基于ISO26262的EV用動(dòng)力電池系統(tǒng)功能安全設(shè)計(jì)

白志浩，張 麗，吳肇蘇

(東風(fēng)汽車股份有限公司技術(shù)中心，湖北武漢 430058)

在能源危機(jī)、環(huán)保壓力以及政府發(fā)布的新能源相關(guān)政策的促進(jìn)下，新能源汽車市場(chǎng)越發(fā)繁榮，據(jù)統(tǒng)計(jì)截止到2019 年6月我國(guó)新能源汽車保有量約344 萬(wàn)輛，2019 上半年國(guó)內(nèi)新能源汽車銷售61.7 萬(wàn)輛，同比增長(zhǎng)49.6%，其中乘用車56.3 萬(wàn)輛，同比增長(zhǎng)57.7%[1]。

汽車市場(chǎng)的增長(zhǎng)帶來(lái)了經(jīng)濟(jì)的繁榮也帶來(lái)了相應(yīng)的風(fēng)險(xiǎn)，隨著新能源汽車保有量的上升，新能源汽車發(fā)生的安全事故包括車輛起火、車輛爆炸、高速拋錨、人員觸電、轉(zhuǎn)向助力失效等直接威脅駕駛員生命的事故頻繁發(fā)生。為了最大限度地減少所述安全事故的發(fā)生風(fēng)險(xiǎn)，汽車功能安全開(kāi)發(fā)被越來(lái)越多的整車廠所重視。

與傳統(tǒng)燃油車相比，新能源汽車的電子電器部件增多，存在更大的安全隱患，尤其是增加的高電壓系統(tǒng)，極大地提高了新能源汽車發(fā)生安全事故的風(fēng)險(xiǎn)。為了降低新能源汽車發(fā)生安全事故的風(fēng)險(xiǎn)，新能源車電子電器部件尤其是高壓系統(tǒng)的功能安全設(shè)計(jì)尤為重要。

傳統(tǒng)的車輛被動(dòng)安全和主動(dòng)安全設(shè)計(jì)已經(jīng)無(wú)法解決上述問(wèn)題，功能安全設(shè)計(jì)越來(lái)越受到關(guān)注，功能安全設(shè)計(jì)從功能實(shí)現(xiàn)角度出發(fā)，在充分分析故障可能發(fā)生原因的基礎(chǔ)上，提出一系列的技術(shù)要求，最大可能的保證功能的正常實(shí)現(xiàn)，大大降低發(fā)生故障的概率。

目前國(guó)內(nèi)外大部分整車廠在新產(chǎn)品由其是在新能源車型的開(kāi)發(fā)中，已經(jīng)將功能安全設(shè)計(jì)列為開(kāi)發(fā)流程中的重要組成部分，參照設(shè)計(jì)開(kāi)發(fā)標(biāo)準(zhǔn)主要是國(guó)際標(biāo)準(zhǔn)ISO26262《Road vehicles-Functional safety》。該標(biāo)準(zhǔn)為與汽車安全有關(guān)的電子電器系統(tǒng)規(guī)定了功能安全開(kāi)發(fā)全流程。

主流整車廠在新能源車型開(kāi)發(fā)過(guò)程中主要對(duì)三電系統(tǒng)進(jìn)行功能安全設(shè)計(jì)，包括電機(jī)、電池和電控，國(guó)內(nèi)對(duì)三電系統(tǒng)開(kāi)展功能安全設(shè)計(jì)較早的廠家有北汽新能源、上汽、比亞迪等，并且都取得了相應(yīng)安全等級(jí)認(rèn)證，其中北汽新能源是國(guó)內(nèi)第一家三電系統(tǒng)同時(shí)獲得安全等級(jí)認(rèn)證的企業(yè)。國(guó)外的主流整車廠像特斯拉、大眾、寶馬也都在新能源車型開(kāi)發(fā)中進(jìn)行了功能安全設(shè)計(jì)，并取得了相應(yīng)的安全等級(jí)認(rèn)證。

本文基于一款實(shí)際開(kāi)發(fā)的純電動(dòng)汽車動(dòng)力電池系統(tǒng)(簡(jiǎn)稱動(dòng)力電池系統(tǒng))，參考ISO26262 功能安全V 型開(kāi)發(fā)流程，給出了動(dòng)力電池系統(tǒng)在實(shí)際開(kāi)發(fā)過(guò)程中功能安全在概念階段的開(kāi)發(fā)流程及其具體的設(shè)計(jì)方法，為相關(guān)行業(yè)尤其是汽車行業(yè)在高壓系統(tǒng)功能安全概念階段的開(kāi)發(fā)提供一定的指導(dǎo)，有助于剛接觸功能安全開(kāi)發(fā)的相關(guān)人員更快地開(kāi)展工作。

