PHEV车库过充场景的功能安全分析
功能安全的第1步就是你需要明确所要分析的是什么,即项目定义Item Definition。
这个被定义的项目Item至少要包括传感器,E/E控制模块和执行器件。对于电池包来讲,主是指BMS,以及继电器(执行开断回路的指令)。
在分析时,线束可以单独拎出来,也可以视为传感器中的一部分。如下图虚线即为一个PHEV电池包待分析的项目定义,BECM即是BMS。
接下来需要进行HARA(Hazard Analysis and Risk Assessment),通常要对很多种场景进行HARA,然后确定ASIL等级,以及所对应的安全目标。根据每家主机厂的实际要求,来确定哪些的安全目标需要达成。
这里考虑的场景是在私家车库中对PHEV进行充电。根据功能安全严重度等级EUCAR等级的关系,过充的严重度为S3;在整个车的使用模式中,车辆至少10%的时间是在车库进行充电,因此,频率为E4;可控度为C2即一般可控。
这样,严重度-频率-可控度的评分为S3-E4-C2,总得分为9,从而得出对应的ASIL等级为ASIL C,对应的功能安全目标Safety Goal为“防止电芯过充,超过其限值”。
注:S-E-C的评分与EUCAR的等级联系起来,以较好地对电池包带来的危害进行评估。
Severity/严重度:
S0 EUCAR -Level 0-3
S1 EUCAR -Level 4-5
S2 EUCAR -Level 6-7
S3 EUCAR -Level not predictable
Probability/频率:
E1 Very low probability (≤ 0,001)
E2 Low probability (≤ 0,01)
E3 Medium probability (≤ 0,1)
E4 High probability (≤ 1)
Controllability/可控性:
C0 controllable in general
C1 Simply controllable
C2 Normally controllable
C3 Difficult controllable
有了安全目标之后,利用故障树FTA进行分析,以得出功能安全概念FSC,如下所示。此处没有将过热和内短路考虑在内。
形成功能安全概念FSC之后,需要由FSC得出功能安全需求FSR(functional safety requirement),如这里的FSR01可以为“防止电芯过充”。此处需要根据电芯的安全限值来设计硬件和软件中的数值,做为判断过充的依据。下图是一个参考。
定义好FSR01之后,继续利用故障树的方法,不断向下进行分析,得到技术安全需求TSR,如下所示。TSR再向下即得到硬件层面和软件层面的需求,如监控电路Battery Monitoring Integrated Circuit。