電車資源訊：

ISO 26262(Road vehicles- Functional safety)名稱為“道路車輛-功能安全”,旨在提高汽車的安全性,。ISO26262中常見的工作之一是確定“汽車功能安全完整性等級ASIL”,通過三個指標(嚴重性S,、發(fā)生概率E、可控性C)評價,。

嚴重性S:S0~S3,表示人員可能造成傷害的級別,。其中S0沒有傷害,S3致命傷害

發(fā)生率E:E0~E4,表示這個風險在實際應用中發(fā)生的概率。其中,E0不可能發(fā)生,E4常見的

可控性C:C0~C3,表示這個風險發(fā)生后人員采取措施控制后可以避免傷害的能力,。其中C0表示總是可控的,C3表示很難,、或無法控制

上面三個參數(shù)確定后,就可以使用ASIL等級表來確定等級。其中,QM表示不需要特別的功能安全流程,只需要正常質(zhì)量管理,。ASIL等級A,、B、C,、D,越往后表示風險越高,、風險越不可容忍。開發(fā)中常見降低風險的手段有:質(zhì)保體系(文檔化,、流程,、認證)、校驗方法(方法設計,、測試),、安全驗證分析(失效分析、故障樹分析,、失效率),、可靠性分析(工具、零件,、人員),。

表1 汽車安全完整性等級ASIL

在標準中,每個階段都有一個獨立標準來描述該階段的流程和工作內(nèi)容。在概念階段的主要活動如下:

這里舉個動力電池例子,看一下如何確定ASIL等級,。動力電池系統(tǒng)主要包括電池管理系統(tǒng)BMS,、單體電池Cell、電子電氣EE,、線束Wire Harness,、熱管理系統(tǒng)Thermal和機械結(jié)構(gòu)Mechanical等部件,外部主要與VCS和charger進行交互,并給電機等其他部件提供能量(示意圖如下)。

可以采用概念階段的安全生命周期方法來定義對象工作環(huán)境和工作狀況,。

潛在的工作環(huán)境:

  >人員設計和調(diào)試電池系統(tǒng)

  >人員生產(chǎn)電池系統(tǒng)

  >人員駕駛車輛

  >人員維修電池

  >人員回收,、報廢電池

潛在的工作狀況:

  > 零件的拆解,、替換

  >電池包的組裝、搬運

  >電池測試設備的鏈接,、運行,、監(jiān)控、充電/放電過程中的能量存儲和釋放

  >電池意外狀況,例如:非正常安裝,、變形,、跌落、觸電,、碰撞,、浸泡、溫濕環(huán)境等(常見標準中的各種電池安全測試模擬的狀況)

這里例舉電池系統(tǒng)高壓安全功能的三種潛在失效:

  >高壓電能失效,車輛失去動力

  >高壓電下電失效,高壓回路一直帶電,有觸電危險

  >狀態(tài)監(jiān)控失效,電池出現(xiàn)過充,、過放,、過溫等超出限制的狀況

動力電池系統(tǒng)設計到高壓安全的功能一般有:BMS功能安全(這個在Arthur的幾篇連載中已經(jīng)展開)、HVIL,、碰撞開關,、繼電器控制/診斷、絕緣檢測,。其功能安全和失效模式對應關系一般如下所示,。

下面舉例說明一下ASIL的使用

1) BMS

  a) 嚴重性:如果BMS失效,則不能監(jiān)控高壓電池系統(tǒng),可能產(chǎn)生錯誤的動作、或失去保護能力,。常見的例子如行駛過程高壓回路斷開,失去動力;或車輛充電出現(xiàn)過充而不能保護,定義嚴重性為S3

  b) 發(fā)生率:高速行駛,、充電可以說是每天發(fā)生的事情,定義發(fā)生率為E4

  c) 可控性:車輛失去動力后,經(jīng)過訓練的人員應該可以依靠慣性將車輛駛離主車道;車輛充電著火,駕駛員可以通過門窗逃生,可控性為C2

2) HVIL

  a) 嚴重性:HVIL失效后可能導致高壓暴露,為采取高壓保護的人員可能出點,嚴重度定義為S3

  b) 發(fā)生率:正常情況,人員不會觸碰高壓部件,維修時才可能接觸,發(fā)生率為E2

  c) 可控性:經(jīng)過訓練的人員可以采取防護來防止觸電,定義為C2

3) Crash

  a) 嚴重性:碰撞時,碰撞傳感器發(fā)出信號請求切斷高壓回路。若失效,則可能導致二次風險,例如短路造成的起火,、爆炸;同時,暴露的高壓可能導致人員出點,定義為最高S3

  b) 發(fā)生率:碰撞檢測和出發(fā)由氣囊傳感器執(zhí)行,因此故障發(fā)生率與氣囊出發(fā)的發(fā)生率一樣,發(fā)生率較低,為E1

  c) 可控性:要求BMS檢測到碰撞信號的第一時間切斷高壓,由于車輛在碰撞情況下存在不可預知性,可控性定義為C3

4) Relay

  a) 嚴重性:繼電器異常一般包括無法閉合,、粘連、觸電跳動,。功能失效時,可能導致車輛失去動力,定義為S2

  b) 發(fā)生率:日常停車,、駕車、充電,、維修都可能涉及繼電器動作,定義為E4

  c) 可控性:繼電器可通過診斷判斷是否失效,定義為C2

5) Isolation

  a) 嚴重性:絕緣失效可能導致漏電,絕緣不良的車輛可能導致人員觸電,定義為S3

  b) 發(fā)生率:高壓回路通常與車身和低壓回路隔離,電池系統(tǒng)外殼與車身連接,正常不會同時接觸高壓正負極,只有在需要時才拆下來維護,此時可能接觸正負極,定義為E2,一年可能發(fā)生幾次

  c) 可控性:維修時,人員通過相應防護防止觸電,定義為C1

然后查ASIL表可以知道等級為:

BMS:ASIL C

HVIL:ASIL A

Crash:ASIL A

Relay:ASIL B

Isolation:QM

以上是通過一個簡單的例子說明了ASIL等級的確定過程,。針對具體產(chǎn)品的ASIL等級還需要針對具體情況進行分析,進行風險識別和評估。