今天試圖整理動(dòng)力鋰電池BMS功能安全開(kāi)發(fā)流程相關(guān)資料，在驗(yàn)證部分的資料不太充分，后面有機(jī)會(huì)再進(jìn)行補(bǔ)充。

1、功能安全含義

功能安全：不存在由電子電氣系統(tǒng)的故障而引起的危害導(dǎo)致不合理的風(fēng)險(xiǎn)。因此，功能安全開(kāi)發(fā)的首要任務(wù)是要防止不可接受的風(fēng)險(xiǎn)。BMS作為整車(chē)零部件，進(jìn)行功能安全開(kāi)發(fā)時(shí)一般由整車(chē)層面的SafetyGoal得到概念階段的FSR（Functionsafetyrequirements），再由概念階段的FSR分析出電子電氣層面的TSR（Technicalsafetyrequirements）,最后分析出BMS的軟件和硬件的功能安全需求。下圖是ISO26262開(kāi)發(fā)過(guò)程示意圖。

2、概述

在ISO26262標(biāo)準(zhǔn)中，我們要區(qū)分兩類(lèi)故障、錯(cuò)誤和失效：隨機(jī)和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計(jì)階段通過(guò)合適的方法來(lái)防止，而隨機(jī)性失效只能降低到可接受程度。系統(tǒng)性甚至隨機(jī)性失效會(huì)發(fā)生在硬件當(dāng)中，而軟件的失效更多的是系統(tǒng)性的失效。首先根據(jù)安全目標(biāo)，確定安全等級(jí)。關(guān)于每個(gè)危害事件，根據(jù)其暴露概率E、可控性C、嚴(yán)重度S三要素，確定其ASIL等級(jí)。

依據(jù)ISO26262的開(kāi)發(fā)流程，從需求開(kāi)始，當(dāng)中包括概念設(shè)計(jì)、系統(tǒng)設(shè)計(jì)、硬件設(shè)計(jì)、軟件設(shè)計(jì)，直至最后的生產(chǎn)公布、售后維護(hù)，都提出了相應(yīng)的功能安全要求，其覆蓋了整個(gè)汽車(chē)的生命周期，從而保證汽車(chē)電子產(chǎn)品的功能安全可靠，即使功能失效也不會(huì)造成危險(xiǎn)的發(fā)生。BMS作為新能源汽車(chē)的關(guān)鍵，對(duì)其功能要求越來(lái)越復(fù)雜，BMS必須具備電壓、電流、溫度等基本的采樣功能，同時(shí)對(duì)電池的運(yùn)行過(guò)程實(shí)時(shí)監(jiān)督，過(guò)壓、欠壓、過(guò)流、過(guò)溫等保護(hù)功能，同時(shí)SOP、SOC、SOH的預(yù)測(cè)，故障診斷、均衡控制、熱管理、快慢充管理等。把ISO26262標(biāo)準(zhǔn)要求，應(yīng)用到BMS的開(kāi)發(fā)中，將會(huì)大大提高BMS的安全性。

假如將BMS視為一個(gè)safetyelementoutofcontext（獨(dú)立安全單元），獨(dú)立安全單元的意思在在產(chǎn)品的開(kāi)發(fā)周期內(nèi)，暫時(shí)不考慮整車(chē)內(nèi)其它要素（element）。根據(jù)主機(jī)廠(chǎng)供應(yīng)的SaftetyGoal，BMS開(kāi)發(fā)商供應(yīng)商根據(jù)SatetyGoal導(dǎo)出SaftetyRequirements，接著是系統(tǒng)設(shè)計(jì)，硬件設(shè)計(jì)，軟件設(shè)計(jì)等。

而作為整車(chē)的一部分，整車(chē)上的一些功能會(huì)與電池系統(tǒng)發(fā)生相互用途，就要從相關(guān)項(xiàng)的角度考慮其用途的結(jié)果。

BMS依據(jù)汽車(chē)電子電氣的開(kāi)發(fā)慣例，按照V模型的主體流程進(jìn)行開(kāi)發(fā)，主機(jī)廠(chǎng)會(huì)參與到V模型右邊的測(cè)試部分。

3、相關(guān)項(xiàng)含義

電池高壓系統(tǒng)重要由接線(xiàn)盒、模組、電池均衡連接器，高壓連接器模塊，BMS等組成。BMS通過(guò)傳感器采集電壓、溫度等數(shù)據(jù)進(jìn)行處理，計(jì)算電池的SOC/SOH，故障診斷等。同時(shí)，通過(guò)整車(chē)CAN與VCU進(jìn)行信息交互。進(jìn)行相關(guān)項(xiàng)含義時(shí)，要分析電池系統(tǒng)組成部分，界定功能安全分析的范圍。下圖是電池系統(tǒng)結(jié)構(gòu)和原理框圖。關(guān)于BMS所承接的功能安全目標(biāo)，是在整車(chē)相關(guān)項(xiàng)層面得到的。在此基礎(chǔ)上，進(jìn)行BMS產(chǎn)品的開(kāi)發(fā)和驗(yàn)證。

