TSR-BMS-2101、TSR-BMS-2102、TSR-BMS-2103、TSR-BMS-2104、TSR-BMS-2105、TSR-BMS-2106、TSR-BMS-2107、TSR-BMS-2108、TSR-BMS-2109、TSR-BMS-2110、TSR-BMS-2111、TSR-BMS-2112、TSR-BMS-2113、TSR-BMS-2114、TSR-BMS-2115、TSR-BMS-2116、TSR-BMS-2117、TSR-BMS-2118、TSR-BMS-2119、TSR-BMS-2120; TSR-BMS-2201; TSR-BMS-2301;TSR-BMS-2401;
TSR-BMS-S101、TSR-BMS-S102、TSR-BMS-S103、TSR-BMS-S104、TSR-BMS-S105、TSR-BMS-S106、TSR-BMS-S107、TSR-BMS-S108、FSR-BMS-S109;TSR-BMS-S201、TSR-BMS-S202、TSR-BMS-S203、TSR-BMS-S204;TSR-BMS-S301、TSR-BMS-S302、TSR-BMS-S303、TSR-BMS-S304、TSR-BMS-S305、TSR-BMS-S306、TSR-BMS-S307、TSR-BMS-S308;TSR-BMS-S401、TSR-BMS-S402、TSR-BMS-S403;
-
-
-
- 功能组件设计描述
- CIDU(Charging signal input detection unit)
- 功能组件设计描述
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-201 | 参见OVP-201 | QM | |
| UVP-202 | 参见OVP-202 | QM |
-
-
-
-
- HVDU(High voltage signal detection unit)
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-301 | 参见OVP-301 | ASILA | |
| UVP-302 | 参见OVP-302 | QM | |
| UVP-303 | 参见OVP-303 | ASILA | |
| UVP-304 | 参见OVP-304 | ASILA | |
| UVP-305 | 参见OVP-305 | QM | |
| UVP-306 | 参见OVP-306 | QM(A) | |
| UVP-307 | 参见OVP-307 | ASILA(A) |
-
-
-
-
- DIDU(Discharging signal input detection unit)
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-401 | 参见OVP-401 | QM | |
| UVP-402 | 参见OVP-402 | QM |
-
-
-
-
- CMU(Cell management unit)
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-501 | 参见OVP-501 | ASILB | |
| UVP-502 | 参见OVP-502 | QM(B) | |
| UVP-503 | 参见OVP-503 | ASILB(B) |
-
-
-
-
- Function layer
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-601 | 参见OVP-601 | QM | |
| UVP-602 | 参见OVP-602 | QM | |
| UVP-603 | 参见OVP-603 | QM | |
| UVP-604 | 参见OVP-604 | QM | |
| UVP-605 | 参见OVP-605 | QM | |
| UVP-606 | 参见OVP-606 | QM | |
| UVP-607 | 参见OVP-607 | QM |
-
-
-
-
- Function monitoring layer
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-701 | 参见OVP-701 | ASILB | |
| UVP-702 | [Safety Mechanisms] block --获取[ Data Mgt ]输入的单体电压信息,判断是否存在欠压故障,并对探测到的故障进行处理 --获取 [Data Mgt] 输入的诊断信号,判断欠压保护功能链路上是否存在故障,并对探测到的故障进行处理 --[Safety Mechanisms]根据故障探测的结果,输出降级指令给到[Degradation &Warning],或输出报警指令给到[Warning],或输出安全状态过渡指令给到[Open Relays] | ASILB | |
| UVP-703 | 参见OVP-703 | ASILB | |
| UVP-704 | 参见OVP-704 | ASILB | |
| UVP-705 | 参见OVP-705 | ASILB |
-
-
-
-
- Computation layer
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-801 | 参见OVP-801 | ASILB |
-
-
-
-
- Disable switch
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-901 | 参见OVP-901 | ASILB |
