加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專(zhuān)業(yè)用戶(hù)
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
    • 前言
    • 一.“定期保養(yǎng)”也無(wú)法徹底解決車(chē)輛保險(xiǎn)和繼電器的可靠性問(wèn)題
    • 二.低壓電氣安全,一個(gè)被忽略了的重要問(wèn)題
    • 三.電氣系統(tǒng)設(shè)計(jì)究竟是誰(shuí)的工作?OEM和Tier1都認(rèn)為是對(duì)方的
    • 四.保險(xiǎn)絲和繼電器的失效模式的診斷覆蓋率很難達(dá)到ASIL的要求
    •  五.特斯拉Model 3已經(jīng)砍掉了保險(xiǎn)絲和繼電器
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

干掉保險(xiǎn)絲和繼電器,自動(dòng)駕駛才能更安全

2022/04/06
958
閱讀需 35 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

目前市面上幾乎所有的車(chē)輛電氣系統(tǒng)均在使用保險(xiǎn)絲繼電器,對(duì)于傳統(tǒng)車(chē)輛,這種設(shè)計(jì)是沒(méi)有問(wèn)題的,但對(duì)于自動(dòng)駕駛系統(tǒng),尤其是未來(lái)基于線控底盤(pán)的自動(dòng)駕駛系統(tǒng),這種100年前的技術(shù)已無(wú)法滿(mǎn)足技術(shù)需求及安全性需求。

市面上是否有一款車(chē),車(chē)上已經(jīng)干掉了保險(xiǎn)絲和繼電器了嗎?還真有,特斯拉從Model 3開(kāi)始,整車(chē)低壓電氣部分就干掉了所有的保險(xiǎn)絲和繼電器,而且目前市場(chǎng)上有且只有特斯拉是這么做的。

前言

本文以傳統(tǒng)保險(xiǎn)絲和繼電器的可靠性為切入點(diǎn),旨在拋磚引玉,求同存異。

并不是說(shuō)基于保險(xiǎn)絲和繼電器的傳統(tǒng)設(shè)計(jì)是“不可靠的”,就像設(shè)計(jì)精妙的機(jī)械表也可以達(dá)到很高的精度,但終歸是無(wú)法超越石英表的,這是由其技術(shù)的物理基礎(chǔ)決定的。

伴隨著車(chē)輛的智能化,機(jī)械控制電氣化和機(jī)電控制電子化的進(jìn)程會(huì)不斷加速,正如ibooster響應(yīng)時(shí)間只有常規(guī)制動(dòng)的一半,半導(dǎo)體器件的響應(yīng)速度可以達(dá)到保險(xiǎn)絲的上千倍,其可靠性也遠(yuǎn)高于保險(xiǎn)絲。同理,未來(lái)自動(dòng)駕駛也必將基于線控底盤(pán)才能滿(mǎn)足系統(tǒng)的功能需求及可靠性需求。

本文在成稿過(guò)程中得到了許多業(yè)內(nèi)專(zhuān)家的批評(píng)指正,康建芳和隋玉磊對(duì)本文提出了大量的修改建議,在此表示衷心的感謝!

一.“定期保養(yǎng)”也無(wú)法徹底解決車(chē)輛保險(xiǎn)和繼電器的可靠性問(wèn)題

如果你買(mǎi)了輛新車(chē),無(wú)論他宣傳說(shuō)有多么牛的自動(dòng)駕駛功能,你都先別信,你也別試圖去研究或去作對(duì)比,反正你也研究不明白。今天我教你一個(gè)簡(jiǎn)單的方法,分辨出哪些車(chē)的自動(dòng)駕駛功能更安全。

什么方法呢?很簡(jiǎn)單,打開(kāi)引擎蓋,再打開(kāi)蓄電池旁邊的那個(gè)大盒子,看看是里面否有保險(xiǎn)絲和繼電器,如下圖:

乘用車(chē)保險(xiǎn)盒位置及內(nèi)部結(jié)構(gòu)

整車(chē)所有的用電都要經(jīng)過(guò)保險(xiǎn)絲盒(也叫配電盒),里面看到的紅、黃、藍(lán)、綠各種顏色的東西就是保險(xiǎn)絲,不同顏色表示不同電流?;液谏姆綁K是繼電器,車(chē)上的大燈、雨刮、油泵、風(fēng)扇等都是由它來(lái)驅(qū)動(dòng)的,控制端還在ECU。

車(chē)載保險(xiǎn)絲及繼電器(來(lái)源:Little,Hella)

你可能已經(jīng)注意到了,這些保險(xiǎn)絲和繼電器都是可插拔式的,換句話說(shuō),是可以更換、需要更換的。為什么需要更換呢?因?yàn)檫@些東西會(huì)壞掉,其可靠性和壽命無(wú)法支撐車(chē)輛的整個(gè)生命周期。

但還有一個(gè)更重要的問(wèn)題可能你沒(méi)有意識(shí)到:保險(xiǎn)盒的位置就在電池旁邊,打開(kāi)引擎蓋就能看到,而且,保險(xiǎn)盒的蓋子很容易打開(kāi),極其方便進(jìn)行維護(hù),為什么車(chē)輛需要這種設(shè)計(jì)呢?在“寸土寸金”的發(fā)動(dòng)機(jī)艙給保險(xiǎn)盒預(yù)留這么好的地段?

