劉凌飛，李小鵬，徐征，沈圣智

(1.天津職業(yè)技術(shù)師范大學(xué)汽車與交通學(xué)院，天津 300222；2.天津動(dòng)核芯科技有限公司，天津 300350)

0 引言

隨著汽車上電子/電氣(E/E)系統(tǒng)的復(fù)雜性不斷提高，系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也不斷增加。據(jù)不完全統(tǒng)計(jì)，截至2019年上半年，由于動(dòng)力蓄電池所引發(fā)的電動(dòng)汽車自燃事故已高達(dá)40余起。動(dòng)力蓄電池系統(tǒng)作為新能源汽車的能源系統(tǒng)，承擔(dān)能量的存儲(chǔ)與釋放，其內(nèi)部的電子控制器的功能安全直接影響動(dòng)力蓄電池的安全性。

為提高汽車的安全性，針對(duì)汽車功能安全，國(guó)際標(biāo)準(zhǔn)化組織ISO于2018年發(fā)布了第二版 ISO 26262道路車輛功能安全標(biāo)準(zhǔn)[1]。電池管理系統(tǒng)(Battery Management System， BMS)作為動(dòng)力蓄電池的核心電子控制器，在其系統(tǒng)功能安全設(shè)計(jì)過程中應(yīng)用ISO 26262標(biāo)準(zhǔn)要求，將有利于提高其安全性。

本文作者根據(jù)ISO 26262標(biāo)準(zhǔn)中的危害分析和風(fēng)險(xiǎn)評(píng)估方法，介紹了汽車完整性等級(jí)(Automotive Safety Integration Level，ASIL)的確定方法，介紹了ASIL分解的原則，并以BMS的等級(jí)確定及分解為示例進(jìn)行介紹。

1 道路車輛功能安全標(biāo)準(zhǔn)ISO 26262

2018年基于IEC 61508安全相關(guān)電氣/電子/可編程電子系統(tǒng)功能安全，ISO 26262被制定。它是針對(duì)公路車輛內(nèi)的電子/電氣系統(tǒng)的汽車開發(fā)行業(yè)標(biāo)準(zhǔn)[1]，包括了汽車電子電氣在安全生命周期的開發(fā)過程中與安全相關(guān)的所有活動(dòng)的要求。從而確保具備安全功能的電子產(chǎn)品的性能，在車輛使用過程中，即使出現(xiàn)功能性失效的情況，車輛也不會(huì)發(fā)生危險(xiǎn)。

ISO 26262：2018標(biāo)準(zhǔn)體系由12個(gè)子標(biāo)準(zhǔn)組成，其中Road vehicles：Functional safety：Part 12是針對(duì)摩托車定制的[1]。Part1—Part11的內(nèi)容如圖1所示，其中第4、5、6部分，兼容“V”形開發(fā)流程圖[4]，其結(jié)構(gòu)框圖如圖1所示。

圖1 ISO 26262:2018 標(biāo)準(zhǔn)結(jié)構(gòu)

依據(jù)ISO 26262標(biāo)準(zhǔn)進(jìn)行功能安全設(shè)計(jì)時(shí)，需要進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估。根據(jù)系統(tǒng)的功能，可采用HAZOP、FMEA、頭腦風(fēng)暴等方法，結(jié)合故障可能會(huì)出現(xiàn)的情景進(jìn)行功能故障分析。

功能故障和駕駛場(chǎng)景的組合稱作危害事件。危害事件確定后，依據(jù)嚴(yán)重度、暴露率和可控性評(píng)估危害事件的風(fēng)險(xiǎn)級(jí)別——汽車完整性等級(jí)(ASIL)。其中，嚴(yán)重度是駕駛員、乘員或者行人等涉險(xiǎn)人員在危害事件中遭受傷害的程度；暴露率是指人員處于失效系統(tǒng)所致的危害場(chǎng)景中的概率；可控性是指駕駛員或其他涉險(xiǎn)人員通過相應(yīng)的應(yīng)急措施，避免事故或傷害的可能性。這3個(gè)因子的分類及等級(jí)評(píng)定如表1所示。

ASIL設(shè)置有4個(gè)等級(jí)，如表2所示。其中D等級(jí)的級(jí)別最高、A等級(jí)最低；QM表示質(zhì)量管理，表示只需按照質(zhì)量管理體系進(jìn)行系統(tǒng)或功能的開發(fā)，不再需要考慮其他安全相關(guān)的設(shè)計(jì)[2]。ASIL等級(jí)越高，意味著對(duì)系統(tǒng)安全性的要求越高。

