APP下载

基于ISO26262的EV用动力电池系统功能安全设计

2021-06-03白志浩吴肇苏

电源技术 2021年5期
关键词:动力电池继电器危害

白志浩,张 丽,吴肇苏

(东风汽车股份有限公司技术中心,湖北武汉 430058)

在能源危机、环保压力以及政府发布的新能源相关政策的促进下,新能源汽车市场越发繁荣,据统计截止到2019 年6月我国新能源汽车保有量约344 万辆,2019 上半年国内新能源汽车销售61.7 万辆,同比增长49.6%,其中乘用车56.3 万辆,同比增长57.7%[1]。

汽车市场的增长带来了经济的繁荣也带来了相应的风险,随着新能源汽车保有量的上升,新能源汽车发生的安全事故包括车辆起火、车辆爆炸、高速抛锚、人员触电、转向助力失效等直接威胁驾驶员生命的事故频繁发生。为了最大限度地减少所述安全事故的发生风险,汽车功能安全开发被越来越多的整车厂所重视。

与传统燃油车相比,新能源汽车的电子电器部件增多,存在更大的安全隐患,尤其是增加的高电压系统,极大地提高了新能源汽车发生安全事故的风险。为了降低新能源汽车发生安全事故的风险,新能源车电子电器部件尤其是高压系统的功能安全设计尤为重要。

传统的车辆被动安全和主动安全设计已经无法解决上述问题,功能安全设计越来越受到关注,功能安全设计从功能实现角度出发,在充分分析故障可能发生原因的基础上,提出一系列的技术要求,最大可能的保证功能的正常实现,大大降低发生故障的概率。

目前国内外大部分整车厂在新产品由其是在新能源车型的开发中,已经将功能安全设计列为开发流程中的重要组成部分,参照设计开发标准主要是国际标准ISO26262《Road vehicles-Functional safety》。该标准为与汽车安全有关的电子电器系统规定了功能安全开发全流程。

主流整车厂在新能源车型开发过程中主要对三电系统进行功能安全设计,包括电机、电池和电控,国内对三电系统开展功能安全设计较早的厂家有北汽新能源、上汽、比亚迪等,并且都取得了相应安全等级认证,其中北汽新能源是国内第一家三电系统同时获得安全等级认证的企业。国外的主流整车厂像特斯拉、大众、宝马也都在新能源车型开发中进行了功能安全设计,并取得了相应的安全等级认证。

本文基于一款实际开发的纯电动汽车动力电池系统(简称动力电池系统),参考ISO26262 功能安全V 型开发流程,给出了动力电池系统在实际开发过程中功能安全在概念阶段的开发流程及其具体的设计方法,为相关行业尤其是汽车行业在高压系统功能安全概念阶段的开发提供一定的指导,有助于刚接触功能安全开发的相关人员更快地开展工作。

1 ISO26262 功能安全开发流程

国际标准ISO26262 是基于国际标准IEC61508《电气/电子/可编程电子安全系统的功能安全》对车载E/E 系统在功能安全方面的具体应用,该标准提供了一个完整的汽车安全生命周期,适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统。

由国际标准ISO26262 可知,整个功能安全开发是基于V型流程开发,如图1 所示,包含功能安全设计启动、功能安全概念设计、功能安全系统设计、功能安全软硬件设计、软件单元测试、软件/硬件集成测试、系统集成测试和整车集成测试8 项内容,其中的功能安全开发概念阶段设计内容主要包括相关项定义、危害分析和风险评估、安全目标设定、功能安全概念及功能安全要求等内容[2]。基于国际标准ISO26262 对功能安全开发概念阶段设计内容的要求,本文对动力电池系统功能安全概念阶段设计内容中的相关项定义、危害分析和风险评估(HARA)、安全目标设定、功能安全概念、功能安全要求及技术安全要求内容进行了详细设计。

图1 功能安全V 型开发流程

2 动力电池系统功能安全概念阶段开发

在开展动力电池系统功能安全概念设计工作时,先要对电池系统相关项进行定义,然后再进行危害分析和风险评估,根据危害分析和风险评估结果设定安全目标,从而形成功能安全概念和功能安全要求,最终提出技术安全要求。

2.1 动力电池系统相关项定义

系统相关项的定义包括其功能、接口、环境条件、法规要求和危害等,本文所研究动力电池系统的架构如图2 所示,包括模组、继电器、铜排、BMS、保险、接口及低压线束等,动力电池系统应具备的功能有电池参数检测、电池状态估计、在线故障诊断、电池安全控制与报警、充电控制、电池均衡、热管理、网络通讯、信息存储和电磁兼容。

