最近在了解學習關于ISO26262,看了一些文章,本身從事BMS相關的工作,想做一個關于BMS功能安全開發流程的筆記,分三篇文章,第一篇是關于BMS和ISO26262的簡介。
BMS & ISO26262簡介
BMS即Battery Management System,電池管理系統。作為新能源汽車“三電”核心技術之一,BMS在新能源車上扮演十分重要的作用。按照新能源汽車對電池管理的需求,BMS具備的功能包括電壓/溫度/電流采樣及相應的過壓、欠壓、過溫、過流保護,SOC/SOH估算、SOP預測、故障診斷、均衡控制、熱管理和充電管理等。
為了保證汽車電子電氣的可靠性設計, 在2011年發布了IS0 26262道路車輛功能安全標準), IS0 26262 標準是源于工業功能安全標準(IEC61508)[1]。目前許多汽車企業和零部件企業在控制器開發過程中采用ISO26262這個標準,ISO26262包括了汽車電子電氣開發中與安全相關的所有應用,制定了汽車整個生命周期中與安全相關的所有活動,ISO 26262從需求開始,當中包括概念設計、軟硬件設計,直至最后的生產、操作,都提出了相應的功能安全要求,其覆蓋了汽車整個生命周期,從而保證安全相關的電子產品的功能性失效不會造成危險的發生。如下圖所示
1. 范圍及相關項
ISO26262適用于最大總質量不超過3.5噸的量產成用車上的包含一個或多個電子電氣系統的與安全相關的系統。在這部分ISO26262和FMEA還是比較相似的,第一步是確定Scope,那些是研究范圍之內的。對高壓電池系統而言,ISO26262適用于電池包電氣系統及BMS系統,而不適用于電池包的電芯及機械結構件等。
1)Function Safety Definition
功能安全:不存在由電子電氣系統的功能異常而引起的危害而導致不合理的風險。
為了保證避免不可接受的風險,功能安全開發流程在在ISO262262標準中進行了詳細的闡述。概念階段的function safety requirements應當能夠滿足整車層面的Safety Goal,電子電氣層面的開發出來的technical safety requirements同時也應該滿足概念階段的function safety requirements,最后一步是確定零部件級別的軟件和硬件的功能安全需求。下圖是ISO26262開發途徑。
2)Fault, Errors and Failures Definitions
Fault(故障):可引起要素或相關項失效的異常情況
Errors (錯誤):計算的、觀測的、測量的值或條件與真實的、規定的、理論上正確的值或條件之間的差異
Failure(失效):要素按要求執行功能的能力的終止
基于上面的定義,他們之間存在一定的因果關系,故障會產生錯誤,而錯誤會引起功能或者系統的失效,如果下圖。
在ISO26262標準中,我們要區分兩類故障、錯誤和失效:隨機和系統性失效。系統性失效可以在設計階段通過合適的方法來避免,而隨機性失效只能降低到可接受程度。系統性甚至隨機性失效會發生在硬件當中,而軟件的失效更多的是系統性的失效。
失效同時還可以分為單點失效和多點失效。
單點失效:要素中沒有被安全機制所覆蓋,并且直接導致違背安全目標的故障
多點失效:由幾個獨立的故障組合引發,直接導致違背安全目標的失效。
在多點失效中有個特別的失效叫雙點失效。由兩個獨立故障組合引起的,直接導致違背安全目標的失效。
故障發生的時間關系如下圖所示
診斷測試時間間隔(diagnostic test interval):通過安全機制執行在線診斷測試時間間隔
故障響應時間(fault reaction time):從故障探測到進入安全狀態的時間間隔
3)Risk Definition
風險可以看成一個功能函數F,一個變量frequency of occurrence (f),controllability (C),potential severity (S)功能函數
其中f是Exposure(E)危害時間發生概率λ的函數
ISO26262標準中分別對E,C,S進行了相應的定義
a. 對于每一個危害事件,應基于確定的理由預估每個運行場景的暴露概率。按照下表,應為暴露概率指定一個E0、E1、E2、E3或E4的概率等級。
b. 對于每一個危害事件,應基于一個確定的理由預估駕駛員或其他潛在處于風險的人員對該危害事件的可控性。按照下表,應為可控性指定一個C0、C1、C2或C3的可控性等級。
c. 對于每一個危害事件,應基于一個已確定的理由來預估潛在傷害的嚴重度。根據下表,應為嚴重度指定一個S0、S1、S2或S3的嚴重度等級
d. 每一個危害事件的ASIL等級應使用“嚴重度”、“暴露概率”和“可控性”這三個參數根據下表來確定
由于BMS屬于新能源汽車高壓電池系統的一部分,EUCAR定義了高壓電池系統的危害等級。
當BMS不能夠很好的監測或者保護電芯時,上表中的危害事件就有可能發生。ISO26262的目標是保護乘客受到危害,因為上表Level 5以上就算是嚴重危害事件了。因此有必要定義一個電芯工作的最大允許危害級別,5以上時肯定不允許的。
參考資料:
1. 道路車輛功能安全 第三部分:概率階段 (征求意見稿)
2. FreedomCAR_Electrical Energy Storage System Abuse Test Manual for Electric and Hybrid Electric Vehicle Applications
來源:第一電動網
作者:129Lab
本文地址:http://www.155ck.com/kol/56733
本文由第一電動網大牛說作者撰寫,他們為本文的真實性和中立性負責,觀點僅代表個人,不代表第一電動網。本文版權歸原創作者和第一電動網(www.155ck.com)所有,如需轉載需得到雙方授權,同時務必注明來源和作者。
歡迎加入第一電動網大牛說作者,注冊會員登錄后即可在線投稿,請在會員資料留下QQ、手機、郵箱等聯系方式,便于我們在第一時間與您溝通稿件,如有問題請發送郵件至 content@d1ev.com。
文中圖片源自互聯網,如有侵權請聯系admin#d1ev.com(#替換成@)刪除。
先估價再買車,買的放心開的安心
您的詢價信息
已經成功提交我們稍后會聯系您進行報價!
京公網安備
11010502033163號