翻故紙堆，對(duì)于我來(lái)說(shuō)是很有意義的一項(xiàng)活動(dòng)，就好比是以更復(fù)雜的chatGPT模型去回答從前百思不解的問(wèn)題，總有新收獲。這跟考完試直接看答案分析還不太一樣，因?yàn)殄e(cuò)的地方即使看過(guò)了幾遍正確答案也還是不理解為什么會(huì)錯(cuò)。

一個(gè)比較厚的故紙堆，就是曾經(jīng)年少輕狂的時(shí)候在博世Weilimdorf寫(xiě)的畢業(yè)論文，也算是第一次在校外接觸到嵌入式開(kāi)發(fā)和功能安全實(shí)踐。

道上的朋友有一個(gè)比較有趣的理論，說(shuō)寫(xiě)論文好比去草原上獵兔子。兔子總歸到處都是的，本科的時(shí)候是各路導(dǎo)師一起手把手教你如何定位兔子捕捉兔子，碩士的時(shí)候?qū)熃o你指出一個(gè)兔子讓你去抓，博士的時(shí)候?qū)焺t是只給你一個(gè)大方向就什么都不管了。

個(gè)人沒(méi)有讀過(guò)博士，但是本科和碩士論文難度對(duì)我來(lái)說(shuō)實(shí)在是天差地別。本科論文的時(shí)候在博世CC的導(dǎo)師真的超nice，循循善誘的，然后還有一大堆同事隨時(shí)可以問(wèn)問(wèn)題。而寫(xiě)碩士論文第一次接觸到功能安全和整車(chē)電源網(wǎng)絡(luò)架構(gòu)的時(shí)候真的是一臉懵，只覺(jué)得是很棒的系統(tǒng)化思維，但是就是不理解，主打一個(gè)不明覺(jué)厲。

導(dǎo)師是卡魯工大博士畢業(yè)，職位是博世汽車(chē)電子事業(yè)部戰(zhàn)略統(tǒng)籌部門(mén)（AE-BE/EKE）經(jīng)理兼任功能安全經(jīng)理。當(dāng)年(2012)ISO26262第一版還只是剛剛發(fā)布而已，他已經(jīng)陸續(xù)輔導(dǎo)了幾個(gè)功能安全的相關(guān)論文了。這幾篇論文按時(shí)間排列如下：

1. 2010年2月到8月

Erstellung eines Modellierungskonzeptes zur Umsetzung der Funktionalen Sicherheit innerhalb der?Elektrik/ElektronikSystemarchitekturentwicklung im Kraftfahrzeug-為汽車(chē)電子電器領(lǐng)域內(nèi)系統(tǒng)架構(gòu)的開(kāi)發(fā)建立一個(gè)符合功能安全要求的建模概念

這篇論文中，作者探索了整車(chē)電源系統(tǒng)架構(gòu)的建模方法，不過(guò)在建模之前先討論了相關(guān)系統(tǒng)的安全目標(biāo)和HARA分析。作者嘗試了使用適當(dāng)?shù)墓ぞ撸ū热?UML、SysML 等）來(lái)建立系統(tǒng)架構(gòu)模型。在模型中，明確標(biāo)識(shí)系統(tǒng)的各個(gè)組件、接口、數(shù)據(jù)流和狀態(tài)轉(zhuǎn)換等元素，以便全面了解系統(tǒng)的運(yùn)作方式，并且在模型中引入風(fēng)險(xiǎn)分析，識(shí)別潛在的安全風(fēng)險(xiǎn)，并確定相應(yīng)的安全措施來(lái)降低或消除這些風(fēng)險(xiǎn)。這有助于制定有效的功能安全策略。

2. 2010年5月到11月

Sicherheits-und Zuverl?ssigkeitsanalyse zukünftiger Energiebordnetze im Kraftfahrzeug-車(chē)載電源電路的安全性及可靠性分析