4、開(kāi)發(fā)流程

首先確定危害事件。根據(jù)不同的工況、不同駕駛習(xí)慣過(guò)、天氣情況分析出可能性較大的危害事件，針對(duì)危害事件，分配到系統(tǒng)工作的各個(gè)職能部門(mén)。在ISO26262-3，Hazrad分析可以通過(guò)brainstorm、DFMEA等方法來(lái)確認(rèn)。以單體過(guò)充危害事件為例，根據(jù)ASIL等級(jí)的三要素，確定危害事件的等級(jí)。下表是一個(gè)簡(jiǎn)單的電芯過(guò)充的HARA分析。在這個(gè)表格里面，在城市道路上發(fā)生電芯熱失控導(dǎo)致車(chē)輛起火，定的ASILLevel是C；車(chē)輛在速度比較低的時(shí)候，定的ASILLevel是A。

羅列功能因故障失效的全部可能性：

匯總?cè)抗δ芎凸收希凑者\(yùn)行模式區(qū)分，形成危害事件的矩陣。通過(guò)危害分析和風(fēng)險(xiǎn)評(píng)估，界定危害事件的功能安全目標(biāo)。合并不同場(chǎng)景下的同一個(gè)危害事件的安全等級(jí)，用最高的功能安全等級(jí)作為該危害事件的安全等級(jí)。為了防止危害事件的發(fā)生，進(jìn)而形成安全目標(biāo)。

可以從防止危害事件發(fā)生的角度考慮安全目標(biāo)，也可以從防止故障發(fā)生的角度提出安全目標(biāo)。例如：對(duì)過(guò)放導(dǎo)致內(nèi)部短路電池起火這個(gè)危害提出安全目標(biāo)，從防止危害發(fā)生的角度提出安全目標(biāo)為防止過(guò)放導(dǎo)致短路電池起火，從防止故障的角度提出安全目標(biāo)則為防止溫度限制發(fā)生故障。安全目標(biāo)的ASIL等級(jí)則為危害事件的最高的等級(jí)。

安全目標(biāo)的得出，衍生出一些安全相關(guān)的參數(shù)也要做規(guī)定，這些參數(shù)包括：運(yùn)行模式，故障容錯(cuò)時(shí)間，安全狀態(tài)，功能冗余等。

第二步，確定功能安全需求FSR，每一個(gè)安全目標(biāo)含義至少一項(xiàng)功能安全要求，盡管一個(gè)功能安全要求能夠cover不止一條安全目標(biāo)，每一條FSR從相關(guān)的SG繼承最高的ASIL。通過(guò)分層的方法，從風(fēng)險(xiǎn)評(píng)估和危害分析得出安全目標(biāo)，再由安全目標(biāo)得出功能安全要求。FSR的功能安全等級(jí)，自動(dòng)繼承安全目標(biāo)的最高等級(jí)。

第三步，由功能安全需求（FSR）提煉技術(shù)安全需求（TSR），在整個(gè)開(kāi)發(fā)生命周期，技術(shù)安全需求是要落實(shí)功能安全概念的技術(shù)要求，其用意是從細(xì)節(jié)的單級(jí)功能安全要求到系統(tǒng)級(jí)的安全技術(shù)要求。下表為功能安全需求轉(zhuǎn)化成技術(shù)安全需求的栗子，僅供流程上的參考。

第四步，系統(tǒng)設(shè)計(jì)階段，系統(tǒng)及子系統(tǒng)要上面所含義的貫徹技術(shù)安全要求，要反映前面含義的安全檢測(cè)及安全機(jī)制。技術(shù)安全要求的應(yīng)分配給系統(tǒng)設(shè)計(jì)要素，同時(shí)系統(tǒng)設(shè)計(jì)應(yīng)完成技術(shù)安全要求，有關(guān)技術(shù)安全要求的實(shí)現(xiàn)，在系統(tǒng)設(shè)計(jì)中應(yīng)考慮如下問(wèn)題，含義系統(tǒng)架構(gòu)，分配TSR到硬件和軟件，同時(shí)含義好軟件硬件接口HIS。軟硬件接口規(guī)范應(yīng)規(guī)定的硬件和軟件的交互，并與技術(shù)安全的概念是一致的，應(yīng)包括組件的硬件設(shè)備，是由軟件和硬件資源控制支持軟件運(yùn)行的。

系統(tǒng)設(shè)計(jì)，標(biāo)準(zhǔn)中給出三個(gè)方面的原則：模塊化、適當(dāng)?shù)念w粒度和簡(jiǎn)單。針對(duì)不同的安全等級(jí)，強(qiáng)調(diào)關(guān)注不同側(cè)面的設(shè)計(jì)考量。

