BMS功能安全开发流程详解

BMS功能安全开发流程详解

2017-11-01

（一）:BMS和ISO26262

最近在了解学习关于ISO26262,看了一些文章，本身从事BMS相关的工作,

想做一个关于BMS功能安全开发流程的笔记，分三篇文章，第一篇是关于BMS

和ISO26262的简介。

BMS&ISO26262简介

BMS即BatteryManagementSystem,电池管理系统。作为新能源汽车“三

电”核心技术之一，BMS在新能源车上扮演十分重要的作用。按照新能源汽车对

电池管理的需求，BMS具备的功能包括电压/温度/电流采样及相应的过压、欠压、

过温、过流保护，SOC/SOH估算、SOP预测、故障诊断、均衡控制、热管理和

充电管理等。

为了保证汽车电子电气的可靠性设计，在2011年发布了ISO26262道路车

辆功能安全标准），IS026262标准是源于工业功能安全标准（IEC61508）⑴，目

前许多汽车企业和零部件企业在控制器开发过程中采用ISO26262这个标准，

ISO26262包括了汽车电子电气开发中与安全相关的所有应用，制定了汽车整个

生命周期中与安全相关的所有活动，ISO26262从需求开始，当中包括概念设计、

软硬件设计，直至最后的生产、操作，都提出了相应的功能安全要求，其覆盖了

汽车整个生命周期，从而保证安全相关的电子产品的功能性失效不会造成危险

的发生。如下图所示

L术谩

2.功能安全管理

2・7相关项生产发

2・5整体安全管理24覆会阶收和产品开发过程中的安全管理

布后的安全■管理

3.微乞阶段4.产品开发।系统吃面7.生产和后行

右5・劫事级层1■产5开发441生产更有生产

4】0»能安攵牌砧

q*々l-.工

3•©卖X4X*WAW■白WT4,r•«*ftr-cr­•

"安全郎K与蜻嬉）和

报废

工?再寒分析加俗7,统At7婚美0・fXiC1试

N功能安仝覆念5.产品开发：便件所面6.产品开发】软件层面

55启动理的垸青修，斗V|小：扇动郭，比，~|

“龙又模件誉金要或依我付仲甑，

97馒件长计|3事件•元设计“文曜|

54”件依■理或的律估|a式件单元替试

54触机慢件失我导姓，筲

收件复废杓就试

赞金白棒由潭彷&10

工10使FMI或加漏试件式上臀求验正

8支持过程

挈5分石式开发算接口S>10Xtt

全要耒笛定义网管理an侵冏教仔工具的・＞理

1-7K1MS42依鲁爆件的室定

U变里曾尊t・13♦件0件的今龙

7独年在周*/

9.以汽车安全先厘性等级为导向和以安全为导向的分死

美TASILM3的要求分一夕7相关失■分析

94要«共存制率*

10指南

明1ISO262624K览

1.范围及相关项

I8O26262适用于最大总质量不超过3.5吨的量产成用车上的包含一个或多

个电子电气系统的与安全相关的系统。在这部分ISO26262和FMEA还是比较

相似的，第一步是确定Scope,那些是研究范围之内的。对高压电池系统而言，

ISO26262适用于电池包电气系统及BMS系统，而不适用于电池包的电芯及机

械结构件等。

1)FunctionSafetyDefinition

功能安全：不存在由电子电气系统的功能异常而引起的危害而导致不合理

的风险。

为了保证避免不电接受的风险，功能安全开发流程在在ISO262262标准中

进行了详细的阐述。概念阶段的functionsafetyrequirements应当能够满足整车

层面的SafetyGoal,电子电气层面的开发出差的technicalsafetyrequirements

同时也应该满足概念阶段的functionsafetyrequirements,最后一步是确定零部

件级别的软件和硬件的功能安全需求。下图是ISO26262开发途径。

2）Fault,ErrorsandFailuresDefinitions

Fault（故障）：兀引起要素或相关项失效的异常情况

Errors（错误）：计算的、观测的、测量的值或条件与真实的、规定的、理论

上正确的值或条件之间的差异

Failure（失效）：要素按要求执行功能的能力的终止

基于上面的定义，他们之间存在一定的因果关系，故障会产生错误，而错误

会引起功能或者系统的失效，如果下图。

3)RiskDefinition

风险可以看成一个功能函数F,一个变量frequencyofoccurrence(f),

controllability(C),potentialseverity(S)功能函数

R=F(f&4

其中f是Exposure(E)危害时间发生概率入的函数

f-••瓦渥b

ISO26262标准中分别对E,C,S进行了相应的定义

a.对于每一个危害事件，应基于确定的理由预估每个运行场景的暴露概率。

按照下表，应为暴露概率指定一个EO、E1、E2、E3或E4的概率等级。

等级

E0E1E2E3E4

描述不可能非常低的概率低微率中等微率

b.对于每一个危害事件，应基于一个确定的理由预估驾驶员或其他潜在处

