摩托用电池管理系统功能安全概念探索

摩托用电池管理系统功能安全概念探索

摘要:本文基于ISO26262道路车辆功能安全标准的开发流程,介绍了一款电动摩托用动力电池管理系统(BMS)的功能安全概念设计,从整车系统层级出发进行了危害分析和风险评估(HARA),得出了电池管理系统(BMS)功能安全目标及对应的功能安全等级(ASIL),根据确定的安全目标,得出具体的功能安全要求,最后将功能安全要求细分至软硬件设计的技术安全需求中。

关键词:电动摩托;ISO26262;BMS;概念设计

1引言

在当前环境破坏严重,传统能源危机加剧的背景下,传统燃油车发展越来越受限,一些国家地区已经提出了禁燃计划,如下表1所示:同时在此背景下,新能源车得到进一步发展,其主要通过磷酸铁锂技术开发的电池提供动力,一定程度上缓解了能源危机,减少了碳排放。但随着新能源车市场占有量逐渐增加,其对应的安全事故也越来越多,包括人员触电、刹车失灵、车辆起火失效等直接威胁驾驶员生命的安全的事故频繁发生。为了最大程度避免此类失效造成的安全风险,汽车的功能安全被更多的整车厂重视。基于ISO26262功能安全标准开发的产品,从整车层面进行危害分析和风险评估,得出功能安全目标及对应的ASIL等级,基于确定的功能安全需求,提出一系列软硬件技术要求,进而可以从设计层面最大程度的避免由于功能模块失效导致的安全事故。目前随着城市交通堵塞越来越验证,摩托车也逐渐成为人们出行的交通工具之一,伴随着能源危机,越来越多的传统燃油摩托车转向电动摩托,同时电子技术在电动摩托上的应用不断增加,人们对由于半导体器件、硬件系统和软件系统级别的失效导致的安全事故的关注度也越来越高,所以基于ISO26262标准的开发越来越多的得到车厂的重视。本文基于ISO26262功能安全V型开发流程给出了电动摩托功能安全概念设计方法,为电动摩托动力系统功能安全开发提供了一定的指导。

2功能安全标准及开发流程简介

为了对汽车电子电气可靠性设计进行充分的保证,ISO在2011年了IS026262标准,后期根据整车厂对标准实施过程中各个环节的经验总结,ISO对反馈的信息进行研讨,对标准进行了完善,结构上增加了半导体应用指南和摩托车适用性章节。目前众多整车厂和对应的零部件供应商在各ECU的开发中都采用了ISO26262这个标准,ISO26262涵盖了汽车电子电气开发中与安全相关的所有信息,制定了完整的开发流程及对应与安全相关的所有活动,ISO26262标准对功能需求、概念设计阶段、硬件设计、软件设计、测试阶段、生产及操作,都提出了对应的功能安全要求,覆盖了整个的产品生命周期,有效降低了由于安全相关的电气电子产品的功能性失效导致的安全事故。ISO26262的内容分为以下三大类:第一类,针对功能安全管理和流程,设计分布式开发接口、需求规范管理、配置管理、变更管理、验证、文档、软件工具、软件组件、硬件组件的功能安全要需求。第二类,针对产品开发设计过程。ISO26262标准对产品的整个生命周期的每个阶段都有对应功能安全的需求。从最初的概念设计一直到产品的报废。第三类,安全分析,一个好的产品需要对产品的失效模式以及产生的影响进行安全分析,分析产品的失效是否会违背安全目标。一旦可能违背安全目标,就需要在设计、测试、生产各个环节,提出功能安全需求。本文针对电动摩托动力电池管理系统安全设计,从功能安全概念中的相关项定义、危害分析和风险评估、安全目标设定、功能安全要求及技术安全要求内容进行了分析研究。

3电池管理系统(BMS)功能安全概念设计阶段开发

电池管理系统功能安全概念阶段设计要求包含四大块,分别是相关项定义、安全生命周期的启动、危害分析和风险评估及功能安全概念。首先根据电池管理系统在电动摩托中的功能,定义其相关项,然后通过危害分析及风险评估识别相关项中因失效故障可能导致的危害,并对识别的危害进行归类,接着根据分析评估的结果确定每个结果对应的功能安全目标并对其进行ASIL等级分类,最后将功能安全目标细分至具体的软硬件技术安全需求中。

