导语
VDA 450标准洋洋洒洒109页,不仅对供电网络的功能安全设计具有非常强的指导价值,而且对功能安全从业者更清晰地了解ISO 26262有很好的参考价值。限于篇幅,本文对VDA 450的框架做一个介绍,对VDA 450原文档有需要的朋友可以通过公众号发送消息联系Leo获取。
1
VDA 450的背景
当前汽车行业正处于巨大变革之中,可靠且安全的电源解决方案是支撑变革的基础,以应对自动驾驶、驾驶辅助、线控技术和信息娱乐等子系统不断增长的能耗需求。其中,自动驾驶与线控技术更是对整车供电网络提出了Fail operation/Fail active(失效运行)的要求,因此冗余供电成为了基本要求。由于自动驾驶系统与线控系统需要满足非常高(ASIL D)的功能安全要求,这些系统所依赖的冗余供电网络也会被分配ASIL D的功能要求。
整车供电网络示意图,图片来自网络
进一步地,对冗余供电网络的功能安全要求的维度包括安全相关可用性要求与独立性要求,如何满足甚至如何理解这些要求对工程团队来说都是个不小的挑战。
在这样的大背景下,德国汽车工业协会VDA在ISO 26262的大框架下,推出了指导性质的标准VDA 450 “Electrical Power Supply System regarding automated driving in the context of ISO 26262”,旨在提供满足自动驾驶系统及线控系统的整车冗余供电网络的功能安全要求的设计指南。
2
VDA 450的适用范围
VDA 450特别针对满足SAE J3016:2021中定义的level 3–Level 5级别的自动驾驶系统对冗余供电网络的功能安全要求展开设计建议与指导;同时,该建议也适用于的完全线控系统(如线控制动,线控转向),完全线控系统在取消了机械(或液压或气压)备份的同时对供电网络提出了冗余要求。另外,该指南中提到的一些要点对Level 3以下的智能驾驶系统的供电网络的设计也是有参考性的。
图片来自VDA 450
3
关键术语说明
除了ISO 26262中定义的术语外,VDA 450中补充了对组成供电网络的部件的定义。此处做一个筛选性的摘抄与解释,方便理解文章后面的内容。
AQ: Active Source (e.g. DCDC converter). 主动源如DCDC。
PQ: Passive Source (e.g. battery). 被动源如12v蓄电池。
PTV: Passive separating and connecting Elements (e.g. fuses). 被动分离和连接元件
EBN: Energiebordnetz - Electrical Power Supply System - The Electrical Power Supply System comprises the storage, conversion and distribution of the electricity in the vehicle to the loads (e.g. ECUs, sensors, actuators) and the isolation / separation of faulty Elements from the rest of the EBN. The power interface of the consumers constitutes the limits of the EBN. The loads are therefore not part of the EBN but place certain requirements on the EBN within the scope of the Conditions of Use (e.g. energy, power). 供电系统,包含电力的存储,转换与分配到负载(如ECU, 传感器,执行器等),同时具备切断以避免故障元件对供电系统上其他元件的能力。
EBN Channel: Electrical power supply channel which feeds Loads. 为负载供电的供电通道。
QM-Load: A QM-Load is an electrical consumer that is supplied with power and energy for its functionality but does not place safety-relevant availability requirements on the power supply. An example of a QM-Load is a load that implements a Fail-Passive function or a non SR-Function. 不对电源提出安全相关可用性要求的负载。例如,提供fail-passive功能的负载,供电故障后功能关闭即为安全状态。
SR-Load: A safety-relevant load is an electrical consumer that implements a subfunction of a Fail-Active SR-Vehicle-Function, such as braking, steering or environment detection. Therefore, the SR-Load allocates a safety-relevant availability requirement to the power supply. 对电源提出安全相关可用性要求的负载。例如提供fail-active功能的负载(制动功能,转向功能等),供电故障后系统需要有备份供电确保fail-active功能的可用性,保障车辆能达到安全状态。
SR-EBN Channel: Safety-Relevant electrical power supply channel to which at least one SR-Load is allocated which places a safety-relevant availability requirement on the power supply. 功能安全相关的电源通道,该通道上至少有一个SR-load。
QM-EBN Channel: Safety-Relevant electrical power supply channel to which at least one SR-Load is allocated which places a safety-relevant availability requirement on the power supply. 非功能安全相关的电源通道,该通道上全部是QM-load。
ATV: Active Separating and Connecting Element (switches that separate or connect electrical systems). 主动分离和连接元件 (分离或连接电气系统的开关)。
除此之外,自动驾驶领域被广泛应用的MRM概念也被VDA 450引用。
MRM: The MRM (Minimal Risk Maneuver) is a procedure automatically performed by the Automated Driving System to place the vehicle in a minimal risk condition in a manner that avoids unreasonable risks in traffic. (From FRAV-09-05). 最小风险操作。在驾驶员没有响应接管请求时,自动驾驶系统主动执行安全操作以避免不合理的风险。
值得注意的是,VDA 450在ISO 26262定义的术语基础上还拓展了一些新的概念,这些概念细化了对多点故障的故障处理时间、故障探测时间及故障响应时间的描述,可以参考ISO 26262定义的FHTI/FDTI/FRTI来理解。这里也做一个摘抄,强烈推荐功能安全工程师关注。这些术语目前只在VDA 450中被正式使用,但是可以预见这些概念将会被更广泛地使用。
MPFHTI: Multiple-Point Fault Handling Time Interval – Sum of Multiple-Point Fault Detection Time Interval and Multiple-Point Fault Reaction Time Interval. The time interval specifies the maximum time-span of a concrete Safety Mechanism for a reaction to a Multiple-Point Fault (first fault of a multiple-point failure).
