创新 • 创优 • 创见
搜索
当前位置:主页 > 新闻资讯 >

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

时间:  2019-07-31 15:04   来源:  捷氢科技    作者:  网络转载

[汽车总站网 www.chianautoms.com欢迎你]

随着新能源汽车电子电气系统的日趋复杂和高度集成化,越来越多的OEM厂商重视电子电气(E/E)系统功能安全。功能安全有别于高压电气安全、碰撞安全等等,其重点保证汽车E/E系统的安全功能在面对各种严酷条件时不失效,并保证相关安全风险(系统性失效或随机硬件失效导致的功能失效或不足等)控制在可接受的范围之内从而保证驾驶员和路人的安全。对于汽车电子,相比较传统的产品高质量要求外,还必须满足对应功能安全等级带来的更高的软硬件设计要求以及管理流程,ISO 26262则制定了相应的设计需求。

氢燃料电池系统作为动力来源,也包含了大量的E/E系统,如下图所示,其中空气路、氢气路、冷却路多为泵类负载型ECU。其内部ECU的功能安全工作开展,也极其重要。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

功能安全定义

功能安全,指的是“不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险”,英文定义为“Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems”。在ISO 26262第一版(2011版)中,适用范围仅局限在重量不超过3.5t的乘用车。而第二版(2018版)中,将卡车、公共汽车、摩托车也涵盖在内。

常见术语

ASIL: automotive safety integrity level 汽车安全完整性等级

FSC/FSR: Functional Safety Concept/ Requirement功能安全概念/要求

SEooC: Safety Element out of Context独立安全单元

FMEDA: Failure Mode Effects and Diagnostics Analysis 失效模式影响和诊断分析

FTTI:Fault Tolerant Time Interval,故障容错时间间隔

燃料电池系统的功能安全

功能安全工作开展的基本流程

功能安全的“V”流程可参考ISO 26262标准,下图为整理出来的主导分析过程。通常会在电气系统设计之初定义好系统的主要功能,通过FHA、头脑风暴等方法,识别出相关功能异常带来的危害(一般为功能对应的ASIL等级),并制定安全目标,进而转化为系统或子系统的软硬件技术需求,最后通过相关试验进行验证。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

燃料电池系统的功能安全举例

以燃料电池系统为例,在系统研发时,我们可以借助SEooC方式,先设定好整车边界条件,对相关项进行定义,然后定义相关功能,并将各功能分配到子系统或零部件,接下来对各功能引起的危害进行分析,进而对各功能ASIL等级进行定义,最后形成技术需求。

相关性定义:燃料电池的相关项定义如下图所示:

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

在相关项中,我们需要针对功能性要求、非功能性要求以及接口做好统计。以燃料电池FCU为例,其功能性要求如下表所示,其中主导功能为燃料电池系统管理和给整车提供电能,划分主导功能后,可以继续列举其所包含的子功能。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全
燃料电池系统FCU功能划分

危害分析和风险评估

接下来我们可以通过FHA、HAZOP或头脑风暴等办法去识别相关功能异常后带来的危害,以上述子功能F01.01为例,我们将其功能进一步分解为控制空压机的转速命令,分析时采用一些关键字(如No, More, Less,Early,Late …)需要注意的是,确定功能故障及危害时,我们不要考虑产品内部现有的安全机制。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

针对上表格分析得到的影响,接下来可以通过危害度(Severity)、暴露率(Exposure)、可控制度(Controllability)三个维度进行ASIL等级划分。S、E、C的划分参考下图定义。这里以车辆失去动力为例,并假设车辆在高速上超车时,经过分析,S为2,E为2,C为3,得到ASIL等级为A。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

功能安全概念

从上述ASIL等级划分后,接下来可以制定功能安全概念,功能安全概念的目的是从安全目标中得到功能安全需求(FSR),并将该需求分配给相关项的初步架构要素或外部措施。这里可以使用FTA、FMEA等工具。例如:动力失去的预防(Loss of Motive Power by fuel cell system shall be prevented)分配到空压机后,其FSR部分推导示例如下所示。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

ASIL等级划分后,还需针对ASIL等级较高的危害进行分解并分配到相关ECU和元素,可参考下图所示:

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

系统开发

通过上述FSR的制定,接下来需要制定系统技术安全需求规范(TSR),此过程主要完成功能安全设计架构。包括搜集法律法规的要求、企业平台开发策略的要求、定义单点故障和潜伏故障度量的目标值、探测及控制措施等等。具体可参考相关标准。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

硬件开发与测试

硬件开发与设计主要包含硬件安全需求的制定,软硬件接口的定义、硬件设计阶段的安全分析、硬件架构指标的计算以及硬件的集成与测试。下图假设为燃料电池高压DC/DC的硬件架构图。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

如果从技术安全需求中得到的要求为过压检测,则其硬件安全需求可以如下图所示:

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

假如,燃料电池系统分解到DC/DC的过压检测功能等级为ASIL C,则下图硬件检测电路中的参考电压Vref值也需要加入硬件电路进行检测。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

硬件设计中最为重要的是对硬件架构指标和硬件随机失效指标的量化。相关内容可以参考ISO 26262硬件设计部分。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

软件开发与测试

软件开发与测试包含软件安全需求、软件架构设计、软件单元设计和软件功能安全测试。如果软件功能的失效可能导致违背分配到软件的技术安全,就需要对这种软件功能提出功能安全需求。还是以空压机的速度指令为例,下图在FCU的软件架构上,除了包含经算法解耦后得到的速度指令层(level 1)外,还加入了与空气背压阀开度、空气压力、电堆电流的监控使能层(level 2)。当然除此之外,26262还规定了多种错误探测机制及处理机制,以保证相关功能满足对应的ASIL等级要求。详细可参考相关标准。

详解燃料电池系统功能安全知识,保证驾驶员和路人安全

综上所述,功能安全重点针对E/E系统,并关注系统故障后的行为而并非系统原有功能或性能,功能安全的开展涵盖产品全生命周期,包含设计、管理、生产、运行、维护等多个环节,需要投入大量的工作。燃料电池系统作为汽车的能量系统之一,其E/E系统的功能安全也需要越来越多的关注,并与氢安全、高压电气安全等一起保障整车行驶安全。安全问题重于泰山,在安全的道路上,我们将一如既往的投入分析和分解。
 

[汽车总站网 www.chianautoms.com欢迎你]

汽车总站网

  • www.chinaautoms.com/由北京茂胜文化传媒有限公司版权所有@2019

    京ICP备18056018号

    合作QQ: 305140880

    地址:北京市朝阳区清河营国际城乐想汇3号楼1612室