于风险的人员对该危害事件的可控性。按照下表，应为可控性指定一个CO、

C1.C2或C3的可控性等级。

殍级

COC1C2C3

原则上可控(一般,

描述简单可控正常可控(-»)难以控箜喳整

易控)，可控

c.对于每一个危害事件，应基于一个已确定的理由来预估潜在伤害的严重

度。根据下表，应为严重度指定一个SO、S1.S2或S3的严重度等级

等级

soS1S2S3

严布的和厄及生命的伤害尬及生命‘纱为印第不

描述无伤害轻度和中度伤宙

（有存活的可能》确定），致命的仇冷

d.每一个危害事件的ASIL等级应使用“严重度”、“暴露概率”利“可捽件”这

三个参数根据下表来确定

可控性等级

严重度等级M83K率等领

C1C2C3

E1WQMQM

E2QMQMQM

S1

E3QMQMA

E4QMAB

S2E1QMQMQM

E2QMQMA

E3QMAB

E4ABC

E1QMQMA

E2QMAB

S3

E3AB匕-攵迫独

E4BCD

由于BMS属于新能源汽车高压电池系统的一部分，EUCAR定义了高压电池

系统的危害等级。

DescriptionHazard-Level

Noeffect0

Passiveprotectionactivated1

Defect/Damage2

Leakagewithmassloss<50%3

Ventingwithmassloss050%4

FireorFlame5

Rupture6

Explosion7北

当BMS不能够很好的监测或者保护电芯时，上表中的危害事件就有可能发生。

ISO26262的目标是保护乘客受到危害，因为上表Level5以上就算是严重危害

事件了。因此有必要定义一个电芯工作的最大允许危害级别，5以上时肯定不允

许的。

（二）：ASIL等级

BMS和功能安全作为当下新能源的两个当红炸子鸡实在是绕不开的话题，

蹭个热点，继续聊聊ISO26262在BMS开发中的应用。

1.相关项定义,ASIL等级，安全目标

如下图所示，第一步通过不同的驾驶情况，不同的环境来确定不同的场景；

第二步分析不同场景下的事故所以引起的HazardSituation.第三步确定这些

HazardS计uation的ASIL等级，这一部分有很大的主观因素，每个公司考虑问

题的角度不一样，针对不同的HazardStation设定的ASIL等级也会不一样。

比如有些OEM定义热失控的ASILLEVEL为C,有些OEM设定热失控ASIL

LEVEL为D,不过目前来看热失控以后的ASILLEVEL会是D,在知乎上看有人

说以后大众的高压电池包的安全等级为D,他说的这个电池包应该是指电池包

里面的电气架构包括BMSo

ISO26262-3Scheme©TUVSud

第四步根据上一步确定的不同的故障模型HarzardSituationASIL的最大

ASIL等级。第五步根据上一步确定的最大A8IL等级就可以设定SafetyGoal了。

在上篇文章中简单介绍了功能安全的开发途径，在开发途径中，SafetyGoal是

TopLevel的SafetyRequirements,直接来自于HARA（hazardanalysisand

riskassessment）。第七根据SafetyGoal就不以导出SaftetyRequirementso

因为ISO26262涉及到产品的整个开发周期，那么谁该负责这整个流程，主

机厂还是供应商？如果BMS是由供应商开发提供给主机厂，那么理论上前5步

都应该是主机厂来主导分析，输出SaftetyGoal给供应商，供应商根据Satety

Goal导出SaftetyRequirements,接着是系统设计，硬件设计，软件设计等，同

时主机成也会参与到V模型右边的测试部分。

根据上面的分析，我们将BMS最为一个safetyelementoutofcontext（独

立安全单元），独立安全单元的意思在在产品的开发周期内，不用考虑整车内其

它要素（element）。

a.ItemDefinition

Itemdedinition首先要确定item的scope,item的边界及与item相关的部

件，确定依m与外界部件的交互接口，CAN信号：传感器信号等等。一般通常采

用方框来表示item的elements,通过这些elements和elements之间的信息交

互，就能够确定这个系统的大致架构。

如果下图a是一个电池系统的方块图，电池高压系统主要有Junctionbox,

Modules,cellbalanceinterconnectcircuit,HVcontactormodule,BMS等。BMS

通过将传感潜采集的数据进行处理，计算电池SOC/SOH,故障诊断等，同时通

过整车CAN与VCU进行信息交互。b图是a图所对应的让emdefinition。一个

A00级的BEV电池包。

r(mefgtncvStop牛忙

HitghVonltagieJunicitionBiotxi.