图2 动力电池系统架构图

2.2 动力电池系统危害分析和风险评估

危害分析和风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类,制定防止危害事件发生或减轻危害程度的安全目标,以避免不合理的风险。

基于电池系统功能的定义对电池系统进行危害分析和风险评估。进行危害分析和风险评估时,可以使用头脑风暴、潜在失效模式和影响分析(FEMA)、危害分析和风险评估(HARA)等方法,对每个危害分配安全等级(ASIL)。ASIL 从三个方面进行等级划分,分别是暴露率(E)、严重度(S)和可控性(C),其中暴露率是指人员暴露在系统的失效能够造成危害的场景中的概率,共有E0-不可能、E1-非常低的概率、E2-低概率、E3-中等概率和E4-高概率五个等级;严重度用于评估危害对驾驶员、乘客、车辆周围人员或周边车辆中人员产生的潜在伤害,以确定相应危害的严重度等级,共有S0-无伤害、S1-轻度和中度伤害、S2 严重的和危及生命的伤害(有存活的可能)、S3-危及生命四个等级;可控性是指驾驶员或其他涉险人员能够避免事故或伤害的可能性,共有C0-可控、C1-简单可控、C2-一般可控、C3-难以控制或不可控四个等级[3-4]。根据暴露率、严重度和可控性,ASIL 等级划分原则见表1。表中A、B、C、D、QM 均为汽车的安全等级分级。

表1 ASIL 等级划分原则

本文以动力电池动力系统充电控制功能的HARA 分析为例展示进行危害分析和风险评估的方法,HARA 分析结果见表2。电池在充电过程中,可能出现的失效模式包括过温、过流、过充等,出现过温(HARA-BAT-01)、过流(HARA-BAT-02)和过充(HARA-BAT-03)这三种失效模式的概率高,其暴露率为E4,且一旦发生,容易造成起火爆炸,危及生命,其严重度为S3,这种危害是不可控的,其可控性为C3,因此根据ASIL 等级划分原则,HARA-BAT-01、HARA-BAT-02、HARABAT-03 的ASIL 均为D。

表2 动力电池系统HARA 分析表

2.3 动力电池系统安全目标设定和功能安全概念

根据HARA 分析结果及ASIL 等级设定动力电池系统安全目标,安全目标设定需要考虑如下方面[5-10]:

(1)应为具有ASIL 等级的每个危害事件确定一个安全目标;

(2)应将为危害事件所确定的ASIL 等级分配给对应的安全目标;

(3)如果一个安全目标可以通过转移到或保持一个或多个安全状态来实现,则应明确说明对应的安全状态。

基于充电控制功能的失效模式HARA-BAT-01、HARABAT-02 和HARA-BAT-03,分别列出动力电池系统的安全目标SG1 防止过温、SG2 防止过流和SG3 防止过充,SG1、SG2和SG3 对应的安全状态分别为降额/断开继电器、断开继电器和断开继电器,详见表3。

表3 动力电池系统安全目标

功能安全概念的目的是从安全目标中得出功能安全要求,并将其分配给相关项的初步架构要素上,其中功能安全要求导出和分配需考虑以下方面:

(1)功能安全要求应由安全目标和安全状态导出,并考虑初步架构设想;

(2)应为每一个安全目标定义至少一项功能安全要求;

(3)功能安全要求应分配给初步架构设想中的要素:(a)在分配过程中,ASIL 等级应从相关的安全目标或上一级安全要求中继承得到;(b)如果将几个功能安全要求分配给同一个架构要素,且在初步架构中无法证明这些要求是互相独立或者免于干扰,则该架构要素应按照安全要求中最高的ASIL等级开发;(c) 如果相关项包含多个系统,则应根据初步架构的设想定义各个系统以及系统之间接口的功能安全要求,这些功能安全要求应分配到各个系统中;(d)如果在功能安全要求分配期间进行ASIL 等级分解,则应按照标准进行ASIL 等级分解。

