干掉保险丝和继电器自动驾驶才能更安全
目前市面上几乎所有的车辆电气系统均在使用保险丝和继电器,对于传统车辆,这种设计是没有问题的,但对于自动驾驶系统,尤其是未来基于线控底盘的自动驾驶系统,这种100年前的技术已无法满足技术需求及安全性需求。
市面上是否有一款车,车上已经干掉了保险丝和继电器了吗?还真有,特斯拉从Model 3开始,整车低压电气部分就干掉了所有的保险丝和继电器,而且目前市场上有且只有特斯拉是这么做的。
并不是说基于保险丝和继电器的传统设计是“不可靠的”,就像设计精妙的机械表也可以达到很高的精度,但终归是无法超越石英表的,这是由其技术的物理基础决定的。
伴随着车辆的智能化,机械控制电气化和机电控制电子化的进程会不断加速,正如ibooster响应时间只有常规制动的一半,半导体器件的响应速度可以达到保险丝的上千倍,其可靠性也远高于保险丝。同理,未来自动驾驶也必将基于线控底盘才能满足系统的功能需求及可靠性需求。
本文在成稿过程中得到了许多业内专家的批评指正,康建芳和隋玉磊对本文提出了大量的修改建议,在此表示衷心的感谢!
如果你买了辆新车,无论他宣传说有多么牛的自动驾驶功能,你都先别信,你也别试图去研究或去作对比,反正你也研究不明白。今天我教你一个简单的方法,分辨出哪些车的自动驾驶功能更安全。
什么方法呢?很简单,打开引擎盖,再打开蓄电池旁边的那个大盒子,看看是里面否有保险丝和继电器,如下图:
整车所有的用电都要经过保险丝盒(也叫配电盒),里面看到的红、黄、蓝、绿各种颜色的东西就是保险丝,不同颜色表示不同电流。灰黑色的方块是继电器,车上的大灯、雨刮、油泵、风扇等都是由它来驱动的,控制端还在ECU。
你可能已经注意到了,这些保险丝和继电器都是可插拔式的,换句话说,是可以更换、需要更换的。为什么需要更换呢?因为这些东西会坏掉,其可靠性和寿命无法支撑车辆的整个生命周期。
但还有一个更重要的问题可能你没有意识到:保险盒的位置就在电池旁边,打开引擎盖就能看到,而且,保险盒的盖子很容易打开,极其方便进行维护,为什么车辆需要这种设计呢?在“寸土寸金”的发动机舱给保险盒预留这么好的地段?
其实根本原因就是为了“方便维护”。你品,你细品,为什么要“方便维护”?如果三五年才需要维护一次,那就算麻烦一点,按20年车辆寿命计算,也维护不了几次啊?况且我们的车都有定期保养的啊,所以,肯定还有其他原因!没错,能想到这一步,说明你已经接近了问题的真相,这就牵扯出来一个更严重的问题:定期维护保养仍无法解决保险和继电器的可靠性问题!
但事实就是这样,你的车辆可能“随时随地”因为保险丝和继电器坏掉而出现故障,毫无征兆,让人猝不及防。所以为了“方便维护”,厂家把保险盒的位置设置在了非常容易接近、容易触摸到、“方便维护”的位置,专业的说法叫“易接近性设计”,为了这个设计,车厂的布置工程师要掉不少头发,我们心疼一下!
因为保险爆掉的概率更高,所以车辆电气工程师贴心地给你设计了备用保险;另外,怕你手头没有工具,拔不出来保险(因为没有合适的工具,用手真的很难拔出来),还贴心地附带了一个保险夹,就是怕你哪天开车抛锚在了荒郊野外,前不着村后不着店的,方便你自己动手自救,你说贴心不贴心!
