動(dòng)力電池bms功能安全開發(fā)過程包括哪些內(nèi)容

1.功能安全的定義

不存在因電氣和電子系統(tǒng)故障而引起的不合理危險(xiǎn)。因此，功能安全開發(fā)的首要任務(wù)是避免不可接受的風(fēng)險(xiǎn)。BMS作為車輛零部件，在開發(fā)功能安全時(shí)，一般在概念階段從車輛層面的安全目標(biāo)獲得FSR（功能安全要求）。然后在概念階段從FSR分析電氣和電子層面的TSR（技術(shù)安全要求）。最后，分析裸金屬服務(wù)器軟硬件的功能安全要求。

概述

在ISO26262標(biāo)準(zhǔn)中，我們需要區(qū)分兩種類型的故障和錯(cuò)誤：隨機(jī)故障和系統(tǒng)故障。在設(shè)計(jì)階段可以通過適當(dāng)?shù)姆椒ū苊庀到y(tǒng)故障，而隨機(jī)故障只能減少到可接受的水平。硬件上會(huì)發(fā)生系統(tǒng)性甚至隨機(jī)故障，而軟件故障則是更多的系統(tǒng)性故障。首先，根據(jù)安全目標(biāo)，確定安全等級(jí)。對(duì)于每個(gè)危險(xiǎn)事件，根據(jù)暴露概率E、可控性 C 和嚴(yán)重性 S 三個(gè)要素確定其 ASIL 級(jí)別。

根據(jù)ISO26262的發(fā)展流程，從需求出發(fā)，包括概念設(shè)計(jì)、系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)，直至最終的生產(chǎn)發(fā)布和售后維護(hù)，提出相應(yīng)的功能安全要求。它覆蓋了汽車的整個(gè)生命周期，從而保證了汽車電子產(chǎn)品功能的安全性和可靠性，即使功能出現(xiàn)故障，也不會(huì)造成危險(xiǎn)。作為新能源汽車的關(guān)鍵，BMS的功能要求越來越復(fù)雜。BMS必須具有基本的采樣功能，例如電壓，電流和溫度。同時(shí)，它可以實(shí)時(shí)監(jiān)控電池的運(yùn)行情況，并提供過壓、欠壓、過流、過溫等保護(hù)功能。以及SOP、SOC、SOH、故障診斷、平衡控制、熱管理、快慢充電管理等預(yù)測。將ISO26262標(biāo)準(zhǔn)的要求應(yīng)用于BMS的開發(fā)，將大大提高BMS的安全性。

ISO26262質(zhì)量管理體系認(rèn)證

如果將BMS視為脫離上下文的安全元件（獨(dú)立安全單元），則獨(dú)立安全單元的含義是在產(chǎn)品開發(fā)周期中暫時(shí)不考慮車輛中的其他元素。根據(jù)主機(jī)廠提供的安全目標(biāo)，BMS開發(fā)商和供應(yīng)商根據(jù)安全目標(biāo)推導(dǎo)出安全要求，其次是系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)等。作為整車的一部分，整車上的一些功能會(huì)與電池系統(tǒng)相互作用，必須從相關(guān)項(xiàng)目的角度考慮其效果的結(jié)果。BMS是根據(jù)汽車電子的開發(fā)實(shí)踐和V型的主要工藝開發(fā)的，主機(jī)廠將參與V車型右側(cè)的測試部分。

3.相關(guān)術(shù)語定義

電池高壓系統(tǒng)主要由接線盒、模塊、電池均衡連接器、高壓連接器模塊、BMS組成。BMS通過傳感器收集電壓和溫度等數(shù)據(jù)進(jìn)行處理，計(jì)算電池的SOC/SOH，并診斷故障。同時(shí)，通過車輛CAN與VCU進(jìn)行信息交換。在定義相關(guān)項(xiàng)目時(shí)，有必要分析電池系統(tǒng)的組件并定義功能安全分析的范圍。下圖是電池系統(tǒng)的結(jié)構(gòu)和原理框圖。BMS承擔(dān)的功能安全目標(biāo)是在車輛相關(guān)項(xiàng)目層面實(shí)現(xiàn)的。在此基礎(chǔ)上，進(jìn)行BMS產(chǎn)品的開發(fā)和驗(yàn)證。