這篇論文中，作者主要針對(duì)三個(gè)簡(jiǎn)單架構(gòu)?（1. 單控制器架構(gòu)，2. 通過(guò)BUS連接的雙控制器架構(gòu)，3. 通過(guò)網(wǎng)關(guān)連接的雙節(jié)點(diǎn)架構(gòu)，兩個(gè)節(jié)點(diǎn)一個(gè)使用CAN低，一個(gè)使用CAN高）分別計(jì)算了每個(gè)架構(gòu)的單點(diǎn)失效率，其中第一個(gè)架構(gòu)在沒(méi)有安全機(jī)制的情況下SPFM為47.58%，第二個(gè)架構(gòu)為48.55%，第三個(gè)架構(gòu)為49.10%。然后三個(gè)架構(gòu)的SPFM在分別加入針對(duì)輸出控制的診斷覆蓋度為高的安全機(jī)制后都提高到85%以上，90%以下。其實(shí)這種系統(tǒng)級(jí)的FMEDA計(jì)算出的值跟硬件級(jí)別計(jì)算有顯著的不同，三種架構(gòu)的魯棒性這樣看起來(lái)是連ASIL B的要求都不滿(mǎn)足的，這大概是為什么這個(gè)思路沒(méi)有繼續(xù)下去。

3. 2011年6月到12月

Qualitative Analyse der Funktionalen-Sicherheit des Bordnetzes von segelf?hi-gen Micro-Hybrid Fahrzeugen nach ISO 26262-依據(jù)ISO26262對(duì)一輛可滑行輕混合動(dòng)力汽車(chē)的車(chē)載電源電路進(jìn)行功能安全的定性分析

在這篇論文中，作者開(kāi)始直接討論起輕混車(chē)的電源架構(gòu)，其中包含發(fā)電機(jī)、電池、電池傳感器、啟動(dòng)機(jī)、啟動(dòng)電機(jī)、DC/DC轉(zhuǎn)換器、雙層電容器DLC等組件。作者也對(duì)這些部件組成的多種架構(gòu)做了定性的安全分析，比如FMEA、RBD（Reliability Block Diagram）和FTA（Fault Tree Analysis）。分析的架構(gòu)為以下6種，一是傳統(tǒng)的12V架構(gòu)；二是帶DC/DC的14V架構(gòu)；三是帶DC/DC和DLC的14V電源架構(gòu)；四是帶有下級(jí)電源網(wǎng)（14V-32V）的14V架構(gòu)；五是帶有一個(gè)蓄電池和一個(gè)鋰電池的12V-48V架構(gòu)；六大致與五相同，只是啟動(dòng)機(jī)換成啟動(dòng)電機(jī)。

4. 2012年4月到10月

Umsetzung der "FunktionalenSicherheit" nach ISO-26262 innerhalb der Elektrik/Elektronik-Systemarchitekturentwicklung im Kraftfahrzeug-依照ISO26262將功能安全實(shí)施到汽車(chē)電子電器領(lǐng)域內(nèi)系統(tǒng)架構(gòu)的開(kāi)發(fā)中

這一篇論文作者的時(shí)間正好跟我的實(shí)習(xí)時(shí)間完全重疊，所以我們一起討論了很多。他的論文主要是研究功能安全開(kāi)發(fā)流程的要求，以及評(píng)估PREEvision這個(gè)六邊形戰(zhàn)士一般得開(kāi)發(fā)管理工具是否符合功能安全標(biāo)準(zhǔn)第八章中對(duì)于軟件工具置信度水平的要求。

5. 2012年10月到7月

Modellierung von zukünftigen Energie-bordnetz-Konzepten im Kraftfahrzeug und Bewertung der Funktionalen Siche-rheit nach ISO 26262 - 依照ISO26262對(duì)車(chē)載電源電路概念的建模與功能安全評(píng)估

這一篇是我的論文，主要是使用PREEvision去建模論文3中的六種架構(gòu)，以及使用RBD方法定量的去得出他們的系統(tǒng)級(jí)失效率以進(jìn)行對(duì)比。

主線(xiàn)一

48V系統(tǒng)

