動力電池系統功能安全ASIL等級

來自專欄 129Lab7 人贊了文章

此文同步發表在個人微信公眾號：129Lab

ISO 26262（Road vehicles- Functional safety）名稱為「道路車輛－功能安全」，旨在提高汽車的安全性。ISO26262中常見的工作之一是確定「汽車功能安全完整性等級ASIL」，通過三個指標（嚴重性S、發生概率E、可控性C）評價。

嚴重性S：S0~S3，表示人員可能造成傷害的級別。其中S0沒有傷害，S3致命傷害

發生率E：E0~E4，表示這個風險在實際應用中發生的概率。其中，E0不可能發生，E4常見的

可控性C：C0~C3，表示這個風險發生後人員採取措施控制後可以避免傷害的能力。其中C0表示總是可控的，C3表示很難、或無法控制

上面三個參數確定後，就可以使用ASIL等級表來確定等級。其中，QM表示不需要特別的功能安全流程，只需要正常質量管理。ASIL等級A、B、C、D，越往後表示風險越高、風險越不可容忍。開發中常見降低風險的手段有：質保體系（文檔化、流程、認證）、校驗方法（方法設計、測試）、安全驗證分析（失效分析、故障樹分析、失效率）、可靠性分析（工具、零件、人員）。

表1 汽車安全完整性等級ASIL

在標準中，每個階段都有一個獨立標準來描述該階段的流程和工作內容。在概念階段的主要活動如下：

這裡舉個動力電池例子，看一下如何確定ASIL等級。動力電池系統主要包括電池管理系統BMS、單體電池Cell、電子電氣EE、線束Wire Harness、熱管理系統Thermal和機械結構Mechanical等部件，外部主要與VCS和charger進行交互，並給電機等其他部件提供能量（示意圖如下）。

可以採用概念階段的安全生命周期方法來定義對象工作環境和工作狀況。

潛在的工作環境：

>人員設計和調試電池系統

>人員生產電池系統

>人員駕駛車輛

>人員維修電池

>人員回收、報廢電池

潛在的工作狀況：

> 零件的拆解、替換

>電池包的組裝、搬運

>電池測試設備的鏈接、運行、監控、充電/放電過程中的能量存儲和釋放

>電池意外狀況，例如：非正常安裝、變形、跌落、觸電、碰撞、浸泡、溫濕環境等（常見標準中的各種電池安全測試模擬的狀況）

這裡例舉電池系統高壓安全功能的三種潛在失效：

>高壓電能失效，車輛失去動力

>高壓電下電失效，高壓迴路一直帶電，有觸電危險

>狀態監控失效，電池出現過充、過放、過溫等超出限制的狀況

動力電池系統設計到高壓安全的功能一般有：BMS功能安全（這個在Arthur的幾篇連載中已經展開）、HVIL、碰撞開關、繼電器控制/診斷、絕緣檢測。其功能安全和失效模式對應關係一般如下所示。

下面舉例說明一下ASIL的使用

1) BMS

a) 嚴重性：如果BMS失效，則不能監控高壓電池系統，可能產生錯誤的動作、或失去保護能力。常見的例子如行駛過程高壓迴路斷開，失去動力；或車輛充電出現過充而不能保護，定義嚴重性為S3

b) 發生率：高速行駛、充電可以說是每天發生的事情，定義發生率為E4

c) 可控性：車輛失去動力後，經過訓練的人員應該可以依靠慣性將車輛駛離主車道；車輛充電著火，駕駛員可以通過門窗逃生，可控性為C2

2) HVIL

a) 嚴重性：HVIL失效後可能導致高壓暴露，為採取高壓保護的人員可能出點，嚴重度定義為S3

b) 發生率：正常情況，人員不會觸碰高壓部件，維修時才可能接觸，發生率為E2

c) 可控性：經過訓練的人員可以採取防護來防止觸電，定義為C2

3) Crash

a) 嚴重性：碰撞時，碰撞感測器發出信號請求切斷高壓迴路。若失效，則可能導致二次風險，例如短路造成的起火、爆炸；同時，暴露的高壓可能導致人員出點，定義為最高S3

b) 發生率：碰撞檢測和出發由氣囊感測器執行，因此故障發生率與氣囊出發的發生率一樣，發生率較低，為E1

c) 可控性：要求BMS檢測到碰撞信號的第一時間切斷高壓，由於車輛在碰撞情況下存在不可預知性，可控性定義為C3

4) Relay

a) 嚴重性：繼電器異常一般包括無法閉合、粘連、觸電跳動。功能失效時，可能導致車輛失去動力，定義為S2

b) 發生率：日常停車、駕車、充電、維修都可能涉及繼電器動作，定義為E4

c) 可控性：繼電器可通過診斷判斷是否失效，定義為C2

5) Isolation

a) 嚴重性：絕緣失效可能導致漏電，絕緣不良的車輛可能導致人員觸電，定義為S3

b) 發生率：高壓迴路通常與車身和低壓迴路隔離，電池系統外殼與車身連接，正常不會同時接觸高壓正負極，只有在需要時才拆下來維護，此時可能接觸正負極，定義為E2，一年可能發生幾次

c) 可控性：維修時，人員通過相應防護防止觸電，定義為C1

然後查ASIL表可以知道等級為：

BMS：ASIL C

HVIL：ASIL A

Crash：ASIL A

Relay：ASIL B

Isolation：QM

以上是通過一個簡單的例子說明了ASIL等級的確定過程。針對具體產品的ASIL等級還需要針對具體情況進行分析，進行風險識別和評估。

參考資料

Application of system safety engineering processes to advanced battery safety

基於ISO26262的動力電池系統高壓功能安全概念

推薦閱讀：