Fail-Operational 线控供电 — 双源冗余 12V / 备份 DC-DC / BPU / ORing 按 ASIL D

绝大多数车规电子是 fail-silent:检测到故障就安静地关掉自己,把系统交还给一个更可靠的后备(司机、机械链路)。问题是 by-wire 没有那个后备 —— 关掉转向 = 失去转向。所以 by-wire 要求 fail-operational:单点故障发生后系统继续提供功能,至少撑到车进入安全状态(降速、靠边、停稳,即 MRC,Minimal Risk Condition,最小风险状态)。

这个区别直接决定供电架构:fail-silent 电源允许"掉电 = 退出",一条轨就够;fail-operational 电源必须在主路死掉后另一条路立刻顶上,所以最少要两条独立的能量供给路径,且两路不能因为同一个原因一起死。

备份能量不是拍脑袋,是被一条时间线定死的:故障发生 $t0$ → 检测确认 $tdet$ → 切换到备份路径 $tsw$ → 系统在备份上运行直到车停稳 $tmrc$。备份必须满足

其中 $tride=tmrc-tsw$ 是真正靠备份续命的时长。典型 by-wire 的 MRC(降速靠边停)在 几秒到十几秒量级;切换若用机械继电器在 毫秒量级,用理想二极管 ORing 可压到 微秒量级。检测窗口越短、切换越快,备份的能量和成本就越省 —— 所以监测(IVCS,智能电压/电流传感)和快切是省备份容量的杠杆。

燃油车的低压网天然有两个独立能量源:铅酸电池(储能)+ 交流发电机/alternator(发电)。一个坏了另一个还在,这是免费的冗余。EV 没有发电机,能量全在 HV 电池里,经一个 DC-DC 降到一条 12V 轨喂所有低压负载 —— 这条 DC-DC 就是单点,它一停(MOSFET 短路、控制器死、输入断),整条 12V 轨塌,by-wire 全失。这就是为什么 EV 的 by-wire 供电必须主动重建冗余,而不是像油车那样白捡。

单 DC-DC + 单 12V 轨的系统里,故障传播是"一损俱损":DC-DC 输出 MOSFET 短路 → 12V 轨被拉低或拉高 → steering ECU 与 brake ECU 同时欠压复位 → 转向制动同时丢。中间没有任何隔离能挡住,因为它们物理上挂在同一个节点。这正是 fail-silent 思维(单轨够用)在 by-wire 上失效的根因:单轨 = 单点 = 违反 fail-operational。

做了双路也可能白做。共因失效 指一个根因同时使多条"独立"路径失效。在低压供电里有 4 条最常见的隐藏共因,设计时必须逐条隔离:

• 共线束:双 DC-DC 输出走同一束线、过同一个连接器 —— 线束被夹断 / 连接器进水,两路一起断。隔离:两路走物理分离的线束与连接器,最好分舱布线。
• 共熔断 / 共配电:两路汇到同一个熔断盒或同一片配电芯片 —— 该器件故障两路全断。隔离:独立熔断 + 独立 eFuse,两块物理分开的配电单元(PDU)。
• 共搭铁(地):两路用同一个搭铁点 —— 搭铁松脱 / 腐蚀,两路参考地一起浮,等于双失。隔离:双独立搭铁点,分开螺栓、分开焊接。
• 共 HV 输入:双 DC-DC 都从同一段 HV 母线、同一个 HV 接触器后取电 —— HV 侧故障两路同时没输入。隔离:从 HV 电池不同分段取电,或一路用 12V 电池作为完全独立的能量源(不依赖 HV)。

判定一个冗余架构合不合格,就是逐条问:这 4 条共因有没有被打断?只要有一条没断,冗余就是纸面的。

备份路径自己也要扛得住车规电瞬态,否则切过去发现备份也挂了:

• 抛负载(load dump):大负载突然断开,12V 轨可冲到 $35\mathrm{V}$ 以上(ISO 7637-2 / ISO 16750-2),备份的 ORing / DC-DC 输入级必须钳位耐压。
• 冷启动(cold crank):低温启动瞬间电池电压可跌到 $4.5\mathrm{V}$ 以下,备份 DC-DC 要有足够宽的输入下限(wide-Vin),否则备份在最需要时反而欠压。
• 压降 / 纹波:ORing 二极管的正向压降 $VF$ 会吃掉裕量,理想二极管把 $VF$ 从肖特基的约 $0.4\mathrm{V}$ 压到 MOSFET 导通压降的 $I\cdot RDS(on)$ 量级(典型几十 $\mathrm{mV}$),这就是为什么 by-wire ORing 用理想二极管而非普通二极管。

