電動汽車充電系統功能安全分析

周 榮

電動汽車充電系統功能安全分析

周 榮

(中國汽車技術研究中心有限公司，天津 300300)

以ISO26262(GB/T34590)《道路車輛功能安全》為基礎，利用危害和可操作性分析(HAZOP)的方法，結合典型的電動汽車充電系統架構，進行了電動汽車充電系統危害分析和風險評估，提出了電動汽車充電系統的安全目標和安全要求。

充電系統；功能安全；HAZOP；ASIL等級；安全目標

0 引言

2009年中國開始實施“十城千輛節能與新能源汽車示范應用工程”，從此中國的電動汽車大規模產業化正式拉開序幕。根據公安部2018年底發布的數據，截止到2018年12月，中國的電動汽車保有量達到261萬輛，2019年1月至4月，中國的電動汽車產銷量達到36.8萬輛，目前，中國有超過300萬輛電動汽車在上路行駛，電動汽車的產銷量和保有量都位于世界第一。中國的電動汽車在爆炸性增長的同時，由于設計、制造、運行等過程中存在的問題，安全事故不斷。對2011年至2018年公開報道過的所發生的電動汽車安全事故進行了統計，共發生電動汽車著火的安全事故117次(見圖1)[1-2]。2018年度著火事故達到40次，呈加速的態勢，進一步分析發現，這些著火事故大部分是在充電過程中或充電后的一段時間發生的，大部分原因是電池過充或電池內短路造成電池熱失控和熱擴散，并且發生著火的惡性事故的概率很大；其次是從2009年實施十城千輛示范應用工程已經十年，有大量的運行車輛的動力電池接近報廢，極易導致安全事故的發生；再就是由于前幾年電動汽車的快速發展，質量控制問題突顯，2018年度國家市場監督管理總局就發布了11次電動汽車召回公告，累計召回13.57萬輛，質量控制不嚴也是造成事故頻發的原因。綜上所述，電動汽車充電安全成為電動汽車安全保障工作的重中之重。

本文從分析電動汽車的充電安全著手，通過引入目前廣泛使用的功能安全標準IEC61508和ISO26262等的程序和分析方法，以提高電動汽車充電系統的安全完整性等級(ASIL)為目標，對電動汽車充電系統進行危害分析和風險評估，通過相應的安全機制的設計，提高電動汽車充電安全的技術水平。

1 充電系統的結構和失效機理

1.1 電動汽車充電系統的結構

目前，市場上出現的充電技術大約分成三大類：傳導充電、無線充電和換電，但是市場主流的充電技術是傳導充電。由于篇幅的限制，本文主要以傳導充電為例進行分析和研究。

電動汽車傳導式充電系統結構形式有交流充電系統和直流充電系統二大類(如圖2所示)。交流充電系統由充電樁、充電接口、車載充電機、電池管理系統(BMS)和電池包組成；直流充電系統由直流充電機、充電接口、電池管理系統(BMS)和電池包組成。

圖1 著火事故分布圖

圖2 充電系統示意圖

1.2 充電系統的失效機理

1.2.1電芯

1)?鋰電池過充。電芯過充電時，正極的鋰過度放出會使正極的結構發生變化，而放出的鋰過多也容易無法插入負極中，也容易造成負極表面析鋰，而且，當電壓達到4.5 V以上時，電解液會分解生產大量的氣體[3-4]。

2)?鋰電池負極能量不足。當鋰電池正極部位的負極部位容量不足時，充電時所產生的鋰原子無法插入負極石墨的間層結構中，會析在負極的表面形成結晶。在鋰電池中長期形成結晶會導致短路，這時電芯急劇放電，會產生大量的熱，燒壞隔膜。

3)?電池短路。分為內部短路和外部道路，內部電芯短路造成大電流放電，產生大量的熱，燒壞隔膜，而造成更大的短路現象，會使電解液分解成氣體，內部壓力過大，電芯就會有危險；外部短路有可能是由于正負極接錯所導致，由于外部短路，電池放電電流很大，會使電芯的發熱，高溫會使電芯內部的隔膜收縮或完全壞壞，造成內部短路。