那你又要问了:为什么这么不可靠的东西,还一直用在车上呢?是的,这是一个好问题。
像我一样生于80年代的小伙伴们,对下图左边的这种闸刀加保险的东西肯定很熟悉,虽然那时候家里用电器很少,但是保险丝(也叫铅丝)可能还是经常的会爆掉,有时候手头没有备用的,就用铝丝给替代了,当然这样是不安全的,这是后话,扯远了。细心的你肯定发现了,现在即使在农村,也没有谁家里用保险丝了,都统一用空气开关了, 为什么呢?很简单,因为空开更可靠,更安全,且成本也不高,技术也很成熟了。
那为什么车上还在用老掉牙的、且不可靠的保险丝呢?很简单,因为经济实惠,别的方案要么更不可靠,要么太贵,目前的方案是综合考虑可靠性和成本后的最佳方案。
家里的空开一般也就三五路,如果你家超过十路,那你住的一定是豪宅。一般情况下,家里所有的插座可以共用一路保护,所有的灯可以共用一路保护,一个插座出问题,所有插座全部断电保护,对于家庭来说,问题不大,但车上就不能这么设计了。
在车上,为了车辆运行安全考虑,电力从蓄电池分配到每一路负载,每根线都需要有保护,所有的ECU几乎都有独立保险丝,因此车上的保险丝动辄几十个,豪华车甚至上百个。要将这些独立保险丝全部升级为更可靠的保护方案,不是做不到,而是成本不允许。那你说我只更换部分对可靠性更要求高的线路行不行?还是不行,平台架构不允许。
现在我们回归到本文的主题:自动驾驶车辆的安全性为什么会取决于保险丝和继电器呢?
谈到自动驾驶的安全性,那就脱离不了这三规:ISO26262功能安全、ISO21448预期功能安全、ISO21434信息安全,我们可以把ISO26262看作是基础,后两者可作为其应用场景的补充。可以参考《九章智驾》往期文章“万字阐述智能驾驶汽车安全体系”和“正确的自动驾驶“安全观”应是什么样子?”
今天,我们从自动驾驶系统安全的基础ISO26262作为切入点,但抛开大家一直关注的传感器、芯片、算法,着重讨论一个大家极少关注但又极为重要的、比自动驾驶系统更为基础的问题——车辆的低压电气安全。
无论是燃油车还是电动车,他们的差异仅仅是动力来源的差异,而车辆的控制系统,依然是基于低压电气系统,乘用车是12V系统,而商用车通常是24V系统。
抛开自动驾驶系统本身,从车辆供电系统及负载控制方式这个角度来分析,目前绝大多数传统车辆只有单路主电源的供电系统,发电机(电动车为DC-DC)与蓄电池为并联关系,供电采用传统保险丝+继电器,负载控制采用继电器开环控制,自动驾驶系统仅提供控制信号,而不能直接驱动负载工作。当这些车辆的供电网络因故障无法提供电源,或继电器控制失效、负载故障时,整车电气负载包括自动驾驶系统就无法正常工作,而对此时正处于自动驾驶模式的车辆,就存在失去控制的风险。
并且,传统的配电及负载控制方式,均为硬线开环控制,无任何故障检测、故障反馈及联网功能,即使发生故障,也无法检测、无法获取故障信息。
对传统车辆而言,车辆由驾驶员驾驶,驾驶员能及时发现车辆故障,并采取相应措施进行处理,只要处理得当,发生事故的概率极低;即使发生事故,对L4级别以下的车辆,责任主体也在驾驶员。
而对自动驾驶车辆,尤其是支持高级别自动驾驶的车辆,电气系统的安全性是至关重要的。
评估自动驾驶系统,不仅需要对ADS系统性失效和随机硬件失效进行评估,还要对外围供电系统进行系统性安全分析,进而达到避免级联失效的目的。
在自动驾驶模式状态下,当车辆电源网络或负载出现断电的失效模式,车辆即失去自动转向、自动制动和自动推进力且无法提醒驾驶员,此时车辆和人员即处于危险状态。
2. 负载控制部分,采用双电源供电,或双执行机构,如EPS会采用双电源供电,电机会采用双绕组等。
诚然,从失效概率角度来讲,增加冗余的确能够大幅降低失效概率,但从功能安全角度来讲,这还远远不够。