1 ISO26262 功能安全開(kāi)發(fā)流程

國(guó)際標(biāo)準(zhǔn)ISO26262 是基于國(guó)際標(biāo)準(zhǔn)IEC61508《電氣/電子/可編程電子安全系統(tǒng)的功能安全》對(duì)車載E/E 系統(tǒng)在功能安全方面的具體應(yīng)用，該標(biāo)準(zhǔn)提供了一個(gè)完整的汽車安全生命周期，適用于安裝在量產(chǎn)乘用車上的包含一個(gè)或多個(gè)電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。

由國(guó)際標(biāo)準(zhǔn)ISO26262 可知，整個(gè)功能安全開(kāi)發(fā)是基于V型流程開(kāi)發(fā)，如圖1 所示，包含功能安全設(shè)計(jì)啟動(dòng)、功能安全概念設(shè)計(jì)、功能安全系統(tǒng)設(shè)計(jì)、功能安全軟硬件設(shè)計(jì)、軟件單元測(cè)試、軟件/硬件集成測(cè)試、系統(tǒng)集成測(cè)試和整車集成測(cè)試8 項(xiàng)內(nèi)容，其中的功能安全開(kāi)發(fā)概念階段設(shè)計(jì)內(nèi)容主要包括相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評(píng)估、安全目標(biāo)設(shè)定、功能安全概念及功能安全要求等內(nèi)容[2]?；趪?guó)際標(biāo)準(zhǔn)ISO26262 對(duì)功能安全開(kāi)發(fā)概念階段設(shè)計(jì)內(nèi)容的要求，本文對(duì)動(dòng)力電池系統(tǒng)功能安全概念階段設(shè)計(jì)內(nèi)容中的相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)、安全目標(biāo)設(shè)定、功能安全概念、功能安全要求及技術(shù)安全要求內(nèi)容進(jìn)行了詳細(xì)設(shè)計(jì)。

圖1 功能安全V 型開(kāi)發(fā)流程

2 動(dòng)力電池系統(tǒng)功能安全概念階段開(kāi)發(fā)

在開(kāi)展動(dòng)力電池系統(tǒng)功能安全概念設(shè)計(jì)工作時(shí)，先要對(duì)電池系統(tǒng)相關(guān)項(xiàng)進(jìn)行定義，然后再進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，根據(jù)危害分析和風(fēng)險(xiǎn)評(píng)估結(jié)果設(shè)定安全目標(biāo)，從而形成功能安全概念和功能安全要求，最終提出技術(shù)安全要求。

2.1 動(dòng)力電池系統(tǒng)相關(guān)項(xiàng)定義

系統(tǒng)相關(guān)項(xiàng)的定義包括其功能、接口、環(huán)境條件、法規(guī)要求和危害等，本文所研究動(dòng)力電池系統(tǒng)的架構(gòu)如圖2 所示，包括模組、繼電器、銅排、BMS、保險(xiǎn)、接口及低壓線束等，動(dòng)力電池系統(tǒng)應(yīng)具備的功能有電池參數(shù)檢測(cè)、電池狀態(tài)估計(jì)、在線故障診斷、電池安全控制與報(bào)警、充電控制、電池均衡、熱管理、網(wǎng)絡(luò)通訊、信息存儲(chǔ)和電磁兼容。

圖2 動(dòng)力電池系統(tǒng)架構(gòu)圖

2.2 動(dòng)力電池系統(tǒng)危害分析和風(fēng)險(xiǎn)評(píng)估

危害分析和風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別相關(guān)項(xiàng)中因故障而引起的危害并對(duì)危害進(jìn)行歸類,制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo),以避免不合理的風(fēng)險(xiǎn)。

