用情况,单纯的定期更换电池或先进的负载管理等措施无法充分应对渐进性故障。根据电池在使用寿命内所承受的应力不同,定期更换电池可能过早(导致终端用户不必要的维护成本),也可能过晚(可能引发危险)。由于电池的日历寿命与其健康状态关联性较弱,定期更换电池的方法本质上精度较低。
为确保电池能够安全供电,需通过增强型电池监控设置专门的安全机制。这种监控应能在电池故障导致供电系统出现安全关键状况前检测到故障,包括那些导致电池功率和 / 或能量能力下降的故障(如腐蚀、硫化、活性物质损失、电池短路和失水)。此外,需通过设计避免电池出现低充电状态(SoC)和低温等情况(如采用智能能量管理)。尽管如此,电池监控仍需检测这些故障,并将其传递给高层级电子控制单元(ECU)。由于正常使用中的循环充放电和日历老化,典型铅酸电池的寿命短于车辆寿命,因此在车辆使用寿命内,铅酸电池必然会出现系统性失效。因此,无法依据文献的要求降低电池监控的 ASIL 评级。
突发性故障无法在发生前检测到,其由系统性或随机性硬件故障(如接线柱断裂)引发。突发性故障会直接导致电池供电中断,并违背安全需求 2.1.1(SR2.1.1)。因此,需按照图 8 中安全需求 2.1.1(SR2.1.1)为电池供电推导的初始 ASIL 评级,避免发生突发性故障。由于突发性电池故障只能通过设计避免,电池制造商需在开发和生产过程中应对这些故障,并将其分配给其他相关技术领域。
如前所述,仅当供电系统采用冗余供电设计时,才能为突发性电池故障配备安全机制;否则,由于无法在故障容忍时间间隔(FTTI)内实现安全机制,这些机制将无法发挥作用。通过采用冗余设计,突发性故障可被视为潜伏故障,此时冗余设计需符合初始 ASIL 评级要求。对于每个冗余子系统(如适用),需额外实施安全机制,防止故障成为潜伏故障。根据 ISO 26262-4:2018 标准第 6.4.2.5 章的要求,这些额外安全机制可采用较低的 ASIL 评级。
尽管 12V 铅酸电池的失效率较高,但通过具备高诊断覆盖率的智能且符合 ASIL 标准的电池监控,仍可实现安全的供电系统。电池制造商需在开发和生产过程中考虑突发性故障。
b:采用电源实现安全供电
对于配备交流发电机的传统内燃机(ICE)汽车,无法默认实现不依赖电池的独立供电。因此,可能需要采取额外措施以应对交流发电机动态性能不足的问题,例如在检测到电池断开后降低负载动态特性,或采用双层电容器缓冲高瞬态负载。由于交流发电机依赖动力传动系统提供的机械能,其供电功能通常只能达到质量管理(QM)评级;否则,车辆推进系统中的多个机械组件都需具备 ASIL 评级。在配备直流 - 直流(DC/DC)转换器的车辆中,由于存在第二个完整的电化学系统,机械部件不再具备安全相关性,因此不再强制要求电源保持质量管理(QM)评级。尽管如此,电源采用质量管理(QM)评级仍有助于实现内燃机(ICE)汽车与非内燃机汽车之间的可扩展解决方案。此外,对于非内燃机汽车,无需将安全需求分配给高压供电支路。电源采用质量管理(QM)评级的另一优势在于,质量管理(QM)组件可在该质量管理(QM)供电支路中使用,无需额外措施或认证,因为不存在无干扰要求。在这种情况下,可采用集中式安全措施,证明安全相关与非安全相关供电支路之间的无干扰性。
②. 安全需求2.2(SR2.2)——配电
根据 ISO 26262 标准,线束组件的失效率需纳入定量分析。定量评估的一个关键问题是确定供电系统物理组件的 FIT 率。并非所有物理组件(如导线、熔断器、接线端子、连接器、接头和螺钉连接)都在 SN 29500手册中列出,且该手册最初并非针对汽车行业制定。
线束组件需纳入 ISO 26262 标准的系统性开发范围,同时也需作为硬件指标定量评估的对象。
