（一）：BMS和ISO26262

隨著新能源汽車的發(fā)展逐步趨于電氣化和智能化， 其電子控制器的數(shù)量不斷增加， 電子控制器的功能安全成為影響新 能源汽車安全性的首要問題。旨在將標(biāo)準(zhǔn) ＩＳＯ ２６２６２－３：２０１８ 的開發(fā)要求， 應(yīng)用到動(dòng)力電池管理系統(tǒng)的功能安全開發(fā)中。

通過對(duì) 動(dòng)力電池的管理系統(tǒng)進(jìn)行功能和結(jié)構(gòu)分析， 結(jié)合應(yīng)用場(chǎng)景和危險(xiǎn)辨識(shí)分析得到系統(tǒng)的潛在危害， 提出了電池管理系統(tǒng) （ＢＭＳ） 的 安全目標(biāo)及功能安全需求。根據(jù)動(dòng)力電池過放危害， 進(jìn)行危害分析與風(fēng)險(xiǎn)評(píng)估以確定 ＢＭＳ 的汽車完整性等級(jí) （ＡＳＩＬ）， 并提出了 一種分解其 ＡＳＩＬ 以降低開發(fā)成本的方法。

以 ＢＭＳ 為例介紹了 ＩＳＯ ２６２６２ 標(biāo)準(zhǔn)中安全目標(biāo)及其 ＡＳＩＬ 等級(jí)確定的方法。如果產(chǎn)品的安全需求的 ＡＳＩＬ 等級(jí)較高， 成 本高， 可通過 ＡＳＩＬ 分解以降低 ＡＳＩＬ 等級(jí)， 降低生產(chǎn)成本。在 分解的過程中， 遵循安全目標(biāo)的 ＡＳＩＬ 等級(jí)在被開發(fā)階段的安 全需求繼承的原則。以 ＢＭＳ 預(yù)防過放為例， 介紹了 ＡＳＩＬ 的分 解原則和步驟。 

通過對(duì)功能及結(jié)構(gòu)進(jìn)行分析， 對(duì)系統(tǒng)的架構(gòu)進(jìn) 行調(diào)整， 實(shí)現(xiàn)了 ＡＳＩＬ 的分解。為針對(duì) ＡＳＩＬ 等級(jí)高而帶來的開 發(fā)成本高、 開發(fā)周期長及技術(shù)要求高等方面的問題， 提供了一 種解決方法。

BMS & ISO26262簡介BMS即Battery Management System，電池管理系統(tǒng)。作為新能源汽車“三電系統(tǒng)”核心技術(shù)之一，BMS在新能源車上扮演十分重要的作用。按照新能源汽車對(duì)電池管理的需求，BMS具備的功能包括電壓/溫度/電流采樣及相應(yīng)的過壓、欠壓、過溫、過流保護(hù)，SOC/SOH估算、SOP預(yù)測(cè)、故障診斷、均衡控制、熱管理和充電管理等。為了保證汽車電子電氣的可靠性設(shè)計(jì)， 在2011年發(fā)布了IS0 26262道路車輛功能安全標(biāo)準(zhǔn)）, IS0 26262 標(biāo)準(zhǔn)是源于工業(yè)功能安全標(biāo)準(zhǔn)(IEC61508)[1]。目前許多汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過程中采用ISO26262這個(gè)標(biāo)準(zhǔn)，ISO26262包括了汽車電子電氣開發(fā)中與安全相關(guān)的所有應(yīng)用，制定了汽車整個(gè)生命周期中與安全相關(guān)的所有活動(dòng)，ISO 26262從需求開始，當(dāng)中包括概念設(shè)計(jì)、軟硬件設(shè)計(jì)，直至最后的生產(chǎn)、操作，都提出了相應(yīng)的功能安全要求，其覆蓋了汽車整個(gè)生命周期，從而保證安全相關(guān)的電子產(chǎn)品的功能性失效不會(huì)造成危險(xiǎn)的發(fā)生。如下圖所示