1.2.2電池包和電池系統

1)?機械結構。電芯連接不可靠；極限情況下(碰撞等)對電芯變形防護不好。

2)?電氣安全。高壓絕緣不良；極限情況下(著火等)阻燃效果差[5]。

3)?熱管理。夏天散熱和冬天保溫效果差；功能設計不合理(很多整車廠對放電考慮較全面，大功率充電考慮不足)。

4)?電池管理系統(BMS)。SOC測算精度不夠；通信功能不合要求；安全監控功能有缺陷等。

1.2.3充電樁和直流充電機

漏電、絕緣失效以及與BMS通信失效等引起的人員觸電，電池過充損壞以至起火燃燒。

1.2.4充電接口

積塵、觸頭磨損、帶電拔插(高壓互鎖不可靠)等引起過熱導致人員受傷和設備損壞等。

1.2.5日常維護

設備在使用一段時間后，會出現元器件老化、可靠性變差、性能降低和產生安全隱患等。

1.2.6其他原因分析

車載充電機功能設計不合理；私自改裝；不按要求充電等。

2 充電系統的功能安全導入

通過對大量的工業事故和災難分析，起因都是與安全相關的系統的功能發生失效，因此，必須采取措施，用標準和法規來規范與安全相關的系統，避免技術缺陷造成災難(生命、環境、設備、財產等)，從而催生了功能安全標準。2000年國際電工組織(IEC)在吸收美國、德國等先進國家的安全標準的基礎上，發布了IEC61508《電子/電氣/可編程電子安全相關系統的功能安全》系列標準，該標準的發布使得安全管理有據可依，它的理念和方法是對傳統安全管理形式的一種突破。2010年IEC61508標準發布了第二版。中國于2006年將IEC61508標準轉換成中國國家標準GB/T20438，2017年將IEC61508標準第二版轉換成GB/T20438第二版。2011年國際標準化組織(ISO)在IEC61508標準的基礎上，為了滿足汽車產品安全管理的需要，發布了ISO26262《道路車輛功能安全》系列標準，2017年中國將ISO26262標準轉換成中國國家標準GB/T34590系列標準[6-7]。

IEC61508標準和ISO26262標準關于安全管理的思路：以與安全有關的功能能夠實現的概率，來保證安全的實現；讓該功能的實現時時處于監視之下，當與安全有關的功能一旦喪失時，可及時獲得相應信息；與安全有關的功能一旦喪失時，使其將會導致的傷害事件不發生，或至少降低其嚴重性，功能安全的衡量指標是安全完整性等級(SIL)或汽車安全性完整性等級(ASIL)。IEC61508標準和ISO26262標準為制造廠提供了工業功能安全和車輛功能安全的指導原則，制定了工業或車輛整個生命周期中與安全相關的所有活動，IEC61508和ISO26262 從需求開始，當中包括概念設計、軟硬件設計，直至最后的生產、操作，都提出了相應的功能安全要求，其覆蓋了工業或汽車整個生命周期，從而保證安全相關的電子產品的功能性失效不會造成危險的發生。功能安全標準的實施有二種途徑：一種途徑是嚴格按照功能安全標準的要求，產品概念、產品開發、生產和運行等全過程實施；另一種途徑是對已經開發成功的產品，按照功能安全標準的要求，對產品進行檢測和認證，不符合標準要求進行整改。ISO 26262針對汽車行業重新定義了安全指標，與IEC61508標準相比：在汽車電子領域，幾乎所有系統都是高要求或連續操作模式；幾乎所有的系統都是類型B (復雜系統)，即包含MCU，不能詮釋所有失效模式[8-9]。

IEC61508的安全完整性等級(SIL)分為1~4級，SIL4為最高。ISO26262的汽車安全完整性等級(ASIL)分為A~D級，D級為最高。SIL與ASIL的區別：在定義SIL時，IEC61508會考慮針對在低要求、高要求或連續三種模式下運行系統的目標失效措施，用風險失效概率來表示。因此SIL被認為是一維的，只涉及規定操作模式下的失效概率(見表1和表2)。但是ASIL涉及到嚴重性(S)、暴露率(E)和可控性(C)三個變量，ASIL是三維的(見表3)。IEC61508是一個規范性標準，適用于高價值、小批量實施的系統；ISO26262是一個基于目標的標準，適用于價值相對較低、大批量實施的系統[10-11]。

表1 安全完整性等級：在低要求下安全功能的目標失效量

表2 安全完整性等級：在高要求和連續模式下安全功能的目標失效量

表3 ASIL等級確定

注：QM(質量管理)表示不做要求。

按照IEC61508標準和ISO26262標準的適用范圍，電動汽車充電系統的車載部分必須采用ISO26262標準，充電樁、充電機等地面設備可選IEC51508標準或ISO26262標準，但是充電樁和充電機等也屬于大批量產品，采用ISO26262標準更有優勢。(SIL與ASIL對應關系關系見圖3)。