基于電池系統(tǒng)功能的定義對(duì)電池系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估。進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估時(shí)，可以使用頭腦風(fēng)暴、潛在失效模式和影響分析(FEMA)、危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)等方法，對(duì)每個(gè)危害分配安全等級(jí)(ASIL)。ASIL 從三個(gè)方面進(jìn)行等級(jí)劃分，分別是暴露率(E)、嚴(yán)重度(S)和可控性(C)，其中暴露率是指人員暴露在系統(tǒng)的失效能夠造成危害的場(chǎng)景中的概率，共有E0-不可能、E1-非常低的概率、E2-低概率、E3-中等概率和E4-高概率五個(gè)等級(jí)；嚴(yán)重度用于評(píng)估危害對(duì)駕駛員、乘客、車輛周圍人員或周邊車輛中人員產(chǎn)生的潛在傷害,以確定相應(yīng)危害的嚴(yán)重度等級(jí)，共有S0-無(wú)傷害、S1-輕度和中度傷害、S2 嚴(yán)重的和危及生命的傷害(有存活的可能)、S3-危及生命四個(gè)等級(jí)；可控性是指駕駛員或其他涉險(xiǎn)人員能夠避免事故或傷害的可能性，共有C0-可控、C1-簡(jiǎn)單可控、C2-一般可控、C3-難以控制或不可控四個(gè)等級(jí)[3-4]。根據(jù)暴露率、嚴(yán)重度和可控性，ASIL 等級(jí)劃分原則見(jiàn)表1。表中A、B、C、D、QM 均為汽車的安全等級(jí)分級(jí)。

表1 ASIL 等級(jí)劃分原則

本文以動(dòng)力電池動(dòng)力系統(tǒng)充電控制功能的HARA 分析為例展示進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的方法，HARA 分析結(jié)果見(jiàn)表2。電池在充電過(guò)程中，可能出現(xiàn)的失效模式包括過(guò)溫、過(guò)流、過(guò)充等，出現(xiàn)過(guò)溫(HARA-BAT-01)、過(guò)流(HARA-BAT-02)和過(guò)充(HARA-BAT-03)這三種失效模式的概率高，其暴露率為E4，且一旦發(fā)生，容易造成起火爆炸，危及生命，其嚴(yán)重度為S3，這種危害是不可控的，其可控性為C3，因此根據(jù)ASIL 等級(jí)劃分原則，HARA-BAT-01、HARA-BAT-02、HARABAT-03 的ASIL 均為D。

表2 動(dòng)力電池系統(tǒng)HARA 分析表

2.3 動(dòng)力電池系統(tǒng)安全目標(biāo)設(shè)定和功能安全概念

根據(jù)HARA 分析結(jié)果及ASIL 等級(jí)設(shè)定動(dòng)力電池系統(tǒng)安全目標(biāo)，安全目標(biāo)設(shè)定需要考慮如下方面[5-10]：

(1)應(yīng)為具有ASIL 等級(jí)的每個(gè)危害事件確定一個(gè)安全目標(biāo)；

(2)應(yīng)將為危害事件所確定的ASIL 等級(jí)分配給對(duì)應(yīng)的安全目標(biāo)；

(3)如果一個(gè)安全目標(biāo)可以通過(guò)轉(zhuǎn)移到或保持一個(gè)或多個(gè)安全狀態(tài)來(lái)實(shí)現(xiàn),則應(yīng)明確說(shuō)明對(duì)應(yīng)的安全狀態(tài)。

基于充電控制功能的失效模式HARA-BAT-01、HARABAT-02 和HARA-BAT-03，分別列出動(dòng)力電池系統(tǒng)的安全目標(biāo)SG1 防止過(guò)溫、SG2 防止過(guò)流和SG3 防止過(guò)充，SG1、SG2和SG3 對(duì)應(yīng)的安全狀態(tài)分別為降額/斷開(kāi)繼電器、斷開(kāi)繼電器和斷開(kāi)繼電器，詳見(jiàn)表3。

表3 動(dòng)力電池系統(tǒng)安全目標(biāo)

功能安全概念的目的是從安全目標(biāo)中得出功能安全要求,并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素上，其中功能安全要求導(dǎo)出和分配需考慮以下方面：

(1)功能安全要求應(yīng)由安全目標(biāo)和安全狀態(tài)導(dǎo)出，并考慮初步架構(gòu)設(shè)想；

(2)應(yīng)為每一個(gè)安全目標(biāo)定義至少一項(xiàng)功能安全要求；

(3)功能安全要求應(yīng)分配給初步架構(gòu)設(shè)想中的要素：(a)在分配過(guò)程中，ASIL 等級(jí)應(yīng)從相關(guān)的安全目標(biāo)或上一級(jí)安全要求中繼承得到；(b)如果將幾個(gè)功能安全要求分配給同一個(gè)架構(gòu)要素，且在初步架構(gòu)中無(wú)法證明這些要求是互相獨(dú)立或者免于干擾，則該架構(gòu)要素應(yīng)按照安全要求中最高的ASIL等級(jí)開(kāi)發(fā)；(c) 如果相關(guān)項(xiàng)包含多個(gè)系統(tǒng)，則應(yīng)根據(jù)初步架構(gòu)的設(shè)想定義各個(gè)系統(tǒng)以及系統(tǒng)之間接口的功能安全要求，這些功能安全要求應(yīng)分配到各個(gè)系統(tǒng)中；(d)如果在功能安全要求分配期間進(jìn)行ASIL 等級(jí)分解,則應(yīng)按照標(biāo)準(zhǔn)進(jìn)行ASIL 等級(jí)分解。