目前,可能是由于自动驾驶技术距离L4尚且太过遥远,SAE J3016在2021年4月份的更新中,对L3的定义中依然有“必要时驾驶员必须接管”的要求,所以从OEM到Tier1,大家都不怎么谈L3了,止步于L2或L2+/L2++,自动驾驶系统仍处于辅助阶段,再怎么说也就是一个高阶的ADAS,责任主体仍然是“人”,而非“系统”;
根据罗兰贝格的预测,未来很长一段时间内,L3级及以上自动驾驶技术的占比还是很低的,自动驾驶技术仍将长期处于辅助驾驶阶段。
所以目前就出现了一个奇怪的现象,从OEM到Tier1,大家“各干各的”。OEM提供车,Tier1提供自动驾驶系统解决方案,大家关注的焦点都在传感器、芯片算力、自动驾驶算法、落地场景等,而作为车辆安全基础的整车电气系统,却被大家选择性地“遗忘”了。
1.由于还没有到L4,即使出现事故,从法律上讲OEM也没有责任,因而也就不太关注;
2.车辆电气系统涉及到车辆平台架构,都具有很强的延续性,除非像特斯拉等造车新势力,传统OEM都有很重的历史包袱,很难直接推翻现有平台,上马全新的电气架构;
4.整车电气架构功能安全分析,这个耗资也很巨大,国内某OEM仅针对一款车做了整车功能安全分析,就耗资千万以上,更不用说一个平台了;
6.Tier1缺乏对车辆配电系统的了解,在规划自身系统的安全设计时,假定系统供电是正常的,但实际上外部电源是否达到了相应的功能安全要求,这个需要OEM基于功能从整车的角度进行功能安全分析,Tier1可能并不了解。
结合笔者近两年来对OEM与自动驾驶系统Tier1的观察,真实情况也大体如此:
目前无论是乘用车还是商用车,量产车型的电气系统基本沿袭传统设计,自动驾驶部门和电气设计部门分属不同事业部,而对自动驾驶相关的电气系统进行相应的功能安全设计分析就需要两个部门协同起来,但在实际技术对接时,Tier1面对的可能是OEM的电气设计部门。
自动驾驶系统的Tier1在进行设计时,供电的可靠性是属于系统边界之外的,意思就是,自动驾驶系统的功能安全ASIL等级是在供电可靠的基础上得到的。
而OEM如果没有对功能从整车的角度进行功能安全分析,那么整车的电气设计可能是不能支撑自动驾驶功能的安全等级的。不知道大家对传统车厂的分工是否了解,电气部门在OEM那边是作为一个类似于底盘、线束的传统部门,作为一个极其传统的部门,电气部门接到这个需求后,一般是没有能力评估电气系统的ASIL等级的,所以通常的做法就是基于目前的设计,直接按Tier1的供电设计,给自动驾驶系统再提供一路供电而已。
好了,我们回到上文提出的问题,在自动驾驶模式下,当车辆电源网络或负载出现故障,车辆即失去自动转向、自动制动和自动推进力且无法提醒驾驶员,此时车辆和人员处于危险状态。我们来分析一下,为什么车辆的电源网络或负载会出现故障?为什么车辆例行的维护和保养仍无法保障其可靠性?
目前市面上几乎所有的车辆电器系统均在使用保险丝和继电器,对于传统车辆,这种设计是没有问题的,但对于自动驾驶系统,这种100年前的技术已无法满足技术需求及安全性需求。
ISO 26262对相应ASIL等级安全目标的随机硬件失效概率度量PMHF要求如下:
传统的保险丝为被动要素,无自检能力,其失效模式的诊断覆盖率很难论证做到ASIL,传统的继电器为非MOS管式,随机硬件失效率也很高,也无法满足从安全目标分配到零部件的PMHF。
在此之前,我们先普及两个关于失效率的基本概念,FIT、MTBF和MTTF。
即:对于给定的样本大小n,将在t小时运行之后出现m次故障,如果在记下故障数“m”之前“n”运行了“t”小时,λavg为平均故障率。
如某个器件失效率为100fit,则平均预期可安全工作107小时,即一千万小时,1141.5年,也就是说ASIL B等级对可靠性的要求是安全工作1141.5年,是不是非常严苛?
而像转向、制动等功能,功能安全等级要求均为ASIL D级别,简单来讲,即系统需要安全工作一万年,才能出现一次故障。
据美国兰德智库估算,采用单车智能技术的自动驾驶车辆,需要累计170亿公里以上的测试数据,才能够实现自动驾驶系统的量产。谷歌早在10年前就开始进行自动驾驶测试,迄今才累计测试了100亿公里(仿真),还没有达到量产要求。所以L4级别的自动驾驶车辆实现量产,目前还有不小距离。
MTBF(mean time between failure,故障间隔平均时间),是相继发生的故障之间的平均时间。MTBF 用于可修复系统的情况。
MTTF(mean time to failure,失效平均间隔时间),是相继发生的失效之间的平均时间。MTTF 用于不可修复系统的情况。
而对于保险丝或者继电器,其设计就是可维护的,就是失效以后需要更换的,其MTTF即是其MTBF。
我们先来看保险丝,下面是车用保险丝供应商Bussmann对保险丝MTBF和FIT数据的回复,那就是没有数据可言。
但是我们可以根据保险供应商的推荐参数来估算,保险丝的工作寿命大体取决于以下几个方面:
保险丝的实际应用中,工程师会根据应用的不同进行降额设计,一般保险丝的基础降额是75%,比如发动机舱温度高达105度,那就对温度再降额到90%,这样算下来,一个20A的保险丝需要降额到67.5%,就只能带13.5A的负载正常工作,在线路出现短路问题时也能正常保护线束不发生起火事故。(此处提到的各种数字、比例,背后有一套很专业的计算方法,为避免过分陷入细节,此处不做深入展开)
这还远远不够,通常降额后仅能保证负载正常工作,至于能工作多久,还要看负载特性和应用场景,二者缺一不可。
一般保险丝的推荐设计是在特定负载特性下,负载的I²t参数在保险额定I²t的20%以内,保险寿命为105,即10万次。脉冲I²t与保险丝寿命的关系如下图:
根据这个数字,结合使用场景,基于传统保险丝盒来分析一下近光灯这个功能的FIT值。
近光灯一年大概会使用15000次,那我们就可以估算出近光灯保险大概在6.7年后会失效,需要更换,那么近光灯功能的MTBF就是4866.7小时,FIT值为205479.5,距离ASIL B要求的100 FIT相差甚远,当然了,一般对近光灯功能安全目标的定义是避免双侧近光灯全部失效,这个安全目标的功能安全等级达到ASIL B。
因为基于传统保险丝盒的设计,ECU是无法诊断到近光灯失效的,因为近光灯的驱动继电器在保险丝盒里面,所以根据单独的FIT值计算,显然是无法达到要求的。
IS026262对安全机制诊断覆盖率的描述(来源:IS026262.5附录D)
假如我们增加安全机制,提高诊断覆盖率呢?我们按ISO26262推荐的高诊断覆盖率等级99%进行计算,可以看到残余故障仍然达到2054.8FIT,是ASIL B 100FIT的20倍以上。
其实问题远没有我们想象的这么简单,因为实际应用场景的复杂性,远远超出了我们设计的假定范围,比如一个保险丝我们设计寿命是6年,但可能车开到报废了也没坏,也可能2年就坏了。
这就又涉及到保险丝的特性,如果设计或使用不当,极易发生“异常熔断”,也就是毫无征兆,没有发生任何故障,在设计寿命内,无缘无故地保险就熔断了,事后也找不到根本原因。
那你又要问了,有没有办法解决这个问题?还真有,那就是继续降额,选用更大规格的保险丝,比如原本是用20A的,你改用30A,异常熔断的概率就能降低很多。
具体能降低多少?不好说,因为真实负载情况过于复杂,比如用户修车换了负载,进行了车辆改装,或者车辆量产几年后换了负载供应商等。另外,使用更大的保险丝,虽然20A和30A的保险价格没差异,但相应的导线就必须换更粗的,这个成本就差远了,可能要高2-3倍了,车厂就不愿意了!
保险丝除了可靠性问题以外,还有一个很严重的问题:在线路故障时的保护速度问题,以及由此导致的对其他线路的影响问题。除了相关专业人士,极少有人注意到。
我们先看保险丝的保护速度问题,传统保险的保护时间(即熔断时间)一般在数百毫秒到秒级,具体视保险丝类型及故障电流而定。
我们再看在保险发生保护的这段时间内,因为一条线路故障,而对其他线路产生的影响。对于自动驾驶车辆的电气系统而言,当某一条线路发生短路时,由于保险熔断速度慢,在数百毫秒到秒级的这么长的一段时间内,蓄电池将承受一个很大的放电电流,整车电源电压将被显著拉低。
在电源故障的这段时间内,如果车辆刚好处于自动驾驶状态下,那么自动驾驶车辆的一些关键功能必须保持激活状态,比如雷达、摄像头、其他传感器、自动驾驶控制单元、刹车控制、转向控制等,但实际上这些设备及功能是无法接受如此长时间的电源故障的。
我们可以看到,如果车辆正在高速巡航自动驾驶状态,某个功能即使短暂失效100ms,也就是0.1秒,你的车子已经继续向前行驶了3.3米,是不是细思极恐?!
