目前,市场上几乎所有的车辆电气系统都使用保险丝和继电器,对于传统车辆,这种设计没有问题,但对于自动驾驶系统,特别是未来基于线路控制底盘的自动驾驶系统,100年前的技术不能满足技术和安全需求。
市面上有没有一辆车,保险丝和继电器都被杀了?真的,特斯拉从Model 从3开始,所有的保险丝和继电器都被整车低压电气部继电器,目前市场上只有特斯拉这样做。
本文以传统保险丝和继电器的可靠性为切入点,旨在抛砖引玉,求同存异。
并不是说基于保险丝和继电器的传统设计是不可靠的,就像精致的机械表也可以达到很高的精度一样,但它不能超过石英表,这是由其技术的物理基础决定的。
随着车辆的智能化,机械控制电气化和机电控制电子化的过程将继续加快,就像ibooster响应时间仅为常规制动器的一半,半导体设备的响应速度可达到保险丝的数千倍,其可靠性远高于保险丝。同样,未来的自动驾驶也将基于线路控制底盘来满足系统的功能和可靠性需求。
在成稿过程中,康建芳和隋玉磊对本文提出了很多修改建议,在此表示衷心的感谢!
如果你买了一辆新车,不管他的自动驾驶功能有多好,不要相信,也不要试图研究或比较。不管怎样,你不明白。今天,我将教你一个简单的方法来区分哪些汽车的自动驾驶功能更安全。
什么方法?打开引擎盖,然后打开电池旁边的大盒子,看看是否有保险丝和继电器,如下图所示:
乘用车保险箱的位置及内部结构
整车所有的用电都要经过保险丝盒(也叫配电盒),里面看到的红、黄、蓝、绿各种颜色的东西就是保险丝,不同颜色表示不同电流。灰黑色的方块是继电器,车上的大灯、雨刮、油泵、风扇等都是由它来驱动的,控制端还在ECU。
车载保险丝及继电器(来源:Little,Hella)
你可能已经注意到了,这些保险丝和继电器都是可插拔式的,换句话说,是可以更换、需要更换的。为什么需要更换呢?因为这些东西会坏掉,其可靠性和寿命无法支撑车辆的整个生命周期。
但还有一个更重要的问题你可能没有意识到:保险箱位于电池旁边,打开引擎盖,保险箱盖很容易打开,维护非常方便,为什么车辆需要这个设计?在寸土寸金的发动机舱里为保险箱预留这么好的位置?
事实上,根本原因是方便维护。你的产品,你的产品,为什么要方便维护?如果你需要每三到五年保养一次,即使有点麻烦,根据20年的车辆寿命,也不能保养几次啊?此外,我们的车也有定期的保养,所以,一定还有其他原因!是的,想到这一步表明你已经接近了问题的真相,这涉及到一个更严重的问题:
是不是觉得细恐吗?
但事实是,你的车辆可能会随时随地,因为保险丝和继电器坏了,没有任何警告,让人们措手不及。因此,为了方便维护,制造商将保险箱的位置设置在一个非常容易接近、容易接触、方便维护的位置,专业称为容易接近设计,为了这个设计,汽车工厂布局工程师会掉很多头发,我们爱!
因为保险爆炸的可能性更高,车辆电气工程师亲密地为您设计了备用保险;此外,担心你没有工具,不能拔出保险(因为没有合适的工具,真的很难拔出),但也亲密地附加了一个保险夹,害怕有一天你开车在荒野中抛锚,没有商店,方便你自救,你说亲密不亲密!
