干掉保險絲和繼電器，自動駕駛才能更安全

目前市面上幾乎所有的車輛電氣系統(tǒng)均在使用保險絲和繼電器，對于傳統(tǒng)車輛，這種設計是沒有問題的，但對于自動駕駛系統(tǒng)，尤其是未來基于線控底盤的自動駕駛系統(tǒng)，這種100年前的技術已無法滿足技術需求及安全性需求。

市面上是否有一款車，車上已經(jīng)干掉了保險絲和繼電器了嗎？還真有，特斯拉從Model 3開始，整車低壓電氣部分就干掉了所有的保險絲和繼電器，而且目前市場上有且只有特斯拉是這么做的。

前言

本文以傳統(tǒng)保險絲和繼電器的可靠性為切入點，旨在拋磚引玉，求同存異。

并不是說基于保險絲和繼電器的傳統(tǒng)設計是“不可靠的”，就像設計精妙的機械表也可以達到很高的精度，但終歸是無法超越石英表的，這是由其技術的物理基礎決定的。

伴隨著車輛的智能化，機械控制電氣化和機電控制電子化的進程會不斷加速，正如ibooster響應時間只有常規(guī)制動的一半，半導體器件的響應速度可以達到保險絲的上千倍，其可靠性也遠高于保險絲。同理，未來自動駕駛也必將基于線控底盤才能滿足系統(tǒng)的功能需求及可靠性需求。

本文在成稿過程中得到了許多業(yè)內(nèi)專家的批評指正，康建芳和隋玉磊對本文提出了大量的修改建議，在此表示衷心的感謝！

一．“定期保養(yǎng)”也無法徹底解決車輛保險和繼電器的可靠性問題

如果你買了輛新車，無論他宣傳說有多么牛的自動駕駛功能，你都先別信，你也別試圖去研究或去作對比，反正你也研究不明白。今天我教你一個簡單的方法，分辨出哪些車的自動駕駛功能更安全。

什么方法呢？很簡單，打開引擎蓋，再打開蓄電池旁邊的那個大盒子，看看是里面否有保險絲和繼電器，如下圖：

乘用車保險盒位置及內(nèi)部結構

整車所有的用電都要經(jīng)過保險絲盒（也叫配電盒），里面看到的紅、黃、藍、綠各種顏色的東西就是保險絲，不同顏色表示不同電流?；液谏姆綁K是繼電器，車上的大燈、雨刮、油泵、風扇等都是由它來驅動的，控制端還在ECU。

車載保險絲及繼電器（來源：Little，Hella）

你可能已經(jīng)注意到了，這些保險絲和繼電器都是可插拔式的，換句話說，是可以更換、需要更換的。為什么需要更換呢?因為這些東西會壞掉，其可靠性和壽命無法支撐車輛的整個生命周期。

但還有一個更重要的問題可能你沒有意識到：保險盒的位置就在電池旁邊，打開引擎蓋就能看到，而且，保險盒的蓋子很容易打開，極其方便進行維護，為什么車輛需要這種設計呢？在“寸土寸金”的發(fā)動機艙給保險盒預留這么好的地段？

其實根本原因就是為了“方便維護”。你品，你細品，為什么要“方便維護”？如果三五年才需要維護一次，那就算麻煩一點，按20年車輛壽命計算，也維護不了幾次?。繘r且我們的車都有定期保養(yǎng)的啊，所以，肯定還有其他原因！沒錯，能想到這一步，說明你已經(jīng)接近了問題的真相，這就牽扯出來一個更嚴重的問題：定期維護保養(yǎng)仍無法解決保險和繼電器的可靠性問題！

是不是覺著“細思極恐”？！

但事實就是這樣，你的車輛可能“隨時隨地”因為保險絲和繼電器壞掉而出現(xiàn)故障，毫無征兆，讓人猝不及防。所以為了“方便維護”，廠家把保險盒的位置設置在了非常容易接近、容易觸摸到、“方便維護”的位置，專業(yè)的說法叫“易接近性設計”，為了這個設計，車廠的布置工程師要掉不少頭發(fā)，我們心疼一下！