從這些論文里面可以分析出兩條主線(xiàn)，一條就是所謂的onboard electrical system（Bordnetz）的架構(gòu)設(shè)計(jì)。傳統(tǒng)的12V電壓系統(tǒng)在引入啟停系統(tǒng)（Start-stop system）之后，基本已經(jīng)達(dá)到了功率輸出極限。如果在12V電壓下引入輕混系統(tǒng)，功率需求在10kW~15kW左右，這樣的電壓下電池的輸出電流高達(dá)1000A，這樣顯然是不可接受的。2011年，Audi, BMW, Daimler, Porsche, Volkswagen聯(lián)合推出48V系統(tǒng)，作為傳統(tǒng)12V電氣系統(tǒng)和高壓電池（如電動(dòng)車(chē)）之間的中間電壓級(jí)別，以滿(mǎn)足日益增長(zhǎng)的車(chē)載負(fù)載需求，更重要的是為了滿(mǎn)足2020年歐盟嚴(yán)格的排放法規(guī)。

另外也是因?yàn)?0V是安全電壓，低于60V電壓的設(shè)備不需要采取額外的安全防護(hù)措施，48V電池的充電電壓最高56V已接近60V，因此48V是安全電壓下的最高安全等級(jí)。

圖1 整車(chē)電源架構(gòu)（來(lái)源:BOSCH）

為滿(mǎn)足當(dāng)時(shí)歐盟提出的排放法規(guī)，歐洲主機(jī)廠(chǎng)都在積極推動(dòng)48V系統(tǒng)，即采用48伏直流電壓供電的車(chē)輛電氣系統(tǒng)，可以看成是12V啟停系統(tǒng)的升級(jí)版，增加了48V儲(chǔ)能電池、48V/12V雙向DCDC、48V BSG（belt-driven starter generator）/ISG（integrated starter generator）、電動(dòng)增壓器（可選配置）、電池管理系統(tǒng)，如圖2。

圖2 48V系統(tǒng)電氣架構(gòu)（來(lái)源：BOSCH）

首先，它優(yōu)點(diǎn)如下：

i. 駕駛體驗(yàn)更舒適：48V系統(tǒng)電機(jī)扭矩和轉(zhuǎn)速更高，可將發(fā)動(dòng)機(jī)短時(shí)間內(nèi)快速拖動(dòng)至啟動(dòng)的閾值，且通過(guò)皮帶的柔性連接，沒(méi)有12V啟動(dòng)時(shí)機(jī)械介入和退出時(shí)的沖擊，因此啟動(dòng)更平穩(wěn)。另外48V系統(tǒng)可提供額外的電力支持，通過(guò)加速助力及扭矩輔助等功能可提高整車(chē)起步時(shí)的加速性能及發(fā)動(dòng)機(jī)的性能；?

ii. 附件電源優(yōu)化：傳統(tǒng)12V系統(tǒng)對(duì)附件設(shè)備供電有一定限制，48V 系統(tǒng)可以提供比 12V 和 24V 系統(tǒng)更高的功率輸出，可以滿(mǎn)足更高功率附件設(shè)備的需求，如電動(dòng)渦輪增壓器、電動(dòng)助力轉(zhuǎn)向系統(tǒng)等，提升車(chē)輛性能和駕駛體驗(yàn)。由于功率與電壓乘積得到的電流成反比，48V 系統(tǒng)在提供相同功率時(shí)，所需的電流會(huì)比 12V 或 24V 系統(tǒng)更低。這有助于減輕電線(xiàn)和元件的負(fù)載，能量轉(zhuǎn)換效率更高，并降低線(xiàn)路損耗；

iii. 故障檢測(cè)和診斷：48V系統(tǒng)具備更先進(jìn)的故障檢測(cè)和診斷功能，通過(guò)電子控制單元（ECU）對(duì)電池和電氣系統(tǒng)進(jìn)行監(jiān)控和管理，能夠及時(shí)檢測(cè)電氣故障并提供相應(yīng)的故障代碼和警報(bào)，以幫助車(chē)主或技術(shù)人員進(jìn)行故障排除和維修；

