BMS功能安全开发流程(三):ASIL等级
2017-11-20
a. ASIL等级
在第二篇中《BMS功能安全开发流程(二):ASIL等级》,进行了概念阶段的ite definition分析,item definition应当尽可能将系统的接口描述清楚。比如电池系统电压分类,高压线路的功率能力,CAN通信协议和其他信号的说明,信号电压电流范围,正常值等。
Item definition,不仅需要将系统的功能描述清楚,同时也要将item的失效模式描述清楚,这样才能清楚知道tiem应该是怎么样,而不应该出现某些哪些表现形式。在ISO26262-3中,Hazrad可以通过,brainstorm或者DFMEA等方法来确认,从整车级别分析这些危害会对车辆或者乘客造成的影响。这个阶段的DFMEA我们可以不用考虑造成这些危害的可能原因有哪些,在后面的DFEMA工作中可以具体来分析造成这些hardzard的可能原因。
在第二篇的中的item defintion中,分析了过一个A00级别汽车的电池包。如下图。
下表是根据上图HARA(Hazard Analysis and Risk Assessment)得到的。定义了93个功能和136个malfunction.
在该文章中选取了6个路况,subterranean garage, small streets, middle streets, large streets, highway and motorway,同时选取了23个常见的驾驶工况,常见的天气情况对场景的影响,后得到了3128个可能性较大的危害事件。3128还是个非常大的数字,如果一条一条的分析,是个巨大的工作。文章中提高,他们团队有来不自不同部门的经验丰富的工程师有整车部门,电芯部门,pack部门,EE等,后团队从这3128危害事件中选择了142个进行进一步分析。
下表是电池系统几个function与malfunction:
在定义好了malfunction后,就可以根据Risk definiton中的三个参数S(Severity),E( Exposure), C(Controllability)来确定危害的ASIL 等级了。下表是一个简单的电芯过放的HARA分析。在这个表格里面,在城市道路上发生电芯热失控导致车辆起火,定的ASIL Level是C;车辆在速度比较低的时候,定的ASIL Level是A。
下表是另外一个文章中过放的HRAR分析:
这两个表格中参数C(Controllability)很大程度上取决于驾驶员将车辆停靠在安全位置的速度,车速越快,车速越快驾驶员需要更多的时间找一个安全位置将电芯热失控的车辆安置好。这两个表格中第二行S/E/C的值都是一样,而ASIL LEVEL却不一样,纳尼???
有个很简单的公式来确定确定ASIL LEVEL。如果S+E+C的值小于7,那么ASIL LEVEL是A,详细如下表。所以第二个表格中的ASIL LEVEL应该C,文章的小瑕疵。
下表是一篇文章对一个高压电池包HARA分析后给出的Safety Goal.同上面两个对比,不同的公司或组织对相同的Malfunction给出的ASIL LEVEL是不同的,上面两个表格对过充的ASIL LEVEL是C,下表为D。
由Saftey Goal衍生出的安全目标应该考虑一下内容
· 运行模式
· 故障容错时间区间(间隔);或故障容错时间
· 安全状态
· 紧急操作时间区间
· 功能冗余(例如故障容错)
应为每一个安全目标定义至少一项功能安全要求,尽管一个功能安全要求能够cover不止一条安全目标,每一条FSR从相关SG继承高的ASIL。然后将FSR分配给相关项。比如下表中的SG1定义了两个FSR。
在ISO26262-9中定义了ASIL分解,为了降低安全目标实施成本,可以将一个高ASIL安全目标分解成两个相互独立的低一级安全目标。拿文中的SG1-预防过放作为一个例子,在这里我们假设负载只有驱动电机,可以通过将SG1分解成两个独立的FSR。FSR1.2a:在x ms内断开高压回路,FSR1.2a:通过CAN报文请求负载将需求功率降低为0。
下一篇: BMS功能安全开发流程(四):技术安全要求导出