因為保險爆掉的概率更高，所以車輛電氣工程師貼心地給你設計了備用保險；另外，怕你手頭沒有工具，拔不出來保險（因為沒有合適的工具，用手真的很難拔出來），還貼心地附帶了一個保險夾，就是怕你哪天開車拋錨在了荒郊野外，前不著村后不著店的，方便你自己動手自救，你說貼心不貼心！ 

備用保險及保險夾

那你又要問了：為什么這么不可靠的東西，還一直用在車上呢？是的，這是一個好問題。

像我一樣生于80年代的小伙伴們，對下圖左邊的這種閘刀加保險的東西肯定很熟悉，雖然那時候家里用電器很少，但是保險絲（也叫鉛絲）可能還是經(jīng)常的會爆掉，有時候手頭沒有備用的，就用鋁絲給替代了，當然這樣是不安全的，這是后話，扯遠了。細心的你肯定發(fā)現(xiàn)了，現(xiàn)在即使在農(nóng)村，也沒有誰家里用保險絲了，都統(tǒng)一用空氣開關了， 為什么呢？很簡單，因為空開更可靠，更安全，且成本也不高，技術也很成熟了。 

老式家用閘刀及空開

那為什么車上還在用老掉牙的、且不可靠的保險絲呢？很簡單，因為經(jīng)濟實惠，別的方案要么更不可靠，要么太貴，目前的方案是綜合考慮可靠性和成本后的最佳方案。

家里的空開一般也就三五路，如果你家超過十路，那你住的一定是豪宅。一般情況下，家里所有的插座可以共用一路保護，所有的燈可以共用一路保護，一個插座出問題，所有插座全部斷電保護，對于家庭來說，問題不大，但車上就不能這么設計了。

在車上，為了車輛運行安全考慮，電力從蓄電池分配到每一路負載，每根線都需要有保護，所有的ECU幾乎都有獨立保險絲，因此車上的保險絲動輒幾十個，豪華車甚至上百個。要將這些獨立保險絲全部升級為更可靠的保護方案，不是做不到，而是成本不允許。那你說我只更換部分對可靠性更要求高的線路行不行？還是不行，平臺架構不允許。

二．低壓電氣安全，一個被忽略了的重要問題

現(xiàn)在我們回歸到本文的主題：自動駕駛車輛的安全性為什么會取決于保險絲和繼電器呢？

談到自動駕駛的安全性，那就脫離不了這三大法規(guī)：ISO26262功能安全、ISO21448預期功能安全、ISO21434信息安全，我們可以把ISO26262看作是基礎，后兩者可作為其應用場景的補充?？梢詤⒖肌毒耪轮邱{》往期文章“萬字闡述智能駕駛汽車安全體系”和“正確的自動駕駛“安全觀”應是什么樣子？”

今天，我們從自動駕駛系統(tǒng)安全的基礎ISO26262作為切入點，但拋開大家一直關注的傳感器、芯片、算法，著重討論一個大家極少關注但又極為重要的、比自動駕駛系統(tǒng)更為基礎的問題——車輛的低壓電氣安全。

無論是燃油車還是電動車，他們的差異僅僅是動力來源的差異，而車輛的控制系統(tǒng)，依然是基于低壓電氣系統(tǒng)，乘用車是12V系統(tǒng)，而商用車通常是24V系統(tǒng)。 

自動駕駛電氣系統(tǒng)簡圖（來源：左成鋼）

拋開自動駕駛系統(tǒng)本身，從車輛供電系統(tǒng)及負載控制方式這個角度來分析，目前絕大多數(shù)傳統(tǒng)車輛只有單路主電源的供電系統(tǒng)，發(fā)電機（電動車為DC-DC）與蓄電池為并聯(lián)關系，供電采用傳統(tǒng)保險絲+繼電器，負載控制采用繼電器開環(huán)控制，自動駕駛系統(tǒng)僅提供控制信號，而不能直接驅動負載工作。當這些車輛的供電網(wǎng)絡因故障無法提供電源，或繼電器控制失效、負載故障時，整車電氣負載包括自動駕駛系統(tǒng)就無法正常工作，而對此時正處于自動駕駛模式的車輛，就存在失去控制的風險。

并且，傳統(tǒng)的配電及負載控制方式，均為硬線開環(huán)控制，無任何故障檢測、故障反饋及聯(lián)網(wǎng)功能，即使發(fā)生故障，也無法檢測、無法獲取故障信息。