备用保险和保险夹
那你又要问:为什么这么不靠谱的东西还在车里用?是的,这是个好问题。
像我这样出生在20世纪80年代的朋友一定很熟悉下图左边的门刀和保险。虽然当时家里很少使用电器,但保险丝(也称为铅丝)可能会经常爆炸。有时手头没有备用,所以用铝丝代替。当然,这是不安全的。这是后面的话。细心的你一定发现,现在即使在农村,也没有人在家里使用保险丝,都统一使用空气开关, 为什么呢?很简单,因为空开更可靠,更安全,成本不高,技术也很成熟。
老式家用闸刀及空开
那么,为什么汽车仍然使用旧的和不可靠的保险丝呢?这很简单,因为经济实惠,其他方案要么更不可靠,要么太贵,目前的方案是综合考虑可靠性和成本后的最佳方案。
一般来说,家里有三五条空路。如果你家有十多条路,你一定住在豪宅里。一般来说,家里所有的插座都可以一路保护,所有的灯都可以一路保护。如果一个插座有问题,所有的插座都会断电。对于家庭来说,问题不大,但车不能这样设计。
在车辆上,为了车辆的运行安全,电从电池分配到每个负载,每条线路都需要保护,所有ECU几乎都有独立的保险丝,所以车上有几十个保险丝,豪华车甚至几百个。将所有这些独立保险丝升级为更可靠的保护方案,非不可能,而是成本不允许。你认为我只能更换一些对可靠性要求更高的线路吗?还是不行,平台架构不允许。
现在让我们回到本文的主题:为什么自动驾驶车辆的安全取决于保险丝和继电器?
说到自动驾驶的安全性,离不开这三条规定:ISO26262功能安全、ISO预计21448功能安全,ISO21434信息安全,我们可以ISO26262被认为是基础,后两者可以作为其应用场景的补充。您可以参考智能驾驶汽车安全系统和正确的自动驾驶安全观?
今天,我们从自动驾驶系统安全的基础出发,然而,尽管传感器、芯片和算法一直备受关注,但它关注的是一个比自动驾驶系统更基本的问题——车辆的低压电气安全。
无论是燃油车还是电动车,它们的区别只是动力源的差异,车辆控制系统仍然基于低压电气系统,乘用车是12V商用车通常是24V系统。
电气系统自动驾驶简图(来源:左成钢)
无论自动驾驶系统本身如何,从车辆供电系统和负载控制模式的角度来看,绝大多数传统车辆只有单路主电源、发电机(电动汽车)DC-DC)与电池并联,采用传统保险丝供电 继电器、负载控制采用继电器开环控制,自动驾驶系统只提供控制信号,驱动负载工作。当这些车辆的供电网络因故障无法提供电源,或继电器控制故障和负载故障时,包括自动驾驶系统在内的车辆的电气负载无法正常工作,并有失控的风险。
此外,传统的配电和负载控制方法是硬线开环控制,没有任何故障检测、故障反馈和网络功能。即使出现故障,也无法检测和获取故障信息。
对于传统车辆,如果车辆由司机驾驶,司机可以及时发现车辆故障并采取相应措施处理。只要处理得当,事故发生的概率就很低;即使发生事故,也是正确的L4级别以下的车辆,责任主体也在驾驶员。
电气系统的安全辆,特别是支持高级自动驾驶的车辆,电气系统的安全至关重要。
评估自动驾驶系统不仅需要ADS评估系统故障和随机硬件故障,对外围供电系统进行系统安全分析,避免级联故障。
在自动驾驶模式下,当车辆电源网络或载出现断电的失效模式,车辆即失去自动转向、自动制动和自动推进力且无法提醒驾驶员,此时车辆和人员即处于危险状态。
针对电源或负载的电气问题,惯用的设计方法一般就是增加冗余,比如:
1. 供电部分,采用双电源供电;
2. 负载控制部分,采用双电源供电,或双执行机构,如EPS会采用双电源供电,电机会采用双绕组等。
。
目前,可能是由于自动驾驶技术距离L4尚且太过遥远,SAE J3016在2021年4月份的更新中,对L3的定义中依然有“必要时驾驶员必须接管”的要求,所以从OEM到Tier1,大家都不怎么谈L3了,止步于L2或L2+/L2++,自动驾驶系统仍处于辅助阶段,再怎么说也就是一个高阶的ADAS,责任主体仍然是“人”,而非“系统”;
