|
功能安全開(kāi)發(fā)開(kāi)始于概念階段�����,對(duì)應(yīng)標(biāo)準(zhǔn)的part3���。概念階段所要做的工作包括item定義、產(chǎn)品安全生命周期的初始化�����、HARA分析和FSC���。這里面標(biāo)準(zhǔn)的2011版和最新的2018版有所區(qū)別�����,在2018版里概念階段沒(méi)有產(chǎn)品安全生命周期初始化的規(guī)定���。這是因?yàn)樾掳鏄?biāo)準(zhǔn)將產(chǎn)品開(kāi)發(fā)各階段(概念階段、系統(tǒng)開(kāi)發(fā)����、硬件開(kāi)發(fā)和軟件開(kāi)發(fā))的產(chǎn)品安全開(kāi)發(fā)初始化的定義,統(tǒng)一移到標(biāo)準(zhǔn)第二部分功能安全管理中�。這樣的改變,從整體上對(duì)功能安全開(kāi)發(fā)的理解更加清晰���,對(duì)于功能安全管理的規(guī)定也更加完整和全面���。新舊版標(biāo)準(zhǔn)還有很多更改的地方,后面會(huì)專門(mén)針對(duì)兩版標(biāo)準(zhǔn)的區(qū)別進(jìn)行分析��。新版標(biāo)準(zhǔn)只是將工作定義的位置調(diào)整�����,但工作內(nèi)容沒(méi)有變化,對(duì)概念階段仍以2011版進(jìn)行分析�。 圖1 新舊版標(biāo)準(zhǔn)對(duì)概念階段的定義 
概念開(kāi)發(fā)的第一步是item definition。Item定義的目的是劃定開(kāi)發(fā)范圍����、描述開(kāi)發(fā)對(duì)象以及其對(duì)環(huán)境和其他item的依賴和相互交互關(guān)系。以新能源車(chē)BMS開(kāi)發(fā)為例�����,進(jìn)行這一步需要明確一些前提輸入�����,包括: -整車(chē)動(dòng)力系統(tǒng)架構(gòu):純電動(dòng)�、混動(dòng)?;靹?dòng)還需要明確P0-P4的具體架構(gòu) -車(chē)型信息:SUV,A00,A0等。整車(chē)動(dòng)力信息�����,如電機(jī)持續(xù)功率����、峰值功率 -車(chē)型目標(biāo)市場(chǎng):中國(guó)/歐洲/美國(guó)等 -電池包電池種類(lèi):三元、磷酸鐵鋰等 -相關(guān)法律法規(guī) -操作和環(huán)境約束 這些信息不是功能安全要求的特殊輸入�,而是一個(gè)標(biāo)準(zhǔn)BMS開(kāi)發(fā)所必須的車(chē)輛輸入信息。這些車(chē)輛信息對(duì)BMS的item定義和開(kāi)發(fā)會(huì)有直接影響�����,是開(kāi)展概念開(kāi)發(fā)的必要前提�����。目前國(guó)內(nèi)新能源市場(chǎng)很多零部件廠商出于提高自身產(chǎn)品競(jìng)爭(zhēng)力的考慮����,其BMS開(kāi)發(fā)可能不是基于某一特定OEM的具體車(chē)型,此時(shí)需要根據(jù)未來(lái)BMS產(chǎn)品希望覆蓋的車(chē)型����,對(duì)這些輸入信息進(jìn)行一定假設(shè),以便進(jìn)行開(kāi)發(fā)���。 Item definition首先確定Item的邊界�,在整車(chē)系統(tǒng)上����,BMS功能安全開(kāi)發(fā)只考慮邊界內(nèi)的各部件�����。而對(duì)邊界外部需要定義清除與BMS交互的接口����,包括準(zhǔn)確的接口數(shù)量��,接口類(lèi)型和交互信息��。本文分析建立在純電動(dòng)車(chē)BMS開(kāi)發(fā)的基礎(chǔ)上����,BMS負(fù)責(zé)電池的管理和保護(hù),配合VCU��,DC charger���,OBC完成車(chē)輛的充電管理和放電管理�����。 圖2 BMS的item definition 
