电池管理系统BMS功能安全开发流程详解

原题目:电池治理体系BMS功效平安开辟流程详解

起源 | 研车有道

起源 | 电动知家

BMS和ISO26262 – BMS & ISO26262简介

BMS即Battery Management System,电池治理体系。作为新能源汽车“三电”焦点技巧之一,BMS在新能源车上饰演十分主要的感化。依照新能源汽车对电池治理的需求,BMS具备的功效包含电压/温度/电流采样及响应的过压、欠压、过温、过流维护,SOC/SOH估算、SOP猜测、故障诊断、平衡把持、热治理和充电治理等。

为了包管汽车电子电气的靠得住性设计, 在2011年宣布了IS0 26262途径车辆功效平安尺度), IS0 26262 尺度是源于产业功效平安尺度(IEC61508)[1]。今朝很多汽车企业和零部件企业在把持器开辟进程中采取ISO26262这个尺度,ISO26262包含了汽车电子电气开辟中与平安相干的所有利用,制订了汽车全部性命周期中与平安相干的所有运动,ISO 26262从需求开端,傍边包含概念设计、软硬件设计,直至最后的出产、操纵,都提出了响应的功效平安请求,其笼罩了汽车全部性命周期,从而包管平安相干的电子产物的功效性掉效不会造成危险的产生。如下图所示

1. 范畴及相干项

ISO26262实用于最年夜总质量不跨越3.5吨的量产成用车上的包括一个或多个电子电气体系的与平安相干的体系。在这部门ISO26262和FMEA仍是比拟类似的,第一步是断定Scope,那些是研讨范畴之内的。对高压电池体系而言,ISO26262实用于电池包电气体系及BMS体系,而不实用于电池包的电芯及机械构造件等。

1)Function Safety Definition

功效平安:不存在由电子电气体系的功效异常而引起的迫害而导致分歧理的风险。

睁开全文

2)Fault, Errors and Failures Definitions

Fault(故障):可引起要素或相干项掉效的异常情形

Errors (过错):盘算的、不雅测的、丈量的值或前提与真实的、划定的、理论上准确的值或前提之间的差别

Failure(掉效):要素按请求履行功效的才能的终止

基于上面的界说,他们之间存在必定的因果关系,故障会发生过错,而过错会引起功效或者体系的掉效,假如下图。

在ISO26262尺度中,我们要区分两类故障、过错和掉效:随机和体系性掉效。体系性掉效可以在设计阶段经由过程适合的方式来避免,而随机性掉效只能下降到可接收水平。体系性甚至随机性掉效会产生在硬件傍边,而软件的掉效更多的是体系性的掉效。

掉效同时还可以分为单点掉效和多点掉效。

单点掉效:要素中没有被平安机制所笼罩,而且直接导致违反平安目的的故障

多点掉效:由几个自力的故障组合激发,直接导致违反平安目的的掉效。

在多点掉效中有个特殊的掉效叫双点掉效。由两个自力故障组合引起的,直接导致违反平安目的的掉效。

故障产生的时光关系如下图所示

诊断测试时光距离(diagnostic test interval):经由过程平安机制履行在线诊断测试时光距离

故障响应时光(fault reaction time):从故障探测到进进平安状况的时光距离

3)Risk Definition

风险可以当作一个功效函数F,一个变量frequency of occurrence (f),controllability (C),potential severity (S)功效函数

此中f是Exposure(E)迫害时光产生概率λ的函数

ISO26262尺度平分别对E,C,S进行了响应的界说

a. 对于每一个迫害事务,应基于断定的来由预估每个运行场景的裸露概率。依照下表,应为裸露概率指定一个E0、E1、E2、E3或E4的概率品级。

b. 对于每一个迫害事务,应基于一个断定的来由预估驾驶员或其他潜伏处于风险的职员对该迫害事务的可控性。依照下表,应为可控性指定一个C0、C1、C2或C3的可控性品级。

c. 对于每一个迫害事务,应基于一个已断定的来由来预估潜伏损害的严重度。依据下表,应为严重度指定一个S0、S1、S2或S3的严重度品级

d. 每一个迫害事务的ASIL品级应应用“严重度”、“裸露概率”和“可控性”这三个参数依据下表来断定

因为BMS属于新能源汽车高压电池体系的一部门,EUCAR界说了高压电池体系的迫害品级。

当BMS不克不及够很好的监测或者维护电芯时,上表中的迫害事务就有可能产生。ISO26262的目的是维护乘客受到迫害,由于上表Level 5以上就算是严重迫害事务了。是以有需要界说一个电芯工作的最年夜答应迫害级别,5以上时确定不答应的。

