電機(jī)控制器 | 叉車控制器 | 電動車配件 | 其他              

BMS功能安全開發(fā)流程(一):BMS和ISO26262

2017-10-31

近在了解學(xué)習(xí)關(guān)于ISO26262,看了一些文章,本身從事BMS相關(guān)的工作,想做一個關(guān)于BMS功能安全開發(fā)流程的筆記,分三篇文章,篇是關(guān)于BMS和ISO26262的簡介。

BMS & ISO26262簡介

BMS即Battery Management System,電池管理系統(tǒng)。作為新能源汽車“三電”核心技術(shù)之一,BMS在新能源車上扮演十分重要的作用。按照新能源汽車對電池管理的需求,BMS具備的功能包括電壓/溫度/電流采樣及相應(yīng)的過壓、欠壓、過溫、過流保護(hù),SOC/SOH估算、SOP預(yù)測、故障診斷、均衡控制、熱管理和充電管理等。

為了保證汽車電子電氣的可靠性設(shè)計(jì),?在2011年發(fā)布了IS0 26262道路車輛功能安全標(biāo)準(zhǔn)),?IS0 26262?標(biāo)準(zhǔn)是源于工業(yè)功能安全標(biāo)準(zhǔn)(IEC61508)[1]。目前許多汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過程中采用ISO26262這個標(biāo)準(zhǔn),ISO26262包括了汽車電子電氣開發(fā)中與安全相關(guān)的所有應(yīng)用,制定了汽車整個生命周期中與安全 相關(guān)的所有活動,ISO 26262從需求開始,當(dāng)中包括概念設(shè)計(jì)、軟硬件設(shè)計(jì),直至后的生產(chǎn)、操作,都提出了相應(yīng)的功能安全要求,其覆蓋了汽車整個生命周期,從而保證安全相關(guān)的電子產(chǎn)品的功能性失效不會造成危險(xiǎn)的發(fā)生。如下圖所示

1.???范圍及相關(guān)項(xiàng)

ISO26262適用于大總質(zhì)量不超過3.5噸的量產(chǎn)成用車上的包含一個或多個電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。在這部分ISO26262和FMEA還是比較相似的,步是確定Scope,那些是研究范圍之內(nèi)的。對高壓電池系統(tǒng)而言,ISO26262適用于電池包電氣系統(tǒng)及BMS系統(tǒng),而不適用于電池包的電芯及機(jī)械結(jié)構(gòu)件等。

1)Function Safety Definition

功能安全:不存在由電子電氣系統(tǒng)的功能異常而引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。

為了保證避免不可接受的風(fēng)險(xiǎn),功能安全開發(fā)流程在在ISO262262標(biāo)準(zhǔn)中進(jìn)行了詳細(xì)的闡述。概念階段的function safety requirements應(yīng)當(dāng)能夠滿足整車層面的Safety Goal,電子電氣層面的開發(fā)出來的technical safety requirements同時(shí)也應(yīng)該滿足概念階段的function safety requirements,后一步是確定零部件級別的軟件和硬件的功能安全需求。下圖是ISO26262開發(fā)途徑。

2)Fault, Errors and Failures Definitions

Fault(故障):可引起要素或相關(guān)項(xiàng)失效的異常情況

Errors (錯誤):計(jì)算的、觀測的、測量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異

Failure(失效):要素按要求執(zhí)行功能的能力的終止

基于上面的定義,他們之間存在一定的因果關(guān)系,故障會產(chǎn)生錯誤,而錯誤會引起功能或者系統(tǒng)的失效,如果下圖。

在ISO26262標(biāo)準(zhǔn)中,我們要區(qū)分兩類故障、錯誤和失效:隨機(jī)和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計(jì)階段通過合適的方法來避免,而隨機(jī)性失效只能降低到可接受程度。系統(tǒng)性甚至隨機(jī)性失效會發(fā)生在硬件當(dāng)中,而軟件的失效更多的是系統(tǒng)性的失效。

失效同時(shí)還可以分為單點(diǎn)失效和多點(diǎn)失效。

單點(diǎn)失效:要素中沒有被安全機(jī)制所覆蓋,并且直接導(dǎo)致違背安全目標(biāo)的故障

多點(diǎn)失效:由幾個獨(dú)立的故障組合引發(fā),直接導(dǎo)致違背安全目標(biāo)的失效。

在多點(diǎn)失效中有個特別的失效叫雙點(diǎn)失效。由兩個獨(dú)立故障組合引起的,直接導(dǎo)致違背安全目標(biāo)的失效。

故障發(fā)生的時(shí)間關(guān)系如下圖所示

診斷測試時(shí)間間隔(diagnostic test interval):通過安全機(jī)制執(zhí)行在線診斷測試時(shí)間間隔

故障響應(yīng)時(shí)間(fault reaction time):從故障探測到進(jìn)入安全狀態(tài)的時(shí)間間隔

3)Risk Definition

風(fēng)險(xiǎn)可以看成一個功能函數(shù)F,一個變量frequency of occurrence (f),controllability (C),potential severity (S)功能函數(shù)

其中f是Exposure(E)危害時(shí)間發(fā)生概率λ的函數(shù)

ISO26262標(biāo)準(zhǔn)中分別對E,C,S進(jìn)行了相應(yīng)的定義

a.???對于每一個危害事件,應(yīng)基于確定的理由預(yù)估每個運(yùn)行場景的暴露概率。按照下表,應(yīng)為暴露概率指定一個E0、E1、E2、E3或E4的概率等級。

b.???對于每一個危害事件,應(yīng)基于一個確定的理由預(yù)估駕駛員或其他潛在處于風(fēng)險(xiǎn)的人員對該危害事件的可控性。按照下表,應(yīng)為可控性指定一個C0、C1、C2或C3的可控性等級。

c.???對于每一個危害事件,應(yīng)基于一個已確定的理由來預(yù)估潛在傷害的嚴(yán)重度。根據(jù)下表,應(yīng)為嚴(yán)重度指定一個S0、S1、S2或S3的嚴(yán)重度等級

d.???每一個危害事件的ASIL等級應(yīng)使用“嚴(yán)重度”、“暴露概率”和“可控性”這三個參數(shù)根據(jù)下表來確定

由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分,EUCAR定義了高壓電池系統(tǒng)的危害等級。

當(dāng)BMS不能夠很好的監(jiān)測或者保護(hù)電芯時(shí),上表中的危害事件就有可能發(fā)生。ISO26262的目標(biāo)是保護(hù)乘客受到危害,因?yàn)樯媳鞮evel 5以上就算是嚴(yán)重危害事件了。因此有必要定義一個電芯工作的大允許危害級別,5以上時(shí)肯定不允許的。

參考資料:

1.?道路車輛功能安全 第三部分:概率階段 (征求意見稿)

2. FreedomCAR_Electrical Energy Storage System Abuse Test Manual for Electric and Hybrid Electric Vehicle Applications

上一篇:
下一篇: