翻故紙堆，對于我來說是很有意義的一項活動，就好比是以更復雜的chatGPT模型去回答從前百思不解的問題，總有新收獲。這跟考完試直接看答案分析還不太一樣，因為錯的地方即使看過了幾遍正確答案也還是不理解為什么會錯。

一個比較厚的故紙堆，就是曾經年少輕狂的時候在博世Weilimdorf寫的畢業論文，也算是第一次在校外接觸到嵌入式開發和功能安全實踐。

道上的朋友有一個比較有趣的理論，說寫論文好比去草原上獵兔子。兔子總歸到處都是的，本科的時候是各路導師一起手把手教你如何定位兔子捕捉兔子，碩士的時候導師給你指出一個兔子讓你去抓，博士的時候導師則是只給你一個大方向就什么都不管了。

個人沒有讀過博士，但是本科和碩士論文難度對我來說實在是天差地別。本科論文的時候在博世CC的導師真的超nice，循循善誘的，然后還有一大堆同事隨時可以問問題。而寫碩士論文第一次接觸到功能安全和整車電源網絡架構的時候真的是一臉懵，只覺得是很棒的系統化思維，但是就是不理解，主打一個不明覺厲。

導師是卡魯工大博士畢業，職位是博世汽車電子事業部戰略統籌部門（AE-BE/EKE）經理兼任功能安全經理。當年(2012)ISO26262第一版還只是剛剛發布而已，他已經陸續輔導了幾個功能安全的相關論文了。這幾篇論文按時間排列如下：

1. 2010年2月到8月

Erstellung eines Modellierungskonzeptes zur Umsetzung der Funktionalen Sicherheit innerhalb der?Elektrik/ElektronikSystemarchitekturentwicklung im Kraftfahrzeug-為汽車電子電器領域內系統架構的開發建立一個符合功能安全要求的建模概念

這篇論文中，作者探索了整車電源系統架構的建模方法，不過在建模之前先討論了相關系統的安全目標和HARA分析。作者嘗試了使用適當的工具（比如?UML、SysML 等）來建立系統架構模型。在模型中，明確標識系統的各個組件、接口、數據流和狀態轉換等元素，以便全面了解系統的運作方式，并且在模型中引入風險分析，識別潛在的安全風險，并確定相應的安全措施來降低或消除這些風險。這有助于制定有效的功能安全策略。

2. 2010年5月到11月

Sicherheits-und Zuverl?ssigkeitsanalyse zukünftiger Energiebordnetze im Kraftfahrzeug-車載電源電路的安全性及可靠性分析

這篇論文中，作者主要針對三個簡單架構?（1. 單控制器架構，2. 通過BUS連接的雙控制器架構，3. 通過網關連接的雙節點架構，兩個節點一個使用CAN低，一個使用CAN高）分別計算了每個架構的單點失效率，其中第一個架構在沒有安全機制的情況下SPFM為47.58%，第二個架構為48.55%，第三個架構為49.10%。然后三個架構的SPFM在分別加入針對輸出控制的診斷覆蓋度為高的安全機制后都提高到85%以上，90%以下。其實這種系統級的FMEDA計算出的值跟硬件級別計算有顯著的不同，三種架構的魯棒性這樣看起來是連ASIL B的要求都不滿足的，這大概是為什么這個思路沒有繼續下去。

3. 2011年6月到12月

Qualitative Analyse der Funktionalen-Sicherheit des Bordnetzes von segelf?hi-gen Micro-Hybrid Fahrzeugen nach ISO 26262-依據ISO26262對一輛可滑行輕混合動力汽車的車載電源電路進行功能安全的定性分析

在這篇論文中，作者開始直接討論起輕混車的電源架構，其中包含發電機、電池、電池傳感器、啟動機、啟動電機、DC/DC轉換器、雙層電容器DLC等組件。作者也對這些部件組成的多種架構做了定性的安全分析，比如FMEA、RBD（Reliability Block Diagram）和FTA（Fault Tree Analysis）。分析的架構為以下6種，一是傳統的12V架構；二是帶DC/DC的14V架構；三是帶DC/DC和DLC的14V電源架構；四是帶有下級電源網（14V-32V）的14V架構；五是帶有一個蓄電池和一個鋰電池的12V-48V架構；六大致與五相同，只是啟動機換成啟動電機。

