广告
VDA450:满足自动驾驶系统与线控系统的整车电网功能安全设计指南
以自动驾驶系统为例,VDA 450假设了如下安全目标:
并对该安全目标进行了功能安全需求FSR的拆解:
对于冗余供电网络,导出了如下三条FSR:
下表对这三条FSR的目标做一个说明:
对这三条FSR,又可以进一步在两个供电通道上分别进行拆解。
下表对这拆解后的FSR的目标做一个说明:
(对VDA 450原文档有需要的朋友可以通过公众号“Leo的汽车安全世界”发消息联系Leo获取,或联系Leo加入功能安全讨论群相关交流学习)
在这些FSR中,可用性的要求相对来说比较好理解,尤其值得注意的是对相关失效的要求。冗余供电设计中存在潜在的相关失效导致整个供电网络失去可用性是不可接受的,因此对相关失效展开完整的分析并定义必要且充分的安全措施显得至关重要。
颇具挑战的是,当前行业对供电网络相关失效分析考虑的维度并不充分,VDA 450给出了完整的考虑点:既关注两路供电通道之间的独立性,又关注单个通道内部不同负载之间的潜在干扰。
在这两个维度上,都需要谨慎地考虑短路故障所造成相关失效。更具体的故障表现是,当某个负载(ECU)发生短路故障时,由于短路电流非常大,整个供电网络的电压会被瞬间拉低,其他ECU可能因为电压过低而无法工作。
负载电压瞬降(来源:左成钢《广义车规级电子可靠性》)
为避免这种情况发生,供电网络给负载配备了保险丝,保险丝会在短路大电流的作用下发生熔断,从而使供电系统切断与短路侧的连接,避免短路影响该供电通道以及另一路供电通道上其他负载的供电电压。但是传统的保险丝保险熔断时间长,如果在发生熔断前被拉低的供电电压已经导致安全相关的ECU shut down,那么即使在熔断后供电电压恢复正常,重启后ECU可以继续提供功能,但如果ECU重启时间过长,超过安全目标对应的FTTI,风险不可避免。
示例:EPS系统受QM负载短路故障的影响,截图来自VDA 450
为满足以上相关失效相关的FSR,使用主动分离和连接单元ATV是VDA 450推荐的安全措施,以实现上述两个维度上的独立性要求和免于干扰要求。
截图来自VDA 450
取决于冗余供电网络的架构,ATV的技术方案呈现多样化的趋势,可以是独立的开关,也可以集成到如DCDC等部件中,也可以集成到复杂的电源分配设备ePDU(electronic Power Distribution Unit)中,ePDU能够对子系统和负载电流进行精细控制,使制造商能够在整个车辆生命周期内全面管理车辆的电源路径并增加诊断覆盖率,提高安全性和可靠性。
ATV方案中用电子保险丝(e-Fuse)替代传统的保险丝,e-Fuse作为可编程、可升级、可诊断的电子保险丝,相比传统保险丝,最大的优势在于能够实现快速的短路保护,关断速度远远快于传统保险丝,有效控制瞬态跌落电压和大电流问题。同时e-Fuse具有可编程、可诊断的特性,且在短路事件结束后,e-Fuse能够自动恢复,这些特点对避免短路故障引起供电通道上相关失效的风险有很有效的贡献。
5、总结
本文对VDA 450的框架进行了介绍,并以自动驾驶系统为例,对从整车安全目标导出的功能安全要求进行了解释和说明。受限于文章篇幅,文章仅能起到抛砖引玉的作用,强烈推荐读者深入到VDA 450原文档中了解细节。
广告
广告
最新资讯
-
采埃孚(ZF)在英国开放新的800V测试与验证
2024-10-16 12:52
-
姗姗来迟的新时代!曼恩(MAN)交付首辆纯
2024-10-16 12:51
-
新能源汽车驱动电机控制原理之电流环简介
2024-10-16 08:35
-
复合材料高级非线性分析仿真应用案例
2024-10-16 07:39
-
标准院组织国内专家参加ISO/TC22/SC33(车
2024-10-16 07:39
广告
广告