SAE 2021年4月30日发布的更新版SAE J3016
根据罗兰贝格的预测,未来很长一段时间内,L3级及以上自动驾驶技术的占比还是很低的,自动驾驶技术仍将长期处于辅助驾驶阶段。
罗兰贝格对未来自动驾驶技术等级占比的预测
所以目前就出现了一个奇怪的现象,从OEM到Tier1,大家“各干各的”。OEM提供车,Tier1提供自动驾驶系统解决方案,
出现这种现象,可能有以下几点原因:
1.由于还没有到L4,即使出现事故,从法律上讲OEM也没有责任,因而也就不太关注;
2.车辆电气系统涉及到车辆平台架构,都具有很强的延续性,除非像特斯拉等造车新势力,传统OEM都有很重的历史包袱,很难直接推翻现有平台,上马全新的电气架构;
3.车辆平台架构设计耗资巨大,如大众MQB平台耗资达上百亿美金;
4.整车电气架构功能安全分析,这个耗资也很巨大,国内某OEM仅针对一款车做了整车功能安全分析,就耗资千万以上,更不用说一个平台了;
5.Tier1专注于自动驾驶系统,尚无精力涉及相关的电气系统;
6.Tier1缺乏对车辆配电系统的了解,在规划自身系统的安全设计时,假定系统供电是正常的,但实际上外部电源是否达到了相应的功能安全要求,这个需要OEM基于功能从整车的角度进行功能安全分析,Tier1可能并不了解。
结合笔者近两年来对OEM与自动驾驶系统Tier1的观察,真实情况也大体如此:
目前无论是乘用车还是商用车,量产车型的电气系统基本沿袭传统设计,自动驾驶部门和电气设计部门分属不同事业部,而对自动驾驶相关的电气系统进行相应的功能安全设计分析就需要两个部门协同起来,但在实际技术对接时,Tier1面对的可能是OEM的电气设计部门。
自动驾驶系统的Tier1在进行设计时,供电的可靠性是属于系统边界之外的,意思就是,自动驾驶系统的功能安全ASIL等级是在供电可靠的基础上得到的。
而OEM如果没有对功能从整车的角度进行功能安全分析,那么整车的电气设计可能是不能支撑自动驾驶功能的安全等级的。不知道大家对传统车厂的分工是否了解,电气部门在OEM那边是作为一个类似于底盘、线束的传统部门,作为一个极其传统的部门,电气部门接到这个需求后,一般是没有能力评估电气系统的ASIL等级的,所以通常的做法就是基于目前的设计,直接按Tier1的供电设计,给自动驾驶系统再提供一路供电而已。
好了,我们回到上文提出的问题,在自动驾驶模式下,当车辆电源网络或负载出现故障,车辆即失去自动转向、自动制动和自动推进力且无法提醒驾驶员,此时车辆和人员处于危险状态。我们来分析一下,为什么车辆的电源网络或负载会出现故障?为什么车辆例行的维护和保养仍无法保障其可靠性?
我们终于回到了文章的标题:。
各种车用保险、继电器及乘用车发动机舱保险丝盒
目前市面上几乎所有的车辆电器系统均在使用保险丝和继电器,对于传统车辆,这种设计是没有问题的,但对于自动驾驶系统,这种100年前的技术已无法满足技术需求及安全性需求。
ISO 26262对相应ASIL等级安全目标的随机硬件失效概率度量PMHF要求如下:
ISO26262对SPFM、LFM及PMHF的要求(来源:ISO26262.5)
这是一个基本要求,并且,这个要求是硬性的,是要有数据支撑的。
在此之前,我们先普及两个关于失效率的基本概念,FIT、MTBF和MTTF。
FIT - 时基故障,每工作 10 亿个小时发生的故障数,定义如下:
即:对于给定的样本大小n,将在t小时运行之后出现m次故障,如果在记下故障数“m”之前“n”运行了“t”小时,λavg为平均故障率。
如某个器件失效率为100fit,则平均预期可安全工作107小时,即一千万小时,1141.5年,也就是说ASIL B等级对可靠性的要求是安全工作1141.5年,是不是非常严苛?
