劉凌飛，李小鵬，徐征，沈圣智

(1.天津職業(yè)技術(shù)師范大學(xué)汽車與交通學(xué)院，天津 300222；2.天津動核芯科技有限公司，天津 300350)

0 引言

隨著汽車上電子/電氣(E/E)系統(tǒng)的復(fù)雜性不斷提高，系統(tǒng)失效和隨機硬件失效的風(fēng)險也不斷增加。據(jù)不完全統(tǒng)計，截至2019年上半年，由于動力蓄電池所引發(fā)的電動汽車自燃事故已高達40余起。動力蓄電池系統(tǒng)作為新能源汽車的能源系統(tǒng)，承擔(dān)能量的存儲與釋放，其內(nèi)部的電子控制器的功能安全直接影響動力蓄電池的安全性。

為提高汽車的安全性，針對汽車功能安全，國際標(biāo)準(zhǔn)化組織ISO于2018年發(fā)布了第二版 ISO 26262道路車輛功能安全標(biāo)準(zhǔn)[1]。電池管理系統(tǒng)(Battery Management System， BMS)作為動力蓄電池的核心電子控制器，在其系統(tǒng)功能安全設(shè)計過程中應(yīng)用ISO 26262標(biāo)準(zhǔn)要求，將有利于提高其安全性。

本文作者根據(jù)ISO 26262標(biāo)準(zhǔn)中的危害分析和風(fēng)險評估方法，介紹了汽車完整性等級(Automotive Safety Integration Level，ASIL)的確定方法，介紹了ASIL分解的原則，并以BMS的等級確定及分解為示例進行介紹。

1 道路車輛功能安全標(biāo)準(zhǔn)ISO 26262

2018年基于IEC 61508安全相關(guān)電氣/電子/可編程電子系統(tǒng)功能安全，ISO 26262被制定。它是針對公路車輛內(nèi)的電子/電氣系統(tǒng)的汽車開發(fā)行業(yè)標(biāo)準(zhǔn)[1]，包括了汽車電子電氣在安全生命周期的開發(fā)過程中與安全相關(guān)的所有活動的要求。從而確保具備安全功能的電子產(chǎn)品的性能，在車輛使用過程中，即使出現(xiàn)功能性失效的情況，車輛也不會發(fā)生危險。

ISO 26262：2018標(biāo)準(zhǔn)體系由12個子標(biāo)準(zhǔn)組成，其中Road vehicles：Functional safety：Part 12是針對摩托車定制的[1]。Part1—Part11的內(nèi)容如圖1所示，其中第4、5、6部分，兼容“V”形開發(fā)流程圖[4]，其結(jié)構(gòu)框圖如圖1所示。

圖1 ISO 26262:2018 標(biāo)準(zhǔn)結(jié)構(gòu)

依據(jù)ISO 26262標(biāo)準(zhǔn)進行功能安全設(shè)計時，需要進行危害分析和風(fēng)險評估。根據(jù)系統(tǒng)的功能，可采用HAZOP、FMEA、頭腦風(fēng)暴等方法，結(jié)合故障可能會出現(xiàn)的情景進行功能故障分析。

功能故障和駕駛場景的組合稱作危害事件。危害事件確定后，依據(jù)嚴(yán)重度、暴露率和可控性評估危害事件的風(fēng)險級別——汽車完整性等級(ASIL)。其中，嚴(yán)重度是駕駛員、乘員或者行人等涉險人員在危害事件中遭受傷害的程度；暴露率是指人員處于失效系統(tǒng)所致的危害場景中的概率；可控性是指駕駛員或其他涉險人員通過相應(yīng)的應(yīng)急措施，避免事故或傷害的可能性。這3個因子的分類及等級評定如表1所示。

ASIL設(shè)置有4個等級，如表2所示。其中D等級的級別最高、A等級最低；QM表示質(zhì)量管理，表示只需按照質(zhì)量管理體系進行系統(tǒng)或功能的開發(fā)，不再需要考慮其他安全相關(guān)的設(shè)計[2]。ASIL等級越高，意味著對系統(tǒng)安全性的要求越高。

