TSR-BMS-6101、TSR-BMS-6102、TSR-BMS-6103、TSR-BMS-6104、TSR-BMS-6105、TSR-BMS-6106、TSR-BMS-6107、TSR-BMS-6108、TSR-BMS-6109、TSR-BMS-6110、TSR-BMS-6111; TSR-BMS-6201; TSR-BMS-6301;
TSR-BMS-S101、TSR-BMS-S102、TSR-BMS-S103、TSR-BMS-S104、TSR-BMS-S105、TSR-BMS-S106、TSR-BMS-S107、TSR-BMS-S108、TSR-BMS-S109;TSR-BMS-S201、TSR-BMS-S202、TSR-BMS-S203、TSR-BMS-S204;TSR-BMS-S301、TSR-BMS-S302、TSR-BMS-S303、TSR-BMS-S304、TSR-BMS-S305、TSR-BMS-S306、TSR-BMS-S307、TSR-BMS-S308;TSR-BMS-S401、TSR-BMS-S402、TSR-BMS-S403;
-
-
-
- 功能组件设计描述
- CIDU(Charging signal input detection unit)
- 功能组件设计描述
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-201 | 参见OVP-201 | QM | |
HVILP-202 | 参见OVP-202 | QM |
-
-
-
-
- HVDU(High voltage signal detection unit)
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-301 | 参见OVP-301 | QM | |
HVILP-302 | 参见OVP-302 | QM | |
HVILP-303 | 参见OVP-303 | QM | |
HVILP-304 | 参见OVP-304 | QM | |
HVILP-305 | 参见OVP-305 | QM | |
HVILP-306 | 参见OVP-306 | QM | |
HVILP-307 | 参见OVP-307 | QM |
-
-
-
-
- DIDU(Discharging signal input detection unit)
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-401 | 参见OVP-401 | QM | |
HVILP-402 | 参见OVP-402 | QM |
-
-
-
-
- CMU(Cell management unit)
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-501 | 参见OVP-501 | QM | |
HVILP-502 | 参见OVP-502 | QM | |
HVILP-503 | 参见OVP-503 | QM |
-
-
-
-
- Function layer
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-601 | 参见OVP-601 | QM | |
HVILP-602 | 参见OVP-602 | QM | |
HVILP-603 | 参见OVP-603 | QM | |
HVILP-604 | 参见OVP-604 | QM | |
HVILP-605 | 参见OVP-605 | QM | |
HVILP-606 | 参见OVP-606 | QM | |
HVILP-607 | 参见OVP-607 | QM |
-
-
-
-
- Function monitoring layer
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-701 | [HVIL sampling data Mgt ] block --获取[HVIL detection]输入的高压互锁采样信息,判断信息有效性,并将有效的信号输入到[Safety Mechanisms]和[HVIL algorithm] --获取继电器状态诊断信号以及总压信号,判断信号有效性,并将有效的信号输入到[Safety Mechanisms] --获取AFE 通过ISO_SPI上传的单体电压信息以及AFE故障信息,判断信息有效性,并将有效的信号输入到[Safety Mechanisms] --获取HSD&LSD诊断信号,判断信号有效性,并将有效的信号输入到[Safety Mechanisms] | ASILA | |
HVILP-702 | [Safety Mechanisms] block --获取[HVIL algorithm]输入的电池系统高压互锁状态信息,判断是否存在高压互锁开路故障,并对探测到的故障进行处理 --获取 [HVIL sampling data Mgt ] 输入的诊断信号,判断高压互锁保护功能链路上是否存在故障,并对探测到的故障进行处理 --[Safety Mechanisms]根据故障探测的结果,输出降级指令给到[Degradation &Warning],或输出报警指令给到[Warning],或输出安全状态过渡指令给到[Open Relays] | ASILA | |
HVILP-703 | 参见OVP-703 | ASILA | |
HVILP-704 | 参见OVP-704 | ASILA | |
HVILP-705 | 参见OVP-705 | ASILA | |
HVILP-706 | [HVIL algorithm] block --获取 [HVIL detection]输入的高压互锁采样信息,通过既定的算法,计算出电池系统高压互锁状态,并将状态信息输入到[Safety Mechanisms] | ASILA |
-
-
-
-
- Computation layer
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-801 | 参见OVP-801 | ASILA |
-
-
-
-
- Disable switch
