基于STPA的新能源汽車安全性能分析

摘要：探討了如何應用STPA方法來提升新能源汽車的安全性能。通過分析新能源汽車系統架構和關鍵子系統，識別其安全風險；采用STPA方法，從危險場景識別與分析、控制結構分析等方面，系統審視新能源汽車的安全問題，揭示安全事故的深層次原因，并從系統、硬件、軟件等層面，設計了一系列針對性的安全控制措施。研究表明，STPA方法可有效發現傳統安全分析方法難以識別的安全隱患。

關鍵詞：新能源汽車；安全性能；STPA；危險場景；安全控制

中圖分類號：U469.7 收稿日期：2024-04-29

DOI：1019999/jcnki1004-0226202407007

1 前言

隨著全球能源危機和環境污染問題的日益嚴峻，發展新能源汽車已成為世界各國應對挑戰、實現可持續發展的重要選擇。新能源汽車以電力、氫能等清潔能源為動力，具有環保、高效等優勢，被視為未來汽車工業的發展方向［1］。然而，由于新能源汽車采用了諸多創新技術和復雜的系統架構，其安全性問題備受關注。電池熱失控、高壓電擊、自動駕駛失效等安全事故頻發，嚴重威脅乘客生命財產安全和新能源汽車產業的健康發展。傳統的安全分析方法如FMEA、FTA等，大多基于組件失效的假設，難以應對新能源汽車系統的復雜性和不確定性。為克服上述不足，Leveson教授提出了基于系統理論過程分析（STPA）的安全性分析方法。STPA從系統層面審視安全問題，可識別包括組件失效、交互異常、外部干擾等在內的多種類型的危險場景，為新能源汽車安全性分析提供了新的思路和工具［2］。

2 STPA理論基礎

21 STPA的基本原理與流程

STPA是一種基于系統理論和控制理論的安全性分析方法，由麻省理工學院Leveson教授于2012年提出。與傳統的安全分析方法不同，STPA不再局限于單一組件失效，而是將安全視為系統各要素之間交互作用的結果。STPA認為，事故發生的根本原因在于系統對危險過程的控制存在缺陷或不足。STPA通過識別系統層面的危險場景和控制缺陷來預防事故發生。

STPA分析流程通常包括4個步驟：a.定義系統級危險和安全約束；b.繪制系統控制結構圖；c.識別不安全控制行為（UCAs）;d.確定每個UCA的原因場景。其中，第三步需要分析控制回路中4類潛在的不安全因素：a.未發出應發出的控制指令；b.發出不應發出的控制指令；c.控制指令發出太早、太晚或順序錯誤；d.控制指令持續時間不足或過長。研究表明，STPA可識別傳統方法難以發現的危險場景，如復雜電子驅動系統故障率高達435%，而STPA可覆蓋其中85%以上的失效模式。因此，STPA特別適用于新能源汽車等復雜系統的安全性分析，具有廣闊的應用前景。

22 STPA在新能源汽車領域的適用性分析

a.新能源汽車是一個高度復雜的系統，涉及電池、電機、電控等多個關鍵子系統，各部件之間存在錯綜復雜的交互作用。傳統的安全分析方法難以全面考慮系統層面的安全風險，而STPA從系統整體出發，可系統地識別各類危險場景，提高安全分析的完整性和有效性。b.新能源汽車采用了大量創新技術，如高能量密度鋰離子電池、高效永磁同步電機等，其安全性能尚不完全明確，故障模式不斷涌現。STPA不依賴于已知的故障模式數據，而是通過分析控制結構的完備性和合理性，發現潛在的危險因素，為新技術的安全應用提供保障。c.新能源汽車的使用環境和工況千變萬化，如環境溫度、濕度、振動等因素都會影響汽車的安全運行。STPA將環境因素納入控制回路進行分析，可識別外部擾動導致的控制失效風險，提高系統的魯棒性。

3 新能源汽車系統

31 新能源汽車系統架構

新能源汽車系統是由多個復雜子系統構成的有機整體，呈現出明顯的層次性、模塊化和網絡化特征。從縱向來看，新能源汽車系統可分為決策層、管理層和執行層3個層次。決策層主要包括人機交互系統和自動駕駛系統，負責獲取環境信息、規劃行駛路徑、下達控制指令等任務，是整車控制的大腦。管理層包括整車控制器、電池管理系統、電機控制器等，負責協調各個執行器的工作，保證整車的安全、高效運行。執行層則包括動力電池、驅動電機、電源轉換器等，負責提供動力和執行上層指令。