圖3 SIL與ASIL對應關系

3 充電系統的危害分析與風險評估

3.1 充電系統的功能

按照ISO26262標準的要求需要對充電系統的功能進行定義。從整車層面出發，電動汽車充電系統需要實現的功能是對可充電儲能系統(動力電池包)補充電能和進行高壓系統的監控和保護。在電動汽車充電系統中，需要實施功能安全標準的主要有充電機控制系統(含充電樁和線纜控制盒，下同)和電池管理系統等二個關鍵控制件，充電機控制系統通過與電池管理系統的通信，控制充電功率確保充電安全，同時監控絕緣和接觸等是否良好，確保高壓安全。電池管理系統在充電過程中對充電電壓、充電電流和充電溫度等進行控制優化，計算電池的SOC等，與充電機控制系統進行通信，確保電池在充電過程中的安全。

3.2 充電系統的架構

在本文前面部分已經詳細描述了充電系統的結構和失效機理，按照ISO26262標準給出的流程和方法，在進行安全分析的初期，需要定義相關項與其他相關項的功能邊界及其相互接口，目的是定義相關項及其與環境和其他相關項的依賴性和相互影響。通過充電系統的架構就能夠很好地理解充電系統的相關項、功能、系統或要素的結構的表征，識別結構模塊以及邊界和接口。圖4是典型的電動汽車充電系統的架構示意圖，描述了相關項的邊界和接口。

3.3 充電系統危害識別

常用的安全分析方法有：安全檢查表(SCL)，危險分析表(HAL)，危害和可操作性分析(HAZOP)，故障模式、影響和危害度分析(FMECA)，故障樹分析(FTA)，事故樹分析(ETA)，人為差錯分析(HEA)等。這些分析方法幫助我們對失效原因和影響進行系統化和條理化的研究和分析，避免重復和遺漏。本文利用危害和可操作性分析(HAZOP)的方法，按照ISO26262標準的要求，對電動汽車充電系統進行危害分析與風險評估，提出充電系統的功能安全目標和功能安全要求。

本文對電動汽車充電系統的安全功能進行抽象，分為充電機控制系統的高壓保護和電池管理系統的充電管理，并進行HAZOP分析，按照HAZOP的方法，將引導詞分為功能喪失、在有需求時提供錯誤的功能、非預期功能和功能卡滯等四類。表4為應用HAZOP方法識別的高壓保護和充電管理功能的異常表現。危害通常是針對整車層面來說的，表5為功能異常表現導致的整車層面的危害[12-13]。

圖4 典型的電動汽車充電系統的架構示意圖

3.4 充電系統的危害分析和風險評估

通常危害需要結合特定場景才能形成危害事件，電動汽車充電時特定的場景有：無人值守充電、有人值守充電和充滿電后靜置。不管是快充和慢充，都有可能由于充電機控制系統和電池管理系統失效導致漏電、短路等以及動力電池系統過充、過流和過溫而造成動力電池包產生熱失控和熱擴散，引發著火的危害。在不同的場景下，危害發生的嚴重度S、駕駛員對危害的可控性C和場景的暴露概率E都有不同，需要逐條分析討論。在利用HAZOP方法對充電系統進行危害分析和風險評估時，還需要結合功能喪失、在有需求時提供錯誤的功能、非預期功能和功能卡滯等四類情況具體分析，具體的安全要求要根據開發過程中的實際情況而定。

表4 高壓防護和充電管理功能的HAZOP分析-識別功能異常表現示例

表5 功能異常表現導致的整車層面的危害示例

表6是充電系統危害分析與風險評估示例。如果充電時發生著火的危害，會危及到駕駛員、乘員或工作人員的生命，因此嚴重度定義為S3，對電動汽車充電(包括快充和慢充)幾乎是每次駕駛都會發生的，所以將車輛充電的暴露概率定義為E4。車輛在無人值守充電和充滿電后靜置，駕駛員和工作人員對著火的危害不能控制，將可控性定義為C3；在有人值守充電時，駕駛員或工作人員能夠看到冒煙或聞到燃燒氣味，能夠適度采取措施或離開，可以避免產生人身傷害，對此危害有一定的可控性，固將可控性定義為C2。還有一個應用場景的細節需要考慮，對于純電動汽車來說，經常會晚上在住所或者住所附近進行無人值守充電，此時如果充電導致著火極有可能引起住所所在的建筑物起火，人員及有可能在熟睡中無法對該危害進行回避，需要將汽車安全完整性等級定義為ASILD，如果車庫或充電位與住所不是連在一起，也可將汽車安全完整性等級定義為ASILC[14-16]。

