今天編者試圖整理動力電池BMS功能安全開發(fā)流程相關(guān)資料，在驗證部分的資料不太充分，后面有機會再進行補充。

1、功能安全定義功能安全

2、概述Overview

在ISO26262 標(biāo)準(zhǔn)中，我們要區(qū)分兩類故障、錯誤和失效：隨機和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計階段通過合適的方法來避免，而隨機性失效只能降低到可接受程度。系統(tǒng)性甚至隨機性失效會發(fā)生在硬件當(dāng)中，而軟件的失效更多的是系統(tǒng)性的失效。首先根據(jù)安全目標(biāo)，確定安全等級。對于每個危害事件，根據(jù)其暴露概率E、可控性C、嚴(yán)重度S 三要素，確定其ASIL 等級。

依據(jù)ISO26262 的開發(fā)流程，從需求開始，當(dāng)中包括概念設(shè)計、系統(tǒng)設(shè)計、硬件設(shè)計、軟件設(shè)計，直至最后的生產(chǎn)發(fā)布、售后維護，都提出了相應(yīng)的功能安全要求，其覆蓋了整個汽車的生命周期，從而保證汽車電子產(chǎn)品的功能安全可靠，即使功能失效也不會造成危險的發(fā)生。BMS 作為新能源汽車的關(guān)鍵，對其功能要求越來越復(fù)雜，BMS 必須具備電壓、電流、溫度等基本的采樣功能，同時對電池的運行過程實時監(jiān)督，過壓、欠壓、過流、過溫等保護功能，同時SOP、SOC、SOH 的預(yù)測，故障診斷、均衡控制、熱管理、快慢充管理等。把ISO26262 標(biāo)準(zhǔn)要求，應(yīng)用到BMS 的開發(fā)中，將會大大提高BMS 的安全性。

如果將BMS 視為一個safety element out of context（獨立安全單元），獨立安全單元的意思在在產(chǎn)品的開發(fā)周期內(nèi)，暫時不考慮整車內(nèi)其它要素（element）。根據(jù)主機廠提供的Saftety Goal，BMS 開發(fā)商供應(yīng)商根據(jù)Satety Goal 導(dǎo)出Saftety Requirements，接著是系統(tǒng)設(shè)計，硬件設(shè)計，軟件設(shè)計等。而作為整車的一部分，整車上的一些功能會與電池系統(tǒng)發(fā)生相互作用，就要從相關(guān)項的角度考慮其作用的結(jié)果。

BMS依據(jù)汽車電子電氣的開發(fā)慣例，按照V模型的主體流程進行開發(fā)，主機廠會參與到V 模型右邊的測試部分。

3、相關(guān)項定義

電池高壓系統(tǒng)主要由接線盒、模組、電池均衡連接器，高壓連接器模塊，BMS 等組成。BMS 通過傳感器采集電壓、溫度等數(shù)據(jù)進行處理，計算電池的SOC/SOH，故障診斷等。同時，通過整車CAN 與VCU 進行信息交互。進行相關(guān)項定義時，要分析電池系統(tǒng)組成部分，界定功能安全分析的范圍。下圖是電池系統(tǒng)結(jié)構(gòu)和原理框圖。對于BMS所承接的功能安全目標(biāo)，是在整車相關(guān)項層面得到的。在此基礎(chǔ)上，進行BMS產(chǎn)品的開發(fā)和驗證。

4、開發(fā)流程首先確定危害事件

根據(jù)不同的工況、不同駕駛習(xí)慣過、天氣情況分析出可能性較大的危害事件，針對危害事件，分配到系統(tǒng)工作的各個職能部門。在ISO26262-3，Hazrad 分析可以通過brainstorm、DFMEA等方法來確認。以單體過充危害事件為例，根據(jù)ASIL 等級的三要素，確定危害事件的等級。下表是一個簡單的電芯過充的HARA分析。在這個表格里面，在城市道路上發(fā)生電芯熱失控導(dǎo)致車輛起火，定的ASIL Level是C；車輛在速度比較低的時候，定的ASIL Level 是A。羅列功能因故障失效的全部可能性；

匯總?cè)抗δ芎凸收?，按照運行模式區(qū)分，形成危害事件的矩陣。通過危害分析和風(fēng)險評估，界定危害事件的功能安全目標(biāo)。合并不同場景下的同一個危害事件的安全等級，用最高的功能安全等級作為該危害事件的安全等級。為了避免危害事件的發(fā)生，進而形成安全目標(biāo)。

可以從避免危害事件發(fā)生的角度考慮安全目標(biāo)，也可以從避免故障發(fā)生的角度提出安全目標(biāo)。例如：對過放導(dǎo)致內(nèi)部短路電池起火這個危害提出安全目標(biāo)，從避免危害發(fā)生的角度提出安全目標(biāo)為防止過放導(dǎo)致短路電池起火，從避免故障的角度提出安全目標(biāo)則為避免溫度限制發(fā)生故障。安全目標(biāo)的ASIL 等級則為危害事件的最高的等級。安全目標(biāo)的得出，衍生出一些安全相關(guān)的參數(shù)也需要做規(guī)定，這些參數(shù)包括：運行模式，故障容錯時間，安全狀態(tài)，功能冗余等。

