供电技术课程设计，课程供电技术设计心得体会，课程供电技术设计论文

hwyzw

    如何落地低压供电系统的功能安全设计

    注：本图与文无关，来源为长城汽车官网。

    专栏作者简介

    隋玉磊在长城汽车哈弗技术中心工作，主要进行功能安全以及预期功能安全的开发。

    一

    概 述

    低压供电系统的 FUSA 设计与传统系统 FUSA 设计存在一些差异。供电网络主要由硬件组成，包括保险、继电器、线束、接插件和搭铁等。非冗余电网的 PMHF 很可能无法满足 26262 的要求，通常在 L2 以下的车辆中，以电网的 FSR01 为例，要避免失去 KL30 供电且达到 ASIL B 等级。这取决于整车的物理架构设计，也取决于线束的分段情况。分段越多，连接器就越多，失效点也就越多；而分段少的话，虽然有利于生产和安装，但可能会带来其他问题。因此，非冗余低压供电系统的 FUSA 设计更注重系统性失效，而应降低对随机硬件失效的重视程度。对于冗余电网也是如此，一路电网要达到 ASILB 的硬件度量要求是很困难的，下文将说明其难点所在。

    二

    低压供电系统边界定义

    供电源头到用电器电源针脚的插件，非供电线束不在考虑范围内。一般情况下，KL30 作为供电源，但若 KL15 电也作为供电时，就需要考虑相关线路。电网的失效模式主要有过压、欠压、短路和断路，这些失效模式所带来的失效影响会违背某些功能的 SG。

    三

    系统分析

    电网的 FM 主要包含过压、欠压、短路以及断路。需要分析这些 FM 所带来的 FE 是否会违背某些功能对电网提出的 FSR。关于详细的分析过程在此不再进行赘述。体系较为成熟的主机厂在整车低压供电系统的设计环节都应当拥有相关的文件。

    1.过压分析

   

    一般指的是电压大于 16V 的情况，它的自然发生率极低。因为发电机的最大输出能力约为 16V，对于过压情况，本人仅在电性能测试实验中见过，且是人为设计导致的。在现实情况下，形成过压的条件很苛刻，发生该故障的原因很难确定，抛负载会导致这种情况，但形成条件相当苛刻。即使发生这种情况，过压持续时间是毫秒级的，在零部件满足 ISO-16750 的前提下，几乎不会造成影响。在满足 ISO-16750 的前提下，对于这种失效我认为是可以接受的。结合 FSR01 时，要避免失去 KL30 供电且满足 ASIL B；过压这种情况在 FM 中不会违背 FSR01。对于 FSR01 来说，过压无需进行额外的 FUSA 工作。

    2.欠压分析

    发电机/DC-DC 与蓄电池是并联的，不过也有特殊情况，有些电池需经过 DCDC 才连接到用电器，这种隔离设计最初是为了防止电池端短路，拉低整车电压，然而就启动电池而言，本人认为其不在 26262 范畴。对于标配智能发电机和 EBS 传感器的情况，已经能够做到欠压时及时报警，并关闭智能启停等非必要功能。如果发生欠压，其中一个原因是发电机和蓄电池双点失效，所以在供电源头不考虑功能安全。

    ②那么不考虑供电源头，在供电过程中发生欠压的原因是什么？某一用电系统短路可能会导致欠压，会拉低整车电压至 9V 以下，从而使其他 ECU 关闭。不过，目前整车用电器中能把电压拉低到 9V 以下的用电器必定都是大功率用电器，且目前大功率用电器都配备了保险丝（这些保险丝的选型要经过评审和测试，以避免系统性失效），当它们发生短路时必然会熔断保险。只要保证保险丝的选型，就能应对这种欠压情况。

    有些低过载情况下会发生欠压，其结果是将电压拉低至 9 - 12V，而 9 - 12V 能够满足用电器的工作电压范围，所以这种失效是可以接受的，属于安全故障。对于②，欠压导致 LOSS 电源，会引发 FSR01 的违背，此时 FUSA 需要进行《相关失效分析》以及《评审保险丝选型报告》，以避免出现系统性失效。电网有很多共用部分，对于这部分工作，使用 CHS 软件来识别线路是比较容易的。

    3.短路分析

    所谓短路，指的是电网对地发生短路。其失效影响是会拉低整车的电压。至于具体拉低多少，这需要根据具体情况来确定。根据短路部位而定。若在蓄电池/发电机源头短路，整车电压就会接近 0V。要是某支路系统短路，保险会烧蚀，该功能就会丧失，不过对 fail safe 的功能没有影响。追究保险的失效原因，是用电器故障导致的过电流，这属于非电网故障的短路。但这也不是完全不做特殊处理，不能因为 QM 功能的保险烧蚀而使带有 ASIL 等级的功能失去供电。在设计电源分配时可以着重考虑这一点，采用隔离（具体是用电源分配的隔离还是 PNG 隔离，不仅要考虑功能安全，还要结合整车物理架构、保险盒设计来综合考虑），以避免级联失效的发生。

