在進(jìn)行 HARA 之前��,采用以下簡(jiǎn)化假設(shè)來(lái)限制分析范圍:
- 項(xiàng)目功能(第 2.1.1 節(jié)):OBC 采用單級(jí)矩陣轉(zhuǎn)換器拓?fù)?����,主要功能包括功率轉(zhuǎn)換���、電壓調(diào)節(jié)�����、電隔離�、保護(hù)��、通信和診斷。
- 系統(tǒng)邊界(第 2.1.2 節(jié)):僅 OBC 系統(tǒng)在范圍內(nèi)����;不包括 HV-LV DC?DC 轉(zhuǎn)換器��、PDU 和任何其他電子控制單元�。
- 外部接口(第 2.1.3 節(jié)):?jiǎn)蝹€(gè) MCU 控制 OBC。此 MCU 專用于 OBC 控制以及接合交流電源插座及 BMS/VCU�����。
- 操作模式(第 2.1.4 節(jié)):主要功能是為高壓電池充電��,分析僅關(guān)注快速充電操作模式�����。
定義每一項(xiàng)的功能、流程和交互后����,下一個(gè)階段是 HARA。根據(jù)已建立的假設(shè)和分析���,每個(gè)子系統(tǒng)中的任何錯(cuò)誤行為都可能導(dǎo)致潛在的危險(xiǎn)事件����,例如直流過壓���、直流母線過流和熱故障����。
必須使用 ISO 26262 分別評(píng)估每種危險(xiǎn):2018 年嚴(yán)重性 (S)����、暴露程度 (E) 及可控性 (C) 標(biāo)準(zhǔn)����。以熱故障為例:
- 嚴(yán)重程度:熱故障的最嚴(yán)重后果是車輛起火�,這可能會(huì)導(dǎo)致危及生命或致命傷害。因此�����,該事件被分配給 S3。
- 暴露程度:在 OBC 使用曲線中��,充電器在車輛總運(yùn)行時(shí)間的適度部分內(nèi)處于活動(dòng)狀態(tài)��。這對(duì)應(yīng)于暴露等級(jí) E3�。
- 可控性:當(dāng)車輛在充電過程中處于靜止?fàn)顟B(tài)時(shí)�����,駕駛員可以立即中斷充電電路(例如,斷開充電器或打開接觸器)�����。因此���,該事件被視為 C2。
根據(jù)表 1-3����,組合 S3 – E3 – C2 對(duì)應(yīng)于 ASIL?B,因此熱故障風(fēng)險(xiǎn)被指定為 ASIL?B���。
關(guān)于直流母線過流�,這不會(huì)對(duì)高壓電池產(chǎn)生重大影響���,因?yàn)楦邏弘姵氐淖畲蟪潆婋娏鬟h(yuǎn)高于交流充電的電流����。但是�����,過流會(huì)導(dǎo)致 OBC 輸出側(cè)的功率器件過熱并因短路而發(fā)生故障��。短路故障后��,高壓電池會(huì)形成一條通過 OBC 的低阻抗路徑���,從而可能導(dǎo)致嚴(yán)重的系統(tǒng)過熱,在極端情況下可能導(dǎo)致車輛火災(zāi)���。暴露程度及可控性水平與熱失效相同�����。根據(jù)表 1-3,組合 S3–E3–C2 對(duì)應(yīng)于 ASIL?B�����,因此直流母線過流危險(xiǎn)被指定為 ASIL?B�。
對(duì)于直流母線過壓����,它會(huì)導(dǎo)致 OBC 輸出側(cè)的功率器件出現(xiàn)過壓擊穿�,并且過壓也會(huì)對(duì)高壓電池上的鋰離子電池造成危險(xiǎn),這會(huì)進(jìn)一步導(dǎo)致系統(tǒng)過熱���,甚至導(dǎo)致車輛起火����。暴露程度及可控性水平與熱失效相同�。根據(jù)表 1-3��,組合 S3–E3–C2 對(duì)應(yīng)于 ASIL?B�����,因此直流母線過壓危險(xiǎn)被指定為 ASIL?B。
需要分析所有危險(xiǎn)事件����。由于該評(píng)估通常由系統(tǒng)集成商執(zhí)行,因此此處不介紹每種危險(xiǎn)的詳細(xì)評(píng)估����。HAZOP 是一種系統(tǒng)危險(xiǎn)分析方法,可提供 7 個(gè)指導(dǎo)詞���。表 2-7 示出了 HARA 分析的示例�����。HAZOP 引導(dǎo)詞用于故障行為����。
表 2-7 單級(jí) OBC 的 HARA 分析示例
| ID |
故障行為 |
潛在的車輛級(jí)別危險(xiǎn) |
S |
E |
C |
ASIL |
| H1 |
熱量超出預(yù)期 |
過熱導(dǎo)致車輛起火 |
S3 |
E3 |
C2 |
B |
| H2 |
直流母線電流超出請(qǐng)求值 |
OBC 短路導(dǎo)致的車輛火災(zāi) |
S3 |
E3 |
C2 |
B |
| H3 |
直流母線電壓超出請(qǐng)求值 |
OBC 短路導(dǎo)致的車輛火災(zāi) |
S3 |
E3 |
C2 |
B |
| H4 |
電氣干擾更多 |
雜散控制信號(hào) |
S1 |
E3 |
C2 |
QM |
對(duì)于表 2-7中從 ASIL A 到 ASIL D 的危險(xiǎn)事件,必須至少確定一個(gè)安全目標(biāo)����。功能安全目標(biāo)是滿足安全狀態(tài)要求的高層級(jí)����、技術(shù)無(wú)關(guān)性陳述���。
表 2-8 是 FuSa 目標(biāo)的一個(gè)示例條目。FTTI 值必須得自危險(xiǎn)分析和監(jiān)管要求�。以 SG1 為例���,工作溫度為 65°C,熱故障臨界溫度為 155°C���。對(duì)于一般溫度上升速率 15°C / s��,達(dá)到臨界溫度的時(shí)間為 6s����。500ms FTTI 時(shí)間對(duì)于早期檢測(cè)是保守的��,以允許在級(jí)聯(lián)故障之前進(jìn)行早期干預(yù)�����。
表 2-8 單級(jí) OBC 的 FuSa 目標(biāo)示例
| ID |
安全目標(biāo) |
ASIL |
安全狀態(tài) |
FTTI |
| SG1 |
避免車輛因熱故障而起火�����。 |
B |
OBC 關(guān)斷并切換至緊急操作模式�。 |
由用戶指定 |
| SG2 |
避免由于直流母線過流而導(dǎo)致車輛起火�����。 |
B |
| SG3 |
避免由于直流母線過壓而導(dǎo)致車輛起火���。 |
B |
安全狀態(tài)要求規(guī)定了發(fā)生危險(xiǎn)時(shí)必須觸發(fā)的全系統(tǒng)響應(yīng)。例如�����,SG1 至 SG3 的安全狀態(tài)是 OBC 應(yīng)切換到緊急操作模式�,其中關(guān)鍵操作如下所示����。與雙級(jí) OBC 不同,該架構(gòu)不包含直流鏈路電容器���,因此沒有對(duì)直流鏈路電容器放電的操作��。
- 按順序禁用柵極驅(qū)動(dòng)器����。
- 打開所有接觸器���。
- 將 OBC 輸出總線放電至安全電壓��。
- 記錄故障狀況����。