動力電池bms功能安全開發(fā)過程包括哪些內(nèi)容

1.功能安全的定義

不存在因電氣和電子系統(tǒng)故障而引起的不合理危險。因此，功能安全開發(fā)的首要任務(wù)是避免不可接受的風(fēng)險。BMS作為車輛零部件，在開發(fā)功能安全時，一般在概念階段從車輛層面的安全目標(biāo)獲得FSR（功能安全要求）。然后在概念階段從FSR分析電氣和電子層面的TSR（技術(shù)安全要求）。最后，分析裸金屬服務(wù)器軟硬件的功能安全要求。

概述

在ISO26262標(biāo)準(zhǔn)中，我們需要區(qū)分兩種類型的故障和錯誤：隨機故障和系統(tǒng)故障。在設(shè)計階段可以通過適當(dāng)?shù)姆椒ū苊庀到y(tǒng)故障，而隨機故障只能減少到可接受的水平。硬件上會發(fā)生系統(tǒng)性甚至隨機故障，而軟件故障則是更多的系統(tǒng)性故障。首先，根據(jù)安全目標(biāo)，確定安全等級。對于每個危險事件，根據(jù)暴露概率E、可控性 C 和嚴(yán)重性 S 三個要素確定其 ASIL 級別。

根據(jù)ISO26262的發(fā)展流程，從需求出發(fā)，包括概念設(shè)計、系統(tǒng)設(shè)計、硬件設(shè)計、軟件設(shè)計，直至最終的生產(chǎn)發(fā)布和售后維護，提出相應(yīng)的功能安全要求。它覆蓋了汽車的整個生命周期，從而保證了汽車電子產(chǎn)品功能的安全性和可靠性，即使功能出現(xiàn)故障，也不會造成危險。作為新能源汽車的關(guān)鍵，BMS的功能要求越來越復(fù)雜。BMS必須具有基本的采樣功能，例如電壓，電流和溫度。同時，它可以實時監(jiān)控電池的運行情況，并提供過壓、欠壓、過流、過溫等保護功能。以及SOP、SOC、SOH、故障診斷、平衡控制、熱管理、快慢充電管理等預(yù)測。將ISO26262標(biāo)準(zhǔn)的要求應(yīng)用于BMS的開發(fā)，將大大提高BMS的安全性。

ISO26262質(zhì)量管理體系認(rèn)證

如果將BMS視為脫離上下文的安全元件（獨立安全單元），則獨立安全單元的含義是在產(chǎn)品開發(fā)周期中暫時不考慮車輛中的其他元素。根據(jù)主機廠提供的安全目標(biāo)，BMS開發(fā)商和供應(yīng)商根據(jù)安全目標(biāo)推導(dǎo)出安全要求，其次是系統(tǒng)設(shè)計、硬件設(shè)計、軟件設(shè)計等。作為整車的一部分，整車上的一些功能會與電池系統(tǒng)相互作用，必須從相關(guān)項目的角度考慮其效果的結(jié)果。BMS是根據(jù)汽車電子的開發(fā)實踐和V型的主要工藝開發(fā)的，主機廠將參與V車型右側(cè)的測試部分。

3.相關(guān)術(shù)語定義

電池高壓系統(tǒng)主要由接線盒、模塊、電池均衡連接器、高壓連接器模塊、BMS組成。BMS通過傳感器收集電壓和溫度等數(shù)據(jù)進行處理，計算電池的SOC/SOH，并診斷故障。同時，通過車輛CAN與VCU進行信息交換。在定義相關(guān)項目時，有必要分析電池系統(tǒng)的組件并定義功能安全分析的范圍。下圖是電池系統(tǒng)的結(jié)構(gòu)和原理框圖。BMS承擔(dān)的功能安全目標(biāo)是在車輛相關(guān)項目層面實現(xiàn)的。在此基礎(chǔ)上，進行BMS產(chǎn)品的開發(fā)和驗證。

