纯电动汽车防触电功能安全概念设计和验证.pdf

车辆与动力技术2023年第2 期Vehicle&Power Technology文章编号：10 0 9-46 8 7(2 0 2 3)0 2-0 0 50-0 6总第17 0 期纯电动汽车防触电功能安全概念设计和验证白志浩，黄锐锋，陈晓阁，王洪佩，走赵征澜？（1.菏泽职业学院，菏泽2 7 410 0；2.东风汽车集团有限公司技术中心，武汉430 0 58）摘要：纯电动汽车和传统车相比高压部件较多，存在因系统性失效和随机硬件失效而导致车辆出现漏电危害的情况为了避免人员在使用纯电动汽车过程中发生触电风险，文中基于IS026262开发流程和定义的安全分析方法，针对一款实际开发的纯电动汽车整车控制器进行防触电功能安全概念设计，包括相关项定义、危害分析和风险评估、安全目标设定以及功能安全要求制定；最后设计台架测试用例测试结果表明，文中制定的功能安全要求可以有效避免触电危害发生。关键词：纯电动；整车控制器；防触电；功能安全中图分类号：U462.3Anti-electric Shock Functional Safety Concept DesignBAI Zhihao,HUANG Ruifeng，CH EN Xi a o g e ，(1.Heze Vocational College,Heze 274100,China;2.Technical Center of DongfengMotor Group Co.，Lt d.，W u h a n 430 0 58,Ch i n a)Abstract:Compared with traditional vehicles,pure electric vehicles have more high-voltagecomponents.There are situations in which leakage hazards occur in vehicles due to systematic failuresand random hardware failures.In order to avoid the risk of electric shock for personnel during the use ofpure electric vehicles,based on the development process and the defined safety analysis method ofIS026262,this paper conducts a conceptual design of electric shock protection function safety for anactual developed pure electric vehicle controller.It include related items definition,hazard analysis andrisk assessment,safety goal setting and functional safety requirements formulation.Finally,bench testcases are used to validate the proposed design.The test results show that the functional safetyrequirements formulated in this paper can effectively avoid the occurrence of electric shock hazards.Key words:pure eletric;vehicle controller;anti-electric shock;functional safety为了减少燃油车带来的污染问题，各国都在鼓励发展新能源汽车，近年来，新能源汽车市场持续增长，成为汽车行业的重要组成部分.2 0 19上半年国内新能源汽车销售6 1.7 万辆，同比增长49.6%，其中，乘用车56.3万辆，同比增长57.7%.截止到2 0 19年6 月，我国新能源汽车保有量约344万辆：汽车市场的增长带来了经济的繁荣也带来了相应的风险，新能源汽车发生的安全事收稿日期：2 0 2 2-0 8-2 4作者简介：白志浩（1990），男，硕士研究生，研究方向为新能源汽车技术文献标识码：Aand Verification for EVWANG Hongpeil,故包括车辆起火、车辆爆炸、高速抛锚、人员触电等传统的车辆被动安全和主动安全设计已经无法解决上述问题，功能安全设计越来越受到关注功能安全设计从功能实现角度出发，在充分分析故障可能发生原因的基础上，提出一系列的技术要求，最大可能地保证功能的正常实现，大大降低发生故障的概率，目前，国内外大部分整车厂在新产品、尤其是在新能源车型的开发中，已经将功能安全设ZHAO Zhenglan?第2 期计列为开发流程中的重要组成部分，参照的设计开发标准主要是IS026262.主流整车厂在新能源车型开发过程中，主要对三电系统进行功能安全设计，包括电机、电池和电控国内对三电系统开展功能安全设计较早的厂家有北汽新能源、上汽、比亚迪等，并且都取得了相应安全等级认证，其中，北汽新能源是国内第一家三电系统同时获得安全等级认证的企业国外的主流整车厂像特斯拉、大众、宝马也都在新能源车型开发中进行了功能安全设计，并取得了相应的安全等级认证，为了尽可能减少车辆上发生危害人身安全的事故，汽车功能安全设计被越来越多的整车厂所接收.