BMS功能安全開發(fā)流程（一）：BMS和ISO26262

近在了解學習關于ISO26262，看了一些文章，本身從事BMS相關的工作，想做一個關于BMS功能安全開發(fā)流程的筆記，分三篇文章，篇是關于BMS和ISO26262的簡介。

BMS & ISO26262簡介

BMS即Battery Management System，電池管理系統(tǒng)。作為新能源汽車“三電”核心技術之一，BMS在新能源車上扮演十分重要的作用。按照新能源汽車對電池管理的需求，BMS具備的功能包括電壓/溫度/電流采樣及相應的過壓、欠壓、過溫、過流保護，SOC/SOH估算、SOP預測、故障診斷、均衡控制、熱管理和充電管理等。

為了保證汽車電子電氣的可靠性設計，?在2011年發(fā)布了IS0 26262道路車輛功能安全標準）,?IS0 26262?標準是源于工業(yè)功能安全標準(IEC61508)[1]。目前許多汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過程中采用ISO26262這個標準，ISO26262包括了汽車電子電氣開發(fā)中與安全相關的所有應用，制定了汽車整個生命周期中與安全 相關的所有活動，ISO 26262從需求開始，當中包括概念設計、軟硬件設計，直至后的生產、操作，都提出了相應的功能安全要求，其覆蓋了汽車整個生命周期，從而保證安全相關的電子產品的功能性失效不會造成危險的發(fā)生。如下圖所示

1.???范圍及相關項

ISO26262適用于大總質量不超過3.5噸的量產成用車上的包含一個或多個電子電氣系統(tǒng)的與安全相關的系統(tǒng)。在這部分ISO26262和FMEA還是比較相似的，步是確定Scope，那些是研究范圍之內的。對高壓電池系統(tǒng)而言，ISO26262適用于電池包電氣系統(tǒng)及BMS系統(tǒng)，而不適用于電池包的電芯及機械結構件等。

1）Function Safety Definition

功能安全：不存在由電子電氣系統(tǒng)的功能異常而引起的危害而導致不合理的風險。

為了保證避免不可接受的風險，功能安全開發(fā)流程在在ISO262262標準中進行了詳細的闡述。概念階段的function safety requirements應當能夠滿足整車層面的Safety Goal，電子電氣層面的開發(fā)出來的technical safety requirements同時也應該滿足概念階段的function safety requirements，后一步是確定零部件級別的軟件和硬件的功能安全需求。下圖是ISO26262開發(fā)途徑。

2）Fault, Errors and Failures Definitions

Fault（故障）：可引起要素或相關項失效的異常情況

Errors (錯誤)：計算的、觀測的、測量的值或條件與真實的、規(guī)定的、理論上正確的值或條件之間的差異

Failure（失效）：要素按要求執(zhí)行功能的能力的終止

基于上面的定義，他們之間存在一定的因果關系，故障會產生錯誤，而錯誤會引起功能或者系統(tǒng)的失效，如果下圖。

在ISO26262標準中，我們要區(qū)分兩類故障、錯誤和失效：隨機和系統(tǒng)性失效。系統(tǒng)性失效可以在設計階段通過合適的方法來避免，而隨機性失效只能降低到可接受程度。系統(tǒng)性甚至隨機性失效會發(fā)生在硬件當中，而軟件的失效更多的是系統(tǒng)性的失效。

失效同時還可以分為單點失效和多點失效。

單點失效：要素中沒有被安全機制所覆蓋，并且直接導致違背安全目標的故障

多點失效：由幾個獨立的故障組合引發(fā)，直接導致違背安全目標的失效。

在多點失效中有個特別的失效叫雙點失效。由兩個獨立故障組合引起的，直接導致違背安全目標的失效。

故障發(fā)生的時間關系如下圖所示

診斷測試時間間隔（diagnostic test interval）：通過安全機制執(zhí)行在線診斷測試時間間隔

故障響應時間（fault reaction time）:從故障探測到進入安全狀態(tài)的時間間隔

3）Risk Definition

風險可以看成一個功能函數(shù)F，一個變量frequency of occurrence (f)，controllability (C)，potential severity (S)功能函數(shù)

其中f是Exposure（E）危害時間發(fā)生概率λ的函數(shù)

ISO26262標準中分別對E，C，S進行了相應的定義

a.???對于每一個危害事件，應基于確定的理由預估每個運行場景的暴露概率。按照下表，應為暴露概率指定一個E0、E1、E2、E3或E4的概率等級。

b.???對于每一個危害事件，應基于一個確定的理由預估駕駛員或其他潛在處于風險的人員對該危害事件的可控性。按照下表，應為可控性指定一個C0、C1、C2或C3的可控性等級。

c.???對于每一個危害事件，應基于一個已確定的理由來預估潛在傷害的嚴重度。根據(jù)下表，應為嚴重度指定一個S0、S1、S2或S3的嚴重度等級

d.???每一個危害事件的ASIL等級應使用“嚴重度”、“暴露概率”和“可控性”這三個參數(shù)根據(jù)下表來確定

由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分，EUCAR定義了高壓電池系統(tǒng)的危害等級。

當BMS不能夠很好的監(jiān)測或者保護電芯時，上表中的危害事件就有可能發(fā)生。ISO26262的目標是保護乘客受到危害，因為上表Level 5以上就算是嚴重危害事件了。因此有必要定義一個電芯工作的大允許危害級別，5以上時肯定不允許的。

參考資料：

1.?道路車輛功能安全 第三部分：概率階段 （征求意見稿）

2. FreedomCAR_Electrical Energy Storage System Abuse Test Manual for Electric and Hybrid Electric Vehicle Applications