確定功能安全需求FSR，每一個安全目標(biāo)定義至少一項功能安全要求，盡管一個功能安全要求能夠cover 不止一條安全目標(biāo)， 每一條FSR 從相關(guān)的SG 繼承最高的ASIL。通過分層的方法，從風(fēng)險評估和危害分析得出安全目標(biāo)，再由安全目標(biāo)得出功能安全要求。FSR 的功能安全等級，自動繼承安全目標(biāo)的最高等級。

三，由功能安全需求（FSR）提煉技術(shù)安全需求（TSR）

在整個開發(fā)生命周期，技術(shù)安全需求是要落實功能安全概念的技術(shù)要求，其用意是從細節(jié)的單級功能安全要求到系統(tǒng)級的安全技術(shù)要求。下表為功能安全需求轉(zhuǎn)化成技術(shù)安全需求的栗子，僅供流程上的參考。

第四步，系統(tǒng)設(shè)計階段，系統(tǒng)及子系統(tǒng)需要上面所定義的貫徹技術(shù)安全要求，需要反映前面定義的安全檢測及安全機制。技術(shù)安全要求的應(yīng)分配給系統(tǒng)設(shè)計要素，同時系統(tǒng)設(shè)計應(yīng)完成技術(shù)安全要求，關(guān)于技術(shù)安全要求的實現(xiàn)，在系統(tǒng)設(shè)計中應(yīng)考慮如下問題，定義系統(tǒng)架構(gòu)，分配TSR 到硬件和軟件，同時定義好軟件硬件接口HIS。軟硬件接口規(guī)范應(yīng)規(guī)定的硬件和軟件的交互，并與技術(shù)安全的概念是一致的，應(yīng)包括組件的硬件設(shè)備，是由軟件和硬件資源控制支持軟件運行的。系統(tǒng)設(shè)計，標(biāo)準(zhǔn)中給出三個方面的原則：模塊化、適當(dāng)?shù)念w粒度和簡單。針對不同的安全等級，強調(diào)關(guān)注不同側(cè)面的設(shè)計考量。

技術(shù)安全要求，直接或者經(jīng)過進一步細化后，分配給硬件和軟件。系統(tǒng)設(shè)計完成后，還需要考慮設(shè)計驗證。功能安全目標(biāo)越高，越傾向于實物驗證的方式。

五，硬件系統(tǒng)功能安全設(shè)計

硬件的詳細安全需求來自于TSR，系統(tǒng)架構(gòu)及系統(tǒng)邊界HSI。根據(jù)ISO 26262-8 章節(jié)6.4.2 硬件安全需求規(guī)范應(yīng)包括與安全相關(guān)的每一條硬件要求，硬件安全要求應(yīng)按照ISO26262-8 第6 章和第9 章的要求進行驗證，以提供證據(jù)證明。硬件設(shè)計可以硬件功能方塊圖開始，硬件方塊圖的所有的元素和內(nèi)部接口應(yīng)當(dāng)展示出來。然后設(shè)計和驗證詳細的電路圖，最后通過演繹法（FTA）或者歸納法（FMEA）等方法來驗證硬件架構(gòu)可能出現(xiàn)的故障。對BMS 系統(tǒng)來講，電池包電壓傳感器是一個非常重要的傳感器，因此針對不同ASIL 等級需要分析電池包電壓傳感器不同的失效模式。一部分失效模式 可以通過硬件的需求防范，一部分失效模式可以被分離為軟件需求去防范。

每個技術(shù)安全要求怎樣設(shè)計，與實際產(chǎn)品功能、技術(shù)發(fā)展水平，供應(yīng)商水平等密切相關(guān)，是不同廠家產(chǎn)品差異性的起點。而產(chǎn)品具體實施，有自己不同的思路，有的是不適用安全機制，直接要求零部件提高自身功能安全等級；有的則選擇增加監(jiān)測機制或者提供不同原理的冗余設(shè)計，用以提高功能安全等級。

標(biāo)準(zhǔn)推薦的硬件設(shè)計驗證原則如下表：

注：該驗證評審的范圍是硬件設(shè)計的技術(shù)正確性

方法1a和1b檢查硬件設(shè)計中硬件安全要求是否得到完整和正確的執(zhí)行

當(dāng)認為分析方法1和2不充分時，利用方法3a和3b檢查硬件設(shè)計的特定點（例如故障注入技術(shù)）

六，軟件系統(tǒng)設(shè)計

在汽車行業(yè)軟件開發(fā)一般遵循V 模型，左邊是開發(fā)過程，右邊對應(yīng)的測試過程。BMS 軟件開發(fā)流程，基本與ISO26262 第六部分推薦的軟件開發(fā)流程V 模型相吻合，如下圖所示。在軟件架構(gòu)設(shè)計中，需要重點考慮軟件的可維護性及可測試性。在汽車行業(yè)，軟件在整個產(chǎn)品周期內(nèi)都應(yīng)當(dāng)考慮維護性，同時還要考慮軟件架構(gòu)的設(shè)計測試的容易實現(xiàn)，在ISO 26262 標(biāo)準(zhǔn)中，測試是非常重要的一方面，任何設(shè)計都應(yīng)該同時考慮到測試的方便性。至此，產(chǎn)品的設(shè)計開發(fā)環(huán)節(jié)已經(jīng)全部完成。

標(biāo)準(zhǔn)推薦的軟件架構(gòu)設(shè)計原則如下：

軟件架構(gòu)層面標(biāo)準(zhǔn)推薦的錯誤處理機制如下：

標(biāo)準(zhǔn)推薦的軟件設(shè)計驗證方法如下表：

• BMS