基于ISO26262的EV用動力電池系統功能安全設計

白志浩，張 麗，吳肇蘇

(東風汽車股份有限公司技術中心，湖北武漢 430058)

在能源危機、環保壓力以及政府發布的新能源相關政策的促進下，新能源汽車市場越發繁榮，據統計截止到2019 年6月我國新能源汽車保有量約344 萬輛，2019 上半年國內新能源汽車銷售61.7 萬輛，同比增長49.6%，其中乘用車56.3 萬輛，同比增長57.7%[1]。

汽車市場的增長帶來了經濟的繁榮也帶來了相應的風險，隨著新能源汽車保有量的上升，新能源汽車發生的安全事故包括車輛起火、車輛爆炸、高速拋錨、人員觸電、轉向助力失效等直接威脅駕駛員生命的事故頻繁發生。為了最大限度地減少所述安全事故的發生風險，汽車功能安全開發被越來越多的整車廠所重視。

與傳統燃油車相比，新能源汽車的電子電器部件增多，存在更大的安全隱患，尤其是增加的高電壓系統，極大地提高了新能源汽車發生安全事故的風險。為了降低新能源汽車發生安全事故的風險，新能源車電子電器部件尤其是高壓系統的功能安全設計尤為重要。

傳統的車輛被動安全和主動安全設計已經無法解決上述問題，功能安全設計越來越受到關注，功能安全設計從功能實現角度出發，在充分分析故障可能發生原因的基礎上，提出一系列的技術要求，最大可能的保證功能的正常實現，大大降低發生故障的概率。

目前國內外大部分整車廠在新產品由其是在新能源車型的開發中，已經將功能安全設計列為開發流程中的重要組成部分，參照設計開發標準主要是國際標準ISO26262《Road vehicles-Functional safety》。該標準為與汽車安全有關的電子電器系統規定了功能安全開發全流程。

主流整車廠在新能源車型開發過程中主要對三電系統進行功能安全設計，包括電機、電池和電控，國內對三電系統開展功能安全設計較早的廠家有北汽新能源、上汽、比亞迪等，并且都取得了相應安全等級認證，其中北汽新能源是國內第一家三電系統同時獲得安全等級認證的企業。國外的主流整車廠像特斯拉、大眾、寶馬也都在新能源車型開發中進行了功能安全設計，并取得了相應的安全等級認證。

本文基于一款實際開發的純電動汽車動力電池系統(簡稱動力電池系統)，參考ISO26262 功能安全V 型開發流程，給出了動力電池系統在實際開發過程中功能安全在概念階段的開發流程及其具體的設計方法，為相關行業尤其是汽車行業在高壓系統功能安全概念階段的開發提供一定的指導，有助于剛接觸功能安全開發的相關人員更快地開展工作。

1 ISO26262 功能安全開發流程

國際標準ISO26262 是基于國際標準IEC61508《電氣/電子/可編程電子安全系統的功能安全》對車載E/E 系統在功能安全方面的具體應用，該標準提供了一個完整的汽車安全生命周期，適用于安裝在量產乘用車上的包含一個或多個電子電氣系統的與安全相關的系統。

由國際標準ISO26262 可知，整個功能安全開發是基于V型流程開發，如圖1 所示，包含功能安全設計啟動、功能安全概念設計、功能安全系統設計、功能安全軟硬件設計、軟件單元測試、軟件/硬件集成測試、系統集成測試和整車集成測試8 項內容，其中的功能安全開發概念階段設計內容主要包括相關項定義、危害分析和風險評估、安全目標設定、功能安全概念及功能安全要求等內容[2]。基于國際標準ISO26262 對功能安全開發概念階段設計內容的要求，本文對動力電池系統功能安全概念階段設計內容中的相關項定義、危害分析和風險評估(HARA)、安全目標設定、功能安全概念、功能安全要求及技術安全要求內容進行了詳細設計。

圖1 功能安全V 型開發流程

2 動力電池系統功能安全概念階段開發

在開展動力電池系統功能安全概念設計工作時，先要對電池系統相關項進行定義，然后再進行危害分析和風險評估，根據危害分析和風險評估結果設定安全目標，從而形成功能安全概念和功能安全要求，最終提出技術安全要求。

2.1 動力電池系統相關項定義

系統相關項的定義包括其功能、接口、環境條件、法規要求和危害等，本文所研究動力電池系統的架構如圖2 所示，包括模組、繼電器、銅排、BMS、保險、接口及低壓線束等，動力電池系統應具備的功能有電池參數檢測、電池狀態估計、在線故障診斷、電池安全控制與報警、充電控制、電池均衡、熱管理、網絡通訊、信息存儲和電磁兼容。