iv. 能量回收和儲(chǔ)存：48V系統(tǒng)可用于能量回收和儲(chǔ)存，將車(chē)輛制動(dòng)過(guò)程中產(chǎn)生的能量轉(zhuǎn)化為電能，并存儲(chǔ)在48V電池中。這些儲(chǔ)存的能量可以在需要時(shí)供給車(chē)輛的輔助設(shè)備或動(dòng)力系統(tǒng)，提高能源利用效率；

v. 高壓系統(tǒng)輔助：一些汽車(chē)制造商還開(kāi)始將48V系統(tǒng)與高壓電池系統(tǒng)（如電動(dòng)汽車(chē)或混合動(dòng)力汽車(chē)）結(jié)合使用，以提供額外的輔助功能，如電動(dòng)座椅調(diào)節(jié)、電動(dòng)空調(diào)壓縮機(jī)等。通過(guò)整合不同電壓級(jí)別的電氣系統(tǒng)，可以降低成本和復(fù)雜性；

vi. 標(biāo)準(zhǔn)和規(guī)范：為了推動(dòng)48V系統(tǒng)的發(fā)展和應(yīng)用，相關(guān)標(biāo)準(zhǔn)和規(guī)范也在逐漸完善。例如，ISO 21780標(biāo)準(zhǔn)《道路車(chē)輛-48V供電電壓-電氣要求和試驗(yàn)》已于2020年發(fā)布，旨在提供有關(guān)48V電源系統(tǒng)的安全性、性能和通信要求的指南，促進(jìn)該領(lǐng)域的統(tǒng)一和規(guī)范。

缺點(diǎn)如下：

i. 電壓的升高，電磁兼容要求會(huì)更高；

ii. 48V電壓下會(huì)存在電弧，是風(fēng)險(xiǎn)隱患，需要處理；

iii. 原來(lái)的12V車(chē)載設(shè)備遷移到48V需要重新開(kāi)發(fā)以及測(cè)試，代價(jià)巨大并且周期長(zhǎng)；

iv. 比12V start-stop系統(tǒng)成本高，節(jié)能效果不如高壓混動(dòng)系統(tǒng)。

48V系統(tǒng)工作模式有如下幾種：

A 自動(dòng)啟停 (START-STOP)：?

當(dāng)車(chē)速低于3公里每小時(shí)時(shí)，啟停系統(tǒng)會(huì)關(guān)閉車(chē)輛的發(fā)動(dòng)機(jī)，電池利用存儲(chǔ)的能量維持車(chē)載電氣的正常運(yùn)行，發(fā)動(dòng)機(jī)可以隨時(shí)快速啟動(dòng)。這種短暫停車(chē)尤其發(fā)生在城市交通中（如紅綠燈、人行橫道、平交道口等）或交通堵塞中。此功能可降低燃油消耗并減少二氧化碳排放。

B 能量回收 (RECUPERATION)：

在混合動(dòng)力汽車(chē)的背景下，制動(dòng)能量的回收被稱(chēng)為能量回收，可以將動(dòng)能轉(zhuǎn)化為電能，并存儲(chǔ)到電池中。僅能量回收功能就可以降低大約7%的油耗。

C 被動(dòng)輔助 (PASSIVE BOOST) :

在提速階段，電機(jī)的輔助動(dòng)力能彌補(bǔ)發(fā)動(dòng)機(jī)動(dòng)力的不足，實(shí)現(xiàn)不損失動(dòng)力的情況下降低排放。在加速階段期間，內(nèi)燃發(fā)動(dòng)機(jī)通過(guò)發(fā)電機(jī)功率的降低而得到緩解，以便能夠?yàn)榧铀龠^(guò)程提供其全部功率。這是通過(guò)調(diào)節(jié)發(fā)電機(jī)的勵(lì)磁線(xiàn)圈來(lái)實(shí)現(xiàn)的，耗電元件由電池供電。