表1 嚴(yán)重度、暴露率、可控性分類

表2 ASIL等級(jí)確定

可將風(fēng)險(xiǎn)R描述為危險(xiǎn)事件的功能函數(shù)F。風(fēng)險(xiǎn)R與危害事件的發(fā)生頻率f、通過人的及時(shí)反應(yīng)而避免損害或損傷的可控性C以及潛在的嚴(yán)重程度S有關(guān)，其函數(shù)可表示為

R=F(f,C,S)

(1)

式中f是危害事件的暴露率E發(fā)生概率λ的函數(shù)。發(fā)生的頻率f由以下2個(gè)因素確定：(1)需要考慮危害事件的發(fā)生頻繁度和危害事件涉及的人數(shù)，該因素可用危害事件的暴露率E來代替。(2)可能導(dǎo)致危險(xiǎn)事件的產(chǎn)品故障率λ，該因素受限于硬件隨機(jī)故障和系統(tǒng)性故障。其表達(dá)式如式(2)所示。

f=Eλ

(2)

2 BMS的等級(jí)評(píng)定

2.1 市場(chǎng)車型定位

BMS是保護(hù)動(dòng)力電池的使用安全和使用壽命的控制系統(tǒng)。通常具有上電自檢，對(duì)電壓、電流、溫度數(shù)據(jù)進(jìn)行采樣監(jiān)測(cè)，均衡管理，絕緣監(jiān)控，狀態(tài)估計(jì)(SOC、SOH等)，高壓回路控制，故障診斷，通信，熱管理等功能[3]。BMS需時(shí)刻監(jiān)控電池的狀態(tài)，通過檢測(cè)單體電池的電壓、電流及溫度值，估算動(dòng)力電池的SOC、SOH等值，以確定動(dòng)力電池的安全狀態(tài)。BMS內(nèi)部的邏輯計(jì)算與控制策略可以防止電池出現(xiàn)過度充電和過度放電的現(xiàn)象，緩解電池組的不一致性，提高電池的利用率[4]，保障動(dòng)力蓄電池的使用安全。

動(dòng)力電池系統(tǒng)的BMS控制模塊，可分為數(shù)據(jù)采集與數(shù)據(jù)通信、處理模塊，如圖2所示。該系統(tǒng)由一個(gè)主控單元和多個(gè)從控單元組成，其中從控單元主要負(fù)責(zé)單體電壓信號(hào)采集與均衡處理，主控單元主要負(fù)責(zé)數(shù)據(jù)的運(yùn)算處理、系統(tǒng)高壓通斷、熱管理及與 VCU 進(jìn)行信息交互等。

圖2 電動(dòng)汽車的動(dòng)力電池系統(tǒng)

2.2 BMS的危害分析與風(fēng)險(xiǎn)評(píng)估

對(duì)BMS進(jìn)行危害分析與風(fēng)險(xiǎn)評(píng)估時(shí)，可將BMS作為一個(gè)獨(dú)立單元，在不考慮其他整車要素的情況下進(jìn)行。首先要對(duì)BMS的功能及結(jié)構(gòu)進(jìn)行分析，可以采用概念階段所定義的安全生命周期的方法來定義BMS的工作環(huán)境和工作狀況。根據(jù)BMS的工作狀態(tài)，分析其失效或故障狀態(tài)下可能發(fā)生的危害。針對(duì)BMS的危害至少確定一個(gè)安全目標(biāo)，再根據(jù)BMS的安全目標(biāo)確定其ASIL等級(jí)。安全目標(biāo)是最高層面的安全要求，也是危害分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果[1]。

結(jié)合BMS在動(dòng)力電池系統(tǒng)中的工作狀態(tài)， BMS電子控制器的危險(xiǎn)動(dòng)作主要包含過充、過放、低溫充電、過度冷卻/加熱、接觸器非正常斷開/接合、過流等。以BMS失效為例，該危險(xiǎn)事件的危害有：(1)在行駛過程中，BMS失效出現(xiàn)電池過放，引起電池組內(nèi)部短路和電池包著火。(2)高速行駛過程中，高壓回路被切斷,導(dǎo)致車輛失去動(dòng)力[2]。(3)車輛充電時(shí)，由于BMS失效不能保護(hù)動(dòng)力電池，發(fā)生過充現(xiàn)象等。高速行駛、充電是每天都會(huì)發(fā)生的事情。對(duì)于不同的失效危害可采取相應(yīng)的措施，如車輛失去動(dòng)力后,駕駛員可依靠慣性將車輛駛離主車道，將車輛?？吭诼愤叺却S修處理；車輛充電時(shí)著火，駕駛員及乘客可通過門窗逃生等，以保障車輛上人員的生命安全。即使危害相同，在不同場(chǎng)景下發(fā)生的風(fēng)險(xiǎn)也是不同的，所以需要對(duì)不同的駕駛場(chǎng)景進(jìn)行針對(duì)性分析。為了簡(jiǎn)化問題，文中僅對(duì)“高速行駛過程中，BMS失效引發(fā)電池組過放”這種功能故障進(jìn)行風(fēng)險(xiǎn)評(píng)估。根據(jù)以上分析，BMS風(fēng)險(xiǎn)評(píng)估結(jié)果如表3所示。駕駛場(chǎng)景是正常道路高速行駛。對(duì)于同一個(gè)安全目標(biāo)，如果出現(xiàn)評(píng)估的ASIL等級(jí)不同時(shí)，要選擇最高的ASIL評(píng)定值。

