BMS功能安全開發(fā)流程詳解

2017-11-01

（一）:BMS和ISO26262

最近在了解學(xué)習(xí)關(guān)于ISO26262,看了一些文章，本身從事BMS相關(guān)的工作,

想做一個(gè)關(guān)于BMS功能安全開發(fā)流程的筆記，分三篇文章，第一篇是關(guān)于BMS

和ISO26262的簡介。

BMS&ISO26262簡介

BMS即BatteryManagementSystem,電池管理系統(tǒng)。作為新能源汽車“三

電”核心技術(shù)之一，BMS在新能源車上扮演十分重要的作用。按照新能源汽車對(duì)

電池管理的需求，BMS具備的功能包括電壓/溫度/電流采樣及相應(yīng)的過壓、欠壓、

過溫、過流保護(hù)，SOC/SOH估算、SOP預(yù)測、故障診斷、均衡控制、熱管理和

充電管理等。

為了保證汽車電子電氣的可靠性設(shè)計(jì)，在2011年發(fā)布了ISO26262道路車

輛功能安全標(biāo)準(zhǔn)），IS026262標(biāo)準(zhǔn)是源于工業(yè)功能安全標(biāo)準(zhǔn)（IEC61508）⑴，目

前許多汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過程中采用ISO26262這個(gè)標(biāo)準(zhǔn)，

ISO26262包括了汽車電子電氣開發(fā)中與安全相關(guān)的所有應(yīng)用，制定了汽車整個(gè)

生命周期中與安全相關(guān)的所有活動(dòng)，ISO26262從需求開始，當(dāng)中包括概念設(shè)計(jì)、

軟硬件設(shè)計(jì)，直至最后的生產(chǎn)、操作，都提出了相應(yīng)的功能安全要求，其覆蓋了

汽車整個(gè)生命周期，從而保證安全相關(guān)的電子產(chǎn)品的功能性失效不會(huì)造成危險(xiǎn)

的發(fā)生。如下圖所示

L術(shù)謾

2.功能安全管理

2?7相關(guān)項(xiàng)生產(chǎn)發(fā)

2?5整體安全管理24覆會(huì)階收和產(chǎn)品開發(fā)過程中的安全管理

布后的安全■管理

3.微乞階段4.產(chǎn)品開發(fā)?系統(tǒng)吃面7.生產(chǎn)和后行

右5?劫事級(jí)層1■產(chǎn)5開發(fā)441生產(chǎn)更有生產(chǎn)

4】0?能安攵牌砧

q*々l-.工

3??賣X4X*WAW■白WT4,r??*ftr-cr-?

"安全郎K與蜻嬉）和

報(bào)廢

工?再寒分析加俗7,統(tǒng)At7婚美0?fXiC1試

N功能安仝覆念5.產(chǎn)品開發(fā)：便件所面6.產(chǎn)品開發(fā)】軟件層面

55啟動(dòng)理的垸青修，斗V|小：扇動(dòng)郭，比，~|

“龍又模件譽(yù)金要或依我付仲甑，

97饅件長計(jì)|3事件?元設(shè)計(jì)“文曜|

54”件依■理或的律估|a式件單元替試

54觸機(jī)慢件失我導(dǎo)姓，筲

收件復(fù)廢杓就試

贊金白棒由潭彷&10

工10使FMI或加漏試件式上臀求驗(yàn)正

8支持過程

挈5分石式開發(fā)算接口S>10Xtt

全要耒笛定義網(wǎng)管理an侵冏教仔工具的?＞理

1-7K1MS42依魯爆件的室定

U變里曾尊t?13?件0件的今龍

7獨(dú)年在周*/

9.以汽車安全先厘性等級(jí)為導(dǎo)向和以安全為導(dǎo)向的分死

美TASILM3的要求分一夕7相關(guān)失■分析

94要?共存制率*

10指南

明1ISO262624K覽

1.范圍及相關(guān)項(xiàng)

I8O26262適用于最大總質(zhì)量不超過3.5噸的量產(chǎn)成用車上的包含一個(gè)或多

個(gè)電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。在這部分ISO26262和FMEA還是比較