    结论：在电源分配设计阶段，为了避免出现级联失效这种情况，需要让 FUSA 进行相关的失效分析。

    4.断路分析

    电源与用电器之间出现断路情况，接着发生 LOSS 供电现象，这种情况直接违反了 FSR。这是电网中最为重要的失效模式，应当将其作为电网功能安全的重点研究方向。对于出现 Fail 情况时持续供电是有必要的。

    ①供电源头断路分析

    发电机蓄电池处于并联状态。单一失效不会致使突然断路。单纯依靠蓄电池的话，整车至少能够运动 5 到 10 分钟以上（此需结合整车电平衡试验结果以及蓄电池选型报告结果来看）。那么能否认为供电源不会违背安全目标呢？从电能提供的角度来考虑，燃油车的发电机和蓄电池可以被视为冗余部分。如果一路出现失效情况，就会发出报警进行提醒，而另一路会继续维持工作，除非出现双点失效的情况。所以，就功能安全方面而言，现有的设计已经能够满足冗余要求。对于电动车来说，需要识别 DC-DC 和 12V 蓄电池的连接关系。有些设计中，DC-DC 和蓄电池实际上并不是一直处于并联状态的，也就无法实现一路失效后另一路随时接管的功能。

    结论 1：为了让供电源头满足 FSR01，在燃油车方面没有特殊的需求。

    结论 2：要使供电源头满足 FSR01，对于电动车而言：需查看 DCDC 与 12V 蓄电池的连接关系，此情况可能会对 BSG 和 EBS 产生需求。

    以上是针对电网的源头提出的需求。其核心目的在于保证“避免供电源头非预期地失去供电”。

    ②供电链路断路分析

   

    第一，供电网络的 FSR 源自各个 item。这个 Item 所对应的 ECUs 所在的线束，可能并非一个线束段，甚至会跨越好几段大线。从电源到用电器之间，存在汇流排、保险、继电器、插件以及搭铁端子。

    第二，要识别出与 FSR 相关链路的所有元素，接着进行 FMEA 分析，然后分配 TSR 即可。或者也可以把 FSR01 作为顶事件来导出 TSR，对于电网而言，推荐使用 FMEA 进行操作。对于电网有一个需要注意的地方，那就是要将这个链路相关的电源以及所分配的用电器都考虑在内，这样做的目的是为了避免因级联失效、共因失效而导致失去供电，因为在线束中这类失效情况是非常多的。

    四

    总 结

    以上是对电网失效模式的分析，阐述了低压供电系统的 FUSA 工作如何实施，在低压供电系统开发中融入了 FUSA 的一些工作，像《相关失效分析》《保险丝的选型》《线径选型》以及过程文档等，这些都能很好地规避系统性失效，从而避免因电网失效模式引发的失效影响而导致 FSR 被违背，对于随机硬件失效，要降低 PMHF 概念的重要性。

    原因在于：电网组成要素的故障基础数据最难获取。因为电网的失效大多是由用电器故障引发的，而真正因随机硬件失效致使失去供电的情况难以获得真实数据，所以失效率及其分布的数据缺乏可信性。

    对于电网的功能安全开发，存在一些被认为是伪命题的情况。即便设计流程符合 26262 的要求，但如果技术层面的基础数据不真实，那么算出来的结果就没有太大价值。无论是单一链路还是冗余设计，只要 PMHF 不满足，在个人看来是可以接受的。

    ——不足之处请行业同仁指正！

    专栏 | 介绍

    本公众号的《专栏》板块汇聚了行业内的优秀作者。其内容涵盖了标准解读，还有工作学习的总结、项目经验的交流、专题技术的分享以及培训课程的资料和论坛现场演讲的 PPT 等。欢迎大家推荐或自荐入住，以分享更多的原创作品。

    本文首发于《汽车功能安全》公众号，作者为专栏作者，仅供学习参考。若需转摘，需注明出处以及作者的详细信息，并且要获得原文作者的授权。

    文章只是用于学习交流的一种媒介。希望更多行业人士能从本文中有所收获。也欢迎大家加入技术交流群，进行深入交流、互动分享，比如线上线下的标准、技术、项目等方面的讨论。

    本公众号的原创作者权利以及所享受的福利正在进行开发工作，大家可以对此保持期待。