而像转向、制动等功能,功能安全等级要求均为ASIL D级别,简单来讲,即系统需要安全工作一万年,才能出现一次故障。
据美国兰德智库估算,采用单车智能技术的自动驾驶车辆,需要累计170亿公里以上的测试数据,才能够实现自动驾驶系统的量产。谷歌早在10年前就开始进行自动驾驶测试,迄今才累计测试了100亿公里(仿真),还没有达到量产要求。所以L4级别的自动驾驶车辆实现量产,目前还有不小距离。
MTBF(mean time between failure,故障间隔平均时间),是相继发生的故障之间的平均时间。MTBF 用于可修复系统的情况。
MTTF(mean time to failure,失效平均间隔时间),是相继发生的失效之间的平均时间。MTTF 用于不可修复系统的情况。
MTBF和FIT是可以相互转化的,即109/MTBF可转变成FIT值。
而对于保险丝或者继电器,其设计就是可维护的,就是失效以后需要更换的,其MTTF即是其MTBF。
我们先来看保险丝,下面是车用保险丝供应商Bussmann对保险丝MTBF和FIT数据的回复,那就是没有数据可言。
对保险丝的MTBF/FIT(来源:Bussmann)
但是我们可以根据保险供应商的推荐参数来估算,保险丝的工作寿命大体取决于以下几个方面:
1)工作环境温度:温度越高,寿命越短;
2)负载特性:负载冲击电流越大、持续时间越长,寿命越短。
3)应用场景:实际也就是工况,用车过程中使用次数越多,寿命衰减越厉害。
保险丝的实际应用中,工程师会根据应用的不同进行降额设计,一般保险丝的基础降额是75%,比如发动机舱温度高达105度,那就对温度再降额到90%,这样算下来,一个20A的保险丝需要降额到67.5%,就只能带13.5A的负载正常工作,在线路出现短路问题时也能正常保护线束不发生起火事故。(此处提到的各种数字、比例,背后有一套很专业的计算方法,为避免过分陷入细节,此处不做深入展开)
这还远远不够,通常降额后仅能保证负载正常工作,至于能工作多久,还要看负载特性和应用场景,二者缺一不可。
一般保险丝的推荐设计是在特定负载特性下,负载的I²t参数在保险额定I²t的20%以内,保险寿命为105,即10万次。脉冲I²t与保险丝寿命的关系如下图:
保险丝寿命与I2t的关系(来源:Littelfuse)
根据这个数字,结合使用场景,基于传统保险丝盒来分析一下近光灯这个功能的FIT值。
传统保险丝盒电气原理图
车辆寿命与运行时间(来源:英飞凌)
车辆常用功能使用次数的定义(来源:英飞凌)
我们先上数据:
近光灯功能MTBF及FIT值计算:
近光灯一年大概会使用15000次,那我们就可以估算出近光灯保险大概在6.7年后会失效,需要更换,那么近光灯功能的MTBF就是4866.7小时,FIT值为205479.5,距离ASIL B要求的100 FIT相差甚远,当然了,一般对近光灯功能安全目标的定义是避免双侧近光灯全部失效,这个安全目标的功能安全等级达到ASIL B。
因为基于传统保险丝盒的设计,ECU是无法诊断到近光灯失效的,因为近光灯的驱动继电器在保险丝盒里面,所以根据单独的FIT值计算,显然是无法达到要求的。
IS026262对安全机制诊断覆盖率的描述(来源:IS026262.5附录D)
假如我们增加安全机制,提高诊断覆盖率呢?我们按ISO26262推荐的高诊断覆盖率等级99%进行计算,可以看到残余故障仍然达到2054.8FIT,是ASIL B 100FIT的20倍以上。
其实问题远没有我们想象的这么简单,因为实际应用场景的复杂性,远远超出了我们设计的假定范围,比如一个保险丝我们设计寿命是6年,但可能车开到报废了也没坏,也可能2年就坏了。
“NUISANCE OPENING”的解释(来源:Littelfuse)
那你又要问了,有没有办法解决这个问题?还真有,那就是继续降额,选用更大规格的保险丝,比如原本是用20A的,你改用30A,异常熔断的概率就能降低很多。
具体能降低多少?不好说,因为真实负载情况过于复杂,比如用户修车换了负载,进行了车辆改装,或者车辆量产几年后换了负载供应商等。另外,使用更大的保险丝,虽然20A和30A的保险价格没差异,但相应的导线就必须换更粗的,这个成本就差远了,可能要高2-3倍了,车厂就不愿意了!
