【功能安全】电动汽车充电基础设施的功能安全系统需求分析与设计
内容提要:在这项工作中,我们提出了安全电子充电基础设施系统的需求分析和系统设计。该系统是根据当前的功能安全和EVSE标准设计的。
摘要
随着社会从化石燃料转向电动汽车,对电动汽车充电基础设施的需求不断增加。除了公共充电站网络外,充电设备也将越来越多地安装在家庭中,并每天用于夜间为电动汽车(EV)充电。随着充电基础设施在日常生活中的作用日益增强,应保证这些系统的安全性。在这项工作中,我们提出了私人和公共充电站的需求分析和充电基础设施系统设计,目标是满足当前功能安全和电动汽车供电设备(EVSE)标准化的要求。提出了充电过程的风险评估和衍生的功能安全要求。讨论了总体系统设计,主要关注安全相关部分。所提出的工作可以作为开发符合功能安全的下一代EVSE的基础。
1.简介
在这项工作中,我们展示了研究项目SiLis(“Sicheres Ladeinfrastruktursystem für Elektrofahrzeuge”:“电动汽车安全充电基础设施系统”)的结果。该项目的目标是为私人和公共三相交流(模式3)充电站开发紧凑且经济高效的电子控制系统,同时满足当前功能安全和电动汽车供电设备(EVSE)标准化的要求。
标准IEC 61851-1(IEC 2017)定义了EVSE的一般和安全要求,但目前没有定义充电站中通过可编程电子系统实现的安全相关功能的任何功能安全要求。第2节讨论了充电站要求、安全工程和功能安全以及相关工作的相关背景。
为了确定功能安全目标,对充电应用程序进行了风险评估,如第3节所示。在风险评估之后,开发了一个系统架构,其中安全相关和非安全相关的功能被分离到各自的子系统中。安全相关子系统是根据IEC 61508(IEC 2010)标准开发的。开发的安全子系统包括一个1oo1D架构的安全控制板,负责充电控制主电路,并配有冗余开关组件,以实现故障安全设计。第4节介绍了系统设计。在第5节中,我们总结并讨论了在不久的将来仍有待完成的工作。
2.背景
2.1 电动汽车供电设备
IEC 61851标准系列(IEC 2017)提供了EVSE的一般和安全要求。完整的电动汽车充电系统包括EVSE和电动汽车内充电所需的功能(IEC 2017)。ISO 17409(ISO 2020)中定义了电动汽车侧充电系统的安全要求。IEC 61851-1(IEC 2017)定义了电动汽车充电系统的不同配置和不同的充电模式,包括交流和直流充电。所提出的系统针对模式3充电,即使用永久连接到电网的专用EVSE进行交流充电(IEC 2017)。
标准系列IEC 62196 (IEC 2014)定义了用于电动汽车充电的标准化插头、插座、车辆连接器和车辆入口。具体来说,IEC 62196-2 (IEC 2016)定义了用于交流充电的标准化连接器,包括欧洲常用的2型连接器。IEC 62196-1 (IEC 2014)和IEC 61851-1 (IEC 2017)标准定义了交流充电的基本车辆接口以及充电期间EVSE和EV之间基本通信的控制导频(CP)功能,从而允许持续监控EV的接近度、EVSE和EV之间的基本信号传输,并对充电电缆电流能力进行编码。EV的电源应根据CP信号的状态进行通电和断电(IEC 2017)。
对于这项工作,我们假设使用符合IEC 62196-2(IEC 2016)的连接器和具有CP功能的基本接口。开发的系统可以选择支持高级通信,例如符合ISO 15118(ISO 2019),但安全相关功能基于基本接口。
出于风险评估的目的,假定满足电气基本保护要求(IEC 2005a),例如外壳和连接器的IP等级。在开发项目期间考虑了IEC 61851-1(IEC 2017)的这些基本保护和其他要求,但就本文而言,我们重点关注与安全相关控制系统开发相关的主要功能。