4. 2012年4月到10月

Umsetzung der "FunktionalenSicherheit" nach ISO-26262 innerhalb der Elektrik/Elektronik-Systemarchitekturentwicklung im Kraftfahrzeug-依照ISO26262將功能安全實施到汽車電子電器領域內系統架構的開發中

這一篇論文作者的時間正好跟我的實習時間完全重疊，所以我們一起討論了很多。他的論文主要是研究功能安全開發流程的要求，以及評估PREEvision這個六邊形戰士一般得開發管理工具是否符合功能安全標準第八章中對于軟件工具置信度水平的要求。

5. 2012年10月到7月

Modellierung von zukünftigen Energie-bordnetz-Konzepten im Kraftfahrzeug und Bewertung der Funktionalen Siche-rheit nach ISO 26262 - 依照ISO26262對車載電源電路概念的建模與功能安全評估

這一篇是我的論文，主要是使用PREEvision去建模論文3中的六種架構，以及使用RBD方法定量的去得出他們的系統級失效率以進行對比。

主線一

48V系統

從這些論文里面可以分析出兩條主線，一條就是所謂的onboard electrical system（Bordnetz）的架構設計。傳統的12V電壓系統在引入啟停系統（Start-stop system）之后，基本已經達到了功率輸出極限。如果在12V電壓下引入輕混系統，功率需求在10kW~15kW左右，這樣的電壓下電池的輸出電流高達1000A，這樣顯然是不可接受的。2011年，Audi, BMW, Daimler, Porsche, Volkswagen聯合推出48V系統，作為傳統12V電氣系統和高壓電池（如電動車）之間的中間電壓級別，以滿足日益增長的車載負載需求，更重要的是為了滿足2020年歐盟嚴格的排放法規。

另外也是因為60V是安全電壓，低于60V電壓的設備不需要采取額外的安全防護措施，48V電池的充電電壓最高56V已接近60V，因此48V是安全電壓下的最高安全等級。

圖1 整車電源架構（來源:BOSCH）

為滿足當時歐盟提出的排放法規，歐洲主機廠都在積極推動48V系統，即采用48伏直流電壓供電的車輛電氣系統，可以看成是12V啟停系統的升級版，增加了48V儲能電池、48V/12V雙向DCDC、48V BSG（belt-driven starter generator）/ISG（integrated starter generator）、電動增壓器（可選配置）、電池管理系統，如圖2。

圖2 48V系統電氣架構（來源：BOSCH）

首先，它優點如下：

i. 駕駛體驗更舒適：48V系統電機扭矩和轉速更高，可將發動機短時間內快速拖動至啟動的閾值，且通過皮帶的柔性連接，沒有12V啟動時機械介入和退出時的沖擊，因此啟動更平穩。另外48V系統可提供額外的電力支持，通過加速助力及扭矩輔助等功能可提高整車起步時的加速性能及發動機的性能；?

ii. 附件電源優化：傳統12V系統對附件設備供電有一定限制，48V 系統可以提供比 12V 和 24V 系統更高的功率輸出，可以滿足更高功率附件設備的需求，如電動渦輪增壓器、電動助力轉向系統等，提升車輛性能和駕駛體驗。由于功率與電壓乘積得到的電流成反比，48V 系統在提供相同功率時，所需的電流會比 12V 或 24V 系統更低。這有助于減輕電線和元件的負載，能量轉換效率更高，并降低線路損耗；

iii. 故障檢測和診斷：48V系統具備更先進的故障檢測和診斷功能，通過電子控制單元（ECU）對電池和電氣系統進行監控和管理，能夠及時檢測電氣故障并提供相應的故障代碼和警報，以幫助車主或技術人員進行故障排除和維修；

iv. 能量回收和儲存：48V系統可用于能量回收和儲存，將車輛制動過程中產生的能量轉化為電能，并存儲在48V電池中。這些儲存的能量可以在需要時供給車輛的輔助設備或動力系統，提高能源利用效率；

v. 高壓系統輔助：一些汽車制造商還開始將48V系統與高壓電池系統（如電動汽車或混合動力汽車）結合使用，以提供額外的輔助功能，如電動座椅調節、電動空調壓縮機等。通過整合不同電壓級別的電氣系統，可以降低成本和復雜性；

vi. 標準和規范：為了推動48V系統的發展和應用，相關標準和規范也在逐漸完善。例如，ISO 21780標準《道路車輛-48V供電電壓-電氣要求和試驗》已于2020年發布，旨在提供有關48V電源系統的安全性、性能和通信要求的指南，促進該領域的統一和規范。

缺點如下：

i. 電壓的升高，電磁兼容要求會更高；

ii. 48V電壓下會存在電弧，是風險隱患，需要處理；

iii. 原來的12V車載設備遷移到48V需要重新開發以及測試，代價巨大并且周期長；

iv. 比12V start-stop系統成本高，節能效果不如高壓混動系統。

48V系統工作模式有如下幾種：

A 自動啟停 (START-STOP)：?

