曾经在博客内写过此文，不过谈及电池系统。与周鹏先生聊过以后，总觉得真正经历过靠谱的开发项目，各种边界一起套你头上，你才能明辨哪些优先级高一些，哪些优先级低一些，更能理清楚思路。

对于系统安全这一条，我真的很幸运可以学到这一概念，并且带着我去看《系统工程》，这些原似枯燥的内容。电池系统的安全，并不仅仅归于单一的功能安全，因为有很多的问题，不仅仅是电子控制的问题。参考文献1和参考文献2，各自对电池系统进行，初步危害分析 PHA。

1）电池系统本身危害

• 正常工作下高压暴露 ASIL=D S3、C3、E4

• 碰撞时&后高压暴露 ASIL=B S3、C3、E2

• 维护高压暴露 ASIL=B S3、C2、E3

• 可燃气体暴露 ASIL=D S3、C3、E4

• 有毒气体暴露 ASIL=D S3、C3、E4

• 可燃气体暴露 ASIL=D S3、C3、E4

• 有毒液体暴露 ASIL=B S3、C1、E4

• 可燃液体暴露 ASIL=B S3、C1、E4

• 高温部件暴露 ASIL=A S1、C2、E4 皮肤烫伤

• 火&点燃源 ASIL=D S3、C3、E4

2）电池系统其他功能安全问题，一些工作的分析由来，其实也是对功能判错的过程

• F001 给高压总线提供能量

• 错误功能 mf001 需要时，没有提供能量 power not provided to HVDC bus when required

• 错误功能 mf002 不需要的时候提供能量 unintended power delivery to HVDC bus

• F002 从总线接受能量

• 错误功能 mf003 无法接受能量

• 错误功能 mf004 过充超过能量范围

• 错误功能 mf005 过充超过允许电流

通过对于危害以及原因的系统性分析，通过逻辑图的方式将之联系起来

这里有一个非常重要的逻辑问题，如下表所示，同样的问题，不同的情况安全等级是不同的。如下表所示，在能量回收的时候，不同车速情况下，能量回收导致的过充，形成的问题，安全等级不同。

1. 车辆正常使用：车辆使用过程中，分为驾驶和充电两个方面。

1. 驾驶状态（低速、中速和高速）

2. 充电状态（交流充电、直流充电）

2. 运输存储

3. 维护保养

4. 车辆事故（车辆碰撞、车辆浸水）

因此，对于一个充电的问题，安全目标就上升到了D级了。这里的数据，当然只是论文里头虚拟的，实际的，就需要拿着测试数据和管安全的来细致的整理应不应该了。

参考文献

1. High-Voltage Battery System Concepts for ISO 26262 Compliance William Taylor and Jody J. Nelson.

2. System Safety and ISO 26262 Compliance for Automotive Lithium-Ion Batteries William Taylor, Gokul Krithivasan, and Jody J. Nelson

3. Application of System Safety Engineering Processes to Advanced Battery Safety Ressler, G