汽车电源系统的安全开发原则

芝能科技出品

随着汽车行业向电动化和自动驾驶的快速发展，汽车中的电子和/或电气系统（E/E系统）的安全性变得日益重要。电源输入的确保对于与安全相关的E/E系统至关重要，这导致了对电源系统的功能安全要求的增加。

本文将介绍如何在汽车行业内确保电源系统的功能安全，以及如何根据ISO 26262标准开发安全的电源系统。

为了跟上这些趋势，需要开发新的功能和E/E系统。在汽车行业中，应应用ISO 26262系列标准以确保与安全相关的E/E系统的功能安全。由于这些系统的增多和复杂性的提高，新的安全意识和对安全电源供应领域的关注变得至关重要。

电源系统的故障

根据最近的车辆故障统计，电气故障对车辆故障有巨大影响。电气故障包括电池、交流发电机、起动机、照明和线路的故障。这些电气故障不仅导致车辆故障的主要因素，而且在过去十年中，电气故障的比例增加了约12个百分点。所有这些电气故障都可能干扰与安全相关的E/E系统，并可能导致安全关键的驾驶情况。

在电源系统开发中考虑功能安全的必要性是由立法和标准驱动的。ISO 26262是针对道路车辆中电气和/或电子（E/E）系统的特定需求而制定的IEC 61508的改编版本。

通常，遵守ISO 26262的要求是自愿的，即不是车辆认证的强制性要求。但是，在产品责任案件中，必须证明符合最新技术状态作为排除损害赔偿责任的最低要求。

ISO 26262下的电源系统安全开发

ISO 26262的目标是提供指导，以防止和/或减轻由于技术复杂性增加、软件和机电一体化实施导致系统故障和随机硬件故障造成的风险。该标准分为12个部分，每个部分关注安全相关E/E系统安全生命周期的不同阶段/活动，或者提供有价值的应用指南和解释。

● 根据ISO 26262系统地开发安全的电源系统，重点关注第3部分：概念阶段，规定了以下要求：

◎ 项目定义；

◎ 危险分析和风险评估；

◎ 功能安全概念。

还提供了电源系统组件在功能安全方面的详细视图，对电源系统的功能安全要求不断增加。电源系统的故障是车辆故障的主要贡献者，因此可能违反安全目标。

虽然目前强烈推荐在产品责任诉讼中考虑功能安全，但未来将要求车辆认证必须满足功能安全要求。电源供应在内的转向电子控制系统必须根据功能安全标准进行开发和评估，以获得认证。在创建功能安全概念之前，需要定义范围，即项目，并识别危险。

● 确保安全电源供应的一致和全面的功能安全概念必须基于三个高级安全要求：

◎ 电源和存储的电源供应；

◎ 通过线束的电源分配；

◎ 安全相关和非安全相关负载之间或具有不同ASIL等级的安全相关负载之间的干扰自由。

在ASIL分解为两个冗余路径的电源供应中，每个单独的电源或存储必须能够独立执行初始功能。对于电池的电源供应，必须通过智能电池诊断检测渐进性故障。至少必须确保足够的功率和能量以执行最小风险操作。这样的高级和智能电池诊断可以实现，在ASIL合格的电子电池传感器上。可以启用基于12V铅电池的安全电源系统。线束在ISO 26262的系统开发范围内，以及对HW指标的定量评估。没有标准化的故障率可用于计算所有线束组件的ISO 26262兼容指标。

● 功能安全概念需要：

◎ 指定项目在功能或降级功能行为方面的要求。

◎ 指定与其安全目标相一致的相关故障的及时检测和控制的约束。

◎ 将功能安全要求分配到系统架构设计中。

● 安全要求的层次化分解

对于安全目标的细化，通常采用层次化方法，例如，针对“防止突然失去转向辅助”的安全目标，可以分解为EPS（电子动力转向系统）本身的可用性和EPS输入电压的安全要求。

● 安全状态的定义

定义安全状态，即在故障情况下项目没有不合理风险的操作模式。例如，EPS在失去转向辅助功能时，需要确保驾驶员能够执行最小风险操作。

● 硬件指标（Hardware Metrics）和预算

ISO 26262要求通过所谓的硬件指标（HW metrics）对随机硬件故障进行定量安全评估。这些指标包括随机硬件故障的概率度量（PMHF）、单点故障度量（SPFM）和潜在故障度量（LFM）。

● 故障率的推导

对于ASIL C或ASIL D安全目标，需要考虑单点故障（SPF）和残余故障（RF）的量化或定性措施。可以使用故障模式、影响和诊断分析（FMEDA）来进行故障率的分析。