點(diǎn)擊上面 “電動知家”可以訂閱哦！

BMS功能安全開發(fā)流程詳解

BMS和ISO26262 - BMS & ISO26262簡介

BMS即Battery Management System，電池管理系統(tǒng)。作為新能源汽車“三電”核心技術(shù)之一，BMS在新能源車上扮演十分重要的作用。按照新能源汽車對電池管理的需求，BMS具備的功能包括電壓/溫度/電流采樣及相應(yīng)的過壓、欠壓、過溫、過流保護(hù)，SOC/SOH估算、SOP預(yù)測、故障診斷、均衡控制、熱管理和充電管理等。

為了保證汽車電子電氣的可靠性設(shè)計(jì)， 在2011年發(fā)布了IS0 26262道路車輛功能安全標(biāo)準(zhǔn)）, IS0 26262 標(biāo)準(zhǔn)是源于工業(yè)功能安全標(biāo)準(zhǔn)(IEC61508)[1]。目前許多汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過程中采用ISO26262這個(gè)標(biāo)準(zhǔn)，ISO26262包括了汽車電子電氣開發(fā)中與安全相關(guān)的所有應(yīng)用，制定了汽車整個(gè)生命周期中與安全相關(guān)的所有活動，ISO 26262從需求開始，當(dāng)中包括概念設(shè)計(jì)、軟硬件設(shè)計(jì)，直至最后的生產(chǎn)、操作，都提出了相應(yīng)的功能安全要求，其覆蓋了汽車整個(gè)生命周期，從而保證安全相關(guān)的電子產(chǎn)品的功能性失效不會造成危險(xiǎn)的發(fā)生。如下圖所示

1. 范圍及相關(guān)項(xiàng)

ISO26262適用于最大總質(zhì)量不超過3.5噸的量產(chǎn)成用車上的包含一個(gè)或多個(gè)電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。在這部分ISO26262和FMEA還是比較相似的，第一步是確定Scope，那些是研究范圍之內(nèi)的。對高壓電池系統(tǒng)而言，ISO26262適用于電池包電氣系統(tǒng)及BMS系統(tǒng)，而不適用于電池包的電芯及機(jī)械結(jié)構(gòu)件等。

1）Function Safety Definition

功能安全：不存在由電子電氣系統(tǒng)的功能異常而引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。

為了保證避免不可接受的風(fēng)險(xiǎn)，功能安全開發(fā)流程在在ISO262262標(biāo)準(zhǔn)中進(jìn)行了詳細(xì)的闡述。概念階段的function safety requirements應(yīng)當(dāng)能夠滿足整車層面的Safety Goal，電子電氣層面的開發(fā)出來的technical safety requirements同時(shí)也應(yīng)該滿足概念階段的function safety requirements，最后一步是確定零部件級別的軟件和硬件的功能安全需求。下圖是ISO26262開發(fā)途徑。

2）Fault, Errors and Failures Definitions

Fault（故障）：可引起要素或相關(guān)項(xiàng)失效的異常情況

Errors (錯誤)：計(jì)算的、觀測的、測量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異

Failure（失效）：要素按要求執(zhí)行功能的能力的終止

基于上面的定義，他們之間存在一定的因果關(guān)系，故障會產(chǎn)生錯誤，而錯誤會引起功能或者系統(tǒng)的失效，如果下圖。

在ISO26262標(biāo)準(zhǔn)中，我們要區(qū)分兩類故障、錯誤和失效：隨機(jī)和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計(jì)階段通過合適的方法來避免，而隨機(jī)性失效只能降低到可接受程度。系統(tǒng)性甚至隨機(jī)性失效會發(fā)生在硬件當(dāng)中，而軟件的失效更多的是系統(tǒng)性的失效。