從橫向來看，新能源汽車各子系統之間通過多條總線進行互聯，如CAN總線、LIN總線、FlexRay總線等，構成一個復雜的網狀拓撲結構。總線不僅承擔數據傳輸的作用，還對各節點進行同步和沖突仲裁，保證通信的實時性和可靠性。以特斯拉新能源汽車為例，其控制器節點數量超過150個，通信矩陣高達4 500條，軟件代碼量接近1億行，體現了新能源汽車系統的復雜性。此外，新能源汽車系統還呈現出顯著的多學科交叉特點，涉及電學、機械學、控制學、計算機科學等多個領域。

32 關鍵子系統安全風險識別

新能源汽車系統中存在多個關鍵子系統，其安全風險識別和控制對于保障整車安全至關重要。動力電池是新能源汽車的核心組件和能量來源，但同時也是最大的安全隱患。電池安全風險主要包括熱失控、電解液泄露、過充過放等，可能導致起火爆炸等嚴重后果。驅動電機作為執行部件，其安全性直接影響整車行駛品質。電機存在過熱、失磁、軸承磨損等潛在風險，可能引起動力中斷、失控等事故。

統計數據顯示，新能源汽車電機故障率高達35%，遠高于傳統汽車。此外，高壓配電系統是保證新能源汽車能量傳輸和轉換的關鍵環節，但其高達數百伏的工作電壓對人體安全構成嚴重威脅。絕緣失效、電弧放電等故障可能造成電擊、起火等危險。自動駕駛系統是未來發展方向，但算法設計缺陷、傳感器故障、網絡攻擊等因素都可能導致汽車失控，造成交通事故［3］。

4 STPA在安全性能分析中的應用

41 分析準備階段

STPA方法應用的第一步是做好分析準備工作。

a.需要明確系統邊界和分析目標，界定待分析系統的范圍和關注的安全性能指標。一般來說，新能源汽車安全性能分析的系統邊界不僅包括整車系統，還要考慮與之交互的充電設施、通信網絡、交通環境等，以全面識別外部風險因素。

b.要全面收集系統資料，包括系統結構圖、功能需求文檔、接口定義文檔等，深入理解系統的工作原理和控制邏輯。特別要重點關注控制信息的流向和反饋回路，為構建系統控制結構模型做準備［4］。

c.要明確系統級危險和安全約束。系統級危險是指可能導致人員傷亡、財產損失或環境破壞的狀態或事件，如車輛失控、電池起火爆炸等。以電動汽車動力電池為例，其系統級危險可定義為“電池溫度超過60 ℃，進入熱失控狀態”，相應的安全約束則包括“禁止過充電”“禁止電芯短路”“啟動高溫預警和散熱措施”等。在明確系統危險的基礎上，還要進一步細化為可度量、可驗證的安全需求，如“電池溫度傳感器的量程要覆蓋-40～150 ℃，精度優于1℃，響應時間小于1 s”。

d.要成立一支多學科交叉的分析團隊，成員應來自系統工程、電子工程、機械工程、軟件工程等相關專業，以全面識別系統風險。STPA強調系統思維和專業融合，單一專業的團隊往往忽視交叉領域的安全問題。

42 危險場景識別與分析

STPA方法的核心環節是危險場景識別與分析，旨在系統地發現控制過程中可能導致危險的場景并分析其原因。在識別危險場景時，一方面要根據系統控制結構模型，分析每個控制回路中的控制器、執行器和反饋通道，識別可能發生的控制錯誤，如控制指令遺漏、控制指令錯誤、控制時序異常、反饋信息丟失等。以電動汽車電機控制器為例，可能的控制錯誤包括“未發出限速指令”“發出錯誤的轉矩指令”“位置反饋信號延遲”等。另一方面要分析控制錯誤可能導致的危險狀態，利用因果分析等方法，預測危險后果的傳播路徑和影響范圍。

在此基礎上，可采用情景構建等技術生成典型危險場景的具體描述，明確危險觸發條件、演化過程和最終后果。例如，當汽車處于高速行駛狀態時，電機控制器未發出限速指令，再加上制動系統失效，最終可能導致車輛失控并發生碰撞。在識別危險場景時，還要分析每個場景的原因，包括外部干擾、組件失效、軟件缺陷等，并判斷其可能性和嚴重性。這里可借助故障樹分析（FTA）等傳統方法，理清復雜因果關系。一項針對電動汽車電池管理系統的研究發現，22%的危險場景源于需求遺漏，18%源于算法錯誤，16%源于傳感器失效。另外要評估危險場景的可接受性，針對高風險場景確定安全完整性等級（SIL），并制定相應的安全需求和措施。

