摩托用電池管理系統(tǒng)功能安全概念設(shè)計(jì)

摘 要：本文基于ISO26262道路車輛功能安全標(biāo)準(zhǔn)的開發(fā)流程，介紹了一款電動(dòng)摩托用動(dòng)力電池管理系統(tǒng)（BMS）的功能安全概念設(shè)計(jì)，從整車系統(tǒng)層級出發(fā)進(jìn)行了危害分析和風(fēng)險(xiǎn)評估（HARA），得出了電池管理系統(tǒng)（BMS）功能安全目標(biāo)及對應(yīng)的功能安全等級（ASIL），根據(jù)確定的安全目標(biāo)，得出具體的功能安全要求，最后將功能安全要求細(xì)分至軟硬件設(shè)計(jì)的技術(shù)安全需求中。

關(guān)鍵詞：電動(dòng)摩托 ISO26262 BMS 概念設(shè)計(jì)

Abstract：Based on the development process of ISO26262 road vehicle functional safety standard， this paper introduces the functional safety concept design of an electric motorcycle power battery management system （BMS）， and carries out hazard analysis and risk assessment （HARA） from the vehicle system level.The functional safety objectives of battery management system （BMS） and the corresponding functional safety level （ASIL） are obtained. According to the determined safety objectives， the specific functional safety requirements are obtained. Finally， the functional safety requirements are subdivided into the technical safety requirements of software and hardware design.

Key words：Electric motorcycle ; ISO26262; BMS; Conceptual design

1 引言

在當(dāng)前環(huán)境破壞嚴(yán)重，傳統(tǒng)能源危機(jī)加劇的背景下，傳統(tǒng)燃油車發(fā)展越來越受限，一些國家地區(qū)已經(jīng)提出了禁燃計(jì)劃，如下表1所示：

同時(shí)在此背景下，新能源車得到進(jìn)一步發(fā)展，其主要通過磷酸鐵鋰技術(shù)開發(fā)的電池提供動(dòng)力，一定程度上緩解了能源危機(jī)，減少了碳排放。但隨著新能源車市場占有量逐漸增加，其對應(yīng)的安全事故也越來越多，包括人員觸電、剎車失靈、車輛起火失效等直接威脅駕駛員生命的安全的事故頻繁發(fā)生。為了最大程度避免此類失效造成的安全風(fēng)險(xiǎn)，汽車的功能安全被更多的整車廠重視?；贗SO26262功能安全標(biāo)準(zhǔn)開發(fā)的產(chǎn)品，從整車層面進(jìn)行危害分析和風(fēng)險(xiǎn)評估，得出功能安全目標(biāo)及對應(yīng)的ASIL等級，基于確定的功能安全需求，提出一系列軟硬件技術(shù)要求，進(jìn)而可以從設(shè)計(jì)層面最大程度的避免由于功能模塊失效導(dǎo)致的安全事故。

目前隨著城市交通堵塞越來越驗(yàn)證，摩托車也逐漸成為人們出行的交通工具之一，伴隨著能源危機(jī)，越來越多的傳統(tǒng)燃油摩托車轉(zhuǎn)向電動(dòng)摩托，同時(shí)電子技術(shù)在電動(dòng)摩托上的應(yīng)用不斷增加，人們對由于半導(dǎo)體器件、硬件系統(tǒng)和軟件系統(tǒng)級別的失效導(dǎo)致的安全事故的關(guān)注度也越來越高，所以基于ISO26262 標(biāo)準(zhǔn)的開發(fā)越來越多的得到車廠的重視。

本文基于ISO26262功能安全V型開發(fā)流程給出了電動(dòng)摩托功能安全概念設(shè)計(jì)方法，為電動(dòng)摩托動(dòng)力系統(tǒng)功能安全開發(fā)提供了一定的指導(dǎo)。

