【AUTOSAR】BMS开发实际项目讲解(二十四)----电池管理系统碰撞保护

    1. 碰撞保护
      1. 关联的系统需求

TSR-BMS-7101TSR-BMS-7102TSR-BMS-7103TSR-BMS-7104TSR-BMS-7105; TSR-BMS-7201; TSR-BMS-7301;

TSR-BMS-S101TSR-BMS-S102TSR-BMS-S103TSR-BMS-S104TSR-BMS-S105TSR-BMS-S106TSR-BMS-S107TSR-BMS-S108TSR-BMS-S109;TSR-BMS-S201TSR-BMS-S202TSR-BMS-S203TSR-BMS-S204;TSR-BMS-S301TSR-BMS-S302TSR-BMS-S303TSR-BMS-S304TSR-BMS-S305TSR-BMS-S306TSR-BMS-S307TSR-BMS-S308;TSR-BMS-S401TSR-BMS-S402TSR-BMS-S403

      1. TSC功能框图

 

        1. 功能组件设计描述
          1. CIDU(Charging signal input detection unit)

ID

Function Block Description

ASIL

Ref.

CSP-301

参见OVP-201

QM

CSP-302

参见OVP-202

QM

          1. HVDU(High voltage signal detection unit)

ID

Function Block Description

ASIL

Ref.

CSP-401

参见OVP-301

QM

CSP-402

参见OVP-302

QM

CSP-403

参见OVP-303

QM

CSP-404

参见OVP-304

QM

CSP-405

参见OVP-305

QM

CSP-406

参见OVP-306

QM

CSP-407

参见OVP-307

QM

          1. DIDU(Discharging signal input detection unit)

ID

Function Block Description

ASIL

Ref.

CSP-501

参见OVP-401

QM

CSP-502

参见OVP-402

QM

          1. CMU(Cell management unit)

ID

Function Block Description

ASIL

Ref.

CSP-601

参见OVP-501

QM

CSP-602

参见OVP-502

QM

CSP-603

参见OVP-503

QM

          1. Function layer

ID

Function Block Description

ASIL

Ref.

CSP-701

参见OVP-601

QM

CSP-702

参见OVP-602

QM

CSP-703

参见OVP-603

QM

CSP-704

参见OVP-604

QM

CSP-705

参见OVP-605

QM

CSP-706

参见OVP-606

QM

CSP-707

参见OVP-607

QM

          1. Function monitoring layer

ID

Function Block Description

ASIL

Ref.

CSP-801

 [ Crash sampling data Mgt ] block

--获取[Crash detection(Hardwire)]输入的crash采样信号,判断信号有效性,并将有效的信号输入到[Crash algorithm]

--获取继电器状态诊断信号以及总压信号,判断信号有效性,并将有效的信号输入到[Safety Mechanisms]

--获取AFE 通过ISO_SPI上传的单体电压信息以及AFE故障信息,判断信息有效性,并将有效的信号输入到[Safety Mechanisms]

--获取HSD&LSD诊断信号,判断信号有效性,并将有效的信号输入到[Safety Mechanisms]

ASILA

CSP-802

 [Safety Mechanisms] block

--获取[ Crash sampling data Mgt ]输入的诊断信号,判断碰撞保护功能链路上是否存在故障,并对探测到的故障进行处理

--获取 [Crash algorithm] 输入的crash信号,检测信号采样过程中是否发生故障

--[Safety Mechanisms]根据故障探测的结果,输出降级指令给到[Degradation &Warning],或输出报警指令给到[Warning],或输出安全状态过渡指令给到[Open Relays]

ASILA

CSP-803

参见OVP-703

ASILA

CSP-804

参见OVP-704

ASILA

CSP-805

参见OVP-705

ASILA

CSP-806

[ Crash algorithm ] block

--获取[ Crash sampling data Mgt ]输入的crash信号,判断碰撞状态,并将其输入到[Safety Mechanisms]

--碰撞状态:“发生碰撞”、“未发生碰撞”和“未知状态”

ASILA

          1. Computation layer

ID

Function Block Description

ASIL

Ref.

CSP-901

参见OVP-801

ASILA

          1. Disable switch

ID

Function Block Description

ASIL

Ref.

CSP-A01

参见OVP-901

ASILA

          1. RDU(Relay drive unit)

ID

Function Block Description

ASIL

Ref.