MPFHTTI: Multiple-Point Fault Handling Tolerance Time Interval – The time interval specifies the maximum permissible time-span of a Safety Mechanism for a reaction to a Multiple-Point Fault (first fault of a Multiple-Point Failure). The MPFHTTI specifies the maximum time value of the MPFHTI.
MPFRTI: Multiple-Point Fault Reaction Time Interval – Maximum time-span during which a Safety Mechanism shall react to a Multiple-Point Fault (first fault of a Multiple-Point Failure).
图片来自VDA 450
3
供电系统架构示意图
一个完整的冗余供电系统架构示意图如下图所示,可以基于上面术语定义进行理解。需要说明的是,下图是概念性的架构图,VDA 450提供了多种架构变种,并考虑了不同的电压需求(高压/48V/24V/12V)。
图片来自VDA 450
在该示意图中,相关符号与元件的对应关系如下表所示。
图片来自VDA 450
4
功能安全要求
以自动驾驶系统为例,VDA 450假设了如下安全目标:
并对该安全目标进行了功能安全需求FSR的拆解:
对于冗余供电网络,导出了如下三条FSR:
下表对这三条FSR的目标做一个说明:
对这三条FSR,又可以进一步在两个供电通道上分别进行拆解。
下表对这拆解后的FSR的目标做一个说明:
(对VDA 450原文档有需要的朋友可以通过公众号“Leo的汽车安全世界”发消息联系Leo获取,或联系Leo加入功能安全讨论群相关交流学习)
在这些FSR中,可用性的要求相对来说比较好理解,尤其值得注意的是对相关失效的要求。冗余供电设计中存在潜在的相关失效导致整个供电网络失去可用性是不可接受的,因此对相关失效展开完整的分析并定义必要且充分的安全措施显得至关重要。
颇具挑战的是,当前行业对供电网络相关失效分析考虑的维度并不充分,VDA 450给出了完整的考虑点:既关注两路供电通道之间的独立性,又关注单个通道内部不同负载之间的潜在干扰。
在这两个维度上,都需要谨慎地考虑短路故障所造成相关失效。更具体的故障表现是,当某个负载(ECU)发生短路故障时,由于短路电流非常大,整个供电网络的电压会被瞬间拉低,其他ECU可能因为电压过低而无法工作。
负载电压瞬降(来源:左成钢《广义车规级电子可靠性》)
为避免这种情况发生,供电网络给负载配备了保险丝,保险丝会在短路大电流的作用下发生熔断,从而使供电系统切断与短路侧的连接,避免短路影响该供电通道以及另一路供电通道上其他负载的供电电压。但是传统的保险丝保险熔断时间长,如果在发生熔断前被拉低的供电电压已经导致安全相关的ECU shut down,那么即使在熔断后供电电压恢复正常,重启后ECU可以继续提供功能,但如果ECU重启时间过长,超过安全目标对应的FTTI,风险不可避免。
示例:EPS系统受QM负载短路故障的影响,截图来自VDA 450
为满足以上相关失效相关的FSR,使用主动分离和连接单元ATV是VDA 450推荐的安全措施,以实现上述两个维度上的独立性要求和免于干扰要求。
截图来自VDA 450
取决于冗余供电网络的架构,ATV的技术方案呈现多样化的趋势,可以是独立的开关,也可以集成到如DCDC等部件中,也可以集成到复杂的电源分配设备ePDU(electronic Power Distribution Unit)中,ePDU能够对子系统和负载电流进行精细控制,使制造商能够在整个车辆生命周期内全面管理车辆的电源路径并增加诊断覆盖率,提高安全性和可靠性。
ATV方案中用电子保险丝(e-Fuse)替代传统的保险丝,e-Fuse作为可编程、可升级、可诊断的电子保险丝,相比传统保险丝,最大的优势在于能够实现快速的短路保护,关断速度远远快于传统保险丝,有效控制瞬态跌落电压和大电流问题。同时e-Fuse具有可编程、可诊断的特性,且在短路事件结束后,e-Fuse能够自动恢复,这些特点对避免短路故障引起供电通道上相关失效的风险有很有效的贡献。
5
总结
本文对VDA 450的框架进行了介绍,并以自动驾驶系统为例,对从整车安全目标导出的功能安全要求进行了解释和说明。受限于文章篇幅,文章仅能起到抛砖引玉的作用,强烈推荐读者深入到VDA 450原文档中了解细节。