保险丝除了可靠性问题以外,还有一个很严重的问题:在线路故障时的保护速度问题,以及由此导致的对其他线路的影响问题。除了相关专业人士,极少有人注意到。
我们先看保险丝的保护速度问题,传统保险的保护时间(即熔断时间)一般在数百毫秒到秒级,具体视保险丝类型及故障电流而定。
车载保险丝熔断时间(来源:Littelfuse)
我们再看在保险发生保护的这段时间内,因为一条线路故障,而对其他线路产生的影响。对于自动驾驶车辆的电气系统而言,当某一条线路发生短路时,由于保险熔断速度慢,在数百毫秒到秒级的这么长的一段时间内,蓄电池将承受一个很大的放电电流,整车电源电压将被显著拉低。
线路短路对电源电压的影响(来源:左成钢)
在电源故障的这段时间内,如果车辆刚好处于自动驾驶状态下,那么自动驾驶车辆的一些关键功能必须保持激活状态,比如雷达、摄像头、其他传感器、自动驾驶控制单元、刹车控制、转向控制等,但实际上这些设备及功能是无法接受如此长时间的电源故障的。
车速、行驶距离与延时的关系
我们可以看到,如果车辆正在高速巡航自动驾驶状态,某个功能即使短暂失效100ms,也就是0.1秒,你的车子已经继续向前行驶了3.3米,是不是细思极恐?!
其实针对保险丝的这种保护特性,ISO标准ISO16750-2(道路车辆 电气及电子设备的环境条件和试验 第2部分 电气负荷)(对应的国标是GBT28046.2)中对此就提出了明确的试验要求,要求车辆的ECU能够承受100ms的电源电压间歇性跌落,跌落到4.5V。
而乘用车正常启动后的电压在14V左右,车载设备正常工作电压范围是9V-16V,一般低于9V,设备就不能正常工作了,即使ECU不发生重启,此时也基本处于功能受限状态,执行机构也不能正常工作!
ISO16750-2对电源电压跌落的试验要求
那你说我不用传统保险丝呢,保护能不能快一点,对其他电路功能影响小一点?当然可以,我们看一下用智能半导体技术的故障保护速度。下图是一个商用车24V系统采用半导体器件进行短路保护的测试波形,可以看到,半导体器件能够在100微秒内切断故障电路,电源电压跌落仅2.1V(24V系统正常电压是28V左右),仅跌落了7.5%,保护时间极短,是传统保险丝的1000倍以上,且在保护时间内,对其他电路几乎不会产生任何影响!
半导体器件进行配电的短路保护速度(来源:左成钢)
好了,我们再来看继电器的可靠性。下图为目前常用的车载继电器的寿命对比,其电气寿命一般在20万次左右(机械寿命一般更长,但不做参考)。继电器的使用设计和保险丝很像,最终失效也很像,一般最终失效就是达到了设计寿命,超过了使用次数限制,异常情况就是在设计寿命内的非预期的触点失效。
我们还参考上面远光灯的例子,按20万次来算,大概可以用13.3年,大概9733.3小时,那么MTBF就是9733.3小时,FIT值为102739.7,距离ASIL B要求的100FIT差异巨大。即使基于99%的DC,SRF仍高达1027FIT。
常用车载继电器的寿命对比(来源:英飞凌)
Tyco一款车载Plug-In继电器寿命
我们再来看用来取代保险丝+继电器的智能高边开关HSD的使用寿命及可靠性。下图为英飞凌对智能高边开关寿命的描述,可以做到开关1015次以上性能无衰减。
智能高边开关寿命(来源:英飞凌)
下图为TI的一颗高边开关HSD的FIT值。
高边开关FIT值(来源:TI)
参数对比:
好了,洋洋洒洒几千字,我们分析到这里也该给出结论了:通过对保险丝和继电器FIT值的分析,再对比高边开关HSD,“干掉保险丝和继电器,自动驾驶会更安全”!