其實(shí)根本原因就是為了“方便維護(hù)”。你品,你細(xì)品,為什么要“方便維護(hù)”?如果三五年才需要維護(hù)一次,那就算麻煩一點(diǎn),按20年車(chē)輛壽命計(jì)算,也維護(hù)不了幾次???況且我們的車(chē)都有定期保養(yǎng)的啊,所以,肯定還有其他原因!沒(méi)錯(cuò),能想到這一步,說(shuō)明你已經(jīng)接近了問(wèn)題的真相,這就牽扯出來(lái)一個(gè)更嚴(yán)重的問(wèn)題:定期維護(hù)保養(yǎng)仍無(wú)法解決保險(xiǎn)和繼電器的可靠性問(wèn)題!

是不是覺(jué)著“細(xì)思極恐”?!

但事實(shí)就是這樣,你的車(chē)輛可能“隨時(shí)隨地”因?yàn)楸kU(xiǎn)絲和繼電器壞掉而出現(xiàn)故障,毫無(wú)征兆,讓人猝不及防。所以為了“方便維護(hù)”,廠家把保險(xiǎn)盒的位置設(shè)置在了非常容易接近、容易觸摸到、“方便維護(hù)”的位置,專(zhuān)業(yè)的說(shuō)法叫“易接近性設(shè)計(jì)”,為了這個(gè)設(shè)計(jì),車(chē)廠的布置工程師要掉不少頭發(fā),我們心疼一下!

因?yàn)楸kU(xiǎn)爆掉的概率更高,所以車(chē)輛電氣工程師貼心地給你設(shè)計(jì)了備用保險(xiǎn);另外,怕你手頭沒(méi)有工具,拔不出來(lái)保險(xiǎn)(因?yàn)闆](méi)有合適的工具,用手真的很難拔出來(lái)),還貼心地附帶了一個(gè)保險(xiǎn)夾,就是怕你哪天開(kāi)車(chē)拋錨在了荒郊野外,前不著村后不著店的,方便你自己動(dòng)手自救,你說(shuō)貼心不貼心! 

備用保險(xiǎn)及保險(xiǎn)夾

那你又要問(wèn)了:為什么這么不可靠的東西,還一直用在車(chē)上呢?是的,這是一個(gè)好問(wèn)題。

像我一樣生于80年代的小伙伴們,對(duì)下圖左邊的這種閘刀加保險(xiǎn)的東西肯定很熟悉,雖然那時(shí)候家里用電器很少,但是保險(xiǎn)絲(也叫鉛絲)可能還是經(jīng)常的會(huì)爆掉,有時(shí)候手頭沒(méi)有備用的,就用鋁絲給替代了,當(dāng)然這樣是不安全的,這是后話,扯遠(yuǎn)了。細(xì)心的你肯定發(fā)現(xiàn)了,現(xiàn)在即使在農(nóng)村,也沒(méi)有誰(shuí)家里用保險(xiǎn)絲了,都統(tǒng)一用空氣開(kāi)關(guān)了, 為什么呢?很簡(jiǎn)單,因?yàn)榭臻_(kāi)更可靠,更安全,且成本也不高,技術(shù)也很成熟了。 

老式家用閘刀及空開(kāi)

那為什么車(chē)上還在用老掉牙的、且不可靠的保險(xiǎn)絲呢?很簡(jiǎn)單,因?yàn)榻?jīng)濟(jì)實(shí)惠,別的方案要么更不可靠,要么太貴,目前的方案是綜合考慮可靠性和成本后的最佳方案。

家里的空開(kāi)一般也就三五路,如果你家超過(guò)十路,那你住的一定是豪宅。一般情況下,家里所有的插座可以共用一路保護(hù),所有的燈可以共用一路保護(hù),一個(gè)插座出問(wèn)題,所有插座全部斷電保護(hù),對(duì)于家庭來(lái)說(shuō),問(wèn)題不大,但車(chē)上就不能這么設(shè)計(jì)了。

在車(chē)上,為了車(chē)輛運(yùn)行安全考慮,電力從蓄電池分配到每一路負(fù)載,每根線都需要有保護(hù),所有的ECU幾乎都有獨(dú)立保險(xiǎn)絲,因此車(chē)上的保險(xiǎn)絲動(dòng)輒幾十個(gè),豪華車(chē)甚至上百個(gè)。要將這些獨(dú)立保險(xiǎn)絲全部升級(jí)為更可靠的保護(hù)方案,不是做不到,而是成本不允許。那你說(shuō)我只更換部分對(duì)可靠性更要求高的線路行不行?還是不行,平臺(tái)架構(gòu)不允許。

二.低壓電氣安全,一個(gè)被忽略了的重要問(wèn)題

現(xiàn)在我們回歸到本文的主題:自動(dòng)駕駛車(chē)輛的安全性為什么會(huì)取決于保險(xiǎn)絲和繼電器呢?

談到自動(dòng)駕駛的安全性,那就脫離不了這三大法規(guī):ISO26262功能安全、ISO21448預(yù)期功能安全、ISO21434信息安全,我們可以把ISO26262看作是基礎(chǔ),后兩者可作為其應(yīng)用場(chǎng)景的補(bǔ)充。可以參考《九章智駕》往期文章“萬(wàn)字闡述智能駕駛汽車(chē)安全體系”和“正確的自動(dòng)駕駛“安全觀”應(yīng)是什么樣子?”

