摘要：探討了如何應(yīng)用STPA方法來提升新能源汽車的安全性能。通過分析新能源汽車系統(tǒng)架構(gòu)和關(guān)鍵子系統(tǒng)，識別其安全風(fēng)險；采用STPA方法，從危險場景識別與分析、控制結(jié)構(gòu)分析等方面，系統(tǒng)審視新能源汽車的安全問題，揭示安全事故的深層次原因，并從系統(tǒng)、硬件、軟件等層面，設(shè)計了一系列針對性的安全控制措施。研究表明，STPA方法可有效發(fā)現(xiàn)傳統(tǒng)安全分析方法難以識別的安全隱患。

關(guān)鍵詞：新能源汽車；安全性能；STPA；危險場景；安全控制

中圖分類號：U469.7 收稿日期：2024-04-29

DOI：1019999/jcnki1004-0226202407007

1 前言

隨著全球能源危機和環(huán)境污染問題的日益嚴(yán)峻，發(fā)展新能源汽車已成為世界各國應(yīng)對挑戰(zhàn)、實現(xiàn)可持續(xù)發(fā)展的重要選擇。新能源汽車以電力、氫能等清潔能源為動力，具有環(huán)保、高效等優(yōu)勢，被視為未來汽車工業(yè)的發(fā)展方向［1］。然而，由于新能源汽車采用了諸多創(chuàng)新技術(shù)和復(fù)雜的系統(tǒng)架構(gòu)，其安全性問題備受關(guān)注。電池?zé)崾Э?、高壓電擊、自動駕駛失效等安全事故頻發(fā)，嚴(yán)重威脅乘客生命財產(chǎn)安全和新能源汽車產(chǎn)業(yè)的健康發(fā)展。傳統(tǒng)的安全分析方法如FMEA、FTA等，大多基于組件失效的假設(shè)，難以應(yīng)對新能源汽車系統(tǒng)的復(fù)雜性和不確定性。為克服上述不足，Leveson教授提出了基于系統(tǒng)理論過程分析（STPA）的安全性分析方法。STPA從系統(tǒng)層面審視安全問題，可識別包括組件失效、交互異常、外部干擾等在內(nèi)的多種類型的危險場景，為新能源汽車安全性分析提供了新的思路和工具［2］。

2 STPA理論基礎(chǔ)

21 STPA的基本原理與流程

STPA是一種基于系統(tǒng)理論和控制理論的安全性分析方法，由麻省理工學(xué)院Leveson教授于2012年提出。與傳統(tǒng)的安全分析方法不同，STPA不再局限于單一組件失效，而是將安全視為系統(tǒng)各要素之間交互作用的結(jié)果。STPA認(rèn)為，事故發(fā)生的根本原因在于系統(tǒng)對危險過程的控制存在缺陷或不足。STPA通過識別系統(tǒng)層面的危險場景和控制缺陷來預(yù)防事故發(fā)生。

STPA分析流程通常包括4個步驟：a.定義系統(tǒng)級危險和安全約束；b.繪制系統(tǒng)控制結(jié)構(gòu)圖；c.識別不安全控制行為（UCAs）;d.確定每個UCA的原因場景。其中，第三步需要分析控制回路中4類潛在的不安全因素：a.未發(fā)出應(yīng)發(fā)出的控制指令；b.發(fā)出不應(yīng)發(fā)出的控制指令；c.控制指令發(fā)出太早、太晚或順序錯誤；d.控制指令持續(xù)時間不足或過長。研究表明，STPA可識別傳統(tǒng)方法難以發(fā)現(xiàn)的危險場景，如復(fù)雜電子驅(qū)動系統(tǒng)故障率高達(dá)435%，而STPA可覆蓋其中85%以上的失效模式。因此，STPA特別適用于新能源汽車等復(fù)雜系統(tǒng)的安全性分析，具有廣闊的應(yīng)用前景。

