|
電車資源訊:
ISO 26262(Road vehicles- Functional safety)名稱為“道路車輛-功能安全”,旨在提高汽車的安全性。ISO26262中常見的工作之一是確定“汽車功能安全完整性等級(jí)ASIL”,通過三個(gè)指標(biāo)(嚴(yán)重性S���、發(fā)生概率E����、可控性C)評(píng)價(jià)�����。 嚴(yán)重性S:S0~S3,表示人員可能造成傷害的級(jí)別����。其中S0沒有傷害,S3致命傷害 發(fā)生率E:E0~E4,表示這個(gè)風(fēng)險(xiǎn)在實(shí)際應(yīng)用中發(fā)生的概率。其中,E0不可能發(fā)生,E4常見的 可控性C:C0~C3,表示這個(gè)風(fēng)險(xiǎn)發(fā)生后人員采取措施控制后可以避免傷害的能力�。其中C0表示總是可控的,C3表示很難、或無法控制 上面三個(gè)參數(shù)確定后,就可以使用ASIL等級(jí)表來確定等級(jí)。其中,QM表示不需要特別的功能安全流程,只需要正常質(zhì)量管理���。ASIL等級(jí)A��、B�、C�、D,越往后表示風(fēng)險(xiǎn)越高、風(fēng)險(xiǎn)越不可容忍��。開發(fā)中常見降低風(fēng)險(xiǎn)的手段有:質(zhì)保體系(文檔化���、流程����、認(rèn)證)��、校驗(yàn)方法(方法設(shè)計(jì)����、測(cè)試)、安全驗(yàn)證分析(失效分析���、故障樹分析����、失效率)、可靠性分析(工具�����、零件�����、人員)��。 表1 汽車安全完整性等級(jí)ASIL 
在標(biāo)準(zhǔn)中,每個(gè)階段都有一個(gè)獨(dú)立標(biāo)準(zhǔn)來描述該階段的流程和工作內(nèi)容��。在概念階段的主要活動(dòng)如下: 
這里舉個(gè)動(dòng)力電池例子,看一下如何確定ASIL等級(jí)���。動(dòng)力電池系統(tǒng)主要包括電池管理系統(tǒng)BMS、單體電池Cell��、電子電氣EE����、線束Wire Harness、熱管理系統(tǒng)Thermal和機(jī)械結(jié)構(gòu)Mechanical等部件,外部主要與VCS和charger進(jìn)行交互,并給電機(jī)等其他部件提供能量(示意圖如下)����。 
可以采用概念階段的安全生命周期方法來定義對(duì)象工作環(huán)境和工作狀況��。 潛在的工作環(huán)境: >人員設(shè)計(jì)和調(diào)試電池系統(tǒng) >人員生產(chǎn)電池系統(tǒng) >人員駕駛車輛 >人員維修電池 >人員回收�����、報(bào)廢電池 潛在的工作狀況: > 零件的拆解����、替換 >電池包的組裝����、搬運(yùn) >電池測(cè)試設(shè)備的鏈接、運(yùn)行�����、監(jiān)控�����、充電/放電過程中的能量存儲(chǔ)和釋放 >電池意外狀況,例如:非正常安裝���、變形�����、跌落�、觸電、碰撞����、浸泡、溫濕環(huán)境等(常見標(biāo)準(zhǔn)中的各種電池安全測(cè)試模擬的狀況) 這里例舉電池系統(tǒng)高壓安全功能的三種潛在失效: >高壓電能失效,車輛失去動(dòng)力 >高壓電下電失效,高壓回路一直帶電,有觸電危險(xiǎn) >狀態(tài)監(jiān)控失效,電池出現(xiàn)過充����、過放����、過溫等超出限制的狀況 動(dòng)力電池系統(tǒng)設(shè)計(jì)到高壓安全的功能一般有:BMS功能安全(這個(gè)在Arthur的幾篇連載中已經(jīng)展開)、HVIL���、碰撞開關(guān)�����、繼電器控制/診斷����、絕緣檢測(cè)。其功能安全和失效模式對(duì)應(yīng)關(guān)系一般如下所示�����。 
下面舉例說明一下ASIL的使用 1) BMS a) 嚴(yán)重性:如果BMS失效,則不能監(jiān)控高壓電池系統(tǒng),可能產(chǎn)生錯(cuò)誤的動(dòng)作����、或失去保護(hù)能力。常見的例子如行駛過程高壓回路斷開,失去動(dòng)力;或車輛充電出現(xiàn)過充而不能保護(hù),定義嚴(yán)重性為S3 b) 發(fā)生率:高速行駛����、充電可以說是每天發(fā)生的事情,定義發(fā)生率為E4 c) 可控性:車輛失去動(dòng)力后,經(jīng)過訓(xùn)練的人員應(yīng)該可以依靠慣性將車輛駛離主車道;車輛充電著火,駕駛員可以通過門窗逃生,可控性為C2 2) HVIL a) 嚴(yán)重性:HVIL失效后可能導(dǎo)致高壓暴露,為采取高壓保護(hù)的人員可能出點(diǎn),嚴(yán)重度定義為S3 b) 發(fā)生率:正常情況,人員不會(huì)觸碰高壓部件,維修時(shí)才可能接觸,發(fā)生率為E2 c) 可控性:經(jīng)過訓(xùn)練的人員可以采取防護(hù)來防止觸電,定義為C2 3) Crash a) 嚴(yán)重性:碰撞時(shí),碰撞傳感器發(fā)出信號(hào)請(qǐng)求切斷高壓回路。若失效,則可能導(dǎo)致二次風(fēng)險(xiǎn),例如短路造成的起火���、爆炸;同時(shí),暴露的高壓可能導(dǎo)致人員出點(diǎn),定義為最高S3 b) 發(fā)生率:碰撞檢測(cè)和出發(fā)由氣囊傳感器執(zhí)行,因此故障發(fā)生率與氣囊出發(fā)的發(fā)生率一樣,發(fā)生率較低,為E1 c) 可控性:要求BMS檢測(cè)到碰撞信號(hào)的第一時(shí)間切斷高壓,由于車輛在碰撞情況下存在不可預(yù)知性,可控性定義為C3 4) Relay a) 嚴(yán)重性:繼電器異常一般包括無法閉合�、粘連�、觸電跳動(dòng)。功能失效時(shí),可能導(dǎo)致車輛失去動(dòng)力,定義為S2 b) 發(fā)生率:日常停車�、駕車、充電��、維修都可能涉及繼電器動(dòng)作,定義為E4 c) 可控性:繼電器可通過診斷判斷是否失效,定義為C2 5) Isolation a) 嚴(yán)重性:絕緣失效可能導(dǎo)致漏電,絕緣不良的車輛可能導(dǎo)致人員觸電,定義為S3 b) 發(fā)生率:高壓回路通常與車身和低壓回路隔離,電池系統(tǒng)外殼與車身連接,正常不會(huì)同時(shí)接觸高壓正負(fù)極,只有在需要時(shí)才拆下來維護(hù),此時(shí)可能接觸正負(fù)極,定義為E2,一年可能發(fā)生幾次 c) 可控性:維修時(shí),人員通過相應(yīng)防護(hù)防止觸電,定義為C1 然后查ASIL表可以知道等級(jí)為: BMS:ASIL C HVIL:ASIL A Crash:ASIL A Relay:ASIL B Isolation:QM 以上是通過一個(gè)簡(jiǎn)單的例子說明了ASIL等級(jí)的確定過程�。針對(duì)具體產(chǎn)品的ASIL等級(jí)還需要針對(duì)具體情況進(jìn)行分析,進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估。
|
