ID

Function Block Description

ASIL

Ref.

OVP-B01

[Error Monitoring] block

--SC_1所承载的功能，负责向MCU module提供电源供给，电源输出的控制指令由MCU module通过SPI通讯的方式输入到SBC module；

ASILC

OVP-B02

[SBC Module] block_监控功能

--SC_1所承载的功能，提供看门狗来监控MCU module的异常运行；

--SC-1所承载的功能，提供MCU module的故障反馈（硬线告警信号：error signal）监控；

--SC_1所承载的功能，具备自身故障监控，探测安全相关的故障；

ASILC

OVP-B03

[SBC Module] block_故障处理功能

--SC_1所承载的功能， 当监控到MCU module的安全相关故障时，将会根据故障种类的不同，而输出reset signal / interrupt signal给到MCU module， 或输出SS1&2给到[Disable switch]来实现对继电器驱动的控制；

--SC_1所承载的功能， 当监控到自身的安全相关故障时，将会根据故障种类的不同，而输出reset signal / interrupt signal给到MCU module， 或输出SS1&2给到[Disable switch]来实现对继电器驱动的控制；

ASILC

ID

Function Block Description

ASIL

Ref.

SST-101

[Function Monitoring] block

--对SBC module自身功能的异常监控，并将故障信息实时反馈到[Safe State Control]；

ASILC

SST-102

[Error Monitoring] block

--对MCU module输出的硬线告警信号（error signal）进行实时监控；

--对MCU module输出的SPI告警信号（SPI通讯信号）进行实时监控；

ASILC

SST-103

[Safe State Control] block

--实时获取[Function Monitoring]、[Error Monitoring]和[Watchdog]的故障监控信息，根据故障种类的不同，输出控制指令到[SS1&2 Generator]或[Interrupt /Reset Generator]；

ASILC

SST-104

[SS1&2 Generator]block

--根据[Safe State Control]输出的控制指令，来执行SS1&2 硬线信号输出（“高/低”）；

--SS1&2信号将输入到[Disable switch]；

ASILC

SST-105

[Interrupt /Reset Generator] block

--根据[Safe State Control]输出的控制指令，来执行Interrupt /Reset硬线信号输出；

--Interrupt 信号将输入到MCU module，来指示中断事件的发生；

--Reset信号将输入到MCU module，来对MCU module执行复位动作；

ASILC

SST-106

[Watchdog]block

--对MCU module输出的喂狗信号（trigger）进行实时监控；

ASILC

ID

Function Block Description

ASIL

Ref.

SST-201

[Monitoring module] block

--对MCU module自身进行实时监控，并及时将异常反馈到[Safe State Control]；

--配合“L2:Function Monitoring layer”执行程序流监控；

ASILC

SST-202

[Safe State Control] block

--实时获取[Monitoring module]的故障监控信息，根据故障结果，输出error signal（可通过Error pin/SPI的方式输出）到SBC module中的[Error Monitoring]；

ASILC

SST-203

[Open Relays protection] block

--根据“L2:Function Monitoring layer”各个功能监控模块的故障探测结果，执行系统安全状态的过渡；这将通过[Open Relays protection]输出驱动模块使能信号到[HSD module]和[LSD module]来实现；

注：该功能模块可分解为[Open Relays] 和[Arbitration Mechanism] ，参见OVP-704和OVP-705

ASILC

SST-204

[HSD&LSD diagnosis]block

--通过实时获取[HSD module]和[LSD module]诊断电路采集信号，来对驱动模块进行故障诊断，并将诊断结果输入到[Open Relays protection]，以便[Open Relays protection]执行安全状态过渡；

ASILC

ID

Function Block Description

ASIL

Ref.

SST-301

[Disable switch] block

-- 参见OVP-901

ASILC

ID

Description

ASIL

Ref.

SST-001

安全状态进入

1. 本系统的安全状态指：系统将HSD和LSD禁止输出的状态
2. HSD和LSD禁止输出的状态可通过MCU module输出禁能信号来实现
3. HSD和LSD禁止输出的状态也可通过SBC module输出禁能信号来实现

ASIL C

TSR-BMS-S602

TSR-BMS-S603

TSR-BMS-S604

TSR-BMS-S605

SST-002

MCU module输出禁能信号

1. 系统在激活状态下，当系统探测到直接导致功能安全目标被违背的故障时，且MCU Module无故障的情况下，应由MCU Module输出控制信号使能HSD Module和LSD Module关断，将系统带入安全状态；

ASIL C

TSR-BMS-S607

SST003

SBC module输出禁能信号

1. 系统在激活状态下，当系统探测到直接导致功能安全目标被违背的故障时，且MCU Module存在永久性故障的情况下，应由MCU Module应通过Error pin/SPI输出故障信号反馈到SBC Module，之后SBC Module输出控制信号使能（SS1&2）HSD Module和LSD Module关断，将系统带入安全状态；
2. MCU module自身的故障应能够通过Error pin/SPI反馈到SBC Module，对于Error pin/SPI应参考芯片安全手册来设计，保证故障反馈的可靠性。

ASIL C

TSR-BMS-S608

SST-004

安全状态过渡执行器的故障诊断

1. 系统通过MCU module对安全状态过渡执行器（HSD module）进行故障探测，防止故障潜伏，故障探测机制详见本文“5.8.3.1继电器驱动诊断”

ASIL B

TSR-BMS-S201

TSR-BMS-S202

SST-005

安全状态过渡执行器的故障诊断

1. 系统通过MCU module对安全状态过渡执行器（LSD module）进行故障探测，防止故障潜伏，故障探测机制详见本文“5.8.3.1继电器驱动诊断”

ASIL A

TSR-BMS-S203

TSR-BMS-S204

ID

Description

ASIL

Ref.

CP-001

AFE module与MCU module之间的通讯保护

1. 系统应对AFE module与MCU module之间安全信息传输进行保护

ASIL C

TSR-BMS-1114、TSR-BMS-1115、TSR-BMS-1116、TSR-BMS-1117、TSR-BMS-1127、TSR-BMS-1128、TSR-BMS-2114、TSR-BMS-2115、TSR-BMS-2116、TSR-BMS-2117、TSR-BMS-2127、TSR-BMS-2128、TSR-BMS-3114、TSR-BMS-3115、TSR-BMS-3116、TSR-BMS-3117、TSR-BMS-3126、TSR-BMS-3127

CP-002

Digital hall sensor与MCU module之间的通讯保护

1. 系统应对Digital hall sensor与MCU module之间安全信息传输进行保护

ASIL B

TSR-BMS-4119、TSR-BMS-4120

CP-003

HV_μC module与MCU module之间的通讯保护

1. 系统应对HV_μC module与MCU module之间安全信息传输进行保护

ASIL A

TSR-BMS-5111、TSR-BMS-5112、TSR-BMS-5118、TSR-BMS-5119

CP-004

VCU与MCU module之间的通讯保护

1. 系统应对VCU与MCU module之间安全信息传输进行保护

ASIL C

TSR-BMS-S402

TSR-BMS-S403