1整车通用安全
1.1一般设计准则
相对于纯电动车辆而言,氢燃料电池电动汽车的安全问题增加了氢安全相关内容。鉴于氢易燃易爆的特性及整车的电耦合使用环境,氢安全将直接影响到整车的安全性,且比纯电动汽车的安全性更为复杂。燃料电池电动汽车整车氢安全设计的一般原则如下:(1)失效安全原则。在进行氢系统设计时,必须保证即使在某一零部件失效时,也不会因之导致更加严重的后果。换言之,当系统单一零部件出现故障时,系统是安全的。
(2)最简化原则。在进行氢系统设计时,在满足安全需求和使用需求的前 下,系统应尽可能简化,避免冗余。
(3)区域布置原则。在进行氢系统安装时,应将系统零部件尽可能集中布置,并根据压力等级进行分区域布置。
(4)氢电隔离原则。在进行氢系统安装时,应将氢系统与电气系统进行有效隔离。隔离措施可以是系统的物理隔离,也可以是针对可能产生火花的零部件自身的隔离,例如采用防爆电器。
1.2失效评估及失效安全设计
1.2.1失效安全设计一般原则
整车通用安全的核心在于保护人员免受危险因素的影响。针对燃料电池电动汽车的潜在失效进行对应的安全设计,燃料电池电动汽车的潜在失效后果主要包括:(1)车辆运行过程系统零件故障和/或由外部事件(如碰撞)导致车辆系统损坏;
(2)车辆运行、维修过程中出现由操作失误引发的危险(例如高电压、极端温度、高气压,以及易燃或有毒流体);
(3)由子系统或部件故障引起的车辆系统损坏,无法正常使用。
1.2.2危害的隔离和分离
燃料电池电动汽车重点考虑氢的有效隔离,常用的设计方案是将可能产生电弧或火花等火源形式的点与氢系统进行隔离,或将可能产生静电、电弧及火花的地方可靠接地。
设计层面,氢系统应优先选择利于通风释放的部位进行布置,若无法满足需增加必要的通风设计以避免氢气聚集引发危险;同时氢系统与电气系统尤其是高压电气系统需保持一定
1/53
的安全距离(如对商用车,安全距离重点关注线束接插件距离氢气管接头的距离,一般大于100mm以上;如果接头有防护,则距离可适当减小),避免电火花的能量引燃氢气;车辆故障或碰撞事故时,氢系统可基于温度、压力、流量等物理量实现快速断氢。
使用层面,车辆加氢过程禁止上高压,可仅唤醒必要的控制器(实现加氢功能以及加氢过程的监测功能),减少电气系统与氢系统之间的耦合风险。
1.2.3失效安全设计
汽车安全危害分析和风险评估的目的是识别相关项中因故障而引起的危害,并对危害进行归类,制定防止危害事件发生或减轻危害程度的安全目标,以避免不合理的风险。基于设计FMEA 与过程FMEA,失效安全从功能安全、系统安全、硬件安全和软件安全等四个方面开展设计工作。
1.2.3.1功能安全设计
基于GB/T34590.2-2017相关规定,根据ASIL等级的安全目标进行功能安全审核和评估工作。燃料电池电动汽车的功能安全设计要求参考GB/T24549-2009的相关内容。针对车辆的不同故障等级,制定不同的故障处理机制,表1-1给出了某车型设计中的故障分级及处理机制示例。
表1-1 燃料电池电动汽车故障分级及处理机制
1.2.3.2系统安全设计
基于GB/T34590.4-2017相关规定,根据功能安全概念和系统架构设想定义技术安全要求,明确软硬件的外部接口、限制条件和系统配置要求等;同时定义系统对于影响实现安全目标的激励的响应,包括失效和相关的激励组合,并与每个相关运行模式及规定的系统状态进行组合。系统架构设计过程中,为保证系统安全,应重点关注以下要素:(1)应消除已识别出的引起系统性失效的内/外部原因,或减轻它们的影响;
(2)为减少系统性失效,宜应用值得信赖的汽车系统设计原则,包括技术安全概念的再利用、要素设计的再利用、探测和控制失效机制的再利用、标准化接口的再利用。
1.2.3.3硬件安全设计