D 自動(dòng)啟停-航行（Start-stop COASTING)：

在車(chē)輛恒速運(yùn)行，并且電池電量充足的情況下，關(guān)閉發(fā)動(dòng)機(jī)噴油系統(tǒng)，車(chē)輛處于滑行階段，離合器分離發(fā)動(dòng)機(jī)和傳動(dòng)系統(tǒng)的機(jī)械連接，徹底關(guān)閉發(fā)動(dòng)機(jī)，僅靠電機(jī)保持車(chē)輛巡航。電機(jī)提供的動(dòng)力用來(lái)抵消行駛阻力以及發(fā)動(dòng)機(jī)的拖拽阻力，實(shí)現(xiàn)更長(zhǎng)的行駛距離。相當(dāng)于傳統(tǒng)車(chē)輛空檔滑行，只不過(guò)傳統(tǒng)車(chē)輛在切換到空檔滑行之后，發(fā)動(dòng)機(jī)轉(zhuǎn)速在降到怠速時(shí)依然需要噴油來(lái)維持發(fā)動(dòng)機(jī)的運(yùn)行。當(dāng)再次踩下油門(mén)踏板，發(fā)動(dòng)機(jī)會(huì)迅速啟動(dòng)，平滑切入到當(dāng)前車(chē)速。

由于發(fā)電機(jī)在航行階段不是由電機(jī)驅(qū)動(dòng)的，因此耗電設(shè)備需要由蓄電池供電。只有當(dāng)能量存儲(chǔ)系統(tǒng)能夠在任何時(shí)候?yàn)檐?chē)輛提供足夠的能量以啟動(dòng)小齒輪時(shí)，能量管理系統(tǒng)才允許航行。一旦駕駛員想要再次加速，發(fā)動(dòng)機(jī)就會(huì)接合并啟動(dòng)。這時(shí)候有兩種可能的啟動(dòng)方式。一是在離合器啟動(dòng)時(shí)，發(fā)動(dòng)機(jī)由車(chē)輛的剩余動(dòng)能啟動(dòng)；二是由傳統(tǒng)的電動(dòng)機(jī)帶動(dòng)小齒輪啟動(dòng)（Ritzelstart）。

下圖是博世AE當(dāng)時(shí)（2013）的開(kāi)發(fā)路線(xiàn)圖，可以從中看出整車(chē)低壓電源網(wǎng)絡(luò)架構(gòu)的功能增長(zhǎng)規(guī)劃。

圖 博世AE混動(dòng)系統(tǒng)Roadmap（來(lái)源:BOSCH）

主線(xiàn)二

功能安全評(píng)估

另一條主線(xiàn)自然是功能安全。在新的安全要求、減輕重量（降低二氧化碳排放）或新的駕駛和舒適功能（例如駕駛員輔助系統(tǒng)）的推動(dòng)下，一些組件被淘汰，并添加了新組件（例如現(xiàn)代電池技術(shù)或使用 DC/DC 轉(zhuǎn)換器代替?zhèn)鹘y(tǒng)發(fā)電機(jī)），日益復(fù)雜的布線(xiàn)和新的能源分配組件影響著車(chē)載能源網(wǎng)絡(luò)（Energiebordnetz）的結(jié)構(gòu)，功能安全及其衍生的要求是車(chē)載能源網(wǎng)絡(luò)演變和進(jìn)一步發(fā)展的決定性因素。

圖 傳統(tǒng)電源網(wǎng)絡(luò)（來(lái)源: Leoni）

車(chē)燈、雨刷器、制動(dòng)器或轉(zhuǎn)向輔助裝置都可以歸類(lèi)為安全相關(guān)的設(shè)備，因?yàn)樗麄兊氖Ф伎赡軙?huì)影響到行人或者駕駛員安全。這意味著必須確保這些系統(tǒng)和組件的能源供應(yīng)，這也對(duì)安全相關(guān)駕駛功能的定義和實(shí)現(xiàn)提出了明確的要求。其中有規(guī)定非安全相關(guān)的駕駛功能不得對(duì)安全相關(guān)的功能產(chǎn)生任何影響。如果不能排除負(fù)面影響，則必須提供機(jī)制以確保不做出反應(yīng)。如果車(chē)載電源系統(tǒng)存在電壓波動(dòng)、電磁干擾或電源故障等問(wèn)題，可能會(huì)導(dǎo)致這些安全相關(guān)功能的錯(cuò)誤操作、數(shù)據(jù)丟失或系統(tǒng)不可用。