CSP-B01

参见OVP-A01

ASILA(A)

CSP-B02

参见OVP-A01

QM(A)

          1. SBC Module

ID

Function Block Description

ASIL

Ref.

CSP-C01

参见OVP-B01

ASILA

CSP-C02

参见OVP-B02

ASILA

CSP-C03

参见OVP-B03

ASILA

          1. Crash detection(Hardwire)

ID

Function Block Description

ASIL

Ref.

CSP-D01

[Crash detection(Hardwire)] block

--SC_22所承载的功能,获取碰撞信号采样电路信号,并输入到[crash sampling data Mgt ]

ASILA

      1. 安全机制描述/ Description of the used safety mechanism

为防止电池系统碰撞保护功能链路上的故障失效发生,应对链路各要素制定安全机制,以探测故障、预防失效。

SM ID

ASIL

Safety Mechanism Description

FDT+FRT

Diagnostic Coverage

Ref. ISO26262-5, Annex D

Req. ID

Addressed Failure Mode

SYS_SM_007

ASIL C

MCU应具备核校验机制,来识别自身错误,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

D.2.3.6

TSR-BMS-S301

the SM of SPF

SYS_SM_008

ASIL C

SBC module供电输出监控模块应对不同的电源输出通道使用独立的监测通道,识别到电源输出异常状态,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

D.2.6.2

TSR-BMS-S102
TSR-BMS-S112

the SM of SPF

SYS_SM_011

ASIL B

系统应具备对HSD驱动输出回采功能,识别到HSD输出异常,及时进行报警

Every Key-ON Cycle

High

D.2.9.1

TSR-BMS-S201

the SM of DPF

SYS_SM_012

ASIL B

系统应具备HSD驱动输出回路短电源故障诊断机制,每个驾驶循环至少执行一次诊断,识别短电源故障,及时进行报警

Every Key-ON Cycle

High

D.2.1.1

TSR-BMS-S202

the SM of DPF

SYS_SM_013

ASIL A

系统应具备对LSD驱动输出回采功能,识别到LSD输出异常,及时进行报警

Every Key-ON Cycle

High

D.2.9.1

TSR-BMS-S203

the SM of DPF

SYS_SM_014

ASIL A

系统应具备LSD驱动输出回路短地故障诊断机制,每个驾驶循环至少执行一次诊断,识别短地故障,及时进行报警

Every Key-ON Cycle

High

D.2.1.1

TSR-BMS-S204

the SM of DPF

SYS_SM_015

ASIL C

MCU应具备自身运行环境的诊断机制,以保证功能正确地执行,当识别到异常时,在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

Table D.4 — Processing units

TSR-BMS-S302

the SM of SPF

SYS_SM_052

ASIL A

系统应具备碰撞采样回路断线诊断功能,识别到断线状态,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

D.2.1.1

TSR-BMS-7103

the SM of SPF

SYS_SM_053

ASIL A

系统应对碰撞采样值进行有效性监测,识别采样回路故障状态,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

D.2.1.1

TSR-BMS-7104

the SM of SPF

SYS_SM_057

ASIL C

SBC module内部 Regulator的基准源 与 电源输出监控模块基准源 应是独立的,以保证监控模块的独立性

/

High

TSR-BMS-S103

the SM of SPF

SYS_SM_058

ASIL A

SBC module的监控模块基准源,应能够被监控。如果基准源存在异常,应及时告警

Every Key-ON Cycle

High

D.2.1.1

TSR-BMS-S104

the SM of DPF

SYS_SM_059

ASIL A

每个驾驶循环应至少对SBC的看门狗功能进行一次测试,识别到异常,及时进行报警

Every Key-ON Cycle

High

D.2.4.1

TSR-BMS-S105

the SM of DPF

SYS_SM_060

ASIL A

SBC module应对内部reset/interrupt信号源进行功能检查,识别到异常,及时进行报警

Every Key-ON Cycle

High

D.2.4.1

TSR-BMS-S106

the SM of DPF

SYS_SM_067

ASIL C

MCU module应具备程序序列的时间和逻辑的联合监控,识别安全相关功能的故障状态,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