失效同時(shí)還可以分為單點(diǎn)失效和多點(diǎn)失效。

單點(diǎn)失效：要素中沒有被安全機(jī)制所覆蓋，并且直接導(dǎo)致違背安全目標(biāo)的故障

多點(diǎn)失效：由幾個(gè)獨(dú)立的故障組合引發(fā)，直接導(dǎo)致違背安全目標(biāo)的失效。

在多點(diǎn)失效中有個(gè)特別的失效叫雙點(diǎn)失效。由兩個(gè)獨(dú)立故障組合引起的，直接導(dǎo)致違背安全目標(biāo)的失效。

故障發(fā)生的時(shí)間關(guān)系如下圖所示

診斷測試時(shí)間間隔（diagnostic test interval）：通過安全機(jī)制執(zhí)行在線診斷測試時(shí)間間隔

故障響應(yīng)時(shí)間（fault reaction time）:從故障探測到進(jìn)入安全狀態(tài)的時(shí)間間隔

3）Risk Definition

風(fēng)險(xiǎn)可以看成一個(gè)功能函數(shù)F，一個(gè)變量frequency of occurrence (f)，controllability (C)，potential severity (S)功能函數(shù)

其中f是Exposure（E）危害時(shí)間發(fā)生概率λ的函數(shù)

ISO26262標(biāo)準(zhǔn)中分別對E，C，S進(jìn)行了相應(yīng)的定義

a. 對于每一個(gè)危害事件，應(yīng)基于確定的理由預(yù)估每個(gè)運(yùn)行場景的暴露概率。按照下表，應(yīng)為暴露概率指定一個(gè)E0、E1、E2、E3或E4的概率等級。

b. 對于每一個(gè)危害事件，應(yīng)基于一個(gè)確定的理由預(yù)估駕駛員或其他潛在處于風(fēng)險(xiǎn)的人員對該危害事件的可控性。按照下表，應(yīng)為可控性指定一個(gè)C0、C1、C2或C3的可控性等級。

c. 對于每一個(gè)危害事件，應(yīng)基于一個(gè)已確定的理由來預(yù)估潛在傷害的嚴(yán)重度。根據(jù)下表，應(yīng)為嚴(yán)重度指定一個(gè)S0、S1、S2或S3的嚴(yán)重度等級

d. 每一個(gè)危害事件的ASIL等級應(yīng)使用“嚴(yán)重度”、“暴露概率”和“可控性”這三個(gè)參數(shù)根據(jù)下表來確定

由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分，EUCAR定義了高壓電池系統(tǒng)的危害等級。

當(dāng)BMS不能夠很好的監(jiān)測或者保護(hù)電芯時(shí)，上表中的危害事件就有可能發(fā)生。ISO26262的目標(biāo)是保護(hù)乘客受到危害，因?yàn)樯媳鞮evel 5以上就算是嚴(yán)重危害事件了。因此有必要定義一個(gè)電芯工作的最大允許危害級別，5以上時(shí)肯定不允許的。

ASIL等級 - ISO26262在BMS開發(fā)中的應(yīng)用

1. 相關(guān)項(xiàng)定義，ASIL等級，安全目標(biāo)

如下圖所示，第一步通過不同的駕駛情況，不同的環(huán)境來確定不同的場景；第二步分析不同場景下的事故所以引起的Hazard Situation. 第三步確定這些Hazard Situation的ASIL 等級，這一部分有很大的主觀因素，每個(gè)公司考慮問題的角度不一樣，針對不同的Hazard Situation設(shè)定的ASIL 等級也會不一樣。比如有些OEM定義熱失控的ASIL LEVEL為C，有些OEM設(shè)定熱失控 ASIL LEVEL 為D，不過目前來看熱失控以后的ASIL LEVEL會是D，在知乎上看有人說以后大眾的高壓電池包的安全等級為D，他說的這個(gè)電池包應(yīng)該是指電池包里面的電氣架構(gòu)包括BMS。