-
-
-
-
- RDU(Relay drive unit)
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-A01 | 参见OVP-A01 | ASILB(B) | |
| UVP-A02 | 参见OVP-A01 | QM(B) |
-
-
-
-
- SBC Module
-
-
-
| ID | Function Block Description | ASIL | Ref. |
| UVP-B01 | 参见OVP-B01 | ASILB | |
| UVP-B02 | 参见OVP-B02 | ASILB | |
| UVP-B03 | 参见OVP-B03 | ASILB |
为防止电池单体过放保护功能链路上的故障失效发生,应对链路各要素制定安全机制,以探测故障、预防失效。
| SM ID | ASIL | Safety Mechanism Description | FDT+FRT | Diagnostic Coverage | Ref. ISO26262-5, Annex D | Req. ID | Addressed Failure Mode |
| SYS_SM_001 | ASIL C | 系统应具备单体电压采样回路断线诊断功能,识别到断线状态,并在规定时间之内完成故障处理(进入安全状态) | 3500ms+500ms | High | D.2.1.1 | TSR-BMS-2108 | the SM of SPF |
| SYS_SM_005 | ASIL C | AFE芯片应具备内部单体电压采样模块自诊断机制,识别采样模块的异常状态,并在规定时间之内完成故障处理(进入安全状态) | 3500ms+500ms | High | D.2.3.2 | TSR-BMS-2112 | the SM of SPF |
| SYS_SM_006 | ASIL C | AFE芯片应具备单体电压采样精度自诊断机制,识别采样精度超范围的异常状态,并在规定时间之内完成故障处理(进入安全状态) | 3500ms+500ms | High | D.2.4.1 | TSR-BMS-2113 | the SM of SPF |
| SYS_SM_007 | ASIL C | MCU应具备核校验机制,来识别自身错误,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.3.6 | TSR-BMS-S301 | the SM of SPF |
| SYS_SM_008 | ASIL C | SBC module供电输出监控模块应对不同的电源输出通道使用独立的监测通道,识别到电源输出异常状态,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.6.2 | TSR-BMS-S102 | the SM of SPF |
| SYS_SM_009 | ASIL C | 应对MCU module发送给AFE module的控制信息进行E2E保护,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态) | 3500ms+500ms | High | D.2.5.6 and D.2.5.7 | TSR-BMS-2128 | the SM of SPF |
| SYS_SM_010 | ASIL C | 应对单体电压通讯信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态) | 3500ms+500ms | High | D.2.5.6 and D.2.5.7 | TSR-BMS-2115 | the SM of SPF |
| SYS_SM_011 | ASIL B | 系统应具备对HSD驱动输出回采功能,识别到HSD输出异常,及时进行报警 | Every Key-ON Cycle | High | D.2.9.1 | TSR-BMS-S201 | the SM of DPF |
| SYS_SM_012 | ASIL B | 系统应具备HSD驱动输出回路短电源故障诊断机制,每个驾驶循环至少执行一次诊断,识别短电源故障,及时进行报警 | Every Key-ON Cycle | High | D.2.1.1 | TSR-BMS-S202 | the SM of DPF |
| SYS_SM_013 | ASIL A | 系统应具备对LSD驱动输出回采功能,识别到LSD输出异常,及时进行报警 | Every Key-ON Cycle | High | D.2.9.1 | TSR-BMS-S203 | the SM of DPF |
| SYS_SM_014 | ASIL A | 系统应具备LSD驱动输出回路短地故障诊断机制,每个驾驶循环至少执行一次诊断,识别短地故障,及时进行报警 | Every Key-ON Cycle | High | D.2.1.1 | TSR-BMS-S204 | the SM of DPF |
| SYS_SM_015 | ASIL C | MCU应具备自身运行环境的诊断机制,以保证功能正确地执行,当识别到异常时,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | Table D.4 — Processing units | TSR-BMS-S302 | the SM of SPF |
| SYS_SM_057 | ASIL C | SBC module内部 Regulator的基准源 与 电源输出监控模块基准源 应是独立的,以保证监控模块的独立性 | / | High | TSR-BMS-S103 | the SM of SPF | |