目前,尚无涵盖供电系统所有相关组件失效率的最新技术来源,因此需结合不同的失效率来源,评估供电系统的随机性硬件故障。除失效率手册中的数据外,还可使用现场返回数据统计结果或专家判断得出的失效率数据。
若首选数据源(本例中为SN 29500手册)缺少某些组件的失效率数据,ISO 26262 标准明确允许结合不同来源的失效率数据。此时需推导缩放因子,以 “调整不同失效率数据的预测质量”。具体而言,缩放因子可通过计算两种数据源中均列出的相似元件的失效率比值来确定,同时需考虑数据库的置信水平。然而,仍需为两种数据源提供充分证据,证明其适用性(如数据可比性或统计基础的通用性)。德国电子与电子设备制造商协会(ZVEI)目前正在制定一项技术指南 ——《汽车供电系统组件失效率:期望值与条件》,重点关注供电系统物理组件的 FIT 率。预计该文件将成为符合 ISO 26262 标准的最新技术,可供实际应用。
德国电子与电子设备制造商协会(ZVEI)即将发布的技术指南,将为线束的 ISO 26262 合规性指标计算提供标准化失效率数据。
③. 安全需求 2.3(SR2.3)——无干扰
熔断式熔断器看似是确保质量管理(QM)组件无干扰的合适安全措施。然而,熔断式熔断器的核心设计理念是在热事故发生前分离线束,即确保线束保护的同时,对典型负载曲线具备一定稳健性。由于线束具有热容量,无需在微秒级时间内快速分离,因此熔断器的熔断特性可允许存在一定容差。
表6摘录了 ISO 8820-3 标准中关于熔断式熔断器熔断时间的规定。如下表所示,不同类型熔断器的规定熔断时间差异显著。汽车行业中常用的熔断式熔断器为 C 型和 E 型。其中,C 型熔断器的电流规格范围为 1A 至 40A,E 型熔断器的电流规格范围为 20A 至 100A。
表 6. ISO 8820-3 标准:熔断式熔断器的动作时间
在安全应用中使用熔断式熔断器时,需考虑以下缺点:
1. 由于分离速度较慢(通常为几毫秒)且容差范围较大,无法实现对安全相关电子控制单元(ECU)的功能保护,因此可能无法确保无干扰。
2. 无法通过诊断确定熔断式熔断器的健康状态,例如无法预测因热应力导致熔断器特性偏移而产生的潜伏故障。
3. 熔断式熔断器通常可由终端用户接触,因此需确保车辆始终配备规格正确的熔断器。若安全概念依赖于特定制造商生产的、性能超出市场标准的合格熔断器,则需特别关注用户自行更换为非原厂熔断器的情况。
图 9 展示了质量管理(QM)组件与电动助力转向系统(EPS)之间干扰影响的示例。在该示例中,发动机冷却风扇的供电回路中采用了一个 80A E 型熔断器,用于保护发动机冷却风扇的线束。当发动机冷却风扇连接器发生对地短路时,电动助力转向系统(EPS)两端出现显著电压降。在该案例中,熔断式熔断器的熔断时间过长,导致直流 - 直流(DC/DC)转换器供电中断,电压降至电动助力转向系统(EPS)的硬件复位阈值以下。如第四节 C 部分所述,电动助力转向系统(EPS)在硬件复位后重新启动并恢复助力所需的时间远超过转向功能的故障容忍时间间隔(FTTI)。因此,熔断式熔断器无法防止图 8 中所述的转向助力突然失效情况。
图9:由发动机冷却风扇短路引起的电源系统电压降示意图,例如用80A e型保险丝熔断
硬件复位阈值并非唯一需考虑的阈值。在电压降至硬件复位阈值之前,电压会先降至使转向电子控制单元(ECU)因输入功率不足而停用助力功能的水平。若该停用持续时间超过故障容忍时间间隔(FTTI),同样会违背安全目标。即使短路故障被分离且电压在故障容忍时间间隔(FTTI)内回升至特定值以上,转向助力的缓慢恢复过程也可能导致转向助力突然失效的情况无法避免。
当转向助力中断较长时间(具体时长取决于应用场景)后,为避免驾驶员过度转向,转向助力需在数百毫秒的时间范围内缓慢恢复。
若要将熔断式熔断器用作确保无干扰的安全机制,需提供充分依据,证明其在特定应用场景中能够实现快速分离。论证过程应涵盖以下方面:
1. 考虑每个受熔断器保护的质量管理(QM)负载;
2. 考虑最坏情况边界条件:
a. 依据 ISO 8820 标准确定的最慢熔断器熔断特性,或经统计验证的更快熔断特性(需包含防止使用非授权熔断器的措施);
b. 高负载工况(如冬季场景);
c. 高瞬态负载激活(如转向和制动操作);
d. 低环境温度(如 - 25℃);
e. 符合规格的老化组件(如线束连接器和电池);
f. 符合规格的低电量电池(通常处于报警阈值附近);
g. 短路电阻的变化;
3. 若采用 ASIL 分解来实现图 8 中的供电要求(安全需求 2.1(SR2.1)),则需考虑所有供电路径及其组合情况:
a. 电池供电(安全需求 2.1.1(SR2.1.1))与短路同时发生;
b. 电源供电(如交流发电机或直流 - 直流(DC/DC)转换器,安全需求 2.1.2(SR2.1.2))与短路同时发生;
c. 电池与电源联合供电与短路同时发生;
为更详细地解释最后一项要求,以下举例说明:如图 8 所示,供电分解为电池供电和直流 - 直流(DC/DC)转换器供电,因此两条供电路径需分别独立为安全相关负载供电。若受熔断器保护的质量管理(QM)负载发生短路,可能干扰 ASIL A 级或更高级别的电池供电路径,则需采取与电池供电 ASIL 评级相同的措施,以确保无干扰。标准熔断式熔断器无法实现这种分离,因此在该场景中不能作为有效的安全机制。
为充分确保无干扰,建议采用电子开关,因为其具备微秒级的快速、精细化开关特性和先进的诊断功能。
熔断式熔断器侧重于线束热保护,由于其分离特性不确定且缓慢,同时缺乏诊断功能,因此不能作为确保安全相关电子控制单元(ECU)功能保护的有效安全措施。
五、结论
在电气化和自动化这两大趋势的推动下,供电系统的功能安全需求正不断提高。然而,供电系统故障是导致车辆故障的主要原因,且可能违背安全目标。如今,功能安全主要用于在产品责任诉讼中提供辩护依据,而未来,满足功能安全需求将成为车辆认证的强制性条件。自 2022 年起,在中国,转向电子控制系统(包括其供电系统)的开发和评估必须符合功能安全标准,才能获得车辆认证。
在制定功能安全概念之前,需先明确范围(即项目定义)并识别危害,这两个步骤通常由原始设备制造商(OEM)负责。
为确保供电安全,需建立一致且全面的功能安全概念,并基于以下三项高层级安全需求:
1. 电源和储能装置的供电;
2. 通过线束的配电;
3. 安全相关与非安全相关负载之间,以及不同 ASIL 评级的安全相关负载之间的无干扰。
若将供电通过 ASIL 分解为两条冗余路径,则每个独立电源或储能装置都应能单独实现初始供电功能。对于电池供电,必须通过智能电池诊断检测渐进性故障,且至少需确保有足够的功率和能量来执行最小风险操作。此类先进的智能电池诊断可通过符合 ASIL 标准的电子电池传感器实现,因此能够基于 12V 铅酸电池构建安全的供电系统。
线束需纳入 ISO 26262 标准的系统性开发范围,同时也是硬件指标定量评估的对象。然而,目前尚无针对线束所有组件的标准化失效率数据,无法支持符合 ISO 26262 标准的指标计算。德国电子与电子设备制造商协会(ZVEI)即将发布的技术指南将填补这一空白。
为在不采用类似航空电子设备中完全冗余独立供电系统的情况下,确保安全相关供电系统的无干扰,需配备额外组件。熔断式熔断器侧重于线束热保护,不能作为确保安全相关电子控制单元(ECU)功能保护的有效安全措施。为充分确保无干扰,建议采用电子开关,因其具备快速、精细化的开关特性和完善的诊断功能,例如集成在集中式智能安全开关或分布式电子熔断器中。
供电系统正处于变革阶段,亟需标准化以避免设计不足(尤其在功能安全方面)。本文为从功能安全角度规范供电系统开发流程做出了贡献。