摘 要:为明确电池管理系统功能安全完整性等级,利用风险图分析法,进行了电池管理系统功能安全的定性研究。结果表明:通过考虑与特定危险相关的可容忍风险,建立组合的6个风险参数和与4个安全完整性等级之间的关系。结合BMS风险参数与类别对应关系,梳理出以后果、危险区的频率和暴露时间、避免危险事件的可能性和不期望事件发生的概率等4项参数对应的13个具体条目。 关键词:风险图;电池管理系统;功能安全;定性分析 0 引言 随着电池管理系统在新能源电动汽车行业的日益发展,国内外颁布实施的道路车辆[[i],[ii]]、电气电子[[iii],[iv]]安全相关功能安全标准也在不断完善。目前功能安全完整性的研究主要侧重于石油化工[[v]]、过程控制、机械装置、仪器仪表[[vi],[vii]]等领域,而针对电动汽车电池管理系统的研究较少。本文利用风险图分析法,结合电池管理系统功能安全特性 ,定性研究了电动汽车电池管理系统的功能安全特性。 1 电池管理系统功能安全 1.1 电池管理系统及其功能 电动汽车电池管理系统(Battery Management System,BMS)是监视蓄电池的状态(温度、电压、荷电状态等),可以为蓄电池提供通信、安全、电芯均衡及管理控制,并提供与应用设备通信接口的系统。BMS主要功能有:测量功能(电压,电流信号监测,电池包温度,绝缘电阻,高压互锁),估算功能(荷电状态和健康状态估计,均衡和电池功率限制等),其他功能(继电器控制,热控制、故障诊断及报警,容错运行等)。BMS功能的技术识别,是后续功能安全相关系统失效引发风险参数判定与路径映射工作的理论基础。 1.2 功能安全评估方法 目前功能安全评估方法主要分为定性、半定量和定量等三类方法。目前暂无一种方法适用于所有应用,因此有必要根据需要进行选择。具体包括:风险图法、危险事件严重性矩阵、保护层分析法、平均危险失效概率法等。为确保被研究对象的风险能降低到指定的定量数值情况且使评估结果比可容忍风险要求更高,同时不考虑共因失效和其他保护层的共因问题,本文采用风险图法进行电池管理系统的安全完整性等级的定性研究。 2 风险图分析 2.1 模型构成 风险图的数学模型表达式为: R=(f,C) 其中,R——没有安全相关系统时的风险; f——没有安全相关系统时的危险事件频率; C——危险事件的后果。 由此引出的另外3个风险参数分别为: F——暴露于危险区域的频率、时间; P——无法避免危险事件的可能性; W——不期望事件发生的概率。 以上参数为风险图分析法中的基本构成要素。 2.2 实施方案 具体实施步骤如下:首先明确风险降低评估的起始点;其次,由危险事件的后果引出映射路径;然后再做下一步延伸对应暴露于危险区域的频率、时间,以及无法避免危险事件发生的概率;最终,针对不期望事件发生的概率罗列安全完整性等级的划分表。典型的风险图表达形式如图1所示。 
图1 风险图典型表达形式 注:“a”表示没有特殊的安全要求;“b”表示一个电气电子可编程电子安全相关系统无法满足要求。 风险图法难以考虑要求源和电气电子可编程电子安全相关系统所使用设备之间相关失效的可能性。因此可能导致对电气电子可编程电子安全相关系统有效性的高估。对风险图的校准时如果包括高于每年一次的要求率,则采用风险图导出的SIL要求可能高于需求,此时应考虑采用其他分析方法。 2.3 风险参数对应类别 为了使风险图定性判定具体化,在编制过程参照风险参数进行了类别分解,以便为最终安全完整性等级划分的路径形成明确的映射关系。典型的风险参数与类别对应关系为: 后果(C):C1~3分别表示人员轻伤、人员重伤和人员死亡; 危险区的频率和暴露时间(F):F1~2分别表示低频和高频; 避免危险事件的可能性(P):P1~2分别表示可能和几乎不可能; 不期望事件发生的概率(W):W1~2分别表示小概率和大概率。 3 BMS风险图分析 3.1 BMS风险图 根据前述电池管理系统的实际工作情况与功能类别,编制以BMS安全相关系统失效为评估起始点,包含10个风险参数输出的风险图映射关系如图2所示。 
图2 BMS风险图 注:安全完整性等级(SIL)共为4个等级;“-”表示无安全要求;“a”和“b”代表含义同图1注释。 4 结论 本文利用风险图定性分析方法,对电动汽车的电池管理系统开展了功能安全研究。主要结论有: (1)电池管理系统作为电动汽车 “电池系统”的核心功能部件,对其进行功能安全评估有利于整车的风险控制工作。风险降低评估的起始点,是电池管理系统功能安全评估中的关键边界条件。 (2)风险图分析法针对电池管理系统的功能安全定性分析,适用于校准的年要求率低于一次的应用场景。因此在进行定性方法选择时需注意其适用条件。
[[i]] ISO technical committee ISO/TC 22, Road vehicles, Subcommittee SC 32. Road vehicles - Functional safety: Part 9: Automotive safety integrity level (ASIL)-oriented and safety-oriented analyses: ISO 26262-9 2018[S]. Switzerland, 2018: 12. [[ii]] 全国汽车标准化技术委员会. 道路车辆 功能安全: 第9部分 以汽车安全完整性等级为导向和以安全为导向的分析: GB/T 34590.9-2017[S]. 北京: 中国标准出版社, 2017: 10. [[iii]] IEC technical committee 65. Functional safety of electrical/electronic/programmable electronic safety-related systems: Part 5: Examples of methods for the determination of safety integrity levels: IEC 61508-5 2010[S]. Switzerland, 2010: 4. [[iv]] 全国工业过程测量控制和自动化标准化技术委员会. 电气电子可编程电子安全相关系统的功能安全: 第5部分 确定安全完整性等级的方法示例: GB/T 20438.5-2017[S]. 北京: 中国标准出版社, 2017: 12. [[v]] 陈修峰. 安全系统安全完整性等级验证方法比较研究[J]. 中国石油和化工标准与质量, 2015, 35(23): 36-39. [[vi]] 俞文光, 吴少国, 柏立悦, 等. 安全仪表系统SIL验证方法选择与实施[J]. 电工技术. 2018, (24): 130-133. [[vii]] 陈好, 贾媛, 许晓丽. 安全完整性等级分析方法的应用研究[J]. 石油化工自动化, 2011, 47(1): 23-25. |