【AUTOSAR】BMS开发实际项目讲解（十二）----电池管理系统绝缘热失控功能安全

1. 1. 1. 1. 功能安全要求描述（SG-BMS-3）

安全目标 ID	SG-BMS-3
FTTI	4000ms
故障探测时间间隔	≤3500ms	故障响应时间间隔	≤500ms
安全阈值	过温安全阈值：≥59℃
安全状态	断开高压回路
运行模式	充电模式，驱动模式，空闲模式

FSR ID	FSR-BMS-31	安全目标 ID	SG-BMS-3
要求	BMS系统应监测所有单体温度信息，判断电池单体温度值是否高于安全阈值；
ASIL等级	ASIL C	状态	Draft
FSR的分配	Cell_AFE Module, MCU Module, Power Supply Module
备注	继承SG的ASIL

FSR ID	FSR-BMS-32	安全目标 ID	SG-BMS-3
要求	当电池单体温度值高于安全阈值时，使动力蓄电池系统在FRT 时间内断开高压回路进入安全状态，在电池单体过温故障退出、消除条件未满足时，不应退出安全状态；
ASIL等级	ASIL C	状态	Draft
FSR的分配	Relay Control Module, V_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID	FSR-BMS-33	安全目标 ID	SG-BMS-3
要求	BMS系统在激活状态下，为防止过温保护的故障潜伏，应发出故障信息，以便警示驾驶员。
ASIL等级	ASIL A	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设整车报警执行器能够及时且正确地响应报警请求，满足ASIL A要求

FSR ID	FSR-BMS-34	安全目标 ID	SG-BMS-3
要求	在电池管理系统检测到电池单体接近于触发过温故障，应提前限制放电、充电和回馈功率，让整车进入降级运行模式。
ASIL等级	QM	状态	Draft
FSR的分配	V_CAN Module, C_CAN Module, MCU Module, Power Supply Module
备注	假设外部ECU能够及时且正确地响应功率限制，满足QM要求

1. 1. 1. SG-BMS-4 : BMS系统应防止动力蓄电池系统过流导致热失控（ASIL B）
         1. 功能框图（SG-BMS-4）

 

    功能组件说明

功能组件ID	功能组件名称	描述	ASIL等级
FSC-FC-01	Detection Cell Volt&Temp	采集表征单体电压和温度的模拟信号	QM
FSC-FC-02	Detection Current	采集表征电流的数字信号	ASIL B
FSC-FC-03	Detection Charging Signal	采集表征CC、CP、CC2和充电供电的模拟或数字信号	QM
FSC-FC-04	Charge &Discharge Mgt	管理电池系统的充电和放电，监控电池系统状态，并实施保护	ASIL B
FSC-FC-05	Relay Drive	驱动继电器开启和关断	ASIL B
FSC-FC-06	Charge &Discharge Capacity	向外部充电设备/负载输出电池系统可用的充放电功率（CAN信号）	QM

功能组件接口说明

接口ID	接口属性	描述	ASIL等级
I-01	AI	表征单体电压和温度的模拟信号	QM
I-02	DI	表征电流的数字信号	ASIL B
I-03	DI	表征单体电压和温度的数字信号	QM
I-04	DI	表征电流的数字信号	ASIL B
I-05	DI	表征CC、CP、CC2和充电供电的数字信号	QM
I-06	DO	驱动控制信号（使能/禁能）	ASIL B
I-07	DO	电池系统SOP信息	QM
I-08	CAN	高压上下电指令，请求放电功率	QM
I-09	AO	继电器驱动输出	ASIL B
I-10	CAN	电池系统当前允许的充电功率	QM
I-11	CAN	电池系统当前允许的充放电功率	QM
I-12	CAN	逆变器请求的放电功率	QM
I-13	A/DO	CC、CP信号交互	QM
I-14	DO	CC2、charger power信号交互	QM

1. 1. 1. 1. 功能安全要求描述（SG-BMS-4）

安全目标 ID	SG-BMS-4
FTTI	4000ms
故障探测时间间隔	≤3500ms	故障响应时间间隔	≤500ms
安全阈值	过流安全阈值： A．驱动模式下：主回路电流值（电流绝对值）≥502.5A  B．充电模式下：：主回路电流值（电流绝对值） 1)≥26A @ -20℃≤温度＜-15℃ 2)≥45.5A @ -15℃≤温度＜ -10℃ 3)≥100.5A @ -10℃≤温度＜ 5℃ 4)≥301.5A @ 温度≥5℃
安全状态	断开高压回路
运行模式	充电模式，驱动模式，空闲模式

FSR ID	FSR-BMS-41	安全目标 ID	SG-BMS-4
要求	BMS系统应监测动力电池高压主回路电流信息，判断电流值是否高于安全阈值；
ASIL等级	ASIL B	状态	Draft
FSR的分配	Digital Hall Power Supply Module, Analog Hall Detection Module, I_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；假设外部Hall Sensor能够满足正确反馈电流信息，满足ASIL C要求。

FSR ID	FSR-BMS-42	安全目标 ID	SG-BMS-4
要求	当电流值高于安全阈值时，使动力蓄电池系统在FRT 时间内断开高压回路进入安全状态，在过流故障退出、消除条件未满足时，不应退出安全状态；
ASIL等级	ASIL B	状态	Draft
FSR的分配	Relay Control Module, V_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID	FSR-BMS-43	安全目标 ID	SG-BMS-4
要求	BMS系统在激活状态下，为防止过流保护的故障潜伏，应发出故障信息，以便警示驾驶员。
ASIL等级	ASIL A	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设整车报警执行器能够及时且正确地响应报警请求，满足ASIL A要求

