黃代富

摘要：基于功能安全，本文進(jìn)行了電池管理系統(tǒng)概念階段的設(shè)計(jì)。通過對(duì)系統(tǒng)主功能進(jìn)行失效分析，并結(jié)合車輛場(chǎng)景，評(píng)估得出了電池管理系統(tǒng)的安全目標(biāo)和ASIL等級(jí)。根據(jù)安全目標(biāo)，推導(dǎo)出了該系統(tǒng)的功能安全需求，并將其分配到系統(tǒng)的初步架構(gòu)上。

關(guān)鍵詞：功能安全;電池管理系統(tǒng);概念階段;ISO 26262

0? 引言

為了防止電子電氣系統(tǒng)的失效給駕乘人員帶來生命危險(xiǎn)，國(guó)家標(biāo)準(zhǔn)化組織借鑒了工業(yè)電子功能安全I(xiàn)EC 61508標(biāo)準(zhǔn)，于2011年推出了適用于汽車電子的功能安全標(biāo)準(zhǔn)ISO 26262標(biāo)準(zhǔn)[1]。該標(biāo)準(zhǔn)共有10個(gè)部分，涵蓋了項(xiàng)目管理以及系統(tǒng)軟硬件的開發(fā)。

目前，已有部分高校和和企業(yè)進(jìn)行了功能安全相關(guān)的研究，并基于ISO 26262研發(fā)了許多車載控制器，如整車電源模式管理系統(tǒng)[2]、7速變速器[3]以及車用驅(qū)動(dòng)電機(jī)系統(tǒng)[4]等，但是作為電動(dòng)汽車的主要?jiǎng)恿υ矗P(guān)于動(dòng)力電池系統(tǒng)在此方面的研究較少。本文將以動(dòng)力電池管理系統(tǒng)為例，重點(diǎn)闡述功能安全階段的設(shè)計(jì)與開發(fā)，旨在為后續(xù)基于功能安全的BMS開發(fā)提供借鑒。

1? ISO 26262概念階段介紹

ISO 26262的第三部分介紹了系統(tǒng)在概念階段的開發(fā)，其主要目的是為后續(xù)的設(shè)計(jì)開發(fā)與驗(yàn)證提供明確的目標(biāo)，主要包括系統(tǒng)定義、安全生命周期初始化、危害分析和風(fēng)險(xiǎn)評(píng)估以及功能安全概念四個(gè)部分。

簡(jiǎn)單來說，ISO 26262中概念階段是整個(gè)功能安全生命周期中至關(guān)重要的一個(gè)環(huán)節(jié)，位于整個(gè)功能安全生命周期金字塔的頂端，對(duì)后續(xù)的安全活動(dòng)起重要的指導(dǎo)作用。在某一個(gè)電子電氣系統(tǒng)進(jìn)行研發(fā)時(shí)，概念階段一般由整車廠主導(dǎo)，研發(fā)人員從整車的角度（功能、失效以及危害等）出發(fā)就進(jìn)行安全活動(dòng)，當(dāng)概念階段完成之后再將相關(guān)的安全目標(biāo)與安全需求分配給各供應(yīng)商。若無整車的參與，零部件供應(yīng)商可自行進(jìn)行功能安全假設(shè)活動(dòng)，假設(shè)系統(tǒng)的危害以及確定系統(tǒng)的安全目標(biāo)與需求。

2? 電池管理系統(tǒng)的功能安全概念設(shè)計(jì)

接下來將以電動(dòng)汽車動(dòng)力電池管理系統(tǒng)為例，對(duì)其概念階段的設(shè)計(jì)進(jìn)行闡述。

2.1 項(xiàng)目定義

項(xiàng)目定義的主要作用是定義和描述該系統(tǒng)，主要包括對(duì)該系統(tǒng)的初始架構(gòu)、操作模式以及該系統(tǒng)的主要功能的描述。

在進(jìn)行功能安全項(xiàng)目定義之前，研發(fā)人員可以參考以下文檔，以對(duì)系統(tǒng)有一個(gè)初步的、充分的了解。主要包括：①新能源汽車市場(chǎng)的研究報(bào)告;②相關(guān)產(chǎn)品的設(shè)計(jì)報(bào)告;③電池和電池管理系統(tǒng)的技術(shù)報(bào)告;④BMS相關(guān)的法律、法規(guī)和標(biāo)準(zhǔn)，例如QC/T 897-2011等文檔。

