Cette TechLetter a pour objectif de présenter de manière simple et didactique le sujet complexe de l’évaluation de la sécurité fonctionnelle et son application aux batteries. Ce sujet est couvert par plusieurs normes, dont la plupart sont dérivées de la norme ISO 61508. Nous nous concentrerons ici sur les 2 normes suivantes :

    • ISO 13849, dont l’objectif est d’assurer des fonctions de sécurité critiques pour les machines ;
    • ISO 26262, dont l’objectif est d’assurer la sécurité des fonctions électroniques dans les véhicules routiers.

Nous verrons leurs points communs et leurs différences, et explorerons une implémentation de l’ISO 26262 dans le cas des batteries WATTALPS.

 

Processus ISO 26262 vs ISO 13849

Lorsque WATTALPS a essayé de résumer les différences entre les processus ISO 26262 et ISO 13849, nous n’avons pas trouvé de meilleure explication que celles données par Michael Kieviet de CAN Automation, que nous citons donc ici: « Si des composants doivent être utilisés pour les véhicules routiers et dans des machines, une compréhension commune des principales différences entre les normes est nécessaire. L’ISO26262 comprend dix parties avec près de 400 pages au total. En comparaison, l’ISO13849 ne comporte que deux parties avec environ 200 pages et beaucoup de références à IEC61508, qui elle-même comporte sept parties et 700 pages supplémentaires. Cela donne juste une idée subjective de l’effort relatif à fournir. La principale différence réside dans la philosophie qui sous-tend les normes. La fonction de sécurité dans les machines est généralement une fonctionnalité supplémentaire qui ne contrôle pas le processus. Cela signifie que si les composants de sécurité sont retirés, la machine fonctionnera toujours. Cela implique des composants supplémentaires et bien sûr des coûts supplémentaires pour obtenir un système sûr. L’ISO26262 a l’intention de fournir le composant fonctionnel en tant que dispositif de sécurité intrinsèque. Cela permet de réduire les coûts des pièces, mais augmente les coûts de développement.  »

WATTALPS a choisi de développer son électronique selon la norme ISO 26262 afin d’offrir un niveau de sécurité maximal combiné à un coût raisonnable pour ses clients.

 

Analyse de risque

Les deux normes commencent par une analyse de risques. Cette analyse de risques dépend de l’application :

    • Y a-t-il des gens autour de la batterie?
    • Ces personnes sont-elles protégées par un autre moyen contre un incident de batterie?
    • Y a-t-il des façons pour ces personnes d’éviter d’être blessées en cas d’incident de batterie (évacuation facile/difficile, protection passive supplémentaire, etc.) ?

L’analyse des risques est effectuée sans tenir compte des mécanismes de sécurité ajoutés pour protéger les personnes. Elle permet d’obtenir une évaluation globale du risque réel si aucune mesure n’est prise pour la sécurité fonctionnelle du système.

Cette évaluation des risques permet d’établir des niveaux de fiabilité cibles pour les fonctions de sécurité associées. Le tableau ci-dessous présente les différents niveaux de fiabilité pour de nombreuses normes de sécurité fonctionnelle. Il permet également d’estimer des équivalences de niveaux de sécurité entre les normes (par exemple.ISO 13849 PL e est proche de l’ISO 26262 ASIL-D).

ISO26262 ISO13849

Source : https://en.wikipedia.org/wiki/Automotive_Safety_Integrity_Level

Pour les normes ISO26262 et ISO 13849, les risques sont évalués à l’aide de 3 critères :

    • Exposition : représentant le temps pendant lequel les personnes sont exposées au risque lorsque la batterie est utilisée (c’est-à-dire chargée ou déchargée)
    • Gravité : représentant les conséquences d’une défaillance dangereuse du système de batterie
    • Contrôlabilité : représentant la probabilité de limiter ou d’éviter les conséquences de la défaillance dangereuse (évacuer, conduire dans un endroit sûr…).

Un événement avec une exposition élevée, une gravité élevée et une faible contrôlabilité entraînera une évaluation à ASIL-D selon ISO 26262 et PL-e selon l’ISO 13849.  Au contraire, une faible exposition, une faible gravité et une contrôlabilité élevée entraîneront une évaluation des risques de PL-A selon ISO 13849 et aucun niveau d’ASIL selon ISO26262 (ou niveau QM).

 

Evaluation de la fiabilité

Une fois que le risque a été évalué pour chaque événement dangereux, un objectif de fiabilité est fixé pour chaque fonction de sécurité. Un exemple partiel avec l’ISO 26262 est donné ci-dessous pour une batterie dans un engin de chantier utilisé en extérieur:

Objectif de sécurité Événement non désiré Niveau ASIL
Feu Incendie dû à une surtension due à une mauvaise mesure de la tension de la cellule B
Incendie dû à une surchauffe due à une mauvaise mesure de la température de la cellule B
Incendie dû à une surintensité due à une mauvaise mesure du courant B

 

Chaque fonction développée pour se protéger des événements imprévus énumérés ci-dessus devra alors respecter les mesures de fiabilité établies par la norme en fonction de l’évaluation des risques (niveaux ASIL ou PL, ici ASIL B).