圖2 動力電池系統架構圖

2.2 動力電池系統危害分析和風險評估

危害分析和風險評估的目的是識別相關項中因故障而引起的危害并對危害進行歸類,制定防止危害事件發生或減輕危害程度的安全目標,以避免不合理的風險。

基于電池系統功能的定義對電池系統進行危害分析和風險評估。進行危害分析和風險評估時，可以使用頭腦風暴、潛在失效模式和影響分析(FEMA)、危害分析和風險評估(HARA)等方法，對每個危害分配安全等級(ASIL)。ASIL 從三個方面進行等級劃分，分別是暴露率(E)、嚴重度(S)和可控性(C)，其中暴露率是指人員暴露在系統的失效能夠造成危害的場景中的概率，共有E0-不可能、E1-非常低的概率、E2-低概率、E3-中等概率和E4-高概率五個等級；嚴重度用于評估危害對駕駛員、乘客、車輛周圍人員或周邊車輛中人員產生的潛在傷害,以確定相應危害的嚴重度等級，共有S0-無傷害、S1-輕度和中度傷害、S2 嚴重的和危及生命的傷害(有存活的可能)、S3-危及生命四個等級；可控性是指駕駛員或其他涉險人員能夠避免事故或傷害的可能性，共有C0-可控、C1-簡單可控、C2-一般可控、C3-難以控制或不可控四個等級[3-4]。根據暴露率、嚴重度和可控性，ASIL 等級劃分原則見表1。表中A、B、C、D、QM 均為汽車的安全等級分級。

表1 ASIL 等級劃分原則

本文以動力電池動力系統充電控制功能的HARA 分析為例展示進行危害分析和風險評估的方法，HARA 分析結果見表2。電池在充電過程中，可能出現的失效模式包括過溫、過流、過充等，出現過溫(HARA-BAT-01)、過流(HARA-BAT-02)和過充(HARA-BAT-03)這三種失效模式的概率高，其暴露率為E4，且一旦發生，容易造成起火爆炸，危及生命，其嚴重度為S3，這種危害是不可控的，其可控性為C3，因此根據ASIL 等級劃分原則，HARA-BAT-01、HARA-BAT-02、HARABAT-03 的ASIL 均為D。

表2 動力電池系統HARA 分析表

2.3 動力電池系統安全目標設定和功能安全概念

根據HARA 分析結果及ASIL 等級設定動力電池系統安全目標，安全目標設定需要考慮如下方面[5-10]：

(1)應為具有ASIL 等級的每個危害事件確定一個安全目標；

(2)應將為危害事件所確定的ASIL 等級分配給對應的安全目標；

(3)如果一個安全目標可以通過轉移到或保持一個或多個安全狀態來實現,則應明確說明對應的安全狀態。

基于充電控制功能的失效模式HARA-BAT-01、HARABAT-02 和HARA-BAT-03，分別列出動力電池系統的安全目標SG1 防止過溫、SG2 防止過流和SG3 防止過充，SG1、SG2和SG3 對應的安全狀態分別為降額/斷開繼電器、斷開繼電器和斷開繼電器，詳見表3。

表3 動力電池系統安全目標

功能安全概念的目的是從安全目標中得出功能安全要求,并將其分配給相關項的初步架構要素上，其中功能安全要求導出和分配需考慮以下方面：

(1)功能安全要求應由安全目標和安全狀態導出，并考慮初步架構設想；

(2)應為每一個安全目標定義至少一項功能安全要求；

(3)功能安全要求應分配給初步架構設想中的要素：(a)在分配過程中，ASIL 等級應從相關的安全目標或上一級安全要求中繼承得到；(b)如果將幾個功能安全要求分配給同一個架構要素，且在初步架構中無法證明這些要求是互相獨立或者免于干擾，則該架構要素應按照安全要求中最高的ASIL等級開發；(c) 如果相關項包含多個系統，則應根據初步架構的設想定義各個系統以及系統之間接口的功能安全要求，這些功能安全要求應分配到各個系統中；(d)如果在功能安全要求分配期間進行ASIL 等級分解,則應按照標準進行ASIL 等級分解。