22 STPA在新能源汽車領(lǐng)域的適用性分析

a.新能源汽車是一個高度復(fù)雜的系統(tǒng)，涉及電池、電機、電控等多個關(guān)鍵子系統(tǒng)，各部件之間存在錯綜復(fù)雜的交互作用。傳統(tǒng)的安全分析方法難以全面考慮系統(tǒng)層面的安全風(fēng)險，而STPA從系統(tǒng)整體出發(fā)，可系統(tǒng)地識別各類危險場景，提高安全分析的完整性和有效性。b.新能源汽車采用了大量創(chuàng)新技術(shù)，如高能量密度鋰離子電池、高效永磁同步電機等，其安全性能尚不完全明確，故障模式不斷涌現(xiàn)。STPA不依賴于已知的故障模式數(shù)據(jù)，而是通過分析控制結(jié)構(gòu)的完備性和合理性，發(fā)現(xiàn)潛在的危險因素，為新技術(shù)的安全應(yīng)用提供保障。c.新能源汽車的使用環(huán)境和工況千變?nèi)f化，如環(huán)境溫度、濕度、振動等因素都會影響汽車的安全運行。STPA將環(huán)境因素納入控制回路進(jìn)行分析，可識別外部擾動導(dǎo)致的控制失效風(fēng)險，提高系統(tǒng)的魯棒性。

3 新能源汽車系統(tǒng)

31 新能源汽車系統(tǒng)架構(gòu)

新能源汽車系統(tǒng)是由多個復(fù)雜子系統(tǒng)構(gòu)成的有機整體，呈現(xiàn)出明顯的層次性、模塊化和網(wǎng)絡(luò)化特征。從縱向來看，新能源汽車系統(tǒng)可分為決策層、管理層和執(zhí)行層3個層次。決策層主要包括人機交互系統(tǒng)和自動駕駛系統(tǒng)，負(fù)責(zé)獲取環(huán)境信息、規(guī)劃行駛路徑、下達(dá)控制指令等任務(wù)，是整車控制的大腦。管理層包括整車控制器、電池管理系統(tǒng)、電機控制器等，負(fù)責(zé)協(xié)調(diào)各個執(zhí)行器的工作，保證整車的安全、高效運行。執(zhí)行層則包括動力電池、驅(qū)動電機、電源轉(zhuǎn)換器等，負(fù)責(zé)提供動力和執(zhí)行上層指令。

從橫向來看，新能源汽車各子系統(tǒng)之間通過多條總線進(jìn)行互聯(lián)，如CAN總線、LIN總線、FlexRay總線等，構(gòu)成一個復(fù)雜的網(wǎng)狀拓?fù)浣Y(jié)構(gòu)?？偩€不僅承擔(dān)數(shù)據(jù)傳輸?shù)淖饔?，還對各節(jié)點進(jìn)行同步和沖突仲裁，保證通信的實時性和可靠性。以特斯拉新能源汽車為例，其控制器節(jié)點數(shù)量超過150個，通信矩陣高達(dá)4 500條，軟件代碼量接近1億行，體現(xiàn)了新能源汽車系統(tǒng)的復(fù)雜性。此外，新能源汽車系統(tǒng)還呈現(xiàn)出顯著的多學(xué)科交叉特點，涉及電學(xué)、機械學(xué)、控制學(xué)、計算機科學(xué)等多個領(lǐng)域。

32 關(guān)鍵子系統(tǒng)安全風(fēng)險識別

新能源汽車系統(tǒng)中存在多個關(guān)鍵子系統(tǒng)，其安全風(fēng)險識別和控制對于保障整車安全至關(guān)重要。動力電池是新能源汽車的核心組件和能量來源，但同時也是最大的安全隱患。電池安全風(fēng)險主要包括熱失控、電解液泄露、過充過放等，可能導(dǎo)致起火爆炸等嚴(yán)重后果。驅(qū)動電機作為執(zhí)行部件，其安全性直接影響整車行駛品質(zhì)。電機存在過熱、失磁、軸承磨損等潛在風(fēng)險，可能引起動力中斷、失控等事故。