表1 嚴(yán)重度、暴露率、可控性分類

表2 ASIL等級確定

可將風(fēng)險R描述為危險事件的功能函數(shù)F。風(fēng)險R與危害事件的發(fā)生頻率f、通過人的及時反應(yīng)而避免損害或損傷的可控性C以及潛在的嚴(yán)重程度S有關(guān)，其函數(shù)可表示為

R=F(f,C,S)

(1)

式中f是危害事件的暴露率E發(fā)生概率λ的函數(shù)。發(fā)生的頻率f由以下2個因素確定：(1)需要考慮危害事件的發(fā)生頻繁度和危害事件涉及的人數(shù)，該因素可用危害事件的暴露率E來代替。(2)可能導(dǎo)致危險事件的產(chǎn)品故障率λ，該因素受限于硬件隨機故障和系統(tǒng)性故障。其表達式如式(2)所示。

f=Eλ

(2)

2 BMS的等級評定

2.1 市場車型定位

BMS是保護動力電池的使用安全和使用壽命的控制系統(tǒng)。通常具有上電自檢，對電壓、電流、溫度數(shù)據(jù)進行采樣監(jiān)測，均衡管理，絕緣監(jiān)控，狀態(tài)估計(SOC、SOH等)，高壓回路控制，故障診斷，通信，熱管理等功能[3]。BMS需時刻監(jiān)控電池的狀態(tài)，通過檢測單體電池的電壓、電流及溫度值，估算動力電池的SOC、SOH等值，以確定動力電池的安全狀態(tài)。BMS內(nèi)部的邏輯計算與控制策略可以防止電池出現(xiàn)過度充電和過度放電的現(xiàn)象，緩解電池組的不一致性，提高電池的利用率[4]，保障動力蓄電池的使用安全。

動力電池系統(tǒng)的BMS控制模塊，可分為數(shù)據(jù)采集與數(shù)據(jù)通信、處理模塊，如圖2所示。該系統(tǒng)由一個主控單元和多個從控單元組成，其中從控單元主要負(fù)責(zé)單體電壓信號采集與均衡處理，主控單元主要負(fù)責(zé)數(shù)據(jù)的運算處理、系統(tǒng)高壓通斷、熱管理及與 VCU 進行信息交互等。

圖2 電動汽車的動力電池系統(tǒng)

2.2 BMS的危害分析與風(fēng)險評估

對BMS進行危害分析與風(fēng)險評估時，可將BMS作為一個獨立單元，在不考慮其他整車要素的情況下進行。首先要對BMS的功能及結(jié)構(gòu)進行分析，可以采用概念階段所定義的安全生命周期的方法來定義BMS的工作環(huán)境和工作狀況。根據(jù)BMS的工作狀態(tài)，分析其失效或故障狀態(tài)下可能發(fā)生的危害。針對BMS的危害至少確定一個安全目標(biāo)，再根據(jù)BMS的安全目標(biāo)確定其ASIL等級。安全目標(biāo)是最高層面的安全要求，也是危害分析和風(fēng)險評估的結(jié)果[1]。