相似的，第一步是確定Scope,那些是研究范圍之內(nèi)的。對(duì)高壓電池系統(tǒng)而言，

ISO26262適用于電池包電氣系統(tǒng)及BMS系統(tǒng)，而不適用于電池包的電芯及機(jī)

械結(jié)構(gòu)件等。

1)FunctionSafetyDefinition

功能安全：不存在由電子電氣系統(tǒng)的功能異常而引起的危害而導(dǎo)致不合理

的風(fēng)險(xiǎn)。

為了保證避免不電接受的風(fēng)險(xiǎn)，功能安全開發(fā)流程在在ISO262262標(biāo)準(zhǔn)中

進(jìn)行了詳細(xì)的闡述。概念階段的functionsafetyrequirements應(yīng)當(dāng)能夠滿足整車

層面的SafetyGoal,電子電氣層面的開發(fā)出差的technicalsafetyrequirements

同時(shí)也應(yīng)該滿足概念階段的functionsafetyrequirements,最后一步是確定零部

件級(jí)別的軟件和硬件的功能安全需求。下圖是ISO26262開發(fā)途徑。

2）Fault,ErrorsandFailuresDefinitions

Fault（故障）：兀引起要素或相關(guān)項(xiàng)失效的異常情況

Errors（錯(cuò)誤）：計(jì)算的、觀測的、測量的值或條件與真實(shí)的、規(guī)定的、理論

上正確的值或條件之間的差異

Failure（失效）：要素按要求執(zhí)行功能的能力的終止

基于上面的定義，他們之間存在一定的因果關(guān)系，故障會(huì)產(chǎn)生錯(cuò)誤，而錯(cuò)誤

會(huì)引起功能或者系統(tǒng)的失效，如果下圖。

3)RiskDefinition

風(fēng)險(xiǎn)可以看成一個(gè)功能函數(shù)F,一個(gè)變量frequencyofoccurrence(f),

controllability(C),potentialseverity(S)功能函數(shù)

R=F(f&4

其中f是Exposure(E)危害時(shí)間發(fā)生概率入的函數(shù)

f-??瓦渥b

ISO26262標(biāo)準(zhǔn)中分別對(duì)E,C,S進(jìn)行了相應(yīng)的定義

a.對(duì)于每一個(gè)危害事件，應(yīng)基于確定的理由預(yù)估每個(gè)運(yùn)行場景的暴露概率。

按照下表，應(yīng)為暴露概率指定一個(gè)EO、E1、E2、E3或E4的概率等級(jí)。

等級(jí)

E0E1E2E3E4

描述不可能非常低的概率低微率中等微率

b.對(duì)于每一個(gè)危害事件，應(yīng)基于一個(gè)確定的理由預(yù)估駕駛員或其他潛在處

于風(fēng)險(xiǎn)的人員對(duì)該危害事件的可控性。按照下表，應(yīng)為可控性指定一個(gè)CO、

C1.C2或C3的可控性等級(jí)。

殍級(jí)

COC1C2C3

原則上可控(一般,

描述簡單可控正?？煽?-?)難以控箜喳整

易控)，可控

c.對(duì)于每一個(gè)危害事件，應(yīng)基于一個(gè)已確定的理由來預(yù)估潛在傷害的嚴(yán)重

度。根據(jù)下表，應(yīng)為嚴(yán)重度指定一個(gè)SO、S1.S2或S3的嚴(yán)重度等級(jí)

等級(jí)

soS1S2S3

嚴(yán)布的和厄及生命的傷害尬及生命‘紗為印第不

描述無傷害輕度和中度傷宙

（有存活的可能》確定），致命的仇冷

d.每一個(gè)危害事件的ASIL等級(jí)應(yīng)使用“嚴(yán)重度”、“暴露概率”利“可捽件”這

三個(gè)參數(shù)根據(jù)下表來確定

可控性等級(jí)

嚴(yán)重度等級(jí)M83K率等領(lǐng)