2 功能安全標(biāo)準(zhǔn)及開發(fā)流程簡介

為了對汽車電子電氣可靠性設(shè)計(jì)進(jìn)行充分的保證，ISO在2011年發(fā)布了IS0 26262 標(biāo)準(zhǔn)， 后期根據(jù)整車廠對標(biāo)準(zhǔn)實(shí)施過程中各個(gè)環(huán)節(jié)的經(jīng)驗(yàn)總結(jié)，ISO對反饋的信息進(jìn)行研討，對標(biāo)準(zhǔn)進(jìn)行了完善，結(jié)構(gòu)上增加了半導(dǎo)體應(yīng)用指南和摩托車適用性章節(jié)。目前眾多整車廠和對應(yīng)的零部件供應(yīng)商在各ECU的開發(fā)中都采用了ISO26262這個(gè)標(biāo)準(zhǔn)，ISO26262涵蓋了汽車電子電氣開發(fā)中與安全相關(guān)的所有信息，制定了完整的開發(fā)流程及對應(yīng)與安全相關(guān)的所有活動(dòng)，ISO 26262標(biāo)準(zhǔn)對功能需求、概念設(shè)計(jì)階段、硬件設(shè)計(jì)、軟件設(shè)計(jì)、測試階段、生產(chǎn)及操作，都提出了對應(yīng)的功能安全要求，覆蓋了整個(gè)的產(chǎn)品生命周期，有效降低了由于安全相關(guān)的電氣電子產(chǎn)品的功能性失效導(dǎo)致的安全事故。

ISO 26262的內(nèi)容分為以下三大類：

第一類，針對功能安全管理和流程，設(shè)計(jì)分布式開發(fā)接口、需求規(guī)范管理、配置管理、變更管理、驗(yàn)證、文檔、軟件工具、軟件組件、硬件組件的功能安全要需求。

第二類，針對產(chǎn)品開發(fā)設(shè)計(jì)過程。ISO 26262標(biāo)準(zhǔn)對產(chǎn)品的整個(gè)生命周期的每個(gè)階段都有對應(yīng)功能安全的需求。從最初的概念設(shè)計(jì)一直到產(chǎn)品的報(bào)廢。

第三類，安全分析，一個(gè)好的產(chǎn)品需要對產(chǎn)品的失效模式以及產(chǎn)生的影響進(jìn)行安全分析，分析產(chǎn)品的失效是否會違背安全目標(biāo)。一旦可能違背安全目標(biāo)，就需要在設(shè)計(jì)、測試、生產(chǎn)各個(gè)環(huán)節(jié)，提出功能安全需求。

本文針對電動(dòng)摩托動(dòng)力電池管理系統(tǒng)安全設(shè)計(jì)，從功能安全概念中的相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評估、安全目標(biāo)設(shè)定、功能安全要求及技術(shù)安全要求內(nèi)容進(jìn)行了分析研究。

3 電池管理系統(tǒng)（BMS）功能安全概念設(shè)計(jì)階段開發(fā)

電池管理系統(tǒng)功能安全概念階段設(shè)計(jì)要求包含四大塊，分別是相關(guān)項(xiàng)定義、安全生命周期的啟動(dòng)、危害分析和風(fēng)險(xiǎn)評估及功能安全概念。首先根據(jù)電池管理系統(tǒng)在電動(dòng)摩托中的功能，定義其相關(guān)項(xiàng)，然后通過危害分析及風(fēng)險(xiǎn)評估識別相關(guān)項(xiàng)中因失效故障可能導(dǎo)致的危害，并對識別的危害進(jìn)行歸類，接著根據(jù)分析評估的結(jié)果確定每個(gè)結(jié)果對應(yīng)的功能安全目標(biāo)并對其進(jìn)行ASIL 等級分類，最后將功能安全目標(biāo)細(xì)分至具體的軟硬件技術(shù)安全需求中。

