ISO 26262(Road vehicles- Functional safety)名称为“道路车辆-功能安全”,旨在提高汽车的安全性。ISO26262中常见的工作之一是确定“汽车功能安全完整性等级ASIL”,通过三个指标(严重性S、发生概率E、可控性C)评价。
严重性S:S0~S3,表示人员可能造成伤害的级别。其中S0没有伤害,S3致命伤害
发生率E:E0~E4,表示这个风险在实际应用中发生的概率。其中,E0不可能发生,E4常见的
可控性C:C0~C3,表示这个风险发生后人员采取措施控制后可以避免伤害的能力。其中C0表示总是可控的,C3表示很难、或无法控制
上面三个参数确定后,就可以使用ASIL等级表来确定等级。其中,QM表示不需要特别的功能安全流程,只需要正常质量管理。ASIL等级A、B、C、D,越往后表示风险越高、风险越不可容忍。开发中常见降低风险的手段有:质保体系(文档化、流程、认证)、校验方法(方法设计、测试)、安全验证分析(失效分析、故障树分析、失效率)、可靠性分析(工具、零件、人员)。
表1 汽车安全完整性等级ASIL
在标准中,每个阶段都有一个独立标准来描述该阶段的流程和工作内容。在概念阶段的主要活动如下:
这里举个动力电池例子,看一下如何确定ASIL等级。动力电池系统主要包括电池管理系统BMS、单体电池Cell、电子电气EE、线束Wire Harness、热管理系统Thermal和机械结构Mechanical等部件,外部主要与VCS和charger进行交互,并给电机等其他部件提供能量(示意图如下)。
可以采用概念阶段的安全生命周期方法来定义对象工作环境和工作状况。
潜在的工作环境:
>人员设计和调试电池系统
>人员生产电池系统
>人员驾驶车辆
>人员维修电池
>人员回收、报废电池
潜在的工作状况:
> 零件的拆解、替换
>电池包的组装、搬运
>电池测试设备的链接、运行、监控、充电/放电过程中的能量存储和释放
>电池意外状况,例如:非正常安装、变形、跌落、触电、碰撞、浸泡、温湿环境等(常见标准中的各种电池安全测试模拟的状况)
这里例举电池系统高压安全功能的三种潜在失效:
>高压电能失效,车辆失去动力
>高压电下电失效,高压回路一直带电,有触电危险
>状态监控失效,电池出现过充、过放、过温等超出限制的状况
动力电池系统设计到高压安全的功能一般有:BMS功能安全(这个在Arthur的几篇连载中已经展开)、HVIL、碰撞开关、继电器控制/诊断、绝缘检测。其功能安全和失效模式对应关系一般如下所示。
下面举例说明一下ASIL的使用
1) BMS
a) 严重性:如果BMS失效,则不能监控高压电池系统,可能产生错误的动作、或失去保护能力。常见的例子如行驶过程高压回路断开,失去动力;或车辆充电出现过充而不能保护,定义严重性为S3
b) 发生率:高速行驶、充电可以说是每天发生的事情,定义发生率为E4
c) 可控性:车辆失去动力后,经过训练的人员应该可以依靠惯性将车辆驶离主车道;车辆充电着火,驾驶员可以通过门窗逃生,可控性为C2
2) HVIL
a) 严重性:HVIL失效后可能导致高压暴露,为采取高压保护的人员可能出点,严重度定义为S3
b) 发生率:正常情况,人员不会触碰高压部件,维修时才可能接触,发生率为E2
c) 可控性:经过训练的人员可以采取防护来防止触电,定义为C2
3) Crash
a) 严重性:碰撞时,碰撞传感器发出信号请求切断高压回路。若失效,则可能导致二次风险,例如短路造成的起火、爆炸;同时,暴露的高压可能导致人员出点,定义为最高S3
b) 发生率:碰撞检测和出发由气囊传感器执行,因此故障发生率与气囊出发的发生率一样,发生率较低,为E1
c) 可控性:要求BMS检测到碰撞信号的第一时间切断高压,由于车辆在碰撞情况下存在不可预知性,可控性定义为C3
4) Relay
a) 严重性:继电器异常一般包括无法闭合、粘连、触电跳动。功能失效时,可能导致车辆失去动力,定义为S2
b) 发生率:日常停车、驾车、充电、维修都可能涉及继电器动作,定义为E4
c) 可控性:继电器可通过诊断判断是否失效,定义为C2
5) Isolation
a) 严重性:绝缘失效可能导致漏电,绝缘不良的车辆可能导致人员触电,定义为S3
b) 发生率:高压回路通常与车身和低压回路隔离,电池系统外壳与车身连接,正常不会同时接触高压正负极,只有在需要时才拆下来维护,此时可能接触正负极,定义为E2,一年可能发生几次
c) 可控性:维修时,人员通过相应防护防止触电,定义为C1
然后查ASIL表可以知道等级为:
BMS:ASIL C
HVIL:ASIL A
Crash:ASIL A
Relay:ASIL B
Isolation:QM
以上是通过一个简单的例子说明了ASIL等级的确定过程。针对具体产品的ASIL等级还需要针对具体情况进行分析,进行风险识别和评估。