C1C2C3

E1WQMQM

E2QMQMQM

S1

E3QMQMA

E4QMAB

S2E1QMQMQM

E2QMQMA

E3QMAB

E4ABC

E1QMQMA

E2QMAB

S3

E3AB匕-攵迫獨(dú)

E4BCD

由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分，EUCAR定義了高壓電池

系統(tǒng)的危害等級(jí)。

DescriptionHazard-Level

Noeffect0

Passiveprotectionactivated1

Defect/Damage2

Leakagewithmassloss<50%3

Ventingwithmassloss050%4

FireorFlame5

Rupture6

Explosion7北

當(dāng)BMS不能夠很好的監(jiān)測或者保護(hù)電芯時(shí)，上表中的危害事件就有可能發(fā)生。

ISO26262的目標(biāo)是保護(hù)乘客受到危害，因?yàn)樯媳鞮evel5以上就算是嚴(yán)重危害

事件了。因此有必要定義一個(gè)電芯工作的最大允許危害級(jí)別，5以上時(shí)肯定不允

許的。

（二）：ASIL等級(jí)

BMS和功能安全作為當(dāng)下新能源的兩個(gè)當(dāng)紅炸子雞實(shí)在是繞不開的話題，

蹭個(gè)熱點(diǎn)，繼續(xù)聊聊ISO26262在BMS開發(fā)中的應(yīng)用。

1.相關(guān)項(xiàng)定義,ASIL等級(jí)，安全目標(biāo)

如下圖所示，第一步通過不同的駕駛情況，不同的環(huán)境來確定不同的場景；

第二步分析不同場景下的事故所以引起的HazardSituation.第三步確定這些

HazardS計(jì)uation的ASIL等級(jí)，這一部分有很大的主觀因素，每個(gè)公司考慮問

題的角度不一樣，針對(duì)不同的HazardStation設(shè)定的ASIL等級(jí)也會(huì)不一樣。

比如有些OEM定義熱失控的ASILLEVEL為C,有些OEM設(shè)定熱失控ASIL

LEVEL為D,不過目前來看熱失控以后的ASILLEVEL會(huì)是D,在知乎上看有人

說以后大眾的高壓電池包的安全等級(jí)為D,他說的這個(gè)電池包應(yīng)該是指電池包

里面的電氣架構(gòu)包括BMSo

ISO26262-3Scheme?TUVSud

第四步根據(jù)上一步確定的不同的故障模型HarzardSituationASIL的最大

ASIL等級(jí)。第五步根據(jù)上一步確定的最大A8IL等級(jí)就可以設(shè)定SafetyGoal了。

在上篇文章中簡單介紹了功能安全的開發(fā)途徑，在開發(fā)途徑中，SafetyGoal是

TopLevel的SafetyRequirements,直接來自于HARA（hazardanalysisand

riskassessment）。第七根據(jù)SafetyGoal就不以導(dǎo)出SaftetyRequirementso

因?yàn)镮SO26262涉及到產(chǎn)品的整個(gè)開發(fā)周期，那么誰該負(fù)責(zé)這整個(gè)流程，主

機(jī)廠還是供應(yīng)商？如果BMS是由供應(yīng)商開發(fā)提供給主機(jī)廠，那么理論上前5步

都應(yīng)該是主機(jī)廠來主導(dǎo)分析，輸出SaftetyGoal給供應(yīng)商，供應(yīng)商根據(jù)Satety

Goal導(dǎo)出SaftetyRequirements,接著是系統(tǒng)設(shè)計(jì)，硬件設(shè)計(jì)，軟件設(shè)計(jì)等，同

時(shí)主機(jī)成也會(huì)參與到V模型右邊的測試部分。

根據(jù)上面的分析，我們將BMS最為一個(gè)safetyelementoutofcontext（獨(dú)