對傳統(tǒng)車輛而言，車輛由駕駛員駕駛，駕駛員能及時發(fā)現(xiàn)車輛故障，并采取相應措施進行處理，只要處理得當，發(fā)生事故的概率極低；即使發(fā)生事故，對L4級別以下的車輛，責任主體也在駕駛員。

而對自動駕駛車輛，尤其是支持高級別自動駕駛的車輛，電氣系統(tǒng)的安全性是至關重要的。

評估自動駕駛系統(tǒng)，不僅需要對ADS系統(tǒng)性失效和隨機硬件失效進行評估，還要對外圍供電系統(tǒng)進行系統(tǒng)性安全分析，進而達到避免級聯(lián)失效的目的。

在自動駕駛模式狀態(tài)下，當車輛電源網(wǎng)絡或負載出現(xiàn)斷電的失效模式，車輛即失去自動轉向、自動制動和自動推進力且無法提醒駕駛員，此時車輛和人員即處于危險狀態(tài)。

針對電源或負載的電氣問題，慣用的設計方法一般就是增加冗余，比如：1. 供電部分，采用雙電源供電；2. 負載控制部分，采用雙電源供電，或雙執(zhí)行機構，如EPS會采用雙電源供電，電機會采用雙繞組等。

誠然，從失效概率角度來講，增加冗余的確能夠大幅降低失效概率，但從功能安全角度來講，這還遠遠不夠。

三．電氣系統(tǒng)設計究竟是誰的工作？OEM和Tier1都認為是對方的

目前，可能是由于自動駕駛技術距離L4尚且太過遙遠，SAE J3016在2021年4月份的更新中，對L3的定義中依然有“必要時駕駛員必須接管”的要求，所以從OEM到Tier1，大家都不怎么談L3了，止步于L2或L2+/L2++，自動駕駛系統(tǒng)仍處于輔助階段，再怎么說也就是一個高階的ADAS，責任主體仍然是“人”，而非“系統(tǒng)”； 

SAE 2021年4月30日發(fā)布的更新版SAE J3016

根據(jù)羅蘭貝格的預測，未來很長一段時間內(nèi)，L3級及以上自動駕駛技術的占比還是很低的，自動駕駛技術仍將長期處于輔助駕駛階段。 

羅蘭貝格對未來自動駕駛技術等級占比的預測

所以目前就出現(xiàn)了一個奇怪的現(xiàn)象，從OEM到Tier1，大家“各干各的”。OEM提供車，Tier1提供自動駕駛系統(tǒng)解決方案，大家關注的焦點都在傳感器、芯片算力、自動駕駛算法、落地場景等，而作為車輛安全基礎的整車電氣系統(tǒng)，卻被大家選擇性地“遺忘”了。

出現(xiàn)這種現(xiàn)象，可能有以下幾點原因：

1.由于還沒有到L4，即使出現(xiàn)事故，從法律上講OEM也沒有責任，因而也就不太關注；

2.車輛電氣系統(tǒng)涉及到車輛平臺架構，都具有很強的延續(xù)性，除非像特斯拉等造車新勢力，傳統(tǒng)OEM都有很重的歷史包袱，很難直接推翻現(xiàn)有平臺，上馬全新的電氣架構；

3.車輛平臺架構設計耗資巨大，如大眾MQB平臺耗資達上百億美金；

4.整車電氣架構功能安全分析，這個耗資也很巨大，國內(nèi)某OEM僅針對一款車做了整車功能安全分析，就耗資千萬以上，更不用說一個平臺了；

5.Tier1專注于自動駕駛系統(tǒng)，尚無精力涉及相關的電氣系統(tǒng)；

6.Tier1缺乏對車輛配電系統(tǒng)的了解，在規(guī)劃自身系統(tǒng)的安全設計時，假定系統(tǒng)供電是正常的，但實際上外部電源是否達到了相應的功能安全要求，這個需要OEM基于功能從整車的角度進行功能安全分析，Tier1可能并不了解。

結合筆者近兩年來對OEM與自動駕駛系統(tǒng)Tier1的觀察，真實情況也大體如此：目前無論是乘用車還是商用車，量產(chǎn)車型的電氣系統(tǒng)基本沿襲傳統(tǒng)設計，自動駕駛部門和電氣設計部門分屬不同事業(yè)部，而對自動駕駛相關的電氣系統(tǒng)進行相應的功能安全設計分析就需要兩個部門協(xié)同起來，但在實際技術對接時，Tier1面對的可能是OEM的電氣設計部門。