車輛邊界

4.開發(fā)過程從識別危險事件開始

根據(jù)不同的工況、不同的駕駛習(xí)慣、天氣狀況，分析大概率的危險事件，并將危險事件分配給系統(tǒng)的各個職能部門。在ISO26262-3中，Hazrad分析可以通過頭腦風(fēng)暴，DFMEA和其他方法進行確認(rèn)。以單體電池過充電的危險事件為例，根據(jù)ASIL級別的三個要素確定危險事件的等級。下表是對電池過充電的簡單HARA分析。在此表中，如果電池單元的熱失控導(dǎo)致車輛在城市道路上著火，則
ASIL 級別設(shè)置為 C;當(dāng)車輛處于相對較低的速度時，ASIL級別設(shè)置為A。 列出由于故障而導(dǎo)致功能故障的所有可能性;

匯總所有功能和故障，根據(jù)運行模式進行區(qū)分，形成危險事件矩陣。通過危害分析和風(fēng)險評估，定義危險事件的功能安全目標(biāo)。結(jié)合同一危險事件在不同場景下的安全等級，用最高功能安全等級作為危險事件的安全等級。以避免危險事件的發(fā)生，進而形成安全目標(biāo)。

可以從避免危險事件的角度考慮安全目標(biāo)，也可以從避免故障的角度提出安全目標(biāo)。例如，針對過放電引起的電池內(nèi)部短路火災(zāi)的危險，提出了安全目標(biāo)。從避免危險的角度提出安全目標(biāo)，防止過放電引起的電池短路起火，從避免失效避免溫度極限失效的角度提出安全目標(biāo)。安全目標(biāo)的ASIL級別是危險事件的最高級別。安全目標(biāo)的推導(dǎo)，推導(dǎo)出的一些安全相關(guān)參數(shù)也需要指定，這些參數(shù)包括：工作模式、容錯時間、安全狀態(tài)、功能冗余、

第二步是確定FSR的功能安全要求。每個安全目標(biāo)至少定義一個功能安全要求。盡管功能安全要求可以涵蓋多個安全目標(biāo)，但每個 FSR 都從相關(guān) SG
繼承了最高的 ASIL。通過分層方法，安全目標(biāo)來自風(fēng)險評估和危害分析，功能安全要求來自安全目標(biāo)。FSR 的功能安全級別自動繼承安全目標(biāo)的最高級別。

描述：為了防止電池因過放電引起的內(nèi)部短路而著火，檢測到過放電時應(yīng)切斷電流

5.從功能安全要求（FSR）中提取技術(shù)安全要求（TSR）

縱觀整個開發(fā)生命周期，技術(shù)安全要求是落實功能安全概念的技術(shù)要求，其意圖是從詳細的單級功能安全要求走向系統(tǒng)級安全技術(shù)要求。下表是將功能安全要求轉(zhuǎn)換為技術(shù)安全要求的栗子，僅供工藝參考。

開發(fā)生命周期

第四步是系統(tǒng)設(shè)計階段。系統(tǒng)和子系統(tǒng)需要實現(xiàn)上述技術(shù)安全要求，并需要反映上述定義的安全檢測和安全機制。應(yīng)將技術(shù)安全要求分配給系統(tǒng)設(shè)計要素，系統(tǒng)設(shè)計應(yīng)完成技術(shù)安全要求。關(guān)于技術(shù)安全要求的實現(xiàn)，在系統(tǒng)設(shè)計中應(yīng)考慮以下問題，定義系統(tǒng)架構(gòu)，為硬件和軟件分配TSR，同時定義軟硬件接口HIS。硬件和軟件接口規(guī)范應(yīng)明確硬件和軟件之間的交互，并與技術(shù)安全的概念保持一致，并應(yīng)包括硬件設(shè)備的組件，這些組件由軟件和硬件資源控制，以支持軟件的運行。系統(tǒng)設(shè)計，標(biāo)準(zhǔn)中給出了三個原則：模塊化、適當(dāng)粒度和簡單性。對于不同的安全級別，它強調(diào)不同方面的設(shè)計考慮。