立安全單元），獨(dú)立安全單元的意思在在產(chǎn)品的開發(fā)周期內(nèi)，不用考慮整車內(nèi)其

它要素（element）。

a.ItemDefinition

Itemdedinition首先要確定item的scope,item的邊界及與item相關(guān)的部

件，確定依m(xù)與外界部件的交互接口，CAN信號(hào)：傳感器信號(hào)等等。一般通常采

用方框來表示item的elements,通過這些elements和elements之間的信息交

互，就能夠確定這個(gè)系統(tǒng)的大致架構(gòu)。

如果下圖a是一個(gè)電池系統(tǒng)的方塊圖，電池高壓系統(tǒng)主要有Junctionbox,

Modules,cellbalanceinterconnectcircuit,HVcontactormodule,BMS等。BMS

通過將傳感潛采集的數(shù)據(jù)進(jìn)行處理，計(jì)算電池SOC/SOH,故障診斷等，同時(shí)通

過整車CAN與VCU進(jìn)行信息交互。b圖是a圖所對(duì)應(yīng)的讓emdefinition。一個(gè)

A00級(jí)的BEV電池包。

r(mefgtncvStop牛忙

HitghVonltagieJunicitionBiotxi.

Connected?Condition-I

ModuWlesHinUgi

BatteryHousingII11I

—IHL」

129Lab

a)Preliminar/architectureofthehypotheticalLi-ionbatterysystem

b)Keyelementsandsignalswithintheenergystoragesystem

點(diǎn)畫線表示高壓電池系統(tǒng)的邊界線，高壓系統(tǒng)的與外界的交互信號(hào)分成了

下表中的七大類。

1.PilotlineSignaltointenuptthehiglivoltagecircuit

2.MechanicalMechaiucalloads(shocks,vibrations.…)

3.ElectricalEnergysignalsfbrpowertransmissionusing

PowerHighVoltagehighvoltagepotentials;(IJ>60\)

4.ElectiicalEnergysignalsforpowertraiisnussiouusing

PowerLowVoltaaelowvoltagepotentials(U<60\9

5.Electrical

Dataandsignaltiansniission

Coininmucatiou

6.Exchangeofthermaleneigy

Thermal

(Radiation.Collection)

7.Paiticles/FluidsInfluenceofgas,fliuds,foreignbodies。心)

上面定義了無同類的子系統(tǒng)，下面這張圖是上圖中(connected

modules)連接模組的框框圖。

ConnectedModules

RearareaInternalCommunicationtn

ConditioningConnectors

Module#1

BatteryHousing

RearareaHVInterlockJ

IPitotLineModule

*i_TMcchancalConnectorparallelConnector

6Electricalserial

PowwLowVohageseriell

管UM

PowerHighVoltAge

5^ElectricaltL

Communkation

畬ThermalModuleparallel

Particles/Fluids

￡1202

下面這張圖是上面連接模組的進(jìn)一步分解的模組框框圖及信號(hào)流。

Module

HVjunctionInternal

boxParalelModule

Connectorr

paraHel/

MonitoringUnit

ConnectionSenal

BatteryModule

housing

Temperature

Sensor

CellBattery

Connector

Housingmount-

ing

J-

Para4flel

Module/

RearArea■312^Lnb

這樣一層一層像剝洋蔥一樣分解系統(tǒng)，很方便追溯所有信號(hào)來源。系統(tǒng)與其

他外部部件之間的聯(lián)系，系統(tǒng)內(nèi)部之間的聯(lián)系，子系統(tǒng)之間的聯(lián)系，一目了然。

比如我們想追蹤溫度傳感器的信號(hào)流，首先可以從模組框框圖開始，

temperaturesensor至ijmonitoringunit,monitoringunit與夕I、部的internal

communication交互信息，上一次的連接模組的internalcommunication與外

界的Junctionbox通過內(nèi)部通訊交換信息Toplevel的junctionbox與外界的

整車控制器交互信息。

這篇文章里的Itemdefin田on是針對(duì)高壓電池包，我直接引用。BMS系統(tǒng)沒

有這么多子系統(tǒng)，但是在工作中發(fā)現(xiàn)，其實(shí)把高壓系統(tǒng)的電氣系統(tǒng)和BMS作為

一個(gè)大系統(tǒng)，進(jìn)行功能安全分析更全面，工作也更好展開。

a.ASIL等級(jí)