Connected・Condition-I

ModuWlesHinUgi

BatteryHousingII11I

—IHL」

129Lab

a)Preliminar/architectureofthehypotheticalLi-ionbatterysystem

b)Keyelementsandsignalswithintheenergystoragesystem

点画线表示高压电池系统的边界线，高压系统的与外界的交互信号分成了

下表中的七大类。

1.PilotlineSignaltointenuptthehiglivoltagecircuit

2.MechanicalMechaiucalloads(shocks,vibrations.…)

3.ElectricalEnergysignalsfbrpowertransmissionusing

PowerHighVoltagehighvoltagepotentials;(IJ>60\)

4.ElectiicalEnergysignalsforpowertraiisnussiouusing

PowerLowVoltaaelowvoltagepotentials(U<60\9

5.Electrical

Dataandsignaltiansniission

Coininmucatiou

6.Exchangeofthermaleneigy

Thermal

(Radiation.Collection)

7.Paiticles/FluidsInfluenceofgas,fliuds,foreignbodies。心)

上面定义了无同类的子系统，下面这张图是上图中(connected

modules)连接模组的框框图。

ConnectedModules

RearareaInternalCommunicationtn

ConditioningConnectors

Module#1

BatteryHousing

RearareaHVInterlockJ

IPitotLineModule

*i_TMcchancalConnectorparallelConnector

6Electricalserial

PowwLowVohageseriell

管UM

PowerHighVoltAge

5^ElectricaltL

Communkation

畲ThermalModuleparallel

Particles/Fluids

£1202

下面这张图是上面连接模组的进一步分解的模组框框图及信号流。

Module

HVjunctionInternal

boxParalelModule

Connectorr

paraHel/

MonitoringUnit

ConnectionSenal

BatteryModule

housing

Temperature

Sensor

CellBattery

Connector

Housingmount­

ing

J-

Para4flel

Module/

RearArea■312^Lnb

这样一层一层像剥洋葱一样分解系统，很方便追溯所有信号来源。系统与其

他外部部件之间的联系，系统内部之间的联系，子系统之间的联系，一目了然。

比如我们想追踪温度传感器的信号流，首先可以从模组框框图开始，

temperaturesensor至ijmonitoringunit,monitoringunit与夕I、部的internal

communication交互信息，上一次的连接模组的internalcommunication与外

界的Junctionbox通过内部通讯交换信息Toplevel的junctionbox与外界的

整车控制器交互信息。

这篇文章里的Itemdefin田on是针对高压电池包，我直接引用。BMS系统没

有这么多子系统，但是在工作中发现，其实把高压系统的电气系统和BMS作为

一个大系统，进行功能安全分析更全面，工作也更好展开。

a.ASIL等级

在第二篇中，进行了概念阶段的itedefinition分析，itemdefinition应当尽可

能将系统的接口描述清楚。比如电池系统电压分类，高压线路的功率能力，CAN

通信协议和其他信号的说明，信号电压电流范围，正常值等。

Itemdefinition,不仅需要将系统的功能描述清楚，同时也要将item的失效模

式描述清楚，这样才能清楚知道tiem应该是怎么样，而不应该出现某些哪些表

现形式。在ISO26262-3中，Hazrad可以通过，brainstorm或者DFMEA等方法

来确认，从整车级别分析这些危害会对车辆或者乘客造成的影响。这个阶段的

DFMEA我们可以不用考虑造成这些危害的可能原因有哪些，在后面的DFEMA

工作中可以具体来分析造成这些hardzard的可能原因。

在第二篇的中的itemdefintion中，分析了过一个A00级别汽车的电池包。

如下图。

EnergyStorageSystem

BodyCarControl

StructureUnH

rnn

EmergencyStop

HighVoltageJunctionBox

tHIit口【

ConnectedCondition-

WIcHlineModulesingI

Mtchanlcil

6EMetrical

Pow«rLowVotUge

舍IketrialBatteryHousing

Pow*fHighVolt«|e

EkKtrlC4l一一-ft

Communication

■Thermal

•Nrticlot/Flu«<hBodyRearEnvironme;^9Liib

Structure1Area-IL12

下表是根据上图HARA(HazardAnalysisandRiskAssessment)得到的。定

义了93个功能和136个malfunction.