今天,我們從自動(dòng)駕駛系統(tǒng)安全的基礎(chǔ)ISO26262作為切入點(diǎn),但拋開(kāi)大家一直關(guān)注的傳感器芯片、算法,著重討論一個(gè)大家極少關(guān)注但又極為重要的、比自動(dòng)駕駛系統(tǒng)更為基礎(chǔ)的問(wèn)題——車(chē)輛的低壓電氣安全。

無(wú)論是燃油車(chē)還是電動(dòng)車(chē),他們的差異僅僅是動(dòng)力來(lái)源的差異,而車(chē)輛的控制系統(tǒng),依然是基于低壓電氣系統(tǒng),乘用車(chē)是12V系統(tǒng),而商用車(chē)通常是24V系統(tǒng)。 

自動(dòng)駕駛電氣系統(tǒng)簡(jiǎn)圖(來(lái)源:左成鋼)

拋開(kāi)自動(dòng)駕駛系統(tǒng)本身,從車(chē)輛供電系統(tǒng)及負(fù)載控制方式這個(gè)角度來(lái)分析,目前絕大多數(shù)傳統(tǒng)車(chē)輛只有單路主電源的供電系統(tǒng),發(fā)電機(jī)(電動(dòng)車(chē)為DC-DC)與蓄電池為并聯(lián)關(guān)系,供電采用傳統(tǒng)保險(xiǎn)絲+繼電器,負(fù)載控制采用繼電器開(kāi)環(huán)控制,自動(dòng)駕駛系統(tǒng)僅提供控制信號(hào),而不能直接驅(qū)動(dòng)負(fù)載工作。當(dāng)這些車(chē)輛的供電網(wǎng)絡(luò)因故障無(wú)法提供電源,或繼電器控制失效、負(fù)載故障時(shí),整車(chē)電氣負(fù)載包括自動(dòng)駕駛系統(tǒng)就無(wú)法正常工作,而對(duì)此時(shí)正處于自動(dòng)駕駛模式的車(chē)輛,就存在失去控制的風(fēng)險(xiǎn)。

并且,傳統(tǒng)的配電及負(fù)載控制方式,均為硬線開(kāi)環(huán)控制,無(wú)任何故障檢測(cè)、故障反饋及聯(lián)網(wǎng)功能,即使發(fā)生故障,也無(wú)法檢測(cè)、無(wú)法獲取故障信息。

對(duì)傳統(tǒng)車(chē)輛而言,車(chē)輛由駕駛員駕駛,駕駛員能及時(shí)發(fā)現(xiàn)車(chē)輛故障,并采取相應(yīng)措施進(jìn)行處理,只要處理得當(dāng),發(fā)生事故的概率極低;即使發(fā)生事故,對(duì)L4級(jí)別以下的車(chē)輛,責(zé)任主體也在駕駛員。

而對(duì)自動(dòng)駕駛車(chē)輛,尤其是支持高級(jí)別自動(dòng)駕駛的車(chē)輛,電氣系統(tǒng)的安全性是至關(guān)重要的。

評(píng)估自動(dòng)駕駛系統(tǒng),不僅需要對(duì)ADS系統(tǒng)性失效和隨機(jī)硬件失效進(jìn)行評(píng)估,還要對(duì)外圍供電系統(tǒng)進(jìn)行系統(tǒng)性安全分析,進(jìn)而達(dá)到避免級(jí)聯(lián)失效的目的。

在自動(dòng)駕駛模式狀態(tài)下,當(dāng)車(chē)輛電源網(wǎng)絡(luò)或負(fù)載出現(xiàn)斷電的失效模式,車(chē)輛即失去自動(dòng)轉(zhuǎn)向、自動(dòng)制動(dòng)和自動(dòng)推進(jìn)力且無(wú)法提醒駕駛員,此時(shí)車(chē)輛和人員即處于危險(xiǎn)狀態(tài)。

針對(duì)電源或負(fù)載的電氣問(wèn)題,慣用的設(shè)計(jì)方法一般就是增加冗余,比如:1. 供電部分,采用雙電源供電;2. 負(fù)載控制部分,采用雙電源供電,或雙執(zhí)行機(jī)構(gòu),如EPS會(huì)采用雙電源供電,電機(jī)會(huì)采用雙繞組等。

誠(chéng)然,從失效概率角度來(lái)講,增加冗余的確能夠大幅降低失效概率,但從功能安全角度來(lái)講,這還遠(yuǎn)遠(yuǎn)不夠。

三.電氣系統(tǒng)設(shè)計(jì)究竟是誰(shuí)的工作?OEM和Tier1都認(rèn)為是對(duì)方的

目前,可能是由于自動(dòng)駕駛技術(shù)距離L4尚且太過(guò)遙遠(yuǎn),SAE J3016在2021年4月份的更新中,對(duì)L3的定義中依然有“必要時(shí)駕駛員必須接管”的要求,所以從OEM到Tier1,大家都不怎么談L3了,止步于L2或L2+/L2++,自動(dòng)駕駛系統(tǒng)仍處于輔助階段,再怎么說(shuō)也就是一個(gè)高階的ADAS,責(zé)任主體仍然是“人”,而非“系統(tǒng)”; 

SAE 2021年4月30日發(fā)布的更新版SAE J3016

根據(jù)羅蘭貝格的預(yù)測(cè),未來(lái)很長(zhǎng)一段時(shí)間內(nèi),L3級(jí)及以上自動(dòng)駕駛技術(shù)的占比還是很低的,自動(dòng)駕駛技術(shù)仍將長(zhǎng)期處于輔助駕駛階段。 

羅蘭貝格對(duì)未來(lái)自動(dòng)駕駛技術(shù)等級(jí)占比的預(yù)測(cè)