在項(xiàng)目定義階段，應(yīng)該確定好項(xiàng)目的邊界、接口以及車內(nèi)其他的項(xiàng)目或者元素的交互。

從整車的角度來說，動(dòng)力電池的主要功能是給整車提供能量，同樣，動(dòng)力電池也需要外部設(shè)備給其提供能量。由此我們便可得到該BMS的主要功能（Main Function）。

至此，系統(tǒng)的項(xiàng)目定義階段基本完成。

2.2 安全周期初始化

安全生命初始化的作用主要是為了區(qū)分該項(xiàng)目的初始狀態(tài)，是一個(gè)新的開發(fā)項(xiàng)目還是對(duì)現(xiàn)有項(xiàng)目的修改。如果說是一個(gè)新的開發(fā)項(xiàng)目，那么概念階段的開發(fā)將繼續(xù)從后面的危害分析和風(fēng)險(xiǎn)評(píng)估進(jìn)行;如果說是一個(gè)對(duì)現(xiàn)有項(xiàng)目的修改，應(yīng)該進(jìn)行系統(tǒng)修改的影響分析，以識(shí)別和描述適用于該系統(tǒng)或其環(huán)境的預(yù)期修改，并評(píng)估這些修改的影響。

2.3 危害分析和風(fēng)險(xiǎn)評(píng)估

危害分析和風(fēng)險(xiǎn)評(píng)估（Hazard analysis and risk assessment， HARA）的作用是通過系統(tǒng)性分分析，對(duì)危害事件進(jìn)行評(píng)估，從而規(guī)避不合理的風(fēng)險(xiǎn)。HARA過程中首先需要做的是基于系統(tǒng)定義中得到的BMS的主要功能（如表 1所示）得出失效功能（Malfunction， MF）。此過程可以借助頭腦風(fēng)暴的形式確定該系統(tǒng)的失效功能，缺點(diǎn)是可能存在遺漏的情況。目前較為常見的方式借鑒HAZOP分析中的“關(guān)鍵字”法進(jìn)行失效功能的確定。通過“主功能+關(guān)鍵字”的形式，可以有效地得到該系統(tǒng)的失效功能并進(jìn)行后續(xù)的HARA分析。常見的關(guān)鍵字包括“Loss”，“More”，“Less”，“Reverse”，“Unintended”，“Stuck”等。

以動(dòng)力電池放電管理為例，進(jìn)行系統(tǒng)的失效功能的分析，如表 1所述。

表 1中所列的動(dòng)力電池放電管理的失效功能存在重復(fù)的情況，可以對(duì)其進(jìn)行整合歸納。需要注意的是，研發(fā)人員可能具備相關(guān)BMS的經(jīng)驗(yàn)知識(shí)，知道電池在發(fā)生故障時(shí)系統(tǒng)會(huì)有保護(hù)措施。但是對(duì)于概念階段的設(shè)計(jì)，應(yīng)該把BMS當(dāng)作一個(gè)“黑盒”來看待，在分析失效功能時(shí)不應(yīng)考慮已知的安全機(jī)制。結(jié)合預(yù)先設(shè)定好的車輛場(chǎng)景專家?guī)欤ㄈ畿囕v狀況、地理位置、天氣氣候、道路場(chǎng)地、危害事件相關(guān)人員等），組合便可得到該系統(tǒng)相關(guān)的危害事件。通過“失效功能+車輛場(chǎng)景”這樣的方式可以得到數(shù)量很多的危害事件，在進(jìn)行汽車安全完整性等級(jí)（Automotive Safety Integrity Level， ASIL）打分之前，可以對(duì)其進(jìn)行預(yù)處理，整合相似的危害事件以及刪除不和邏輯的危害事件等。

ASIL 的等級(jí)的確定需要借助該危害事件的嚴(yán)重度（Severity，S）、暴露概率（Exposure，E）以及可控性（Controllability，C）等級(jí)的評(píng)定。其中嚴(yán)重度分為4級(jí)，S4最嚴(yán)重，指的是致命的傷害，而S0嚴(yán)重等級(jí)最低，無傷害;暴露概率分為5級(jí)，E4指的是發(fā)生概率最高的事件，幾乎在每次駕駛中都會(huì)發(fā)生，而E0則表示該事件發(fā)生概率非常低;可控性分為4級(jí)，其中E4代表該事件難以控制或不可控，而C0代表該事件非常容易控制。

