【导读】对于电池系统安全设计,并不仅仅归于单一的功能安全,也不仅仅是电子控制的问题。只有真正经历过靠谱的开发项目,各种边界一起套你头上,你才能明辨哪些优先级高一些,哪些优先级低一些,更能理清楚思路。本文来自网友博客关于电池系统安全设计的一些非常实用的分享,推荐给大家。
1、电池系统本身危害
正常工作下高压暴露 ASIL=D S3、C3、E4
碰撞时&后高压暴露 ASIL=B S3、C3、E2
维护高压暴露 ASIL=B S3、C2、E3
可燃气体暴露 ASIL=D S3、C3、E4
有毒气体暴露 ASIL=D S3、C3、E4
可燃气体暴露 ASIL=D S3、C3、E4
有毒液体暴露 ASIL=B S3、C1、E4
可燃液体暴露 ASIL=B S3、C1、E4
高温部件暴露 ASIL=A S1、C2、E4 皮肤烫伤
火&点燃源 ASIL=D S3、C3、E4
2)电池系统其他功能安全问题,一些工作的分析由来,其实也是对功能判错的过程
F001 给高压总线提供能量
(1)错误功能 mf001 需要时,没有提供能量 power not provided to HVDC bus when required
(2)错误功能 mf002 不需要的时候提供能量 unintended power delivery to HVDC bus
F002 从总线接受能量
(1)错误功能 mf003 无法接受能量
(2)错误功能 mf004 过充超过能量范围
(3)错误功能 mf005 过充超过允许电流
通过对于危害以及原因的系统性分析,通过逻辑图的方式将之联系起来。
这里有一个非常重要的逻辑问题,如下表所示,同样的问题,不同的情况安全等级是不同的。如下表所示,在能量回收的时候,不同车速情况下,能量回收导致的过充,形成的问题,安全等级不同。
车辆正常使用:车辆使用过程中,分为驾驶和充电两个方面。
(1)驾驶状态(低速、中速和高速)
(2)充电状态(交流充电、直流充电)
·运输存储
·维护保养
·车辆事故(车辆碰撞、车辆浸水)
因此,对于一个充电的问题,安全目标就上升到了D级了。这里的数据,当然只是论文里头虚拟的,实际的,就需要拿着测试数据和管安全的来细致的整理应不应该了。
参考文献
1、High-Voltage Battery System Concepts for ISO 26262 Compliance William Taylor and Jody J. Nelson.
2、System Safety and ISO 26262 Compliance for Automotive Lithium-Ion Batteries William Taylor, Gokul Krithivasan, and Jody J. Nelson
3、Application of System Safety Engineering Processes to Advanced Battery Safety Ressler, G