自動駕駛系統(tǒng)的Tier1在進行設計時，供電的可靠性是屬于系統(tǒng)邊界之外的，意思就是，自動駕駛系統(tǒng)的功能安全ASIL等級是在供電可靠的基礎上得到的。

而OEM如果沒有對功能從整車的角度進行功能安全分析，那么整車的電氣設計可能是不能支撐自動駕駛功能的安全等級的。不知道大家對傳統(tǒng)車廠的分工是否了解，電氣部門在OEM那邊是作為一個類似于底盤、線束的傳統(tǒng)部門，作為一個極其傳統(tǒng)的部門，電氣部門接到這個需求后，一般是沒有能力評估電氣系統(tǒng)的ASIL等級的，所以通常的做法就是基于目前的設計，直接按Tier1的供電設計，給自動駕駛系統(tǒng)再提供一路供電而已。

四．保險絲和繼電器的失效模式的診斷覆蓋率很難達到ASIL的要求

好了，我們回到上文提出的問題，在自動駕駛模式下，當車輛電源網(wǎng)絡或負載出現(xiàn)故障，車輛即失去自動轉向、自動制動和自動推進力且無法提醒駕駛員，此時車輛和人員處于危險狀態(tài)。我們來分析一下，為什么車輛的電源網(wǎng)絡或負載會出現(xiàn)故障？為什么車輛例行的維護和保養(yǎng)仍無法保障其可靠性？

我們終于回到了文章的標題：保險絲和繼電器的可靠性。 

各種車用保險、繼電器及乘用車發(fā)動機艙保險絲盒

目前市面上幾乎所有的車輛電器系統(tǒng)均在使用保險絲和繼電器，對于傳統(tǒng)車輛，這種設計是沒有問題的，但對于自動駕駛系統(tǒng)，這種100年前的技術已無法滿足技術需求及安全性需求。

ISO 26262對相應ASIL等級安全目標的隨機硬件失效概率度量PMHF要求如下： 

ISO26262對SPFM、LFM及PMHF的要求（來源：ISO26262.5）

這是一個基本要求，并且，這個要求是硬性的，是要有數(shù)據(jù)支撐的。

傳統(tǒng)的保險絲為被動要素，無自檢能力，其失效模式的診斷覆蓋率很難論證做到ASIL，傳統(tǒng)的繼電器為非MOS管式，隨機硬件失效率也很高，也無法滿足從安全目標分配到零部件的PMHF。

在此之前，我們先普及兩個關于失效率的基本概念，F(xiàn)IT、MTBF和MTTF。

FIT - 時基故障，每工作 10 億個小時發(fā)生的故障數(shù)，定義如下：

 

 即：對于給定的樣本大小n，將在t小時運行之后出現(xiàn)m次故障，如果在記下故障數(shù)“m”之前“n”運行了“t”小時，λavg為平均故障率。

如某個器件失效率為100fit，則平均預期可安全工作107小時，即一千萬小時，1141.5年，也就是說ASIL B等級對可靠性的要求是安全工作1141.5年，是不是非常嚴苛？

而像轉向、制動等功能，功能安全等級要求均為ASIL D級別，簡單來講，即系統(tǒng)需要安全工作一萬年，才能出現(xiàn)一次故障。

據(jù)美國蘭德智庫估算，采用單車智能技術的自動駕駛車輛，需要累計170億公里以上的測試數(shù)據(jù)，才能夠實現(xiàn)自動駕駛系統(tǒng)的量產(chǎn)。谷歌早在10年前就開始進行自動駕駛測試，迄今才累計測試了100億公里（仿真），還沒有達到量產(chǎn)要求。所以L4級別的自動駕駛車輛實現(xiàn)量產(chǎn)，目前還有不小距離。

MTBF（mean time between failure，故障間隔平均時間），是相繼發(fā)生的故障之間的平均時間。MTBF 用于可修復系統(tǒng)的情況。

