BMS功能安全开发流程详解VIP免费

BMS功能安全开发流程详解2017-11-01（一）：BMS和ISO26262最近在了解学习关于ISO26262，看了一些文章，本身从事BMS相关的工作，想做一个关于BMS功能安全开发流程的笔记，分三篇文章，第一篇是关于BMS和ISO26262的简介。BMS&ISO26262简介BMS即BatteryManagementSystem，电池管理系统。作为新能源汽车“三电”核心技术之一，BMS在新能源车上扮演十分重要的作用。按照新能源汽车对电池管理的需求，BMS具备的功能包括电压/温度/电流采样及相应的过压、欠压、过温、过流保护，SOC/SOH估算、SOP预测、故障诊断、均衡控制、热管理和充电管理等。为了保证汽车电子电气的可靠性设计，在2011年发布了IS026262道路车辆功能安全标准）,IS026262标准是源于工业功能安全标准(IEC61508)[1]。目前许多汽车企业和零部件企业在控制器开发过程中采用ISO26262这个标准，ISO26262包括了汽车电子电气开发中与安全相关的所有应用，制定了汽车整个生命周期中与安全相关的所有活动，ISO26262从需求开始，当中包括概念设计、软硬件设计，直至最后的生产、操作，都提出了相应的功能安全要求，其覆盖了汽车整个生命周期，从而保证安全相关的电子产品的功能性失效不会造成危险的发生。如下图所示1.范围及相关项ISO26262适用于最大总质量不超过3.5吨的量产成用车上的包含一个或多个电子电气系统的与安全相关的系统。在这部分ISO26262和FMEA还是比较相似的，第一步是确定Scope，那些是研究范围之内的。对高压电池系统而言，ISO26262适用于电池包电气系统及BMS系统，而不适用于电池包的电芯及机械结构件等。1）FunctionSafetyDefinition功能安全：不存在由电子电气系统的功能异常而引起的危害而导致不合理的风险。为了保证避免不可接受的风险，功能安全开发流程在在ISO262262标准中进行了详细的阐述。概念阶段的functionsafetyrequirements应当能够满足整车层面的SafetyGoal，电子电气层面的开发出来的technicalsafetyrequirements同时也应该满足概念阶段的functionsafetyrequirements，最后一步是确定零部件级别的软件和硬件的功能安全需求。下图是ISO26262开发途径。2）Fault,ErrorsandFailuresDefinitionsFault（故障）：可引起要素或相关项失效的异常情况Errors(错误)：计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异Failure（失效）：要素按要求执行功能的能力的终止基于上面的定义，他们之间存在一定的因果关系，故障会产生错误，而错误会引起功能或者系统的失效，如果下图。在ISO26262标准中，我们要区分两类故障、错误和失效：随机和系统性失效。系统性失效可以在设计阶段通过合适的方法来避免，而随机性失效只能降低到可接受程度。系统性甚至随机性失效会发生在硬件当中，而软件的失效更多的是系统性的失效。失效同时还可以分为单点失效和多点失效。单点失效：要素中没有被安全机制所覆盖，并且直接导致违背安全目标的故障多点失效：由几个独立的故障组合引发，直接导致违背安全目标的失效。在多点失效中有个特别的失效叫双点失效。由两个独立故障组合引起的，直接导致违背安全目标的失效。故障发生的时间关系如下图所示诊断测试时间间隔（diagnostictestinterval）：通过安全机制执行在线诊断测试时间间隔故障响应时间（faultreactiontime）:从故障探测到进入安全状态的时间间隔3）RiskDefinition风险可以看成一个功能函数F，一个变量frequencyofoccurrence(f)，controllability(C)，potentialseverity(S)功能函数其中f是Exposure（E）危害时间发生概率λ的函数ISO26262标准中分别对E，C，S进行了相应的定义a.对于每一个危害事件，应基于确定的理由预估每个运行场景的暴露概率。按照下表，应为暴露概率指定一个E0、E1、E2、E3或E4的概率等级。b.对于每一个危害事件，应基于一个确定的理由预估驾驶员或其他潜在处于风险的人员对该危害事件的可控性。按照下表，应为可控性指定一个C0、C1、C2或C3的可控性等级。c.对于每一个危害事件，应基于一个已确定的理由来预估潜在伤害的严重度。根据下表，应为严重度指定一个S0、S1、S2或S3的严重度等级d.每一个危害事件的ASIL等级...