1.   范圍及相關(guān)項(xiàng)ISO26262適用于最大總質(zhì)量不超過3.5噸的量產(chǎn)乘用車上的包含一個(gè)或多個(gè)電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)。在這部分ISO26262和FMEA還是比較相似的，第一步是確定Scope，哪些是研究范圍之內(nèi)的。對(duì)高壓電池系統(tǒng)而言，ISO26262適用于電池包電氣系統(tǒng)及BMS系統(tǒng)，而不適用于電池包的電芯及機(jī)械結(jié)構(gòu)件等。1）Function Safety Definition功能安全：不存在由電子電氣系統(tǒng)的功能異常而引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。為了保證避免不可接受的風(fēng)險(xiǎn)，功能安全開發(fā)流程在ISO262262標(biāo)準(zhǔn)中進(jìn)行了詳細(xì)的闡述。概念階段的function safety requirements應(yīng)當(dāng)能夠滿足整車層面的Safety Goal，電子電氣層面的開發(fā)出來的technical safety requirements同時(shí)也應(yīng)該滿足概念階段的function safety requirements，最后一步是確定零部件級(jí)別的軟件和硬件的功能安全需求。下圖是ISO26262開發(fā)途徑。

2）Fault, Errors and Failures DefinitionsFault（故障）：可引起要素或相關(guān)項(xiàng)失效的異常情況Errors (錯(cuò)誤)：計(jì)算的、觀測(cè)的、測(cè)量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異Failure（失效）：要素按要求執(zhí)行功能的能力的終止基于上面的定義，他們之間存在一定的因果關(guān)系，故障會(huì)產(chǎn)生錯(cuò)誤，而錯(cuò)誤會(huì)引起功能或者系統(tǒng)的失效，如下圖。

在ISO26262標(biāo)準(zhǔn)中，我們要區(qū)分兩類故障、錯(cuò)誤和失效：隨機(jī)和系統(tǒng)性失效。系統(tǒng)性失效可以在設(shè)計(jì)階段通過合適的方法來避免，而隨機(jī)性失效只能降低到可接受程度。系統(tǒng)性甚至隨機(jī)性失效會(huì)發(fā)生在硬件當(dāng)中，而軟件的失效更多的是系統(tǒng)性的失效。失效同時(shí)還可以分為單點(diǎn)失效和多點(diǎn)失效。單點(diǎn)失效：要素中沒有被安全機(jī)制所覆蓋，并且直接導(dǎo)致違背安全目標(biāo)的故障多點(diǎn)失效：由幾個(gè)獨(dú)立的故障組合引發(fā)，直接導(dǎo)致違背安全目標(biāo)的失效。在多點(diǎn)失效中有個(gè)特別的失效叫雙點(diǎn)失效。由兩個(gè)獨(dú)立故障組合引起的，直接導(dǎo)致違背安全目標(biāo)的失效。故障發(fā)生的時(shí)間關(guān)系如下圖所示

診斷測(cè)試時(shí)間間隔（diagnostic test interval）：通過安全機(jī)制執(zhí)行在線診斷測(cè)試時(shí)間間隔故障響應(yīng)時(shí)間（fault reaction time）:從故障探測(cè)到進(jìn)入安全狀態(tài)的時(shí)間間隔3）Risk Definition風(fēng)險(xiǎn)可以看成一個(gè)功能函數(shù)F，一個(gè)變量frequency of occurrence (f)，controllability (C)，potential severity (S)功能函數(shù)

其中f是Exposure（E）危害時(shí)發(fā)生概率λ的函數(shù)

ISO26262標(biāo)準(zhǔn)中分別對(duì)E，C，S進(jìn)行了相應(yīng)的定義a.   對(duì)于每一個(gè)危害事件，應(yīng)基于確定的理由預(yù)估每個(gè)運(yùn)行場(chǎng)景的暴露概率。按照下表，應(yīng)為暴露概率指定一個(gè)E0、E1、E2、E3或E4的概率等級(jí)。

b.   對(duì)于每一個(gè)危害事件，應(yīng)基于一個(gè)確定的理由預(yù)估駕駛員或其他潛在處于風(fēng)險(xiǎn)的人員對(duì)該危害事件的可控性。按照下表，應(yīng)為可控性指定一個(gè)C0、C1、C2或C3的可控性等級(jí)。

c.   對(duì)于每一個(gè)危害事件，應(yīng)基于一個(gè)已確定的理由來預(yù)估潛在傷害的嚴(yán)重度。根據(jù)下表，應(yīng)為嚴(yán)重度指定一個(gè)S0、S1、S2或S3的嚴(yán)重度等級(jí)

d.   每一個(gè)危害事件的ASIL等級(jí)應(yīng)使用“嚴(yán)重度”、“暴露概率”和“可控性”這三個(gè)參數(shù)根據(jù)下表來確定

