最近在了解學(xué)習(xí)關(guān)于ISO26262，看了一些文章，本身從事BMS相關(guān)的工作，想做一個關(guān)于BMS功能安全開發(fā)流程的筆記，分三篇文章，第一篇是關(guān)于BMS和ISO26262的簡介。

BMS & ISO26262簡介

BMS即Battery Management System，電池管理系統(tǒng)。作為新能源汽車“三電”核心技術(shù)之一，BMS在新能源車上扮演十分重要的作用。按照新能源汽車對電池管理的需求，BMS具備的功能包括電壓/溫度/電流采樣及相應(yīng)的過壓、欠壓、過溫、過流保護(hù)，SOC/SOH估算、SOP預(yù)測、故障診斷、均衡控制、熱管理和充電管理等。

為了保證汽車電子電氣的可靠性設(shè)計， 在2011年發(fā)布了IS0 26262道路車輛功能安全標(biāo)準(zhǔn)）, IS0 26262 標(biāo)準(zhǔn)是源于工業(yè)功能安全標(biāo)準(zhǔn)(IEC61508)[1]。目前許多汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過程中采用ISO26262這個標(biāo)準(zhǔn)，ISO26262包括了汽車電子電氣開發(fā)中與安全相關(guān)的所有應(yīng)用，制定了汽車整個生命周期中與安全相關(guān)的所有活動，ISO 26262從需求開始，當(dāng)中包括概念設(shè)計、軟硬件設(shè)計，直至最后的生產(chǎn)、操作，都提出了相應(yīng)的功能安全要求，其覆蓋了汽車整個生命周期，從而保證安全相關(guān)的電子產(chǎn)品的功能性失效不會造成危險的發(fā)生。如下圖所示

1.   范圍及相關(guān)項

ISO26262適用于最大總質(zhì)量不超過3.5噸的量產(chǎn)成用車上的包含一個或多個電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。在這部分ISO26262和FMEA還是比較相似的，第一步是確定Scope，那些是研究范圍之內(nèi)的。對高壓電池系統(tǒng)而言，ISO26262適用于電池包電氣系統(tǒng)及BMS系統(tǒng)，而不適用于電池包的電芯及機(jī)械結(jié)構(gòu)件等。

1）Function Safety Definition

功能安全：不存在由電子電氣系統(tǒng)的功能異常而引起的危害而導(dǎo)致不合理的風(fēng)險。

為了保證避免不可接受的風(fēng)險，功能安全開發(fā)流程在在ISO262262標(biāo)準(zhǔn)中進(jìn)行了詳細(xì)的闡述。概念階段的function safety requirements應(yīng)當(dāng)能夠滿足整車層面的Safety Goal，電子電氣層面的開發(fā)出來的technical safety requirements同時也應(yīng)該滿足概念階段的function safety requirements，最后一步是確定零部件級別的軟件和硬件的功能安全需求。下圖是ISO26262開發(fā)途徑。

2）Fault, Errors and Failures Definitions

Fault（故障）：可引起要素或相關(guān)項失效的異常情況

Errors (錯誤)：計算的、觀測的、測量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異

Failure（失效）：要素按要求執(zhí)行功能的能力的終止

基于上面的定義，他們之間存在一定的因果關(guān)系，故障會產(chǎn)生錯誤，而錯誤會引起功能或者系統(tǒng)的失效，如果下圖。

在ISO26262標(biāo)準(zhǔn)中，我們要區(qū)分兩類故障、錯誤和失效：隨機(jī)和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計階段通過合適的方法來避免，而隨機(jī)性失效只能降低到可接受程度。系統(tǒng)性甚至隨機(jī)性失效會發(fā)生在硬件當(dāng)中，而軟件的失效更多的是系統(tǒng)性的失效。

失效同時還可以分為單點(diǎn)失效和多點(diǎn)失效。

單點(diǎn)失效：要素中沒有被安全機(jī)制所覆蓋，并且直接導(dǎo)致違背安全目標(biāo)的故障

多點(diǎn)失效：由幾個獨(dú)立的故障組合引發(fā)，直接導(dǎo)致違背安全目標(biāo)的失效。

在多點(diǎn)失效中有個特別的失效叫雙點(diǎn)失效。由兩個獨(dú)立故障組合引起的，直接導(dǎo)致違背安全目標(biāo)的失效。

故障發(fā)生的時間關(guān)系如下圖所示

診斷測試時間間隔（diagnostic test interval）：通過安全機(jī)制執(zhí)行在線診斷測試時間間隔

故障響應(yīng)時間（fault reaction time）:從故障探測到進(jìn)入安全狀態(tài)的時間間隔

3）Risk Definition

風(fēng)險可以看成一個功能函數(shù)F，一個變量frequency of occurrence (f)，controllability (C)，potential severity (S)功能函數(shù)

其中f是Exposure（E）危害時間發(fā)生概率λ的函數(shù)

ISO26262標(biāo)準(zhǔn)中分別對E，C，S進(jìn)行了相應(yīng)的定義

a.   對于每一個危害事件，應(yīng)基于確定的理由預(yù)估每個運(yùn)行場景的暴露概率。按照下表，應(yīng)為暴露概率指定一個E0、E1、E2、E3或E4的概率等級。

b.   對于每一個危害事件，應(yīng)基于一個確定的理由預(yù)估駕駛員或其他潛在處于風(fēng)險的人員對該危害事件的可控性。按照下表，應(yīng)為可控性指定一個C0、C1、C2或C3的可控性等級。

c.   對于每一個危害事件，應(yīng)基于一個已確定的理由來預(yù)估潛在傷害的嚴(yán)重度。根據(jù)下表，應(yīng)為嚴(yán)重度指定一個S0、S1、S2或S3的嚴(yán)重度等級

d.   每一個危害事件的ASIL等級應(yīng)使用“嚴(yán)重度”、“暴露概率”和“可控性”這三個參數(shù)根據(jù)下表來確定

由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分，EUCAR定義了高壓電池系統(tǒng)的危害等級。

當(dāng)BMS不能夠很好的監(jiān)測或者保護(hù)電芯時，上表中的危害事件就有可能發(fā)生。ISO26262的目標(biāo)是保護(hù)乘客受到危害，因為上表Level 5以上就算是嚴(yán)重危害事件了。因此有必要定義一個電芯工作的最大允許危害級別，5以上時肯定不允許的。

參考資料：

1. 道路車輛功能安全 第三部分：概率階段 （征求意見稿）

2. FreedomCAR_Electrical Energy Storage System Abuse Test Manual for Electric and Hybrid Electric Vehicle Applications

返回第一電動網(wǎng)首頁 >