新能源汽车电池管理系统开发中功能安全流程的应用实践CTO 袁永军同湛科技公司介绍上海同湛新能源科技有限公司成立时间:2014年3月中国新能源汽车电子专业解决方案供应商上海同湛新能源科技有限公司:注册地:上海嘉定公司格言: Mark the Future!同心,共湛公司核心成员在新能源汽车电子领域有超过7年的行业经验,进入同湛前均担任多家企高管核成员具有同济大学汽车学新能汽车方向的学究背景BMS企业高管。
核心成员具有同济大学汽车学院新能源汽车方向的学习及研究背景,并仍然保持着与同济大学在新能源汽车核心部件VCU、BMS等方面的研发及测试互动。
公司的定位测试系统及软件开发咨询BMS 系统开发TestZealot 自动测试软件主要客户内容1BMS功能安全开发流程概览2项目初始化及概念阶段的功能安全实践BMS项目初始化及概念阶段的功能安全实践3BMS系统设计阶段的功能安全应用4BMS软硬件设计阶段的功能安全应用5BMS测试及功能安全验证BMS功能安全开发流程概览BMS功能安全开发流程概览功能安全过程系统需求分析系统测试•概念阶段•项目定义•安全计划技术安全需ASPICE3.0 过程SYS.2SYS.5ASPICE ENG统需分析系统架构设计系统集成测试•安全目标ASPICEMan.3求系统设计安全确认功能安全集成测试SYS.3SWE 1SWE 6SYS.4软件需求分析软件架构软件集成测试软件测试•功能安全概念软件安全相关需求软件安全安全相关软安全相关软件确认SWE.1SWE.2SWE.5SWE.6硬件安全相关需求硬件安全相关集成硬件安全指标评估设计相关设计安全相关单元测试件集成测试SWE.3SWE.4软件单元设计安全相关单元设计软件单元测试硬件评估硬件需求测试硬件安全硬件集成测试硬件设计相关设计内容1BMS功能安全开发流程概览2概念阶段的功能安全实践BMS概念阶段的功能安全实践3BMS系统设计阶段的功能安全应用4BMS软硬件设计阶段的功能安全应用5BMS测试及功能安全验证项目定义:workproductBMS项目定义及安全生命周期初始化想要做什么?——项目目标、产品的功能需求我们用在哪?——环境条件的需求要遵守什么法律法规要求•Safety planBMS It d fi iti d 需要遵守什么?——法律法规要求我们可以预知到什么?——已知的安全需求产品由哪些部分组成?——组成产品的各个部件•BMS Item definition.doc •BMS Initial Architecture 谁对产品有影响?——其他系统对产品的要求部件、系统之间如何连接?——接口•HAZOP*一个系统项目(Item):This definition serves to provide sufficient information about the item to the persons who conduct the 个系统*或系统组合*或一个功能来实施ISO26262。
subsequent subphases: ”Initialization of safetylifecylce”, “hazard analysis and risk assessment” and “functional safety concept”. –ISO26262.3BMS 项目概念阶段HAZOP tableBMS 项目定义HAZOP 分析定义分析功能失效及定义BMS 的主体功能偏差可能性(Malfucntion Behavior )HAZOP :Hazard andOperability Studies Operability Studies 是英国帝国化学工业公司(ICI )Time Sequence:Early Late; Before AfterAS WELL ASLESS 于20世纪60年代发展起来的以引导词为核心的MORE NO OR NOT OTHER THAN 系统危险分析方法OTHER THAN PART OF REVERSEBMS 项目定BMS 项目概念阶段义HAZOP 分析HARA 分析安全目标确定根据整车场景分析对S E C 逐条分析SEC情分析,对S E C 值进行评估,并设计Safe State况,整理得出Safety goalSafety GoalG010: 须防控电芯过温故障无保护或不及时,防止电芯热失控Safe State:发送准确的放电功率信息;过温监控功能异常时向仪表发出警告信息,derate功率输出最终切断高压输入输出电池包, 禁止电池包加热功能开启内容1BMS功能安全开发流程概览2概念阶段的功能安全实践BMS概念阶段的功能安全实践3BMS系统设计阶段的功能安全应用4BMS软硬件设计阶段的功能安全应用5BMS测试及功能安全验证BMS系统设计阶段的功能安全应用功能安全过程系统需求分析系统测试•概念阶段•项目定义•安全计划技术安全需ASPICE3.0 过程SYS.2SYS.5ASPICE ENG统需分析系统架构设计系统集成测试•安全目标ASPICEMan.3求系统设计安全确认功能安全集成测试SYS.3SWE 1SWE 6SYS.4软件需求分析软件架构软件集成测试软件测试•功能安全概念软件安全相关需求软件安全安全相关软安全相关软件确认SWE.1SWE.2SWE.5SWE.6硬件安全相关需求硬件安全相关集成硬件安全指标评估设计相关设计安全相关单元测试件集成测试SWE.3SWE.4软件单元设计安全相关单元设计软件单元测试硬件评估硬件需求测试硬件安全硬件集成测试硬件设计相关设计BMS 系统设计阶段的功能安全应用系统定性FTA系统FMEA分析HARA从风险角度出发建立技术安全需求,FMEA从设计角度出发判别风险,是一个查漏补缺过程。
由于FMEA 和FTA的分析要基于系统架构因此在系统阶段最后进行上述分析可以弥补概念设计阶段的可能漏洞和FTA的分析要基于系统架构,因此,在系统阶段最后进行上述分析,可以弥补概念设计阶段的可能漏洞。
BMS 技术安全需求系统设计Safety GoalSYS.2 System Requirements document SYS.3 System Architecture documentFSR1FSRn……TSR1BMSDecomposition TSRnMerge 技术安全需求TSRnTSRn+1pSYS.3需求BMS 技术安全需求系统设计SYS.2 System Requirements SYS.3 SystemISO 26262:BMS Safety Analysis HSI Hardware HSIRequirement 1(Software )TSR 1 ASILBdocumentArchitecture document Analysis_HSI (Hardware Software Interface )ASILBTSR 2ASIL A (C )Microsoft Office Excel 工作表……Requirement 2(Hardware )ASILCTSR 3ASIL A (C )TSR 4ASIL ASIL CMappingM-N内容1BMS功能安全开发流程概览2项目初始化及概念阶段的功能安全实践BMS项目初始化及概念阶段的功能安全实践3BMS系统设计阶段的功能安全应用4BMS软硬件设计阶段的功能安全应用5BMS测试及功能安全验证功能安全过程系统需求分析系统测试•概念阶段•项目定义•安全计划技术安全需ASPICE3.0 过程SYS.2SYS.5ASPICE ENG统需分析系统架构设计系统集成测试•安全目标ASPICEMan.3求系统设计安全确认功能安全集成测试SYS.3SWE 1SWE 6SYS.4软件需求分析软件架构软件集成测试软件测试•功能安全概念软件安全相关需求软件安全安全相关软安全相关软件确认SWE.1SWE.2SWE.5SWE.6硬件安全相关需求硬件安全相关集成硬件安全指标评估设计相关设计安全相关单元测试件集成测试SWE.3SWE.4软件单元设计安全相关单元设计软件单元测试硬件评估硬件需求测试硬件安全硬件集成测试硬件设计相关设计软件安全需求软件架构设计软件单元设计软件安全需求软件架构设计软件单元设计软件单元测试Structural coverage metrics at the software unit levelSOC软件安全需求软件架构设计软件单元设计软件单元测试Methods for software unit testingSOCTestZealotBMS软硬件设计阶段的功能安全应用软件安 全需求 软件架 构设计 软件单 元设计 软件单 元测试 软件集 成测试TestZealotAll rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛BMS软硬件设计阶段的功能安全应用软件安全 需求 软件架构 设计 软件单元 设计 软件单元 测试 软件集成 测试 软件安全 需求确认“The testing of the implementation of the software safety requirements shall be executed on the target hardware.”-----ISO26262-6Hardware-in-the-loop for single g target gBCUAll rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛BMS软硬件设计阶段的功能安全应用软件安全 需求 软件架构 设计 软件单元 设计 软件单元 测试 软件集成 测试 软件安全 需求确认“The testing of the implementation of the software safety requirements shall be executed on the target hardware.”-----ISO26262-6 Cell Simulator Hardware-in-the-loop for single target项目 电芯 电压 电流 模拟 电压模拟通道数 温度模拟通道数 电压模拟输出范围 电压通道电流范围 电压设定精度 电芯 温度 模拟 电阻可调范围 电阻设定精度 (0~250k) 电阻设定精度 (250k~2M)指标 24 8 0~5V -1 A ~ 1A; ≤ 1 mV; 0~2MOhm ±50Ω 0.02%±50 ΩBMUAll rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛BMS软硬件设计阶段的功能安全应用软件安全 需求 软件架构 设计 软件单元 设计 软件单元 测试 软件集成 测试 软件安全 需求确认Bus bar Open FIUSafety casesChannel temperatureTemp