由于BMS屬于新能源汽車高壓電池系統(tǒng)的一部分，EUCAR定義了高壓電池系統(tǒng)的危害等級(jí)。

當(dāng)BMS不能夠很好的監(jiān)測(cè)或者保護(hù)電芯時(shí)，上表中的危害事件就有可能發(fā)生。ISO26262的目標(biāo)是保護(hù)乘客受到危害，因?yàn)樯媳鞮evel 5以上就算是嚴(yán)重危害事件了。因此有必要定義一個(gè)電芯工作的最大允許危害級(jí)別，5以上時(shí)肯定不允許的。

（二）：ASIL等級(jí)

BMS和功能安全作為當(dāng)下新能源的兩個(gè)當(dāng)紅炸子雞實(shí)在是繞不開的話題，蹭個(gè)熱點(diǎn)，繼續(xù)聊聊ISO26262在BMS開發(fā)中的應(yīng)用。1.   相關(guān)項(xiàng)定義，ASIL等級(jí)，安全目標(biāo)如下圖所示，第一步通過不同的駕駛情況，不同的環(huán)境來確定不同的場(chǎng)景；第二步分析不同場(chǎng)景下的事故所以引起的Hazard Situation. 第三步確定這些Hazard Situation的ASIL 等級(jí)，這一部分有很大的主觀因素，每個(gè)公司考慮問題的角度不一樣，針對(duì)不同的Hazard Situation設(shè)定的ASIL 等級(jí)也會(huì)不一樣。比如有些OEM定義熱失控的ASIL LEVEL為C，有些OEM設(shè)定熱失控 ASIL LEVEL 為D，不過目前來看熱失控以后的ASIL LEVEL會(huì)是D，在知乎上看有人說以后大眾的高壓電池包的安全等級(jí)為D，他說的這個(gè)電池包應(yīng)該是指電池包里面的電氣架構(gòu)包括BMS。

ISO 26262-3 Scheme ©TüV Süd第四步根據(jù)上一步確定的不同的故障模型Harzard Situation ASIL的最大ASIL等級(jí)。第五步根據(jù)上一步確定的最大ASIL等級(jí)就可以設(shè)定Safety Goal了。在上篇文章中簡單介紹了功能安全的開發(fā)途徑，在開發(fā)途徑中，Safety Goal是Top Level的Safety Requirements，直接來自于HARA（hazard analysis and risk assessment）。第七步，根據(jù)Safety Goal就可以導(dǎo)出 Saftety Requirements。因?yàn)镮SO26262涉及到產(chǎn)品的整個(gè)開發(fā)周期，那么誰該負(fù)責(zé)這整個(gè)流程，主機(jī)廠還是供應(yīng)商？如果BMS是由供應(yīng)商開發(fā)提供給主機(jī)廠，那么理論上前5步都應(yīng)該是主機(jī)廠來主導(dǎo)分析，輸出Saftety Goal給供應(yīng)商，供應(yīng)商根據(jù)Satety Goal導(dǎo)出Saftety Requirements，接著是系統(tǒng)設(shè)計(jì)，硬件設(shè)計(jì)，軟件設(shè)計(jì)等。同時(shí)主機(jī)也會(huì)參與到V模型右邊的測(cè)試部分。根據(jù)上面的分析，我們將BMS作為一個(gè)safety element out of context（獨(dú)立安全單元），獨(dú)立安全單元的意思在在產(chǎn)品的開發(fā)周期內(nèi)，不用考慮整車內(nèi)其它要素（element）。a.   Item DefinitionItem dedinition首先要確定item的scope，item的邊界及與item相關(guān)的部件，確定item與外界部件的交互接口，CAN信號(hào)，傳感器信號(hào)等等。一般通常采用方框來表示item的elements，通過這些elements和elements之間的信息交互，就能夠確定這個(gè)系統(tǒng)的大致架構(gòu)。如果下圖a是一個(gè)電池系統(tǒng)的方塊圖，電池高壓系統(tǒng)主要有Junction box，Modules，cell balance interconnect circuit, HV contactor module, BMS等。BMS通過將傳感器采集的數(shù)據(jù)進(jìn)行處理，計(jì)算電池SOC/SOH，故障診斷等，同時(shí)通過整車CAN與VCU進(jìn)行信息交互。b圖是a圖所對(duì)應(yīng)的item defintion。一個(gè)A00級(jí)的BEV電池包。

a) Preliminary architecture of the hypothetical Li-ion battery systemb) Key elements and signals within the energy storage system點(diǎn)畫線表示高壓電池系統(tǒng)的邊界線，高壓系統(tǒng)的與外界的交互信號(hào)分成了下表中的七大類。

