白志浩，張 麗，吳肇蘇

(東風(fēng)汽車股份有限公司技術(shù)中心，湖北武漢 430058)

在能源危機、環(huán)保壓力以及政府發(fā)布的新能源相關(guān)政策的促進下，新能源汽車市場越發(fā)繁榮，據(jù)統(tǒng)計截止到2019 年6月我國新能源汽車保有量約344 萬輛，2019 上半年國內(nèi)新能源汽車銷售61.7 萬輛，同比增長49.6%，其中乘用車56.3 萬輛，同比增長57.7%[1]。

汽車市場的增長帶來了經(jīng)濟的繁榮也帶來了相應(yīng)的風(fēng)險，隨著新能源汽車保有量的上升，新能源汽車發(fā)生的安全事故包括車輛起火、車輛爆炸、高速拋錨、人員觸電、轉(zhuǎn)向助力失效等直接威脅駕駛員生命的事故頻繁發(fā)生。為了最大限度地減少所述安全事故的發(fā)生風(fēng)險，汽車功能安全開發(fā)被越來越多的整車廠所重視。

與傳統(tǒng)燃油車相比，新能源汽車的電子電器部件增多，存在更大的安全隱患，尤其是增加的高電壓系統(tǒng)，極大地提高了新能源汽車發(fā)生安全事故的風(fēng)險。為了降低新能源汽車發(fā)生安全事故的風(fēng)險，新能源車電子電器部件尤其是高壓系統(tǒng)的功能安全設(shè)計尤為重要。

傳統(tǒng)的車輛被動安全和主動安全設(shè)計已經(jīng)無法解決上述問題，功能安全設(shè)計越來越受到關(guān)注，功能安全設(shè)計從功能實現(xiàn)角度出發(fā)，在充分分析故障可能發(fā)生原因的基礎(chǔ)上，提出一系列的技術(shù)要求，最大可能的保證功能的正常實現(xiàn)，大大降低發(fā)生故障的概率。

目前國內(nèi)外大部分整車廠在新產(chǎn)品由其是在新能源車型的開發(fā)中，已經(jīng)將功能安全設(shè)計列為開發(fā)流程中的重要組成部分，參照設(shè)計開發(fā)標(biāo)準(zhǔn)主要是國際標(biāo)準(zhǔn)ISO26262《Road vehicles-Functional safety》。該標(biāo)準(zhǔn)為與汽車安全有關(guān)的電子電器系統(tǒng)規(guī)定了功能安全開發(fā)全流程。

主流整車廠在新能源車型開發(fā)過程中主要對三電系統(tǒng)進行功能安全設(shè)計，包括電機、電池和電控，國內(nèi)對三電系統(tǒng)開展功能安全設(shè)計較早的廠家有北汽新能源、上汽、比亞迪等，并且都取得了相應(yīng)安全等級認(rèn)證，其中北汽新能源是國內(nèi)第一家三電系統(tǒng)同時獲得安全等級認(rèn)證的企業(yè)。國外的主流整車廠像特斯拉、大眾、寶馬也都在新能源車型開發(fā)中進行了功能安全設(shè)計，并取得了相應(yīng)的安全等級認(rèn)證。

本文基于一款實際開發(fā)的純電動汽車動力電池系統(tǒng)(簡稱動力電池系統(tǒng))，參考ISO26262 功能安全V 型開發(fā)流程，給出了動力電池系統(tǒng)在實際開發(fā)過程中功能安全在概念階段的開發(fā)流程及其具體的設(shè)計方法，為相關(guān)行業(yè)尤其是汽車行業(yè)在高壓系統(tǒng)功能安全概念階段的開發(fā)提供一定的指導(dǎo)，有助于剛接觸功能安全開發(fā)的相關(guān)人員更快地開展工作。

1 ISO26262 功能安全開發(fā)流程

國際標(biāo)準(zhǔn)ISO26262 是基于國際標(biāo)準(zhǔn)IEC61508《電氣/電子/可編程電子安全系統(tǒng)的功能安全》對車載E/E 系統(tǒng)在功能安全方面的具體應(yīng)用，該標(biāo)準(zhǔn)提供了一個完整的汽車安全生命周期，適用于安裝在量產(chǎn)乘用車上的包含一個或多個電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。

