3.BMS功能安全-汽车电子咖啡厅

新能源汽车电池管理系统开发中功能安全
流程的应用实践
CTO 袁永军
同湛科技
公司介绍
上海同湛新能源科技有限公司成立时间:2014年3月中国新能源汽车电子专业解决方案供应商上海同湛新能源科技有限公司:
注册地:上海嘉定
公司格言: Mark the Future！同心,共湛
公司核心成员在新能源汽车电子领域有超过7年的行业经验，进入同湛前均担任多家
企高管核成员具有同济大学汽车学新能汽车方向的学究背景BMS企业高管。

核心成员具有同济大学汽车学院新能源汽车方向的学习及研究背景,并仍然保持着与同济大学在新能源汽车核心部件VCU、BMS等方面的研发及测试互动。

公司的定位
测试系统及软件
开发咨询
BMS 系统开发
TestZealot 自动测试软件
主要客户
内容
1
BMS功能安全开发流程概览
2项目初始化及概念阶段的功能安全实践
BMS项目初始化及概念阶段的功能安全实践3
BMS系统设计阶段的功能安全应用
4
BMS软硬件设计阶段的功能安全应用
5
BMS测试及功能安全验证
BMS功能安全开发流程概览
BMS功能安全开发流程概览
功能安全过程
系统需求分析系统测试
•概念阶段•项目定义•安全计划
技术安全需ASPICE3.0 过程
SYS.2
SYS.5
ASPICE ENG
统需分析
系统架构设计
系统集成测试
•安全目标ASPICE
Man.3
求
系统设计
安全确认
功能安全集成测试
SYS.3
SWE 1SWE 6SYS.4
软件需求分析
软件架构软件集成测试
软件测试
•功能安全概念
软件安全
相关需求
软件安全安全相关软安全相关软
件确认SWE.1
SWE.2
SWE.5
SWE.6
硬件安全相关需求
硬件安全相关集成
硬件安全指标评估
设计
相关设计
安全相关单元测试
件集成测试
SWE.3
SWE.4
软件单元设计
安全相关单元设计
软件单元测试
硬件评估
硬件需求
测试
硬件安全硬件集成测试
硬件设计相关设计
内容
1
BMS功能安全开发流程概览
2概念阶段的功能安全实践
BMS概念阶段的功能安全实践
3
BMS系统设计阶段的功能安全应用4
BMS软硬件设计阶段的功能安全应用5
BMS测试及功能安全验证
项目定义:
workproduct
BMS项目定义及安全生命周期初始化
想要做什么？——项目目标、产品的功能需求我们用在哪？——环境条件的需求要遵守什么法律法规要求
•Safety plan
BMS It d fi iti d 需要遵守什么？——法律法规要求我们可以预知到什么？——已知的安全需求产品由哪些部分组成？——组成产品的各个部件•BMS Item definition.doc •BMS Initial Architecture 谁对产品有影响？——其他系统对产品的要求部件、系统之间如何连接？——接口
•HAZOP
*一个系统项目（Item):
This definition serves to provide sufficient information about the item to the persons who conduct the 个系统*或系统组合*或一个功能
来实施ISO26262。