从硬件安全要求定义、硬件设计及实现、硬件架构评估及失效分析、硬件系统集成及测
2/53
试等四个方面进行硬件安全设计工作,参考GB/T34590.5-2017。
硬件安全要求定义:基于技术安全概念和系统设计规范,定义硬件安全要求,同时细化控制安全设计涉及的软硬件接口(HSI)规范。硬件安全要求设计应包含以下内容:(1)具备覆盖相关的瞬态故障(例如所用技术而产生的瞬态故障)的内部安全机制;
(2)具备应对外部失效的容错功能;
(3)具备探测硬件零部件失效、故障诊断和发送失效信息等功能。
硬件设计及实现:基于硬件架构度量的评估,充分考虑功能冗余及功能要求,优先采用车规级成熟电路单元,元器件选用车规级元器件;同时考虑与安全相关的元器件失效的非功能性原因,包括温度、振动、湿度、灰尘、电磁干扰、噪声、环境串扰等因素。具体设计要求如下:
(1)符合QC/T413-2002汽车电气设备基本技术条件所规定的电气性能要求;根据GB/T28046.2-2011的要求满足工作电压、电源过电压性能、电源叠加交流电性能、电源电压跌落性能、电源启动特性、电源极性反接、抛负载性能、供电电压缓升和缓降性能、供电电压瞬时下降性能等要求;高压防护安全参考《电动汽车安全指南》中第一章及第二章相关设计要求。
(2)满足车辆运行环境的需求,针对布置在底盘等湿区位置的产品防护等级不应低于IP67;根据GB/T
28046.3-2011的要求满足低温性能、高温性能、温度冲击性能、温湿性能、盐雾性能、防护性能、自由跌落性能等产品性能要求;同时考虑防火隔离和阻燃设计,燃料电池系统与客舱之间使用阻燃隔热材料隔离,阻燃隔热材料的燃烧性能符合GB 8624-2012中规定的A级要求。燃料电池系统内零部件材料均需考虑阻燃要求,满足以下阻燃要求:金属材质零部件材质满足水平燃烧HB级和垂直燃烧V-0级的要求,其它非金属零部件材质满足水平燃烧HB75级和垂直燃烧V-2级的要求。
硬件失效模式分析:通过对硬件失效模式分析,识别硬件设计中因潜在风险导致的产品失效,建立FMEA表,以保证分析的完整性。对于侵害安全的失效模式,应制定相应的安全机制来保证安全性;对于非侵害安全的失效模式,需评估设定安全机制的必要性。硬件失效分析应识别以下内容,并给出相应的措施:
(1)对安全故障,制定相应的安全机制,主要包括与硬件自身故障相关的探测、指示和控制措施;影响到系统硬件的外部设备发生故障的探测、指示和控制措施;系统实现或维持在安全状态下措施;细化和执行报警和降级概念的措施;以及防止故障潜伏的措施。
3/53
(2)对单点故障或残余故障,评估设定安全机制的必要性,主要评估系统实现或维持在安全状态下措施的有效性,同时评估残余故障的诊断覆盖率。
(3)对多点故障(无论是可感知的、可探测的或潜伏的),评估设定安全机制的必要性,主要评估可接受的多点故障探测事件间隔内潜伏故障的失效探测及警示驾驶员措施的有效性,同时评估潜伏故障的诊断覆盖率。
硬件系统测试:为了验证硬件设计与硬件安全要求的正确性、一致性和完整性,硬件系统测试应考虑按以下方法进行。测试内容以硬件设计的具体要求为主:
(1)功能性测试。针对被测硬件电气性能、高压防护性能等进行测试。
(2)非功能性测试。针对硬件的环境适应性、防水阻燃性能、耐久可靠性等进行测试。
1.2.3.4软件安全设计
基于GB/T34590.6-2017相关规定,进行软件安全要求的定义、软件架构设计、软件单元设计及实现、软件单元测试、软件集成及测试、软件安全要求验证,并满足系统设计和软件安全需求的要求。
软件安全要求的定义:软件安全要求的定义来源于技术安全要求和系统设计规范,同步考虑硬件约束(硬件的接口规范、设计规范及运行模式等)对软件的影响。软件安全要求应针对每个基于软件的功能,这些功能的失效可能导致违背分配到软件的技术安全要求。软件安全定义需满足完整性、可测试性及可追溯性要求。
