Cette TechLetter vise à présenter de manière simple et didactique le sujet complexe de l'évaluation de la sécurité fonctionnelle et son application aux batteries. Ce sujet est couvert par plusieurs normes, dont la plupart sont dérivées de la norme ISO 61508. Nous nous concentrerons ici sur deux normes :
-
- ISO 13849, dont l'objectif est d'assurer les fonctions de sécurité essentielles des machines.
- ISO 26262, dont l'objectif est d'assurer la sécurité des fonctions électroniques dans les véhicules routiers ;
Nous verrons leurs points communs et leurs différences, et explorerons une mise en œuvre de la norme ISO 26262 dans le cas des batteries WATTALPS.
Processus ISO 26262 vs ISO 13849
Lorsque WATTALPS a tenté de résumer les différences entre les processus ISO 26262 et ISO 13849, nous n'avons pas trouvé de meilleure explication que celle donnée par Michael Kieviet de CAN Automation, que nous citons donc ici : «Si les composants sont destinés à être utilisés dans des véhicules particuliers et des machines, il est indispensable de bien comprendre les principales différences entre les normes. En fait, la norme ISO 26262 comprend dix parties pour un total de près de 400 pages. En comparaison, la norme ISO 13849 ne comporte que deux parties pour environ 200 pages et de nombreuses références à la norme CEI 61508, qui comprend sept parties et 700 pages supplémentaires. Cela donne une idée subjective de l'effort requis. La principale différence réside dans la philosophie qui sous-tend les normes. La fonction de sécurité dans les machines est généralement une fonctionnalité supplémentaire qui ne contrôle pas le processus. Cela signifie que si les composants de sécurité sont retirés, la machine continuera de fonctionner. Cela implique des composants supplémentaires et, bien sûr, des coûts supplémentaires pour obtenir un système sûr. La norme ISO 26262 a pour objectif de fournir le composant fonctionnel en tant que dispositif intrinsèquement sûr. Cela devrait réduire les coûts des pièces, mais augmenter les coûts de développement.
WATTALPS a choisi de développer ses composants électroniques conformément à la norme ISO 26262 afin d'offrir à ses clients un niveau de sécurité maximal à un coût raisonnable.
Analyse des risques
Les deux normes commencent par une analyse des risques. Cette analyse des risques dépend de l'application :
-
- Y a-t-il des personnes à proximité de la batterie ?
- Ces personnes sont-elles protégées par d'autres moyens contre les incidents liés aux batteries ?
- Existe-t-il un moyen pour ces personnes d'éviter d'être blessées en cas d'incident lié à une batterie (évacuation facile/difficile, protection passive supplémentaire, etc.) ?
L'analyse des risques est effectuée sans tenir compte des mécanismes de sécurité ajoutés pour protéger les personnes. Elle permet d'obtenir une évaluation approximative du risque réel si aucune précaution n'est prise pour assurer la sécurité fonctionnelle du système.
Cette évaluation des risques permet de définir des niveaux de fiabilité cibles pour les fonctions de sécurité associées. Le tableau ci-dessous présente les différents niveaux de fiabilité pour un grand nombre de normes relatives à la sécurité fonctionnelle. Il donne également une approximation de l'équivalence des niveaux de sécurité entre les normes (par exemple, ISO 13849 PL e est proche de ISO 26262 ASIL-D).
Source : https://en.wikipedia.org/wiki/Automotive_Safety_Integrity_Level
Pour les normes ISO 26262 et ISO 13849, les risques sont évalués à l'aide de 3 critères :
-
- Exposition: représente la durée pendant laquelle les personnes sont exposées au risque lorsque la batterie est utilisée (c'est-à-dire chargée ou déchargée).
- Gravité: représente les conséquences d'une défaillance dangereuse du système de batterie.
- Contrôlabilité: représente la probabilité de limiter ou d'éviter les conséquences d'une défaillance dangereuse (évacuation, conduite dans un endroit sûr, etc.).
Un événement présentant une exposition élevée, une gravité élevée et une faible contrôlabilité donnera lieu à une évaluation ASIL-D selon la norme ISO 26262 et PL-e selon la norme ISO 13849. À l'inverse, une exposition faible, une gravité faible et une contrôlabilité élevée donneront lieu à une évaluation des risques PL-A selon la norme ISO 13849 et à aucun niveau ASIL selon la norme ISO 26262.
Paramètres de fiabilité
Une fois le risque évalué pour chaque événement dangereux, un objectif de fiabilité est fixé pour chaque objectif de sécurité. Un exemple partiel pour une batterie d'excavatrice sur un chantier de construction en extérieur avec la norme ISO 26262 est donné ci-dessous :
| Objectif de sécurité | Événement indésirable | Niveau ASIL |
| Feu | Incendie dû à une surtension causée par une mesure erronée de la tension des cellules | B |
| Incendie dû à une surchauffe causée par une mesure erronée de la température des cellules | B | |
| Incendie dû à une surintensité causée par une mesure incorrecte du courant | B |
Chaque fonction développée pour protéger contre les événements imprévus énumérés ci-dessus devra alors respecter les mesures de fiabilité établies par la norme en fonction de l'évaluation des risques (niveaux ASIL ou PL).