表6 充電系統危害分析與風險評估示例

4 電系統的功能目標和安全要求

4.1 充電系統安全目標

根據上述充電系統的危害分析與風險評估，充電時，充電機控制系統和電池管理系統應發揮作用，進行高壓保護和對充電管理，以避免電擊、漏電、短路和動力電池的過充、過流、過溫等，導致著火和人員傷亡等的危害。根據不同的應用場景歸納出充電系統的安全目標。表7為電動汽車充電系統的安全目標示例。其中ASIL等級取分析的危害事件中最高的ASIL等級。

表7 充電系統安全目標示例

4.2 充電系統安全要求

根據上述的充電系統安全目標得出該系統的安全要求，并將這些安全要求分配給充電系統架構中的不同要素，不考慮控制系統以外的獨立的保護措施。根據充電系統架構，需要考慮系統的安全狀態；系統故障容錯時間；故障探測或者失效減輕；故障或者失效的仲裁邏輯等要素。表8給出了充電系統功能要求的示例[17-18]。

表8 充電系統功能要求的示例

5 結論

本文基于ISO26262(GB/T34590)標準，利用HAZOP分析方法，嘗試開展充電系統的危害分析和風險評估，提出了充電系統的功能安全目標和功能安全要求，對充電系統設計開發中推廣應用功能安全標準有一定的借鑒意義。現在電動汽車在大規模產業化，對電動汽車提出更高的安全要求，以IEC61508(GB/T20438)和ISO26262(GB/T 34590)標準為基礎的功能安全分析和應用將會越來越受到電動汽車行業的重視，以提高整個行業的安全保障水平。

[1] 史寶華. 起火事故頻發特來電兩層防護充電網能讓電動汽車更安全嗎？[EB/OL]. [2019-05-13]. EV世紀. https://mp.weixin.qq.com/s/Gj_D7DVTmkJ6iuO_5_nzqQ.

SHI Baohua. Can a two-layer protective charging network of Teld make electric cars safer?[EB/OL]. [2019-05-13]. EV Century. https://mp.weixin.qq.com/s/ Gj_D7DVTmkJ6iuO_5_nzqQ.

[2] 兩年內電動汽車共發生安全事故48起涉及154輛，概率約為十萬分之二[EB/OL]. [2019-03-12]. EV Tank. https://mp.weixin.qq.com/s/bYFM1yY-Buvtf6Y-NUO-FA.

A total of 48 safety accidents involving 154 electric vehicles occurred within two years, with a probability of about 2 in 100,000[EB/OL]. [2019-03-12]. EV Tank. https://mp. weixin.qq.com/s/bYFM1yY-Buvtf6Y-NUO-FA.

[3] 電動汽車安全事故: 電池缺陷與使用不當是主因 [EB/OL]. [2016-07-01].知行鋰電. https://mp.weixin. qq.com/s/YcGFMrl0UrFess3zj9H1VA.

Electric vehicle safety accidents: battery defects and improper use are the main causes[EB/OL]. [2016-07-01]. MLE.https://mp.weixin.qq.com/s/YcGFMrl0UrFess3zj9H1VA.

[4] 電動汽車事故頻發. 五大措施保障電池安全[EB/OL]. [2019-05-10]奧動新能源. https://mp.weixin.qq.com/ s/qe1W7ucBZflfYW7xjNXi9g

Electric vehicle accidents occur frequently, five measures to ensure battery safety[EB/OL]. [2019-05-10] Olympic New Energy. https://mp.weixin.qq.com/s/qe1W7ucBZflf YW7xjNXi9g

[5] 楊田, 劉曉明, 吳其, 等. 電動汽車充電站選址對電壓穩定影響的研究[J]. 電力系統保護與控制, 2018, 46(5): 31-37.

YANG Tian, LIU Xiaoming, WU Qi, et al. Research on impacts of electric vehicle charging station location on voltage stability[J]. Power System Protection and Control, 2018, 46(5): 31-37.

[6] 電氣/電子/可編程電子安全相關系統的功能安全: IEC61508—2010 (GB/T20438—2017)[S].

Functional safety of electrical/electronic/programmable electronic safety-related systems: IEC61508—2010 (GB/T20438—2017)[S].

[7] 道路車輛功能安全: ISO26262—2011 (GB/T34590- 2017)[S].

Road vehicles-Functional safety: ISO26262—2011 (GB/ T34590-2017)[S].

[8] 電動汽車傳導充電系統第一部分通用要求: GB/ T18487.1—2015[S].