| SYS_SM_058 | ASIL A |
SBC module的监控模块基准源,应能够被监控。如果基准源存在异常,应及时告警 | Every Key-ON Cycle | High | D.2.1.1 | TSR-BMS-S104 | the SM of DPF |
| SYS_SM_059 | ASIL A | 每个驾驶循环应至少对SBC的看门狗功能进行一次测试,识别到异常,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S105 | the SM of DPF |
| SYS_SM_060 | ASIL A | SBC module应对内部reset/interrupt信号源进行功能检查,识别到异常,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S106 | the SM of DPF |
| SYS_SM_064 | ASIL C | 应对AFE发送报警信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态) | 3500ms+500ms | High | D.2.5.6 and D.2.5.7 | TSR-BMS-2117 | the SM of SPF |
| SYS_SM_067 | ASIL C | MCU module应具备程序序列的时间和逻辑的联合监控,识别安全相关功能的故障状态,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.7.4 | TSR-BMS-S304 | the SM of SPF |
| SYS_SM_069 | ASIL C | 应对MCU module与SBC module的通讯信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.5.6 and D.2.5.7 | TSR-BMS-S108 | the SM of SPF |
| SYS_SM_070 | ASIL A | 对于SBC module内部能够将SS1&2( Safe State Control signals 1 and 2)置低的监控功能,每个驾驶循环应至少进行一次自测试,如果自测试结果为失败,SBC module应及时将故障信息传达给MCU module | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S107 | the SM of DPF |
| SYS_SM_073 | ASIL C |
AFE module应具备自身过温保护机制,当AFE module过温时,应关闭安全相关的监控功能,防止上报错误的数据 | 3500ms+500ms | Medium | D.2.3.2 | TSR-BMS-2119 | the SM of SPF |
| SYS_SM_074 | ASIL C | 对于安全相关的标定数据存储,MCU module应具备安全校验机制,识别到数据错误,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | Table D.1 — Analysed failure modes | TSR-BMS-S308 | the SM of SPF |
| SYS_SM_077 | ASIL C | 系统应对V_CAN 网络中安全相关通讯信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.5.6 and D.2.5.7 | TSR-BMS-S403 | the SM of SPF |
| SYS_SM_079 | ASIL A | MCU应对核校验机制进行测试,来识别双核锁步机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S309 | the SM of DPF |
| SYS_SM_080 | ASIL A | MCU应对自身运行环境的诊断机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S310 | the SM of DPF |
| SYS_SM_086 | ASIL C | AFE芯片供电线采用双线冗余 | / | High | / | TSR-BMS-2122 | |
| SYS_SM_087 | ASIL C | 对AFE芯片供电电压(单个AFE采集的总压)进行采集,当检测到异常时,在规定时间规定时间内进入安全状态 | 3500ms+500ms | Low | D.2.6.1 | TSR-BMS-2123 | the SM of SPF |
| SYS_SM_089 | ASIL C | AFE module需要增加抗外部环境干扰措施,防止芯片因外部环境干扰而异常 | / | High | / | TSR-BMS-2125 | |
| SYS_SM_090 | ASIL C | 系统应该对SBC供电输入KL30进行监控,当超出安全阈值时,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | Low | D.2.6.1 | TSR-BMS-S110 | the SM of SPF |
| SYS_SM_091 | ASIL C | 供电电源PIN脚KL30和KL31采用多PIN脚并联的形式输入,规避断路失效风险 | / | High | / | TSR-BMS-S111 | |