-
- Pour la norme ISO 13849, ces indicateurs sont les suivants :
- MTTFd : temps moyen avant défaillance dangereuse (voir le tableau des taux de défaillance ci-dessous)
- DC : Couverture diagnostique, reflète la capacité du système à détecter les défaillances dangereuses.
- Catégories : l'architecture du système peut être imposée en fonction du niveau PL ciblé et des métriques MTTFd et DC (voir graphique ci-dessous).
- Pour la norme ISO 13849, ces indicateurs sont les suivants :
-
- Pour la norme ISO 26262, aucune architecture n'est imposée, mais des mesures supplémentaires sont utilisées pour vérifier que la fiabilité de l'ensemble du système est au niveau souhaité :
- SPFM : Single Point Fault Metric (métrique de défaillance ponctuelle), évalue la robustesse d'un élément face à une défaillance ponctuelle due à la conception ou à la couverture d'un mécanisme de sécurité.
- LFM : Latent Fault Metric (métrique de défaillance latente), évalue la robustesse d'un élément face à une défaillance latente (défaillance invisible jusqu'à ce qu'un événement imprévu se produise).
- PMHF : Mesure probabiliste des défaillances matérielles aléatoires, évalue le risque résiduel de violation d'un objectif de sécurité (voir le tableau des taux de défaillance ci-dessous).
- Pour la norme ISO 26262, aucune architecture n'est imposée, mais des mesures supplémentaires sont utilisées pour vérifier que la fiabilité de l'ensemble du système est au niveau souhaité :
| ISO 26262 | Taux de défaillance (PMHF) | ISO 13849 | Taux de défaillance (MTTFd) |
| PL a | <10-4/h | ||
| PL b | <10-5/h | ||
| PL c | <3×10-5/h | ||
| ASIL A | (<10-6/h) | PL d | <10-6/h |
| ASIL B, C | <10-7/h | PL e | <10-7/h |
| ASIL D | <10-8/h |
WATTALPS ISO 26262 ASIL B/C Développement BMS
Le système de gestion de batterie WATTALPS comprend les fonctionnalités suivantes :
-
- Gestion de la sécurité des batteries (BSM)
- Gestion de la modularité des batteries (BMM)
- Gestion de l'interface batterie (BIM)
- Gestion thermique de la batterie (BTM)
- Gestion de la connectivité des batteries (BCM).
Le système de gestion de la sécurité des batteries (BSM) a été développé conformément aux exigences de la norme ISO 26262 ASIL C en matière de sécurité fonctionnelle.
Le système de batterie est considéré comme un « système hors contexte » afin de pouvoir être intégré dans différentes applications possibles. Le BSM WATTALPS comprend la capacité d'ouvrir les contacteurs principaux de la batterie afin de la mettre en état de sécurité. Afin de maintenir la batterie dans une zone de fonctionnement sûre, les composants suivants sont inclus dans le BSM :
-
- Carte esclave et connexion au module batterie
- Carte maître, logiciel et communication avec la carte esclave
- Boîte de jonction
- Gestion du chauffage de la batterie
- Détection du niveau d'un fluide diélectrique
- Interface avec l'application en cas de détection d'un défaut.
Vous trouverez ci-dessous un extrait des mesures effectuées par WATTALPS BSM et évaluées par une société spécialisée qui s'est associée à WATTALPS pour ce projet.
| événement indésirable | SPFM* | LFM* | PMHF* | ASIL* réalisable |
| Incendie dû à une surtension causée par une mesure erronée de la tension des cellules | 99,64% | 98,13% | 7,25×10-9 | D |
| Incendie dû à une surchauffe causée par une mesure erronée de la température des cellules | 99,23% | 97,99% | 6,06×10-9 | D |
| Incendie dû à une surintensité causée par une mesure incorrecte du courant | 98,15% | 96,78% | 2,42×10-8 | C |
* Ces mesures sont valables pour une configuration et un profil de mission donnés et peuvent varier selon l'application.
Toutes les fonctions de sécurité des batteries WATTALPS ont été évaluées, conçues et validées pour une tension d'application maximale de 800 V. Outre son BSM, WATTALPS a placé la sécurité au cœur de son développement avec :
-
- Cellules de qualité supérieure et de sécurité optimale provenant des meilleurs fournisseurs
- Aucun risque de court-circuit dû à une fuite du système de refroidissement liquide
- Non-propagation de l'emballement thermique au niveau du module et de la batterie
- Boîtier robuste IP67 conçu pour les environnements difficiles (chocs, vibrations, poussière, brouillard salin, humidité…)
- Produits hautement validés et testés ;
Si vous souhaitez approfondir le sujet de la sécurité fonctionnelle électronique, vous pouvez consulter ces documents de Cadence ou de TI.