ISO 26262-3 Scheme ?TüV Süd

第四步根據(jù)上一步確定的不同的故障模型Harzard Situation ASIL的最大ASIL等級。第五步根據(jù)上一步確定的最大ASIL等級就可以設(shè)定Safety Goal了。在上篇文章中簡單介紹了功能安全的開發(fā)途徑，在開發(fā)途徑中，Safety Goal是Top Level的Safety Requirements，直接來自于HARA（hazard analysis and risk assessment）。第七步，根據(jù)Safety Goal就可以導(dǎo)出 Saftety Requirements。

因?yàn)镮SO26262涉及到產(chǎn)品的整個(gè)開發(fā)周期，那么誰該負(fù)責(zé)這整個(gè)流程，主機(jī)廠還是供應(yīng)商？如果BMS是由供應(yīng)商開發(fā)提供給主機(jī)廠，那么理論上前5步都應(yīng)該是主機(jī)廠來主導(dǎo)分析，輸出Saftety Goal給供應(yīng)商，供應(yīng)商根據(jù)Satety Goal導(dǎo)出Saftety Requirements，接著是系統(tǒng)設(shè)計(jì)，硬件設(shè)計(jì)，軟件設(shè)計(jì)等。同時(shí)主機(jī)成也會參與到V模型右邊的測試部分。

根據(jù)上面的分析，我們將BMS最為一個(gè)safety element out of context（獨(dú)立安全單元），獨(dú)立安全單元的意思在在產(chǎn)品的開發(fā)周期內(nèi)，不用考慮整車內(nèi)其它要素（element）。

a. Item Definition

Item dedinition首先要確定item的scope，item的邊界及與item相關(guān)的部件，確定item與外界部件的交互接口，CAN信號，傳感器信號等等。一般通常采用方框來表示item的elements，通過這些elements和elements之間的信息交互，就能夠確定這個(gè)系統(tǒng)的大致架構(gòu)。

如果下圖a是一個(gè)電池系統(tǒng)的方塊圖，電池高壓系統(tǒng)主要有Junction box，Modules，cell balance interconnect circuit, HV contactor module, BMS等。BMS通過將傳感器采集的數(shù)據(jù)進(jìn)行處理，計(jì)算電池SOC/SOH，故障診斷等，同時(shí)通過整車CAN與VCU進(jìn)行信息交互。b圖是a圖所對應(yīng)的item defintion。一個(gè)A00級的BEV電池包。

a) Preliminary architecture of the hypothetical Li-ion battery system

b) Key elements and signals within the energy storage system

點(diǎn)畫線表示高壓電池系統(tǒng)的邊界線，高壓系統(tǒng)的與外界的交互信號分成了下表中的七大類。

上面定義了不同類的子系統(tǒng)，下面這張圖是上圖中（connected modules）連接模組的框框圖。

下面這張圖是上面連接模組的進(jìn)一步分解的模組框框圖及信號流。

這樣一層一層像剝洋蔥一樣分解系統(tǒng)，很方便追溯所有信號來源。系統(tǒng)與其他外部部件之間的聯(lián)系，系統(tǒng)內(nèi)部之間的聯(lián)系，子系統(tǒng)之間的聯(lián)系，一目了然。比如我們想追蹤溫度傳感器的信號流，首先可以從模組框框圖開始，temperature sensor 到 monitoring unit， monitoring unit 與外部的 internal communication交互信息，上一次的連接模組的 internal communication 與外界的 Junction box通過內(nèi)部通訊交換信息Top level 的 junction box 與外界的整車控制器交互信息。

這篇文章里的Itemdefinition是針對高壓電池包，我直接引用。BMS系統(tǒng)沒有這么多子系統(tǒng)，但是在工作中發(fā)現(xiàn)，其實(shí)把高壓系統(tǒng)的電氣系統(tǒng)和BMS作為一個(gè)大系統(tǒng)，進(jìn)行功能安全分析更全面，工作也更好展開。

在第二篇中，進(jìn)行了概念階段的ite definition分析，item definition應(yīng)當(dāng)盡可能將系統(tǒng)的接口描述清楚。比如電池系統(tǒng)電壓分類，高壓線路的功率能力，CAN通信協(xié)議和其他信號的說明，信號電壓電流范圍，正常值等。

