![]()
/来源/ 文章摘录自论文集,作者杨涵,仅供学习参考!
最近几篇主要分享功能安全要求设计,摘录自论文集BMS功能安全设计。根据ISO 26262标准,功能安全要求设计的目的是从安全目标中获得安全要求,再把这些要求分解到项目的各个子系统和降低外在危险的措施当中,以确保系统的安全性。功能安全的目标是使驾驶员及交通参与者避免任何不可接受的风险,为了达到该目标,功能安全以功能安全要求(FSR)的形式从系统架构的各个方面详述了基本的安全机制和安全措施。![]()
![]()
![]()
功能安全要求的导出
SG1:防止电池单体过充导致热失控。电池充电时,主要通过从板模拟前端采集电池单体电压、温度等通过内网CAN通讯传回BMS主板,结合BMS主板采集的总电压和总电流进行运算,判断是否存在过充的风险,并通过整车CAN通讯上报相应故障等级给整车控制器,执行相应的限制充电电流或断开高压继电器等动作。车辆慢充时BMS与车载充电机在整车CAN上进行通讯,车辆快充时BMS 与快充桩在直流CAN上进行通讯。
FSR1:BMS应能确保主分板通讯、整车通讯和直流通讯稳定、可靠;FSR2:BMS应能正确、实时的对电池实际的充电电压、电流进行监控;FSR3:BMS应能正确、实时的计算电池最大允许充电功率;FSR4:BMS应定义动力电池的安全充电范围,并能准确识别过充电并做出相应安全响应;FSR5:BMS应能正确响应整车控制器的高压下电命令;FSR7:BMS应能正确的检测高压继电器机械端、控住端的状态。3)分配给BMS的安全状态:该安全目标的安全状态是断开高压接触器。4) BMS达到安全状态的时间:达到安全目标状态最大允许时间为600ms。5)警告和性能限制要求:发出告警信号并断开高压继电器。SG2:防止电池单体过放后再充电导致热失控。电池放电过程中,主要通过 BMS分板采集电池单体电压、温度等通过内网CAN通讯传回BMS主板,结合 BMS主板采集的总电压和总电流进行运算,判断是否存在过放的风险,并通过整车CAN通讯上报相应故障等级给整车控制器,执行相应的限制放电电流或断开高压继电器等动作。FSR1:BMS应能确保主分板通讯、整车通讯稳定、可靠;FSR2:BMS应能正确、实时对电池实际的放电电压、电流进行监控;FSR3:BMS应能正确、实时计算电池最大允许放电功率;FSR4:BMS应定义动力电池的安全放电范围,并能准确识别过放电并做出相应安全响应;FSR5:BMS应能正确响应整车控制器的高压下电命令;FSR6:BMS应能正确的控制高压继电器的通断;FSR7:BMS应能正确的检测高压继电器机械端、控制端的状态。3)分配给BMS的安全状态:该安全目标的安全状态是提前将电池最大允许放电功率按照一定梯度进行降低,到达安全电压下限后断开高压继电器。4) BMS达到安全状态的时间:达到安全目标状态最大允许时间为600ms。5)警告和性能限制要求:发出告警信号并断开高压继电器。SG3:防止电池单体过温导致热失控。电池运行过程中,主要通过BMS分板采集电池模块温度,通过内网CAN通讯传回BMS主板,BMS主板判断是否存在过温的风险,并通过整车CAN通讯上报相应故障等级给整车控制器,执行相应的开启动力电池冷却系统、限制充放电电流或断开高压继电器等动作。FSR1:BMS应能确保主分板通讯、整车通讯稳定、可靠;FSR3:BMS应定义动力电池的安全温度范围,并能准确识别过温并做出相应安全响应;FSR4:BMS应能正确响应整车控制器的高压下电命令;FSR5:BMS应能正确的控制高压继电器的通断;FSR6:BMS应能正确的检测高压继电器机械端、控制端的状态。3)分配给BMS的安全状态:若车辆处于行驶过程中,该安全目标的安全状态是将电池最大允许放电功率按照一定梯度进行降低,功率限制为零后断开高压继电器;车辆处于外接充电过程中,该安全目标的安全状态是断开高压继电器。4) .BMS达到安全状态的时间:达到安全目标状态最大允许时间为600ms。5)警告和性能限制要求:发出告警信号并断开高压继电器。SG4:防止电池非预期高压连接。电池高压连接主要由整车控制器发命令控制,BMS判断命令有效后通过控制驱动端来控制高压继电器机械端闭合。电池非预期的高压连接主要包括三种情况:第一种是BMS在未收到高压上电命令时控制高压继电器闭合;第二种是高压继电器常闭导致非预期的高压连接;第三种是BMS 在收到整车控制器高压下电命令后未正常控制高压继电器断开。FSR2:BMS应能正确响应整车控制器的高压上、下电命令;FSR3:BMS应能正确检测高压继电器机械端、控制端的状态。3)分配给BMS的安全状态:该安全目标的安全状态是断开高压继电器。 4) BMS达到安全状态的时间:达到安全目标状态最大允许时间为200ms。5)警告和性能限制要求:发出告警信号并断开高压继电器。SG5:防止电池非预期高压断开。电池高压断开主要有两种方式:一是由整车控制器发命令控制,BMS判断命令有效后通过驱动控制端来控制高压继电器机械端断开;二是电池发生高等级故障BMS自动断开高压连接。电池非预期的高压断开主要包括四种情况:第一种是BMS在未收到有效高压下电命令时误控制高压继电器断开;第二种是高压回路异常断开导致非预期的高压断开;第三种是高压继电器常开导致非预期的高压断开;第四种是BMS在收到整车控制器高压上电命令后未正常控制高压继电器闭合。FSR2:BMS应能正确响应整车控制器的高压上、下电命令;FSR3:BMS应能正确检测高压继电器机械端、控制端的状态; FSR4:BMS应能正确检测电池整个高压回路的连接状态。SG6:防止错误识别整车绝缘状态。整车绝缘阻值通常由BMS进行检测, BMS通过绝缘检测电路采集高压母线与地之间的绝缘阻值。国标GB 18384-2020 中明确规定了电动汽车绝缘告警阈值的大小,当绝缘阻值低于此阈值时,应通过一个明显的信号提醒驾驶员。FSR2:BMS应能正确诊断绝缘检测模块是否失效;FSR3:BMS应能正确响应整车控制器的高压下电命令;FSR4:BMS应能正确检测高压继电器机械端、控制端的状态; FSR5:BMS并能准确识别过绝缘阻值过低并做出相应安全响应。3)分配给BMS的安全状态:该安全目标的安全状态是将电池最大允许充、 放电功率限制为一定值。4) BMS达到安全状态的时间:达到安全目标状态最大允许时间为2500ms。5)警告和性能限制要求:发出告警信号并限制充、放电功率。推荐阅读:
功能安全要求编制原则
功能安全要求编制的主要内容
![]()
![]()
