BMS功能安全開發(fā)流程(三):ASIL等級(jí)
2017-11-20
a.????ASIL等級(jí)
在第二篇中《BMS功能安全開發(fā)流程(二):ASIL等級(jí)》,進(jìn)行了概念階段的ite definition分析,item definition應(yīng)當(dāng)盡可能將系統(tǒng)的接口描述清楚。比如電池系統(tǒng)電壓分類,高壓線路的功率能力,CAN通信協(xié)議和其他信號(hào)的說明,信號(hào)電壓電流范圍,正常值等。
Item definition,不僅需要將系統(tǒng)的功能描述清楚,同時(shí)也要將item的失效模式描述清楚,這樣才能清楚知道tiem應(yīng)該是怎么樣,而不應(yīng)該出現(xiàn)某些哪些表現(xiàn)形式。在ISO26262-3中,Hazrad可以通過,brainstorm或者DFMEA等方法來確認(rèn),從整車級(jí)別分析這些危害會(huì)對(duì)車輛或者乘客造成的影響。這個(gè)階段的DFMEA我們可以不用考慮造成這些危害的可能原因有哪些,在后面的DFEMA工作中可以具體來分析造成這些hardzard的可能原因。
在第二篇的中的item defintion中,分析了過一個(gè)A00級(jí)別汽車的電池包。如下圖。
下表是根據(jù)上圖HARA(Hazard Analysis and Risk Assessment)得到的。定義了93個(gè)功能和136個(gè)malfunction.
在該文章中選取了6個(gè)路況,subterranean garage, small streets, middle streets, large streets, highway and motorway,同時(shí)選取了23個(gè)常見的駕駛工況,常見的天氣情況對(duì)場景的影響,后得到了3128個(gè)可能性較大的危害事件。3128還是個(gè)非常大的數(shù)字,如果一條一條的分析,是個(gè)巨大的工作。文章中提高,他們團(tuán)隊(duì)有來不自不同部門的經(jīng)驗(yàn)豐富的工程師有整車部門,電芯部門,pack部門,EE等,后團(tuán)隊(duì)從這3128危害事件中選擇了142個(gè)進(jìn)行進(jìn)一步分析。
下表是電池系統(tǒng)幾個(gè)function與malfunction:
在定義好了malfunction后,就可以根據(jù)Risk definiton中的三個(gè)參數(shù)S(Severity),E( Exposure), C(Controllability)來確定危害的ASIL 等級(jí)了。下表是一個(gè)簡單的電芯過放的HARA分析。在這個(gè)表格里面,在城市道路上發(fā)生電芯熱失控導(dǎo)致車輛起火,定的ASIL Level是C;車輛在速度比較低的時(shí)候,定的ASIL Level是A。
下表是另外一個(gè)文章中過放的HRAR分析:
這兩個(gè)表格中參數(shù)C(Controllability)很大程度上取決于駕駛員將車輛停靠在安全位置的速度,車速越快,車速越快駕駛員需要更多的時(shí)間找一個(gè)安全位置將電芯熱失控的車輛安置好。這兩個(gè)表格中第二行S/E/C的值都是一樣,而ASIL LEVEL卻不一樣,納尼???
有個(gè)很簡單的公式來確定確定ASIL LEVEL。如果S+E+C的值小于7,那么ASIL LEVEL是A,詳細(xì)如下表。所以第二個(gè)表格中的ASIL LEVEL應(yīng)該C,文章的小瑕疵。
下表是一篇文章對(duì)一個(gè)高壓電池包HARA分析后給出的Safety Goal.同上面兩個(gè)對(duì)比,不同的公司或組織對(duì)相同的Malfunction給出的ASIL LEVEL是不同的,上面兩個(gè)表格對(duì)過充的ASIL LEVEL是C,下表為D。
由Saftey Goal衍生出的安全目標(biāo)應(yīng)該考慮一下內(nèi)容
·?運(yùn)行模式
·?故障容錯(cuò)時(shí)間區(qū)間(間隔);或故障容錯(cuò)時(shí)間
·?安全狀態(tài)
·?緊急操作時(shí)間區(qū)間
·?功能冗余(例如故障容錯(cuò))
應(yīng)為每一個(gè)安全目標(biāo)定義至少一項(xiàng)功能安全要求,盡管一個(gè)功能安全要求能夠cover不止一條安全目標(biāo),每一條FSR從相關(guān)SG繼承高的ASIL。然后將FSR分配給相關(guān)項(xiàng)。比如下表中的SG1定義了兩個(gè)FSR。
在ISO26262-9中定義了ASIL分解,為了降低安全目標(biāo)實(shí)施成本,可以將一個(gè)高ASIL安全目標(biāo)分解成兩個(gè)相互獨(dú)立的低一級(jí)安全目標(biāo)。拿文中的SG1-預(yù)防過放作為一個(gè)例子,在這里我們假設(shè)負(fù)載只有驅(qū)動(dòng)電機(jī),可以通過將SG1分解成兩個(gè)獨(dú)立的FSR。FSR1.2a:在x ms內(nèi)斷開高壓回路,F(xiàn)SR1.2a:通過CAN報(bào)文請求負(fù)載將需求功率降低為0。
下一篇: BMS功能安全開發(fā)流程(四):技術(shù)安全要求導(dǎo)出