ASIL品级 – ISO26262在BMS开辟中的利用

1. 相干项界说,ASIL品级,平安目的

如下图所示,第一步经由过程分歧的驾驶情形,分歧的情况来断定分歧的场景;第二步剖析分歧场景下的变乱所以引起的Hazard Situation. 第三步断定这些Hazard Situation的ASIL 品级,这一部门有很年夜的主不雅身分,每个公司斟酌题目的角度纷歧样,针对分歧的Hazard Situation设定的ASIL 品级也会纷歧样。好比有些OEM界说热掉控的ASIL LEVEL为C,有些OEM设定热掉控 ASIL LEVEL 为D,不外今朝来看热掉控今后的ASIL LEVEL会是D,在知乎上看有人说今后民众的高压电池包的平安品级为D,他说的这个电池包应当是指电池包里面的电气架构包含BMS。

ISO 26262-3 Scheme ©TÜV Süd

第四步依据上一步断定的分歧的故障模子Harzard Situation ASIL的最年夜ASIL品级。第五步依据上一步断定的最年夜ASIL品级就可以设定Safety Goal了。在上篇文章中简略先容了功效平安的开辟道路,在开辟道路中,Safety Goal是Top Level的Safety Requirements,直接来自于HARA(hazard analysis and risk assessment)。第七步,依据Safety Goal就可以导出 Saftety Requirements。

由于ISO26262涉及到产物的全部开辟周期,那么谁该负责这全部流程,主机厂仍是供给商?假如BMS是由供给商开辟供给给主机厂,那么理论上前5步都应当是主机厂来主导剖析,输出Saftety Goal给供给商,供给商依据Satety Goal导出Saftety Requirements,接着是体系设计,硬件设计,软件设计等。同时主机成也会介入到V模子右边的测试部门。

依据上面的剖析,我们将BMS最为一个safety element out of context(自力平安单位),自力平安单位的意思在在产物的开辟周期内,不消斟酌整车内其它要素(element)。

a. Item Definition

Item dedinition起首要断定item的scope,item的鸿沟及与item相干的部件,断定item与外界部件的交互接口,CAN旌旗灯号,传感器旌旗灯号等等。一般凡是采取方框来表现item的elements,经由过程这些elements和elements之间的信息交互,就可以或许断定这个体系的年夜致架构。

假如下图a是一个电池体系的方块图,电池高压体系重要有Junction box,Modules,cell balance interconnect circuit, HV contactor module, BMS等。BMS经由过程将传感器采集的数据进行处置,盘算电池SOC/SOH,故障诊断等,同时经由过程整车CAN与VCU进行信息交互。b图是a图所对应的item defintion。一个A00级的BEV电池包。

a) Preliminary architecture of the hypothetical Li-ion battery system

b) Key elements and signals within the energy storage system

点画线表现高压电池体系的鸿沟线,高压体系的与外界的交互旌旗灯号分成了下表中的七年夜类。

上面界说了分歧类的子体系,下面这张图是上图中(connected modules)衔接模组的框框图。

下面这张图是上面衔接模组的进一步分化的模组框框图及旌旗灯号流。

如许一层一层像剥洋葱一样分化体系,很便利追溯所有旌旗灯号起源。体系与其他外部部件之间的接洽,体系内部之间的接洽,子体系之间的接洽,一目了然。好比我们想追踪温度传感器的旌旗灯号流,起首可以从模组框框图开端,temperature sensor 到 monitoring unit, monitoring unit 与外部的 internal communication交互信息,上一次的衔接模组的 internal communication 与外界的 Junction box经由过程内部通信交流信息Top level 的 junction box 与外界的整车把持器交互信息。

这篇文章里的Itemdefinition是针对高压电池包,我直接引用。BMS体系没有这么多子体系,可是在工作中发明,实在把高压体系的电气体系和BMS作为一个年夜体系,进行功效平安剖析更周全,工作也更好睁开。

在第二篇中,进行了概念阶段的ite definition剖析,item definition应该尽可能将体系的接口描写明白。好比电池体系电压分类,高压线路的功率才能,CAN通讯协定和其他旌旗灯号的阐明,旌旗灯号电压电流范畴,正常值等。

Item definition,不仅须要将体系的功效描写明白,同时也要将item的掉效模式描写明白,如许才干明白知道tiem应当是怎么样,而不该该呈现某些哪些表示情势。在ISO26262-3中,Hazrad可以经由过程,brainstorm或者DFMEA等方式来确认,从整车级别剖析这些迫害会对车辆或者乘客造成的影响。这个阶段的DFMEA我们可以不消斟酌造成这些迫害的可能原因有哪些,在后面的DFEMA工作中可以具体来剖析造成这些hardzard的可能原因。

下表是依据上图HARA(Hazard Analysis and Risk Assessment)获得的。界说了93个功效和136个malfunction.