Item definition之后是概念階段的安全生命周期的初始化�。這個(gè)工作就是針對(duì)定義下來(lái)的item,來(lái)分析其是一個(gè)全新的開(kāi)發(fā)還是對(duì)現(xiàn)有項(xiàng)目的修改�����。如果是一個(gè)全新的項(xiàng)目�,就可以直接進(jìn)行HARA分析的工作了�。而如果是對(duì)現(xiàn)有項(xiàng)目的修改,就涉及到安全相關(guān)活動(dòng)的裁剪了?,F(xiàn)有項(xiàng)目的修改,需要進(jìn)行影響分析��,對(duì)修改部分可能產(chǎn)生影響的對(duì)象:運(yùn)行場(chǎng)景和運(yùn)行模式��、與環(huán)境的接口�、安裝特性和環(huán)境條件等。影響分析需修改項(xiàng)對(duì)功能安全的影響��。 BMS有個(gè)特殊的地方在于��,其主要是保護(hù)動(dòng)力電池��,并且配合動(dòng)力電池�,實(shí)現(xiàn)在車(chē)輛上的功能。單獨(dú)定義BMS的功能����,在接下來(lái)進(jìn)行HARA分析的時(shí)候����,其功能失效對(duì)應(yīng)的危害比較難定義清楚���,或者其功能失效與危害之間的邏輯關(guān)系不是很直接�����。 因此建議在這個(gè)階段以電池系統(tǒng)的級(jí)別定義其在整車(chē)上的功能���。這里電池系統(tǒng)的主要功能包括為車(chē)輛存儲(chǔ)能量、提供動(dòng)力以及保證電池工作在合適的溫度范圍內(nèi)�。在BMS工作過(guò)程中,對(duì)車(chē)輛的電池系統(tǒng)提供過(guò)充�����、過(guò)放��、過(guò)溫��、過(guò)流保護(hù)功能�����,防止車(chē)輛使用過(guò)程中,對(duì)電池產(chǎn)生損害�����,影響電池壽命�,甚至導(dǎo)致電池爆噴。同時(shí)需要定義清楚每個(gè)功能的失效模式是什么�,這個(gè)是進(jìn)行下一步HARA分析的輸入��。新能源車(chē)失火等情況���,絕大部分最后都反應(yīng)在電池系統(tǒng)的熱失控上��,所以電池系統(tǒng)的電池工作在合適的溫度范圍內(nèi)對(duì)整車(chē)來(lái)說(shuō)非常重要����。對(duì)于每個(gè)功能失效模式的分析�,可以通過(guò)一些關(guān)鍵詞引導(dǎo),同時(shí)可引入專家意見(jiàn)和頭腦風(fēng)暴��。 表1 動(dòng)力電池系統(tǒng)功能失效模式 Battery system Malfunctions Summary | No. | Fun001.The cell in battery system shall work in allowable temperature range |
| MF001 | The cell temperature is above the maximal allowable value because of battery system over current | MF002 | The cell temperature is below the minimum allowable value because of thermal management faiure |
對(duì)于功能的失效模式進(jìn)行HARA分析�,需要結(jié)合整車(chē)運(yùn)行場(chǎng)景�、道路條件��、天氣環(huán)境等�,分析失效可能對(duì)交通參與者(司機(jī)、行人�����、路上其他司機(jī)等)可能造成的最嚴(yán)重傷害��。對(duì)于電池系統(tǒng)的傷害等級(jí)可以參考EUCAR的標(biāo)準(zhǔn)���。 圖3 EUCAR對(duì)動(dòng)力電池危害嚴(yán)重程度分級(jí) 
對(duì)危害進(jìn)行風(fēng)險(xiǎn)評(píng)估主要根據(jù)三個(gè)參數(shù):危害的嚴(yán)重度S,暴露率E和可控度C���。對(duì)于動(dòng)力電池系統(tǒng)功能F001對(duì)應(yīng)的MF001進(jìn)行HARA分析。 表2 BMS過(guò)溫保護(hù)功能HARA分析 