城市工況低速行駛時(shí)，其ASIL的等級(jí)會(huì)比高速行駛的評(píng)定等級(jí)低。通過以上分析，得出BMS系統(tǒng)的安全目標(biāo)為防止電池過放，ASIL等級(jí)為C。安全目標(biāo)確定后，即可確定BMS在系統(tǒng)級(jí)別的安全需求，安全需求需繼承安全目標(biāo)的ASIL等級(jí)，并分配至BMS的硬件和軟件設(shè)計(jì)中。根據(jù)BMS的ASIL C的等級(jí)要求，在其硬件及軟件的開發(fā)設(shè)計(jì)過程中，需要繼承ASIL C等級(jí)的設(shè)計(jì)需求。

表3 BMS風(fēng)險(xiǎn)評(píng)估

3 BMS的ASIL分解

ISO 26262規(guī)定，應(yīng)為每一個(gè)安全目標(biāo)定義至少一項(xiàng)功能安全需求，每條功能安全需求從相關(guān)的安全目標(biāo)繼承最高的ASIL，然后將功能安全需求分配給相關(guān)項(xiàng)。由于在實(shí)際的生產(chǎn)過程中需要考慮生產(chǎn)成本，ASIL的等級(jí)越高生產(chǎn)成本越高[5]。為了降低安全目標(biāo)的實(shí)施成本，可將一個(gè)高ASIL等級(jí)的安全目標(biāo)分解為兩個(gè)相互獨(dú)立的較低級(jí)的安全目標(biāo)。ISO 26262標(biāo)準(zhǔn)的第9部分中提出了在滿足安全目標(biāo)的前提下降低ASIL等級(jí)的ASIL分解方法[1]。

3.1 ASIL的分解原則

如果將一個(gè)安全需求分解為兩個(gè)冗余的安全需求，則原來的安全需求的ASIL等級(jí)可以分解到兩個(gè)冗余的安全需求上[1]。由于只有當(dāng)兩個(gè)安全需求同時(shí)不達(dá)標(biāo)時(shí)，才會(huì)引發(fā)系統(tǒng)失效，所以冗余安全需求的ASIL等級(jí)可以比原始的ASIL等級(jí)低。ASIL 分解時(shí)，分解對(duì)象應(yīng)具有獨(dú)立性，否則冗余單元需遵循原始的等級(jí)進(jìn)行開發(fā)[1]。下面介紹BMS的ASIL 分解過程。

假設(shè)BMS的功能實(shí)現(xiàn)過程中，將傳感器測(cè)量到的電壓、電流及溫度信號(hào)作為BMS的輸入信號(hào)，分別記為S1、S2、S3。這3個(gè)輸入信號(hào)是由相互獨(dú)立的傳感器分別檢測(cè)出的。MCU將運(yùn)算后的輸入信號(hào)，轉(zhuǎn)化為觸發(fā)信息并發(fā)送給執(zhí)行器。其功能的架構(gòu)示意如圖3所示。假設(shè)經(jīng)過危害分析和風(fēng)險(xiǎn)評(píng)估后，BMS的ASIL等級(jí)為ASIL C，安全目標(biāo)為避免非預(yù)期觸發(fā)執(zhí)行器，那么BMS的各個(gè)部分均繼承BMS的ASIL，即傳感器、MCU、執(zhí)行器都需要按照ASIL C 的等級(jí)開發(fā)，如圖3所示。