所以目前就出現(xiàn)了一個(gè)奇怪的現(xiàn)象,從OEM到Tier1,大家“各干各的”。OEM提供車(chē),Tier1提供自動(dòng)駕駛系統(tǒng)解決方案,大家關(guān)注的焦點(diǎn)都在傳感器、芯片算力、自動(dòng)駕駛算法、落地場(chǎng)景等,而作為車(chē)輛安全基礎(chǔ)的整車(chē)電氣系統(tǒng),卻被大家選擇性地“遺忘”了。

出現(xiàn)這種現(xiàn)象,可能有以下幾點(diǎn)原因:

1.由于還沒(méi)有到L4,即使出現(xiàn)事故,從法律上講OEM也沒(méi)有責(zé)任,因而也就不太關(guān)注;

2.車(chē)輛電氣系統(tǒng)涉及到車(chē)輛平臺(tái)架構(gòu),都具有很強(qiáng)的延續(xù)性,除非像特斯拉等造車(chē)新勢(shì)力,傳統(tǒng)OEM都有很重的歷史包袱,很難直接推翻現(xiàn)有平臺(tái),上馬全新的電氣架構(gòu);

3.車(chē)輛平臺(tái)架構(gòu)設(shè)計(jì)耗資巨大,如大眾MQB平臺(tái)耗資達(dá)上百億美金;

4.整車(chē)電氣架構(gòu)功能安全分析,這個(gè)耗資也很巨大,國(guó)內(nèi)某OEM僅針對(duì)一款車(chē)做了整車(chē)功能安全分析,就耗資千萬(wàn)以上,更不用說(shuō)一個(gè)平臺(tái)了;

5.Tier1專(zhuān)注于自動(dòng)駕駛系統(tǒng),尚無(wú)精力涉及相關(guān)的電氣系統(tǒng);

6.Tier1缺乏對(duì)車(chē)輛配電系統(tǒng)的了解,在規(guī)劃自身系統(tǒng)的安全設(shè)計(jì)時(shí),假定系統(tǒng)供電是正常的,但實(shí)際上外部電源是否達(dá)到了相應(yīng)的功能安全要求,這個(gè)需要OEM基于功能從整車(chē)的角度進(jìn)行功能安全分析,Tier1可能并不了解。

結(jié)合筆者近兩年來(lái)對(duì)OEM與自動(dòng)駕駛系統(tǒng)Tier1的觀察,真實(shí)情況也大體如此:目前無(wú)論是乘用車(chē)還是商用車(chē),量產(chǎn)車(chē)型的電氣系統(tǒng)基本沿襲傳統(tǒng)設(shè)計(jì),自動(dòng)駕駛部門(mén)和電氣設(shè)計(jì)部門(mén)分屬不同事業(yè)部,而對(duì)自動(dòng)駕駛相關(guān)的電氣系統(tǒng)進(jìn)行相應(yīng)的功能安全設(shè)計(jì)分析就需要兩個(gè)部門(mén)協(xié)同起來(lái),但在實(shí)際技術(shù)對(duì)接時(shí),Tier1面對(duì)的可能是OEM的電氣設(shè)計(jì)部門(mén)。

自動(dòng)駕駛系統(tǒng)的Tier1在進(jìn)行設(shè)計(jì)時(shí),供電的可靠性是屬于系統(tǒng)邊界之外的,意思就是,自動(dòng)駕駛系統(tǒng)的功能安全ASIL等級(jí)是在供電可靠的基礎(chǔ)上得到的。

而OEM如果沒(méi)有對(duì)功能從整車(chē)的角度進(jìn)行功能安全分析,那么整車(chē)的電氣設(shè)計(jì)可能是不能支撐自動(dòng)駕駛功能的安全等級(jí)的。不知道大家對(duì)傳統(tǒng)車(chē)廠的分工是否了解,電氣部門(mén)在OEM那邊是作為一個(gè)類(lèi)似于底盤(pán)、線束的傳統(tǒng)部門(mén),作為一個(gè)極其傳統(tǒng)的部門(mén),電氣部門(mén)接到這個(gè)需求后,一般是沒(méi)有能力評(píng)估電氣系統(tǒng)的ASIL等級(jí)的,所以通常的做法就是基于目前的設(shè)計(jì),直接按Tier1的供電設(shè)計(jì),給自動(dòng)駕駛系統(tǒng)再提供一路供電而已。

四.保險(xiǎn)絲和繼電器的失效模式的診斷覆蓋率很難達(dá)到ASIL的要求

好了,我們回到上文提出的問(wèn)題,在自動(dòng)駕駛模式下,當(dāng)車(chē)輛電源網(wǎng)絡(luò)或負(fù)載出現(xiàn)故障,車(chē)輛即失去自動(dòng)轉(zhuǎn)向、自動(dòng)制動(dòng)和自動(dòng)推進(jìn)力且無(wú)法提醒駕駛員,此時(shí)車(chē)輛和人員處于危險(xiǎn)狀態(tài)。我們來(lái)分析一下,為什么車(chē)輛的電源網(wǎng)絡(luò)或負(fù)載會(huì)出現(xiàn)故障?為什么車(chē)輛例行的維護(hù)和保養(yǎng)仍無(wú)法保障其可靠性?