        上面定義了不同類的子系統(tǒng)，下面這張圖是上圖中（connected modules）連接模組的框框圖。

下面這張圖是上面連接模組的進(jìn)一步分解的模組框框圖及信號(hào)流。

這樣一層一層像剝洋蔥一樣分解系統(tǒng)，很方便追溯所有信號(hào)來源。系統(tǒng)與其他外部部件之間的聯(lián)系，系統(tǒng)內(nèi)部之間的聯(lián)系，子系統(tǒng)之間的聯(lián)系，一目了然。比如我們想追蹤溫度傳感器的信號(hào)流，首先可以從模組框框圖開始，temperature sensor 到 monitoring unit， monitoring unit 與外部的 internal communication交互信息，上一次的連接模組的 internal communication 與外界的 Junction box通過內(nèi)部通訊交換信息Top level 的 junction box 與外界的整車控制器交互信息。這篇文章里的Itemdefinition是針對(duì)高壓電池包，我直接引用。BMS系統(tǒng)沒有這么多子系統(tǒng)，但是在工作中發(fā)現(xiàn)，其實(shí)把高壓系統(tǒng)的電氣系統(tǒng)和BMS作為一個(gè)大系統(tǒng)，進(jìn)行功能安全分析更全面，工作也更好展開。a.    ASIL等級(jí)在第二篇中，進(jìn)行了概念階段的ite definition分析，item definition應(yīng)當(dāng)盡可能將系統(tǒng)的接口描述清楚。比如電池系統(tǒng)電壓分類，高壓線路的功率能力，CAN通信協(xié)議和其他信號(hào)的說明，信號(hào)電壓電流范圍，正常值等。

Item definition,不僅需要將系統(tǒng)的功能描述清楚，同時(shí)也要將item的失效模式描述清楚，這樣才能清楚知道tiem應(yīng)該是怎么樣，而不應(yīng)該出現(xiàn)某些哪些表現(xiàn)形式。在ISO26262-3中，Hazrad可以通過，brainstorm或者DFMEA等方法來確認(rèn)，從整車級(jí)別分析這些危害會(huì)對(duì)車輛或者乘客造成的影響。這個(gè)階段的DFMEA我們可以不用考慮造成這些危害的可能原因有哪些，在后面的DFEMA工作中可以具體來分析造成這些hardzard的可能原因。在第二篇的中的item defintion中，分析了過一個(gè)A00級(jí)別汽車的電池包。如下圖。

下表是根據(jù)上圖HARA(Hazard Analysis and Risk Assessment)得到的。定義了93個(gè)功能和136個(gè)malfunction.

在該文章中選取了6個(gè)路況，subterranean garage, small streets, middle streets, large streets, highway and motorway，同時(shí)選取了23個(gè)常見的駕駛工況，常見的天氣情況對(duì)場(chǎng)景的影響，最后得到了3128個(gè)可能性較大的危害事件。3128還是個(gè)非常大的數(shù)字，如果一條一條的分析，是個(gè)巨大的工作。文章中提高，他們團(tuán)隊(duì)有來不自不同部門的經(jīng)驗(yàn)豐富的工程師有整車部門，電芯部門，pack部門，EE等，最后團(tuán)隊(duì)從這3128危害事件中選擇了142個(gè)進(jìn)行進(jìn)一步分析。下表是電池系統(tǒng)幾個(gè)function與malfunction：

在定義好了malfunction后，就可以根據(jù)Risk definiton中的三個(gè)參數(shù)S(Severity),E( Exposure), C(Controllability)來確定危害的ASIL 等級(jí)了。下表是一個(gè)簡單的電芯過放的HARA分析。在這個(gè)表格里面，在城市道路上發(fā)生電芯熱失控導(dǎo)致車輛起火，定的ASIL Level是C；車輛在速度比較低的時(shí)候，定的ASIL Level是A。

下表是另外一個(gè)文章中過放的HRAR分析：

這兩個(gè)表格中參數(shù)C（Controllability）很大程度上取決于駕駛員將車輛停靠在安全位置的速度，車速越快，車速越快駕駛員需要更多的時(shí)間找一個(gè)安全位置將電芯熱失控的車輛安置好。這兩個(gè)表格中第二行S/E/C的值都是一樣，而ASIL LEVEL卻不一樣，納尼？？？有個(gè)很簡單的公式來確定確定ASIL LEVEL。如果S+E+C的值小于7，那么ASIL LEVEL是A，詳細(xì)如下表。所以第二個(gè)表格中的ASIL LEVEL應(yīng)該C，文章的小瑕疵。

