電機控制器 | 叉車控制器 | 電動車配件 | 其他              

BMS功能安全開發(fā)流程(三):ASIL等級

2017-11-20

a.????ASIL等級

在第二篇中《BMS功能安全開發(fā)流程(二):ASIL等級》,進行了概念階段的ite definition分析,item definition應當盡可能將系統(tǒng)的接口描述清楚。比如電池系統(tǒng)電壓分類,高壓線路的功率能力,CAN通信協(xié)議和其他信號的說明,信號電壓電流范圍,正常值等。

Item definition,不僅需要將系統(tǒng)的功能描述清楚,同時也要將item的失效模式描述清楚,這樣才能清楚知道tiem應該是怎么樣,而不應該出現(xiàn)某些哪些表現(xiàn)形式。在ISO26262-3中,Hazrad可以通過,brainstorm或者DFMEA等方法來確認,從整車級別分析這些危害會對車輛或者乘客造成的影響。這個階段的DFMEA我們可以不用考慮造成這些危害的可能原因有哪些,在后面的DFEMA工作中可以具體來分析造成這些hardzard的可能原因。

在第二篇的中的item defintion中,分析了過一個A00級別汽車的電池包。如下圖。

下表是根據(jù)上圖HARA(Hazard Analysis and Risk Assessment)得到的。定義了93個功能和136個malfunction.

在該文章中選取了6個路況,subterranean garage, small streets, middle streets, large streets, highway and motorway,同時選取了23個常見的駕駛工況,常見的天氣情況對場景的影響,后得到了3128個可能性較大的危害事件。3128還是個非常大的數(shù)字,如果一條一條的分析,是個巨大的工作。文章中提高,他們團隊有來不自不同部門的經(jīng)驗豐富的工程師有整車部門,電芯部門,pack部門,EE等,后團隊從這3128危害事件中選擇了142個進行進一步分析。

下表是電池系統(tǒng)幾個function與malfunction:

在定義好了malfunction后,就可以根據(jù)Risk definiton中的三個參數(shù)S(Severity),E( Exposure), C(Controllability)來確定危害的ASIL 等級了。下表是一個簡單的電芯過放的HARA分析。在這個表格里面,在城市道路上發(fā)生電芯熱失控導致車輛起火,定的ASIL Level是C;車輛在速度比較低的時候,定的ASIL Level是A。

下表是另外一個文章中過放的HRAR分析:

這兩個表格中參數(shù)C(Controllability)很大程度上取決于駕駛員將車輛停靠在安全位置的速度,車速越快,車速越快駕駛員需要更多的時間找一個安全位置將電芯熱失控的車輛安置好。這兩個表格中第二行S/E/C的值都是一樣,而ASIL LEVEL卻不一樣,納尼???

有個很簡單的公式來確定確定ASIL LEVEL。如果S+E+C的值小于7,那么ASIL LEVEL是A,詳細如下表。所以第二個表格中的ASIL LEVEL應該C,文章的小瑕疵。

下表是一篇文章對一個高壓電池包HARA分析后給出的Safety Goal.同上面兩個對比,不同的公司或組織對相同的Malfunction給出的ASIL LEVEL是不同的,上面兩個表格對過充的ASIL LEVEL是C,下表為D。

由Saftey Goal衍生出的安全目標應該考慮一下內(nèi)容

·?運行模式

·?故障容錯時間區(qū)間(間隔);或故障容錯時間

·?安全狀態(tài)

·?緊急操作時間區(qū)間

·?功能冗余(例如故障容錯)

應為每一個安全目標定義至少一項功能安全要求,盡管一個功能安全要求能夠cover不止一條安全目標,每一條FSR從相關SG繼承高的ASIL。然后將FSR分配給相關項。比如下表中的SG1定義了兩個FSR。

在ISO26262-9中定義了ASIL分解,為了降低安全目標實施成本,可以將一個高ASIL安全目標分解成兩個相互獨立的低一級安全目標。拿文中的SG1-預防過放作為一個例子,在這里我們假設負載只有驅動電機,可以通過將SG1分解成兩個獨立的FSR。FSR1.2a:在x ms內(nèi)斷開高壓回路,F(xiàn)SR1.2a:通過CAN報文請求負載將需求功率降低為0。

上一篇:
下一篇: