BMS功能安全開發(fā)流程(二):ASIL等級
2017-11-08
BMS和功能安全作為當(dāng)下新能源的兩個(gè)當(dāng)紅炸子雞實(shí)在是繞不開的話題,蹭個(gè)熱點(diǎn),繼續(xù)聊聊ISO26262在BMS開發(fā)中的應(yīng)用。【相關(guān)閱讀:BMS功能安全開發(fā)流程(一):BMS和ISO26262】
1.???相關(guān)項(xiàng)定義,ASIL等級,安全目標(biāo)
如下圖所示,步通過不同的駕駛情況,不同的環(huán)境來確定不同的場景;第二步分析不同場景下的事故所以引起的Hazard Situation.?第三步確定這些Hazard Situation的ASIL?等級,這一部分有很大的主觀因素,每個(gè)公司考慮問題的角度不一樣,針對不同的Hazard Situation設(shè)定的ASIL?等級也會不一樣。比如有些OEM定義熱失控的ASIL LEVEL為C,有些OEM設(shè)定熱失控?ASIL LEVEL?為D,不過目前來看熱失控以后的ASIL LEVEL會是D,在知乎上看有人說以后大眾的高壓電池包的安全等級為D,他說的這個(gè)電池包應(yīng)該是指電池包里面的電氣架構(gòu)包括BMS。
ISO 26262-3 Scheme ?TüV Süd
第四步根據(jù)上一步確定的不同的故障模型Harzard Situation ASIL的大ASIL等級。第五步根據(jù)上一步確定的大ASIL等級就可以設(shè)定Safety Goal了。在上篇文章中簡單介紹了功能安全的開發(fā)途徑,在開發(fā)途徑中,Safety Goal是Top Level的Safety Requirements,直接來自于HARA(hazard analysis and risk assessment)。第七步,根據(jù)Safety Goal就可以導(dǎo)出 Saftety Requirements。
因?yàn)镮SO26262涉及到產(chǎn)品的整個(gè)開發(fā)周期,那么誰該負(fù)責(zé)這整個(gè)流程,主機(jī)廠還是供應(yīng)商?如果BMS是由供應(yīng)商開發(fā)提供給主機(jī)廠,那么理論上前5步都應(yīng)該是主機(jī)廠來主導(dǎo)分析,輸出Saftety Goal給供應(yīng)商,供應(yīng)商根據(jù)Satety Goal導(dǎo)出Saftety Requirements,接著是系統(tǒng)設(shè)計(jì),硬件設(shè)計(jì),軟件設(shè)計(jì)等。同時(shí)主機(jī)成也會參與到V模型右邊的測試部分。
根據(jù)上面的分析,我們將BMS為一個(gè)safety element out of context(獨(dú)立安全單元),獨(dú)立安全單元的意思在在產(chǎn)品的開發(fā)周期內(nèi),不用考慮整車內(nèi)其它要素(element)。
a.???Item Definition
Item dedinition首先要確定item的scope,item的邊界及與item相關(guān)的部件,確定item與外界部件的交互接口,CAN信號,傳感器信號等等。一般通常采用方框來表示item的elements,通過這些elements和elements之間的信息交互,就能夠確定這個(gè)系統(tǒng)的大致架構(gòu)。
如果下圖a是一個(gè)電池系統(tǒng)的方塊圖,電池高壓系統(tǒng)主要有Junction box,Modules,cell balance interconnect circuit, HV contactor module, BMS等。BMS通過將傳感器采集的數(shù)據(jù)進(jìn)行處理,計(jì)算電池SOC/SOH,故障診斷等,同時(shí)通過整車CAN與VCU進(jìn)行信息交互。b圖是a圖所對應(yīng)的item defintion。一個(gè)A00級的BEV電池包。
a) Preliminary architecture of the hypothetical Li-ion battery system
b) Key elements and signals within the energy storage system
點(diǎn)畫線表示高壓電池系統(tǒng)的邊界線,高壓系統(tǒng)的與外界的交互信號分成了下表中的七大類。
上面定義了不同類的子系統(tǒng),下面這張圖是上圖中(connected modules)連接模組的框框圖。
下面這張圖是上面連接模組的進(jìn)一步分解的模組框框圖及信號流。
這樣一層一層像剝洋蔥一樣分解系統(tǒng),很方便追溯所有信號來源。系統(tǒng)與其他外部部件之間的聯(lián)系,系統(tǒng)內(nèi)部之間的聯(lián)系,子系統(tǒng)之間的聯(lián)系,一目了然。比如我們想追蹤溫度傳感器的信號流,首先可以從模組框框圖開始,temperature sensor 到 monitoring unit, monitoring unit 與外部的 internal communication交互信息,上一次的連接模組的 internal communication 與外界的 Junction box通過內(nèi)部通訊交換信息Top level 的 junction box 與外界的整車控制器交互信息。
這篇文章里的Itemdefinition是針對高壓電池包,我直接引用。BMS系統(tǒng)沒有這么多子系統(tǒng),但是在工作中發(fā)現(xiàn),其實(shí)把高壓系統(tǒng)的電氣系統(tǒng)和BMS作為一個(gè)大系統(tǒng),進(jìn)行功能安全分析更全面,工作也更好展開。
參考資料:
下一篇: BMS功能安全開發(fā)流程(三):ASIL等級