BMS功能安全開發(fā)流程(二):ASIL等級
2017-11-08
BMS和功能安全作為當下新能源的兩個當紅炸子雞實在是繞不開的話題,蹭個熱點,繼續(xù)聊聊ISO26262在BMS開發(fā)中的應(yīng)用?!鞠嚓P(guān)閱讀:BMS功能安全開發(fā)流程(一):BMS和ISO26262】
1.???相關(guān)項定義,ASIL等級,安全目標
如下圖所示,步通過不同的駕駛情況,不同的環(huán)境來確定不同的場景;第二步分析不同場景下的事故所以引起的Hazard Situation.?第三步確定這些Hazard Situation的ASIL?等級,這一部分有很大的主觀因素,每個公司考慮問題的角度不一樣,針對不同的Hazard Situation設(shè)定的ASIL?等級也會不一樣。比如有些OEM定義熱失控的ASIL LEVEL為C,有些OEM設(shè)定熱失控?ASIL LEVEL?為D,不過目前來看熱失控以后的ASIL LEVEL會是D,在知乎上看有人說以后大眾的高壓電池包的安全等級為D,他說的這個電池包應(yīng)該是指電池包里面的電氣架構(gòu)包括BMS。
ISO 26262-3 Scheme ?TüV Süd
第四步根據(jù)上一步確定的不同的故障模型Harzard Situation ASIL的大ASIL等級。第五步根據(jù)上一步確定的大ASIL等級就可以設(shè)定Safety Goal了。在上篇文章中簡單介紹了功能安全的開發(fā)途徑,在開發(fā)途徑中,Safety Goal是Top Level的Safety Requirements,直接來自于HARA(hazard analysis and risk assessment)。第七步,根據(jù)Safety Goal就可以導(dǎo)出 Saftety Requirements。
因為ISO26262涉及到產(chǎn)品的整個開發(fā)周期,那么誰該負責(zé)這整個流程,主機廠還是供應(yīng)商?如果BMS是由供應(yīng)商開發(fā)提供給主機廠,那么理論上前5步都應(yīng)該是主機廠來主導(dǎo)分析,輸出Saftety Goal給供應(yīng)商,供應(yīng)商根據(jù)Satety Goal導(dǎo)出Saftety Requirements,接著是系統(tǒng)設(shè)計,硬件設(shè)計,軟件設(shè)計等。同時主機成也會參與到V模型右邊的測試部分。
根據(jù)上面的分析,我們將BMS為一個safety element out of context(獨立安全單元),獨立安全單元的意思在在產(chǎn)品的開發(fā)周期內(nèi),不用考慮整車內(nèi)其它要素(element)。
a.???Item Definition
Item dedinition首先要確定item的scope,item的邊界及與item相關(guān)的部件,確定item與外界部件的交互接口,CAN信號,傳感器信號等等。一般通常采用方框來表示item的elements,通過這些elements和elements之間的信息交互,就能夠確定這個系統(tǒng)的大致架構(gòu)。
如果下圖a是一個電池系統(tǒng)的方塊圖,電池高壓系統(tǒng)主要有Junction box,Modules,cell balance interconnect circuit, HV contactor module, BMS等。BMS通過將傳感器采集的數(shù)據(jù)進行處理,計算電池SOC/SOH,故障診斷等,同時通過整車CAN與VCU進行信息交互。b圖是a圖所對應(yīng)的item defintion。一個A00級的BEV電池包。
a) Preliminary architecture of the hypothetical Li-ion battery system
b) Key elements and signals within the energy storage system
點畫線表示高壓電池系統(tǒng)的邊界線,高壓系統(tǒng)的與外界的交互信號分成了下表中的七大類。
上面定義了不同類的子系統(tǒng),下面這張圖是上圖中(connected modules)連接模組的框框圖。
下面這張圖是上面連接模組的進一步分解的模組框框圖及信號流。
這樣一層一層像剝洋蔥一樣分解系統(tǒng),很方便追溯所有信號來源。系統(tǒng)與其他外部部件之間的聯(lián)系,系統(tǒng)內(nèi)部之間的聯(lián)系,子系統(tǒng)之間的聯(lián)系,一目了然。比如我們想追蹤溫度傳感器的信號流,首先可以從模組框框圖開始,temperature sensor 到 monitoring unit, monitoring unit 與外部的 internal communication交互信息,上一次的連接模組的 internal communication 與外界的 Junction box通過內(nèi)部通訊交換信息Top level 的 junction box 與外界的整車控制器交互信息。
這篇文章里的Itemdefinition是針對高壓電池包,我直接引用。BMS系統(tǒng)沒有這么多子系統(tǒng),但是在工作中發(fā)現(xiàn),其實把高壓系統(tǒng)的電氣系統(tǒng)和BMS作為一個大系統(tǒng),進行功能安全分析更全面,工作也更好展開。
參考資料:
下一篇: BMS功能安全開發(fā)流程(三):ASIL等級