| SYS_SM_092 | ASIL A | HSD输出引脚和电源引脚、LSD输出引脚和地引脚需要分布在不同的接插件上或在同一接插件不相邻的Pin脚,以防止插针短接 | / | High | / | TSR-BMS-S205 | |
| SYS_SM_093 | ASIL C | MCU内部在进行安全相关的数据传输时,需要具备安全校验机制,来识别自身数据传输错误,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | TSR-BMS-S311 | the SM of SPF | |
| SYS_SM_094 | ASIL A | MCU应对其内部数据传输安全校验机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S312 | the SM of DPF |
| SYS_SM_095 | ASIL C | 芯片PFLASH应该在写和擦除操作前进行溢出检测,识别到数据溢出,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | TSR-BMS-S313 | the SM of SPF | |
| SYS_SM_096 | ASIL A | MCU应对其内部PFLASH溢出检测机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S314 | the SM of DPF |
| SYS_SM_097 | ASIL C | 硬件在接插件选型设计时应该考虑接插件Pin脚的材料和插拔力,确保满足功能安全相关要求 | / | High | / | TSR-BMS-S501 | |
| SYS_SM_102 | ASIL A | 系统应具备单体电压采样回路断线诊断功能进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-2126 | the SM of DPF |
| SYS_SM_103 | ASIL A | SBC module应对安全状态输出信号进行冗余设计 | / | High | D.2.4.3 | TSR-BMS-S115 | the SM of DPF |
对于过放故障(BMS_CellUVFault),定义如下三种:
- Cell_UnderVoltDegradation(报警&功能降级):旨在降低过放危害事件发生概率
- Cell_UnderVoltProtection(报警&请求放电功能禁用):旨在防止过放危害事件发生
- Cell_UnderVoltSafetyProtection(报警&进入安全状态):旨在防止安全相关危害事件的发生
| ID | Description | ASIL | Ref. |
| UVP-101 | Cell_UnderVoltDegradation识别和处理 系统在激活状态下,当电池系统最高单体电芯电压: --【1)≤2.005V @ -30℃≤温度<-20℃ 2)≤2.405V @ -20℃≤温度< 0℃ 3)≤2.705V@ 温度≥0℃】且持续3s时 系统应当: --应按照Degrade Power_1 执行故障保护,参见[FL] --应按照Fault Recovery Strategy_1执行故障恢复,参见[FL] | QM | TSR-BMS-2401 |
| UVP-102 | Cell_UnderVoltProtection识别和处理 系统在激活状态下,当电池系统最高单体电芯电压: --【1)≤1.805V @ -30℃≤温度<-20℃ 2)≤2.205V @ -20℃≤温度< 0℃ 3)≤2.505V@ 温度≥0℃】且持续3s时 系统应当: --应按照Normal Power Off_1 执行故障保护,参见[FL] --应按照Fault Recovery Strategy_2执行故障恢复,参见[FL] | QM | TSR-BMS-2401 |
| UVP-103 | Cell_UnderVoltSafetyProtection识别和处理 系统在激活状态下,当电池系统最高单体电芯电压: --【1)≤1.605V @ -30℃≤温度<-20℃ 2)≤2.005V @ -20℃≤温度< 0℃ 3)≤2.305V@ 温度≥0℃】且持续3s时 系统应当: --应按照Emergency Power Off_1执行故障保护,参见[FL] --应按照Fault Recovery Strategy_3执行故障恢复,参见[FL] | ASILB | TSR-BMS-2106 TSR-BMS-2201 TSR-BMS-2301 |
| UVP-104 | Pack_UnderVoltage识别和处理 系统在激活状态下,当电池系统总电压: --【Vpack小于等于如下阈值, [-30 ,-25 ,-20 ,-10,0,10,25,45]℃ ([2.1000 ,2.1000, 2.1000,2.1000, 2.8000, 2.8000,2.8000, 2.8000] +0.025 V)*112,且持续2s】时 系统应当: --应按照Degrade Power_1 执行故障保护,参见[FL] --应按照Fault Recovery Strategy_1执行故障恢复,参见[FL] | QM | TSR-BMS-2401 |
| UVP-105 | 数据有效性识别 系统在上述故障阈值判断时,需要确保所判断的电压值的有效性,若确认数据无效,不应参考该数据进行故障确认或故障清除,避免错误的故障识别 | ASILB | TSR-BMS-2106 TSR-BMS-2401 |