圖 車(chē)載電源網(wǎng)絡(luò)的失效分析（來(lái)源：Uni Stuttgart-Institute of Maschinenelemente）

上圖是母校斯圖加特大學(xué)IMA學(xué)院的“能源電網(wǎng)功能安全領(lǐng)域的技術(shù)安全機(jī)制”研究項(xiàng)目示意圖。

可能對(duì)其他控制器的安全要求產(chǎn)生直接影響的最著名的故障案例之一是線(xiàn)路或組件對(duì)車(chē)輛接地的電氣短路。這可能會(huì)導(dǎo)致整個(gè)車(chē)載電源系統(tǒng)在一段時(shí)間內(nèi)出現(xiàn)嚴(yán)重欠壓，從而導(dǎo)致所有安全相關(guān)組件出現(xiàn)功能故障。根據(jù)現(xiàn)有技術(shù)，許多車(chē)輛中安裝有熔斷器以保護(hù)電纜免受火災(zāi)等的影響。然而如果保險(xiǎn)絲熔斷速度不夠快，或者車(chē)載電源系統(tǒng)設(shè)計(jì)不當(dāng)，無(wú)法防止出現(xiàn)臨界電壓降，則可能會(huì)出現(xiàn)問(wèn)題。如果這種情況發(fā)生在耗能型駕駛操作中，在極端情況下可能會(huì)導(dǎo)致車(chē)載電氣系統(tǒng)完全故障，進(jìn)而導(dǎo)致嚴(yán)重后果。一些汽車(chē)制造商為這些已知的故障情況安裝了半導(dǎo)體元件，可以防止能量在幾毫秒內(nèi)流入短路，從而保持車(chē)載電氣系統(tǒng)的穩(wěn)定。

另外當(dāng)今熱點(diǎn)的自動(dòng)駕駛功能，根據(jù)車(chē)輛的SAE級(jí)別和應(yīng)用（操作設(shè)計(jì)領(lǐng)域），對(duì)某些功能的可用性的要求顯著增加。例如，當(dāng)電源電壓異?；蚬╇妴卧收蠒r(shí)，系統(tǒng)應(yīng)能夠自動(dòng)切換到備用電源或進(jìn)入安全模式，以保證功能的持續(xù)可用性和安全性。根據(jù)架構(gòu)和總體概念，這些要求可以或必須轉(zhuǎn)移到車(chē)載能源系統(tǒng)。這還要求整車(chē)電源網(wǎng)絡(luò)還應(yīng)具備故障檢測(cè)、容錯(cuò)能力以及報(bào)警功能，以確保在出現(xiàn)電源故障時(shí)能夠及時(shí)檢測(cè)并采取相應(yīng)的措施。整車(chē)電源網(wǎng)絡(luò)還應(yīng)提供穩(wěn)定和可靠的數(shù)據(jù)傳輸通道，以確保傳感器數(shù)據(jù)的完整性和實(shí)時(shí)性。比如ADAS功能通常需要從多個(gè)傳感器獲取數(shù)據(jù)，并將數(shù)據(jù)傳輸給計(jì)算單元進(jìn)行處理和決策。如果電源網(wǎng)絡(luò)存在通信故障或干擾，可能會(huì)導(dǎo)致傳感器數(shù)據(jù)錯(cuò)誤、延遲或中斷，從而影響ADAS功能的準(zhǔn)確性和可靠性。