软件架构设计:软件架构设计 述全部软件组件及其在层次结构中的交互。静态方面,如所有软件组件间的接口和数据路径;动态方面,如进程顺序和时序行为。软件架构设计 供了实施软件安全要求和管理软件开发复杂性的方法。软件架构设计应考虑软件架构设计的可验证性、可配置软件的适用性、软件单元设计及实现的可行性、软件集成测试中软件架构的可测性及软件架构的可维护性。为避免因高度复杂性导致的失效,软件架构设计需具有模块化、封装性和简单性属性。具体方法包括优化软件组件的层次、限制软件组件的规模、限制接口规模、组件内高内聚、组件间低耦合、恰当调度的特性以及限制中断的使用等。
软件单元设计及实现:基于软件架构设计开发软件单元的详细设计。详细设计分别按照建模或编码指南,以模型或直接以源代码的形式实现。在进入软件单元测试阶段前对详细设计和实现进行静态验证。软件单元的实现包含源代码的生成和转换为目标代码。具体方法包括:(1)子程序和函数采用一个入口和一个出口;(2)无动态对象或动态变量,否则需要在其产生过程中对齐进行在线测试;(3)变量初始化;(4)不能重复使用变量名称;(5)避免
4/53
全局变量,否则需证明对全局变量的使用是合理的;(5)限制使用指针;(6)无隐式类型转换;(7)无隐藏数据流或控制流;(8)没有无条件跳转;(9)无递归。
软件单元测试:软件单元测试目的是要证明软件单元满足软件单元设计规范且不包含非期望的功能。根据软件单元设计规范,建立软件单元测试流程,并按照该流程执行测试。在软件单元测试过程中,证明软件单元达到:(1)符合软件单元的设计规范;(2)符合软硬件接口的定义;(3)已定义功能;(4)确信没有非预期的功能;(5)鲁棒性;(6)足够的资源来支持它们的功能。为了评估测试用例的完整性并证明没有非预期的功能,应确定软件单元层面的要求覆盖率,同时对结构覆盖率进行测定,如果认为已实现的结构覆盖率不充分,应定义额外的测试用例或 供接受理由。
软件集成及测试:按照软件架构设计,对软件要素之间特有的集成层次和接口进行测试,软件要素的集成和测试的步骤直接对应着软件的分层架构。软件集成应完成各个软件单元分层集成到软件组件,直到整个嵌入式软件全部被集成,并考虑与软件集成相关的功能依存关系和软件集成和软硬件集成之间的依存关系。软件集成测试方法与软件单元测试类似,目的是为证明软件组件和嵌入式软件均实现相应的功能要求。
软件安全要求验证:软件安全要求验证的目的是证明嵌入式软件在目标环境下满足软件安全要求。软件安全要求验证中的测试环境可为硬件在环,电控单元网络环境及整车环境。可考虑使用工具(例如trace ability matrix)确保和评估软件安全要求的覆盖率,可以复用已有的测试用例。如果覆盖率不充分,应增加测试用例或给出可以接受的理由。
1.3整车EMC及电气可靠性安全
燃料电池电动汽车上的所有可能影响车辆安全运行的电气组件,在功能上都应该能够承受车辆暴露于其中的电磁环境。车载储能系统、驱动系统和控制系统运行在高电压、大电流以及处在较大的dU/dt或dI/dt条件下,车辆应可正常运行,不应造成误停车。车辆在满足传统内燃机汽车EMC要求的同时,还应符合车辆不同运行状态下的EMC特殊要求。
1.3.1整车车外辐射骚扰及抗扰度要求
整车对外部的电磁骚扰应满足GB14023-2011、GB/T18387-2017相关要求,以保护车辆外部的无线电通讯设备正常工作;
整车耐受外部的电磁辐射干扰应满足GB/T34660-2017相关要求,以保障车辆的功能状态和安全等级。
1.3.2车载电器设备辐射骚扰及抗扰度要求
5/53
发布评论