功能安全开发（二）概念开发

yeshuheng 2019-09-05

展开全文

功能安全开发开始于概念阶段，对应标准的part3。概念阶段所要做的工作包括item定义、产品安全生命周期的初始化、HARA分析和FSC。这里面标准的2011版和最新的2018版有所区别，在2018版里概念阶段没有产品安全生命周期初始化的规定。这是因为新版标准将产品开发各阶段（概念阶段、系统开发、硬件开发和软件开发）的产品安全开发初始化的定义，统一移到标准第二部分功能安全管理中。这样的改变，从整体上对功能安全开发的理解更加清晰，对于功能安全管理的规定也更加完整和全面。新旧版标准还有很多更改的地方，后面会专门针对两版标准的区别进行分析。新版标准只是将工作定义的位置调整，但工作内容没有变化，对概念阶段仍以2011版进行分析。

图1 新旧版标准对概念阶段的定义

概念开发的第一步是item definition。Item定义的目的是划定开发范围、描述开发对象以及其对环境和其他item的依赖和相互交互关系。以新能源车BMS开发为例，进行这一步需要明确一些前提输入，包括：

-整车动力系统架构：纯电动、混动。混动还需要明确P0-P4的具体架构

-车型信息：SUV,A00,A0等。整车动力信息，如电机持续功率、峰值功率

-车型目标市场：中国/欧洲/美国等

-电池包电池种类：三元、磷酸铁锂等

-相关法律法规

-操作和环境约束

这些信息不是功能安全要求的特殊输入，而是一个标准BMS开发所必须的车辆输入信息。这些车辆信息对BMS的item定义和开发会有直接影响，是开展概念开发的必要前提。目前国内新能源市场很多零部件厂商出于提高自身产品竞争力的考虑，其BMS开发可能不是基于某一特定OEM的具体车型，此时需要根据未来BMS产品希望覆盖的车型，对这些输入信息进行一定假设，以便进行开发。

Item definition首先确定Item的边界，在整车系统上，BMS功能安全开发只考虑边界内的各部件。而对边界外部需要定义清除与BMS交互的接口，包括准确的接口数量，接口类型和交互信息。本文分析建立在纯电动车BMS开发的基础上，BMS负责电池的管理和保护，配合VCU，DC charger，OBC完成车辆的充电管理和放电管理。

图2 BMS的item definition

Item definition之后是概念阶段的安全生命周期的初始化。这个工作就是针对定义下来的item，来分析其是一个全新的开发还是对现有项目的修改。如果是一个全新的项目，就可以直接进行HARA分析的工作了。而如果是对现有项目的修改，就涉及到安全相关活动的裁剪了。现有项目的修改，需要进行影响分析，对修改部分可能产生影响的对象：运行场景和运行模式、与环境的接口、安装特性和环境条件等。影响分析需修改项对功能安全的影响。

BMS有个特殊的地方在于，其主要是保护动力电池，并且配合动力电池，实现在车辆上的功能。单独定义BMS的功能，在接下来进行HARA分析的时候，其功能失效对应的危害比较难定义清楚，或者其功能失效与危害之间的逻辑关系不是很直接。

因此建议在这个阶段以电池系统的级别定义其在整车上的功能。这里电池系统的主要功能包括为车辆存储能量、提供动力以及保证电池工作在合适的温度范围内。在BMS工作过程中，对车辆的电池系统提供过充、过放、过温、过流保护功能，防止车辆使用过程中，对电池产生损害，影响电池寿命，甚至导致电池爆喷。同时需要定义清楚每个功能的失效模式是什么，这个是进行下一步HARA分析的输入。新能源车失火等情况，绝大部分最后都反应在电池系统的热失控上，所以电池系统的电池工作在合适的温度范围内对整车来说非常重要。对于每个功能失效模式的分析，可以通过一些关键词引导，同时可引入专家意见和头脑风暴。

表1 动力电池系统功能失效模式

Battery system Malfunctions Summary
No.	Fun001.The cell in battery system shall work in allowable temperature range
	MF001	The cell temperature is above the maximal allowable value because of battery system over current
	MF002	The cell temperature is below the minimum allowable value because of thermal management faiure

对于功能的失效模式进行HARA分析，需要结合整车运行场景、道路条件、天气环境等，分析失效可能对交通参与者（司机、行人、路上其他司机等）可能造成的最严重伤害。对于电池系统的伤害等级可以参考EUCAR的标准。

图3 EUCAR对动力电池危害严重程度分级

对危害进行风险评估主要根据三个参数：危害的严重度S,暴露率E和可控度C。对于动力电池系统功能F001对应的MF001进行HARA分析。

表2 BMS过温保护功能HARA分析

对于HARA分析后危害事件，我们可以提出相应的SafetyGoal，一般来说SG的提出可以通过防止危害事件发生的方式来定义，SG的ASIL等级是其所覆盖的危害事件中最高的ASIL 等级。这里对于MF001提出的SG是SG01：Over-temperature of cells shall be prevented，其等级为ASIL C。对应SG，需要定义其对应的安全状态SS(Safe State)，当检测到故障时，需要在规定时间（FTTI）内将系统导入安全状态。

对于SG01，其对应的故障是导致BMS OTP loss的事件，而其可能得伤害是电池或车辆起火。这里的因果关系在逻辑上不是非常直接。实际情况应该是电池发生故障导致温度超过温度限值，而同时BMS系统故障导致过温保护功能丢失，最后可能导致电池起火。所以在做BMS的概念分析时，更推荐从电池系统整体的角度做，这样能更清晰地定义其整车级别的功能和失效模式。

图4 FTTI示意图

对于SG01，定义如下：

表3 SG01的定义

SG No.	Safety Goal	ASIL	FTTI(ms)	Safe State
SG 001	Over-temperature of cells shall be prevented	ASIL C	X1	SS01:Current in HV circuit shall decrease to 0 in X2 ms

如果对于某些情况，当发生故障后，无法在FTTI的时间之内进入安全状态，需要定义降级模式。比如车辆设计中的跛行模式就是一种典型的降级模式。

对于每个SG，需要导出其对应的功能安全需求FSR。可以采用的分析方法包括FMEA和FTA。FSR需要从SG导出，同时考虑系统的初始架构，每一个SG至少需要一条FSR去对应。而每一条FSR可以同时对应多个SG，此时的FSR需要继承其中最高的ASIL等级。对于导出的FSR，需要分配给初始架构中的相应元素。

表4 SG01的FSR

SG01：Over-temperature of cells shall be prevented
FSR No.	Description	ASIL	Allocate to
FSR001	CMU shall measure the cell temperature and send it to BCM every X2 ms	C	CMU1 to CMUn
FSR002	BCM shall receive the cell temperature value from CMU and set OT fault flag if any temp value exceeds the allowable value	C	BCM
FSR003	If OT fault flag valid, SS01 shall be activated	C	BCM
FSR004	SS01:Current in HV circuit shall decrease to 0 in X2 ms	C	PDU VCU(External)