當車速低于3公里每小時時，啟停系統會關閉車輛的發動機，電池利用存儲的能量維持車載電氣的正常運行，發動機可以隨時快速啟動。這種短暫停車尤其發生在城市交通中（如紅綠燈、人行橫道、平交道口等）或交通堵塞中。此功能可降低燃油消耗并減少二氧化碳排放。

B 能量回收 (RECUPERATION)：

在混合動力汽車的背景下，制動能量的回收被稱為能量回收，可以將動能轉化為電能，并存儲到電池中。僅能量回收功能就可以降低大約7%的油耗。

C 被動輔助 (PASSIVE BOOST) :

在提速階段，電機的輔助動力能彌補發動機動力的不足，實現不損失動力的情況下降低排放。在加速階段期間，內燃發動機通過發電機功率的降低而得到緩解，以便能夠為加速過程提供其全部功率。這是通過調節發電機的勵磁線圈來實現的，耗電元件由電池供電。

D 自動啟停-航行（Start-stop COASTING)：

在車輛恒速運行，并且電池電量充足的情況下，關閉發動機噴油系統，車輛處于滑行階段，離合器分離發動機和傳動系統的機械連接，徹底關閉發動機，僅靠電機保持車輛巡航。電機提供的動力用來抵消行駛阻力以及發動機的拖拽阻力，實現更長的行駛距離。相當于傳統車輛空檔滑行，只不過傳統車輛在切換到空檔滑行之后，發動機轉速在降到怠速時依然需要噴油來維持發動機的運行。當再次踩下油門踏板，發動機會迅速啟動，平滑切入到當前車速。

由于發電機在航行階段不是由電機驅動的，因此耗電設備需要由蓄電池供電。只有當能量存儲系統能夠在任何時候為車輛提供足夠的能量以啟動小齒輪時，能量管理系統才允許航行。一旦駕駛員想要再次加速，發動機就會接合并啟動。這時候有兩種可能的啟動方式。一是在離合器啟動時，發動機由車輛的剩余動能啟動；二是由傳統的電動機帶動小齒輪啟動（Ritzelstart）。

下圖是博世AE當時（2013）的開發路線圖，可以從中看出整車低壓電源網絡架構的功能增長規劃。

圖 博世AE混動系統Roadmap（來源:BOSCH）

主線二

功能安全評估

另一條主線自然是功能安全。在新的安全要求、減輕重量（降低二氧化碳排放）或新的駕駛和舒適功能（例如駕駛員輔助系統）的推動下，一些組件被淘汰，并添加了新組件（例如現代電池技術或使用 DC/DC 轉換器代替傳統發電機），日益復雜的布線和新的能源分配組件影響著車載能源網絡（Energiebordnetz）的結構，功能安全及其衍生的要求是車載能源網絡演變和進一步發展的決定性因素。

圖 傳統電源網絡（來源: Leoni）

車燈、雨刷器、制動器或轉向輔助裝置都可以歸類為安全相關的設備，因為他們的失效都可能會影響到行人或者駕駛員安全。這意味著必須確保這些系統和組件的能源供應，這也對安全相關駕駛功能的定義和實現提出了明確的要求。其中有規定非安全相關的駕駛功能不得對安全相關的功能產生任何影響。如果不能排除負面影響，則必須提供機制以確保不做出反應。如果車載電源系統存在電壓波動、電磁干擾或電源故障等問題，可能會導致這些安全相關功能的錯誤操作、數據丟失或系統不可用。