基于本文所述的電池系統(tǒng)架構(gòu)及安全目標(biāo)SG1、SG2 和SG3，導(dǎo)出的功能安全要求見(jiàn)表4。針對(duì)安全目標(biāo)SG1 的功能安全要求包括SG1-FSR-01 測(cè)量電池單體溫度，SG1-FSR-02 應(yīng)保證測(cè)量溫度單元與BMS 通信完整，SG1-FSR-03 檢測(cè)到過(guò)溫請(qǐng)求斷開(kāi)繼電器/限功率/直接斷開(kāi)繼電器。其中SG1-FSR-01 要求在充電過(guò)程中，出現(xiàn)溫度檢測(cè)回路故障，需發(fā)出故障碼；SG1-FSR-02 要求在充電過(guò)程中，出現(xiàn)溫度信號(hào)錯(cuò)誤/丟失，需發(fā)出故障碼；SG1-FSR-03 要求在充電過(guò)程中，檢測(cè)到過(guò)溫，電池需根據(jù)不同的過(guò)流等級(jí)進(jìn)行限制功率、請(qǐng)求斷開(kāi)繼電器、限功率或直接斷開(kāi)繼電器等保護(hù)。針對(duì)安全目標(biāo)SG2 的功能安全要求包括SG2-FSR-01 測(cè)量母線電流，SG2-FSR-02 檢測(cè)到過(guò)流時(shí)請(qǐng)求斷開(kāi)繼電器/限功率。其中SG2-FSR-01 要求在充電過(guò)程中，出現(xiàn)電流檢測(cè)回路故障，需發(fā)出故障碼；SG2-FSR-02 要求在充電過(guò)程中，電流超過(guò)限值，電池需根據(jù)不同的過(guò)流等級(jí)進(jìn)行限制功率、請(qǐng)求斷開(kāi)繼電器。針對(duì)安全目標(biāo)SG3 的功能安全要求包括SG3-FSR-01 測(cè)量單體電壓、總電壓，SG3-FSR-02 檢測(cè)到過(guò)壓時(shí)請(qǐng)求斷開(kāi)繼電器。其中SG3-FSR-01 要求在充電過(guò)程中，出現(xiàn)電壓檢測(cè)回路故障，需發(fā)出故障碼；SG3-FSR-02 要求在充電過(guò)程中，檢測(cè)到過(guò)壓，需請(qǐng)求斷開(kāi)繼電器。

表4 動(dòng)力電池系統(tǒng)功能安全要求

2.4 動(dòng)力電池系統(tǒng)技術(shù)安全要求

技術(shù)安全要求的提出需考慮功能概念和初步的架構(gòu)，將相關(guān)項(xiàng)層面的功能安全要求細(xì)化到系統(tǒng)層面的技術(shù)安全要求。本文將以防止過(guò)溫為例，闡述如何將功能安全要求細(xì)化到技術(shù)安全要求。過(guò)溫保護(hù)架構(gòu)如圖3 所示，主要包括模組、主回路繼電器、溫度檢測(cè)單元和BMS。過(guò)溫保護(hù)策略為溫度檢測(cè)單元通過(guò)溫度傳感器實(shí)時(shí)檢測(cè)模組實(shí)時(shí)溫度，并將溫度信號(hào)發(fā)送給BMS，BMS 將接收到的溫度信號(hào)經(jīng)過(guò)對(duì)比分析、范圍檢查、合理性檢查后，進(jìn)行過(guò)溫判斷。

圖3 動(dòng)力電池系統(tǒng)過(guò)溫保護(hù)架構(gòu)