通過對(duì)每個(gè)危害事件進(jìn)行S、E、C的評(píng)級(jí)，便可得到該事件的ASIL等級(jí)，其計(jì)算公式下式所示：

為防止危害事件的發(fā)生，需為每個(gè)危害制定安全目標(biāo)。

至此，功能安全概念階段中HARA部分的設(shè)計(jì)已結(jié)束，通過對(duì)失效以及危害的分析、評(píng)估，我們推導(dǎo)出了BMS的部分安全目標(biāo)。安全目標(biāo)是整個(gè)功能安全開發(fā)流程中的頂事件，將會(huì)在后續(xù)安全需求的推導(dǎo)，系統(tǒng)設(shè)計(jì)及驗(yàn)證過程中起指導(dǎo)作用。

2.4 功能安全概念

如果說概念階段的項(xiàng)目定義、安全目標(biāo)等安全活動(dòng)與傳統(tǒng)的開發(fā)流程相差甚遠(yuǎn)，研發(fā)人員對(duì)其較為陌生的話，那么功能安全需求則顯得相對(duì)友好。在功能安全活動(dòng)中，功能安全需求（Functional Safety Requirement，F(xiàn)SR）是從安全目標(biāo)推導(dǎo)出來的，實(shí)際上，我們可以將其等價(jià)于“用戶安全需求”，根據(jù)定義好的需求，我們便可以進(jìn)行后續(xù)的系統(tǒng)，軟件與硬件階段的設(shè)計(jì)。安全目標(biāo)一般都是防止危害發(fā)生，那么由安全目標(biāo)導(dǎo)出的功能安全需求可以按照“檢測(cè)信號(hào)-確認(rèn)故障-進(jìn)入安全狀態(tài)”的方式進(jìn)行推導(dǎo)。

ISO 26262中規(guī)定，每一個(gè)安全目標(biāo)下至少有一個(gè)FSR，且FSR是可以共用于多個(gè)安全目標(biāo)的。作為功能安全中一個(gè)重要的屬性，F(xiàn)SR的ASIL等級(jí)是繼承自該需求所屬的安全目標(biāo)的，如果該FSR屬于多個(gè)安全目標(biāo)，那么FSR的ASIL等級(jí)取多個(gè)安全目標(biāo)的ASIL等級(jí)的最高值。如果說某一FSR可以分解為兩個(gè)獨(dú)立的需求，那么相應(yīng)的ASIL等級(jí)也會(huì)進(jìn)行分解，從而可以降低后續(xù)活動(dòng)中該條需求的開發(fā)與驗(yàn)證難度。

為了防止在本階段安全需求的推導(dǎo)中發(fā)生FSR遺漏的情況，可以借助故障樹分析，確保FSR的推導(dǎo)無遺漏。此外，還需要為每條FSR在電池包層面上制訂驗(yàn)證標(biāo)準(zhǔn)，為后續(xù)測(cè)試過程中編寫測(cè)試用例提供依據(jù)。

根據(jù)ISO 26262，功能安全概念主要包含兩部分的內(nèi)容，一是基于功能安全目標(biāo)推導(dǎo)功能安全需求，二是將功能安全需求分配到系統(tǒng)的初始架構(gòu)中。

3? 結(jié)束語

本文以電池管理系統(tǒng)為例，介紹了ISO 26262流程中第三部分概念階段的開發(fā)與設(shè)計(jì)。作為標(biāo)準(zhǔn)中與實(shí)際開發(fā)項(xiàng)目相關(guān)的第一部分，概念階段給出了功能安全活動(dòng)中十分重要的安全目標(biāo)、ASIL等級(jí)以及安全需求等。本文給出了電池管理系統(tǒng)在概念階段開發(fā)過程中的一些要點(diǎn)，能為后續(xù)的功能安全活動(dòng)提供指導(dǎo)性的建議。

參考文獻(xiàn)：

[1]文凱，夏珩，裴鋒，等.基于ISO 26262的電動(dòng)四驅(qū)混合動(dòng)力系統(tǒng)功能安全概念設(shè)計(jì)[J].機(jī)電工程技術(shù)，2012（12）：74-76.

[2]童菲.基于ISO26262的整車電源模式管理系統(tǒng)功能安全概念設(shè)計(jì)[J].機(jī)電一體化，2015，21（7）：63-67.

[3]葛鵬，陳勇，羅大國(guó)，等.基于道路車輛功能安全標(biāo)準(zhǔn)ISO26262的7DCT電控系統(tǒng)設(shè)計(jì)[J].汽車技術(shù)，2014（9）：21-23.

[4]莊興明，張琴.基于ISO 26262標(biāo)準(zhǔn)的車用驅(qū)動(dòng)電機(jī)系統(tǒng)設(shè)計(jì)研究[J].汽車零部件，2016（12）：18-21.