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-901 | 参见OVP-901 | ASILA |
-
-
-
-
- RDU(Relay drive unit)
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-A01 | 参见OVP-A01 | ASILA(A) | |
HVILP-A02 | 参见OVP-A01 | QM(A) |
-
-
-
-
- SBC Module
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-B01 | 参见OVP-B01 | ASILA | |
HVILP-B02 | 参见OVP-B02 | ASILA | |
HVILP-B03 | 参见OVP-B03 | ASILA |
-
-
-
-
- HVIL detection
-
-
-
ID | Function Block Description | ASIL | Ref. |
HVILP-C01 | [HVIL detection] block --SC_25所承载的功能,获取高压互锁采样电路信号,并输入到[HVIL sampling data Mgt ] | ASILA |
为防止电池系统HVIL保护功能链路上的故障失效发生,应对链路各要素制定安全机制,以探测故障、预防失效。
SM ID | ASIL | Safety Mechanism Description | FDT+FRT | Diagnostic Coverage | Ref. ISO26262-5, Annex D | Req. ID | Addressed Failure Mode |
SYS_SM_007 | ASIL C | MCU应具备核校验机制,来识别自身错误,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.3.6 | TSR-BMS-S301 | the SM of SPF |
SYS_SM_008 | ASIL C | SBC module供电输出监控模块应对不同的电源输出通道使用独立的监测通道,识别到电源输出异常状态,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.6.2 | TSR-BMS-S102 | the SM of SPF |
SYS_SM_011 | ASIL B | 系统应具备对HSD驱动输出回采功能,识别到HSD输出异常,及时进行报警 | Every Key-ON Cycle | High | D.2.9.1 | TSR-BMS-S201 | the SM of DPF |
SYS_SM_012 | ASIL B | 系统应具备HSD驱动输出回路短电源故障诊断机制,每个驾驶循环至少执行一次诊断,识别短电源故障,及时进行报警 | Every Key-ON Cycle | High | D.2.1.1 | TSR-BMS-S202 | the SM of DPF |
SYS_SM_013 | ASIL A | 系统应具备对LSD驱动输出回采功能,识别到LSD输出异常,及时进行报警 | Every Key-ON Cycle | High | D.2.9.1 | TSR-BMS-S203 | the SM of DPF |
SYS_SM_014 | ASIL A | 系统应具备LSD驱动输出回路短地故障诊断机制,每个驾驶循环至少执行一次诊断,识别短地故障,及时进行报警 | Every Key-ON Cycle | High | D.2.1.1 | TSR-BMS-S204 | the SM of DPF |
SYS_SM_015 | ASIL C | MCU应具备自身运行环境的诊断机制,以保证功能正确地执行,当识别到异常时,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | Table D.4 — Processing units | TSR-BMS-S302 | the SM of SPF |
SYS_SM_046 | ASIL A | 系统应具备HVIL采样回路断线诊断功能,识别到断线状态,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.1.1 | TSR-BMS-6104 | the SM of SPF |
SYS_SM_047 | ASIL A | 系统应对HVIL采样值进行有效性监测,识别采样回路故障状态,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.1.1 | TSR-BMS-6105 | the SM of SPF |
SYS_SM_057 | ASIL C | SBC module内部 Regulator的基准源 与 电源输出监控模块基准源 应是独立的,以保证监控模块的独立性 | / | High | TSR-BMS-S103 | the SM of SPF | |
SYS_SM_058 | ASIL A | SBC module的监控模块基准源,应能够被监控。如果基准源存在异常,应及时告警 | Every Key-ON Cycle | High | D.2.1.1 | TSR-BMS-S104 | the SM of DPF |
SYS_SM_059 | ASIL A | 每个驾驶循环应至少对SBC的看门狗功能进行一次测试,识别到异常,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S105 | the SM of DPF |
SYS_SM_060 | ASIL A | SBC module应对内部reset/interrupt信号源进行功能检查,识别到异常,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S106 | the SM of DPF |
SYS_SM_067 | ASIL C | MCU module应具备程序序列的时间和逻辑的联合监控,识别安全相关功能的故障状态,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.7.4 | TSR-BMS-S304 | the SM of SPF |