下表是一篇文章對(duì)一個(gè)高壓電池包HARA分析后給出的Safety Goal.同上面兩個(gè)對(duì)比，不同的公司或組織對(duì)相同的Malfunction給出的ASIL LEVEL是不同的，上面兩個(gè)表格對(duì)過充的ASIL LEVEL是C，下表為D。

由Saftey Goal衍生出的安全目標(biāo)應(yīng)該考慮一下內(nèi)容· 運(yùn)行模式· 故障容錯(cuò)時(shí)間區(qū)間（間隔）；或故障容錯(cuò)時(shí)間· 安全狀態(tài)· 緊急操作時(shí)間區(qū)間· 功能冗余（例如故障容錯(cuò)）應(yīng)為每一個(gè)安全目標(biāo)定義至少一項(xiàng)功能安全要求，盡管一個(gè)功能安全要求能夠cover不止一條安全目標(biāo)，每一條FSR從相關(guān)SG繼承最高的ASIL。然后將FSR分配給相關(guān)項(xiàng)。比如下表中的SG1定義了兩個(gè)FSR。

在ISO26262-9中定義了ASIL分解，為了降低安全目標(biāo)實(shí)施成本，可以將一個(gè)高ASIL安全目標(biāo)分解成兩個(gè)相互獨(dú)立的低一級(jí)安全目標(biāo)。拿文中的SG1-預(yù)防過放作為一個(gè)例子，在這里我們假設(shè)負(fù)載只有驅(qū)動(dòng)電機(jī)，可以通過將SG1分解成兩個(gè)獨(dú)立的FSR。FSR1.2a:在x ms內(nèi)斷開高壓回路，F(xiàn)SR1.2a：通過CAN報(bào)文請(qǐng)求負(fù)載將需求功率降低為0。

（四）：技術(shù)安全要求導(dǎo)出

在第三篇中介紹了功能安全概念的目的是從安全目標(biāo)（SR）中得出功能安全要求（FSR），并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。
技術(shù)安全要求導(dǎo)出圖1說明了通過分層的方法，從危害分析和風(fēng)險(xiǎn)評(píng)估得出安全目標(biāo)，再由安全目標(biāo)得出功能安全要求。

圖1 安全目標(biāo)和功能安全要求層級(jí)圖2給出了ISO26262相應(yīng)部分中的安全要求的結(jié)構(gòu)和分布的說明。將功能安全要求分配給初步架構(gòu)要素。

圖2 安全要求的結(jié)構(gòu)技術(shù)安全要求（TSR）是對(duì)功能安全要求（FSR）提煉，細(xì)化了功能安全的概念，同時(shí)考慮功能性的概念和初步的體系架構(gòu)。通過分析技術(shù)安全需要來驗(yàn)證符合功能安全需求。在整個(gè)開發(fā)生命周期，技術(shù)安全需求是要落實(shí)功能安全概念的技術(shù)要求，其用意是從細(xì)節(jié)的單級(jí)功能安全要求到系統(tǒng)級(jí)的安全技術(shù)要求。技術(shù)安全要求應(yīng)根據(jù)功能安全概念、相關(guān)項(xiàng)的初步架構(gòu)設(shè)想和如下系統(tǒng)特性來定義：a.   外部接口，如通訊和用戶接口，如果適用；b.   限制條件，例如環(huán)境條件或者功能限制；以及c.    系統(tǒng)配置要求。在第三篇文章中，從安全目標(biāo)道出了BMS的一個(gè)功能安全要求，圖3是對(duì)功能安全要求FSR1.2a導(dǎo)出的技術(shù)安全要求。