在功能安全這條主線(xiàn)上，博世作為48V系統(tǒng)核心零部件供應(yīng)商，需要先對(duì)整個(gè)48V系統(tǒng)（作為Item）進(jìn)行符合功能安全的設(shè)計(jì)分析、驗(yàn)證和測(cè)試，確保整車(chē)電源網(wǎng)絡(luò)滿(mǎn)足相應(yīng)的功能安全要求和標(biāo)準(zhǔn)（如ISO 26262），以保證由48V系統(tǒng)供電的各附件功能在各種情況下的可靠性和安全性。導(dǎo)師這一系列課題設(shè)計(jì)就是在驗(yàn)證電源網(wǎng)絡(luò)系統(tǒng)是否能夠滿(mǎn)足這些要求，從探索合適的建模方法，在整車(chē)級(jí)別創(chuàng)建或評(píng)估安全概念，進(jìn)行定性FMEA分析，RBD可靠性框圖分析，同時(shí)也嘗試著做了 FTA故障樹(shù)分析，到使用專(zhuān)有工具建模直到計(jì)算架構(gòu)整體失效率的定量安全分析。因?yàn)檫@一系列工作都是由導(dǎo)師所在的汽車(chē)電子硬件部門(mén)去牽頭的，所以在這些探索之中都有或多或少地考慮硬件失效率的問(wèn)題，相信是為了去迎合主機(jī)廠(chǎng)或者第三方機(jī)構(gòu)的要求，或者是將功能安全作為評(píng)估不同產(chǎn)品方案的關(guān)鍵指標(biāo)之一。

另外一個(gè)重要的背景就是PREEVision工具的加入。PREEVision是一個(gè)用于汽車(chē)電子電氣架構(gòu)設(shè)計(jì)優(yōu)化的工具，它自上而下地整合了需求分析Requirement Specification, 功能設(shè)計(jì) Design, 軟硬件及網(wǎng)絡(luò)開(kāi)發(fā) HW&SW&Network Development, 線(xiàn)束設(shè)計(jì) Harness Design, 拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) Topological Design等一系列領(lǐng)域內(nèi)基于模型的開(kāi)發(fā)，并且層與層之間相關(guān)滲透著便于用戶(hù)評(píng)估的算法工具。這就使得ISO26262功能安全導(dǎo)入在這個(gè)工具上極其便利，因?yàn)樗膶蛹?jí)幾乎就是V-Model的層級(jí)（另外PREEVision也可以與AUTOSAR無(wú)縫鏈接）。因此幾乎跟我同期的實(shí)習(xí)生就在與Vector緊密合作，研究PREEvision工具的TCL等級(jí)，結(jié)果是將這個(gè)工具評(píng)級(jí)為T(mén)CL1。

總結(jié)和展望

整車(chē)低壓電源系統(tǒng)由于肩負(fù)著給多個(gè)安全相關(guān)控制器供電的重任，其功能安全的關(guān)鍵性不言而喻。我有幸在48V輕混系統(tǒng)的早期引入階段參加了這一系統(tǒng)的功能安全工作，并且以此為基礎(chǔ)得以持續(xù)奮斗在功能安全第一線(xiàn)，可以說(shuō)是保持初心了。

作為延申，如博世和斯圖加特大學(xué)IMA學(xué)院聯(lián)合發(fā)表的一篇論文所言，供電系統(tǒng)的功能安全要求正在不斷增加和細(xì)化，必須考慮的安全要點(diǎn)包括：

1）電源和存儲(chǔ)器的供電：關(guān)于電池供電，目前的現(xiàn)狀是針對(duì)架構(gòu)中的智能電池進(jìn)行故障診斷是強(qiáng)制的，比如通過(guò)BMS和EBS，目標(biāo)是保證供電系統(tǒng)至少可以執(zhí)行最小風(fēng)險(xiǎn)的操作。

2）通過(guò)線(xiàn)束進(jìn)行電源分配：線(xiàn)束組件需要在定性分析的基礎(chǔ)上增加考慮定量分析，也就是說(shuō)要考慮線(xiàn)束及接插件的失效率的優(yōu)化，ZVEI（www.zvei.org）目前正在研究標(biāo)準(zhǔn)化布線(xiàn)故障率的技術(shù)指南，大家如果有興趣可以去看下。

3）保證互不干擾：為妥善確保不受干擾，改論文建議使用電子開(kāi)關(guān)，因?yàn)榭梢苑浅？焖俸图?xì)粒度的進(jìn)行電源網(wǎng)絡(luò)的切換和可以進(jìn)行外部診斷，具體措施可以包括在電路中加入智能安全開(kāi)關(guān)或分散式電子保險(xiǎn)絲。

審核編輯：黃飛

?