3.1 BMS相關(guān)項(xiàng)定義

相關(guān)項(xiàng)的定義具體指對相關(guān)項(xiàng)本身進(jìn)行系統(tǒng)性描述并對其進(jìn)行定義，及其同環(huán)境和其他相關(guān)項(xiàng)之間的依賴關(guān)系及相互之間的影響。對相關(guān)項(xiàng)的定義應(yīng)從功能、接口、環(huán)境條件、法律法規(guī)和危害等方面進(jìn)行。本文所研究的電動(dòng)摩托電池管理系統(tǒng)架構(gòu)如下圖所示：包含了充放電MOS、電壓采集、溫度采集、電流采集、通訊等模塊，功能上具有過壓保護(hù)、欠壓保護(hù)、過溫保護(hù)、低溫保護(hù)、充放電控制、電池狀態(tài)監(jiān)控、SOC估計(jì)、故障診斷等功能。

3.2 BMS危害分析和風(fēng)險(xiǎn)評估

危害分析和風(fēng)險(xiǎn)評估的目的是通過對相關(guān)項(xiàng)中因功能性失效導(dǎo)致的產(chǎn)品故障而引起的危害進(jìn)行分析并對其進(jìn)行分類，根據(jù)分析的結(jié)果和類別指定對應(yīng)的安全目標(biāo)，用于防止危害事件發(fā)生或減輕危害程度，以避免不合理的風(fēng)險(xiǎn)。

危害識別可以通過FMEA、歷史質(zhì)量問題記錄、現(xiàn)場研究等方式提前相關(guān)項(xiàng)層面的危害，然后通過嚴(yán)重度、暴露率、和可控性等級，如下表2、表3、表4所示，對識別的危害進(jìn)行分類。根據(jù)分類的結(jié)果結(jié)合表5確定危害事件ASIL等級。

對電池管理系統(tǒng)的放電控制功能進(jìn)行危害分析和風(fēng)險(xiǎn)評估，對應(yīng)的分析結(jié)果如下表6所示：

電動(dòng)摩托電池管理系統(tǒng)在放電過程中，可能會出現(xiàn)放電過溫、過流、過欠壓等失效故障，其中過溫和過流失效暴露率和嚴(yán)重度相對較高，且這種失效導(dǎo)致的危害不可控，故根據(jù)ASIL等級劃分原則，HARA-BMS-01和HARA-BMS-02的ASIL等級為B，HARA-BMS-03的ASIL等級為QM。

3.3 BMS安全目標(biāo)設(shè)定和功能安全概念

安全目標(biāo)的設(shè)定應(yīng)結(jié)合危害分析和風(fēng)險(xiǎn)評估結(jié)果及ASIC等級劃分進(jìn)行確定，確保ASIL等級的每個(gè)危害事件具有一個(gè)安全目標(biāo)，如所確定的安全目標(biāo)類似，則可將其合并為一個(gè)安全目標(biāo)。

功能安全概念的目的是從安全目標(biāo)中得出功能安全要求，并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。為了確保安全目標(biāo)的實(shí)現(xiàn)，功能安全概念包含的安全機(jī)制將在對應(yīng)的相關(guān)項(xiàng)架構(gòu)要素中實(shí)現(xiàn)，功能安全概念涵蓋了故障探測、失效減輕、容錯(cuò)機(jī)制、故障探測和駕駛員警告等。

