BMS功能安全開發(fā)流程(一):BMS和ISO26262
2017-10-31
近在了解學(xué)習(xí)關(guān)于ISO26262,看了一些文章,本身從事BMS相關(guān)的工作,想做一個(gè)關(guān)于BMS功能安全開發(fā)流程的筆記,分三篇文章,篇是關(guān)于BMS和ISO26262的簡(jiǎn)介。
BMS & ISO26262簡(jiǎn)介
BMS即Battery Management System,電池管理系統(tǒng)。作為新能源汽車“三電”核心技術(shù)之一,BMS在新能源車上扮演十分重要的作用。按照新能源汽車對(duì)電池管理的需求,BMS具備的功能包括電壓/溫度/電流采樣及相應(yīng)的過壓、欠壓、過溫、過流保護(hù),SOC/SOH估算、SOP預(yù)測(cè)、故障診斷、均衡控制、熱管理和充電管理等。
為了保證汽車電子電氣的可靠性設(shè)計(jì),?在2011年發(fā)布了IS0 26262道路車輛功能安全標(biāo)準(zhǔn)),?IS0 26262?標(biāo)準(zhǔn)是源于工業(yè)功能安全標(biāo)準(zhǔn)(IEC61508)[1]。目前許多汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過程中采用ISO26262這個(gè)標(biāo)準(zhǔn),ISO26262包括了汽車電子電氣開發(fā)中與安全相關(guān)的所有應(yīng)用,制定了汽車整個(gè)生命周期中與安全 相關(guān)的所有活動(dòng),ISO 26262從需求開始,當(dāng)中包括概念設(shè)計(jì)、軟硬件設(shè)計(jì),直至后的生產(chǎn)、操作,都提出了相應(yīng)的功能安全要求,其覆蓋了汽車整個(gè)生命周期,從而保證安全相關(guān)的電子產(chǎn)品的功能性失效不會(huì)造成危險(xiǎn)的發(fā)生。如下圖所示
1.???范圍及相關(guān)項(xiàng)
ISO26262適用于大總質(zhì)量不超過3.5噸的量產(chǎn)成用車上的包含一個(gè)或多個(gè)電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。在這部分ISO26262和FMEA還是比較相似的,步是確定Scope,那些是研究范圍之內(nèi)的。對(duì)高壓電池系統(tǒng)而言,ISO26262適用于電池包電氣系統(tǒng)及BMS系統(tǒng),而不適用于電池包的電芯及機(jī)械結(jié)構(gòu)件等。
1)Function Safety Definition
功能安全:不存在由電子電氣系統(tǒng)的功能異常而引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。
為了保證避免不可接受的風(fēng)險(xiǎn),功能安全開發(fā)流程在在ISO262262標(biāo)準(zhǔn)中進(jìn)行了詳細(xì)的闡述。概念階段的function safety requirements應(yīng)當(dāng)能夠滿足整車層面的Safety Goal,電子電氣層面的開發(fā)出來(lái)的technical safety requirements同時(shí)也應(yīng)該滿足概念階段的function safety requirements,后一步是確定零部件級(jí)別的軟件和硬件的功能安全需求。下圖是ISO26262開發(fā)途徑。
2)Fault, Errors and Failures Definitions
Fault(故障):可引起要素或相關(guān)項(xiàng)失效的異常情況
Errors (錯(cuò)誤):計(jì)算的、觀測(cè)的、測(cè)量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異
Failure(失效):要素按要求執(zhí)行功能的能力的終止
基于上面的定義,他們之間存在一定的因果關(guān)系,故障會(huì)產(chǎn)生錯(cuò)誤,而錯(cuò)誤會(huì)引起功能或者系統(tǒng)的失效,如果下圖。
在ISO26262標(biāo)準(zhǔn)中,我們要區(qū)分兩類故障、錯(cuò)誤和失效:隨機(jī)和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計(jì)階段通過合適的方法來(lái)避免,而隨機(jī)性失效只能降低到可接受程度。系統(tǒng)性甚至隨機(jī)性失效會(huì)發(fā)生在硬件當(dāng)中,而軟件的失效更多的是系統(tǒng)性的失效。
失效同時(shí)還可以分為單點(diǎn)失效和多點(diǎn)失效。
單點(diǎn)失效:要素中沒有被安全機(jī)制所覆蓋,并且直接導(dǎo)致違背安全目標(biāo)的故障
多點(diǎn)失效:由幾個(gè)獨(dú)立的故障組合引發(fā),直接導(dǎo)致違背安全目標(biāo)的失效。
在多點(diǎn)失效中有個(gè)特別的失效叫雙點(diǎn)失效。由兩個(gè)獨(dú)立故障組合引起的,直接導(dǎo)致違背安全目標(biāo)的失效。
故障發(fā)生的時(shí)間關(guān)系如下圖所示
診斷測(cè)試時(shí)間間隔(diagnostic test interval):通過安全機(jī)制執(zhí)行在線診斷測(cè)試時(shí)間間隔
故障響應(yīng)時(shí)間(fault reaction time):從故障探測(cè)到進(jìn)入安全狀態(tài)的時(shí)間間隔
3)Risk Definition
風(fēng)險(xiǎn)可以看成一個(gè)功能函數(shù)F,一個(gè)變量frequency of occurrence (f),controllability (C),potential severity (S)功能函數(shù)
其中f是Exposure(E)危害時(shí)間發(fā)生概率λ的函數(shù)
ISO26262標(biāo)準(zhǔn)中分別對(duì)E,C,S進(jìn)行了相應(yīng)的定義
a.???對(duì)于每一個(gè)危害事件,應(yīng)基于確定的理由預(yù)估每個(gè)運(yùn)行場(chǎng)景的暴露概率。按照下表,應(yīng)為暴露概率指定一個(gè)E0、E1、E2、E3或E4的概率等級(jí)。
b.???對(duì)于每一個(gè)危害事件,應(yīng)基于一個(gè)確定的理由預(yù)估駕駛員或其他潛在處于風(fēng)險(xiǎn)的人員對(duì)該危害事件的可控性。按照下表,應(yīng)為可控性指定一個(gè)C0、C1、C2或C3的可控性等級(jí)。
c.???對(duì)于每一個(gè)危害事件,應(yīng)基于一個(gè)已確定的理由來(lái)預(yù)估潛在傷害的嚴(yán)重度。根據(jù)下表,應(yīng)為嚴(yán)重度指定一個(gè)S0、S1、S2或S3的嚴(yán)重度等級(jí)
d.???每一個(gè)危害事件的ASIL等級(jí)應(yīng)使用“嚴(yán)重度”、“暴露概率”和“可控性”這三個(gè)參數(shù)根據(jù)下表來(lái)確定
由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分,EUCAR定義了高壓電池系統(tǒng)的危害等級(jí)。
當(dāng)BMS不能夠很好的監(jiān)測(cè)或者保護(hù)電芯時(shí),上表中的危害事件就有可能發(fā)生。ISO26262的目標(biāo)是保護(hù)乘客受到危害,因?yàn)樯媳鞮evel 5以上就算是嚴(yán)重危害事件了。因此有必要定義一個(gè)電芯工作的大允許危害級(jí)別,5以上時(shí)肯定不允許的。
參考資料:
1.?道路車輛功能安全 第三部分:概率階段 (征求意見稿)
2. FreedomCAR_Electrical Energy Storage System Abuse Test Manual for Electric and Hybrid Electric Vehicle Applications
下一篇: BMS功能安全開發(fā)流程(二):ASIL等級(jí)