MTTF（mean time to failure，失效平均間隔時間），是相繼發(fā)生的失效之間的平均時間。MTTF 用于不可修復系統(tǒng)的情況。

MTBF和FIT是可以相互轉化的，即109/MTBF可轉變成FIT值。

而對于保險絲或者繼電器，其設計就是可維護的，就是失效以后需要更換的，其MTTF即是其MTBF。

（1）保險絲

我們先來看保險絲，下面是車用保險絲供應商Bussmann對保險絲MTBF和FIT數(shù)據(jù)的回復，那就是沒有數(shù)據(jù)可言。 

對保險絲的MTBF/FIT（來源：Bussmann）

但是我們可以根據(jù)保險供應商的推薦參數(shù)來估算，保險絲的工作壽命大體取決于以下幾個方面：1）工作環(huán)境溫度：溫度越高，壽命越短；2）負載特性：負載沖擊電流越大、持續(xù)時間越長，壽命越短。3）應用場景：實際也就是工況，用車過程中使用次數(shù)越多，壽命衰減越厲害。

保險絲的實際應用中，工程師會根據(jù)應用的不同進行降額設計，一般保險絲的基礎降額是75%，比如發(fā)動機艙溫度高達105度，那就對溫度再降額到90%，這樣算下來，一個20A的保險絲需要降額到67.5%，就只能帶13.5A的負載正常工作，在線路出現(xiàn)短路問題時也能正常保護線束不發(fā)生起火事故。（此處提到的各種數(shù)字、比例，背后有一套很專業(yè)的計算方法，為避免過分陷入細節(jié)，此處不做深入展開）

這還遠遠不夠，通常降額后僅能保證負載正常工作，至于能工作多久，還要看負載特性和應用場景，二者缺一不可。

一般保險絲的推薦設計是在特定負載特性下，負載的I²t參數(shù)在保險額定I²t的20%以內(nèi)，保險壽命為105，即10萬次。脈沖I²t與保險絲壽命的關系如下圖： 

保險絲壽命與I2t的關系（來源：Littelfuse）

根據(jù)這個數(shù)字，結合使用場景，基于傳統(tǒng)保險絲盒來分析一下近光燈這個功能的FIT值。 

傳統(tǒng)保險絲盒電氣原理圖

 

車輛壽命與運行時間（來源：英飛凌）

 

車輛常用功能使用次數(shù)的定義（來源：英飛凌）

我們先上數(shù)據(jù)：

近光燈功能MTBF及FIT值計算：

 

近光燈一年大概會使用15000次，那我們就可以估算出近光燈保險大概在6.7年后會失效，需要更換，那么近光燈功能的MTBF就是4866.7小時，F(xiàn)IT值為205479.5，距離ASIL B要求的100 FIT相差甚遠，當然了，一般對近光燈功能安全目標的定義是避免雙側近光燈全部失效，這個安全目標的功能安全等級達到ASIL B。 因為基于傳統(tǒng)保險絲盒的設計，ECU是無法診斷到近光燈失效的，因為近光燈的驅動繼電器在保險絲盒里面，所以根據(jù)單獨的FIT值計算，顯然是無法達到要求的。

IS026262對安全機制診斷覆蓋率的描述（來源：IS026262.5附錄D）

假如我們增加安全機制，提高診斷覆蓋率呢？我們按ISO26262推薦的高診斷覆蓋率等級99%進行計算，可以看到殘余故障仍然達到2054.8FIT，是ASIL B 100FIT的20倍以上。

其實問題遠沒有我們想象的這么簡單，因為實際應用場景的復雜性，遠遠超出了我們設計的假定范圍，比如一個保險絲我們設計壽命是6年，但可能車開到報廢了也沒壞，也可能2年就壞了。

這就又涉及到保險絲的特性，如果設計或使用不當，極易發(fā)生“異常熔斷”，也就是毫無征兆，沒有發(fā)生任何故障，在設計壽命內(nèi)，無緣無故地保險就熔斷了，事后也找不到根本原因。 

“NUISANCE OPENING”的解釋（來源：Littelfuse）

那你又要問了，有沒有辦法解決這個問題？還真有，那就是繼續(xù)降額，選用更大規(guī)格的保險絲，比如原本是用20A的，你改用30A，異常熔斷的概率就能降低很多。