基于本文所述的電池系統架構及安全目標SG1、SG2 和SG3，導出的功能安全要求見表4。針對安全目標SG1 的功能安全要求包括SG1-FSR-01 測量電池單體溫度，SG1-FSR-02 應保證測量溫度單元與BMS 通信完整，SG1-FSR-03 檢測到過溫請求斷開繼電器/限功率/直接斷開繼電器。其中SG1-FSR-01 要求在充電過程中，出現溫度檢測回路故障，需發出故障碼；SG1-FSR-02 要求在充電過程中，出現溫度信號錯誤/丟失，需發出故障碼；SG1-FSR-03 要求在充電過程中，檢測到過溫，電池需根據不同的過流等級進行限制功率、請求斷開繼電器、限功率或直接斷開繼電器等保護。針對安全目標SG2 的功能安全要求包括SG2-FSR-01 測量母線電流，SG2-FSR-02 檢測到過流時請求斷開繼電器/限功率。其中SG2-FSR-01 要求在充電過程中，出現電流檢測回路故障，需發出故障碼；SG2-FSR-02 要求在充電過程中，電流超過限值，電池需根據不同的過流等級進行限制功率、請求斷開繼電器。針對安全目標SG3 的功能安全要求包括SG3-FSR-01 測量單體電壓、總電壓，SG3-FSR-02 檢測到過壓時請求斷開繼電器。其中SG3-FSR-01 要求在充電過程中，出現電壓檢測回路故障，需發出故障碼；SG3-FSR-02 要求在充電過程中，檢測到過壓，需請求斷開繼電器。

表4 動力電池系統功能安全要求

2.4 動力電池系統技術安全要求

技術安全要求的提出需考慮功能概念和初步的架構，將相關項層面的功能安全要求細化到系統層面的技術安全要求。本文將以防止過溫為例，闡述如何將功能安全要求細化到技術安全要求。過溫保護架構如圖3 所示，主要包括模組、主回路繼電器、溫度檢測單元和BMS。過溫保護策略為溫度檢測單元通過溫度傳感器實時檢測模組實時溫度，并將溫度信號發送給BMS，BMS 將接收到的溫度信號經過對比分析、范圍檢查、合理性檢查后，進行過溫判斷。

圖3 動力電池系統過溫保護架構

具體的過溫判斷策略為當檢測的溫度值超過閾值1 時，車輛報警，儀表點亮電池溫度過高報警燈，即過溫等級1；當檢測的溫度值超過閾值2 時，車輛報警，儀表點亮電池溫度過高報警燈，并進行降額處理，即過溫等級2；當檢測的溫度值超過閾值3 時，車輛報警，儀表點亮電池溫度過高報警燈，并進行降額處理，然后延時斷開繼電器，即過溫等級3；當檢測的溫度值超過閾值4 時，車輛報警，儀表點亮電池溫度過高報警燈，并進行降額處理，然后立刻斷開繼電器，即過溫等級4。

為了保證溫度檢測的準確性，溫度檢測單元會診斷傳感器是否出現故障、傳感器檢測回路是否出現故障、ADC 轉換模塊是否出現故障。根據功能安全要求細化技術安全要求時，需參考系統開發模型，如圖4 所示，以及ASIL 分解原則。ASIL 分解原則包括[11-15]：

圖4 系統開發模型

(1)ASILD 的分解原則:一個ASILC(D)的要求和一個ASILA(D)的要求或一個ASILB(D)的要求和一個ASILB(D)的要求或一個ASILD(D)的要求和一個QM(D)的要求；

(2)ASILC 的分解原則:一個ASILB(C)的要求和一個ASILA(C)的要求或一個ASILC(C)的要求和一個QM(C)的要求；

(3)ASILB 的分解原則:一個ASILA(B)的要求和一個ASILA(B)的要求或一個ASILB(B)的要求和一個QM(B)的要求。

對保證功能安全要求ASIL 等級不變的情況下對技術安全要求進行降級，可以減少整體功能安全開發成本。

根據表4 動力電池系統功能安全要求、系統架構及ASIL分解原則，提出技術安全要求見表5，包括溫度傳感器應放置在模組正確位置、每個溫度傳感器具有單獨的檢測通道、溫度檢測單元保證溫度值精度±1 ℃等。技術安全要求定義之后進行系統設計，在系統設計過程中建立系統架構，將技術安全要求分配給硬件和軟件。

表5 動力電池系統技術安全要求

3 結論

本文以某一款實際開發的動力電池為研究對象，按照ISO26262 進行了功能安全概念階段的設計，在充分識別危害和風險的基礎上提出了較為詳細的技術安全要求，為后續系統層面軟硬件的設計提供了安全需求輸入。功能安全設計采用V 型流程，設計的過程中需要進行詳細的相關測試活動來驗證系統設計是否符合功能和技術安全要求，測試內容包括軟硬件的單元測試、模塊測試、軟硬件集成測試、系統集成測試以及整車測試等內容[16-18]，測試過程中使用的測試用例需要根據不同層級的功能安全要求進行編制。本文目前只對功能安全概念階段設計進行了說明，后續將會對如何進行測試來驗證功能和技術安全要求達成做進一步研究。