subsequent subphases: ”Initialization of safety
lifecylce”, “hazard analysis and risk assessment” and “functional safety concept”. –ISO26262.3
BMS 项目概念阶段
HAZOP table
BMS 项目定义
HAZOP 分析
定义
分析功能失效及定义BMS 的主体功能
偏差可能性（Malfucntion Behavior ）
HAZOP ：Hazard and
Operability Studies Operability Studies 是英国帝国
化学工业公司（ICI ）Time Sequence:Early Late; Before After
AS WELL AS
LESS 于20世纪60年代发展起来的以引导词为核心的MORE NO OR NOT OTHER THAN 系统危险分析方法
OTHER THAN PART OF REVERSE
BMS 项目定
BMS 项目概念阶段
义
HAZOP 分析
HARA 分析
安全目标确定
根据整车场景分析对S E C 逐条分析SEC情分析，对S E C 值进行评估，并设计Safe State
况，整理得出Safety goal
Safety Goal
G010: 须防控电芯过温故障无保护或不及
时，防止电芯热失控
Safe State:
发送准确的放电功率信息;过温监控功能异常时向仪表发出警告信息，derate功率输出最终切断高压输入输出电池包, 禁止电池
包加热功能开启
内容
1
BMS功能安全开发流程概览
2概念阶段的功能安全实践
BMS概念阶段的功能安全实践
3
BMS系统设计阶段的功能安全应用4
BMS软硬件设计阶段的功能安全应用5
BMS测试及功能安全验证
BMS系统设计阶段的功能安全应用
功能安全过程
系统需求分析系统测试
•概念阶段•项目定义•安全计划
技术安全需ASPICE3.0 过程
SYS.2
SYS.5
ASPICE ENG
统需分析
系统架构设计
系统集成测试
•安全目标ASPICE
Man.3
求
系统设计
安全确认
功能安全集成测试
SYS.3
SWE 1SWE 6SYS.4
软件需求分析
软件架构软件集成测试
软件测试
•功能安全概念
软件安全
相关需求
软件安全安全相关软安全相关软
件确认SWE.1
SWE.2
SWE.5
SWE.6
硬件安全相关需求
硬件安全相关集成
硬件安全指标评估
设计
相关设计
安全相关单元测试
件集成测试
SWE.3
SWE.4
软件单元设计
安全相关单元设计
软件单元测试
硬件评估
硬件需求
测试
硬件安全硬件集成测试
硬件设计相关设计
BMS 系统设计阶段的功能安全应用
系统定性FTA
系统FMEA分析
HARA从风险角度出发建立技术安全需求，FMEA从设计角度出发判别风险，是一个查漏补缺过程。

由于FMEA 和FTA的分析要基于系统架构因此在系统阶段最后进行上述分析可以弥补概念设计阶段的可能漏洞和FTA的分析要基于系统架构，因此，在系统阶段最后进行上述分析，可以弥补概念设计阶段的可能漏洞。

BMS 技术安全需
求
系统设计
Safety Goal
SYS.2 System Requirements document SYS.3 System Architecture document
FSR1FSRn
……TSR1
BMS
Decomposition TSRn
Merge 技术安
全需求
TSRn
TSRn+1
p
SYS.3
需求
BMS 技术安全
需求
系统设计
SYS.2 System Requirements SYS.3 System
ISO 26262：BMS Safety Analysis HSI Hardware HSI
Requirement 1（Software ）
TSR 1 ASILB
document
Architecture document Analysis_HSI （Hardware Software Interface ）
ASILB
TSR 2ASIL A （C ）
Microsoft Office Excel 工作表
……
Requirement 2（Hardware ）
ASILC
TSR 3ASIL A （C ）TSR 4ASIL ASIL C
Mapping
M-N
内容
1
BMS功能安全开发流程概览
2项目初始化及概念阶段的功能安全实践
BMS项目初始化及概念阶段的功能安全实践3
BMS系统设计阶段的功能安全应用
4
BMS软硬件设计阶段的功能安全应用
5
BMS测试及功能安全验证
功能安全过程
系统需求分析系统测试
•概念阶段•项目定义•安全计划
技术安全需ASPICE3.0 过程
SYS.2
SYS.5
ASPICE ENG
统需分析
系统架构设计
系统集成测试
•安全目标ASPICE
Man.3
求
系统设计
安全确认
功能安全集成测试
SYS.3
SWE 1SWE 6SYS.4
软件需求分析
软件架构软件集成测试
软件测试
•功能安全概念
软件安全
相关需求
软件安全安全相关软安全相关软
件确认SWE.1
SWE.2
SWE.5
SWE.6
硬件安全相关需求
硬件安全相关集成
硬件安全指标评估
设计
相关设计
安全相关单元测试
件集成测试
SWE.3
SWE.4
软件单元设计
安全相关单元设计
软件单元测试
硬件评估
硬件需求
测试
硬件安全硬件集成测试
硬件设计相关设计
软件安全
需求软件架构
设计
软件单元
设计
软件安全需求
软件架
构设计
软件单元设计
软件单元测试
Structural coverage metrics at the software unit level
SOC
软件安全需求
软件架
构设计
软件单元设计
软件单元测试
Methods for software unit testing
SOC
TestZealot
BMS软硬件设计阶段的功能安全应用
软件安 全需求 软件架 构设计 软件单 元设计 软件单 元测试 软件集 成测试
TestZealot
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


BMS软硬件设计阶段的功能安全应用
软件安全 需求 软件架构 设计 软件单元 设计 软件单元 测试 软件集成 测试 软件安全 需求确认
“The testing of the implementation of the software safety requirements shall be executed on the target hardware.”-----ISO26262-6
Hardware-in-the-loop for single g target g
BCU
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