除了与模式3相关的强制功能外,IEC 61851-1(IEC 2017)还规定了电气故障保护要求。应根据IEC 60364-4-41(IEC 2005a)采用一种或多种措施来提供故障保护(防止间接接触),例如自动断开电源。应提供保护接地导体,并且对于模式3,不应切换保护接地导体。当使用符合IEC 62196系列(IEC 2014)的插座或连接器时,应使用直流敏感剩余电流保护装置(RCD)。
总之,开发的充电基础设施系统应提供基本的车辆接口和相关功能(控制引导、接近检测、电缆电流能力检测),并在过载和交流或直流故障电流的情况下以断开电源的形式提供电气故障保护。
2.2 安全工程与功能安全
由于要开发的系统是基础设施系统,而不是电动汽车本身的一部分,因此选择IEC 61508(IEC 2010)标准作为开发指导和认证目标。该标准为安全相关电气、电子或可编程电子(E/E/PE)系统的开发提供通用指南。
安全工程的目标是确保系统在其生命周期内的安全。在概念阶段,对要开发的系统进行分析:首先识别与系统相关的危害,并估计和评估相关风险。根据风险评估,设计风险降低措施,将系统中的风险降低到可接受的水平。降低风险的措施可以是被动措施,例如基本电气隔离,也可以是主动措施,例如故障电流保护。安全完整性等级(SIL)用于指定安全功能的完整性要求,该安全功能将分配给E/E/PE系统。该标准定义了SIL 1-4,级别越高,风险降低程度越高(IEC 2010)。
尽管IEC 61508中定义了与安全功能相关的SIL,但它们在风险评估中用作风险的通用度量。风险评估的典型工具是风险图和风险矩阵。应始终针对所考虑的应用来校准风险矩阵(IEC 2010)。表1显示了IEC 62061 (IEC 2005b)中校准风险矩阵的一个示例。作为一项通用标准,IEC 61508考虑了可能发生的工业灾难,例如:IEC 62061针对的是过程工业(最高SIL 4),而IEC 62061则针对机械行业,相比之下,可能的风险有限(最高 SIL 3)。IEC 62061的风险矩阵提供了精细的粒度,用于估计与单人伤亡或个人伤害相关的风险,因此也非常适合该应用领域。
将参数F、P和W(表3)相加来计算风险等级C,该风险等级与参数S(表2)一起用于通过查找表1来定义风险估计。生成的SIL级别表明:必须采取措施减少风险。如果通过安全相关控制系统实施风险降低措施,则该估计值将分配为SF所需的SIL级别。OM意味着存在剩余的不可接受的风险,但不需要SIL分配。NR表示风险可以接受,不需要采取进一步措施。有关风险参数的更详细描述,读者可参阅IEC 62061附录A(IEC 2005b)。
2.3 相关工作
似乎很少有出版物讨论充电系统的功能安全方面。相反,有关充电基础设施的科学文献往往侧重于其他方面,例如高功率充电的电力电子解决方案或智能充电策略和电网集成。
研究人员之前研究过充电站的功能和电气安全。作者考虑了充电站的典型实现,其安全相关功能主要通过分立机电和电子组件实现,而我们考虑了集成软件控制系统。这项工作使用了IEC 61508-5(IEC 2010)中的示例风险图,该图仅提供了单人伤害或伤亡的非常粗略的粒度。
研究人员提出了针对电动汽车充电的全面安全评估。他们根据ISO 12100(ISO 2010)考虑了多种危害类型(例如电气、机械、人体工程学),并定义了由EVSE或通过其他方式实现的安全目标,并为每种危害类型分配了SIL目标(使用IEC 62061风险矩阵)。他们的工作为此处介绍的风险分析提供了基础。然而,一些安全目标是通过组合风险降低措施来实现的。因此,需要进行更详细的分析,以确定每项风险降低措施对安全目标所需的贡献。
目前市场上有多种充电系统和电缆充电设备。目前不少都没有获得功能安全方面的认证。
表1:根据IEC 62061 (IEC 2005b)的风险矩阵。S=严重性,C=风险等级,F=暴露频率和持续时间,P=避免或限制伤害的可能性,W=危害事件发生的概率,OM=其他措施,NR=无SIL要求