具體能降低多少？不好說，因為真實負載情況過于復雜，比如用戶修車換了負載，進行了車輛改裝，或者車輛量產(chǎn)幾年后換了負載供應商等。另外，使用更大的保險絲，雖然20A和30A的保險價格沒差異，但相應的導線就必須換更粗的，這個成本就差遠了，可能要高2-3倍了，車廠就不愿意了！ 保險絲除可靠性外的隱藏風險 保險絲除了可靠性問題以外，還有一個很嚴重的問題：在線路故障時的保護速度問題，以及由此導致的對其他線路的影響問題。除了相關專業(yè)人士，極少有人注意到。

我們先看保險絲的保護速度問題，傳統(tǒng)保險的保護時間（即熔斷時間）一般在數(shù)百毫秒到秒級，具體視保險絲類型及故障電流而定。

車載保險絲熔斷時間（來源：Littelfuse）

我們再看在保險發(fā)生保護的這段時間內(nèi)，因為一條線路故障，而對其他線路產(chǎn)生的影響。對于自動駕駛車輛的電氣系統(tǒng)而言，當某一條線路發(fā)生短路時，由于保險熔斷速度慢，在數(shù)百毫秒到秒級的這么長的一段時間內(nèi)，蓄電池將承受一個很大的放電電流，整車電源電壓將被顯著拉低。 

線路短路對電源電壓的影響（來源：左成鋼）

在電源故障的這段時間內(nèi)，如果車輛剛好處于自動駕駛狀態(tài)下，那么自動駕駛車輛的一些關鍵功能必須保持激活狀態(tài)，比如雷達、攝像頭、其他傳感器、自動駕駛控制單元、剎車控制、轉向控制等，但實際上這些設備及功能是無法接受如此長時間的電源故障的。

車速、行駛距離與延時的關系

我們可以看到，如果車輛正在高速巡航自動駕駛狀態(tài)，某個功能即使短暫失效100ms，也就是0.1秒，你的車子已經(jīng)繼續(xù)向前行駛了3.3米，是不是細思極恐？！

其實針對保險絲的這種保護特性，ISO標準ISO16750-2（道路車輛 電氣及電子設備的環(huán)境條件和試驗 第2部分 電氣負荷）(對應的國標是GBT28046.2)中對此就提出了明確的試驗要求，要求車輛的ECU能夠承受100ms的電源電壓間歇性跌落，跌落到4.5V。

而乘用車正常啟動后的電壓在14V左右，車載設備正常工作電壓范圍是9V-16V，一般低于9V，設備就不能正常工作了，即使ECU不發(fā)生重啟，此時也基本處于功能受限狀態(tài)，執(zhí)行機構也不能正常工作！ 

ISO16750-2對電源電壓跌落的試驗要求

那你說我不用傳統(tǒng)保險絲呢，保護能不能快一點，對其他電路功能影響小一點?當然可以，我們看一下用智能半導體技術的故障保護速度。下圖是一個商用車24V系統(tǒng)采用半導體器件進行短路保護的測試波形，可以看到，半導體器件能夠在100微秒內(nèi)切斷故障電路，電源電壓跌落僅2.1V（24V系統(tǒng)正常電壓是28V左右），僅跌落了7.5%，保護時間極短，是傳統(tǒng)保險絲的1000倍以上，且在保護時間內(nèi)，對其他電路幾乎不會產(chǎn)生任何影響！ 

半導體器件進行配電的短路保護速度（來源：左成鋼）

 （2）繼電器

好了，我們再來看繼電器的可靠性。下圖為目前常用的車載繼電器的壽命對比，其電氣壽命一般在20萬次左右（機械壽命一般更長，但不做參考）。繼電器的使用設計和保險絲很像，最終失效也很像，一般最終失效就是達到了設計壽命，超過了使用次數(shù)限制，異常情況就是在設計壽命內(nèi)的非預期的觸點失效。

我們還參考上面遠光燈的例子，按20萬次來算，大概可以用13.3年，大概9733.3小時，那么MTBF就是9733.3小時，F(xiàn)IT值為102739.7，距離ASIL B要求的100FIT差異巨大。即使基于99%的DC，SRF仍高達1027FIT。 