BMS软硬件设计阶段的功能安全应用
软件安全 需求 软件架构 设计 软件单元 设计 软件单元 测试 软件集成 测试 软件安全 需求确认
“The testing of the implementation of the software safety requirements shall be executed on the target hardware.”-----ISO26262-6 Cell Simulator Hardware-in-the-loop for single target
项目 电芯 电压 电流 模拟 电压模拟通道数 温度模拟通道数 电压模拟输出范围 电压通道电流范围 电压设定精度 电芯 温度 模拟 电阻可调范围 电阻设定精度 （0~250k） 电阻设定精度 （250k~2M）
指标 24 8 0~5V -1 A ~ 1A； ≤ 1 mV； 0~2MOhm ±50Ω 0.02%±50 Ω
BMU
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


BMS软硬件设计阶段的功能安全应用
软件安全 需求 软件架构 设计 软件单元 设计 软件单元 测试 软件集成 测试 软件安全 需求确认
Bus bar Open FIU
Safety cases
Channel temperature
Temp sensor open FIU
Channel Voltage
Temp sensor short FIU
Cell Short circuit FIU
Cell Voltage Sampling wire open FIU
Channel Voltage
Channel Voltage
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


BMS软硬件设计阶段的功能安全应用
硬件安全需 求 硬件安全设 计 硬件安全指 标评估
硬件量化要求
架构指 标 SPFM LFM
ASIL B ≥90% ≥60% C ≥97% ≥80% D ≥99% ≥90%
硬件架构 指标 与
与
ASIL
随机硬件失 效率指标 或
B
<10e-7/h
C
<10e-7/h
D
<10-8/h
随机硬 件失效 目标值
SPFM:单点故障指标 LFM:潜在多点故障指标
SPFM 目标值 LFM 目标值 概率指标 目标值 失效率等级 1-3目标值
“The The requirements on the evaluation of the hardware architectural metrics and the evaluation of safety goal violations due to random hardware failures shall remain unchanged by ASIL decomposition.” ISO26262
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


BMS软硬件设计阶段的功能安全应用
硬件安全需求 硬件架构指标 硬件安全设计
FMEDA
硬件安全指标 评估
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


内容
1 BMS功能安全开发流程概览
2 3
BMS项目初始化及概念阶段的功能安全实践 项目初始化及概念阶段的功能安全实践 BMS系统设计阶段的功能安全应用
4
BMS软硬件设计阶段的功能安全应用
5
BMS系统测试及功能安全验证
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


BMS系统测试及功能安全验证
BMS技术 安全需求 系统设计 功能安全项 目集成测试
HIL test
BMU
BCU
Hardware-in-the-loop p for all Targets of BMS
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.
Mark the Future ! |同心·共湛


BMS系统测试及功能安全验证
BMS技术安 全需求 系统设计 功能安全项目 集成测试
HIL test
1. 2. 3. 4. 5. 6 6. 7. 8. 9. 10.
单体电池短路故障注入测试 温度传感器短路故障注入测试 温度传感器短路故障注入测试 模组间或内部Busbar断开故障注入 电池单体采样线短路故障注入测试 电池单体采样线断路故障注入测试 电池包内部绝缘故障注入测试 高压继电器粘连 高压继电器控制端故障 …
BMS HIL Bench
Mark the Future ! |同心·共湛
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.


BMS系统测试及功能安全验证
BMS技术 安全需求 系统设计 功能安全项 目集成测试 安全验证
“The safety y goals g shall be validated for the item integrated g in a representative vehicle.” ISO26262-4 指标评估
1. random hardware failures 2. hardware architectural metrics
实车验证
1 positive tests of functions and safety 1. requirements 2. tests under boundary 3. fault injection j 4. durability tests 5. stress tests 6. highly accelerated life testing (HALT) 7 simulation of external influences 7. 8. long-term tests, such as vehicle driving schedules and captured test fleets; 9. user tests under real-life conditions, p panel or blind tests, expert panels;
Mark the Future ! |同心·共湛
All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event of applications for industrial property rights.


谢谢！
Thank you!
Mark the Future !|同心·共湛All rights reserved, also regarding any disposal, exploitation, reproduction, editing, distribution, as well as in the event
of applications for industrial property rights.。