圖3系統(tǒng)設(shè)計(jì)基于概念階段的基本系統(tǒng)架構(gòu)，功能安全概念，技術(shù)安全要求和非功能性要求，按照ISO26262的下一步流程就是系統(tǒng)設(shè)計(jì)了。在這個(gè)階段，系統(tǒng)及子系統(tǒng)需要上面所定義的貫徹技術(shù)安全要求，需要反映前面定義的安全檢測(cè)及安全機(jī)制。技術(shù)安全要求的應(yīng)分配給系統(tǒng)設(shè)計(jì)要素，同時(shí)系統(tǒng)設(shè)計(jì)應(yīng)完成技術(shù)安全要求，關(guān)于技術(shù)安全要求的實(shí)現(xiàn)，在系統(tǒng)設(shè)計(jì)中應(yīng)考慮如下問題：a.  系統(tǒng)設(shè)計(jì)的可驗(yàn)證性b.  軟件硬件的技術(shù)實(shí)現(xiàn)性c.  系統(tǒng)集成中的執(zhí)行測(cè)試能力系統(tǒng)和子系統(tǒng)架構(gòu)應(yīng)該滿足各自ASIL 等級(jí)的技術(shù)安全需求，每個(gè)元素應(yīng)實(shí)現(xiàn)最高的ASIL技術(shù)安全需求，如果一個(gè)系統(tǒng)包含的子系統(tǒng)有不同的ASIL 等級(jí)，或者是安全相關(guān)的子系統(tǒng)和非安全相關(guān)的子系統(tǒng)，那么這些系統(tǒng)應(yīng)該以最高的ASIL等級(jí)來處理。在系統(tǒng)設(shè)計(jì)階段，為了避免系統(tǒng)系失效，ISO26262針對(duì)不同的ASIL等級(jí)推薦了不同的分析方法，如FMEA,FAT等。如表1。由于內(nèi)因或者外因而引起系統(tǒng)失效應(yīng)當(dāng)避免或者消除。表1

為減少系統(tǒng)性失效, 宜應(yīng)用值得信賴的汽車系統(tǒng)設(shè)計(jì)原則. 這些原則可能包括：a.   值得信賴的技術(shù)安全概念的再利用；b.   值得信賴的要素設(shè)計(jì)的再利用, 包括硬件和軟件組件；c.   值得信賴的探測(cè)和控制失效的機(jī)制的再利用, 及d.   值得信賴的或標(biāo)準(zhǔn)化接口的再利用。為了確保值得信賴的設(shè)計(jì)原則或要素在新相關(guān)項(xiàng)中的適用性, 應(yīng)分析其應(yīng)用結(jié)果, 以及應(yīng)在再利用之前檢查其基本設(shè)想。ASIL A、B、C、D 規(guī)定：為避免高復(fù)雜性帶來的故障，架構(gòu)設(shè)計(jì)應(yīng)該根據(jù)表2 中的原則來展現(xiàn)下列的屬性：模塊化，層次化，簡單化

基于上面定義的TSR和概念階段定義的基本架構(gòu)圖，圖4是精煉之后的BMS系統(tǒng)架構(gòu)圖。

圖4下一步是定義系統(tǒng)架構(gòu)，分配TSR給硬件和軟件，同時(shí)定義好軟件硬件接口HIS。軟硬件接口規(guī)范應(yīng)規(guī)定的硬件和軟件的交互，并與技術(shù)安全的概念是一致的，應(yīng)包括組件的硬件設(shè)備，是由軟件和硬件資源控制支持軟件運(yùn)行的。軟硬件接口規(guī)范應(yīng)包括下面屬性：a.   硬件設(shè)備的工作模式和相關(guān)的配置參數(shù)， 硬件設(shè)備的操作模式，如：缺省模式，b.   初始化，測(cè)試或高級(jí)模式， 配置參數(shù)，如：增益控制，帶通頻率或時(shí)鐘分頻器。c.    確保單元之間的獨(dú)立性和支持軟件分區(qū)的硬件特性d.   共享和專用硬件資源，如內(nèi)存映射，寄存器，定時(shí)器，中斷，I / O 端口的分配。e.   硬件設(shè)備的獲取機(jī)制，如串口，并口，從，主/從f.    每個(gè)涉及技術(shù)安全概念的時(shí)序約束硬件和其使用的軟件的相關(guān)診斷功能應(yīng)在軟硬件接口規(guī)范中規(guī)定：a.   硬件診斷功能應(yīng)定義，例，檢測(cè)過流，短路或過熱b.   在軟件中實(shí)現(xiàn)的硬件診斷功能軟硬件接口規(guī)范在系統(tǒng)設(shè)計(jì)時(shí)制定，在硬件開發(fā)和軟件開發(fā)時(shí)被進(jìn)一步細(xì)化。應(yīng)使用表3列出的方法驗(yàn)證系統(tǒng)設(shè)計(jì)對(duì)于技術(shù)安全概念的符合性和完備性。

（五）：硬件系統(tǒng)功能安全設(shè)計(jì)

