【工程师博客】论汽车电池系统的安全设计

1、电池系统本身危害

    正常工作下高压暴露 ASIL=D S3、C3、E4
    碰撞时&后高压暴露 ASIL=B S3、C3、E2
    维护高压暴露 ASIL=B S3、C2、E3
    可燃气体暴露 ASIL=D S3、C3、E4
    有毒气体暴露 ASIL=D S3、C3、E4
    可燃气体暴露 ASIL=D S3、C3、E4
    有毒液体暴露 ASIL=B S3、C1、E4
    可燃液体暴露 ASIL=B S3、C1、E4
    高温部件暴露 ASIL=A S1、C2、E4 皮肤烫伤
    火&点燃源 ASIL=D S3、C3、E4

2）电池系统其他功能安全问题，一些工作的分析由来，其实也是对功能判错的过程

  F001 给高压总线提供能量

（1）错误功能 mf001 需要时，没有提供能量 power not provided to HVDC bus when required
（2）错误功能 mf002 不需要的时候提供能量 unintended power delivery to HVDC bus

  F002 从总线接受能量

（1）错误功能 mf003 无法接受能量
（2）错误功能 mf004 过充超过能量范围
（3）错误功能 mf005 过充超过允许电流

通过对于危害以及原因的系统性分析，通过逻辑图的方式将之联系起来。


这里有一个非常重要的逻辑问题，如下表所示，同样的问题，不同的情况安全等级是不同的。如下表所示，在能量回收的时候，不同车速情况下，能量回收导致的过充，形成的问题，安全等级不同。

车辆正常使用：车辆使用过程中，分为驾驶和充电两个方面。

（1）驾驶状态（低速、中速和高速）
（2）充电状态（交流充电、直流充电）
          ·运输存储
          ·维护保养
          ·车辆事故（车辆碰撞、车辆浸水）

因此，对于一个充电的问题，安全目标就上升到了D级了。这里的数据，当然只是论文里头虚拟的，实际的，就需要拿着测试数据和管安全的来细致的整理应不应该了。

参考文献

1、High-Voltage Battery System Concepts for ISO 26262 Compliance William Taylor and Jody J. Nelson.
2、System Safety and ISO 26262 Compliance for Automotive Lithium-Ion Batteries William Taylor, Gokul Krithivasan, and Jody J. Nelson
3、Application of System Safety Engineering Processes to Advanced Battery Safety Ressler, G