表2:S值(IEC 2005b)
表3:F、P和W的值(IEC 2005b)
3.安全要求
该项目的目标是开发一种紧凑且具有成本效益的电子充电基础设施系统,该系统集成了充电站所需的多种功能,目前通常使用多个分立组件来实现。在本节中,我们介绍充电应用的风险评估以及充电基础设施系统定义的安全要求。充电基础设施系统应为公共和私人充电提供共同的基础。模式3是主要目标,但风险分析尽可能通用,以涵盖IEC 61851-1定义的不同充电配置。工作重点是交流充电,但所开发的安全系统未来也应该适用于直流充电。
3.1 风险评估
风险评估的目标是规定系统的功能安全要求。Vogt等人的方法和结果被作为评估的基础。评估的重点是电气危害。针对电气危害的基本电气保护被认为是通过遵循产品标准化来实现的。例如,这包括满足IEC 61851-1(IEC 2017)中为外壳和布线设定的隔离、分断能力和IP分类要求,以及使用例如IEC 62196-2(IEC 2016)。其他,例如机械或人体工程学危害同样被认为涵盖在现有标准化中。考虑的危害如表4所示。
Vogt等人考虑了几种环境和操作条件。对于这项工作,总结了一些条件,重点关注最坏的情况,从而得出功能安全要求。所考虑的环境条件和过程状态如表5所示。为了涵盖所有情况,以最坏情况位置、公共道路一侧的公共充电站且没有覆盖物或屋顶作为评估基础。假设车辆满足ISO 17409 (ISO 2020)要求,该要求不允许车辆在连接到外部电源时由自身驱动器供电,但排除这种可能的状态。VS2涵盖了车辆移动的其他可能情况。
所考虑的情况是列出的天气条件、运行和车辆状态的所有可能组合,除了VS2和A的组合,这被认为是不现实的。对于每种情况,都考虑了所有4种危害。充电站的用户被认为是对电气设备知识有限的外行。因此,在大多数情况下,必须对用户检测和避免危害的能力做出最坏情况的假设。对于每种情况,都会评估初始风险并添加风险降低措施,直到剩余风险被认为是可接受的(表1中风险矩阵中的结果“NR”)。所考虑的风险降低措施如表6所示,源自IEC 61851-1(IEC 2017)。
表4:风险评估中考虑的危害
表5:环境条件和过程状态
表6:考虑的风险降低措施
总共分析了53个案例。下面讨论有代表性的例子。由于与基本车辆界面相关的功能是风险降低措施的一部分,因此分析假设它们尚未存在于系统中,以便评估它们对风险降低所需的贡献。
作为第一个示例,考虑W1-A-VS1的情况:用户将充电连接器插入静止的车辆以开始充电过程。如果基本保护失效(例如充电连接器破裂或充电电缆因设备老化等),用户可能会触摸带电活动部件并遭受电击(Hz1),因为在没有事先措施的情况下,连接器已经处于激活状态。在最坏的情况下,电击可能导致死亡(S=4)。假设用户每天给汽车充电(F=5)。可以说,考虑到充电电缆和连接器的设计是为了在应用程序的整个生命周期内持续使用,这种事件很少发生,但概率也不容忽视(W=2)。外行人几乎不可能发现并避免危害(P=3)。由此产生的风险评估为SIL2(参见表1)。如果考虑破坏行为 (Hz2),这种情况下的风险估计在所有天气条件下都是相同的。第一个降低风险的措施是故障电流保护(RM2)。然而,为了确保该措施的有效性,充电电缆还应包括保护屏蔽。实施RM2后,由于及时切断电源,严重程度降低至S=2。对于剩余的风险,其他措施(OM)就足够了。RM3的加入进一步降低了风险。
在同样的情况下,充电电缆、连接器或电动汽车内部的内部故障可能会导致电动汽车供电设备电源在插入电缆时短路,从而导致火灾(Hz4)。其他风险参数与第一种情况相同(S=4,F=5,W=2),但对于这种情况,用户不可能检测并避免危害(P=5)。此案例的风险评估为SIL3。首先,使用RM1,降低可能的严重性(S=2)。剩余风险使用SIL1进行估计。为了进一步降低风险,可以采用RM3来确保充电连接器在插入车辆时不处于激活状态。通过RM4和其他措施(例如用户信息)可以进一步降低风险。