在第二篇中，進(jìn)行了概念階段的itedefinition分析，itemdefinition應(yīng)當(dāng)盡可

能將系統(tǒng)的接口描述清楚。比如電池系統(tǒng)電壓分類，高壓線路的功率能力，CAN

通信協(xié)議和其他信號(hào)的說明，信號(hào)電壓電流范圍，正常值等。

Itemdefinition,不僅需要將系統(tǒng)的功能描述清楚，同時(shí)也要將item的失效模

式描述清楚，這樣才能清楚知道tiem應(yīng)該是怎么樣，而不應(yīng)該出現(xiàn)某些哪些表

現(xiàn)形式。在ISO26262-3中，Hazrad可以通過，brainstorm或者DFMEA等方法

來確認(rèn)，從整車級(jí)別分析這些危害會(huì)對(duì)車輛或者乘客造成的影響。這個(gè)階段的

DFMEA我們可以不用考慮造成這些危害的可能原因有哪些，在后面的DFEMA

工作中可以具體來分析造成這些hardzard的可能原因。

在第二篇的中的itemdefintion中，分析了過一個(gè)A00級(jí)別汽車的電池包。

如下圖。

EnergyStorageSystem

BodyCarControl

StructureUnH

rnn

EmergencyStop

HighVoltageJunctionBox

tHIit口【

ConnectedCondition-

WIcHlineModulesingI

Mtchanlcil

6EMetrical

Pow?rLowVotUge

舍IketrialBatteryHousing

Pow*fHighVolt?|e

EkKtrlC4l一一-ft

Communication

■Thermal

?Nrticlot/Flu?<hBodyRearEnvironme;^9Liib

Structure1Area-IL12

下表是根據(jù)上圖HARA(HazardAnalysisandRiskAssessment)得到的。定

義了93個(gè)功能和136個(gè)malfunction.

ComponentComponent(s)NumberNumber

clusterofofMal-

Functionsfunctions

BatteryBatteryhousing66

housing

High-Isolationguard,electronicmonitoringunitmaster,currentsensor,4462

voltagefuses,contactor.Drivecontactor“Drivecontactor?pre'\

junctionboxcontactor..DCDC,Preloadresistance,plugs,housing

ConditioningFan,airdueteompon?nt?67

EmergencyEmergencystop34

stop

ConnectedInternaldatatransmission,electronicmonitonngunitmodule,3457

modulesconnection,housing,cellmountig,connectors,plu^s,Ump.

sensors,boardconnectorsparallel,boardconnectorsserial,HV-

Int?r1ock

Totals28components93

在該文章中選取了6個(gè)路況，subterraneangarage,smallstreets,middle

streets,largestreets,highwayandmotorway,同時(shí)選取了23個(gè)常見的駕駛工

況，常見的天氣情況對(duì)場景的影響，最后得到了3128個(gè)可能性較人的危害事件。

3128還是個(gè)非常大的數(shù)字，如果一條一條的分析，是個(gè)巨大的工作。文章中提高,

他們團(tuán)隊(duì)有來不自不同部門的經(jīng)驗(yàn)豐富的工程師有整車部門，電芯部門，pack部

門，EE等，最后團(tuán)隊(duì)從這3128危害事件中選擇了142個(gè)進(jìn)行進(jìn)一步分析。

下表是電池系統(tǒng)幾個(gè)function與malfunction:

FUNCTIONF001:ProvidePowertoHVDCBus

malfunctionmfOOlpowernotprovidedtoHVDCbuswhenrequired

malfunctionmf002unintendedpowerdeliverytoHVDCbus

FUNCTIONF002:AcceptPowerfromHVDCBus

malfunctionmf003PowerfromHVDCbusnotacceptedasrequired

malfunctionmf004Chargingofbatterypackbeyondallowableenergystorage

malfunctionmf005Chargingofbatterypackbeyondallowablecurrent

FUNCTIONF003:LimitCellTemperatures

malfunctionmfOO6cellovertemperatureduetointernalshort

malfunctionmf007cellovertemperatureduetothermalmanagementfailure

malfunctionmf008cellovertemperatureduetoovercurrent，勺一花

在定義好了malfunction就可以根據(jù)Riskdefiniton中的三個(gè)參數(shù)