Item definition,不僅需要將系統(tǒng)的功能描述清楚，同時(shí)也要將item的失效模式描述清楚，這樣才能清楚知道tiem應(yīng)該是怎么樣，而不應(yīng)該出現(xiàn)某些哪些表現(xiàn)形式。在ISO26262-3中，Hazrad可以通過，brainstorm或者DFMEA等方法來確認(rèn)，從整車級別分析這些危害會對車輛或者乘客造成的影響。這個(gè)階段的DFMEA我們可以不用考慮造成這些危害的可能原因有哪些，在后面的DFEMA工作中可以具體來分析造成這些hardzard的可能原因。

下表是根據(jù)上圖HARA(Hazard Analysis and Risk Assessment)得到的。定義了93個(gè)功能和136個(gè)malfunction.

在該文章中選取了6個(gè)路況，subterranean garage, small streets, middle streets, large streets, highway and motorway，同時(shí)選取了23個(gè)常見的駕駛工況，常見的天氣情況對場景的影響，最后得到了3128個(gè)可能性較大的危害事件。3128還是個(gè)非常大的數(shù)字，如果一條一條的分析，是個(gè)巨大的工作。文章中提高，他們團(tuán)隊(duì)有來不自不同部門的經(jīng)驗(yàn)豐富的工程師有整車部門，電芯部門，pack部門，EE等，最后團(tuán)隊(duì)從這3128危害事件中選擇了142個(gè)進(jìn)行進(jìn)一步分析。

在定義好了malfunction后，就可以根據(jù)Risk definiton中的三個(gè)參數(shù)S(Severity),E( Exposure), C(Controllability)來確定危害的ASIL 等級了。下表是一個(gè)簡單的電芯過放的HARA分析。在這個(gè)表格里面，在城市道路上發(fā)生電芯熱失控導(dǎo)致車輛起火，定的ASIL Level是C；車輛在速度比較低的時(shí)候，定的ASIL Level是A。

下表是另外一個(gè)文章中過放的HRAR分析：

這兩個(gè)表格中參數(shù)C（Controllability）很大程度上取決于駕駛員將車輛停靠在安全位置的速度，車速越快，車速越快駕駛員需要更多的時(shí)間找一個(gè)安全位置將電芯熱失控的車輛安置好。這兩個(gè)表格中第二行S/E/C的值都是一樣，而ASIL LEVEL卻不一樣，納尼？？？

有個(gè)很簡單的公式來確定確定ASIL LEVEL。如果S+E+C的值小于7，那么ASIL LEVEL是A，詳細(xì)如下表。所以第二個(gè)表格中的ASIL LEVEL應(yīng)該C，文章的小瑕疵。

下表是一篇文章對一個(gè)高壓電池包HARA分析后給出的Safety Goal.同上面兩個(gè)對比，不同的公司或組織對相同的Malfunction給出的ASIL LEVEL是不同的，上面兩個(gè)表格對過充的ASIL LEVEL是C，下表為D。

由Saftey Goal衍生出的安全目標(biāo)應(yīng)該考慮一下內(nèi)容

· 運(yùn)行模式

· 故障容錯時(shí)間區(qū)間（間隔）；或故障容錯時(shí)間

· 安全狀態(tài)

· 緊急操作時(shí)間區(qū)間

· 功能冗余（例如故障容錯）

應(yīng)為每一個(gè)安全目標(biāo)定義至少一項(xiàng)功能安全要求，盡管一個(gè)功能安全要求能夠cover不止一條安全目標(biāo)，每一條FSR從相關(guān)SG繼承最高的ASIL。然后將FSR分配給相關(guān)項(xiàng)。比如下表中的SG1定義了兩個(gè)FSR。