在该文章中拔取了6个路况,subterranean garage, small streets, middle streets, large streets, highway and motorway,同时拔取了23个常见的驾驶工况,常见的气象情形对场景的影响,最后获得了3128个可能性较年夜的迫害事务。3128仍是个很是年夜的数字,假如一条一条的剖析,是个宏大的工作。文章中进步,他们团队有来不自分歧部分的经验丰盛的工程师有整车部分,电芯部分,pack部分,EE等,最后团队从这3128迫害事务中选择了142个进行进一步剖析。

在界说好了malfunction后,就可以依据Risk definiton中的三个参数S(Severity),E( Exposure), C(Controllability)来断定迫害的ASIL 品级了。下表是一个简略的电芯过放的HARA剖析。在这个表格里面,在城市途径上产生电芯热掉控导致车辆起火,定的ASIL Level是C;车辆在速度比拟低的时辰,定的ASIL Level是A。

下表是别的一个文章中过放的HRAR剖析:

这两个表格中参数C(Controllability)很年夜水平上取决于驾驶员将车辆停靠在平安地位的速度,车速越快,车速越快驾驶员须要更多的时光找一个平安地位将电芯热掉控的车辆安顿好。这两个表格中第二行S/E/C的值都是一样,而ASIL LEVEL却纷歧样,纳尼???

有个很简略的公式来断定断定ASIL LEVEL。假如S+E+C的值小于7,那么ASIL LEVEL是A,具体如下表。所以第二个表格中的ASIL LEVEL应当C,文章的小瑕疵。

下表是一篇文章对一个高压电池包HARA剖析后给出的Safety Goal.同上面两个对照,分歧的公司或组织对雷同的Malfunction给出的ASIL LEVEL是分歧的,上面两个表格对过充的ASIL LEVEL是C,下表为D。

由Saftey Goal衍生出的平安目的应当斟酌一下内容

· 运行模式

· 故障容错时光区间(距离);或故障容错时光

· 平安状况

· 紧迫操纵时光区间

· 功效冗余(例如故障容错)

应为每一个平安目的界说至少一项功效平安请求,尽管一个功效平安请求可以或许cover不止一条平安目的,每一条FSR从相干SG继续最高的ASIL。然后将FSR分派给相干项。好比下表中的SG1界说了两个FSR。

在ISO26262-9中界说了ASIL分化,为了下降平安目的实行本钱,可以将一个高ASIL平安目的分化成两个彼此自力的低一级平安目的。拿文中的SG1-预防过放作为一个例子,在这里我们假设负载只有驱动电机,可以经由过程将SG1分化成两个自力的FSR。FSR1.2a:在x ms内断开高压回路,FSR1.2a:经由过程CAN报文恳求负载将需求功率下降为0。

技巧平安请求导出

在第三篇中先容了功效平安概念的目标是从平安目的(SR)中得出功效平安请求(FSR),并将其分派给相干项的初步架构要素或外部办法。

技巧平安请求导出

图1阐明了经由过程分层的方式,从迫害剖析和风险评估得出平安目的,再由平安目的得出功效平安请求。

图1 平安目的和功效平安请求层级

图2给出了ISO26262响应部门中的平安请求的构造和散布的阐明。将功效平安请求分派给初步架构要素。

图2 平安请求的构造

技巧平安请求(TSR)是对功效平安请求(FSR)提炼,细化了功效平安的概念,同时斟酌功效性的概念和初步的系统架构。经由过程剖析技巧平安须要来验证合适功效平安需求。在全部开辟性命周期,技巧平安需求是要落实功效平安概念的技巧请求,其用意是从细节的单级功效平安请求到体系级的平安技巧请求。

技巧平安请求应依据功效平安概念、相干项的初步架构假想和如下体系特征来界说:

a. 外部接口,如通信和用户接口,假如实用;

b. 限制前提,例如情况前提或者功效限制;以及

c. 体系设置装备摆设请求。

体系设计

基于概念阶段的基础体系架构,功效平安概念,技巧平安请求和非功效性请求,依照ISO26262的下一步流程就是体系设计了。在这个阶段,体系及子体系须要上面所界说的贯彻技巧平安请求,须要反应前面界说的平安检测及平安机制。

