|
電車資源訊:
ISO 26262(Road vehicles- Functional safety)名稱為“道路車輛-功能安全”,旨在提高汽車的安全性�。ISO26262中常見的工作之一是確定“汽車功能安全完整性等級ASIL”,通過三個指標(嚴重性S、發(fā)生概率E��、可控性C)評價��。 嚴重性S:S0~S3,表示人員可能造成傷害的級別���。其中S0沒有傷害,S3致命傷害 發(fā)生率E:E0~E4,表示這個風(fēng)險在實際應(yīng)用中發(fā)生的概率��。其中,E0不可能發(fā)生,E4常見的 可控性C:C0~C3,表示這個風(fēng)險發(fā)生后人員采取措施控制后可以避免傷害的能力�。其中C0表示總是可控的,C3表示很難���、或無法控制 上面三個參數(shù)確定后,就可以使用ASIL等級表來確定等級�。其中,QM表示不需要特別的功能安全流程,只需要正常質(zhì)量管理��。ASIL等級A����、B、C���、D,越往后表示風(fēng)險越高�、風(fēng)險越不可容忍�。開發(fā)中常見降低風(fēng)險的手段有:質(zhì)保體系(文檔化、流程��、認證)����、校驗方法(方法設(shè)計、測試)���、安全驗證分析(失效分析�、故障樹分析�����、失效率)���、可靠性分析(工具��、零件���、人員)��。 表1 汽車安全完整性等級ASIL 
在標準中,每個階段都有一個獨立標準來描述該階段的流程和工作內(nèi)容���。在概念階段的主要活動如下: 
這里舉個動力電池例子,看一下如何確定ASIL等級。動力電池系統(tǒng)主要包括電池管理系統(tǒng)BMS�、單體電池Cell、電子電氣EE���、線束Wire Harness�、熱管理系統(tǒng)Thermal和機械結(jié)構(gòu)Mechanical等部件,外部主要與VCS和charger進行交互,并給電機等其他部件提供能量(示意圖如下)��。 
可以采用概念階段的安全生命周期方法來定義對象工作環(huán)境和工作狀況��。 潛在的工作環(huán)境: >人員設(shè)計和調(diào)試電池系統(tǒng) >人員生產(chǎn)電池系統(tǒng) >人員駕駛車輛 >人員維修電池 >人員回收�����、報廢電池 潛在的工作狀況: > 零件的拆解�����、替換 >電池包的組裝����、搬運 >電池測試設(shè)備的鏈接�����、運行、監(jiān)控��、充電/放電過程中的能量存儲和釋放 >電池意外狀況,例如:非正常安裝�、變形、跌落��、觸電��、碰撞���、浸泡�、溫濕環(huán)境等(常見標準中的各種電池安全測試模擬的狀況) 這里例舉電池系統(tǒng)高壓安全功能的三種潛在失效: >高壓電能失效,車輛失去動力 >高壓電下電失效,高壓回路一直帶電,有觸電危險 >狀態(tài)監(jiān)控失效,電池出現(xiàn)過充�、過放、過溫等超出限制的狀況 動力電池系統(tǒng)設(shè)計到高壓安全的功能一般有:BMS功能安全(這個在Arthur的幾篇連載中已經(jīng)展開)�����、HVIL����、碰撞開關(guān)�����、繼電器控制/診斷��、絕緣檢測�。其功能安全和失效模式對應(yīng)關(guān)系一般如下所示�。 
下面舉例說明一下ASIL的使用 1) BMS a) 嚴重性:如果BMS失效,則不能監(jiān)控高壓電池系統(tǒng),可能產(chǎn)生錯誤的動作、或失去保護能力��。常見的例子如行駛過程高壓回路斷開,失去動力;或車輛充電出現(xiàn)過充而不能保護,定義嚴重性為S3 b) 發(fā)生率:高速行駛����、充電可以說是每天發(fā)生的事情,定義發(fā)生率為E4 c) 可控性:車輛失去動力后,經(jīng)過訓(xùn)練的人員應(yīng)該可以依靠慣性將車輛駛離主車道;車輛充電著火,駕駛員可以通過門窗逃生,可控性為C2 2) HVIL a) 嚴重性:HVIL失效后可能導(dǎo)致高壓暴露,為采取高壓保護的人員可能出點,嚴重度定義為S3 b) 發(fā)生率:正常情況,人員不會觸碰高壓部件,維修時才可能接觸,發(fā)生率為E2 c) 可控性:經(jīng)過訓(xùn)練的人員可以采取防護來防止觸電,定義為C2 3) Crash a) 嚴重性:碰撞時,碰撞傳感器發(fā)出信號請求切斷高壓回路。若失效,則可能導(dǎo)致二次風(fēng)險,例如短路造成的起火����、爆炸;同時,暴露的高壓可能導(dǎo)致人員出點,定義為最高S3 b) 發(fā)生率:碰撞檢測和出發(fā)由氣囊傳感器執(zhí)行,因此故障發(fā)生率與氣囊出發(fā)的發(fā)生率一樣,發(fā)生率較低,為E1 c) 可控性:要求BMS檢測到碰撞信號的第一時間切斷高壓,由于車輛在碰撞情況下存在不可預(yù)知性,可控性定義為C3 4) Relay a) 嚴重性:繼電器異常一般包括無法閉合、粘連����、觸電跳動。功能失效時,可能導(dǎo)致車輛失去動力,定義為S2 b) 發(fā)生率:日常停車��、駕車、充電�、維修都可能涉及繼電器動作,定義為E4 c) 可控性:繼電器可通過診斷判斷是否失效,定義為C2 5) Isolation a) 嚴重性:絕緣失效可能導(dǎo)致漏電,絕緣不良的車輛可能導(dǎo)致人員觸電,定義為S3 b) 發(fā)生率:高壓回路通常與車身和低壓回路隔離,電池系統(tǒng)外殼與車身連接,正常不會同時接觸高壓正負極,只有在需要時才拆下來維護,此時可能接觸正負極,定義為E2,一年可能發(fā)生幾次 c) 可控性:維修時,人員通過相應(yīng)防護防止觸電,定義為C1 然后查ASIL表可以知道等級為: BMS:ASIL C HVIL:ASIL A Crash:ASIL A Relay:ASIL B Isolation:QM 以上是通過一個簡單的例子說明了ASIL等級的確定過程。針對具體產(chǎn)品的ASIL等級還需要針對具體情況進行分析,進行風(fēng)險識別和評估�����。
|