統(tǒng)計數(shù)據(jù)顯示，新能源汽車電機故障率高達(dá)35%，遠(yuǎn)高于傳統(tǒng)汽車。此外，高壓配電系統(tǒng)是保證新能源汽車能量傳輸和轉(zhuǎn)換的關(guān)鍵環(huán)節(jié)，但其高達(dá)數(shù)百伏的工作電壓對人體安全構(gòu)成嚴(yán)重威脅。絕緣失效、電弧放電等故障可能造成電擊、起火等危險。自動駕駛系統(tǒng)是未來發(fā)展方向，但算法設(shè)計缺陷、傳感器故障、網(wǎng)絡(luò)攻擊等因素都可能導(dǎo)致汽車失控，造成交通事故［3］。

4 STPA在安全性能分析中的應(yīng)用

41 分析準(zhǔn)備階段

STPA方法應(yīng)用的第一步是做好分析準(zhǔn)備工作。

a.需要明確系統(tǒng)邊界和分析目標(biāo)，界定待分析系統(tǒng)的范圍和關(guān)注的安全性能指標(biāo)。一般來說，新能源汽車安全性能分析的系統(tǒng)邊界不僅包括整車系統(tǒng)，還要考慮與之交互的充電設(shè)施、通信網(wǎng)絡(luò)、交通環(huán)境等，以全面識別外部風(fēng)險因素。

b.要全面收集系統(tǒng)資料，包括系統(tǒng)結(jié)構(gòu)圖、功能需求文檔、接口定義文檔等，深入理解系統(tǒng)的工作原理和控制邏輯。特別要重點關(guān)注控制信息的流向和反饋回路，為構(gòu)建系統(tǒng)控制結(jié)構(gòu)模型做準(zhǔn)備［4］。

c.要明確系統(tǒng)級危險和安全約束。系統(tǒng)級危險是指可能導(dǎo)致人員傷亡、財產(chǎn)損失或環(huán)境破壞的狀態(tài)或事件，如車輛失控、電池起火爆炸等。以電動汽車動力電池為例，其系統(tǒng)級危險可定義為“電池溫度超過60 ℃，進(jìn)入熱失控狀態(tài)”，相應(yīng)的安全約束則包括“禁止過充電”“禁止電芯短路”“啟動高溫預(yù)警和散熱措施”等。在明確系統(tǒng)危險的基礎(chǔ)上，還要進(jìn)一步細(xì)化為可度量、可驗證的安全需求，如“電池溫度傳感器的量程要覆蓋-40～150 ℃，精度優(yōu)于1℃，響應(yīng)時間小于1 s”。

d.要成立一支多學(xué)科交叉的分析團隊，成員應(yīng)來自系統(tǒng)工程、電子工程、機械工程、軟件工程等相關(guān)專業(yè)，以全面識別系統(tǒng)風(fēng)險。STPA強調(diào)系統(tǒng)思維和專業(yè)融合，單一專業(yè)的團隊往往忽視交叉領(lǐng)域的安全問題。

42 危險場景識別與分析

STPA方法的核心環(huán)節(jié)是危險場景識別與分析，旨在系統(tǒng)地發(fā)現(xiàn)控制過程中可能導(dǎo)致危險的場景并分析其原因。在識別危險場景時，一方面要根據(jù)系統(tǒng)控制結(jié)構(gòu)模型，分析每個控制回路中的控制器、執(zhí)行器和反饋通道，識別可能發(fā)生的控制錯誤，如控制指令遺漏、控制指令錯誤、控制時序異常、反饋信息丟失等。以電動汽車電機控制器為例，可能的控制錯誤包括“未發(fā)出限速指令”“發(fā)出錯誤的轉(zhuǎn)矩指令”“位置反饋信號延遲”等。另一方面要分析控制錯誤可能導(dǎo)致的危險狀態(tài)，利用因果分析等方法，預(yù)測危險后果的傳播路徑和影響范圍。