車輛邊界

4.開發(fā)過程從識(shí)別危險(xiǎn)事件開始

根據(jù)不同的工況、不同的駕駛習(xí)慣、天氣狀況，分析大概率的危險(xiǎn)事件，并將危險(xiǎn)事件分配給系統(tǒng)的各個(gè)職能部門。在ISO26262-3中，Hazrad分析可以通過頭腦風(fēng)暴，DFMEA和其他方法進(jìn)行確認(rèn)。以單體電池過充電的危險(xiǎn)事件為例，根據(jù)ASIL級(jí)別的三個(gè)要素確定危險(xiǎn)事件的等級(jí)。下表是對(duì)電池過充電的簡單HARA分析。在此表中，如果電池單元的熱失控導(dǎo)致車輛在城市道路上著火，則
ASIL 級(jí)別設(shè)置為 C;當(dāng)車輛處于相對(duì)較低的速度時(shí)，ASIL級(jí)別設(shè)置為A。 列出由于故障而導(dǎo)致功能故障的所有可能性;

匯總所有功能和故障，根據(jù)運(yùn)行模式進(jìn)行區(qū)分，形成危險(xiǎn)事件矩陣。通過危害分析和風(fēng)險(xiǎn)評(píng)估，定義危險(xiǎn)事件的功能安全目標(biāo)。結(jié)合同一危險(xiǎn)事件在不同場景下的安全等級(jí)，用最高功能安全等級(jí)作為危險(xiǎn)事件的安全等級(jí)。以避免危險(xiǎn)事件的發(fā)生，進(jìn)而形成安全目標(biāo)。

可以從避免危險(xiǎn)事件的角度考慮安全目標(biāo)，也可以從避免故障的角度提出安全目標(biāo)。例如，針對(duì)過放電引起的電池內(nèi)部短路火災(zāi)的危險(xiǎn)，提出了安全目標(biāo)。從避免危險(xiǎn)的角度提出安全目標(biāo)，防止過放電引起的電池短路起火，從避免失效避免溫度極限失效的角度提出安全目標(biāo)。安全目標(biāo)的ASIL級(jí)別是危險(xiǎn)事件的最高級(jí)別。安全目標(biāo)的推導(dǎo)，推導(dǎo)出的一些安全相關(guān)參數(shù)也需要指定，這些參數(shù)包括：工作模式、容錯(cuò)時(shí)間、安全狀態(tài)、功能冗余、

第二步是確定FSR的功能安全要求。每個(gè)安全目標(biāo)至少定義一個(gè)功能安全要求。盡管功能安全要求可以涵蓋多個(gè)安全目標(biāo)，但每個(gè) FSR 都從相關(guān) SG
繼承了最高的 ASIL。通過分層方法，安全目標(biāo)來自風(fēng)險(xiǎn)評(píng)估和危害分析，功能安全要求來自安全目標(biāo)。FSR 的功能安全級(jí)別自動(dòng)繼承安全目標(biāo)的最高級(jí)別。

描述：為了防止電池因過放電引起的內(nèi)部短路而著火，檢測到過放電時(shí)應(yīng)切斷電流

5.從功能安全要求（FSR）中提取技術(shù)安全要求（TSR）

縱觀整個(gè)開發(fā)生命周期，技術(shù)安全要求是落實(shí)功能安全概念的技術(shù)要求，其意圖是從詳細(xì)的單級(jí)功能安全要求走向系統(tǒng)級(jí)安全技術(shù)要求。下表是將功能安全要求轉(zhuǎn)換為技術(shù)安全要求的栗子，僅供工藝參考。

開發(fā)生命周期

第四步是系統(tǒng)設(shè)計(jì)階段。系統(tǒng)和子系統(tǒng)需要實(shí)現(xiàn)上述技術(shù)安全要求，并需要反映上述定義的安全檢測和安全機(jī)制。應(yīng)將技術(shù)安全要求分配給系統(tǒng)設(shè)計(jì)要素，系統(tǒng)設(shè)計(jì)應(yīng)完成技術(shù)安全要求。關(guān)于技術(shù)安全要求的實(shí)現(xiàn)，在系統(tǒng)設(shè)計(jì)中應(yīng)考慮以下問題，定義系統(tǒng)架構(gòu)，為硬件和軟件分配TSR，同時(shí)定義軟硬件接口HIS。硬件和軟件接口規(guī)范應(yīng)明確硬件和軟件之間的交互，并與技術(shù)安全的概念保持一致，并應(yīng)包括硬件設(shè)備的組件，這些組件由軟件和硬件資源控制，以支持軟件的運(yùn)行。系統(tǒng)設(shè)計(jì)，標(biāo)準(zhǔn)中給出了三個(gè)原則：模塊化、適當(dāng)粒度和簡單性。對(duì)于不同的安全級(jí)別，它強(qiáng)調(diào)不同方面的設(shè)計(jì)考慮。