43 控制結構分析

控制結構分析旨在系統審視新能源汽車的控制架構，理清控制約束和反饋機制，發現潛在的設計缺陷和薄弱環節。要構建系統控制結構模型，明確各層次控制器之間的指令傳遞和反饋關系，以及控制器與被控對象之間的交互界面。可采用層次化控制結構圖（HSCD）等建模工具，直觀表達控制體系的靜態結構和動態行為。以電動汽車電池熱管理系統（BTMS）為例，其控制結構包括整車控制器、電池管理系統（BMS）、熱管理控制器（TMCU）、溫度傳感器、加熱器、制冷器等多個層級，通過CAN總線進行通信。研究表明，控制結構中32%的節點存在單點失效風險，11%的反饋回路存在不完備隱患。

在構建控制結構模型的基礎上，要重點關注控制過程的4個環節：a.控制器對被控對象施加控制的過程；b.被控對象對控制器進行反饋的過程；c.控制器對傳感器和執行器的命令過程；d.環境因素對控制過程的干擾和影響。針對每個環節，都要分析控制需求和約束條件，識別可能違反約束的不安全控制行為（UCAs）。例如，BTMS的不安全控制行為可能包括“TMCU未發出或延遲發出降溫指令，導致電池溫度持續上升”“制冷器開啟不及時或制冷能力不足，導致電池熱失控”“溫度傳感器失效，導致無法獲知電池真實溫度”等。針對識別出的UCAs及其原因，要提出相應的安全約束和控制措施，并對控制結構進行優化，如增加硬件冗余、引入多源信息融合、完善故障診斷和容錯機制等，以提升系統的本質安全性［5］。

44 安全控制措施設計

安全控制措施的設計應遵循縱深防御理念，從多個層面入手，構建起完善的安全防護體系。

a.在系統設計階段，要充分考慮安全需求，將安全視為系統的內在屬性，通過合理的功T5u3Nnq1N+fAu5Gf5ZPuJ6o5leKnUrRIKuq3lX0keLE=能分配和架構設計，最大限度地消除或抑制危險因素。關鍵是要設計合理完備的反饋控制回路，保證安全關鍵信息的實時采集和處理。以自動駕駛域控制器為例，其需配備多源環境感知系統，融合激光雷達、毫米波雷達、視覺傳感器等多通道信息，并采用決策層、規劃層、控制層三級冗余架構，確保即使單一傳感器或算法出現故障，也不會導致車輛失控。

b.在硬件設計方面，要注重安全冗余和故障保護設計，針對安全關鍵部件設置備份和應急處理機制，避免單點失效釀成嚴重后果。以動力電池為例，可采用分布式電池管理系統（DBMS），每個電池模組配備獨立的監控和均衡電路，各模組之間通過光纖通信，既可避免單一BMS失效導致整個電池系統癱瘓，又可阻斷故障擴散，防止連鎖反應。特斯拉Model S電動汽車的電池即采用了這種設計，大大提升了系統的安全裕度。

c.在軟件設計方面，要嚴格遵循功能安全標準，采用形式化方法對控制算法進行驗證和測試，并引入實時監控和故障診斷機制，及時發現和隔離軟件錯誤。以制動控制算法為例，可采用模型檢測等方法，在不同工況下模擬制動過程，考察控制指令的正確性和實時性。

5 結語

STPA方法為新能源汽車的安全性能分析提供了一種全新的思路和工具。通過系統地識別危險場景、分析控制結構缺陷，并設計針對性的安全控制措施，可有效防范和消減新能源汽車的安全風險，提升其本質安全性。展望未來，隨著新能源汽車技術的不斷發展和應用的日益深入，其安全問題也將日趨復雜。電池、電機、自動駕駛等關鍵技術的快速迭代，既帶來機遇，也帶來挑戰。如何在創新的同時保證安全，需要產學研各界的共同努力；一方面要加強基礎研究，深化對復雜系統安全的理解；另一方面要與時俱進地發展安全分析方法和技術，建立完善的安全標準體系。

參考文獻：

[1]張順，周娟基于STPA與模糊BN的新能源汽車安全性分析方法研究[J]現代電子技術，2024，47（8）：18-24

[2]李俊成，王瀟屹，付強基于STPA方法的高速公路巡航功能預期功能安全研究[J]質量與標準化，2023（2）：55-58

[3]王小林新能源汽車動力電池安全問題分析及解決策略[J]時代汽車，2023（24）：112-114

[4]李貌新能源汽車動力電池安全管理技術發展趨勢[J]汽車測試報告，2023（22）：64-66

[5]黎元江新能源汽車行駛安全性能分析[J]汽車測試報告，2023（11）：76-78

作者簡介：

李秋爽，女，1991年生，助教，研究方向為汽車專業教學。