基于放電控制功能的失效模式HARA-BMS-01和HARA-BMS-02，得出的功能安全目標(biāo)如下表7所示：

根據(jù)表7列舉的安全目標(biāo) SG1和SG2結(jié)合電池管理系統(tǒng)，導(dǎo)出對應(yīng)的功能安全要求見表8：

3.4 BMS電池系統(tǒng)技術(shù)安全要求

在整個(gè)產(chǎn)品的開發(fā)生命周期內(nèi)，技術(shù)安全要求是實(shí)現(xiàn)功能安全概念必要的技術(shù)要求，目的是將相關(guān)頂層面的功能安全要求細(xì)化到系統(tǒng)層面的技術(shù)安全要求。技術(shù)安全要求應(yīng)根據(jù)功能安全概念、相關(guān)項(xiàng)的初步架構(gòu)設(shè)想進(jìn)行定義。本文將以過流為例，介紹如何將功能安全要求細(xì)化分解到對應(yīng)技術(shù)安全要求層面。其主要包括充放電MOS模塊、電流檢測單元、電芯模組和中控MCU模塊。過流保護(hù)策略的實(shí)現(xiàn)，主要通過電流檢測單元將檢測的母線電流信息上傳至中控模塊，MCU接收到電流信息后，分析處理數(shù)據(jù)并進(jìn)行判斷，根據(jù)分析的結(jié)果，輸出控制充放電MOS通斷信息。過程中為了確保電流檢測信息的可靠性，電流檢測單元結(jié)合充放電MOS狀態(tài)對電流檢測功能模塊進(jìn)行診斷。

結(jié)合表8功能安全要求及分配的架構(gòu)要素及，提出技術(shù)安全要求見如下表9：

4 結(jié)論

本文通過對電動(dòng)摩托用動(dòng)力電池管理系統(tǒng)的研究，按照ISO26262標(biāo)準(zhǔn)流程進(jìn)行了功能安全概念階段的設(shè)計(jì)，從整車層面對電池管理系統(tǒng)進(jìn)行了危害分析和風(fēng)險(xiǎn)評估，根據(jù)分析的結(jié)果確定功能安全目標(biāo)及每個(gè)目標(biāo)對應(yīng)的ASIL 等級，確定后在將功能安全目標(biāo)需求細(xì)分至具體技術(shù)安全需求，得出具體安全需求后在將需求細(xì)分至軟硬件設(shè)計(jì)的具體技術(shù)需求中。軟硬件的設(shè)計(jì)開發(fā)全部按照ISO 26262 標(biāo)準(zhǔn)要求的V模型開發(fā)流程，即先根據(jù)軟硬件技術(shù)安全需求進(jìn)行軟硬件架構(gòu)設(shè)計(jì)、詳細(xì)設(shè)計(jì)，后期通過單元測試、集成測試、系統(tǒng)測試、整車測試等驗(yàn)證系統(tǒng)設(shè)計(jì)是否符合技術(shù)安全需求及是否滿足安全目標(biāo)要求。本文目前僅對電動(dòng)摩托用動(dòng)力電池管理系統(tǒng)進(jìn)行了概念階段的設(shè)計(jì)，后期將根據(jù)技術(shù)安全需求做進(jìn)一步的軟硬件設(shè)計(jì)，并設(shè)計(jì)對應(yīng)的測試用例測試驗(yàn)證設(shè)計(jì)是否滿足技術(shù)安全要求。

參考文獻(xiàn)：

[1]STANDARDIZATION I O F. ISO 26262 Road vehicles-Function Safety Part 1-12[S]. Switzerland，2018.

[2]劉凌飛，李小鵬，徐征，沈圣智.基于ISO 26262標(biāo)準(zhǔn)的BMS（ASIL C）功能安全設(shè)計(jì)[J].汽車零部件，2019（11）：30-33.

[3]郭凌崧，姚珍，戴磊.ISO 26262：2018與摩托車功能安全[J].小型內(nèi)燃機(jī)與車輛技術(shù)，2020，49（06）：93-96.

[4]歐陽娟.基于ISO26262開發(fā)汽車電子電氣產(chǎn)品的一般性實(shí)踐[J].電子技術(shù)與軟件工程，2021（18）：36-37.

[5]何波. 符合ISO 26262標(biāo)準(zhǔn)的安全完整性等級評估方法的研究[D].西華大學(xué)，2017.

作者簡介

劉璐：（1991.09.06—），男，漢族，安徽省合肥市肥西縣人，學(xué)歷：碩士在讀。職位：學(xué)生。研究方向：新能源汽車技術(shù)。