作为最后一个示例,考虑任何天气条件下的情况B-VS2:车辆正在充电,但由于外部影响而移动(例如,由于另一辆车与电动汽车相撞)。结果,充电电缆或连接器断裂并产生火花,或者在最坏的情况下,产生电弧。如果发生这种情况时附近有人,最坏的结果是死亡(S=4)。该事件的概率可以说是罕见的,甚至可以忽略不计(W=2或1)。在极少数情况下,外行人员也有可能发现并避免危害(P=3)。由此产生的风险等级为C=9或10(F=5),风险估计均为SIL2。唯一合适的风险降低措施是RM3。进一步的风险降低措施是EVSE外部的,例如用户信息、降低的速度限制或充电站周围的围栏。
评估风险总是主观的。为了使评估尽可能客观,避免引入重大偏差,重点放在最坏情况估计上。这种方法的风险在于结果可能过于保守。考虑到充电站的使用仍然相对有限,而且作为一个社会,我们在较长时间内对非专业人员每天使用此类设备的经验相对较少,保守的方法似乎是合理的。一旦通过当前安装的设备收集到生命周期中的更多信息和真实经验,就可以重新进行风险评估。
3.2 充电站功能安全要求
根据风险评估,定义了降低与充电应用相关的危害风险所需的安全功能,如表7所示。定义的安全功能涵盖风险降低措施RM1-RM3 (SF1-SF3)。此外还需要SF4来安全地激活电源,以便首先进行充电。RM4和RM5措施进一步降低了风险,但没有指定SIL要求。
表7:安全功能
4.设计
4.1 系统设计
设计的总体系统架构如图1所示。主要子系统为主板、安全板(SAB)和操作板(OPB)。主板包括保险丝和主充电电路。主充电电路包括冗余充电继电器,为电动汽车供电,以及相关的反馈信号、故障电流传感器、电流传感器、基本车辆接口电路、直流电源以及SAB和OPB接口。SAB负责安全相关功能(核心充电控制),OPB负责非安全相关功能,如能源监控、电动汽车通信、通过基于网络或应用程序的GUI与用户通信,以及与公共充电(如支付处理)所需的后端服务器通信。安全和操作板通过串行总线与采用附加可靠性措施修改的Modbus RTU协议进行通信。该系统架构允许安全相关功能和非安全相关功能之间的分离并免受干扰。
SF1(过载保护)是通过主板上的保险丝实现的。SAB不参与此SIL3级SF,但参与其余SF的实施,这些SF均为SIL2级。因此,SAB开发的目标是系统能力SC2(SIL2所需)。
实现SF2(交流和直流故障电流保护)的控制回路由主充电电路内的故障电流传感器、SAB和充电继电器组成。检测到故障电流会导致立即断开电源。所选的30mA AC和6mA DC故障电流传感器具有自检功能。此外,还实现了独立的故障电流仿真电路作为主充电电路的一部分。在充电过程开始之前,进行自检和故障电流传感器的独立测试以进行故障检测。
CP驱动信号由OPB生成。SAB对CP信号进行单独测量,以独立检测EV接近度以及充电电缆是否正确插入。IEC 62196-2 (IEC 2016)充电连接器可确保CP线路最后连接、最先断开。SF3通过由CP电压测量电路、SAB和充电继电器组成的控制环路来实现。
图1:系统架构
SF4由包括SAB和冗余充电继电器及其触点反馈的控制回路实现。对于目标电流额定值(32A),无法使用强制引导继电器(安全关键型应用的典型解决方案)。因此,使用了一组冗余继电器(两排串联的触点),而不使用强制引导触点(参见图3中的2)。为了检测继电器触点中的故障(触点焊接关闭、触点保持打开),每个电网相(L1-L3)触点都包含反馈信号。SAB对每一排继电器进行单独控制,因此能够在通电和断电时对每一排继电器进行单独诊断。如果任何单个继电器触点被焊接关闭,电源可以仍然会断开连接。此外,SAB和使用的安全MCU(微控制器单元)包括许多自诊断功能。一旦检测到内部故障,系统就会进入安全状态(电源断电)。