在ISO26262-9中定義了ASIL分解，為了降低安全目標(biāo)實(shí)施成本，可以將一個(gè)高ASIL安全目標(biāo)分解成兩個(gè)相互獨(dú)立的低一級安全目標(biāo)。拿文中的SG1-預(yù)防過放作為一個(gè)例子，在這里我們假設(shè)負(fù)載只有驅(qū)動電機(jī)，可以通過將SG1分解成兩個(gè)獨(dú)立的FSR。FSR1.2a:在x ms內(nèi)斷開高壓回路，F(xiàn)SR1.2a：通過CAN報(bào)文請求負(fù)載將需求功率降低為0。

技術(shù)安全要求導(dǎo)出

在第三篇中介紹了功能安全概念的目的是從安全目標(biāo)（SR）中得出功能安全要求（FSR），并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。

技術(shù)安全要求導(dǎo)出

圖1說明了通過分層的方法，從危害分析和風(fēng)險(xiǎn)評估得出安全目標(biāo)，再由安全目標(biāo)得出功能安全要求。

圖1 安全目標(biāo)和功能安全要求層級

圖2給出了ISO26262相應(yīng)部分中的安全要求的結(jié)構(gòu)和分布的說明。將功能安全要求分配給初步架構(gòu)要素。

圖2 安全要求的結(jié)構(gòu)

技術(shù)安全要求（TSR）是對功能安全要求（FSR）提煉，細(xì)化了功能安全的概念，同時(shí)考慮功能性的概念和初步的體系架構(gòu)。通過分析技術(shù)安全需要來驗(yàn)證符合功能安全需求。在整個(gè)開發(fā)生命周期，技術(shù)安全需求是要落實(shí)功能安全概念的技術(shù)要求，其用意是從細(xì)節(jié)的單級功能安全要求到系統(tǒng)級的安全技術(shù)要求。

技術(shù)安全要求應(yīng)根據(jù)功能安全概念、相關(guān)項(xiàng)的初步架構(gòu)設(shè)想和如下系統(tǒng)特性來定義：

a. 外部接口，如通訊和用戶接口，如果適用；

b. 限制條件，例如環(huán)境條件或者功能限制；以及

c. 系統(tǒng)配置要求。

系統(tǒng)設(shè)計(jì)

基于概念階段的基本系統(tǒng)架構(gòu)，功能安全概念，技術(shù)安全要求和非功能性要求，按照ISO26262的下一步流程就是系統(tǒng)設(shè)計(jì)了。在這個(gè)階段，系統(tǒng)及子系統(tǒng)需要上面所定義的貫徹技術(shù)安全要求，需要反映前面定義的安全檢測及安全機(jī)制。

技術(shù)安全要求的應(yīng)分配給系統(tǒng)設(shè)計(jì)要素，同時(shí)系統(tǒng)設(shè)計(jì)應(yīng)完成技術(shù)安全要求，關(guān)于技術(shù)安全要求的實(shí)現(xiàn)，在系統(tǒng)設(shè)計(jì)中應(yīng)考慮如下問題：

a. 系統(tǒng)設(shè)計(jì)的可驗(yàn)證性

b. 軟件硬件的技術(shù)實(shí)現(xiàn)性

c. 系統(tǒng)集成中的執(zhí)行測試能力

系統(tǒng)和子系統(tǒng)架構(gòu)應(yīng)該滿足各自ASIL 等級的技術(shù)安全需求，每個(gè)元素應(yīng)實(shí)現(xiàn)最高的ASIL技術(shù)安全需求，如果一個(gè)系統(tǒng)包含的子系統(tǒng)有不同的ASIL 等級，或者是安全相關(guān)的子系統(tǒng)和非安全相關(guān)的子系統(tǒng)，那么這些系統(tǒng)應(yīng)該以最高的ASIL等級來處理。

在系統(tǒng)設(shè)計(jì)階段，為了避免系統(tǒng)系失效，ISO26262針對不同的ASIL等級推薦了不同的分析方法，如FMEA,FAT等。如表1。由于內(nèi)因或者外因而引起系統(tǒng)失效應(yīng)當(dāng)避免或者消除。