具體的過(guò)溫判斷策略為當(dāng)檢測(cè)的溫度值超過(guò)閾值1 時(shí)，車輛報(bào)警，儀表點(diǎn)亮電池溫度過(guò)高報(bào)警燈，即過(guò)溫等級(jí)1；當(dāng)檢測(cè)的溫度值超過(guò)閾值2 時(shí)，車輛報(bào)警，儀表點(diǎn)亮電池溫度過(guò)高報(bào)警燈，并進(jìn)行降額處理，即過(guò)溫等級(jí)2；當(dāng)檢測(cè)的溫度值超過(guò)閾值3 時(shí)，車輛報(bào)警，儀表點(diǎn)亮電池溫度過(guò)高報(bào)警燈，并進(jìn)行降額處理，然后延時(shí)斷開(kāi)繼電器，即過(guò)溫等級(jí)3；當(dāng)檢測(cè)的溫度值超過(guò)閾值4 時(shí)，車輛報(bào)警，儀表點(diǎn)亮電池溫度過(guò)高報(bào)警燈，并進(jìn)行降額處理，然后立刻斷開(kāi)繼電器，即過(guò)溫等級(jí)4。

為了保證溫度檢測(cè)的準(zhǔn)確性，溫度檢測(cè)單元會(huì)診斷傳感器是否出現(xiàn)故障、傳感器檢測(cè)回路是否出現(xiàn)故障、ADC 轉(zhuǎn)換模塊是否出現(xiàn)故障。根據(jù)功能安全要求細(xì)化技術(shù)安全要求時(shí)，需參考系統(tǒng)開(kāi)發(fā)模型，如圖4 所示，以及ASIL 分解原則。ASIL 分解原則包括[11-15]：

圖4 系統(tǒng)開(kāi)發(fā)模型

(1)ASILD 的分解原則:一個(gè)ASILC(D)的要求和一個(gè)ASILA(D)的要求或一個(gè)ASILB(D)的要求和一個(gè)ASILB(D)的要求或一個(gè)ASILD(D)的要求和一個(gè)QM(D)的要求；

(2)ASILC 的分解原則:一個(gè)ASILB(C)的要求和一個(gè)ASILA(C)的要求或一個(gè)ASILC(C)的要求和一個(gè)QM(C)的要求；

(3)ASILB 的分解原則:一個(gè)ASILA(B)的要求和一個(gè)ASILA(B)的要求或一個(gè)ASILB(B)的要求和一個(gè)QM(B)的要求。

對(duì)保證功能安全要求ASIL 等級(jí)不變的情況下對(duì)技術(shù)安全要求進(jìn)行降級(jí)，可以減少整體功能安全開(kāi)發(fā)成本。

根據(jù)表4 動(dòng)力電池系統(tǒng)功能安全要求、系統(tǒng)架構(gòu)及ASIL分解原則，提出技術(shù)安全要求見(jiàn)表5，包括溫度傳感器應(yīng)放置在模組正確位置、每個(gè)溫度傳感器具有單獨(dú)的檢測(cè)通道、溫度檢測(cè)單元保證溫度值精度±1 ℃等。技術(shù)安全要求定義之后進(jìn)行系統(tǒng)設(shè)計(jì)，在系統(tǒng)設(shè)計(jì)過(guò)程中建立系統(tǒng)架構(gòu)，將技術(shù)安全要求分配給硬件和軟件。

表5 動(dòng)力電池系統(tǒng)技術(shù)安全要求

3 結(jié)論

本文以某一款實(shí)際開(kāi)發(fā)的動(dòng)力電池為研究對(duì)象，按照ISO26262 進(jìn)行了功能安全概念階段的設(shè)計(jì)，在充分識(shí)別危害和風(fēng)險(xiǎn)的基礎(chǔ)上提出了較為詳細(xì)的技術(shù)安全要求，為后續(xù)系統(tǒng)層面軟硬件的設(shè)計(jì)提供了安全需求輸入。功能安全設(shè)計(jì)采用V 型流程，設(shè)計(jì)的過(guò)程中需要進(jìn)行詳細(xì)的相關(guān)測(cè)試活動(dòng)來(lái)驗(yàn)證系統(tǒng)設(shè)計(jì)是否符合功能和技術(shù)安全要求，測(cè)試內(nèi)容包括軟硬件的單元測(cè)試、模塊測(cè)試、軟硬件集成測(cè)試、系統(tǒng)集成測(cè)試以及整車測(cè)試等內(nèi)容[16-18]，測(cè)試過(guò)程中使用的測(cè)試用例需要根據(jù)不同層級(jí)的功能安全要求進(jìn)行編制。本文目前只對(duì)功能安全概念階段設(shè)計(jì)進(jìn)行了說(shuō)明，后續(xù)將會(huì)對(duì)如何進(jìn)行測(cè)試來(lái)驗(yàn)證功能和技術(shù)安全要求達(dá)成做進(jìn)一步研究。