我們終于回到了文章的標(biāo)題:保險(xiǎn)絲和繼電器的可靠性。 

各種車(chē)用保險(xiǎn)、繼電器及乘用車(chē)發(fā)動(dòng)機(jī)艙保險(xiǎn)絲盒

目前市面上幾乎所有的車(chē)輛電器系統(tǒng)均在使用保險(xiǎn)絲和繼電器,對(duì)于傳統(tǒng)車(chē)輛,這種設(shè)計(jì)是沒(méi)有問(wèn)題的,但對(duì)于自動(dòng)駕駛系統(tǒng),這種100年前的技術(shù)已無(wú)法滿(mǎn)足技術(shù)需求及安全性需求。

ISO 26262對(duì)相應(yīng)ASIL等級(jí)安全目標(biāo)的隨機(jī)硬件失效概率度量PMHF要求如下: 

ISO26262對(duì)SPFM、LFM及PMHF的要求(來(lái)源:ISO26262.5)

這是一個(gè)基本要求,并且,這個(gè)要求是硬性的,是要有數(shù)據(jù)支撐的。

傳統(tǒng)的保險(xiǎn)絲為被動(dòng)要素,無(wú)自檢能力,其失效模式的診斷覆蓋率很難論證做到ASIL,傳統(tǒng)的繼電器為非MOS管式,隨機(jī)硬件失效率也很高,也無(wú)法滿(mǎn)足從安全目標(biāo)分配到零部件的PMHF。

在此之前,我們先普及兩個(gè)關(guān)于失效率的基本概念,F(xiàn)IT、MTBF和MTTF。

FIT - 時(shí)基故障,每工作 10 億個(gè)小時(shí)發(fā)生的故障數(shù),定義如下:

 

 即:對(duì)于給定的樣本大小n,將在t小時(shí)運(yùn)行之后出現(xiàn)m次故障,如果在記下故障數(shù)“m”之前“n”運(yùn)行了“t”小時(shí),λavg為平均故障率。

如某個(gè)器件失效率為100fit,則平均預(yù)期可安全工作107小時(shí),即一千萬(wàn)小時(shí),1141.5年,也就是說(shuō)ASIL B等級(jí)對(duì)可靠性的要求是安全工作1141.5年,是不是非常嚴(yán)苛?

而像轉(zhuǎn)向、制動(dòng)等功能,功能安全等級(jí)要求均為ASIL D級(jí)別,簡(jiǎn)單來(lái)講,即系統(tǒng)需要安全工作一萬(wàn)年,才能出現(xiàn)一次故障。

據(jù)美國(guó)蘭德智庫(kù)估算,采用單車(chē)智能技術(shù)的自動(dòng)駕駛車(chē)輛,需要累計(jì)170億公里以上的測(cè)試數(shù)據(jù),才能夠?qū)崿F(xiàn)自動(dòng)駕駛系統(tǒng)的量產(chǎn)。谷歌早在10年前就開(kāi)始進(jìn)行自動(dòng)駕駛測(cè)試,迄今才累計(jì)測(cè)試了100億公里(仿真),還沒(méi)有達(dá)到量產(chǎn)要求。所以L4級(jí)別的自動(dòng)駕駛車(chē)輛實(shí)現(xiàn)量產(chǎn),目前還有不小距離。

MTBF(mean time between failure,故障間隔平均時(shí)間),是相繼發(fā)生的故障之間的平均時(shí)間。MTBF 用于可修復(fù)系統(tǒng)的情況。

MTTF(mean time to failure,失效平均間隔時(shí)間),是相繼發(fā)生的失效之間的平均時(shí)間。MTTF 用于不可修復(fù)系統(tǒng)的情況。

MTBF和FIT是可以相互轉(zhuǎn)化的,即109/MTBF可轉(zhuǎn)變成FIT值。

而對(duì)于保險(xiǎn)絲或者繼電器,其設(shè)計(jì)就是可維護(hù)的,就是失效以后需要更換的,其MTTF即是其MTBF。

(1)保險(xiǎn)絲

我們先來(lái)看保險(xiǎn)絲,下面是車(chē)用保險(xiǎn)絲供應(yīng)商Bussmann對(duì)保險(xiǎn)絲MTBF和FIT數(shù)據(jù)的回復(fù),那就是沒(méi)有數(shù)據(jù)可言。 

對(duì)保險(xiǎn)絲的MTBF/FIT(來(lái)源:Bussmann)

但是我們可以根據(jù)保險(xiǎn)供應(yīng)商的推薦參數(shù)來(lái)估算,保險(xiǎn)絲的工作壽命大體取決于以下幾個(gè)方面:1)工作環(huán)境溫度:溫度越高,壽命越短;2)負(fù)載特性:負(fù)載沖擊電流越大、持續(xù)時(shí)間越長(zhǎng),壽命越短。3)應(yīng)用場(chǎng)景:實(shí)際也就是工況,用車(chē)過(guò)程中使用次數(shù)越多,壽命衰減越厲害。

保險(xiǎn)絲的實(shí)際應(yīng)用中,工程師會(huì)根據(jù)應(yīng)用的不同進(jìn)行降額設(shè)計(jì),一般保險(xiǎn)絲的基礎(chǔ)降額是75%,比如發(fā)動(dòng)機(jī)艙溫度高達(dá)105度,那就對(duì)溫度再降額到90%,這樣算下來(lái),一個(gè)20A的保險(xiǎn)絲需要降額到67.5%,就只能帶13.5A的負(fù)載正常工作,在線路出現(xiàn)短路問(wèn)題時(shí)也能正常保護(hù)線束不發(fā)生起火事故。(此處提到的各種數(shù)字、比例,背后有一套很專(zhuān)業(yè)的計(jì)算方法,為避免過(guò)分陷入細(xì)節(jié),此處不做深入展開(kāi))