結(jié)合BMS在動力電池系統(tǒng)中的工作狀態(tài)， BMS電子控制器的危險動作主要包含過充、過放、低溫充電、過度冷卻/加熱、接觸器非正常斷開/接合、過流等。以BMS失效為例，該危險事件的危害有：(1)在行駛過程中，BMS失效出現(xiàn)電池過放，引起電池組內(nèi)部短路和電池包著火。(2)高速行駛過程中，高壓回路被切斷,導(dǎo)致車輛失去動力[2]。(3)車輛充電時，由于BMS失效不能保護動力電池，發(fā)生過充現(xiàn)象等。高速行駛、充電是每天都會發(fā)生的事情。對于不同的失效危害可采取相應(yīng)的措施，如車輛失去動力后,駕駛員可依靠慣性將車輛駛離主車道，將車輛?？吭诼愤叺却S修處理；車輛充電時著火，駕駛員及乘客可通過門窗逃生等，以保障車輛上人員的生命安全。即使危害相同，在不同場景下發(fā)生的風(fēng)險也是不同的，所以需要對不同的駕駛場景進行針對性分析。為了簡化問題，文中僅對“高速行駛過程中，BMS失效引發(fā)電池組過放”這種功能故障進行風(fēng)險評估。根據(jù)以上分析，BMS風(fēng)險評估結(jié)果如表3所示。駕駛場景是正常道路高速行駛。對于同一個安全目標(biāo)，如果出現(xiàn)評估的ASIL等級不同時，要選擇最高的ASIL評定值。

城市工況低速行駛時，其ASIL的等級會比高速行駛的評定等級低。通過以上分析，得出BMS系統(tǒng)的安全目標(biāo)為防止電池過放，ASIL等級為C。安全目標(biāo)確定后，即可確定BMS在系統(tǒng)級別的安全需求，安全需求需繼承安全目標(biāo)的ASIL等級，并分配至BMS的硬件和軟件設(shè)計中。根據(jù)BMS的ASIL C的等級要求，在其硬件及軟件的開發(fā)設(shè)計過程中，需要繼承ASIL C等級的設(shè)計需求。

表3 BMS風(fēng)險評估

3 BMS的ASIL分解

ISO 26262規(guī)定，應(yīng)為每一個安全目標(biāo)定義至少一項功能安全需求，每條功能安全需求從相關(guān)的安全目標(biāo)繼承最高的ASIL，然后將功能安全需求分配給相關(guān)項。由于在實際的生產(chǎn)過程中需要考慮生產(chǎn)成本，ASIL的等級越高生產(chǎn)成本越高[5]。為了降低安全目標(biāo)的實施成本，可將一個高ASIL等級的安全目標(biāo)分解為兩個相互獨立的較低級的安全目標(biāo)。ISO 26262標(biāo)準(zhǔn)的第9部分中提出了在滿足安全目標(biāo)的前提下降低ASIL等級的ASIL分解方法[1]。

3.1 ASIL的分解原則

如果將一個安全需求分解為兩個冗余的安全需求，則原來的安全需求的ASIL等級可以分解到兩個冗余的安全需求上[1]。由于只有當(dāng)兩個安全需求同時不達標(biāo)時，才會引發(fā)系統(tǒng)失效，所以冗余安全需求的ASIL等級可以比原始的ASIL等級低。ASIL 分解時，分解對象應(yīng)具有獨立性，否則冗余單元需遵循原始的等級進行開發(fā)[1]。下面介紹BMS的ASIL 分解過程。

假設(shè)BMS的功能實現(xiàn)過程中，將傳感器測量到的電壓、電流及溫度信號作為BMS的輸入信號，分別記為S1、S2、S3。這3個輸入信號是由相互獨立的傳感器分別檢測出的。MCU將運算后的輸入信號，轉(zhuǎn)化為觸發(fā)信息并發(fā)送給執(zhí)行器。其功能的架構(gòu)示意如圖3所示。假設(shè)經(jīng)過危害分析和風(fēng)險評估后，BMS的ASIL等級為ASIL C，安全目標(biāo)為避免非預(yù)期觸發(fā)執(zhí)行器，那么BMS的各個部分均繼承BMS的ASIL，即傳感器、MCU、執(zhí)行器都需要按照ASIL C 的等級開發(fā)，如圖3所示。