SYS_SM_069 | ASIL C | 应对MCU module与SBC module的通讯信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.5.6 and D.2.5.7 | TSR-BMS-S108 | the SM of SPF |
SYS_SM_070 | ASIL A | 对于SBC module内部能够将SS1&2( Safe State Control signals 1 and 2)置低的监控功能,每个驾驶循环应至少进行一次自测试,如果自测试结果为失败,SBC module应及时将故障信息传达给MCU module | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S107 | the SM of DPF |
SYS_SM_074 | ASIL C | 对于安全相关的标定数据存储,MCU module应具备安全校验机制,识别到数据错误,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | Table D.1 — Analysed failure modes | TSR-BMS-S308 | the SM of SPF |
SYS_SM_077 | ASIL C | 系统应对V_CAN 网络中安全相关通讯信息进行E2E保护机制,以便系统识别通讯数据异常,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | D.2.5.6 and D.2.5.7 | TSR-BMS-S403 | the SM of SPF |
SYS_SM_079 | ASIL A | MCU应对核校验机制进行测试,来识别双核锁步机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S309 | the SM of DPF |
SYS_SM_080 | ASIL A | MCU应对自身运行环境的诊断机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S310 | the SM of DPF |
SYS_SM_090 | ASIL C | 系统应该对SBC供电输入KL30进行监控,当超出安全阈值时,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | Low | D.2.6.1 | TSR-BMS-S110 | the SM of SPF |
SYS_SM_091 | ASIL C | 供电电源PIN脚KL30和KL31采用多PIN脚并联的形式输入,规避断路失效风险 | / | High | / | TSR-BMS-S111 | |
SYS_SM_092 | ASIL A | HSD输出引脚和电源引脚、LSD输出引脚和地引脚需要分布在不同的接插件上或在同一接插件不相邻的Pin脚,以防止插针短接 | / | High | / | TSR-BMS-S205 | |
SYS_SM_093 | ASIL C | MCU内部在进行安全相关的数据传输时,需要具备安全校验机制,来识别自身数据传输错误,并在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | TSR-BMS-S311 | the SM of SPF | |
SYS_SM_094 | ASIL A | MCU应对其内部数据传输安全校验机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S312 | the SM of DPF |
SYS_SM_095 | ASIL C | 芯片PFLASH应该在写和擦除操作前进行溢出检测,识别到数据溢出,在规定时间之内完成故障处理(进入安全状态) | 250ms+50ms | High | TSR-BMS-S313 | the SM of SPF | |
SYS_SM_096 | ASIL A | MCU应对其内部PFLASH溢出检测机制进行测试,来识别相应机制的正确性,每个驾驶循环至少执行一次诊断,识别到错误时,及时进行报警 | Every Key-ON Cycle | High | D.2.4.1 | TSR-BMS-S314 | the SM of DPF |
SYS_SM_097 | ASIL C | 硬件在接插件选型设计时应该考虑接插件Pin脚的材料和插拔力,确保满足功能安全相关要求 | / | High | / | TSR-BMS-S501 | |
SYS_SM_103 | ASIL A | SBC module应对安全状态输出信号进行冗余设计 | / | High | D.2.4.3 | TSR-BMS-S115 | the SM of DPF |
对于高压互锁故障(Pack_HVILFault),定义如下一种:
- Pack_HVILSafetyProtection(报警&进入安全状态):旨在防止安全相关危害事件的发生
ID | Description | ASIL | Ref. |
HVILP-101 | Pack_HVILSafetyProtection识别和处理 系统在激活状态下,当KL30电压与HVIL反馈电压比值在如下阈值范围内: --【比值阈值∈[9.63 , 11.77 ]】且持续180ms时,则确认电池系统高压连接器处于断开状态 系统应当: --应按照Emergency Power Off_2执行故障保护,参见[FL] --应按照Fault Recovery Strategy_3执行故障恢复,参见[FL] | ASILA | TSR-BMS-6103 TSR-BMS-6201 TSR-BMS-6301 |
HVILP-102 | 数据有效性识别 系统在上述故障阈值判断时,需要确保绝【高压互锁采样值】的有效性,若确认数据无效,不应参考该数据进行故障确认或故障清除,避免错误的故障识别 | ASILA | TSR-BMS-6103 |