新能源汽车的高压系统的各个节点出现失效时，人体可能接触到高压带电体或导电体，导致电流流经人体造成致命的电击伤害当人体接触到的交流电流超过0.5mA时，就会引起肌肉不自觉的收缩；当接触到的交流电流超过5mA时，已经不能摆脱电极，进而引发心室纤维性颤动、呼吸停止等致命损伤；人体接触到的直流电流超过2 mA时，就会产生痛感和肌肉不自觉的收缩，进而引发心室纤维性颤动、呼吸停止等致命损伤由于电击带来的伤害比较严重，所以有必要针对电击伤害进行防触电功能安全设计文中基于一款实际开发的纯电动汽车整车控制器（VCU），参考IS026262功能安全V型开发流程，详细分析了防触电功能安全概念阶段开发方法，并通过台架测试验证了功能安全要求的符合性。1ISO26262功能安全开发流程简介IS026262是IEC61508对车载E/E系统在功能安全方面的具体应用它适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的系统提供了一个完整的汽车安全生命周期整个功能安全开发基于V型流程开发，包含功能安全设计启动、功能安全概念设计、功能安全系统设计、功能安全软硬件设计、软件单元测试、软件/硬件集成测试、系统集成测试和整车集成测试8 项内容其中，功能安全开发概念阶段主要包括：相关项定义、危害分析和风险评估、安全目标设定、功能安全概念及功能安全要求等内容14文中主要阐述了基于整车控制器防触电功能安全概念设计和验证，通过危害分析、安全分析，设计高压安全白志浩等：纯电动汽车防触电功能安全概念设计和验证加速真空泵踏板硬线LINCAN整车控制器档位控电池管电机管OBC制器理系统理系统DCDd图1整车控制器边界示意图整车控制器通过硬线/CAN（C o n tr o lle r A r e aNetwork：控制器局域网络）/LIN（Lo c a lInterconnectNetwork：本地连接网络）与外界进行交互，综合判断相关信息，经过逻辑判断以后，发出指令给执行器去实现相关功能与整车控制器有关联的环境件包括：电机控制器、电池控制器、充电机控制器、DC/DC（直流/直流）控制器、加速踏板、电动压缩机、PTC（Po s i t i v e T e m p e r a t u r eCoefficient：正温度系数）加热器等文中涉及的整车控制器参与的功能包括：高压上下电、碰撞保护等.整车控制器作为纯电动汽车动力系统的决策部件直接影响着车辆的安全使用，在开发设计过程中，需要对其进行安全分析，识别出它的失效可能带来的危害，并针对这些危害制定出相应安全目标和安全概念.51策略，避免在各种运行条件下人体接触高压，发生高压电击伤害，保证电动汽车使用者的安全。2整车控制器防触电功能安全概念阶段开发2.1相关项定义根据IS026262标准的规定在对某一对象进行功能安全分析之前，需要进行相关项定义，相关项定义包括：功能描述、接口描述、法规要求、环境条件描述等。通过相关项定义可以使设计人员对相关项有一个全面深刻的认识，为后续的功能安全开发划定范围、打好基础文中针对的整车控制器基于一款纯电动汽车，整车控制器的边界描述如图1所示.制动开关水泵真空度传感器电动压缩机PTC加热器522.2危害分析和风险评估在充分理解相关项的前提下，接下来需要对相关项进行危害分析和风险评估以及ASIL等级（a u t o m o t i v e s a f e t y i n t e g r i t y le v e l：汽车安全完整性等级）确定危害分析包括车辆运行场景分析、危害识别和危害事件分类车辆运行场景分析主要进行相关项使用环境及模式分析，既要考虑正确使用车辆的情况，也要考虑不正确使用车辆的情况危危害事件功能失效模式运行场景互锁故障行车绝缘故障行车高压互锁故障上下电绝缘故障互锁故障绝缘故障碰撞保护发生碰撞车辆与动力技术害识别主要对相关项因为功能异常导致车辆出现非预期表现进行分析，危害事件由危害和运行场景组合确定，相同危害在不同运行场景下带来的后果可能不同，需要对危害事件进行分类对危害事件进行分类需要从暴露率（E）、可控性（C）、严重度（S）3个方面进行评估5-8。对整车控制器进行防触电危害分析和风险评估，如表1 所示.表1危害分析和风险评估表严重度 曝光度 可控性安全目标ASIL危害描述S人员接触到高压接插件里面的带电体导致触电S3由于绝缘失效，人接触到高压回路带电体导致触电S3慢充人员接触到高压接插件里面的带电体导致触电慢充由于绝缘失效，人接触到高压回路带电体导致触电快充人员接触到高压接插件里面的带电体导致触电快充由于绝缘失效，人接触到高压回路带电体导致触电因为发生碰撞导致绝缘失效，行车2023年ECE3C3E3C3S3E4S3E4S3E3S3E3S3E1人接触到高压回路带电体导致触电CCC2CC2防止触电CC3CC3CC3A以某纯电动汽车为例，根据功能定义和危害分析识别整车控制系统中与防触电安全相关的危害事件为人体触电，相应ASIL等级为C.2.3整车控制器防触电安全目标设定针对危害事件需要设定一个安全目标，安全目标不表述为技术解决方案而表述为功能目的，可以定义安全状态和容错时间以某纯电动汽车的安全概念设计为例，确定整车控制系统的防触电功能安全目标的安全状态为：高压回路电压降到安全电压以下，容错时间为3s.2.4整车控制器防触电功能安全概念功能安全概念可以理解为功能安全需求，功能安全需求由安全目标导出针对安全目标，通过FTA（f a u l t t r e e a n a l y s i s：故障树分析）对新能源汽车的高压系统进行安全分析和风险分解，故障树分析过程如图2 所示.触电无触电警示接触到带电体间接接触直接接触故障导致触电故障未检测出故障导致触电故障出现时，高压部件继续没有断开工作VCU未发停止工作指令触电时高压直接接触高压部件回路未断开带电体CU未发指令高压回路住动放电失效vCU未请求VCU未请主动放电求下高压图2故障树分析过程进水第2 期经过FTA分析后，分解到整车控制器的功能安全需求如表2 所示.功能安全要求是对功能安全需求的进一步细化，需要定义相应的安全机制，安全机制包括：向安全状态的过度措施、容错时间、安全状态等，功能安全要求911如表3所示.白志浩等：纯电动汽车防触电功能安全概念设计和验证.53表2 防触电功能安全需求安全目标ASIL功能安全需求相应故