這還遠(yuǎn)遠(yuǎn)不夠,通常降額后僅能保證負(fù)載正常工作,至于能工作多久,還要看負(fù)載特性和應(yīng)用場(chǎng)景,二者缺一不可。

一般保險(xiǎn)絲的推薦設(shè)計(jì)是在特定負(fù)載特性下,負(fù)載的I²t參數(shù)在保險(xiǎn)額定I²t的20%以?xún)?nèi),保險(xiǎn)壽命為105,即10萬(wàn)次。脈沖I²t與保險(xiǎn)絲壽命的關(guān)系如下圖: 

保險(xiǎn)絲壽命與I2t的關(guān)系(來(lái)源:Littelfuse

根據(jù)這個(gè)數(shù)字,結(jié)合使用場(chǎng)景,基于傳統(tǒng)保險(xiǎn)絲盒來(lái)分析一下近光燈這個(gè)功能的FIT值。 

傳統(tǒng)保險(xiǎn)絲盒電氣原理圖

 

車(chē)輛壽命與運(yùn)行時(shí)間(來(lái)源:英飛凌

 

車(chē)輛常用功能使用次數(shù)的定義(來(lái)源:英飛凌)

我們先上數(shù)據(jù):

近光燈功能MTBF及FIT值計(jì)算:

 

近光燈一年大概會(huì)使用15000次,那我們就可以估算出近光燈保險(xiǎn)大概在6.7年后會(huì)失效,需要更換,那么近光燈功能的MTBF就是4866.7小時(shí),F(xiàn)IT值為205479.5,距離ASIL B要求的100 FIT相差甚遠(yuǎn),當(dāng)然了,一般對(duì)近光燈功能安全目標(biāo)的定義是避免雙側(cè)近光燈全部失效,這個(gè)安全目標(biāo)的功能安全等級(jí)達(dá)到ASIL B。 因?yàn)榛趥鹘y(tǒng)保險(xiǎn)絲盒的設(shè)計(jì),ECU是無(wú)法診斷到近光燈失效的,因?yàn)榻鉄舻尿?qū)動(dòng)繼電器在保險(xiǎn)絲盒里面,所以根據(jù)單獨(dú)的FIT值計(jì)算,顯然是無(wú)法達(dá)到要求的。

IS026262對(duì)安全機(jī)制診斷覆蓋率的描述(來(lái)源:IS026262.5附錄D)

假如我們?cè)黾影踩珯C(jī)制,提高診斷覆蓋率呢?我們按ISO26262推薦的高診斷覆蓋率等級(jí)99%進(jìn)行計(jì)算,可以看到殘余故障仍然達(dá)到2054.8FIT,是ASIL B 100FIT的20倍以上。

其實(shí)問(wèn)題遠(yuǎn)沒(méi)有我們想象的這么簡(jiǎn)單,因?yàn)閷?shí)際應(yīng)用場(chǎng)景的復(fù)雜性,遠(yuǎn)遠(yuǎn)超出了我們?cè)O(shè)計(jì)的假定范圍,比如一個(gè)保險(xiǎn)絲我們?cè)O(shè)計(jì)壽命是6年,但可能車(chē)開(kāi)到報(bào)廢了也沒(méi)壞,也可能2年就壞了。

這就又涉及到保險(xiǎn)絲的特性,如果設(shè)計(jì)或使用不當(dāng),極易發(fā)生“異常熔斷”,也就是毫無(wú)征兆,沒(méi)有發(fā)生任何故障,在設(shè)計(jì)壽命內(nèi),無(wú)緣無(wú)故地保險(xiǎn)就熔斷了,事后也找不到根本原因。 

“NUISANCE OPENING”的解釋?zhuān)▉?lái)源:Littelfuse)

那你又要問(wèn)了,有沒(méi)有辦法解決這個(gè)問(wèn)題?還真有,那就是繼續(xù)降額,選用更大規(guī)格的保險(xiǎn)絲,比如原本是用20A的,你改用30A,異常熔斷的概率就能降低很多。

具體能降低多少?不好說(shuō),因?yàn)檎鎸?shí)負(fù)載情況過(guò)于復(fù)雜,比如用戶(hù)修車(chē)換了負(fù)載,進(jìn)行了車(chē)輛改裝,或者車(chē)輛量產(chǎn)幾年后換了負(fù)載供應(yīng)商等。另外,使用更大的保險(xiǎn)絲,雖然20A和30A的保險(xiǎn)價(jià)格沒(méi)差異,但相應(yīng)的導(dǎo)線就必須換更粗的,這個(gè)成本就差遠(yuǎn)了,可能要高2-3倍了,車(chē)廠就不愿意了! 保險(xiǎn)絲除可靠性外的隱藏風(fēng)險(xiǎn) 保險(xiǎn)絲除了可靠性問(wèn)題以外,還有一個(gè)很?chē)?yán)重的問(wèn)題:在線路故障時(shí)的保護(hù)速度問(wèn)題,以及由此導(dǎo)致的對(duì)其他線路的影響問(wèn)題。除了相關(guān)專(zhuān)業(yè)人士,極少有人注意到。

我們先看保險(xiǎn)絲的保護(hù)速度問(wèn)題,傳統(tǒng)保險(xiǎn)的保護(hù)時(shí)間(即熔斷時(shí)間)一般在數(shù)百毫秒到秒級(jí),具體視保險(xiǎn)絲類(lèi)型及故障電流而定。