技術(shù)安全要求，直接或者經(jīng)過(guò)進(jìn)一步細(xì)化后，分配給硬件和軟件。

系統(tǒng)設(shè)計(jì)完成后，還要考慮設(shè)計(jì)驗(yàn)證。功能安全目標(biāo)越高，越傾向于實(shí)物驗(yàn)證的方式。

第五步，硬件系統(tǒng)功能安全設(shè)計(jì)。硬件的詳細(xì)安全需求來(lái)自于TSR，系統(tǒng)架構(gòu)及系統(tǒng)邊界HSI。根據(jù)ISO26262-8章節(jié)6.4.2硬件安全需求規(guī)范應(yīng)包括與安全相關(guān)的每一條硬件要求，硬件安全要求應(yīng)按照ISO26262-8第6章和第9章的要求進(jìn)行驗(yàn)證，以供應(yīng)證據(jù)證明。硬件設(shè)計(jì)可以硬件功能方塊圖開(kāi)始，硬件方塊圖的所有的元素和內(nèi)部接口應(yīng)當(dāng)展示出來(lái)。然后設(shè)計(jì)和驗(yàn)證詳細(xì)的電路圖，最后通過(guò)演繹法（FTA）或者歸納法（FMEA）等方法來(lái)驗(yàn)證硬件架構(gòu)可能出現(xiàn)的故障。對(duì)BMS系統(tǒng)來(lái)講，電池包電壓傳感器是一個(gè)非常重要的傳感器，因此針對(duì)不同ASIL等級(jí)要分析電池包電壓傳感器不同的失效模式。一部分失效模式可以通過(guò)硬件的需求防范，一部分失效模式可以被分離為軟件需求去防范。

每個(gè)技術(shù)安全要求怎么樣設(shè)計(jì)，與實(shí)際產(chǎn)品功能、技術(shù)發(fā)展水平，供應(yīng)商水平等密切相關(guān)，是不同廠(chǎng)家產(chǎn)品差異性的起點(diǎn)。而產(chǎn)品具體執(zhí)行，有自己不同的思路，有的是不適用安全機(jī)制，直接要求零部件提高自身功能安全等級(jí)；有的則選擇新增監(jiān)測(cè)機(jī)制或者供應(yīng)不同原理的冗余設(shè)計(jì)，用以提高功能安全等級(jí)。

標(biāo)準(zhǔn)推薦的硬件設(shè)計(jì)驗(yàn)證原則如下表：

第六步，軟件系統(tǒng)設(shè)計(jì)。在汽車(chē)行業(yè)軟件開(kāi)發(fā)一般遵循V模型，左邊是開(kāi)發(fā)過(guò)程，右邊對(duì)應(yīng)的測(cè)試過(guò)程。BMS軟件開(kāi)發(fā)流程，基本與ISO26262第六部分推薦的軟件開(kāi)發(fā)流程V模型相吻合，如下圖所示。在軟件架構(gòu)設(shè)計(jì)中，要重點(diǎn)考慮軟件的可維護(hù)性及可測(cè)試性。在汽車(chē)行業(yè)，軟件在整個(gè)產(chǎn)品周期內(nèi)都應(yīng)當(dāng)考慮維護(hù)性，同時(shí)還要考慮軟件架構(gòu)的設(shè)計(jì)測(cè)試的容易實(shí)現(xiàn)，在ISO26262標(biāo)準(zhǔn)中，測(cè)試是非常重要的一方面，任何設(shè)計(jì)都應(yīng)該同時(shí)考慮到測(cè)試的方便性。至此，產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)環(huán)節(jié)已經(jīng)全部完成。

標(biāo)準(zhǔn)推薦的軟件架構(gòu)設(shè)計(jì)原則如下：

軟件架構(gòu)層面標(biāo)準(zhǔn)推薦的錯(cuò)誤處理機(jī)制如下：

標(biāo)準(zhǔn)推薦的軟件設(shè)計(jì)驗(yàn)證方法如下表：

參考文獻(xiàn)

1、基于功能安全的BMS設(shè)計(jì)_韓豫萍

2、符合ISO_26262標(biāo)準(zhǔn)的安全完整性等級(jí)評(píng)估方法的研究_何波

3、基于ISO26262的BMS概念階段開(kāi)發(fā)概述_田星

4、基于功能安全的BMS設(shè)計(jì)方法及其可靠性的研究_印凱

5、GB∕T34590.3-2017道路車(chē)輛功能安全第3部分：概念階段

6、GB∕T34590.4-2017道路車(chē)輛功能安全第4部分：產(chǎn)品開(kāi)發(fā)：系統(tǒng)層面

7、GB∕T34590.5-2017道路車(chē)輛功能安全第5部分：產(chǎn)品開(kāi)發(fā)：硬件層面

8、GB∕T34590.6-2017道路車(chē)輛功能安全第6部分：產(chǎn)品開(kāi)發(fā)：軟件層面