sensor open FIUChannel VoltageTemp sensor short FIUCell Short circuit FIUCell Voltage Sampling wire open FIUChannel VoltageChannel VoltageAll rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛BMS软硬件设计阶段的功能安全应用硬件安全需 求 硬件安全设 计 硬件安全指 标评估硬件量化要求架构指 标 SPFM LFMASIL B ≥90% ≥60% C ≥97% ≥80% D ≥99% ≥90%硬件架构 指标 与与ASIL随机硬件失 效率指标 或B<10e-7/hC<10e-7/hD<10-8/h随机硬 件失效 目标值SPFM:单点故障指标 LFM:潜在多点故障指标SPFM 目标值 LFM 目标值 概率指标 目标值 失效率等级 1-3目标值“The The requirements on the evaluation of the hardware architectural metrics and the evaluation of safety goal violations due to random hardware failures shall remain unchanged by ASIL decomposition.” ISO26262All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛BMS软硬件设计阶段的功能安全应用硬件安全需求 硬件架构指标 硬件安全设计FMEDA硬件安全指标 评估All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛内容1 BMS功能安全开发流程概览2 3BMS项目初始化及概念阶段的功能安全实践 项目初始化及概念阶段的功能安全实践 BMS系统设计阶段的功能安全应用4BMS软硬件设计阶段的功能安全应用5BMS系统测试及功能安全验证All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛BMS系统测试及功能安全验证BMS技术 安全需求 系统设计 功能安全项 目集成测试HIL testBMUBCUHardware-in-the-loop p for all Targets of BMSAll rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.Mark the Future ! |同心·共湛BMS系统测试及功能安全验证BMS技术安 全需求 系统设计 功能安全项目 集成测试HIL test1. 2. 3. 4. 5. 6 6. 7. 8. 9. 10.单体电池短路故障注入测试 温度传感器短路故障注入测试 温度传感器短路故障注入测试 模组间或内部Busbar断开故障注入 电池单体采样线短路故障注入测试 电池单体采样线断路故障注入测试 电池包内部绝缘故障注入测试 高压继电器粘连 高压继电器控制端故障 …BMS HIL BenchMark the Future ! |同心·共湛All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.BMS系统测试及功能安全验证BMS技术 安全需求 系统设计 功能安全项 目集成测试 安全验证“The safety y goals g shall be validated for the item integrated g in a representative vehicle.” ISO26262-4 指标评估1. random hardware failures 2. hardware architectural metrics实车验证1 positive tests of functions and safety 1. requirements 2. tests under boundary 3. fault injection j 4. durability tests 5. stress tests 6. highly accelerated life testing (HALT) 7 simulation of external influences 7. 8. long-term tests, such as vehicle driving schedules and captured test fleets; 9. user tests under real-life conditions, p panel or blind tests, expert panels;Mark the Future ! |同心·共湛All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.谢谢!Thank you!Mark the Future !|同心·共湛All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the eventof applications for industrial property rights.。