圖 車載電源網絡的失效分析（來源：Uni Stuttgart-Institute of Maschinenelemente）

上圖是母校斯圖加特大學IMA學院的“能源電網功能安全領域的技術安全機制”研究項目示意圖。

可能對其他控制器的安全要求產生直接影響的最著名的故障案例之一是線路或組件對車輛接地的電氣短路。這可能會導致整個車載電源系統在一段時間內出現嚴重欠壓，從而導致所有安全相關組件出現功能故障。根據現有技術，許多車輛中安裝有熔斷器以保護電纜免受火災等的影響。然而如果保險絲熔斷速度不夠快，或者車載電源系統設計不當，無法防止出現臨界電壓降，則可能會出現問題。如果這種情況發生在耗能型駕駛操作中，在極端情況下可能會導致車載電氣系統完全故障，進而導致嚴重后果。一些汽車制造商為這些已知的故障情況安裝了半導體元件，可以防止能量在幾毫秒內流入短路，從而保持車載電氣系統的穩定。

另外當今熱點的自動駕駛功能，根據車輛的SAE級別和應用（操作設計領域），對某些功能的可用性的要求顯著增加。例如，當電源電壓異常或供電單元故障時，系統應能夠自動切換到備用電源或進入安全模式，以保證功能的持續可用性和安全性。根據架構和總體概念，這些要求可以或必須轉移到車載能源系統。這還要求整車電源網絡還應具備故障檢測、容錯能力以及報警功能，以確保在出現電源故障時能夠及時檢測并采取相應的措施。整車電源網絡還應提供穩定和可靠的數據傳輸通道，以確保傳感器數據的完整性和實時性。比如ADAS功能通常需要從多個傳感器獲取數據，并將數據傳輸給計算單元進行處理和決策。如果電源網絡存在通信故障或干擾，可能會導致傳感器數據錯誤、延遲或中斷，從而影響ADAS功能的準確性和可靠性。

在功能安全這條主線上，博世作為48V系統核心零部件供應商，需要先對整個48V系統（作為Item）進行符合功能安全的設計分析、驗證和測試，確保整車電源網絡滿足相應的功能安全要求和標準（如ISO 26262），以保證由48V系統供電的各附件功能在各種情況下的可靠性和安全性。導師這一系列課題設計就是在驗證電源網絡系統是否能夠滿足這些要求，從探索合適的建模方法，在整車級別創建或評估安全概念，進行定性FMEA分析，RBD可靠性框圖分析，同時也嘗試著做了 FTA故障樹分析，到使用專有工具建模直到計算架構整體失效率的定量安全分析。因為這一系列工作都是由導師所在的汽車電子硬件部門去牽頭的，所以在這些探索之中都有或多或少地考慮硬件失效率的問題，相信是為了去迎合主機廠或者第三方機構的要求，或者是將功能安全作為評估不同產品方案的關鍵指標之一。

另外一個重要的背景就是PREEVision工具的加入。PREEVision是一個用于汽車電子電氣架構設計優化的工具，它自上而下地整合了需求分析Requirement Specification, 功能設計 Design, 軟硬件及網絡開發 HW&SW&Network Development, 線束設計 Harness Design, 拓撲結構設計 Topological Design等一系列領域內基于模型的開發，并且層與層之間相關滲透著便于用戶評估的算法工具。這就使得ISO26262功能安全導入在這個工具上極其便利，因為它的層級幾乎就是V-Model的層級（另外PREEVision也可以與AUTOSAR無縫鏈接）。因此幾乎跟我同期的實習生就在與Vector緊密合作，研究PREEvision工具的TCL等級，結果是將這個工具評級為TCL1。

總結和展望

整車低壓電源系統由于肩負著給多個安全相關控制器供電的重任，其功能安全的關鍵性不言而喻。我有幸在48V輕混系統的早期引入階段參加了這一系統的功能安全工作，并且以此為基礎得以持續奮斗在功能安全第一線，可以說是保持初心了。

作為延申，如博世和斯圖加特大學IMA學院聯合發表的一篇論文所言，供電系統的功能安全要求正在不斷增加和細化，必須考慮的安全要點包括：

1）電源和存儲器的供電：關于電池供電，目前的現狀是針對架構中的智能電池進行故障診斷是強制的，比如通過BMS和EBS，目標是保證供電系統至少可以執行最小風險的操作。

2）通過線束進行電源分配：線束組件需要在定性分析的基礎上增加考慮定量分析，也就是說要考慮線束及接插件的失效率的優化，ZVEI（www.zvei.org）目前正在研究標準化布線故障率的技術指南，大家如果有興趣可以去看下。

3）保證互不干擾：為妥善確保不受干擾，改論文建議使用電子開關，因為可以非常快速和細粒度的進行電源網絡的切換和可以進行外部診斷，具體措施可以包括在電路中加入智能安全開關或分散式電子保險絲。

審核編輯：黃飛

?