【AUTOSAR】BMS开发实际项目讲解（十一）----电池管理系统相关项功能安全要求

1. 1. 相关项功能安全要求
      1. SG-BMS-1 : BMS系统应防止电池单体过充导致热失控（ASIL C）
         1. 功能框图（SG-BMS-1）

 

    功能组件说明

功能组件ID	功能组件名称	描述	ASIL等级
FSC-FC-01	Detection Cell Volt&Temp	采集表征单体电压和温度的模拟信号	ASIL C
FSC-FC-02	Detection Current	采集表征电流的数字信号	QM
FSC-FC-03	Detection Charging Signal	采集表征CC、CP、CC2和充电供电的模拟或数字信号	QM
FSC-FC-04	Charge &Discharge Mgt	管理电池系统的充电和放电，监控电池系统状态，并实施保护	ASIL C
FSC-FC-05	Relay Drive	驱动继电器开启和关断	ASIL C
FSC-FC-06	Charge &Discharge Capacity	向外部充电设备/负载输出电池系统可用的充放电功率（CAN信号）	QM

功能组件接口说明

接口ID	接口属性	描述	ASIL等级
I-01	AI	表征单体电压和温度的模拟信号	ASIL C
I-02	DI	表征电流的数字信号	QM
I-03	DI	表征单体电压和温度的数字信号	ASIL C
I-04	DI	表征电流的数字信号	QM
I-05	DI	表征CC、CP、CC2和充电供电的数字信号	QM
I-06	DO	驱动控制信号（使能/禁能）	ASIL C
I-07	DO	电池系统SOP信息	QM
I-08	CAN	高压上下电指令，请求放电功率	QM
I-09	AO	继电器驱动输出	ASIL C
I-10	CAN	电池系统当前允许的充电功率	QM
I-11	CAN	电池系统当前允许的充放电功率	QM
I-12	CAN	逆变器请求的放电功率	QM
I-13	A/DO	CC、CP信号交互	QM
I-14	DO	CC2、charger power信号交互	QM

1. 1. 1. 1. 功能安全要求描述（SG-BMS-1）

安全目标 ID	SG-BMS-1
FTTI	4000ms
故障探测时间间隔	≤3500ms	故障响应时间间隔	≤500ms
安全阈值	单体过压安全阈值：≥4.25V
安全状态	断开高压回路
运行模式	充电模式，驱动模式，空闲模式

FSR ID	FSR-BMS-11	安全目标 ID	SG-BMS-1
要求	BMS系统应监测所有单体电压信息，判断电池单体电压值是否超过安全阈值；
ASIL等级	ASIL C	状态	Draft
FSR的分配	Cell_AFE Module, MCU Module, Power Supply Module
备注	继承SG的ASIL

FSR ID	FSR-BMS-12	安全目标 ID	SG-BMS-1
要求	当电池单体电压值超过安全阈值时，使动力蓄电池系统在FRT时间内断开高压回路进入安全状态，在电池单体过充故障退出、消除条件未满足时，不应退出安全状态；
ASIL等级	ASIL C	状态	Draft
FSR的分配	Relay Control Module, V_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID	FSR-BMS-13	安全目标 ID	SG-BMS-1
要求	BMS系统在激活状态下，为防止过充保护的故障潜伏，应发出故障信息，以便警示驾驶员。
ASIL等级	ASIL A	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设整车报警执行器能够及时且正确地响应报警请求，满足ASIL A要求

FSR ID	FSR-BMS-14	安全目标 ID	SG-BMS-1
要求	在电池管理系统检测到电池单体接近于触发过压故障，应提前限制充电、回馈功率，让整车进入降级运行模式。
ASIL等级	QM	状态	Draft
FSR的分配	V_CAN Module, C_CAN Module, MCU Module, Power Supply Module
备注	假设外部ECU能够及时且正确地响应功率限制，满足QM要求

1. 1. 1. SG-BMS-2 : BMS系统应防止电池单体过放后再充电导致热失控（ASIL B）
         1. 功能框图（SG-BMS-2）

 

    功能组件说明

功能组件ID	功能组件名称	描述	ASIL等级
FSC-FC-01	Detection Cell Volt&Temp	采集表征单体电压和温度的模拟信号	ASIL B
FSC-FC-02	Detection Current	采集表征电流的数字信号	QM
FSC-FC-03	Detection Charging Signal	采集表征CC、CP、CC2和充电供电的模拟或数字信号	QM
FSC-FC-04	Charge &Discharge Mgt	管理电池系统的充电和放电，监控电池系统状态，并实施保护	ASIL B
FSC-FC-05	Relay Drive	驱动继电器开启和关断	ASIL B
FSC-FC-06	Charge &Discharge Capacity	向外部充电设备/负载输出电池系统可用的充放电功率（CAN信号）	QM

功能组件接口说明

接口ID	接口属性	描述	ASIL等级
I-01	AI	表征单体电压和温度的模拟信号	ASIL B
I-02	DI	表征电流的数字信号	QM
I-03	DI	表征单体电压和温度的数字信号	ASIL B
I-04	DI	表征电流的数字信号	QM
I-05	DI	表征CC、CP、CC2和充电供电的数字信号	QM
I-06	DO	驱动控制信号（使能/禁能）	ASIL B
I-07	DO	电池系统SOP信息	QM
I-08	CAN	高压上下电指令，请求放电功率	QM
I-09	AO	继电器驱动输出	ASIL B
I-10	CAN	电池系统当前允许的充电功率	QM
I-11	CAN	电池系统当前允许的充放电功率	QM
I-12	CAN	逆变器请求的放电功率	QM
I-13	A/DO	CC、CP信号交互	QM
I-14	DO	CC2、charger power信号交互	QM