車(chē)載保險(xiǎn)絲熔斷時(shí)間(來(lái)源:Littelfuse)

我們?cè)倏丛诒kU(xiǎn)發(fā)生保護(hù)的這段時(shí)間內(nèi),因?yàn)橐粭l線路故障,而對(duì)其他線路產(chǎn)生的影響。對(duì)于自動(dòng)駕駛車(chē)輛的電氣系統(tǒng)而言,當(dāng)某一條線路發(fā)生短路時(shí),由于保險(xiǎn)熔斷速度慢,在數(shù)百毫秒到秒級(jí)的這么長(zhǎng)的一段時(shí)間內(nèi),蓄電池將承受一個(gè)很大的放電電流,整車(chē)電源電壓將被顯著拉低。 

線路短路對(duì)電源電壓的影響(來(lái)源:左成鋼)

在電源故障的這段時(shí)間內(nèi),如果車(chē)輛剛好處于自動(dòng)駕駛狀態(tài)下,那么自動(dòng)駕駛車(chē)輛的一些關(guān)鍵功能必須保持激活狀態(tài),比如雷達(dá)、攝像頭、其他傳感器、自動(dòng)駕駛控制單元、剎車(chē)控制、轉(zhuǎn)向控制等,但實(shí)際上這些設(shè)備及功能是無(wú)法接受如此長(zhǎng)時(shí)間的電源故障的。

車(chē)速、行駛距離與延時(shí)的關(guān)系

我們可以看到,如果車(chē)輛正在高速巡航自動(dòng)駕駛狀態(tài),某個(gè)功能即使短暫失效100ms,也就是0.1秒,你的車(chē)子已經(jīng)繼續(xù)向前行駛了3.3米,是不是細(xì)思極恐?!

其實(shí)針對(duì)保險(xiǎn)絲的這種保護(hù)特性,ISO標(biāo)準(zhǔn)ISO16750-2(道路車(chē)輛 電氣及電子設(shè)備的環(huán)境條件和試驗(yàn) 第2部分 電氣負(fù)荷)(對(duì)應(yīng)的國(guó)標(biāo)是GBT28046.2)中對(duì)此就提出了明確的試驗(yàn)要求,要求車(chē)輛的ECU能夠承受100ms的電源電壓間歇性跌落,跌落到4.5V。

而乘用車(chē)正常啟動(dòng)后的電壓在14V左右,車(chē)載設(shè)備正常工作電壓范圍是9V-16V,一般低于9V,設(shè)備就不能正常工作了,即使ECU不發(fā)生重啟,此時(shí)也基本處于功能受限狀態(tài),執(zhí)行機(jī)構(gòu)也不能正常工作! 

ISO16750-2對(duì)電源電壓跌落的試驗(yàn)要求

那你說(shuō)我不用傳統(tǒng)保險(xiǎn)絲呢,保護(hù)能不能快一點(diǎn),對(duì)其他電路功能影響小一點(diǎn)?當(dāng)然可以,我們看一下用智能半導(dǎo)體技術(shù)的故障保護(hù)速度。下圖是一個(gè)商用車(chē)24V系統(tǒng)采用半導(dǎo)體器件進(jìn)行短路保護(hù)的測(cè)試波形,可以看到,半導(dǎo)體器件能夠在100微秒內(nèi)切斷故障電路,電源電壓跌落僅2.1V(24V系統(tǒng)正常電壓是28V左右),僅跌落了7.5%,保護(hù)時(shí)間極短,是傳統(tǒng)保險(xiǎn)絲的1000倍以上,且在保護(hù)時(shí)間內(nèi),對(duì)其他電路幾乎不會(huì)產(chǎn)生任何影響! 

半導(dǎo)體器件進(jìn)行配電的短路保護(hù)速度(來(lái)源:左成鋼)

 (2)繼電器

好了,我們?cè)賮?lái)看繼電器的可靠性。下圖為目前常用的車(chē)載繼電器的壽命對(duì)比,其電氣壽命一般在20萬(wàn)次左右(機(jī)械壽命一般更長(zhǎng),但不做參考)。繼電器的使用設(shè)計(jì)和保險(xiǎn)絲很像,最終失效也很像,一般最終失效就是達(dá)到了設(shè)計(jì)壽命,超過(guò)了使用次數(shù)限制,異常情況就是在設(shè)計(jì)壽命內(nèi)的非預(yù)期的觸點(diǎn)失效。

我們還參考上面遠(yuǎn)光燈的例子,按20萬(wàn)次來(lái)算,大概可以用13.3年,大概9733.3小時(shí),那么MTBF就是9733.3小時(shí),F(xiàn)IT值為102739.7,距離ASIL B要求的100FIT差異巨大。即使基于99%的DC,SRF仍高達(dá)1027FIT。 

常用車(chē)載繼電器的壽命對(duì)比(來(lái)源:英飛凌)

Tyco一款車(chē)載Plug-In繼電器壽命

(3)高邊開(kāi)關(guān)HSD

我們?cè)賮?lái)看用來(lái)取代保險(xiǎn)絲+繼電器的智能高邊開(kāi)關(guān)HSD的使用壽命及可靠性。下圖為英飛凌對(duì)智能高邊開(kāi)關(guān)壽命的描述,可以做到開(kāi)關(guān)1015次以上性能無(wú)衰減。 

智能高邊開(kāi)關(guān)壽命(來(lái)源:英飛凌)