其实针对保险丝的这种保护特性,ISO标准ISO16750-2(道路车辆 电气及电子设备的环境条件和试验 第2部分 电气负荷)(对应的国标是GBT28046.2)中对此就提出了明确的试验要求,要求车辆的ECU能够承受100ms的电源电压间歇性跌落,跌落到4.5V。
而乘用车正常启动后的电压在14V左右,车载设备正常工作电压范围是9V-16V,一般低于9V,设备就不能正常工作了,即使ECU不发生重启,此时也基本处于功能受限状态,执行机构也不能正常工作!
那你说我不用传统保险丝呢,保护能不能快一点,对其他电路功能影响小一点?当然可以,我们看一下用智能半导体技术的故障保护速度。下图是一个商用车24V系统采用半导体器件进行短路保护的测试波形,可以看到,半导体器件能够在100微秒内切断故障电路,电源电压跌落仅2.1V(24V系统正常电压是28V左右),仅跌落了7.5%,保护时间极短,是传统保险丝的1000倍以上,且在保护时间内,对其他电路几乎不会产生任何影响!
好了,我们再来看继电器的可靠性。下图为目前常用的车载继电器的寿命对比,其电气寿命一般在20万次左右(机械寿命一般更长,但不做参考)。继电器的使用设计和保险丝很像,最终失效也很像,一般最终失效就是达到了设计寿命,超过了使用次数限制,异常情况就是在设计寿命内的非预期的触点失效。
我们还参考上面远光灯的例子,按20万次来算,大概可以用13.3年,大概9733.3小时,那么MTBF就是9733.3小时,FIT值为102739.7,距离ASIL B要求的100FIT差异巨大。即使基于99%的DC,SRF仍高达1027FIT。
我们再来看用来取代保险丝+继电器的智能高边开关HSD的使用寿命及可靠性。下图为英飞凌对智能高边开关寿命的描述,可以做到开关1015次以上性能无衰减。
好了,洋洋洒洒几千字,我们分析到这里也该给出结论了:通过对保险丝和继电器FIT值的分析,再对比高边开关HSD,“干掉保险丝和继电器,自动驾驶会更安全”!
所以,在使用车辆的自动驾驶功能时,对于要求功能安全等级为ASIL D的刹车和转向等功能,你能安心地交给自动驾驶系统吗?先看看他有没有用到保险丝和继电器,如果有,那么安全性就需要继续提高。(当然,如果没有用,那也未必一定安全!)
那市面上是否有一款车,车上已经干掉了保险丝和继电器了吗?还真有,特斯拉从Model 3开始,整车低压电气部分就干掉了所有的保险丝和继电器,用基于MOSFET的半导体方案进行替代,而且目前市场上有且只有特斯拉是这么做的。
当然我们无从得知特斯拉是否进行了相关的功能安全ASIL等级分析,在此我们略过不谈。
首先,特斯拉没有历史包袱之外,特斯拉车型少,车辆平台架构也一直在快速创新。
其次,特斯拉Model 3是全球第一款引入了区域架构的量产车型,且其负责电源分配及负载/执行器驱动的三个模块:FBCM、LBCM、RBCM全都是特斯拉自主设计的,没有Tier1,所以特斯拉可以从整车电子电气系统架构层面进行设计和创新,不会出现OEM不了解ECU模块\Tier1不了解整车的问题。
笔者认为,特斯拉取消低压保险丝和继电器,是在其整车电子电气架构设计下自然而然的结果,而非原因;车辆低压电气系统的安全性提高也是结果。特斯拉采用半导体方案取代传统的低压保险丝和继电器,其实还有其更深层次的原因,我们将在下篇文章《特斯拉为什么要干掉保险丝和继电器》里面详细分析。
回到文章标题,干掉保险丝和继电器,这是自动驾驶系统安全的一个物理基础,就像你想做个高精度的钟表,你肯定不能用机械表方案,因为机械表的精度再高,也不可能有石英表高,虽然高级的机械表精度可以比低级的石英表高,但石英表的常规水平就可以比顶尖的机械表精度高得多,这是由其物理基础决定的。差异充气电池径向载荷平均失效间隔时间宠物用品速度多边形杠杆法套装文具螺距偏差平行投影法