D.2.7.4

TSR-BMS-S304

the SM of SPF

SYS_SM_069

ASIL C

应对MCU module与SBC module的通讯信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

D.2.5.6 and D.2.5.7
and D.2.5.8

TSR-BMS-S108
TSR-BMS-S306

the SM of SPF

SYS_SM_070

ASIL A

对于SBC module内部能够将SS1&2( Safe State Control signals 1 and 2)置低的监控功能,每个驾驶循环应至少进行一次自测试,如果自测试结果为失败,SBC module应及时将故障信息传达给MCU module

Every Key-ON Cycle

High

D.2.4.1

TSR-BMS-S107

the SM of DPF

SYS_SM_074

ASIL C

对于安全相关的标定数据存储,MCU module应具备安全校验机制,识别到数据错误,在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

Table D.1 — Analysed failure modes
Ref. ISO26262-11, 5.1.13.1

TSR-BMS-S308

the SM of SPF

SYS_SM_077

ASIL C

系统应对V_CAN 网络中安全相关通讯信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

D.2.5.6 and D.2.5.7
and D.2.5.8

TSR-BMS-S403

the SM of SPF

SYS_SM_079

ASIL A

MCU应对核校验机制进行测试,来识别双核锁步机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警

Every Key-ON Cycle

High

D.2.4.1

TSR-BMS-S309

the SM of DPF

SYS_SM_080

ASIL A

MCU应对自身运行环境的诊断机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警

Every Key-ON Cycle

High

D.2.4.1

TSR-BMS-S310

the SM of DPF

SYS_SM_090

ASIL C

系统应该对SBC供电输入KL30进行监控,当超出安全阈值时,在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

Low

D.2.6.1

TSR-BMS-S110

the SM of SPF

SYS_SM_091

ASIL C

供电电源PIN脚KL30和KL31采用多PIN脚并联的形式输入,规避断路失效风险

/

High

/

TSR-BMS-S111

SYS_SM_092

ASIL A

HSD输出引脚和电源引脚、LSD输出引脚和地引脚需要分布在不同的接插件上或在同一接插件不相邻的Pin脚,以防止插针短接

/

High

/

TSR-BMS-S205

SYS_SM_093

ASIL C

MCU内部在进行安全相关的数据传输时,需要具备安全校验机制,来识别自身数据传输错误,并在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

TSR-BMS-S311

the SM of SPF

SYS_SM_094

ASIL A

MCU应对其内部数据传输安全校验机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警

Every Key-ON Cycle

High

D.2.4.1

TSR-BMS-S312

the SM of DPF

SYS_SM_095

ASIL C

芯片PFLASH应该在写和擦除操作前进行溢出检测,识别到数据溢出,在规定时间之内完成故障处理(进入安全状态)

250ms+50ms

High

TSR-BMS-S313

the SM of SPF

SYS_SM_096

ASIL A

MCU应对其内部PFLASH溢出检测机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警

Every Key-ON Cycle

High

D.2.4.1

TSR-BMS-S314

the SM of DPF

SYS_SM_097

ASIL C

硬件在接插件选型设计时应该考虑接插件Pin脚的材料和插拔力,确保满足功能安全相关要求

/

High

/

TSR-BMS-S501

SYS_SM_103

ASIL A

SBC module应对安全状态输出信号进行冗余设计

/

High

D.2.4.3

TSR-BMS-S115

the SM of DPF

      1. 功能实现描述
        1. 碰撞故障检测及处理

对于碰撞故障(Pack_CrashFault),定义如下:

  1. Pack_CrashSafetyProtection(报警&进入安全状态):旨在防止安全相关危害事件的发生

ID

Description

ASIL

Ref.

CSP-201

Pack_CrashSafetyProtection识别和处理

系统在激活状态下,当检测到碰撞信号采样值满足

--【占空比阈值∈[18%,22% ],频率阈值:∈[18Hz,22Hz ]且持续180ms时,则确认车辆当前发生碰撞事故

系统应当:

--应按照Emergency Power Off_2执行故障保护,参见[FL]

--应按照Fault Recovery Strategy_3执行故障恢复,参见[FL]

ASILA

TSR-BMS-7101

TSR-BMS-7102

TSR-BMS-7201

TSR-BMS-7301

CSP-202

数据有效性识别

系统在上述故障阈值判断时,需要确保绝【碰撞信号采样值】的有效性,若确认数据无效,不应参考该数据进行故障确认,避免错误的故障识别

ASILA

TSR-BMS-7102

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大道生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值