一种功能安全且可靠的高压直流供电系统架构

摘要：自动驾驶汽车的队列行驶预计能够减少危险交通事件导致的死亡人数。为了充分利用无人驾驶汽车的优势，我们必须确保自动驾驶汽车所使用系统的功能安全性和可靠性。自动驾驶汽车使用的系统或子系统通常属于安全关键系统。高度自动化汽车的安全关键配件需要持续稳定的直流电源才能正常工作。由于所用组件偏离预期功能而导致的电源轻微波动，都可能引发灾难性事件。高度自动化汽车拥有众多安全关键系统，其所有功能都依赖于微控制器。这些微控制器在任何情况下都始终需要稳定且持续的电源供应。在本文中，我们延续以往的工作，开发功能安全的双总线队列架构，并提出一种适用于安全关键系统的功能安全且可靠的高压直流供电系统架构。

01. 简介

为了利用无人驾驶汽车的优势，首先必须确保其功能安全且可靠。我们不仅要保障车内及车辆周围人员的安全，还要保证对环境无害。对于自动驾驶汽车（SAE 3级或4级）而言，驾驶员的作用大大降低。随着自动化程度的提高，驾驶员的作用持续减少，如今其功能已内置在车辆自身系统中。为了在危害情况下进行规避操作，在车辆开发的早期阶段，就必须确保系统设计能够应对紧急情况。

如果系统缺乏适当的冗余和应急措施，一旦系统出现故障，就可能导致危险的驾驶状况。整体安全性是任何系统的固有属性。在自动驾驶汽车的设计开发初期，就必须将安全概念融入系统设计中，这意味着系统应具备处理任何组件故障行为的能力。在自动驾驶汽车中，驾驶员以系统自身的形式参与其中。

基于自适应巡航控制（ACC）、车辆导航系统（VGS）等先进辅助系统的高度互联和网络化的信息物理系统，以及车道保持系统，共同实现自动驾驶功能。必须确保自动驾驶汽车中每个先进系统的预期功能得以实现。任何功能偏差不仅会突破系统边界，还可能以有害的方式影响其他系统，导致其失效。

高度自动驾驶汽车配备了许多微控制器，每个微控制器都需要直流电源才能正常工作。系统中使用的直流电源具有较高的直流电压额定值，而微控制器的运行则需要较低的直流电压。图1展示了所提议的队列系统，该系统的主要组件包括车辆导航系统（VGS）和主电子控制单元（MECU）。VGS和MECU均为安全关键元件，其运行需要低直流电压。为此，使用两个独立的DC-DC转换器，将高直流电压转换为低直流电压，分别为VGS和MECU供电。

图1.队列系统的基本系统设置

本文结构如下：在第2节中，我们介绍了供电系统（PSS）的初步架构、故障树分析（FTA）、因果分析以及危害分析和风险评估（HARA），并确定安全目标。第3节阐述功能安全概念和所开发的PSS架构。第4节讨论失效模式与影响分析（FMEA）的结果以及所开发系统的诊断覆盖率。第5节对本文进行总结。

02. 直流供电系统分析

为了识别与供电系统相关的故障行为，我们为自动驾驶汽车选择了一种先前提出的基于安全生命周期的方法。随后，分两个步骤进行实际分析。

在2.1节中，第一步是开发一个示例供电系统的初步架构。在2.2节中，第二步是借助Medini Analyze软件，利用这个初步架构对车辆的故障行为进行详细研究。在2.3节中，第三步是使用风险缓解因子和多层次HARA来确定AVIL（自动驾驶汽车完整性等级）和安全目标。

2.1 供电系统的初步架构

供电系统的初步架构如图2所示。该供电系统包含预充电电路、接触器和过载保护电路。高直流电源在启动时会产生高浪涌电流，为避免这一问题，我们使用了预充电电路。基于ISO 26262标准对这个初步架构的功能安全性进行分析，该标准的第3部分为供电系统开发的概念阶段提供指导。此供电系统的主要功能是为自动驾驶汽车前部使用的不同安全关键元件提供稳定的直流电源。

图2.供电系统的初步架构

2.2 使用FTA识别故障原因

图3.供电系统的故障树分析

基于初步架构，可以识别出供电系统中引发危害的故障行为。如果在自上而下的设计过程早期对故障行为进行分析，结果会比较直观。在自动驾驶领域，制造商对元件的安全性和可靠性有很高的要求。接触器、预充电继电器和过载保护电路的故障行为可能会引发灾难性事件。为了分析这些元件故障的根本原因，我们使用了如图3所示的故障树分析方法。在这个故障树分析中，我们采用功能分析法来确定故障行为的根本原因。

借助Medini Analyze工具，我们研究了系统元件不同功能之间的因果关系以及相关的可能故障。图4展示了F01（为DC-AC转换器提供稳定电源）与相关故障之间的因果关系。这有助于我们在进行危害分析和风险评估（HARA）之后，确定供电系统的AVIL等级。