為減少系統(tǒng)性失效, 宜應(yīng)用值得信賴的汽車系統(tǒng)設(shè)計(jì)原則. 這些原則可能包括：

a. 值得信賴的技術(shù)安全概念的再利用；

b. 值得信賴的要素設(shè)計(jì)的再利用, 包括硬件和軟件組件；

c. 值得信賴的探測和控制失效的機(jī)制的再利用, 及

d. 值得信賴的或標(biāo)準(zhǔn)化接口的再利用。

為了確保值得信賴的設(shè)計(jì)原則或要素在新相關(guān)項(xiàng)中的適用性, 應(yīng)分析其應(yīng)用結(jié)果, 以及應(yīng)在再利用之前檢查其基本設(shè)想。

ASIL A、B、C、D 規(guī)定：為避免高復(fù)雜性帶來的故障，架構(gòu)設(shè)計(jì)應(yīng)該根據(jù)表2 中的原則來展現(xiàn)下列的屬性：模塊化，層次化，簡單化

基于上面定義的TSR和概念階段定義的基本架構(gòu)圖，圖4是精煉之后的BMS系統(tǒng)架構(gòu)圖。

圖4

下一步是定義系統(tǒng)架構(gòu)，分配TSR給硬件和軟件，同時(shí)定義好軟件硬件接口HIS。

軟硬件接口規(guī)范應(yīng)規(guī)定的硬件和軟件的交互，并與技術(shù)安全的概念是一致的，應(yīng)包括組件的硬件設(shè)備，是由軟件和硬件資源控制支持軟件運(yùn)行的。軟硬件接口規(guī)范應(yīng)包括下面屬性：

a. 硬件設(shè)備的工作模式和相關(guān)的配置參數(shù)， 硬件設(shè)備的操作模式，如：缺省模式，

b. 初始化，測試或高級模式， 配置參數(shù)，如：增益控制，帶通頻率或時(shí)鐘分頻器。

c. 確保單元之間的獨(dú)立性和支持軟件分區(qū)的硬件特性

d. 共享和專用硬件資源，如內(nèi)存映射，寄存器，定時(shí)器，中斷，I / O 端口的分配。

e. 硬件設(shè)備的獲取機(jī)制，如串口，并口，從，主/從

f. 每個(gè)涉及技術(shù)安全概念的時(shí)序約束

硬件和其使用的軟件的相關(guān)診斷功能應(yīng)在軟硬件接口規(guī)范中規(guī)定：

a. 硬件診斷功能應(yīng)定義，例，檢測過流，短路或過熱

b. 在軟件中實(shí)現(xiàn)的硬件診斷功能

軟硬件接口規(guī)范在系統(tǒng)設(shè)計(jì)時(shí)制定，在硬件開發(fā)和軟件開發(fā)時(shí)被進(jìn)一步細(xì)化。應(yīng)使用表3列出的方法驗(yàn)證系統(tǒng)設(shè)計(jì)對于技術(shù)安全概念的符合性和完備性。

硬件系統(tǒng)功能安全設(shè)計(jì)

硬件的詳細(xì)安全需求來自于TSR，系統(tǒng)架構(gòu)及系統(tǒng)邊界HSI。

硬件系統(tǒng)功能安全設(shè)計(jì)

根據(jù)ISO 26262-8章節(jié)6.4.2 硬件安全需求規(guī)范應(yīng)包括與安全相關(guān)的每一條硬件要求，包括以下：

a. 為控制要素硬件內(nèi)部失效的安全機(jī)制的硬件安全要求和相關(guān)屬性，這包括用來覆蓋相關(guān)瞬態(tài)故障(例如，由于所使用的技術(shù)而產(chǎn)生的瞬態(tài)故障)的內(nèi)部安全機(jī)制；