ComponentComponent(s)NumberNumber

clusterofofMal­

Functionsfunctions

BatteryBatteryhousing66

housing

High-Isolationguard,electronicmonitoringunitmaster,currentsensor,4462

voltagefuses,contactor.Drivecontactor“Drivecontactor„pre'\

junctionboxcontactor..DCDC,Preloadresistance,plugs,housing

ConditioningFan,airdueteompon«nt«67

EmergencyEmergencystop34

stop

ConnectedInternaldatatransmission,electronicmonitonngunitmodule,3457

modulesconnection,housing,cellmountig,connectors,plu^s,Ump.

sensors,boardconnectorsparallel,boardconnectorsserial,HV-

Int«r1ock

Totals28components93

在该文章中选取了6个路况，subterraneangarage,smallstreets,middle

streets,largestreets,highwayandmotorway,同时选取了23个常见的驾驶工

况，常见的天气情况对场景的影响，最后得到了3128个可能性较人的危害事件。

3128还是个非常大的数字，如果一条一条的分析，是个巨大的工作。文章中提高,

他们团队有来不自不同部门的经验丰富的工程师有整车部门，电芯部门，pack部

门，EE等，最后团队从这3128危害事件中选择了142个进行进一步分析。

下表是电池系统几个function与malfunction:

FUNCTIONF001:ProvidePowertoHVDCBus

malfunctionmfOOlpowernotprovidedtoHVDCbuswhenrequired

malfunctionmf002unintendedpowerdeliverytoHVDCbus

FUNCTIONF002:AcceptPowerfromHVDCBus

malfunctionmf003PowerfromHVDCbusnotacceptedasrequired

malfunctionmf004Chargingofbatterypackbeyondallowableenergystorage

malfunctionmf005Chargingofbatterypackbeyondallowablecurrent

FUNCTIONF003:LimitCellTemperatures

malfunctionmfOO6cellovertemperatureduetointernalshort

malfunctionmf007cellovertemperatureduetothermalmanagementfailure

malfunctionmf008cellovertemperatureduetoovercurrent，勺一花

在定义好了malfunction就可以根据Riskdefiniton中的三个参数

S(Severity),E(Exposure),C(Controllability)来确定危害的ASIL等级了。下表是

一个简单的电芯过放的HARA分析。在这个表格里面，在城市道路上发生电芯热

失控导致车辆起火，定的ASILLevel是C；车辆在速度比较低的时候，定的ASIL

Level是A°

DrivingsituationHazard

SlowdrivingDeepdischargecausesInternalshortandfireofbatterypackS3E3ClA

UrbandrivingDeepdischargecausesInternalshortandfireofbatterypackS3E4C2C

ExtraurbanDeepdischargecausesinternalshortandfireofbatterypackS3E3^3;**1省

driving

下表是另外一个文章中过放的HRAR分析:

DrivingsituationHazardMalfunctionSECASIL

SpeedOverchargeChargingofbatterypackbeyondS3E3ClA

causesthermalallowableenergystorage

<10km/hevent

SpeedOverchargeChargingofbatterypackbeyondS3E4C2B

causesthermalallowableenergystorage

>10km/h

event

<50km/h

SpeedOverchargeChargingofbatterypackbevondS3E3C3C

causesthermalallowableenergystorage

>50km/h

这两个表格中参数C(Controllability)很大程度上取决于驾驶员将车辆停靠

在安全位置的速度，车速越快，车速越快驾驶员需要更多的时间找一个安全位置

将电芯热失控的车辆安置好。这两个表格中第二行S/E/C的值都是一样，而ASIL

LEVEL却不一样，纳尼？？？

有个很简单的公式来确定确定ASILLEVEL。如果S+E+C的值小于7,那

么ASILLEVEL是A,详细如下表。所以第二个表珞中的ASILLEVEL应该C,文

章的小瑕疵。

SumS+E+C78910

-----•1*1r।t.L

ASILABC

下表是一篇文章对一个高压电池包HARA分析后给出的SafetyGoaL同卜

面两个对比，不同的公司或组织对相同的Malfunction给出的ASILLEVEL是不

同的，上面两个表格对过充的ASILLEVEL是C,下表为D。

mas.