图4.供电系统的因果分析

2.3 供电系统的危害分析

新开发的多层次HARA概念旨在通过在运行时采取弹性措施，降低车辆层面发生危害的概率，减少汽车运输领域潜在的人员生命损失风险。在传统的HARA中，我们使用严重程度、暴露程度和可控性这几个因素。然而，“可控性”这一因素在确定任何项目的ASIL（汽车安全完整性等级）时不再适用，因为在危害情况下，车辆用户无法采取任何措施来降低伤害的可能性。在多层次HARA中，我们用风险缓解因子“MX”取代了可控性。风险缓解因子“MX”被定义为系统在故障反应时间内执行一系列动作并达到安全运行状态以避免潜在危害的能力。

表1.供电系统的危害和安全目标

我们分析了五种危害，如表1所示。确定了这些危害的自动驾驶汽车完整性等级（AVIL-D），以及不同的安全目标及其对应的AVIL等级。根据ISO 26262标准第8部分第6条规定，安全目标是HARA分析的主要工作成果。这些安全目标进一步作为供电系统设计的一组规则。

03. 供电系统的功能安全概念

供电系统的功能安全概念用于从安全目标中推导出功能安全需求。我们将这些安全需求分配给架构元件和子系统，作为开发供电系统的安全机制。

3.1 功能安全需求

在考虑以下几点的基础上，我们开发了供电系统的高级功能架构：

· 供电系统（PSS）运行模式。

· 供电系统中每种可能故障的容错时间间隔。

· 检测到故障时的安全运行状态。

· 使供电系统具备故障运行能力的容错机制。

· 如果在期望的时间间隔内无法达到安全状态，系统在规定时间内采取的应急措施。

· 向驾驶员发出的警告机制，以及带有容错机制的系统性能降级概念。

· 所有与驾驶员和系统架构相关的假设，这些假设需满足安全目标。

3.2 开发的供电系统架构

在开发的高级功能架构中，我们采用了冗余概念以及ISO 26262标准中规定的ASIL-D系统所需的其他机制。我们使用两个功率二极管作为电压平衡电路。系统中使用的接触器不使用续流二极管，并且接触器中的线圈磁化系统被封装在一个充有氢气的胶囊中，以减少电弧的影响，这有助于避免触点焊接和任何热事件。之后，我们使用了过载保护电路，这是一种数字保险丝，使系统更加先进，能够保护系统免受高浪涌电流和负载侧的电感反冲影响。此外，我们还对DC-DC转换器的输入采用了冗余概念。由于VGS和主控制器都是安全关键组件，我们为它们提供了两条不同的供电路径。这样，如果一个组件发生故障，另一个组件可以在不降低系统性能的情况下进行补偿。

图5.开发的可靠且功能安全的供电系统（PSS）

04. 供电系统的失效模式分析与诊断

设计失效模式与影响分析（FMEA）是一种系统方法，用于在产品问题发生并引发任何危害事件之前识别和预防问题。这种设计FMEA专注于预防缺陷、提高安全性和提升客户满意度。图6展示了设计FMEA的情况。

图6.供电系统的FMEA

上表中对供电系统的失效分析有助于在设计过程中改进风险优先数（RPN）。表中还展示了初步架构的FMEA，其RPN的最大值为400。在分析了“严重程度等级”、“发生概率等级”和“检测难度等级”之后，我们计算出了供电系统每种失效模式的RPN。根据计算出的RPN，我们对RPN值最高的失效模式给予优先处理，以便进行进一步的技术改进。在提出建议并将这些建议应用于设计之后，我们再次计算新的RPN。新的RPN值也显示在图6中。

图7. FMEA后RPN的改进

RPN值的改进表明风险降低，设计朝着功能安全的方向发展。图7以图表的形式展示了RPN的改进情况。RPN值越低，风险越小，系统越可靠。从图中可以看出，与初步架构相比，我们开发的供电系统更加安全可靠。因此，可以说所开发的供电系统是一个可靠的供电系统（RPSS）。

在系统开发的早期阶段，FMEDA（失效模式影响与诊断分析）是进行系统设计诊断的最佳工具。在这个FMEDA中，我们分析了系统的单点故障和潜在故障。根据ISO 26262标准第5部分规定，单点故障（SPFM）的诊断覆盖率必须大于99%，潜在故障（LFM）的诊断覆盖率必须大于90%。我们开发的供电系统单点故障的诊断覆盖率为99.74824%，潜在故障的诊断覆盖率为94.4123%，如图8所示。

图8.使用FMEDA的供电系统诊断覆盖率

05. 结论

本文开发了一种功能安全且可靠的供电系统架构。借助Medini Analyze工具以及故障树分析（FTA）、失效模式与影响分析（FMEA）和失效模式影响与诊断分析（FMEDA）等不同分析工具，我们验证了所开发的PSS架构的功能安全性。然而，实现公交队列的完全自动化仍面临诸多挑战。

主要挑战在于对环境以及系统自身的感知。开发具有适当功能的系统是不够的，利用安全机制对这样的系统进行验证可能是最具挑战性的任务。在开放环境中运行系统时，面对无数的运行情况，这些挑战就会凸显出来。这项工作是我们先前开发双总线队列架构研究工作的延续。该项目未来的工作是借助先前研究工作中提出的安全生命周期和功能架构，为队列控制系统开发一个功能安全的环境感知系统。