3.1BMS相关项定义

相关项的定义具体指对相关项本身进行系统性描述并对其进行定义,及其同环境和其他相关项之间的依赖关系及相互之间的影响。对相关项的定义应从功能、接口、环境条件、法律法规和危害等方面进行。本文所研究的电动摩托电池管理系统架构如下图所示:包含了充放电MOS、电压采集、温度采集、电流采集、通讯等模块,功能上具有过压保护、欠压保护、过温保护、低温保护、充放电控制、电池状态监控、SOC估计、故障诊断等功能。

3.2BMS危害分析和风险评估

危害分析和风险评估的目的是通过对相关项中因功能性失效导致的产品故障而引起的危害进行分析并对其进行分类,根据分析的结果和类别指定对应的安全目标,用于防止危害事件发生或减轻危害程度,以避免不合理的风险。危害识别可以通过FMEA、历史质量问题记录、现场研究等方式提前相关项层面的危害,然后通过严重度、暴露率、和可控性等级,如下表2、表3、表4所示,对识别的危害进行分类。根据分类的结果结合表5确定危害事件ASIL等级。对电池管理系统的放电控制功能进行危害分析和风险评估,对应的分析结果如下表6所示:电动摩托电池管理系统在放电过程中,可能会出现放电过温、过流、过欠压等失效故障,其中过温和过流失效暴露率和严重度相对较高,且这种失效导致的危害不可控,故根据ASIL等级划分原则,HARA-BMS-01和HARA-BMS-02的ASIL等级为B,HARA-BMS-03的ASIL等级为QM。

3.3BMS安全目标设定和功能安全概念

安全目标的设定应结合危害分析和风险评估结果及ASIC等级划分进行确定,确保ASIL等级的每个危害事件具有一个安全目标,如所确定的安全目标类似,则可将其合并为一个安全目标。功能安全概念的目的是从安全目标中得出功能安全要求,并将其分配给相关项的初步架构要素或外部措施。为了确保安全目标的实现,功能安全概念包含的安全机制将在对应的相关项架构要素中实现,功能安全概念涵盖了故障探测、失效减轻、容错机制、故障探测和驾驶员警告等。基于放电控制功能的失效模式HARA-BMS-01和HARA-BMS-02,得出的功能安全目标如下表7所示:根据表7列举的安全目标SG1和SG2结合电池管理系统,导出对应的功能安全要求见表8:

3.4BMS电池系统技术安全要求

在整个产品的开发生命周期内,技术安全要求是实现功能安全概念必要的技术要求,目的是将相关顶层面的功能安全要求细化到系统层面的技术安全要求。技术安全要求应根据功能安全概念、相关项的初步架构设想进行定义。本文将以过流为例,介绍如何将功能安全要求细化分解到对应技术安全要求层面。其主要包括充放电MOS模块、电流检测单元、电芯模组和中控MCU模块。过流保护策略的实现,主要通过电流检测单元将检测的母线电流信息上传至中控模块,MCU接收到电流信息后,分析处理数据并进行判断,根据分析的结果,输出控制充放电MOS通断信息。过程中为了确保电流检测信息的可靠性,电流检测单元结合充放电MOS状态对电流检测功能模块进行诊断。结合表8功能安全要求及分配的架构要素及,提出技术安全要求见如下表9:

4结论

本文通过对电动摩托用动力电池管理系统的研究,按照ISO26262标准流程进行了功能安全概念阶段的设计,从整车层面对电池管理系统进行了危害分析和风险评估,根据分析的结果确定功能安全目标及每个目标对应的ASIL等级,确定后在将功能安全目标需求细分至具体技术安全需求,得出具体安全需求后在将需求细分至软硬件设计的具体技术需求中。软硬件的设计开发全部按照ISO26262标准要求的V模型开发流程,即先根据软硬件技术安全需求进行软硬件架构设计、详细设计,后期通过单元测试、集成测试、系统测试、整车测试等验证系统设计是否符合技术安全需求及是否满足安全目标要求。本文目前仅对电动摩托用动力电池管理系统进行了概念阶段的设计,后期将根据技术安全需求做进一步的软硬件设计,并设计对应的测试用例测试验证设计是否满足技术安全要求。

作者:刘璐 单位:合肥工业大学 仪器科学与光电工程学院