最直接的冗余:装两块独立 12V 电池(常见一块主电池 + 一块小容量备份电池),各自经独立线束 / 熔断 / 搭铁喂 by-wire 负载,中间用 ORing 合并或各供一路。优点是能量源彻底独立,连 HV 都不依赖,共因隔离最干净;缺点是增加一块电池的重量、成本、空间,且备份电池长期浮充的健康度(SOH)必须被监测,否则关键时刻没电。

适合:对独立性要求最高、愿意付电池成本的高端 by-wire(早期量产 L3 多用"主电池 + 备份铅酸 + 12V/12V buck-boost")。

不加电池,而是从 HV 母线引两个独立的 DC-DC降到两条独立的 12V 轨。两个 DC-DC 用不同的控制器、不同的输入分段、不同的输出线束 —— 主路供全车,备路常态轻载待命,主路故障时备路独立顶住 by-wire 负载。优点是省一块电池、两路都能持续供电(不像电池/电容会耗尽);缺点是仍共 HV 能量源 —— 若 HV 整体下电(碰撞断 HV、HV 接触器断开),双 DC-DC 同时没输入,必须再叠一个不依赖 HV 的小备份(电池或超级电容)兜 HV 失效那一档。

适合:绝大多数 EV by-wire 的主力方案,常与架构三叠用补 HV 失效。

备份电源单元(BPU,Backup Power Unit)是一个独立模块,核心常是超级电容(supercapacitor)做短时 hold-up。它平时被充满,主供电一掉立刻放电,撑过"检测 + 切换"那几十 ms 到几秒,让 by-wire 不间断地完成靠边停。超级电容的优势是低源阻抗、能瞬间出大电流、循环寿命远超电池、低温特性好;劣势是能量密度低,只能撑短时(秒级,取决于电容值与负载),撑不了长时间行驶。

所需电容量由能量式定:$E=\frac{1}{2}C(Vful{l}^2-Vmi{n}^2)\ge Pload\cdot tride$,即 $C\ge \frac{2Pload\cdot tride}{Vful{l}^2-Vmi{n}^2}$。$Vmin$ 是负载还能正常工作的最低电压,$Vfull$ 是充满电压,两者拉开越大,同样电容存的可用能量越多 —— 这就是 BPU 常用 boost 把超级电容充到较高电压再降压取用的原因。

适合:作为架构二的 HV 失效兜底,或对重量敏感、只需秒级 ride-through 的场景。

多条供电路径要喂同一组 by-wire 负载时,得有个无中断的合并点,这就是 ORing:多路通过"二极管或"接到公共输出,谁电压高谁供电,某一路掉了其余路自动接管,切换在微秒级、零软件介入。普通二极管 $VF$ 太大(约 $0.4$–$0.7\mathrm{V}$)又发热,by-wire 用理想二极管控制器(ideal-diode / ORing controller,如 TI LM74800-Q1)驱动一个背靠背 MOSFET 模拟二极管,导通压降降到 $I\cdot RDS(on)$ 量级,并集成反向阻断、过流、欠压监测与故障上报。

ORing 的价值不只在合并,还在监测:控制器持续测每路电压电流(IVCS 思路),哪路异常立刻上报并隔离故障路,防止一路短路把公共输出拖垮(反向阻断)。它是把"双电池 / 双 DC-DC / BPU"真正连成 fail-operational 系统的胶水层。

适合:任何多源合并点 —— 几乎所有上面架构都需要 ORing 做最后的无中断汇流。

zonal(区域)架构把配电从中央移到几个区域控制器(zone controller),by-wire 负载就近接到所在区域。这给冗余带来新约束也带来新手段:每个区域控制器可以本地放一颗超级电容 / 小电容缓冲,即便干线(backbone)供电瞬断,本地缓冲也能撑过切换窗口,把"全车一个大 BPU"拆成"每区一个小缓冲",缩短供电路径、减少共线束共因。代价是分布式管理与监测更复杂,各区缓冲的健康度都要被纳入整车安全监控。

适合:新一代 zonal E/E 架构的 by-wire 供电,与区域 PDU / eFuse 配电天然结合。