FSR ID	FSR-BMS-44	安全目标 ID	SG-BMS-4
要求	在电池管理系统检测到电池单体接近于触发过流故障，应提前限制放电、充电和回馈功率，让整车进入降级运行模式。
ASIL等级	QM	状态	Draft
FSR的分配	V_CAN Module, C_CAN Module, MCU Module, Power Supply Module
备注	假设外部ECU能够及时且正确地响应功率限制，满足QM要求

1. 1. 1. SG-BMS-5 : BMS系统应避免绝缘保护功能异常引起的安全事故（ASIL A）
         1. 功能框图（SG-BMS-5）

 

    功能组件说明

功能组件ID	功能组件名称	描述	ASIL等级
FSC-FC-05	Relay Drive	驱动继电器开启和关断	ASIL A
FSC-FC-07	Detection Insulation	采集表征电池系统绝缘阻值的模拟信号	ASIL A
FSC-FC-08	Insulation Protection	监控电池系统绝缘阻值，并实施保护	ASIL A

功能组件接口说明

接口ID	接口属性	描述	ASIL等级
I-08	CAN	高压上下电指令，请求放电功率	QM
I-09	AO	继电器驱动输出	ASIL A
I-15	AI	表征电池系统绝缘阻值的模拟信号	ASIL A
I-16	DI	表征电池系统绝缘阻值的模拟信号	ASIL A
I-17	DO	驱动控制信号（使能/禁能）	ASIL A

1. 1. 1. 1. 功能安全要求描述（SG-BMS-5）

安全目标 ID	SG-BMS-5
FTTI	6000ms
故障探测时间间隔	≤5500ms	故障响应时间间隔	≤500ms
安全阈值	绝缘安全阈值：电池系统正极和负极绝缘阻值均<100Ω/V
安全状态	断开高压回路
运行模式	充电模式，驱动模式，空闲模式

FSR ID	FSR-BMS-51	安全目标 ID	SG-BMS-5
要求	BMS系统应监测动力电池高压绝缘状态信息，判断绝缘值是否低于安全阈值；
ASIL等级	ASIL A	状态	Draft
FSR的分配	HV Sample Module, I_CAN Module, ISO_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL

FSR ID	FSR-BMS-52	安全目标 ID	SG-BMS-5
要求	当绝缘值低于安全阈值时，使动力蓄电池系统在FRT时间内断开高压回路进入安全状态，在绝缘过低故障退出、消除条件未满足时，不应退出安全状态；
ASIL等级	ASIL A	状态	Draft
FSR的分配	Relay Control Module, V_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID	FSR-BMS-53	安全目标 ID	SG-BMS-5
要求	BMS系统在激活状态下，为防止绝缘保护的故障潜伏，应发出故障信息，以便警示驾驶员。
ASIL等级	QM	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设整车报警执行器能够及时且正确地响应报警请求，满足QM要求

1. 1. 1. SG-BMS-6 : BMS系统应避免HVIL保护功能异常引起的安全事故（ASIL A）
         1. 功能框图（SG-BMS-6）

 

    功能组件说明

功能组件ID	功能组件名称	描述	ASIL等级
FSC-FC-05	Relay Drive	驱动继电器开启和关断	ASIL A
FSC-FC-09	Detection HVIL	采集表征电池系统高压互锁连接状态的模拟信号	ASIL A
FSC-FC-10	HVIL  Protection	监控电池系统高压互锁连接状态，并实施保护	ASIL A

功能组件接口说明

接口ID	接口属性	描述	ASIL等级
I-08	CAN	高压上下电指令，请求放电功率	QM
I-09	AO	继电器驱动输出	ASIL A
I-18	AI	表征电池系统高压互锁连接状态的模拟信号	ASIL A
I-19	DI	表征电池系统高压互锁连接状态的模拟信号	ASIL A
I-20	DO	驱动控制信号（使能/禁能）	ASIL A

1. 1. 1. 1. 功能安全要求描述（SG-BMS-6）

安全目标 ID	SG-BMS-6
FTTI	300ms
故障探测时间间隔	≤250ms	故障响应时间间隔	≤50ms
安全阈值	HVIL安全阈值：高压接插件处于非完全结合状态
安全状态	断开高压回路
运行模式	充电模式，驱动模式，空闲模式

FSR ID	FSR-BMS-61	安全目标 ID	SG-BMS-6
要求	BMS系统应监测动力电池高压连接器连接状态信息，判断高压连接器是否处于连接不良的状态；
ASIL等级	ASIL A	状态	Draft
FSR的分配	HVIL Detection Module, MCU Module, Power Supply Module
备注	继承SG的ASIL

FSR ID	FSR-BMS-62	安全目标 ID	SG-BMS-6
要求	当高压连接器连接不良时，使动力蓄电池系统在FRT 时间内断开高压回路进入安全状态，在高压连接器异常连接故障退出、消除条件未满足时，不应退出安全状态；
ASIL等级	ASIL A	状态	Draft
FSR的分配	Relay Control Module, V_CAN Module, MCU Module, Power Supply Module
备注	继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID	FSR-BMS-63	安全目标 ID	SG-BMS-6
要求	BMS系统在激活状态下，为防止HVIL保护的故障潜伏，应发出故障信息，以便警示驾驶员。
ASIL等级	QM	状态	Draft
FSR的分配	V_CAN Module, MCU Module, Power Supply Module
备注	假设整车报警执行器能够及时且正确地响应报警请求，满足QM要求