5.硬件系統(tǒng)功能安全設(shè)計

硬件的詳細安全要求來自TSR、系統(tǒng)架構(gòu)和系統(tǒng)邊界HSI。根據(jù)ISO
6-4硬件安全要求第2.26262.8章規(guī)范應(yīng)包括所有與安全相關(guān)的硬件要求，硬件安全要求應(yīng)按照ISO6-9第26262章和第8章的要求進行驗證，以提供證據(jù)。硬件設(shè)計可以從硬件功能框圖開始，并應(yīng)顯示硬件框圖的所有元素和內(nèi)部接口。然后設(shè)計并驗證詳細的電路圖，最后通過演繹法（FTA）或電感法（FMEA）等方法驗證硬件架構(gòu)可能存在的故障。對于BMS系統(tǒng)來說，電池組電壓傳感器是非常重要的傳感器，因此需要針對不同的ASIL水平分析電池組電壓傳感器的不同故障模式。有些故障模式可以通過硬件需求來預(yù)防，有些故障模式可以分為軟件需求來預(yù)防。

如何設(shè)計每個技術(shù)安全要求與實際產(chǎn)品功能、技術(shù)開發(fā)水平、供應(yīng)商水平等密切相關(guān)，是不同廠家產(chǎn)品差異化的出發(fā)點。產(chǎn)品的具體實現(xiàn)有其各有各的思路，有的不應(yīng)用安全機制，直接要求元器件提高自身功能安全等級;有些選擇增加監(jiān)控機制或提供具有不同原則的冗余設(shè)計，以提高功能安全水平。

7.軟件系統(tǒng)設(shè)計

汽車行業(yè)的軟件開發(fā)一般遵循V模型，左側(cè)是開發(fā)過程，右側(cè)是相應(yīng)的測試過程。BMS軟件開發(fā)流程與ISO26262第六部分推薦的軟件開發(fā)流程V模式基本吻合，如下圖所示。在軟件架構(gòu)設(shè)計中，需要關(guān)注軟件的可維護性和可測試性。在汽車行業(yè)，軟件應(yīng)該考慮整個產(chǎn)品周期的可維護性，同時考慮軟件架構(gòu)的設(shè)計和測試的難易程度。在ISO
26262標(biāo)準(zhǔn)中，測試是一個非常重要的方面，任何設(shè)計也應(yīng)考慮測試的便利性。至此，該產(chǎn)品的設(shè)計開發(fā)工作已經(jīng)完成。

該標(biāo)準(zhǔn)推薦的軟件架構(gòu)設(shè)計原則如下：

方法

ASIL 水平

軟件組件的層次結(jié)構(gòu)

限制軟件組件的大小

限制接口的大小

每個組件內(nèi)的高內(nèi)聚力

軟件組件之間的低耦合

正確調(diào)度的屬性

限制中斷的使用

方法1b中的“有限”，lc le和1g表示最低水平，與其他設(shè)計考慮因素相平衡

例如，方法1d和le可以通過分離關(guān)注點來實現(xiàn)，這些關(guān)注點表示識別，打包和操作與特定想法，目標(biāo)，任務(wù)或目的相關(guān)的軟件部分的能力。

方法 1e 對軟件組件外部耦合的限制 使用的任何中斷都應(yīng)基于優(yōu)先級

軟件架構(gòu)級別標(biāo)準(zhǔn)推薦的錯誤處理機制如下：

靜態(tài)恢復(fù)機制

適度降級

獨立并行冗余

數(shù)據(jù)糾錯碼

靜態(tài)恢復(fù)機制可能包括使用恢復(fù)塊進行恢復(fù)、向后恢復(fù)、正向恢復(fù)和從備份恢復(fù)。

軟件級別的適度降級是指對不同功能進行優(yōu)先級排序，以盡量減少潛在故障對功能安全的不利影響。

獨立的并行冗余可以通過每個并行路徑中的不同軟件來實現(xiàn)。