    • Pour l’ISO 13849, ces mesures sont les suivantes :
      • MTTFd : Mean Time To dangerous Failure (voir le tableau des probabilités de défaillance plus bas)
      • DC : Diagnostic Coverage, reflète la capacité du système à détecter les défaillances dangereuses.
      • Catégories: l’architecture du système (redondances notamment) peut être imposée en fonction du niveau PL ciblé et des métriques de MTTFd et DC (voir graphique ci-dessous).

ISO 13849 Categories

    • Pour l’ISO 26262, aucune architecture n’est imposée mais des métriques supplémentaires sont utilisées pour vérifier que la fiabilité de l’ensemble du système est au niveau souhaité :ISO 26262 ASIL metrics requirement
      • SPFM : Single Point Fault Metric, évalue la robustesse d’un élément vis à vis d’un défaut unique par conception ou par couverture via un mécanisme de sécurité.
      • LFM : Latent Fault Metric, évalue la robustesse d’un élément par rapport à un défaut latent (défaut non visible jusqu’à ce que l’événement inattendu se produise).
      • PMHF : Probabilistic Metric for random Hardware Failures, évalue le risque résiduel de violation d’un objectif de sécurité (voir le tableau des taux de défaillance ci-dessous)
        Norme ISO 26262 Probabilité de défaillance (PMHF) Norme ISO 13849 Probabilité de défaillance (MTTFd)
        PL a <10-4/h
        PL b <10-5/h
        PL c <3×10-5/h
        ASIL A (<10-6/h) PL d <10-6/h
        ASIL B, C <10-7/h PL e <10-7/h
        ASIL D <10-8/h

         

        WATTALPS ISO 26262 ASIL B/C Développement BMS

        L’électronique de gestion batterie (BMS) de WATTALPS est composé des fonctionnalités suivantes:

        • Battery Safety Management (BSM)
        • Battery Modularity Management (BMM)
        • Battery Interface Management (BIM)
        • Battery Thermal Management (BTM)
        • Battery Connectivity Management (BCM).

         

        Le Battery Safety Management (BSM) a été développé conformément aux exigences de la norme ISO 26262 ASIL C pour la sécurité fonctionnelle.

        Le système de batterie est considéré comme un « système hors contexte » afin d’être intégré dans différentes applications possibles. Le BSM de WATTALPS inclut la capacité d’ouvrir les contacteurs de la batterie principale pour mettre la batterie dans un état sûr. Pour garder la batterie dans une zone d’exploitation sûre, les composants suivants sont inclus dans le BSM:

        • Carte Slave et connexion au module de batterie
        • Carte Master, logiciel et communication vers la carte Slave
        • Boîte de jonction
        • Gestion du chauffage de la batterie
        • Détection du niveau de fluide diélectrique
        • Interface avec l’application en cas de détection de défaut.

         

        Vous trouverez ici sous un extrait des métriques du BSM WATTALPS évalués par une société spécialisée, partenaire de WATTALPS pour ce sujet.

         

         Événement indésirable SPFM* LFM* PMHF* ASIL* réalisable
        Incendie dû à une surtension due à une mauvaise mesure de la tension de la cellule 99,64% 98,13% 7,25×10-9 D
        Incendie dû à une surchauffe due à une mauvaise mesure de la température de la cellule 99,23% 97,99% 6,06×10-9 D
        Incendie dû à une surintensité due à une mauvaise mesure du courant 98,15% 96,78% 2,42×10-8 C

        * Ces mesures sont valides pour une configuration et un profil de mission donnés et peuvent varier selon l’application.

         

        Toutes les fonctions de sécurité des batteries WATTALPS ont été évaluées, conçues et validées pour une tension d’application maximale de 800V. Outre son BSM, WATTALPS a placé la sécurité au cœur de son développement avec :

        • Cellules de qualité et de sécurité supérieures provenant des meilleurs fournisseurs
        • Aucun risque de court-circuit dû à une fuite de refroidissement liquide
        • Non propagation de l’emballement thermique au niveau du module et de la batterie
        • Boîtier IP67 robuste, conçu pour les environnements difficiles (chocs, vibrations, poussière, brouillard salin, humidité…)
        • Des produits hautement validés et testés;

         

        Si vous souhaitez approfondir le sujet de la sécurité fonctionnelle électronique, vous pouvez consulter ces documents de Cadence ou de TI.