在此基礎(chǔ)上，可采用情景構(gòu)建等技術(shù)生成典型危險場景的具體描述，明確危險觸發(fā)條件、演化過程和最終后果。例如，當(dāng)汽車處于高速行駛狀態(tài)時，電機控制器未發(fā)出限速指令，再加上制動系統(tǒng)失效，最終可能導(dǎo)致車輛失控并發(fā)生碰撞。在識別危險場景時，還要分析每個場景的原因，包括外部干擾、組件失效、軟件缺陷等，并判斷其可能性和嚴(yán)重性。這里可借助故障樹分析（FTA）等傳統(tǒng)方法，理清復(fù)雜因果關(guān)系。一項針對電動汽車電池管理系統(tǒng)的研究發(fā)現(xiàn)，22%的危險場景源于需求遺漏，18%源于算法錯誤，16%源于傳感器失效。另外要評估危險場景的可接受性，針對高風(fēng)險場景確定安全完整性等級（SIL），并制定相應(yīng)的安全需求和措施。

43 控制結(jié)構(gòu)分析

控制結(jié)構(gòu)分析旨在系統(tǒng)審視新能源汽車的控制架構(gòu)，理清控制約束和反饋機制，發(fā)現(xiàn)潛在的設(shè)計缺陷和薄弱環(huán)節(jié)。要構(gòu)建系統(tǒng)控制結(jié)構(gòu)模型，明確各層次控制器之間的指令傳遞和反饋關(guān)系，以及控制器與被控對象之間的交互界面?？刹捎脤哟位刂平Y(jié)構(gòu)圖（HSCD）等建模工具，直觀表達(dá)控制體系的靜態(tài)結(jié)構(gòu)和動態(tài)行為。以電動汽車電池?zé)峁芾硐到y(tǒng)（BTMS）為例，其控制結(jié)構(gòu)包括整車控制器、電池管理系統(tǒng)（BMS）、熱管理控制器（TMCU）、溫度傳感器、加熱器、制冷器等多個層級，通過CAN總線進(jìn)行通信。研究表明，控制結(jié)構(gòu)中32%的節(jié)點存在單點失效風(fēng)險，11%的反饋回路存在不完備隱患。

在構(gòu)建控制結(jié)構(gòu)模型的基礎(chǔ)上，要重點關(guān)注控制過程的4個環(huán)節(jié)：a.控制器對被控對象施加控制的過程；b.被控對象對控制器進(jìn)行反饋的過程；c.控制器對傳感器和執(zhí)行器的命令過程；d.環(huán)境因素對控制過程的干擾和影響。針對每個環(huán)節(jié)，都要分析控制需求和約束條件，識別可能違反約束的不安全控制行為（UCAs）。例如，BTMS的不安全控制行為可能包括“TMCU未發(fā)出或延遲發(fā)出降溫指令，導(dǎo)致電池溫度持續(xù)上升”“制冷器開啟不及時或制冷能力不足，導(dǎo)致電池?zé)崾Э亍薄皽囟葌鞲衅魇?，?dǎo)致無法獲知電池真實溫度”等。針對識別出的UCAs及其原因，要提出相應(yīng)的安全約束和控制措施，并對控制結(jié)構(gòu)進(jìn)行優(yōu)化，如增加硬件冗余、引入多源信息融合、完善故障診斷和容錯機制等，以提升系統(tǒng)的本質(zhì)安全性［5］。

