亚洲精品无码成人片久久_国产999精品久久久久久_国产呻吟久久久久久久92_最近免费韩国电影高清版无吗_天天天天做夜夜夜夜做无码_风间由美性色一区二区三区_а中文在线天堂_人人爽人人澡人人高潮_女子初尝黑人巨嗷嗷叫_国产精品久久久人妻

       今天試圖整理動力電池BMS功能安全開發(fā)流程相關(guān)資料，在驗證部分的資料不太充分，后面有機(jī)會再進(jìn)行補(bǔ)充。

        1、功能安全定義

       功能安全：不存在由電子電氣系統(tǒng)的故障而引起的危害導(dǎo)致不合理的風(fēng)險。因此，功能安全開發(fā)的首要任務(wù)是要避免不可接受的風(fēng)險。BMS 作為整車零部件，進(jìn)行功能安全開發(fā)時一般由整車層面的Safety Goal 得到概念階段的FSR（Function safety requirements），再由概念階段的FSR 分析出電子電氣層面的TSR（Technical safety requirements）, 最后分析出BMS的軟件和硬件的功能安全需求。下圖是ISO26262 開發(fā)過程示意圖。

        2、概述

        在ISO26262 標(biāo)準(zhǔn)中，我們要區(qū)分兩類故障、錯誤和失效：隨機(jī)和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計階段通過合適的方法來避免，而隨機(jī)性失效只能降低到可接受程度。系統(tǒng)性甚至隨機(jī)性失效會發(fā)生在硬件當(dāng)中，而軟件的失效更多的是系統(tǒng)性的失效。首先根據(jù)安全目標(biāo)，確定安全等級。對于每個危害事件，根據(jù)其暴露概率E、可控性C、嚴(yán)重度S 三要素，確定其ASIL 等級。

        依據(jù)ISO26262 的開發(fā)流程，從需求開始，當(dāng)中包括概念設(shè)計、系統(tǒng)設(shè)計、硬件設(shè)計、軟件設(shè)計，直至最后的生產(chǎn)發(fā)布、售后維護(hù)，都提出了相應(yīng)的功能安全要求，其覆蓋了整個汽車的生命周期，從而保證汽車電子產(chǎn)品的功能安全可靠，即使功能失效也不會造成危險的發(fā)生。BMS 作為新能源汽車的關(guān)鍵，對其功能要求越來越復(fù)雜，BMS 必須具備電壓、電流、溫度等基本的采樣功能，同時對電池的運行過程實時監(jiān)督，過壓、欠壓、過流、過溫等保護(hù)功能，同時SOP、SOC、SOH 的預(yù)測，故障診斷、均衡控制、熱管理、快慢充管理等。把ISO26262 標(biāo)準(zhǔn)要求，應(yīng)用到BMS 的開發(fā)中，將會大大提高BMS 的安全性。

        如果將BMS 視為一個safety element out of context（獨立安全單元），獨立安全單元的意思在在產(chǎn)品的開發(fā)周期內(nèi)，暫時不考慮整車內(nèi)其它要素（element）。根據(jù)主機(jī)廠提供的Saftety Goal，BMS 開發(fā)商供應(yīng)商根據(jù)Satety Goal 導(dǎo)出Saftety Requirements，接著是系統(tǒng)設(shè)計，硬件設(shè)計，軟件設(shè)計等。

        而作為整車的一部分，整車上的一些功能會與電池系統(tǒng)發(fā)生相互作用，就要從相關(guān)項的角度考慮其作用的結(jié)果。

        BMS依據(jù)汽車電子電氣的開發(fā)慣例，按照V模型的主體流程進(jìn)行開發(fā)，主機(jī)廠會參與到V 模型右邊的測試部分。

       3、相關(guān)項定義

       電池高壓系統(tǒng)主要由接線盒、模組、電池均衡連接器，高壓連接器模塊，BMS 等組成。BMS 通過傳感器采集電壓、溫度等數(shù)據(jù)進(jìn)行處理，計算電池的SOC/SOH，故障診斷等。同時，通過整車CAN 與VCU 進(jìn)行信息交互。進(jìn)行相關(guān)項定義時，要分析電池系統(tǒng)組成部分，界定功能安全分析的范圍。下圖是電池系統(tǒng)結(jié)構(gòu)和原理框圖。對于BMS所承接的功能安全目標(biāo)，是在整車相關(guān)項層面得到的。在此基礎(chǔ)上，進(jìn)行BMS產(chǎn)品的開發(fā)和驗證。

        4、開發(fā)流程

       首先確定危害事件。根據(jù)不同的工況、不同駕駛習(xí)慣過、天氣情況分析出可能性較大的危害事件，針對危害事件，分配到系統(tǒng)工作的各個職能部門。在ISO26262-3，Hazrad 分析可以通過brainstorm、DFMEA等方法來確認(rèn)。以單體過充危害事件為例，根據(jù)ASIL 等級的三要素，確定危害事件的等級。下表是一個簡單的電芯過充的HARA分析。在這個表格里面，在城市道路上發(fā)生電芯熱失控導(dǎo)致車輛起火，定的ASIL Level是C；車輛在速度比較低的時候，定的ASIL Level 是A。

        羅列功能因故障失效的全部可能性：

        匯總?cè)�部功能和故障，按照運行模式區(qū)分，形成危害事件的矩陣。通過危害分析和風(fēng)險評估，界定危害事件的功能安全目標(biāo)。合并不同場景下的同一個危害事件的安全等級，用最高的功能安全等級作為該危害事件的安全等級。為了避免危害事件的發(fā)生，進(jìn)而形成安全目標(biāo)。

        可以從避免危害事件發(fā)生的角度考慮安全目標(biāo)，也可以從避免故障發(fā)生的角度提出安全目標(biāo)。例如：對過放導(dǎo)致內(nèi)部短路電池起火這個危害提出安全目標(biāo)，從避免危害發(fā)生的角度提出安全目標(biāo)為防止過放導(dǎo)致短路電池起火，從避免故障的角度提出安全目標(biāo)則為避免溫度限制發(fā)生故障。安全目標(biāo)的ASIL 等級則為危害事件的最高的等級。

        安全目標(biāo)的得出，衍生出一些安全相關(guān)的參數(shù)也需要做規(guī)定，這些參數(shù)包括：運行模式，故障容錯時間，安全狀態(tài)，功能冗余等。

        第二步，確定功能安全需求FSR，每一個安全目標(biāo)定義至少一項功能安全要求，盡管一個功能安全要求能夠cover 不止一條安全目標(biāo)， 每一條FSR 從相關(guān)的SG 繼承最高的ASIL。通過分層的方法，從風(fēng)險評估和危害分析得出安全目標(biāo)，再由安全目標(biāo)得出功能安全要求。FSR 的功能安全等級，自動繼承安全目標(biāo)的最高等級。

        第三步，由功能安全需求（FSR）提煉技術(shù)安全需求（TSR），在整個開發(fā)生命周期，技術(shù)安全需求是要落實功能安全概念的技術(shù)要求，其用意是從細(xì)節(jié)的單級功能安全要求到系統(tǒng)級的安全技術(shù)要求。下表為功能安全需求轉(zhuǎn)化成技術(shù)安全需求的栗子，僅供流程上的參考。

        第四步，系統(tǒng)設(shè)計階段，系統(tǒng)及子系統(tǒng)需要上面所定義的貫徹技術(shù)安全要求，需要反映前面定義的安全檢測及安全機(jī)制。技術(shù)安全要求的應(yīng)分配給系統(tǒng)設(shè)計要素，同時系統(tǒng)設(shè)計應(yīng)完成技術(shù)安全要求，關(guān)于技術(shù)安全要求的實現(xiàn)，在系統(tǒng)設(shè)計中應(yīng)考慮如下問題，定義系統(tǒng)架構(gòu)，分配TSR 到硬件和軟件，同時定義好軟件硬件接口HIS。軟硬件接口規(guī)范應(yīng)規(guī)定的硬件和軟件的交互，并與技術(shù)安全的概念是一致的，應(yīng)包括組件的硬件設(shè)備，是由軟件和硬件資源控制支持軟件運行的。

        系統(tǒng)設(shè)計，標(biāo)準(zhǔn)中給出三個方面的原則：模塊化、適當(dāng)?shù)念w粒度和簡單。針對不同的安全等級，強(qiáng)調(diào)關(guān)注不同側(cè)面的設(shè)計考量。

        技術(shù)安全要求，直接或者經(jīng)過進(jìn)一步細(xì)化后，分配給硬件和軟件。

        系統(tǒng)設(shè)計完成后，還需要考慮設(shè)計驗證。功能安全目標(biāo)越高，越傾向于實物驗證的方式。

 

        第五步，硬件系統(tǒng)功能安全設(shè)計。硬件的詳細(xì)安全需求來自于TSR，系統(tǒng)架構(gòu)及系統(tǒng)邊界HSI。根據(jù)ISO 26262-8 章節(jié)6.4.2 硬件安全需求規(guī)范應(yīng)包括與安全相關(guān)的每一條硬件要求，硬件安全要求應(yīng)按照ISO26262-8 第6章和第9章的要求進(jìn)行驗證，以提供證據(jù)證明。硬件設(shè)計可以硬件功能方塊圖開始，硬件方塊圖的所有的元素和內(nèi)部接口應(yīng)當(dāng)展示出來。然后設(shè)計和驗證詳細(xì)的電路圖，最后通過演繹法（FTA）或者歸納法（FMEA）等方法來驗證硬件架構(gòu)可能出現(xiàn)的故障。對BMS 系統(tǒng)來講，電池包電壓傳感器是一個非常重要的傳感器，因此針對不同ASIL 等級需要分析電池包電壓傳感器不同的失效模式。一部分失效模式 可以通過硬件的需求防范，一部分失效模式可以被分離為軟件需求去防范。

        每個技術(shù)安全要求怎樣設(shè)計，與實際產(chǎn)品功能、技術(shù)發(fā)展水平，供應(yīng)商水平等密切相關(guān)，是不同廠家產(chǎn)品差異性的起點。而產(chǎn)品具體實施，有自己不同的思路，有的是不適用安全機(jī)制，直接要求零部件提高自身功能安全等級；有的則選擇增加監(jiān)測機(jī)制或者提供不同原理的冗余設(shè)計，用以提高功能安全等級。

        標(biāo)準(zhǔn)推薦的硬件設(shè)計驗證原則如下表：

        第六步，軟件系統(tǒng)設(shè)計。在汽車行業(yè)軟件開發(fā)一般遵循V 模型，左邊是開發(fā)過程，右邊對應(yīng)的測試過程。BMS 軟件開發(fā)流程，基本與ISO26262 第六部分推薦的軟件開發(fā)流程V 模型相吻合，如下圖所示。在軟件架構(gòu)設(shè)計中，需要重點考慮軟件的可維護(hù)性及可測試性。在汽車行業(yè)，軟件在整個產(chǎn)品周期內(nèi)都應(yīng)當(dāng)考慮維護(hù)性，同時還要考慮軟件架構(gòu)的設(shè)計測試的容易實現(xiàn)，在ISO 26262 標(biāo)準(zhǔn)中，測試是非常重要的一方面，任何設(shè)計都應(yīng)該同時考慮到測試的方便性。至此，產(chǎn)品的設(shè)計開發(fā)環(huán)節(jié)已經(jīng)全部完成。

         標(biāo)準(zhǔn)推薦的軟件架構(gòu)設(shè)計原則如下：

        軟件架構(gòu)層面標(biāo)準(zhǔn)推薦的錯誤處理機(jī)制如下：

        標(biāo)準(zhǔn)推薦的軟件設(shè)計驗證方法如下表：

        參考文獻(xiàn)

        1、基于功能安全的BMS設(shè)計_韓豫萍

        2、符合ISO_26262標(biāo)準(zhǔn)的安全完整性等級評估方法的研究_何波

        3、基于ISO26262的BMS概念階段開發(fā)概述_田星

        4、基于功能安全的BMS設(shè)計方法及其可靠性的研究_印凱

        5、GB∕T 34590.3-2017 道路車輛 功能安全 第3部分：概念階段

        6、GB∕T 34590.4-2017 道路車輛 功能安全 第4部分：產(chǎn)品開發(fā)：系統(tǒng)層面

        7、GB∕T 34590.5-2017 道路車輛 功能安全 第5部分：產(chǎn)品開發(fā)：硬件層面

        8、GB∕T 34590.6-2017 道路車輛 功能安全 第6部分：產(chǎn)品開發(fā)：軟件層面