原创:冗余供电网络如何避免相关失效?
相关失效分析(Dependent Failure Analysis, DFA)是功能安全开发的重要活动之一,旨在通过分析系统中导致相关失效的潜在原因,并制定充分且必要的安全措施以避免或减轻可能的相关失效,确保系统具有独立性或免于干扰的能力。
当前汽车行业正处于巨大变革之中,可靠且安全的电源解决方案是支撑变革的基础,以应对自动驾驶、驾驶辅助、线控技术和信息娱乐等子系统不断增长的能耗需求。其中,自动驾驶与线控技术更是对整车供电网络提出了失效运行(Fail Operation)的要求,冗余供电成为了必要的要求。但是冗余供电设计中是否存在潜在的相关失效导致整个供电网络同时失去可用性,是必须要考虑的设计问题。
本文以ISO 26262对相关失效分析的要求为出发点,分析自动驾驶系统中冗余供电网络典型的引起相关失效的故障源,并介绍避免这些相关失效的安全措施,希望能为读者提供一些有价值的参考。
本文主要内容(约3700字,15分钟阅读)
文章图片说明:为方便读者理解,本文优先引用ISO 26262对应的中国标准GB/T 34590中的示意图。
01.ISO 26262对相关失效分析的要求
相关失效(Dependent failures)术语定义为“不具有统计独立性的失效,即失效组合发生的概率不等于所有考虑的独立失效发生概率的乘积”。可以简单理解为,相关失效就是破坏独立性设计的失效,考虑到其破坏性之大,所以任何一个安全相关的产品在设计时都应该进行相关失效分析,识别设计中是否存在潜在的引起相关失效的故障源,从而采取必要的措施加以避免或限制。这也是ISO 26262作为电子电气系统安全开发指南对相关失效分析提出要求的背景。
从类型上,相关失效可以分为两类:
● 共因失效Common Cause Failure(CCF)
● 级联失效 Cascading Failure(CF)
两类失的解释如下:
1. 共因失效Common Cause Failure (CCF)
一个相关项中,由一个单一特定事件或根本原因引起的两个或多个要素的失效。
共因失效图示,截图来自GB/T 34590, 2022, part 1
2. 级联失效 Cascading Failure (CF)
同一个相关项中,一个要素的失效引起另一个或多个要素的失效。
级联失效图示,截图来自GB/T 34590, 2022, part 1
ISO 26262将相关失效分析的目的归纳为两点:
1. 通过识别潜在的引起相关失效的原因及相关失效的发起点(DFI, Dependent Failure Initiators),确认在设计中充分实现了功能安全所需的独立性或不受干扰的能力。
2. 必要时定义安全措施以减轻可能引起的相关性故障
其中,独立性指的是两个或者多个要素间不存在会导致违背安全要求的相关失效;而免于干扰指的是分配了不同ASIL等级的或者无ASIL等级和有ASIL等级的要素之间可以共存。
结合上文对共因失效和级联失效的定义,可以总结出相关失效分析的方向:
● 当不存在级联失效时,可以认为系统具有免于干扰的能力;
● 当不存在级联失效且不存在共因失效时,可以认为系统实现了独立性。
不同类型相关失效之间的关系,截图来自网络
02.自动驾驶制动系统对冗余供电网络避免相关失效的功能安全要求
根据SAE J3016对汽车自动驾驶分级标准,对于Level 3及Level 3以上的自动驾驶系统,要求系统具有Fail operation(失效运行)的能力,即在出现单一故障的情况下,系统依旧能够提供制动(与转向)的能力,以保证系统能够完成既定的最小风险操作(MRM,Minimum Risk Maneuver)对应的任务要求,使车辆进入安全状态。
SAE J3016对汽车自动驾驶分级标准,图片来自网络
MRM对应的任务要求对系统的可用性要求很高,比如发生严重的故障如主路制动系统故障后,MRM可能被定义为本车道停车或者行驶到下个服务区,这就要求自动驾驶系统能继续提供期望的功能以完成该任务。
如果我们将目标聚焦在支持自动驾驶的制动系统上,整车对制动系统提出了冗余要求,且安全目标为:
为满足该安全目标,目前市场上主流的制动冗余设计为基于液压式线控制动系统(Electro-Hydraulic Brake, EHB)的Two-box方案,比如“eBooster+ ESC”或者“IPB+ RBU”。但是无论哪种Two-box方案,都依赖供电网络能够为两个制动产品提供稳定可靠的能源基础,这不可避免地对供电网络也有冗余要求。
冗余供电网络的拓扑架构五花八门,接下来我们以高压+DCDC与12v低压蓄电池组成的双通道供电网络为例,展开对供电网络中相关失效的典型故障源的讨论,讨论的故障源同样存在于其他的冗余供电网络架构。
图片修改自“An Approach of Fail Operational Power Supply for Next Generation Vehicle”,下文同
如上图所示,左侧高压电池与DCDC组成一路供电KL30_s1,12V蓄电池提供另一路供电KL30_s2。正常情况下,高压电池通过DCDC持续给整车上的所有负载(ECU)供电,包括组成制动冗余的eBooster和ESC。当DCDC侧异常时(如DCDC故障),12V蓄电池可以继续为整车负载进行供电。
因为正常情况下12V蓄电池不参与供电,为避免在需要12V蓄电池接管供电前电能已经耗尽造成潜伏失效,通常12V蓄电池需要配备电能监控传感器EBS(Electronic battery sensor),对蓄电池健康度进行持续监控以避免潜伏失效。