风险降低措施RM4(以及可选的RM5)没有分配任何SIL要求,因此这些功能被分配给OPB而不是SAB。对于RM4(电缆容量检测和过载保护),OPB通过基本车辆接口检测容量。OPB利用主电路中的电流传感器来保护充电电缆以及充电过程的能量监控。过载时,OPB请求SAB停止向EV供电。
为了启动或停止充电过程,OPB可以通过通信接口向SAB发送请求并获取诊断信息。SAB控制并持续监控充电过程,并在检测到任何故障时关闭电动汽车的电源。系统设计和通信解决方案提供了针对网络安全威胁的适度保护。由于所有外部通信都是在OPB上实现的,因此SAB本身并不直接连接到互联网,而是使用直接物理数字和模拟IO来实现安全相关功能。
4.2 安全硬件设计
SAB(如图2所示)负责执行大部分安全功能。为了满足安全完整性要求,该板是围绕经过安全认证的MCU (TI Hercules RM48) 进行设计的。MCU 具有锁步冗余算术逻辑单元(ALU)、纠错码(ECC)存储器和内置自测试。SAB包括输入、输出和电源的电流隔离,以及电压监控和两级硬件看门狗。
图2:安全板 (SAB)。1:安全MCU。2:输入电压监控。3:内部电压监控。4:电流隔离。5:主板连接器。6:控制逻辑电路。7:硬件看门狗。8:状态LED。9:编程和诊断接口
图3:充电电路功能原型。1:电网接口。2:主继电器。3:故障电流传感器。4:EV电源连接。5:SAB。6:FI传感器自检电路。7:直流电源端子。8:测量/串行总线端子。9:CP-信号发生器。10:状态LED
主充电电路的原型如图3所示,其构建目的是通过额外的测量端子轻松验证电路概念和安全软件。该原型用于协助安全软件开发。工业项目合作伙伴开发了相同硬件概念和OPB的紧凑型生产版本。在编写生产版本时,正在进行验证活动。计划在不久的将来在电动汽车充电站进行系统验证测试。
对SAB和主电路的安全相关部件进行了系统和设计FMEA。系统设计中包含了诊断和冗余,以确保单个组件失效不会使系统进入危害状态,或者在发生事故之前检测到故障并断电。SAB实现了1oo1D体系结构,而主要应用电路是冗余的。
图4:SAB软件的主状态机
4.3 安全软件设计
在SAB上运行的安全软件的设计保持模块化并尽可能简单,以便于分析。实现了具有最少中断例程的时间触发架构(使用硬件定时器以1ms运行的单个主循环)。安全软件执行充电监控功能并处理每个循环中可能的传入消息。MCU自检在启动时执行。
主状态机的高级视图如图4所示。当检测到EV存在时,首先需要对故障电流传感器进行测试序列。如果测试成功执行,系统就可以充电了。根据OPB的请求,充电继电器被逐行激活。一旦两行都打开,电动汽车的电源就会激活。OPB可以请求关闭电源,从而触发逐行停用序列。如果用户在充电期间拔掉电动汽车的插头,也会触发停用序列。如果在充电序列期间检测到任何故障,系统将转换到故障状态,同时立即断电两个继电器排,使充电过程进入安全状态。对于一部分故障,OPB可以请求故障复位,这会将系统移回空闲状态,其他故障则需要给SAB重新上电才能复位。
5.结论
在这项工作中,我们提出了安全电子充电基础设施系统的需求分析和系统设计。该系统是根据当前的功能安全和EVSE标准设计的。计划在将来使用SiLis硬件的生产版本和电动汽车进行系统验证测试。这里讨论的系统是一个研究原型,工业项目合作伙伴计划在未来对该系统的生产版本进行安全认证。
所提出的工作可以作为开发安全的下一代EVSE的基础。即使迫切需要这种新的关键基础设施,在建设过程中也应谨慎行事。随着我们进入日益电气化的交通方式,这些电子控制系统的安全性应该得到保证。
详询“牛小喀”微信:NewCarRen
作者:牛喀网专栏作者
牛喀网文章,未经授权不得转载!
相关文章