技巧平安请求的应分派给体系设计要素,同时体系设计应完成技巧平安请求,关于技巧平安请求的实现,在体系设计中应斟酌如下题目:

a. 体系设计的可验证性

b. 软件硬件的技巧实现性

c. 体系集成中的履行测试才能

体系和子体系架构应当知足各自ASIL 品级的技巧平安需求,每个元素应实现最高的ASIL技巧平安需求,假如一个体系包括的子体系有分歧的ASIL 品级,或者是平安相干的子体系和非平安相干的子体系,那么这些体系应当以最高的ASIL品级来处置。

在体系设计阶段,为了避免体系系掉效,ISO26262针对分歧的ASIL品级推举了分歧的剖析方式,如FMEA,FAT等。如表1。因为内因或者外因而引起体系掉效应该避免或者打消。

为削减体系性掉效, 宜利用值得信任的汽车体系设计原则. 这些原则可能包含:

a. 值得信任的技巧平安概念的再应用;

b. 值得信任的要素设计的再应用, 包含硬件和软件组件;

c. 值得信任的探测和把持掉效的机制的再应用, 及

d. 值得信任的或尺度化接口的再应用。

为了确保值得信任的设计原则或要素在新相干项中的实用性, 应剖析其利用成果, 以及应在再应用之前检讨其基础假想。

ASIL A、B、C、D 划定:为避免高庞杂性带来的故障,架构设计应当依据表2 中的原则来展示下列的属性:模块化,条理化,简略化

基于上面界说的TSR和概念阶段界说的基础架构图,图4是精辟之后的BMS体系架构图。

图4

下一步是界说体系架构,分派TSR给硬件和软件,同时界说好软件硬件接口HIS。

软硬件接口规范应划定的硬件和软件的交互,并与技巧平安的概念是一致的,应包含组件的硬件装备,是由软件和硬件资本把持支撑软件运行的。软硬件接口规范应包含下面属性:

a. 硬件装备的工作模式和相干的设置装备摆设参数, 硬件装备的操纵模式,如:缺省模式,

b. 初始化,测试或高等模式, 设置装备摆设参数,如:增益把持,带通频率或时钟分频器。

c. 确保单位之间的自力性和支撑软件分区的硬件特征

d. 共享和专用硬件资本,如内存映射,存放器,按时器,中止,I / O 端口的分派。

e. 硬件装备的获取机制,如串口,并口,从,主/从

f. 每个涉及技巧平安概念的时序束缚

硬件和其应用的软件的相干诊断功效应在软硬件接口规范中划定:

a. 硬件诊断功效应界说,例,检测过流,短路或过热

b. 在软件中实现的硬件诊断功效

软硬件接口规范在体系设计时制订,在硬件开辟和软件开辟时被进一步细化。应应用表3列出的方式验证体系设计对于技巧平安概念的合适性和完整性。

硬件体系功效平安设计

硬件的具体平安需求来自于TSR,体系架构及体系鸿沟HSI。

硬件体系功效平安设计

依据ISO 26262-8章节6.4.2 硬件平安需求规范应包含与平安相干的每一条硬件请求,包含以下:

a. 为把持要素硬件内部掉效的平安机制的硬件平安请求和相干属性,这包含用来笼罩相干瞬态故障(例如,因为所应用的技巧而发生的瞬态故障)的内部平安机制;

b. 为确保要素对外部掉效容错的硬件平安请求和平安机制的相干属性。

c. 为合适其它要素的平安请求的硬件平安请求和平安机制的相干属性;

d. 为探测表里部掉效和发送掉效信息的硬件平安请求及平安机制的相干属性;及

e. 没有界说平安机制的硬件平安请求。

硬件平安请求应依照ISO26262-8第6章和第9章的请求进行验证,以供给证据证实。硬件设计可以硬件功效方块图开端,硬件方块图的所有的元素和内部接口应该展现出来。然后设计和验证具体的电路图,最后经由过程演绎法(FTA)或者回纳法(FMEA)等方式来验证硬件架构可能呈现的故障。

对体系设计来讲最年夜的挑衅是知足ISO26262硬件架构怀抱。针对ASIL C或D,ISO26262强烈推举盘算单掉效和潜伏掉效概率。具体盘算法见ISO26262-8附件。针对单点故障SPF (single-point faults),被称为单点故障怀抱(single-pointfault metric -SPFM),针对潜伏掉效故障,被称为潜伏故障怀抱( latent-faultmetric-LFM)。对于每一个平安目的,由ISO26262请求的“埋伏故障怀抱”的定量目的值应基于下列参考目的值:

表1 SPFM和LFM推举值

对BMS体系来讲,电池包电压传感器是一个很是主要的传感器,是以针对分歧的ASIL品级须要剖析电池包电压传感器分歧的掉效模式。下表是分歧的ASIL级别所须要笼罩到掉效模式。

表2 电池包电压传感器常见掉效模式及笼罩度

ISO26262推举用两个可选的方式以评估违反平安目的的残存风险是否足够低。

两个方式都评估由单点故障、残存故障和可能的双点故障导致的违反平安目的的残存风险。假如显示为与平安概念相干,也可斟酌多点故障。在剖析中,对残存和双点故障,将斟酌平安机制的笼罩率,而且,对双点故障也将斟酌裸露连续时光。

第一个方式包含应用概率的怀抱,即“随机硬件掉效概率怀抱”(probabilisticmetric for random hardware failures-PMHF),经由过程应用例如定量故障树剖析(FTA)或者(Failure Mode Effects and Diagnostic Analysis – FMEDA)及将此盘算成果与目的值比拟较的方式,评估是否违反所斟酌的平安目的。

第二个方式包含自力的评估每个残存和单点故障,及每个双点掉效是否导致违反所斟酌的平安目的。此剖析方式也可被斟酌为割集剖析。在文章[1]中选用第二种方式来验证BMS平衡电路的随机掉效,单点掉效等。

在前面几章剖析过从HARA剖析获得Safe Goal,从Safe Goal推导出FSR,从FSR推导出TSR。并以BMS的过充作为例子进行了具体的先容。文章[1]拔取了TI公司的BQ20Z80芯片,监控四个cell电压,治理平衡。图1是电路原图(表现看不清,可以看参考文献[2]的高清年夜图),该电路的焦点元器件是ICBQ20Z80,BQ2940是过充二级维护芯片。文章针对过充维护功效,选择方式2睁开对平安目的-“Battery overcharging shallbe prevented ”的随机掉效掉效评估。该方式不仅斟酌到过错产生的可能性同时还斟酌到平安机制的有用性。文章评估了芯片BQ2940及采样芯片BQ2931。

图1 电芯电压采样平衡架构图

ISO 26262尺度中引进了掉效力品级。硬件元器件掉效力的掉效力品级评级应按如下断定:

a. 掉效力品级1 对应的掉效力应少于ASILD 的目的除以100(见表3)

b. 掉效力品级2 对应的掉效力应少于或即是10倍的掉效力品级1 对应的掉效力(见表4)

表4 掉效力品级

假如单点掉效违反ASILC的平安目的,阿谁对应的适合的掉效力品级为FRC 1或者有其他额外丈量的FRC2

采样平衡电路的掉效可能会导致电芯过充,进一步引起热掉控。是以依据SafetyGoal推导出的平安请求如图2。

图2 功效平安请求

这是平安目的所导出想体系的TSR,须要从平分离出零丁跟硬件相干的或者和软件硬件都相干的TSR,是以硬件的TSR为:

· Overcharge condition shall be detectedwithin Y ms and,

· Current to the battery shall beinterrupted within Z ms.

· 依据上面的剖析有两条TSR分派给了硬件体系。在文档[1]中回纳总结了平安目的的平安机制,见表5:

表5 分派给硬件的过充维护平安机制

· 实行平安机制中须要用到的硬件元器件预估掉效力(failurein time- FIT)。用于断定硬件元器件掉效力和掉效模式散布的业界公认的起源包含IEC/TR62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811,NPRD 95, EN 50129:2003, Annex C, IEC 2061:2005, Annex D, RIAC FMD97 和 MIL HDBK 338。文章[1]中拔取数据库MILHDBK 217和芯片供给商所供给的数据来评估平安机制。

· 文章[1]中采取AFEBQ2931(TI)作为过充二级维护芯片,表是对过充维护的平安机制的评估。从下表格可以看出,平安目的的掉效模式笼罩率为99%,针对分歧的与之平安相干的部件。

表6 平安机制评估

· 一旦完成硬件架构的设计和样件设计,与之对应的分歧的元素,体系集成测试也应当界说好。在ISO26262-8中,针对分歧的ASIL品级推举了分歧的测试方式。

义务编纂:

发表评论

电子邮件地址不会被公开。 必填项已用*标注