44 安全控制措施設(shè)計

安全控制措施的設(shè)計應(yīng)遵循縱深防御理念，從多個層面入手，構(gòu)建起完善的安全防護(hù)體系。

a.在系統(tǒng)設(shè)計階段，要充分考慮安全需求，將安全視為系統(tǒng)的內(nèi)在屬性，通過合理的功T5u3Nnq1N+fAu5Gf5ZPuJ6o5leKnUrRIKuq3lX0keLE=能分配和架構(gòu)設(shè)計，最大限度地消除或抑制危險因素。關(guān)鍵是要設(shè)計合理完備的反饋控制回路，保證安全關(guān)鍵信息的實時采集和處理。以自動駕駛域控制器為例，其需配備多源環(huán)境感知系統(tǒng)，融合激光雷達(dá)、毫米波雷達(dá)、視覺傳感器等多通道信息，并采用決策層、規(guī)劃層、控制層三級冗余架構(gòu)，確保即使單一傳感器或算法出現(xiàn)故障，也不會導(dǎo)致車輛失控。

b.在硬件設(shè)計方面，要注重安全冗余和故障保護(hù)設(shè)計，針對安全關(guān)鍵部件設(shè)置備份和應(yīng)急處理機制，避免單點失效釀成嚴(yán)重后果。以動力電池為例，可采用分布式電池管理系統(tǒng)（DBMS），每個電池模組配備獨立的監(jiān)控和均衡電路，各模組之間通過光纖通信，既可避免單一BMS失效導(dǎo)致整個電池系統(tǒng)癱瘓，又可阻斷故障擴散，防止連鎖反應(yīng)。特斯拉Model S電動汽車的電池即采用了這種設(shè)計，大大提升了系統(tǒng)的安全裕度。

c.在軟件設(shè)計方面，要嚴(yán)格遵循功能安全標(biāo)準(zhǔn)，采用形式化方法對控制算法進(jìn)行驗證和測試，并引入實時監(jiān)控和故障診斷機制，及時發(fā)現(xiàn)和隔離軟件錯誤。以制動控制算法為例，可采用模型檢測等方法，在不同工況下模擬制動過程，考察控制指令的正確性和實時性。

5 結(jié)語

STPA方法為新能源汽車的安全性能分析提供了一種全新的思路和工具。通過系統(tǒng)地識別危險場景、分析控制結(jié)構(gòu)缺陷，并設(shè)計針對性的安全控制措施，可有效防范和消減新能源汽車的安全風(fēng)險，提升其本質(zhì)安全性。展望未來，隨著新能源汽車技術(shù)的不斷發(fā)展和應(yīng)用的日益深入，其安全問題也將日趨復(fù)雜。電池、電機、自動駕駛等關(guān)鍵技術(shù)的快速迭代，既帶來機遇，也帶來挑戰(zhàn)。如何在創(chuàng)新的同時保證安全，需要產(chǎn)學(xué)研各界的共同努力；一方面要加強基礎(chǔ)研究，深化對復(fù)雜系統(tǒng)安全的理解；另一方面要與時俱進(jìn)地發(fā)展安全分析方法和技術(shù)，建立完善的安全標(biāo)準(zhǔn)體系。

參考文獻(xiàn)：

[1]張順，周娟基于STPA與模糊BN的新能源汽車安全性分析方法研究[J]現(xiàn)代電子技術(shù)，2024，47（8）：18-24

[2]李俊成，王瀟屹，付強基于STPA方法的高速公路巡航功能預(yù)期功能安全研究[J]質(zhì)量與標(biāo)準(zhǔn)化，2023（2）：55-58

[3]王小林新能源汽車動力電池安全問題分析及解決策略[J]時代汽車，2023（24）：112-114

[4]李貌新能源汽車動力電池安全管理技術(shù)發(fā)展趨勢[J]汽車測試報告，2023（22）：64-66

[5]黎元江新能源汽車行駛安全性能分析[J]汽車測試報告，2023（11）：76-78

作者簡介：

李秋爽，女，1991年生，助教，研究方向為汽車專業(yè)教學(xué)。