由國際標(biāo)準(zhǔn)ISO26262 可知，整個功能安全開發(fā)是基于V型流程開發(fā)，如圖1 所示，包含功能安全設(shè)計啟動、功能安全概念設(shè)計、功能安全系統(tǒng)設(shè)計、功能安全軟硬件設(shè)計、軟件單元測試、軟件/硬件集成測試、系統(tǒng)集成測試和整車集成測試8 項內(nèi)容，其中的功能安全開發(fā)概念階段設(shè)計內(nèi)容主要包括相關(guān)項定義、危害分析和風(fēng)險評估、安全目標(biāo)設(shè)定、功能安全概念及功能安全要求等內(nèi)容[2]?；趪H標(biāo)準(zhǔn)ISO26262 對功能安全開發(fā)概念階段設(shè)計內(nèi)容的要求，本文對動力電池系統(tǒng)功能安全概念階段設(shè)計內(nèi)容中的相關(guān)項定義、危害分析和風(fēng)險評估(HARA)、安全目標(biāo)設(shè)定、功能安全概念、功能安全要求及技術(shù)安全要求內(nèi)容進行了詳細設(shè)計。

圖1 功能安全V 型開發(fā)流程

2 動力電池系統(tǒng)功能安全概念階段開發(fā)

在開展動力電池系統(tǒng)功能安全概念設(shè)計工作時，先要對電池系統(tǒng)相關(guān)項進行定義，然后再進行危害分析和風(fēng)險評估，根據(jù)危害分析和風(fēng)險評估結(jié)果設(shè)定安全目標(biāo)，從而形成功能安全概念和功能安全要求，最終提出技術(shù)安全要求。

2.1 動力電池系統(tǒng)相關(guān)項定義

系統(tǒng)相關(guān)項的定義包括其功能、接口、環(huán)境條件、法規(guī)要求和危害等，本文所研究動力電池系統(tǒng)的架構(gòu)如圖2 所示，包括模組、繼電器、銅排、BMS、保險、接口及低壓線束等，動力電池系統(tǒng)應(yīng)具備的功能有電池參數(shù)檢測、電池狀態(tài)估計、在線故障診斷、電池安全控制與報警、充電控制、電池均衡、熱管理、網(wǎng)絡(luò)通訊、信息存儲和電磁兼容。

圖2 動力電池系統(tǒng)架構(gòu)圖

2.2 動力電池系統(tǒng)危害分析和風(fēng)險評估

危害分析和風(fēng)險評估的目的是識別相關(guān)項中因故障而引起的危害并對危害進行歸類,制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo),以避免不合理的風(fēng)險。

基于電池系統(tǒng)功能的定義對電池系統(tǒng)進行危害分析和風(fēng)險評估。進行危害分析和風(fēng)險評估時，可以使用頭腦風(fēng)暴、潛在失效模式和影響分析(FEMA)、危害分析和風(fēng)險評估(HARA)等方法，對每個危害分配安全等級(ASIL)。ASIL 從三個方面進行等級劃分，分別是暴露率(E)、嚴(yán)重度(S)和可控性(C)，其中暴露率是指人員暴露在系統(tǒng)的失效能夠造成危害的場景中的概率，共有E0-不可能、E1-非常低的概率、E2-低概率、E3-中等概率和E4-高概率五個等級；嚴(yán)重度用于評估危害對駕駛員、乘客、車輛周圍人員或周邊車輛中人員產(chǎn)生的潛在傷害,以確定相應(yīng)危害的嚴(yán)重度等級，共有S0-無傷害、S1-輕度和中度傷害、S2 嚴(yán)重的和危及生命的傷害(有存活的可能)、S3-危及生命四個等級；可控性是指駕駛員或其他涉險人員能夠避免事故或傷害的可能性，共有C0-可控、C1-簡單可控、C2-一般可控、C3-難以控制或不可控四個等級[3-4]。根據(jù)暴露率、嚴(yán)重度和可控性，ASIL 等級劃分原則見表1。表中A、B、C、D、QM 均為汽車的安全等級分級。

表1 ASIL 等級劃分原則

本文以動力電池動力系統(tǒng)充電控制功能的HARA 分析為例展示進行危害分析和風(fēng)險評估的方法，HARA 分析結(jié)果見表2。電池在充電過程中，可能出現(xiàn)的失效模式包括過溫、過流、過充等，出現(xiàn)過溫(HARA-BAT-01)、過流(HARA-BAT-02)和過充(HARA-BAT-03)這三種失效模式的概率高，其暴露率為E4，且一旦發(fā)生，容易造成起火爆炸，危及生命，其嚴(yán)重度為S3，這種危害是不可控的，其可控性為C3，因此根據(jù)ASIL 等級劃分原則，HARA-BAT-01、HARA-BAT-02、HARABAT-03 的ASIL 均為D。