常用車載繼電器的壽命對比（來源：英飛凌）

Tyco一款車載Plug-In繼電器壽命

（3）高邊開關HSD

我們再來看用來取代保險絲+繼電器的智能高邊開關HSD的使用壽命及可靠性。下圖為英飛凌對智能高邊開關壽命的描述，可以做到開關1015次以上性能無衰減。 

智能高邊開關壽命（來源：英飛凌）

下圖為TI的一顆高邊開關HSD的FIT值。

高邊開關FIT值（來源：TI）

參數(shù)對比：

 好了，洋洋灑灑幾千字，我們分析到這里也該給出結論了：通過對保險絲和繼電器FIT值的分析，再對比高邊開關HSD，“干掉保險絲和繼電器，自動駕駛會更安全”！所以，在使用車輛的自動駕駛功能時，對于要求功能安全等級為ASIL D的剎車和轉向等功能，你能安心地交給自動駕駛系統(tǒng)嗎？先看看他有沒有用到保險絲和繼電器，如果有，那么安全性就需要繼續(xù)提高。（當然，如果沒有用，那也未必一定安全！）

 五．特斯拉Model 3已經(jīng)砍掉了保險絲和繼電器

那市面上是否有一款車，車上已經(jīng)干掉了保險絲和繼電器了嗎？還真有，特斯拉從Model 3開始，整車低壓電氣部分就干掉了所有的保險絲和繼電器，用基于MOSFET的半導體方案進行替代，而且目前市場上有且只有特斯拉是這么做的。

當然我們無從得知特斯拉是否進行了相關的功能安全ASIL等級分析，在此我們略過不談。

為什么只有特斯拉?

首先，特斯拉沒有歷史包袱之外，特斯拉車型少，車輛平臺架構也一直在快速創(chuàng)新。

其次，特斯拉Model 3是全球第一款引入了區(qū)域架構的量產(chǎn)車型，且其負責電源分配及負載/執(zhí)行器驅動的三個模塊：FBCM、LBCM、RBCM全都是特斯拉自主設計的，沒有Tier1，所以特斯拉可以從整車電子電氣系統(tǒng)架構層面進行設計和創(chuàng)新，不會出現(xiàn)OEM不了解ECU模塊Tier1不了解整車的問題。

筆者認為，特斯拉取消低壓保險絲和繼電器，是在其整車電子電氣架構設計下自然而然的結果，而非原因；車輛低壓電氣系統(tǒng)的安全性提高也是結果。特斯拉采用半導體方案取代傳統(tǒng)的低壓保險絲和繼電器，其實還有其更深層次的原因，我們將在下篇文章《特斯拉為什么要干掉保險絲和繼電器》里面詳細分析。 

特斯拉Model 3的FBCM及其系統(tǒng)架構（來源：左成鋼）

回到文章標題，干掉保險絲和繼電器，這是自動駕駛系統(tǒng)安全的一個物理基礎，就像你想做個高精度的鐘表，你肯定不能用機械表方案，因為機械表的精度再高，也不可能有石英表高，雖然高級的機械表精度可以比低級的石英表高，但石英表的常規(guī)水平就可以比頂尖的機械表精度高得多，這是由其物理基礎決定的。

所以說，沒有保險絲和繼電器的自動駕駛系統(tǒng)才能更安全！ 

參考文獻：

1. MINI® Blade Fuse Rated 32V,Littelfuse2. Introduction to Circuit Protection- Fuse Selection Guide, Littelfuse3. Fast Fuses Versus Slow: How do You Choose? Littelfuse4. Frequently asked questions, Eaton5. Smart High­ Side Switches Application Note, Stephane Fraissé6. Improving the automotive power distribution architecture，Philippe Dupuy7. Automotive relay replacement Reliability meets space savings，NXP8. ISO26262 Road vehicles — Functional safety9. Fuse Characteristics, Terms and Consideration Factors, Littelfuse10. Components Engineering Reference relays，F(xiàn)ujitsu11. Relay replacement & Power distribution with Power PROFET，Infineon12. Plug-In Relays_Mini ISO Relays_Power Relay F4/VF4, Tyco13. ISO16750-2 Road vehicles-Environmental conditions and testing for electrical and electronic equipment-Part 2: Electrical loads14. ADAS and autonomous driving market trends to 2030, Roland Berger15. SAE J3016 Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles16. Understanding Functional Safety FIT Base Failure Rate Estimates per IEC 62380 and SN 29500, TI17. Reliability terminology_Reliability_Quality & reliability, TI18. MEGA® and MEGA® Clear Top Fuse Rated 32V, Littelfuse