S(Severity),E(Exposure),C(Controllability)來確定危害的ASIL等級(jí)了。下表是

一個(gè)簡單的電芯過放的HARA分析。在這個(gè)表格里面，在城市道路上發(fā)生電芯熱

失控導(dǎo)致車輛起火，定的ASILLevel是C；車輛在速度比較低的時(shí)候，定的ASIL

Level是A°

DrivingsituationHazard

SlowdrivingDeepdischargecausesInternalshortandfireofbatterypackS3E3ClA

UrbandrivingDeepdischargecausesInternalshortandfireofbatterypackS3E4C2C

ExtraurbanDeepdischargecausesinternalshortandfireofbatterypackS3E3^3;**1省

driving

下表是另外一個(gè)文章中過放的HRAR分析:

DrivingsituationHazardMalfunctionSECASIL

SpeedOverchargeChargingofbatterypackbeyondS3E3ClA

causesthermalallowableenergystorage

<10km/hevent

SpeedOverchargeChargingofbatterypackbeyondS3E4C2B

causesthermalallowableenergystorage

>10km/h

event

<50km/h

SpeedOverchargeChargingofbatterypackbevondS3E3C3C

causesthermalallowableenergystorage

>50km/h

這兩個(gè)表格中參數(shù)C(Controllability)很大程度上取決于駕駛員將車輛?？?/p>

在安全位置的速度，車速越快，車速越快駕駛員需要更多的時(shí)間找一個(gè)安全位置

將電芯熱失控的車輛安置好。這兩個(gè)表格中第二行S/E/C的值都是一樣，而ASIL

LEVEL卻不一樣，納尼？？？

有個(gè)很簡單的公式來確定確定ASILLEVEL。如果S+E+C的值小于7,那

么ASILLEVEL是A,詳細(xì)如下表。所以第二個(gè)表珞中的ASILLEVEL應(yīng)該C,文

章的小瑕疵。

SumS+E+C78910

-----?1*1r?t.L

ASILABC

下表是一篇文章對(duì)一個(gè)高壓電池包HARA分析后給出的SafetyGoaL同卜

面兩個(gè)對(duì)比，不同的公司或組織對(duì)相同的Malfunction給出的ASILLEVEL是不

同的，上面兩個(gè)表格對(duì)過充的ASILLEVEL是C,下表為D。

mas.

Malfunction

ASIL

DestmctionofhousingB

PossibletlueatofhighvoltagesC

FailureofcellnionitoringD

UnknowncimeiitloadQM

InteniiptionofHVcircuitnotpossibleD

OxerchargingD

InsufficientcoolingA

FailureactivationofemergencystopB

FailureofdatatiansinissionC

DestmctionofcellmountingsC

Mechanical,electricalorthemialoverloadofcellD

Tearoffbonding,senseandsensorconductsD

Hightemperaturesinenergystoragesystem/北

由SafteyGoal衍生出的安全目標(biāo)應(yīng)該考慮一下內(nèi)容

?運(yùn)行模式

?故障容錯(cuò)時(shí)間區(qū)間（間隔）；或故障容錯(cuò)時(shí)間

?安全狀態(tài)

?緊急操作時(shí)間區(qū)間

?功能冗余（例如故障容錯(cuò)）

應(yīng)為每一個(gè)安全目標(biāo)定義至少一項(xiàng)功能安全要求，盡管一個(gè)功能安全要求

能夠cover不止一條安全目標(biāo)，每一條FSR從相關(guān)SG繼承最高的ASIL。然后

將FSR分配給相關(guān)項(xiàng)。比如下表中的SG1定義了兩個(gè)FSR。

SGI:DeepdischargeofoneormorecellsinthebatterypackshallbepreventedASIL

SafetyrequirementC

FSR1.1SoCofbatterypac<shallbedeterminedandcommunicatedtootheritems

Description:Thesystemisrequiredtotracktheentrg/flowtothecellstobeableto

reactincaseofthebatterypackhavingaSoCthatisnotwithinthedefinedoperational

boundaries;further,IftheSoCboundariesareviolatedthisInformationshallbe

communicatedtoothersystemsofthevehicle.