b. 為確保要素對外部失效容錯的硬件安全要求和安全機(jī)制的相關(guān)屬性。

c. 為符合其它要素的安全要求的硬件安全要求和安全機(jī)制的相關(guān)屬性；

d. 為探測內(nèi)外部失效和發(fā)送失效信息的硬件安全要求及安全機(jī)制的相關(guān)屬性；及

e. 沒有定義安全機(jī)制的硬件安全要求。

硬件安全要求應(yīng)按照ISO26262-8第6章和第9章的要求進(jìn)行驗(yàn)證，以提供證據(jù)證明。硬件設(shè)計(jì)可以硬件功能方塊圖開始，硬件方塊圖的所有的元素和內(nèi)部接口應(yīng)當(dāng)展示出來。然后設(shè)計(jì)和驗(yàn)證詳細(xì)的電路圖，最后通過演繹法（FTA）或者歸納法（FMEA）等方法來驗(yàn)證硬件架構(gòu)可能出現(xiàn)的故障。

對系統(tǒng)設(shè)計(jì)來講最大的挑戰(zhàn)是滿足ISO26262硬件架構(gòu)度量。針對ASIL C或D，ISO26262強(qiáng)烈推薦計(jì)算單失效和潛在失效概率。具體計(jì)算法見ISO26262-8附件。針對單點(diǎn)故障SPF (single-point faults),被稱為單點(diǎn)故障度量（single-pointfault metric -SPFM)，針對潛在失效故障，被稱為潛在故障度量（ latent-faultmetric-LFM）。對于每一個(gè)安全目標(biāo)，由ISO26262要求的“潛伏故障度量”的定量目標(biāo)值應(yīng)基于下列參考目標(biāo)值：

表1 SPFM和LFM推薦值

對BMS系統(tǒng)來講，電池包電壓傳感器是一個(gè)非常重要的傳感器，因此針對不同的ASIL等級需要分析電池包電壓傳感器不同的失效模式。下表是不同的ASIL級別所需要覆蓋到失效模式。

表2 電池包電壓傳感器常見失效模式及覆蓋度

ISO26262推薦用兩個(gè)可選的方法以評估違背安全目標(biāo)的殘余風(fēng)險(xiǎn)是否足夠低。

兩個(gè)方法都評估由單點(diǎn)故障、殘余故障和可能的雙點(diǎn)故障導(dǎo)致的違背安全目標(biāo)的殘余風(fēng)險(xiǎn)。如果顯示為與安全概念相關(guān)，也可考慮多點(diǎn)故障。在分析中，對殘余和雙點(diǎn)故障，將考慮安全機(jī)制的覆蓋率，并且，對雙點(diǎn)故障也將考慮暴露持續(xù)時(shí)間。

第一個(gè)方法包括使用概率的度量，即“隨機(jī)硬件失效概率度量”（probabilisticmetric for random hardware failures-PMHF），通過使用例如定量故障樹分析（FTA）或者（Failure Mode Effects and Diagnostic Analysis - FMEDA)及將此計(jì)算結(jié)果與目標(biāo)值相比較的方法，評估是否違背所考慮的安全目標(biāo)。

第二個(gè)方法包括獨(dú)立的評估每個(gè)殘余和單點(diǎn)故障，及每個(gè)雙點(diǎn)失效是否導(dǎo)致違背所考慮的安全目標(biāo)。此分析方法也可被考慮為割集分析。在文章[1]中選用第二種方法來驗(yàn)證BMS均衡電路的隨機(jī)失效，單點(diǎn)失效等。

在前面幾章分析過從HARA分析得到Safe Goal，從Safe Goal推導(dǎo)出FSR，從FSR推導(dǎo)出TSR。并以BMS的過充作為例子進(jìn)行了詳細(xì)的介紹。文章[1]選取了TI公司的BQ20Z80芯片，監(jiān)控四個(gè)cell電壓，管理均衡。圖1是電路原圖（表示看不清，可以看參考文獻(xiàn)[2]的高清大圖），該電路的核心元器件是ICBQ20Z80，BQ2940是過充二級保護(hù)芯片。文章針對過充保護(hù)功能，選擇方法2展開對安全目標(biāo)-“Battery overcharging shallbe prevented ”的隨機(jī)失效失效評估。該方法不僅考慮到錯誤發(fā)生的可能性同時(shí)還考慮到安全機(jī)制的有效性。文章評估了芯片BQ2940及采樣芯片BQ2931。