表2 動力電池系統(tǒng)HARA 分析表

2.3 動力電池系統(tǒng)安全目標(biāo)設(shè)定和功能安全概念

根據(jù)HARA 分析結(jié)果及ASIL 等級設(shè)定動力電池系統(tǒng)安全目標(biāo)，安全目標(biāo)設(shè)定需要考慮如下方面[5-10]：

(1)應(yīng)為具有ASIL 等級的每個危害事件確定一個安全目標(biāo)；

(2)應(yīng)將為危害事件所確定的ASIL 等級分配給對應(yīng)的安全目標(biāo)；

(3)如果一個安全目標(biāo)可以通過轉(zhuǎn)移到或保持一個或多個安全狀態(tài)來實現(xiàn),則應(yīng)明確說明對應(yīng)的安全狀態(tài)。

基于充電控制功能的失效模式HARA-BAT-01、HARABAT-02 和HARA-BAT-03，分別列出動力電池系統(tǒng)的安全目標(biāo)SG1 防止過溫、SG2 防止過流和SG3 防止過充，SG1、SG2和SG3 對應(yīng)的安全狀態(tài)分別為降額/斷開繼電器、斷開繼電器和斷開繼電器，詳見表3。

表3 動力電池系統(tǒng)安全目標(biāo)

功能安全概念的目的是從安全目標(biāo)中得出功能安全要求,并將其分配給相關(guān)項的初步架構(gòu)要素上，其中功能安全要求導(dǎo)出和分配需考慮以下方面：

(1)功能安全要求應(yīng)由安全目標(biāo)和安全狀態(tài)導(dǎo)出，并考慮初步架構(gòu)設(shè)想；

(2)應(yīng)為每一個安全目標(biāo)定義至少一項功能安全要求；

(3)功能安全要求應(yīng)分配給初步架構(gòu)設(shè)想中的要素：(a)在分配過程中，ASIL 等級應(yīng)從相關(guān)的安全目標(biāo)或上一級安全要求中繼承得到；(b)如果將幾個功能安全要求分配給同一個架構(gòu)要素，且在初步架構(gòu)中無法證明這些要求是互相獨立或者免于干擾，則該架構(gòu)要素應(yīng)按照安全要求中最高的ASIL等級開發(fā)；(c) 如果相關(guān)項包含多個系統(tǒng)，則應(yīng)根據(jù)初步架構(gòu)的設(shè)想定義各個系統(tǒng)以及系統(tǒng)之間接口的功能安全要求，這些功能安全要求應(yīng)分配到各個系統(tǒng)中；(d)如果在功能安全要求分配期間進行ASIL 等級分解,則應(yīng)按照標(biāo)準(zhǔn)進行ASIL 等級分解。

基于本文所述的電池系統(tǒng)架構(gòu)及安全目標(biāo)SG1、SG2 和SG3，導(dǎo)出的功能安全要求見表4。針對安全目標(biāo)SG1 的功能安全要求包括SG1-FSR-01 測量電池單體溫度，SG1-FSR-02 應(yīng)保證測量溫度單元與BMS 通信完整，SG1-FSR-03 檢測到過溫請求斷開繼電器/限功率/直接斷開繼電器。其中SG1-FSR-01 要求在充電過程中，出現(xiàn)溫度檢測回路故障，需發(fā)出故障碼；SG1-FSR-02 要求在充電過程中，出現(xiàn)溫度信號錯誤/丟失，需發(fā)出故障碼；SG1-FSR-03 要求在充電過程中，檢測到過溫，電池需根據(jù)不同的過流等級進行限制功率、請求斷開繼電器、限功率或直接斷開繼電器等保護。針對安全目標(biāo)SG2 的功能安全要求包括SG2-FSR-01 測量母線電流，SG2-FSR-02 檢測到過流時請求斷開繼電器/限功率。其中SG2-FSR-01 要求在充電過程中，出現(xiàn)電流檢測回路故障，需發(fā)出故障碼；SG2-FSR-02 要求在充電過程中，電流超過限值，電池需根據(jù)不同的過流等級進行限制功率、請求斷開繼電器。針對安全目標(biāo)SG3 的功能安全要求包括SG3-FSR-01 測量單體電壓、總電壓，SG3-FSR-02 檢測到過壓時請求斷開繼電器。其中SG3-FSR-01 要求在充電過程中，出現(xiàn)電壓檢測回路故障，需發(fā)出故障碼；SG3-FSR-02 要求在充電過程中，檢測到過壓，需請求斷開繼電器。