下圖為T(mén)I的一顆高邊開(kāi)關(guān)HSD的FIT值。

高邊開(kāi)關(guān)FIT值(來(lái)源:TI)

參數(shù)對(duì)比:

 好了,洋洋灑灑幾千字,我們分析到這里也該給出結(jié)論了:通過(guò)對(duì)保險(xiǎn)絲和繼電器FIT值的分析,再對(duì)比高邊開(kāi)關(guān)HSD,“干掉保險(xiǎn)絲和繼電器,自動(dòng)駕駛會(huì)更安全”!所以,在使用車(chē)輛的自動(dòng)駕駛功能時(shí),對(duì)于要求功能安全等級(jí)為ASIL D的剎車(chē)和轉(zhuǎn)向等功能,你能安心地交給自動(dòng)駕駛系統(tǒng)嗎?先看看他有沒(méi)有用到保險(xiǎn)絲和繼電器,如果有,那么安全性就需要繼續(xù)提高。(當(dāng)然,如果沒(méi)有用,那也未必一定安全?。?/p>

 五.特斯拉Model 3已經(jīng)砍掉了保險(xiǎn)絲和繼電器

那市面上是否有一款車(chē),車(chē)上已經(jīng)干掉了保險(xiǎn)絲和繼電器了嗎?還真有,特斯拉從Model 3開(kāi)始,整車(chē)低壓電氣部分就干掉了所有的保險(xiǎn)絲和繼電器,用基于MOSFET的半導(dǎo)體方案進(jìn)行替代,而且目前市場(chǎng)上有且只有特斯拉是這么做的。

當(dāng)然我們無(wú)從得知特斯拉是否進(jìn)行了相關(guān)的功能安全ASIL等級(jí)分析,在此我們略過(guò)不談。

為什么只有特斯拉?

首先,特斯拉沒(méi)有歷史包袱之外,特斯拉車(chē)型少,車(chē)輛平臺(tái)架構(gòu)也一直在快速創(chuàng)新。

其次,特斯拉Model 3是全球第一款引入了區(qū)域架構(gòu)的量產(chǎn)車(chē)型,且其負(fù)責(zé)電源分配及負(fù)載/執(zhí)行器驅(qū)動(dòng)的三個(gè)模塊:FBCM、LBCM、RBCM全都是特斯拉自主設(shè)計(jì)的,沒(méi)有Tier1,所以特斯拉可以從整車(chē)電子電氣系統(tǒng)架構(gòu)層面進(jìn)行設(shè)計(jì)和創(chuàng)新,不會(huì)出現(xiàn)OEM不了解ECU模塊Tier1不了解整車(chē)的問(wèn)題。

筆者認(rèn)為,特斯拉取消低壓保險(xiǎn)絲和繼電器,是在其整車(chē)電子電氣架構(gòu)設(shè)計(jì)下自然而然的結(jié)果,而非原因;車(chē)輛低壓電氣系統(tǒng)的安全性提高也是結(jié)果。特斯拉采用半導(dǎo)體方案取代傳統(tǒng)的低壓保險(xiǎn)絲和繼電器,其實(shí)還有其更深層次的原因,我們將在下篇文章《特斯拉為什么要干掉保險(xiǎn)絲和繼電器》里面詳細(xì)分析。 

特斯拉Model 3的FBCM及其系統(tǒng)架構(gòu)(來(lái)源:左成鋼)

回到文章標(biāo)題,干掉保險(xiǎn)絲和繼電器,這是自動(dòng)駕駛系統(tǒng)安全的一個(gè)物理基礎(chǔ),就像你想做個(gè)高精度的鐘表,你肯定不能用機(jī)械表方案,因?yàn)闄C(jī)械表的精度再高,也不可能有石英表高,雖然高級(jí)的機(jī)械表精度可以比低級(jí)的石英表高,但石英表的常規(guī)水平就可以比頂尖的機(jī)械表精度高得多,這是由其物理基礎(chǔ)決定的。

所以說(shuō),沒(méi)有保險(xiǎn)絲和繼電器的自動(dòng)駕駛系統(tǒng)才能更安全! 

參考文獻(xiàn):

1. MINI® Blade Fuse Rated 32V,Littelfuse2. Introduction to Circuit Protection- Fuse Selection Guide, Littelfuse3. Fast Fuses Versus Slow: How do You Choose? Littelfuse4. Frequently asked questions, Eaton5. Smart High­ Side Switches Application Note, Stephane Fraissé6. Improving the automotive power distribution architecture,Philippe Dupuy7. Automotive relay replacement Reliability meets space savings,NXP8. ISO26262 Road vehicles — Functional safety9. Fuse Characteristics, Terms and Consideration Factors, Littelfuse10. Components Engineering Reference relays,F(xiàn)ujitsu11. Relay replacement & Power distribution with Power PROFET,Infineon12. Plug-In Relays_Mini ISO Relays_Power Relay F4/VF4, Tyco13. ISO16750-2 Road vehicles-Environmental conditions and testing for electrical and electronic equipment-Part 2: Electrical loads14. ADAS and autonomous driving market trends to 2030, Roland Berger15. SAE J3016 Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles16. Understanding Functional Safety FIT Base Failure Rate Estimates per IEC 62380 and SN 29500, TI17. Reliability terminology_Reliability_Quality & reliability, TI18. MEGA® and MEGA® Clear Top Fuse Rated 32V, Littelfuse

相關(guān)推薦

電子產(chǎn)業(yè)圖譜