圖3 ASIL等級(jí)在BMS功能架構(gòu)上的分配

ASIL的分解可以在功能安全概念、系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)階段等多個(gè)階段進(jìn)行。在將一個(gè)高ASIL分解為幾個(gè)較低級(jí)的ASIL部分時(shí)，分解部分的括號(hào)里的字母為原始需求的ASIL等級(jí)。例如ASIL C等級(jí)分為ASIL B(C)和ASIL A (C)兩個(gè)分部分，或者ASIL C等級(jí)還可以分解為ASIL C(C)和ASIL QM(C)等，如圖4所示。ASIL等級(jí)可分多次進(jìn)行分解，比如ASIL C分解為ASIL B(C)和ASIL A(C)， ASIL B(C)還可以分解為ASIL B(C)和QM (C)[1]，如圖5所示。

圖4 ASIL C分解原理

圖5 ASIL B分解原理

3.2 BMS的ASIL分解

以預(yù)防過放功能為例，在動(dòng)力電池運(yùn)行過程中，為了防止動(dòng)力電池出現(xiàn)過放現(xiàn)象，可以通過BMS計(jì)算出動(dòng)力電池的SOC，并判斷SOC值是否在安全范圍內(nèi)[4]。如果電池的SOC過低，就存在電池過放的趨勢(shì)，需要將該信息發(fā)送給其他控制單元，以提示整車做出對(duì)應(yīng)措施。除此之外，當(dāng)BMS檢測(cè)到電池處于深度放電的狀態(tài)時(shí)，可以斷開高壓回路，以阻斷放電電流。因此，為達(dá)到防止電池組中的一個(gè)或多個(gè)電池深度放電的安全目標(biāo)，需要達(dá)到以下安全需求：

(1)確定電池組的SOC并傳達(dá)給其他控制器。如果電池組的SOC不在規(guī)定的操作范圍內(nèi)，系統(tǒng)需要跟蹤到電池的能量流并做出反應(yīng)。此外，如果超出了電池組SOC的限定值，則應(yīng)將該信息傳達(dá)到車輛的其他系統(tǒng)。

(2)如果檢測(cè)到深度放電狀態(tài)，則應(yīng)在較短的時(shí)間內(nèi)切斷放電電流。

為保護(hù)電池免受損壞并防止深度放電(深度放電可使電池內(nèi)部短路并導(dǎo)致熱事件和火災(zāi))引起的危險(xiǎn)后果，如果檢測(cè)到深度放電狀態(tài)，系統(tǒng)應(yīng)切斷放電電流。

根據(jù)以上需求分析，結(jié)合BMS的工作環(huán)境及BMS與內(nèi)、外部部件之間的聯(lián)系進(jìn)行需求分配。假設(shè)動(dòng)力電池的負(fù)載只有驅(qū)動(dòng)電機(jī)，那么BMS需要實(shí)現(xiàn)與電池組及電力電子控制單元之間的交流，即處理電池組內(nèi)電芯的數(shù)據(jù)，接收電力電子控制單元的信息，根據(jù)數(shù)據(jù)進(jìn)行決策判斷。因此，可將BMS的安全目標(biāo)分解為斷開高壓回路和負(fù)載需求降為零，且這兩個(gè)功能安全需求是相互獨(dú)立的。將BMS的ASIL C等級(jí)分別分配至BMS及其他電力電子控制器的功能需求，分解情況如圖6所示。

圖6 預(yù)防過放目標(biāo)的ASIL分解

經(jīng)過分解后，較高的ASIL C的BMS安全目標(biāo)，被分解為按照ASIL B(C)等級(jí)設(shè)計(jì)的BMS功能安全需求及按照ASIL A(C)等級(jí)設(shè)計(jì)的電力電子控制器。通過對(duì)功能安全需求的分配與分解，使得BMS功能邏輯及開發(fā)變得簡(jiǎn)單，整體成本得以降低。

4 結(jié)語

以BMS為例介紹了ISO 26262標(biāo)準(zhǔn)中安全目標(biāo)及其ASIL等級(jí)確定的方法。如果產(chǎn)品的安全需求的ASIL等級(jí)較高，成本高，可通過ASIL分解以降低ASIL等級(jí)，降低生產(chǎn)成本。在分解的過程中，遵循安全目標(biāo)的ASIL等級(jí)在被開發(fā)階段的安全需求繼承的原則。以BMS預(yù)防過放為例，介紹了ASIL的分解原則和步驟。通過對(duì)功能及結(jié)構(gòu)進(jìn)行分析，對(duì)系統(tǒng)的架構(gòu)進(jìn)行調(diào)整，實(shí)現(xiàn)了ASIL的分解。為針對(duì)ASIL等級(jí)高而帶來的開發(fā)成本高、開發(fā)周期長(zhǎng)及技術(shù)要求高等方面的問題，提供了一種解決方法。