另外,当某个负载(ECU)发生短路故障时,由于短路电流非常大,整个供电网络的电压会被瞬间拉低,其他ECU可能因为电压过低而无法工作。为避免这种情况发生,供电网络给负载配备了保险丝,保险丝会在短路大电流的作用下发生熔断,从而使供电系统切断与短路侧的连接,避免短路影响其他负载的供电电压。
负载电压瞬降(来源:左成钢《广义车规级电子可靠性》)
按照德国汽车工业协会VDA发布的标准VDA 450(Electrical Power Supply System regarding automated driving in the context of ISO 26262) ,对电源冗余系统提出了两条功能安全要求以避免相关失效。
- EBN: Energiebordnetz - Electrical Power Supply System
为便于理解,接下来分别以具体的故障情况来对上述两条相关失效相关的功能安全要求进行解释。
Case 1:制动期间eBooster发生短路故障(EBN-FSR 1.3)
前面提到,发生短路时依靠传统保险丝熔断来避免影响整个供电网络的供电电压。但是如果eBooster端的保险熔断时间长,在发生熔断前被拉低的供电电压已经导致ESC关闭,那么即使在熔断后供电电压恢复正常,ESC ECU重启时间通常长达几秒钟,即使重启后ESC可以重新提供制动力,安全目标对应的FTTI已经被违背,风险不可避免。
Case 2: DCDC发生开路故障, eBooster在12V蓄电池供电下执行MRM的任务(EBN-FSR 1.1.3 / 1.2.3)
DCDC发生开路故障后,12V蓄电池为所有负载供电,eBooster执行MRM任务以确保车辆达到安全状态。假如此时某个非安全相关的负载(如雨刮器)发生短路故障,同样地,如果该负载对应的传统保险丝熔断时间长,在发生熔断前被拉低的供电电压已经导致eBooster和ESC关闭,那么即使在熔断后供电电压恢复正常,eBooster与ESC ECU重启时间通常长达几秒钟,即使重启后制动产品重新提供制动力,安全目标对应的FTTI已经被违背,风险不可避免。
03.避免供电网络的相关失效的安全措施
ISO 26262要求,识别出潜在的相关失效的故障源后,需要定义安全措施以减轻可能引起的相关性失效。为实现上节对冗余供电网络的两条相关失效相关功能安全要求,目前行业主流的方案是在供电网络中配备主动分离和连接单元ATV(Active Separating and Connecting Element(switches that separate or connect electrical systems))。ATV被认为是实现供电网络独立性要求和免于干扰要求的基础。
ATV的典型类型,截图来自VDA 450
从当前的技术方案看,已经不建议独立实现ATV,而是将其集成到复杂的电源分配设备ePDU(electronic Power Distribution Unit)中,该设备能够对子系统和负载电流进行精细控制,使制造商能够在整个车辆生命周期内全面管理车辆的电源路径并增加诊断覆盖率,提高安全性和可靠性。
接下来解释集成ATV的ePDU是如何提供安全机制来实现对冗余供电网络的两条相关失效相关的功能安全要求的。
首先,ePDU在DCDC和12V蓄电池之间加上两个由MOSFET组成的电路,两个N沟道MOSFET背对背连接,通过驱动芯片控制MOSFET的通断,以实现反向电流阻断功能。
在该电路作用下,当DCDC或12V蓄电池任意一个供电通道中发生短路故障时,背靠背电路的快速阻断作用确保另一个供电通道能够继续稳定供电,从而实现了两路供电通道之间的独立性。
同样以上节case 1为例,假设制动期间eBooster发生短路故障,即使eBooster拉低了ePDU左侧的负载的电压,但是ePDU阻断了对右侧的负载的影响,右侧负载依旧可以在12V蓄电池的供电下稳定工作,ESC在安全目标的FTTI要求内接管制动,完成MRM任务使车辆进入安全状态。
其次,ePDU中用电子保险丝(e-Fuse)替代传统的保险丝,e-Fuse作为可编程、可升级、可诊断的电子保险丝,相比传统保险丝最大的优势在于反应速度快,其关断速度远远快于传统保险丝,从而能够实现快速的短路保护,有效控制瞬态跌落电压和大电流问题。
回到Case 2,当DCDC发生开路故障后, eBooster在12V蓄电池供电下执行MRM的任务。假如在此期间某个非安全相关的负载(如雨刮器)发生短路故障,在e-Fuse的作用下快速切断雨刮器与供电网络的连接,从而避免了eBooster被拉低电压而重启的风险,确保eBooster能继续提供制动,使车辆进入安全状态。
04.总结
本文分析了自动驾驶中冗余供电网络典型的引起相关失效的故障源及其造成的对制动冗余系统安全目标的影响,并结合ISO 26262对相关失效分析的要求以及VDA 450中的要求导出对冗余供电网络的功能安全要求,最后介绍了当前市场上可以借鉴的实现这些安全要求的可行性方案。
需要强调的是,这些安全方案所依赖的ePDU和e-Fuse目前还没有全方面普及,但是已经引起主机厂的注意和尝试,随着自动驾驶与线控技术的普及,相信将会在越来越多的冗余供电网络方案中看到它们的身影。
END
作者:RunningLeo
文章来源:sasetech
推荐阅读
- 全面带你了解端到端大模型的底层逻辑(一)
- 深入解析与使用感受:Isograph、Medini与REANA可靠性分析软件对比
- 汽车功能安全(ISO 26262)系列: 软件安全分析FMEA你会吗?
- 牢筑安全防线:汽车软件开发中的静态分析技术
- 汽车网络安全 -- 后量子密码时代还远吗?
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。