所以,在使用车辆的自动驾驶功能时,对于要求功能安全等级为ASIL D的刹车和转向等功能,你能安心地交给自动驾驶系统吗?先看看他有没有用到保险丝和继电器,如果有,那么安全性就需要继续提高。(当然,如果没有用,那也未必一定安全!)
那市面上是否有一款车,车上已经干掉了保险丝和继电器了吗?
当然我们无从得知特斯拉是否进行了相关的功能安全ASIL等级分析,在此我们略过不谈。
为什么只有特斯拉?
首先,特斯拉没有历史包袱之外,特斯拉车型少,车辆平台架构也一直在快速创新。
其次,特斯拉Model 3是全球第一款引入了区域架构的量产车型,且其负责电源分配及负载/执行器驱动的三个模块:FBCM、LBCM、RBCM全都是特斯拉自主设计的,没有Tier1,所以特斯拉可以从整车电子电气系统架构层面进行设计和创新,不会出现OEM不了解ECU模块\Tier1不了解整车的问题。
笔者认为,特斯拉取消低压保险丝和继电器,是在其整车电子电气架构设计下自然而然的结果,而非原因;车辆低压电气系统的安全性提高也是结果。特斯拉采用半导体方案取代传统的低压保险丝和继电器,其实还有其更深层次的原因,我们将在下篇文章《特斯拉为什么要干掉保险丝和继电器》里面详细分析。
特斯拉Model 3的FBCM及其系统架构(来源:左成钢)
回到文章标题,干掉保险丝和继电器,这是自动驾驶系统安全的一个物理基础,就像你想做个高精度的钟表,你肯定不能用机械表方案,因为机械表的精度再高,也不可能有石英表高,虽然高级的机械表精度可以比低级的石英表高,但石英表的常规水平就可以比顶尖的机械表精度高得多,这是由其物理基础决定的。
1. MINI® Blade Fuse Rated 32V,Littelfuse
2. Introduction to Circuit Protection- Fuse Selection Guide, Littelfuse
3. Fast Fuses Versus Slow: How do You Choose? Littelfuse
4. Frequently asked questions, Eaton
5. Smart High Side Switches Application Note, Stephane Fraissé
6. Improving the automotive power distribution architecture,Philippe Dupuy
7. Automotive relay replacement Reliability meets space savings,NXP
8. ISO26262 Road vehicles — Functional safety
9. Fuse Characteristics, Terms and Consideration Factors, Littelfuse
10. Components Engineering Reference relays,Fujitsu
11. Relay replacement & Power distribution with Power PROFET,Infineon
12. Plug-In Relays_Mini ISO Relays_Power Relay F4/VF4, Tyco
13. ISO16750-2 Road vehicles-Environmental conditions and testing for electrical and electronic equipment-Part 2: Electrical loads
14. ADAS and autonomous driving market trends to 2030, Roland Berger
15. SAE J3016 Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles
16. Understanding Functional Safety FIT Base Failure Rate Estimates per IEC 62380 and SN 29500, TI
17. Reliability terminology_Reliability_Quality & reliability, TI
18. MEGA® and MEGA® Clear Top Fuse Rated 32V, Littelfuse
◆九章 - 2021年度文章大合集
◆当候选人说“看好自动驾驶产业的前景”时,我会心存警惕——九章智驾创业一周年回顾(上)
◆数据收集得不够多、算法迭代得不够快,就“没人喜欢我”————九章智驾创业一周年回顾(下)
◆干掉ISP,特斯拉“纯视觉路线”的关键一跃
◆大热的“滑板底盘”会以什么节奏落地?
◆自动驾驶公司如何打造产品市场体系
如果您有兴趣给《九章智驾》投稿(“知识积累整理”类型文章),请扫描右方二维码,添加工作人员微信。
注:加微信时务必备注您的真实姓名、公司、现岗位
以及意向岗位等信息,谢谢!
A:信息密度高于绝大多数券商的绝大多数报告,不低于《九章智驾》的平均水平;
B:信息要高度稀缺,需要80%以上的信息是在其他媒体上看不到的,如果基于公开信息,需有特别牛逼的独家观点才行。多谢理解与支持。