對(duì)于HARA分析后危害事件����,我們可以提出相應(yīng)的SafetyGoal,一般來(lái)說(shuō)SG的提出可以通過(guò)防止危害事件發(fā)生的方式來(lái)定義��,SG的ASIL等級(jí)是其所覆蓋的危害事件中最高的ASIL 等級(jí)����。這里對(duì)于MF001提出的SG是SG01:Over-temperature of cells shall be prevented���,其等級(jí)為ASIL C。對(duì)應(yīng)SG�����,需要定義其對(duì)應(yīng)的安全狀態(tài)SS(Safe State)���,當(dāng)檢測(cè)到故障時(shí)��,需要在規(guī)定時(shí)間(FTTI)內(nèi)將系統(tǒng)導(dǎo)入安全狀態(tài)����。 對(duì)于SG01�,其對(duì)應(yīng)的故障是導(dǎo)致BMS OTP loss的事件��,而其可能得傷害是電池或車(chē)輛起火����。這里的因果關(guān)系在邏輯上不是非常直接。實(shí)際情況應(yīng)該是電池發(fā)生故障導(dǎo)致溫度超過(guò)溫度限值��,而同時(shí)BMS系統(tǒng)故障導(dǎo)致過(guò)溫保護(hù)功能丟失,最后可能導(dǎo)致電池起火���。所以在做BMS的概念分析時(shí)����,更推薦從電池系統(tǒng)整體的角度做����,這樣能更清晰地定義其整車(chē)級(jí)別的功能和失效模式。 圖4 FTTI示意圖 
對(duì)于SG01���,定義如下: 表3 SG01的定義 SG No. | Safety Goal | ASIL | FTTI(ms) | Safe State | SG 001 | Over-temperature of cells shall be prevented | ASIL C | X1 | SS01:Current in HV circuit shall decrease to 0 in X2 ms |
如果對(duì)于某些情況��,當(dāng)發(fā)生故障后���,無(wú)法在FTTI的時(shí)間之內(nèi)進(jìn)入安全狀態(tài),需要定義降級(jí)模式����。比如車(chē)輛設(shè)計(jì)中的跛行模式就是一種典型的降級(jí)模式。 對(duì)于每個(gè)SG�,需要導(dǎo)出其對(duì)應(yīng)的功能安全需求FSR?�?梢圆捎玫姆治龇椒ò?/span>FMEA和FTA。FSR需要從SG導(dǎo)出����,同時(shí)考慮系統(tǒng)的初始架構(gòu),每一個(gè)SG至少需要一條FSR去對(duì)應(yīng)���。而每一條FSR可以同時(shí)對(duì)應(yīng)多個(gè)SG�����,此時(shí)的FSR需要繼承其中最高的ASIL等級(jí)�����。對(duì)于導(dǎo)出的FSR��,需要分配給初始架構(gòu)中的相應(yīng)元素�。 表4 SG01的FSR SG01:Over-temperature of cells shall be prevented | FSR No. | Description | ASIL | Allocate to | FSR001 | CMU shall measure the cell temperature and send it to BCM every X2 ms | C | CMU1 to CMUn | FSR002 | BCM shall receive the cell temperature value from CMU and set OT fault flag if any temp value exceeds the allowable value | C | BCM | FSR003 | If OT fault flag valid, SS01 shall be activated | C | BCM | FSR004 | SS01:Current in HV circuit shall decrease to 0 in X2 ms | C | PDU VCU(External) |
注:X2+X3<X1 (本文及BMS功能安全開(kāi)發(fā)系列文章中�,所有例子和相關(guān)參數(shù)均為個(gè)人交流使用,所有均為假設(shè)���,無(wú)任何項(xiàng)目相關(guān)或驗(yàn)證。僅供參考學(xué)習(xí))
|