圖1 電芯電壓采樣均衡架構(gòu)圖

ISO 26262標(biāo)準(zhǔn)中引入了失效率等級。硬件元器件失效率的失效率等級評級應(yīng)按如下確定：

a. 失效率等級1 對應(yīng)的失效率應(yīng)少于ASILD 的目標(biāo)除以100（見表3）

b. 失效率等級2 對應(yīng)的失效率應(yīng)少于或等于10倍的失效率等級1 對應(yīng)的失效率（見表4）

表4 失效率等級

如果單點(diǎn)失效違背ASILC的安全目標(biāo)，那個(gè)對應(yīng)的合適的失效率等級為FRC 1或者有其他額外測量的FRC2

采樣均衡電路的失效可能會導(dǎo)致電芯過充，進(jìn)一步引起熱失控。因此根據(jù)SafetyGoal推導(dǎo)出的安全要求如圖2。

圖2 功能安全要求

這是安全目標(biāo)所導(dǎo)出想系統(tǒng)的TSR，需要從中分離出單獨(dú)跟硬件相關(guān)的或者和軟件硬件都相關(guān)的TSR，因此硬件的TSR為：

· Overcharge condition shall be detectedwithin Y ms and,

· Current to the battery shall beinterrupted within Z ms.

· 根據(jù)上面的分析有兩條TSR分配給了硬件系統(tǒng)。在文檔[1]中歸納總結(jié)了安全目標(biāo)的安全機(jī)制，見表5：

表5 分配給硬件的過充保護(hù)安全機(jī)制

· 實(shí)施安全機(jī)制中需要用到的硬件元器件預(yù)估失效率(failurein time- FIT)。用于確定硬件元器件失效率和失效模式分布的業(yè)界公認(rèn)的來源包括IEC/TR62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811,NPRD 95, EN 50129:2003, Annex C, IEC 2061:2005, Annex D, RIAC FMD97 和 MIL HDBK 338。文章[1]中選取數(shù)據(jù)庫MILHDBK 217和芯片供應(yīng)商所提供的數(shù)據(jù)來評估安全機(jī)制。

· 文章[1]中采用AFEBQ2931（TI）作為過充二級保護(hù)芯片，表是對過充保護(hù)的安全機(jī)制的評估。從下表格可以看出，安全目標(biāo)的失效模式覆蓋率為99%，針對不同的與之安全相關(guān)的部件。

表6 安全機(jī)制評估

· 一旦完成硬件架構(gòu)的設(shè)計(jì)和樣件設(shè)計(jì)，與之對應(yīng)的不同的元素，系統(tǒng)集成測試也應(yīng)該定義好。在ISO26262-8中，針對不同的ASIL等級推薦了不同的測試方法。

電池管理系統(tǒng)（BMS）為什么那么重要？年薪可達(dá)百萬！

吉利剛上市首款轎跑SUV星越，剛提車就起火！

中國燃油車全面禁售時(shí)間表發(fā)布！

吉利降薪了？NO，人家漲薪了！

感人！假如你那一位是從事新能源汽車行業(yè)的······

 重磅！清華大學(xué)撤銷汽車工程系建制

東風(fēng)董事長：中國汽車制造水平世界第一，你怎么看？

做好BMS？你必須懂得這些知識！

欠薪、欺騙、造假、不誠信，華泰汽車還能撐多久？！

極度困難！又一家新能源企業(yè)倒下！

電動知家，一個(gè)有價(jià)值的微信公眾號！

更多新能源電動汽車、無人駕駛最新行業(yè)資訊和專業(yè)知識，請關(guān)注“電動知家”微信公眾號（微信號ev_home）。

---