圖3 ASIL等級在BMS功能架構(gòu)上的分配

ASIL的分解可以在功能安全概念、系統(tǒng)設(shè)計、硬件設(shè)計、軟件設(shè)計階段等多個階段進行。在將一個高ASIL分解為幾個較低級的ASIL部分時，分解部分的括號里的字母為原始需求的ASIL等級。例如ASIL C等級分為ASIL B(C)和ASIL A (C)兩個分部分，或者ASIL C等級還可以分解為ASIL C(C)和ASIL QM(C)等，如圖4所示。ASIL等級可分多次進行分解，比如ASIL C分解為ASIL B(C)和ASIL A(C)， ASIL B(C)還可以分解為ASIL B(C)和QM (C)[1]，如圖5所示。

圖4 ASIL C分解原理

圖5 ASIL B分解原理

3.2 BMS的ASIL分解

以預(yù)防過放功能為例，在動力電池運行過程中，為了防止動力電池出現(xiàn)過放現(xiàn)象，可以通過BMS計算出動力電池的SOC，并判斷SOC值是否在安全范圍內(nèi)[4]。如果電池的SOC過低，就存在電池過放的趨勢，需要將該信息發(fā)送給其他控制單元，以提示整車做出對應(yīng)措施。除此之外，當(dāng)BMS檢測到電池處于深度放電的狀態(tài)時，可以斷開高壓回路，以阻斷放電電流。因此，為達到防止電池組中的一個或多個電池深度放電的安全目標(biāo)，需要達到以下安全需求：

(1)確定電池組的SOC并傳達給其他控制器。如果電池組的SOC不在規(guī)定的操作范圍內(nèi)，系統(tǒng)需要跟蹤到電池的能量流并做出反應(yīng)。此外，如果超出了電池組SOC的限定值，則應(yīng)將該信息傳達到車輛的其他系統(tǒng)。

(2)如果檢測到深度放電狀態(tài)，則應(yīng)在較短的時間內(nèi)切斷放電電流。

為保護電池免受損壞并防止深度放電(深度放電可使電池內(nèi)部短路并導(dǎo)致熱事件和火災(zāi))引起的危險后果，如果檢測到深度放電狀態(tài)，系統(tǒng)應(yīng)切斷放電電流。

根據(jù)以上需求分析，結(jié)合BMS的工作環(huán)境及BMS與內(nèi)、外部部件之間的聯(lián)系進行需求分配。假設(shè)動力電池的負(fù)載只有驅(qū)動電機，那么BMS需要實現(xiàn)與電池組及電力電子控制單元之間的交流，即處理電池組內(nèi)電芯的數(shù)據(jù)，接收電力電子控制單元的信息，根據(jù)數(shù)據(jù)進行決策判斷。因此，可將BMS的安全目標(biāo)分解為斷開高壓回路和負(fù)載需求降為零，且這兩個功能安全需求是相互獨立的。將BMS的ASIL C等級分別分配至BMS及其他電力電子控制器的功能需求，分解情況如圖6所示。

圖6 預(yù)防過放目標(biāo)的ASIL分解

經(jīng)過分解后，較高的ASIL C的BMS安全目標(biāo)，被分解為按照ASIL B(C)等級設(shè)計的BMS功能安全需求及按照ASIL A(C)等級設(shè)計的電力電子控制器。通過對功能安全需求的分配與分解，使得BMS功能邏輯及開發(fā)變得簡單，整體成本得以降低。

4 結(jié)語

以BMS為例介紹了ISO 26262標(biāo)準(zhǔn)中安全目標(biāo)及其ASIL等級確定的方法。如果產(chǎn)品的安全需求的ASIL等級較高，成本高，可通過ASIL分解以降低ASIL等級，降低生產(chǎn)成本。在分解的過程中，遵循安全目標(biāo)的ASIL等級在被開發(fā)階段的安全需求繼承的原則。以BMS預(yù)防過放為例，介紹了ASIL的分解原則和步驟。通過對功能及結(jié)構(gòu)進行分析，對系統(tǒng)的架構(gòu)進行調(diào)整，實現(xiàn)了ASIL的分解。為針對ASIL等級高而帶來的開發(fā)成本高、開發(fā)周期長及技術(shù)要求高等方面的問題，提供了一種解決方法。