以自動(dòng)駕駛系統(tǒng)為例，VDA 450假設(shè)了如下安全目標(biāo)：

并對(duì)該安全目標(biāo)進(jìn)行了功能安全需求FSR的拆解：

對(duì)于冗余供電網(wǎng)絡(luò)，導(dǎo)出了如下三條FSR:

下表對(duì)這三條FSR的目標(biāo)做一個(gè)說(shuō)明：

對(duì)這三條FSR，又可以進(jìn)一步在兩個(gè)供電通道上分別進(jìn)行拆解。

下表對(duì)這拆解后的FSR的目標(biāo)做一個(gè)說(shuō)明：

（對(duì)VDA 450原文檔有需要的朋友可以通過(guò)公眾號(hào)“Leo的汽車安全世界”發(fā)消息聯(lián)系Leo獲取，或聯(lián)系Leo加入功能安全討論群相關(guān)交流學(xué)習(xí)）

在這些FSR中，可用性的要求相對(duì)來(lái)說(shuō)比較好理解，尤其值得注意的是對(duì)相關(guān)失效的要求。冗余供電設(shè)計(jì)中存在潛在的相關(guān)失效導(dǎo)致整個(gè)供電網(wǎng)絡(luò)失去可用性是不可接受的，因此對(duì)相關(guān)失效展開(kāi)完整的分析并定義必要且充分的安全措施顯得至關(guān)重要。

頗具挑戰(zhàn)的是，當(dāng)前行業(yè)對(duì)供電網(wǎng)絡(luò)相關(guān)失效分析考慮的維度并不充分，VDA 450給出了完整的考慮點(diǎn)：既關(guān)注兩路供電通道之間的獨(dú)立性，又關(guān)注單個(gè)通道內(nèi)部不同負(fù)載之間的潛在干擾。

在這兩個(gè)維度上，都需要謹(jǐn)慎地考慮短路故障所造成相關(guān)失效。更具體的故障表現(xiàn)是，當(dāng)某個(gè)負(fù)載（ECU）發(fā)生短路故障時(shí)，由于短路電流非常大，整個(gè)供電網(wǎng)絡(luò)的電壓會(huì)被瞬間拉低，其他ECU可能因?yàn)殡妷哼^(guò)低而無(wú)法工作。

負(fù)載電壓瞬降（來(lái)源：左成鋼《廣義車規(guī)級(jí)電子可靠性》）

為避免這種情況發(fā)生，供電網(wǎng)絡(luò)給負(fù)載配備了保險(xiǎn)絲，保險(xiǎn)絲會(huì)在短路大電流的作用下發(fā)生熔斷，從而使供電系統(tǒng)切斷與短路側(cè)的連接，避免短路影響該供電通道以及另一路供電通道上其他負(fù)載的供電電壓。但是傳統(tǒng)的保險(xiǎn)絲保險(xiǎn)熔斷時(shí)間長(zhǎng)，如果在發(fā)生熔斷前被拉低的供電電壓已經(jīng)導(dǎo)致安全相關(guān)的ECU shut down，那么即使在熔斷后供電電壓恢復(fù)正常，重啟后ECU可以繼續(xù)提供功能，但如果ECU重啟時(shí)間過(guò)長(zhǎng)，超過(guò)安全目標(biāo)對(duì)應(yīng)的FTTI，風(fēng)險(xiǎn)不可避免。

示例：EPS系統(tǒng)受QM負(fù)載短路故障的影響，截圖來(lái)自VDA 450

為滿足以上相關(guān)失效相關(guān)的FSR，使用主動(dòng)分離和連接單元ATV是VDA 450推薦的安全措施，以實(shí)現(xiàn)上述兩個(gè)維度上的獨(dú)立性要求和免于干擾要求。

截圖來(lái)自VDA 450

取決于冗余供電網(wǎng)絡(luò)的架構(gòu)，ATV的技術(shù)方案呈現(xiàn)多樣化的趨勢(shì)，可以是獨(dú)立的開(kāi)關(guān)，也可以集成到如DCDC等部件中，也可以集成到復(fù)雜的電源分配設(shè)備ePDU（electronic Power Distribution Unit）中，ePDU能夠?qū)ψ酉到y(tǒng)和負(fù)載電流進(jìn)行精細(xì)控制，使制造商能夠在整個(gè)車輛生命周期內(nèi)全面管理車輛的電源路徑并增加診斷覆蓋率，提高安全性和可靠性。

ATV方案中用電子保險(xiǎn)絲（e-Fuse）替代傳統(tǒng)的保險(xiǎn)絲，e-Fuse作為可編程、可升級(jí)、可診斷的電子保險(xiǎn)絲，相比傳統(tǒng)保險(xiǎn)絲，最大的優(yōu)勢(shì)在于能夠?qū)崿F(xiàn)快速的短路保護(hù)，關(guān)斷速度遠(yuǎn)遠(yuǎn)快于傳統(tǒng)保險(xiǎn)絲，有效控制瞬態(tài)跌落電壓和大電流問(wèn)題。同時(shí)e-Fuse具有可編程、可診斷的特性，且在短路事件結(jié)束后，e-Fuse能夠自動(dòng)恢復(fù)，這些特點(diǎn)對(duì)避免短路故障引起供電通道上相關(guān)失效的風(fēng)險(xiǎn)有很有效的貢獻(xiàn)。

5、總結(jié)

本文對(duì)VDA 450的框架進(jìn)行了介紹，并以自動(dòng)駕駛系統(tǒng)為例，對(duì)從整車安全目標(biāo)導(dǎo)出的功能安全要求進(jìn)行了解釋和說(shuō)明。受限于文章篇幅，文章僅能起到拋磚引玉的作用，強(qiáng)烈推薦讀者深入到VDA 450原文檔中了解細(xì)節(jié)。