硬件的詳細(xì)安全需求來自于TSR，系統(tǒng)架構(gòu)及系統(tǒng)邊界HSI。硬件系統(tǒng)功能安全設(shè)計(jì)根據(jù)ISO 26262-8章節(jié)6.4.2 硬件安全需求規(guī)范應(yīng)包括與安全相關(guān)的每一條硬件要求，包括以下：
a.   為控制要素硬件內(nèi)部失效的安全機(jī)制的硬件安全要求和相關(guān)屬性，這包括用來覆蓋相關(guān)瞬態(tài)故障(例如，由于所使用的技術(shù)而產(chǎn)生的瞬態(tài)故障)的內(nèi)部安全機(jī)制；b.   為確保要素對(duì)外部失效容錯(cuò)的硬件安全要求和安全機(jī)制的相關(guān)屬性。c.    為符合其它要素的安全要求的硬件安全要求和安全機(jī)制的相關(guān)屬性；d.   為探測(cè)內(nèi)外部失效和發(fā)送失效信息的硬件安全要求及安全機(jī)制的相關(guān)屬性；及e.   沒有定義安全機(jī)制的硬件安全要求。硬件安全要求應(yīng)按照ISO26262-8第6章和第9章的要求進(jìn)行驗(yàn)證，以提供證據(jù)證明。硬件設(shè)計(jì)可以硬件功能方塊圖開始，硬件方塊圖的所有的元素和內(nèi)部接口應(yīng)當(dāng)展示出來。然后設(shè)計(jì)和驗(yàn)證詳細(xì)的電路圖，最后通過演繹法（FTA）或者歸納法（FMEA）等方法來驗(yàn)證硬件架構(gòu)可能出現(xiàn)的故障。對(duì)系統(tǒng)設(shè)計(jì)來講最大的挑戰(zhàn)是滿足ISO26262硬件架構(gòu)度量。針對(duì)ASIL C或D，ISO26262強(qiáng)烈推薦計(jì)算單失效和潛在失效概率。具體計(jì)算法見ISO26262-8附件。針對(duì)單點(diǎn)故障SPF (single-point faults),被稱為單點(diǎn)故障度量（single-pointfault metric -SPFM)，針對(duì)潛在失效故障，被稱為潛在故障度量（ latent-faultmetric-LFM）。對(duì)于每一個(gè)安全目標(biāo)，由ISO26262要求的“潛伏故障度量”的定量目標(biāo)值應(yīng)基于下列參考目標(biāo)值：表1 SPFM和LFM推薦值

對(duì)BMS系統(tǒng)來講，電池包電壓傳感器是一個(gè)非常重要的傳感器，因此針對(duì)不同的ASIL等級(jí)需要分析電池包電壓傳感器不同的失效模式。下表是不同的ASIL級(jí)別所需要覆蓋到失效模式。表2 電池包電壓傳感器常見失效模式及覆蓋度

ISO26262推薦用兩個(gè)可選的方法以評(píng)估違背安全目標(biāo)的殘余風(fēng)險(xiǎn)是否足夠低。兩個(gè)方法都評(píng)估由單點(diǎn)故障、殘余故障和可能的雙點(diǎn)故障導(dǎo)致的違背安全目標(biāo)的殘余風(fēng)險(xiǎn)。如果顯示為與安全概念相關(guān)，也可考慮多點(diǎn)故障。在分析中，對(duì)殘余和雙點(diǎn)故障，將考慮安全機(jī)制的覆蓋率，并且，對(duì)雙點(diǎn)故障也將考慮暴露持續(xù)時(shí)間。第一個(gè)方法包括使用概率的度量，即“隨機(jī)硬件失效概率度量”（probabilisticmetric for random hardware failures-PMHF），通過使用例如定量故障樹分析（FTA）或者（Failure Mode Effects and Diagnostic Analysis - FMEDA)及將此計(jì)算結(jié)果與目標(biāo)值相比較的方法，評(píng)估是否違背所考慮的安全目標(biāo)。第二個(gè)方法包括獨(dú)立的評(píng)估每個(gè)殘余和單點(diǎn)故障，及每個(gè)雙點(diǎn)失效是否導(dǎo)致違背所考慮的安全目標(biāo)。此分析方法也可被考慮為割集分析。推薦的隨機(jī)失效目標(biāo)值如下表3。在文章[1]中選用第二種方法來驗(yàn)證BMS均衡電路的隨機(jī)失效，單點(diǎn)失效等。表3 隨機(jī)失效目標(biāo)值