表4 動力電池系統(tǒng)功能安全要求

2.4 動力電池系統(tǒng)技術(shù)安全要求

技術(shù)安全要求的提出需考慮功能概念和初步的架構(gòu)，將相關(guān)項層面的功能安全要求細化到系統(tǒng)層面的技術(shù)安全要求。本文將以防止過溫為例，闡述如何將功能安全要求細化到技術(shù)安全要求。過溫保護架構(gòu)如圖3 所示，主要包括模組、主回路繼電器、溫度檢測單元和BMS。過溫保護策略為溫度檢測單元通過溫度傳感器實時檢測模組實時溫度，并將溫度信號發(fā)送給BMS，BMS 將接收到的溫度信號經(jīng)過對比分析、范圍檢查、合理性檢查后，進行過溫判斷。

圖3 動力電池系統(tǒng)過溫保護架構(gòu)

具體的過溫判斷策略為當(dāng)檢測的溫度值超過閾值1 時，車輛報警，儀表點亮電池溫度過高報警燈，即過溫等級1；當(dāng)檢測的溫度值超過閾值2 時，車輛報警，儀表點亮電池溫度過高報警燈，并進行降額處理，即過溫等級2；當(dāng)檢測的溫度值超過閾值3 時，車輛報警，儀表點亮電池溫度過高報警燈，并進行降額處理，然后延時斷開繼電器，即過溫等級3；當(dāng)檢測的溫度值超過閾值4 時，車輛報警，儀表點亮電池溫度過高報警燈，并進行降額處理，然后立刻斷開繼電器，即過溫等級4。

為了保證溫度檢測的準(zhǔn)確性，溫度檢測單元會診斷傳感器是否出現(xiàn)故障、傳感器檢測回路是否出現(xiàn)故障、ADC 轉(zhuǎn)換模塊是否出現(xiàn)故障。根據(jù)功能安全要求細化技術(shù)安全要求時，需參考系統(tǒng)開發(fā)模型，如圖4 所示，以及ASIL 分解原則。ASIL 分解原則包括[11-15]：

圖4 系統(tǒng)開發(fā)模型

(1)ASILD 的分解原則:一個ASILC(D)的要求和一個ASILA(D)的要求或一個ASILB(D)的要求和一個ASILB(D)的要求或一個ASILD(D)的要求和一個QM(D)的要求；

(2)ASILC 的分解原則:一個ASILB(C)的要求和一個ASILA(C)的要求或一個ASILC(C)的要求和一個QM(C)的要求；

(3)ASILB 的分解原則:一個ASILA(B)的要求和一個ASILA(B)的要求或一個ASILB(B)的要求和一個QM(B)的要求。

對保證功能安全要求ASIL 等級不變的情況下對技術(shù)安全要求進行降級，可以減少整體功能安全開發(fā)成本。

根據(jù)表4 動力電池系統(tǒng)功能安全要求、系統(tǒng)架構(gòu)及ASIL分解原則，提出技術(shù)安全要求見表5，包括溫度傳感器應(yīng)放置在模組正確位置、每個溫度傳感器具有單獨的檢測通道、溫度檢測單元保證溫度值精度±1 ℃等。技術(shù)安全要求定義之后進行系統(tǒng)設(shè)計，在系統(tǒng)設(shè)計過程中建立系統(tǒng)架構(gòu)，將技術(shù)安全要求分配給硬件和軟件。

表5 動力電池系統(tǒng)技術(shù)安全要求

3 結(jié)論

本文以某一款實際開發(fā)的動力電池為研究對象，按照ISO26262 進行了功能安全概念階段的設(shè)計，在充分識別危害和風(fēng)險的基礎(chǔ)上提出了較為詳細的技術(shù)安全要求，為后續(xù)系統(tǒng)層面軟硬件的設(shè)計提供了安全需求輸入。功能安全設(shè)計采用V 型流程，設(shè)計的過程中需要進行詳細的相關(guān)測試活動來驗證系統(tǒng)設(shè)計是否符合功能和技術(shù)安全要求，測試內(nèi)容包括軟硬件的單元測試、模塊測試、軟硬件集成測試、系統(tǒng)集成測試以及整車測試等內(nèi)容[16-18]，測試過程中使用的測試用例需要根據(jù)不同層級的功能安全要求進行編制。本文目前只對功能安全概念階段設(shè)計進行了說明，后續(xù)將會對如何進行測試來驗證功能和技術(shù)安全要求達成做進一步研究。