Malfunction

ASIL

DestmctionofhousingB

PossibletlueatofhighvoltagesC

FailureofcellnionitoringD

UnknowncimeiitloadQM

InteniiptionofHVcircuitnotpossibleD

OxerchargingD

InsufficientcoolingA

FailureactivationofemergencystopB

FailureofdatatiansinissionC

DestmctionofcellmountingsC

Mechanical,electricalorthemialoverloadofcellD

Tearoffbonding,senseandsensorconductsD

Hightemperaturesinenergystoragesystem/北

由SafteyGoal衍生出的安全目标应该考虑一下内容

・运行模式

•故障容错时间区间（间隔）；或故障容错时间

・安全状态

・紧急操作时间区间

•功能冗余（例如故障容错）

应为每一个安全目标定义至少一项功能安全要求，尽管一个功能安全要求

能够cover不止一条安全目标，每一条FSR从相关SG继承最高的ASIL。然后

将FSR分配给相关项。比如下表中的SG1定义了两个FSR。

SGI:DeepdischargeofoneormorecellsinthebatterypackshallbepreventedASIL

SafetyrequirementC

FSR1.1SoCofbatterypac<shallbedeterminedandcommunicatedtootheritems

Description:Thesystemisrequiredtotracktheentrg/flowtothecellstobeableto

reactincaseofthebatterypackhavingaSoCthatisnotwithinthedefinedoperational

boundaries;further,IftheSoCboundariesareviolatedthisInformationshallbe

communicatedtoothersystemsofthevehicle.

FSR1.2Ifdeepdischargestateisdetected,thecurrentflowshallbeterminatedwithinXms

Description:Toprotectthecellsfromdamageandtopreventdangerousconsequences

fromthedeepdischargestatelikeinternalshortdrcult®thatcanleadtothermalevents

andfir%thesystemshallshutoffthecurrantflowifad««pdischargestateIsdetected.

SG2:Overchargeofoneormorecellsinthebatterypackshallbeprevented

IDSafetyrequirement

FSR2.1Indicationofovercnargeshallbecomputedandcommuricatedtothepowertrain

controller

Description:IndicationofoverchargeIsrequiredtobeoutputbytheBMSand

communicatedtothepowertraincontrollersothatitknowswhentostopcharging.

Currentshouldnotbesenttothebatteryifthislimithasbeenreached

FSR2.2Ifoverchargeconditionisdetected,currentshallbeInterruptedwithinXms

Description:ThisFSRrepresentsafallbacksafetyrequirement,whichreactstoprevent

overchargingconditionsincasethecharger,orInverterthroughregenerativebraking,

continuestochar?©thebatteryevenv.-hentheconditionoftheovercharginglimithas

beenexceeded.ThisFSRallowstheBMSprotectingforoverchargeintheevent__j|J；也

oneoftheseexternalcontrollers,orsomethingelsewithin(hesystem,malfunctions

在ISO26262-9中定义了ASIL分解，为了降低安全目标实施成本，可以将

一个高ASIL安全目标分解成两个相互独立的低一级安全目标。拿文中的SG1・

预防过放作为一个例子，在这里我们假设负载只有驱动电机，可以通过将SG1

分解成两个独立的FSR。FSR1.2a:在xms内断开高压回路，FSR1.2a:通过

CAN报文请求负载将需求功率降低为Oo

（四）：技术安全要求导出

在第三篇中介绍了功能安全概念的目的是从安全目标（SR）中得出功能安

全要求（FSR）,并将其分配给相关项的初步架构要素或外部措施。

技术安全要求导出

图1说明了通过分层的方法，从危害分析和风险评估得出安全目标，再由安

全目标得出功能安全要求。

图1安全目标和功能安全要求层级

图2给出了ISO26262相应部分中的安全要求的结构和分布的说明。将功能

安全要求分配给初步架构要素。

的证念性

全验概。特

次来全求统

汕安

2能要安要系

求范1术

要战2功需能下

改.技

全要了全功如

安全

件全化安实和

软安细术落安想

6件

d软，技要的设

彷彷范炼析是级构

钾怙评范范

过念规提统

险险义概胡规分求架

武修风求

定全求要求）系

和风和标过需步及

和安需全要R

析析£能全全S通全到初以

分析分安；

全力：安术安F。求

昌分者安.（安的；

房S-能技术用

危危3功6技构术要项制

7危7-茎求适

-33架全

要技关果限

系，安

相如能

全体期能、

安念，功

的周功口者

能步命级概

功全接或