5.硬件系統(tǒng)功能安全設(shè)計(jì)

硬件的詳細(xì)安全要求來自TSR、系統(tǒng)架構(gòu)和系統(tǒng)邊界HSI。根據(jù)ISO
6-4硬件安全要求第2.26262.8章規(guī)范應(yīng)包括所有與安全相關(guān)的硬件要求，硬件安全要求應(yīng)按照ISO6-9第26262章和第8章的要求進(jìn)行驗(yàn)證，以提供證據(jù)。硬件設(shè)計(jì)可以從硬件功能框圖開始，并應(yīng)顯示硬件框圖的所有元素和內(nèi)部接口。然后設(shè)計(jì)并驗(yàn)證詳細(xì)的電路圖，最后通過演繹法（FTA）或電感法（FMEA）等方法驗(yàn)證硬件架構(gòu)可能存在的故障。對(duì)于BMS系統(tǒng)來說，電池組電壓傳感器是非常重要的傳感器，因此需要針對(duì)不同的ASIL水平分析電池組電壓傳感器的不同故障模式。有些故障模式可以通過硬件需求來預(yù)防，有些故障模式可以分為軟件需求來預(yù)防。

如何設(shè)計(jì)每個(gè)技術(shù)安全要求與實(shí)際產(chǎn)品功能、技術(shù)開發(fā)水平、供應(yīng)商水平等密切相關(guān)，是不同廠家產(chǎn)品差異化的出發(fā)點(diǎn)。產(chǎn)品的具體實(shí)現(xiàn)有其各有各的思路，有的不應(yīng)用安全機(jī)制，直接要求元器件提高自身功能安全等級(jí);有些選擇增加監(jiān)控機(jī)制或提供具有不同原則的冗余設(shè)計(jì)，以提高功能安全水平。

7.軟件系統(tǒng)設(shè)計(jì)

汽車行業(yè)的軟件開發(fā)一般遵循V模型，左側(cè)是開發(fā)過程，右側(cè)是相應(yīng)的測試過程。BMS軟件開發(fā)流程與ISO26262第六部分推薦的軟件開發(fā)流程V模式基本吻合，如下圖所示。在軟件架構(gòu)設(shè)計(jì)中，需要關(guān)注軟件的可維護(hù)性和可測試性。在汽車行業(yè)，軟件應(yīng)該考慮整個(gè)產(chǎn)品周期的可維護(hù)性，同時(shí)考慮軟件架構(gòu)的設(shè)計(jì)和測試的難易程度。在ISO
26262標(biāo)準(zhǔn)中，測試是一個(gè)非常重要的方面，任何設(shè)計(jì)也應(yīng)考慮測試的便利性。至此，該產(chǎn)品的設(shè)計(jì)開發(fā)工作已經(jīng)完成。

該標(biāo)準(zhǔn)推薦的軟件架構(gòu)設(shè)計(jì)原則如下：

方法

ASIL 水平

軟件組件的層次結(jié)構(gòu)

限制軟件組件的大小

限制接口的大小

每個(gè)組件內(nèi)的高內(nèi)聚力

軟件組件之間的低耦合

正確調(diào)度的屬性

限制中斷的使用

方法1b中的“有限”，lc le和1g表示最低水平，與其他設(shè)計(jì)考慮因素相平衡

例如，方法1d和le可以通過分離關(guān)注點(diǎn)來實(shí)現(xiàn)，這些關(guān)注點(diǎn)表示識(shí)別，打包和操作與特定想法，目標(biāo)，任務(wù)或目的相關(guān)的軟件部分的能力。

方法 1e 對(duì)軟件組件外部耦合的限制 使用的任何中斷都應(yīng)基于優(yōu)先級(jí)

軟件架構(gòu)級(jí)別標(biāo)準(zhǔn)推薦的錯(cuò)誤處理機(jī)制如下：

靜態(tài)恢復(fù)機(jī)制

適度降級(jí)

獨(dú)立并行冗余

數(shù)據(jù)糾錯(cuò)碼

靜態(tài)恢復(fù)機(jī)制可能包括使用恢復(fù)塊進(jìn)行恢復(fù)、向后恢復(fù)、正向恢復(fù)和從備份恢復(fù)。

軟件級(jí)別的適度降級(jí)是指對(duì)不同功能進(jìn)行優(yōu)先級(jí)排序，以盡量減少潛在故障對(duì)功能安全的不利影響。

獨(dú)立的并行冗余可以通過每個(gè)并行路徑中的不同軟件來實(shí)現(xiàn)。