Electric vehicle conductive charging system part 1: general requirements: GB/T18487.1—2015[S].

[9] 吳連日. 電動汽車充電設施安規體系的分析[J]. 新能源汽車供能技術, 2017, 1(1): 23-31.

WU Lianri. Analysis of electric vehicle charging infrastructure safety systems[J]. Energy Supply Techniques of New Energy Vehicles, 2017, 1(1): 23-31.

[10] 馮曉升, 史學玲. 功能安全——一種保障安全的新思路[J]. 中國儀器儀表, 2005(10): 46-56.

FENG Xiaosheng, SHI Xueling. Functional safety-a new way to ensure safety[J]. China Instrumentation, 2005(10)：46-56.

[11] 李波, 馮屹, 王兆, 等. 中國道路車輛功能安全標準化工作規劃[J]. 中國標準化, 2017(12): 122-125.

LI Bo, FENG Yi, WANG Zhao, et al. Work plan for functional safety standardization of road vehicles in China[J]. China Standardization, 2017(12): 122-125．

[12] 李波, 付越, 周榮. 電動汽車電池管理系統(BMS)功能安全標準研究[J]. 新能源汽車供能技術, 2019, 3(1): 19-23.

LI Bo, FU Ye, ZHOU Rong. Research on functional safety standard for battery management system (BMS) of electric vehicles[J]. Energy Supply Techniques of New Energy Vehicles, 2019: 3(1): 19-23.

[13] 朱洋洋, 賀春, 陳卓, 等. 電動汽車傳導充電互操作典型測試案例分析[J]. 新能源汽車供能技術, 2019, 2(2): 29-32.

ZHU Yangyang, HE Chun, CHEN Zhuo, et al. Analysis of typical test of electric vehicle transmission on charging interoperability[J]. Energy Supply Techniques of New Energy Vehicles, 2019, 2(2): 29-32.

[14] 王龍宇, 劉燦, 王丙東, 等. 考慮微網充電站影響的輸電網風險評估方法[J]. 電力系統保護與控制, 2018, 46(5): 114-121.

WANG Longyu, LIU Can, WANG Bingdong, et al. Risk based assessment method for transmission system considering the influence of micro-grid charging station[J]. Power System Protection and Control, 2018, 46(5): 114-121.

[15] 劉佳熙, 郭輝, 李君. 汽車電子電氣系統的功能安全標準 ISO 26262[J]. 上海汽車, 2011(10): 58-61.

LIU Jiaxi, GUO Hui, LI Jun. Functional safety standard ISO 26262 for automotive electrical and electronic[J]. Systems Shanghai Auto, 2011(10): 58-61.

[16] 申永鵬, 葛高瑞, 馮建勤, 等. 電動汽車交直流充電控制引導系統[J]. 新能源汽車供能技術, 2019, 2(4): 7-14.

SHEN Yongpeng, GE Gaorui, FENG Jjianqin, et al. Design of control pilot system for AC/DC charging of electric vehicle[J]. Energy Supply Techniques of New Energy Vehicles, 2019, 2(4): 7-14.

[17] 王閃閃, 趙晉斌, 毛玲, 等. 基于電動汽車移動儲能特性的直流微網控制策略[J]. 電力系統保護與控制, 2018, 46(20): 31-38.

WANG Shanshan, ZHAO Jinbin, MAO Ling, et al. A control strategy based on mobile energy storage characteristic of electric vehicles in DC micro-grid[J]. Power System Protection and Control, 2018, 46(20): 31-38.

[18] 張戟, 萬祥, 朱翔宇. 整車控制器功能安全設計和研究[J]. 佳木斯大學學報 (自然科學版), 2016, 34(5): 683-687.

ZHANG Ji, WAN Xiang, ZHU Xiangyu. Functional safety design and research of vehicle controller[J]. Journal of Jiamusi university (Natural Science Edition), 2016, 34(5): 683-687.

Functional safety analysis of EV charging system

ZHOU Rong

(China Automotive Technology and Research Center Co., Ltd., Tianjin 300300, China)

Based on ISO26262 (GB/T34590) "Road Vehicles Functional Safety", this paper uses hazard and operability analysis (HAZOP) method and combines with typical EV charging system architecture to carry out EV charging system hazard analysis and risk assessment. The safety goals and safety requirements of the EV charging system are put forward.

EV charging system; functional safety; HAZOP; ASIL level; security goals

2019-09-08

周 榮(1959—)，男，碩士，研究員，研究方向為電動汽車設計開發、汽車標準研究。E-mail：zhourong@catarc.ac.cn