1. 1. 1. 1. 功能安全要求描述（SG-BMS-2）

安全目标 ID	SG-BMS-2
FTTI	4000ms
故障探测时间间隔	≤3500ms	故障响应时间间隔	≤500ms
安全阈值	单体欠压安全阈值： 1)≤1.6V @ -30℃≤温度＜-20℃ 2)≤2.0V @ -20℃≤温度＜ 0℃ 3)≤2.3V@ 温度≥0℃
安全状态	断开高压回路
运行模式	充电模式，驱动模式，空闲模式

FSR ID	FSR-BMS-21	安全目标 ID	SG-BMS-2
要求	BMS系统应监测所有单体电压信息，判断电池单体电压值是否低于安全阈值；
ASIL等级	ASIL B	状态	Draft
FSR的分配	Cell_AFE Module, MCU Module, Power Supply Module
备注	继承SG的ASIL

FSR ID	FSR-BMS-22	安全目标 ID	SG-BMS-2
要求	当电池单体电压值低于安全阈值时，使动力蓄电池系统在FRT 时间内断开充电高压回路进入安全状态，在电池单体过放故障退出、消除条件未满足时，不应退出安全状态；
ASIL等级	ASIL B	状态	Draft
FSR的分配	Relay Control Module, V_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID	FSR-BMS-23	安全目标 ID	SG-BMS-2
要求	BMS系统在激活状态下，为防止过放保护的故障潜伏，应发出故障信息，以便警示驾驶员。
ASIL等级	ASIL A	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设整车报警执行器能够及时且正确地响应报警请求，满足ASIL A要求

FSR ID	FSR-BMS-24	安全目标 ID	SG-BMS-2
要求	在电池管理系统检测到电池单体接近于触发过放故障，应提前限制放电功率，让整车进入降级运行模式。
ASIL等级	QM	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设外部ECU能够及时且正确地响应功率限制，满足QM要求

1. 1. 1. SG-BMS-3 : BMS系统应防止电池单体过温导致热失控（ASIL C）
         1. 功能框图（SG-BMS-3）

 

    功能组件说明

功能组件ID	功能组件名称	描述	ASIL等级
FSC-FC-01	Detection Cell Volt&Temp	采集表征单体电压和温度的模拟信号	ASIL C
FSC-FC-02	Detection Current	采集表征电流的数字信号	QM
FSC-FC-03	Detection Charging Signal	采集表征CC、CP、CC2和充电供电的模拟或数字信号	QM
FSC-FC-04	Charge &Discharge Mgt	管理电池系统的充电和放电，监控电池系统状态，并实施保护	ASIL C
FSC-FC-05	Relay Drive	驱动继电器开启和关断	ASIL C
FSC-FC-06	Charge &Discharge Capacity	向外部充电设备/负载输出电池系统可用的充放电功率（CAN信号）	QM

功能组件接口说明

接口ID	接口属性	描述	ASIL等级
I-01	AI	表征单体电压和温度的模拟信号	ASIL C
I-02	DI	表征电流的数字信号	QM
I-03	DI	表征单体电压和温度的数字信号	ASIL C
I-04	DI	表征电流的数字信号	QM
I-05	DI	表征CC、CP、CC2和充电供电的数字信号	QM
I-06	DO	驱动控制信号（使能/禁能）	ASIL C
I-07	DO	电池系统SOP信息	QM
I-08	CAN	高压上下电指令，请求放电功率	QM
I-09	AO	继电器驱动输出	ASIL C
I-10	CAN	电池系统当前允许的充电功率	QM
I-11	CAN	电池系统当前允许的充放电功率	QM
I-12	CAN	逆变器请求的放电功率	QM
I-13	A/DO	CC、CP信号交互	QM
I-14	DO	CC2、charger power信号交互	QM

1. 1. 1. 1. 功能安全要求描述（SG-BMS-3）

安全目标 ID	SG-BMS-3
FTTI	4000ms
故障探测时间间隔	≤3500ms	故障响应时间间隔	≤500ms
安全阈值	过温安全阈值：≥59℃
安全状态	断开高压回路
运行模式	充电模式，驱动模式，空闲模式

FSR ID	FSR-BMS-31	安全目标 ID	SG-BMS-3
要求	BMS系统应监测所有单体温度信息，判断电池单体温度值是否高于安全阈值；
ASIL等级	ASIL C	状态	Draft
FSR的分配	Cell_AFE Module, MCU Module, Power Supply Module
备注	继承SG的ASIL

FSR ID	FSR-BMS-32	安全目标 ID	SG-BMS-3
要求	当电池单体温度值高于安全阈值时，使动力蓄电池系统在FRT 时间内断开高压回路进入安全状态，在电池单体过温故障退出、消除条件未满足时，不应退出安全状态；
ASIL等级	ASIL C	状态	Draft
FSR的分配	Relay Control Module, V_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID	FSR-BMS-33	安全目标 ID	SG-BMS-3
要求	BMS系统在激活状态下，为防止过温保护的故障潜伏，应发出故障信息，以便警示驾驶员。
ASIL等级	ASIL A	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设整车报警执行器能够及时且正确地响应报警请求，满足ASIL A要求

FSR ID	FSR-BMS-34	安全目标 ID	SG-BMS-3
要求	在电池管理系统检测到电池单体接近于触发过温故障，应提前限制放电、充电和回馈功率，让整车进入降级运行模式。
ASIL等级	QM	状态	Draft
FSR的分配	V_CAN Module, C_CAN Module, MCU Module, Power Supply Module
备注	假设外部ECU能够及时且正确地响应功率限制，满足QM要求