FSR1.2Ifdeepdischargestateisdetected,thecurrentflowshallbeterminatedwithinXms

Description:Toprotectthecellsfromdamageandtopreventdangerousconsequences

fromthedeepdischargestatelikeinternalshortdrcult?thatcanleadtothermalevents

andfir%thesystemshallshutoffthecurrantflowifad??pdischargestateIsdetected.

SG2:Overchargeofoneormorecellsinthebatterypackshallbeprevented

IDSafetyrequirement

FSR2.1Indicationofovercnargeshallbecomputedandcommuricatedtothepowertrain

controller

Description:IndicationofoverchargeIsrequiredtobeoutputbytheBMSand

communicatedtothepowertraincontrollersothatitknowswhentostopcharging.

Currentshouldnotbesenttothebatteryifthislimithasbeenreached

FSR2.2Ifoverchargeconditionisdetected,currentshallbeInterruptedwithinXms

Description:ThisFSRrepresentsafallbacksafetyrequirement,whichreactstoprevent

overchargingconditionsincasethecharger,orInverterthroughregenerativebraking,

continuestochar??thebatteryevenv.-hentheconditionoftheovercharginglimithas

beenexceeded.ThisFSRallowstheBMSprotectingforoverchargeintheevent__j|J；也

oneoftheseexternalcontrollers,orsomethingelsewithin(hesystem,malfunctions

在ISO26262-9中定義了ASIL分解，為了降低安全目標(biāo)實(shí)施成本，可以將

一個(gè)高ASIL安全目標(biāo)分解成兩個(gè)相互獨(dú)立的低一級(jí)安全目標(biāo)。拿文中的SG1?

預(yù)防過放作為一個(gè)例子，在這里我們假設(shè)負(fù)載只有驅(qū)動(dòng)電機(jī)，可以通過將SG1

分解成兩個(gè)獨(dú)立的FSR。FSR1.2a:在xms內(nèi)斷開高壓回路，F(xiàn)SR1.2a:通過

CAN報(bào)文請(qǐng)求負(fù)載將需求功率降低為Oo

（四）：技術(shù)安全要求導(dǎo)出

在第三篇中介紹了功能安全概念的目的是從安全目標(biāo)（SR）中得出功能安

全要求（FSR）,并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。

技術(shù)安全要求導(dǎo)出

圖1說明了通過分層的方法，從危害分析和風(fēng)險(xiǎn)評(píng)估得出安全目標(biāo)，再由安

全目標(biāo)得出功能安全要求。

圖1安全目標(biāo)和功能安全要求層級(jí)

圖2給出了ISO26262相應(yīng)部分中的安全要求的結(jié)構(gòu)和分布的說明。將功能

安全要求分配給初步架構(gòu)要素。

的證念性

全驗(yàn)概。特

次來全求統(tǒng)

汕安

2能要安要系

求范1術(shù)

要戰(zhàn)2功需能下

改.技

全要了全功如

安全

件全化安實(shí)和

軟安細(xì)術(shù)落安想

6件

d軟，技要的設(shè)

彷彷范煉析是級(jí)構(gòu)

鉀怙評(píng)范范

過念規(guī)提統(tǒng)

險(xiǎn)險(xiǎn)義概胡規(guī)分求架

武修風(fēng)求

定全求要求）系

和風(fēng)和標(biāo)過需步及

和安需全要R

析析￡能全全S通全到初以

分析分安；

全力：安術(shù)安F。求

昌分者安.（安的；

房S-能技術(shù)用

危危3功6技構(gòu)術(shù)要項(xiàng)制

7危7-莖求適

-33架全

要技關(guān)果限

系，安

相如能

全體期能、

安念，功

的周功口者

能步命級(jí)概

功全接或