基于本文所述的电池系统架构及安全目标SG1、SG2 和SG3,导出的功能安全要求见表4。针对安全目标SG1 的功能安全要求包括SG1-FSR-01 测量电池单体温度,SG1-FSR-02 应保证测量温度单元与BMS 通信完整,SG1-FSR-03 检测到过温请求断开继电器/限功率/直接断开继电器。其中SG1-FSR-01 要求在充电过程中,出现温度检测回路故障,需发出故障码;SG1-FSR-02 要求在充电过程中,出现温度信号错误/丢失,需发出故障码;SG1-FSR-03 要求在充电过程中,检测到过温,电池需根据不同的过流等级进行限制功率、请求断开继电器、限功率或直接断开继电器等保护。针对安全目标SG2 的功能安全要求包括SG2-FSR-01 测量母线电流,SG2-FSR-02 检测到过流时请求断开继电器/限功率。其中SG2-FSR-01 要求在充电过程中,出现电流检测回路故障,需发出故障码;SG2-FSR-02 要求在充电过程中,电流超过限值,电池需根据不同的过流等级进行限制功率、请求断开继电器。针对安全目标SG3 的功能安全要求包括SG3-FSR-01 测量单体电压、总电压,SG3-FSR-02 检测到过压时请求断开继电器。其中SG3-FSR-01 要求在充电过程中,出现电压检测回路故障,需发出故障码;SG3-FSR-02 要求在充电过程中,检测到过压,需请求断开继电器。

表4 动力电池系统功能安全要求

2.4 动力电池系统技术安全要求

技术安全要求的提出需考虑功能概念和初步的架构,将相关项层面的功能安全要求细化到系统层面的技术安全要求。本文将以防止过温为例,阐述如何将功能安全要求细化到技术安全要求。过温保护架构如图3 所示,主要包括模组、主回路继电器、温度检测单元和BMS。过温保护策略为温度检测单元通过温度传感器实时检测模组实时温度,并将温度信号发送给BMS,BMS 将接收到的温度信号经过对比分析、范围检查、合理性检查后,进行过温判断。

图3 动力电池系统过温保护架构

具体的过温判断策略为当检测的温度值超过阈值1 时,车辆报警,仪表点亮电池温度过高报警灯,即过温等级1;当检测的温度值超过阈值2 时,车辆报警,仪表点亮电池温度过高报警灯,并进行降额处理,即过温等级2;当检测的温度值超过阈值3 时,车辆报警,仪表点亮电池温度过高报警灯,并进行降额处理,然后延时断开继电器,即过温等级3;当检测的温度值超过阈值4 时,车辆报警,仪表点亮电池温度过高报警灯,并进行降额处理,然后立刻断开继电器,即过温等级4。

为了保证温度检测的准确性,温度检测单元会诊断传感器是否出现故障、传感器检测回路是否出现故障、ADC 转换模块是否出现故障。根据功能安全要求细化技术安全要求时,需参考系统开发模型,如图4 所示,以及ASIL 分解原则。ASIL 分解原则包括[11-15]:

图4 系统开发模型

(1)ASILD 的分解原则:一个ASILC(D)的要求和一个ASILA(D)的要求或一个ASILB(D)的要求和一个ASILB(D)的要求或一个ASILD(D)的要求和一个QM(D)的要求;

(2)ASILC 的分解原则:一个ASILB(C)的要求和一个ASILA(C)的要求或一个ASILC(C)的要求和一个QM(C)的要求;

(3)ASILB 的分解原则:一个ASILA(B)的要求和一个ASILA(B)的要求或一个ASILB(B)的要求和一个QM(B)的要求。

对保证功能安全要求ASIL 等级不变的情况下对技术安全要求进行降级,可以减少整体功能安全开发成本。

根据表4 动力电池系统功能安全要求、系统架构及ASIL分解原则,提出技术安全要求见表5,包括温度传感器应放置在模组正确位置、每个温度传感器具有单独的检测通道、温度检测单元保证温度值精度±1 ℃等。技术安全要求定义之后进行系统设计,在系统设计过程中建立系统架构,将技术安全要求分配给硬件和软件。

表5 动力电池系统技术安全要求

3 结论

本文以某一款实际开发的动力电池为研究对象,按照ISO26262 进行了功能安全概念阶段的设计,在充分识别危害和风险的基础上提出了较为详细的技术安全要求,为后续系统层面软硬件的设计提供了安全需求输入。功能安全设计采用V 型流程,设计的过程中需要进行详细的相关测试活动来验证系统设计是否符合功能和技术安全要求,测试内容包括软硬件的单元测试、模块测试、软硬件集成测试、系统集成测试以及整车测试等内容[16-18],测试过程中使用的测试用例需要根据不同层级的功能安全要求进行编制。本文目前只对功能安全概念阶段设计进行了说明,后续将会对如何进行测试来验证功能和技术安全要求达成做进一步研究。

猜你喜欢

动力电池继电器危害
降低烧烤带来的危害
药+酒 危害大
便携式继电器测试台的研制和应用
动力电池矿战
动力电池回收——崛起的新兴市场
酗酒的危害
“久坐”的危害有多大你知道吗?
继电器在电气工程及其自动化低压电器中的作用
《动力电池技术与应用》
基于模糊卡尔曼滤波算法的动力电池SOC估计