在前面幾章分析過從HARA分析得到Safe Goal，從Safe Goal推導(dǎo)出FSR，從FSR推導(dǎo)出TSR。并以BMS的過充作為例子進(jìn)行了詳細(xì)的介紹。文章[1]選取了TI公司的BQ20Z80芯片，監(jiān)控四個(gè)cell電壓，管理均衡。圖1是電路原圖（表示看不清，可以看參考文獻(xiàn)[2]的高清大圖），該電路的核心元器件是ICBQ20Z80，BQ2940是過充二級(jí)保護(hù)芯片。文章針對(duì)過充保護(hù)功能，選擇方法2展開對(duì)安全目標(biāo)-“Battery overcharging shallbe prevented ”的隨機(jī)失效失效評(píng)估。該方法不僅考慮到錯(cuò)誤發(fā)生的可能性同時(shí)還考慮到安全機(jī)制的有效性。文章評(píng)估了芯片BQ2940及采樣芯片BQ2931。

圖1 電芯電壓采樣均衡架構(gòu)圖ISO 26262標(biāo)準(zhǔn)中引入了失效率等級(jí)。硬件元器件失效率的失效率等級(jí)評(píng)級(jí)應(yīng)按如下確定：a.   失效率等級(jí)1 對(duì)應(yīng)的失效率應(yīng)少于ASILD 的目標(biāo)除以100（見表3）b.   失效率等級(jí)2 對(duì)應(yīng)的失效率應(yīng)少于或等于10倍的失效率等級(jí)1 對(duì)應(yīng)的失效率（見表4）表4 失效率等級(jí)

如果單點(diǎn)失效違背ASILC的安全目標(biāo)，那個(gè)對(duì)應(yīng)的合適的失效率等級(jí)為FRC 1或者有其他額外測(cè)量的FRC2采樣均衡電路的失效可能會(huì)導(dǎo)致電芯過充，進(jìn)一步引起熱失控。因此根據(jù)SafetyGoal推導(dǎo)出的安全要求如圖2。

圖2 功能安全要求根據(jù)FSR可以推導(dǎo)出TSR，TSR見圖3

圖3 技術(shù)安全要求這是安全目標(biāo)所導(dǎo)出想系統(tǒng)的TSR，需要從中分離出單獨(dú)跟硬件相關(guān)的或者和軟件硬件都相關(guān)的TSR，因此硬件的TSR為：·        Overcharge condition shall be detectedwithin Y ms and,·        Current to the battery shall beinterrupted within Z ms.·        根據(jù)上面的分析有兩條TSR分配給了硬件系統(tǒng)。在文檔[1]中歸納總結(jié)了安全目標(biāo)的安全機(jī)制，見表5：表5 分配給硬件的過充保護(hù)安全機(jī)制

實(shí)施安全機(jī)制中需要用到的硬件元器件預(yù)估失效率(failurein time- FIT)。用于確定硬件元器件失效率和失效模式分布的業(yè)界公認(rèn)的來源包括IEC/TR62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811,NPRD 95, EN 50129:2003, Annex C, IEC 2061:2005, Annex D, RIAC FMD97 和 MIL HDBK 338。文章[1]中選取數(shù)據(jù)庫MILHDBK 217和芯片供應(yīng)商所提供的數(shù)據(jù)來評(píng)估安全機(jī)制。 文章[1]中采用AFEBQ2931（TI）作為過充二級(jí)保護(hù)芯片，表是對(duì)過充保護(hù)的安全機(jī)制的評(píng)估。從下表格可以看出，安全目標(biāo)的失效模式覆蓋率為99%，針對(duì)不同的與之安全相關(guān)的部件。表6 安全機(jī)制評(píng)估

一旦完成硬件架構(gòu)的設(shè)計(jì)和樣件設(shè)計(jì)，與之對(duì)應(yīng)的不同的元素，系統(tǒng)集成測(cè)試也應(yīng)該定義好。在ISO26262-8中，針對(duì)不同的ASIL等級(jí)推薦了不同的測(cè)試方法。參考文檔：[1] Gerhard Hofmann, Prof. Georg Scharfenberg: Random Hardware failure complianceof a cell balancing circuit with the requirements of automotive functionalsafety[2] Cell Balancing Using the bq20zxx[3] 道路車輛 功能安全 第5部分：產(chǎn)品開發(fā)：硬件層面[4] 第一電動(dòng)網(wǎng)作者：129Lab[5] 電動(dòng)知家