【AUTOSAR】BMS开发实际项目讲解（二十三）----电池管理系统高压互锁保护

1. 高压互锁保护
  1. 关联的系统需求

TSR-BMS-6101、TSR-BMS-6102、TSR-BMS-6103、TSR-BMS-6104、TSR-BMS-6105、TSR-BMS-6106、TSR-BMS-6107、TSR-BMS-6108、TSR-BMS-6109、TSR-BMS-6110、TSR-BMS-6111; TSR-BMS-6201; TSR-BMS-6301;

TSR-BMS-S101、TSR-BMS-S102、TSR-BMS-S103、TSR-BMS-S104、TSR-BMS-S105、TSR-BMS-S106、TSR-BMS-S107、TSR-BMS-S108、TSR-BMS-S109；TSR-BMS-S201、TSR-BMS-S202、TSR-BMS-S203、TSR-BMS-S204；TSR-BMS-S301、TSR-BMS-S302、TSR-BMS-S303、TSR-BMS-S304、TSR-BMS-S305、TSR-BMS-S306、TSR-BMS-S307、TSR-BMS-S308；TSR-BMS-S401、TSR-BMS-S402、TSR-BMS-S403；

1. 1. TSC功能框图

1. 1. 1. 功能组件设计描述
      1. CIDU(Charging signal input detection unit)

ID	Function Block Description	ASIL	Ref.
HVILP-201	参见OVP-201	QM
HVILP-202	参见OVP-202	QM

1. 1. 1. 1. HVDU(High voltage signal detection unit)

ID	Function Block Description	ASIL	Ref.
HVILP-301	参见OVP-301	QM
HVILP-302	参见OVP-302	QM
HVILP-303	参见OVP-303	QM
HVILP-304	参见OVP-304	QM
HVILP-305	参见OVP-305	QM
HVILP-306	参见OVP-306	QM
HVILP-307	参见OVP-307	QM

1. 1. 1. 1. DIDU(Discharging signal input detection unit)

ID	Function Block Description	ASIL	Ref.
HVILP-401	参见OVP-401	QM
HVILP-402	参见OVP-402	QM

1. 1. 1. 1. CMU(Cell management unit)

ID	Function Block Description	ASIL	Ref.
HVILP-501	参见OVP-501	QM
HVILP-502	参见OVP-502	QM
HVILP-503	参见OVP-503	QM

1. 1. 1. 1. Function layer

ID	Function Block Description	ASIL	Ref.
HVILP-601	参见OVP-601	QM
HVILP-602	参见OVP-602	QM
HVILP-603	参见OVP-603	QM
HVILP-604	参见OVP-604	QM
HVILP-605	参见OVP-605	QM
HVILP-606	参见OVP-606	QM
HVILP-607	参见OVP-607	QM

1. 1. 1. 1. Function monitoring layer

ID	Function Block Description	ASIL	Ref.
HVILP-701	[HVIL sampling data Mgt ] block --获取[HVIL detection]输入的高压互锁采样信息，判断信息有效性，并将有效的信号输入到[Safety Mechanisms]和[HVIL algorithm] --获取继电器状态诊断信号以及总压信号，判断信号有效性，并将有效的信号输入到[Safety Mechanisms] --获取AFE 通过ISO_SPI上传的单体电压信息以及AFE故障信息，判断信息有效性，并将有效的信号输入到[Safety Mechanisms] --获取HSD&LSD诊断信号，判断信号有效性，并将有效的信号输入到[Safety Mechanisms]	ASILA
HVILP-702	[Safety Mechanisms] block --获取[HVIL algorithm]输入的电池系统高压互锁状态信息，判断是否存在高压互锁开路故障，并对探测到的故障进行处理 --获取 [HVIL sampling data Mgt ] 输入的诊断信号，判断高压互锁保护功能链路上是否存在故障，并对探测到的故障进行处理 --[Safety Mechanisms]根据故障探测的结果，输出降级指令给到[Degradation &Warning]，或输出报警指令给到[Warning]，或输出安全状态过渡指令给到[Open Relays]	ASILA
HVILP-703	参见OVP-703	ASILA
HVILP-704	参见OVP-704	ASILA
HVILP-705	参见OVP-705	ASILA
HVILP-706	[HVIL algorithm] block --获取 [HVIL detection]输入的高压互锁采样信息，通过既定的算法，计算出电池系统高压互锁状态，并将状态信息输入到[Safety Mechanisms]	ASILA

1. 1. 1. 1. Computation layer

ID	Function Block Description	ASIL	Ref.
HVILP-801	参见OVP-801	ASILA

1. 1. 1. 1. Disable switch

ID	Function Block Description	ASIL	Ref.
HVILP-901	参见OVP-901	ASILA

1. 1. 1. 1. RDU(Relay drive unit)

ID	Function Block Description	ASIL	Ref.
HVILP-A01	参见OVP-A01	ASILA（A）
HVILP-A02	参见OVP-A01	QM（A）

1. 1. 1. 1. SBC Module

ID	Function Block Description	ASIL	Ref.
HVILP-B01	参见OVP-B01	ASILA
HVILP-B02	参见OVP-B02	ASILA
HVILP-B03	参见OVP-B03	ASILA

1. 1. 1. 1. HVIL detection

Function Block Description

ASIL

Ref.

HVILP-C01

[HVIL detection] block

--SC_25所承载的功能，获取高压互锁采样电路信号，并输入到[HVIL sampling data Mgt ]

ASILA

1. 1. 安全机制描述/ Description of the used safety mechanism

为防止电池系统HVIL保护功能链路上的故障失效发生，应对链路各要素制定安全机制，以探测故障、预防失效。

SM ID	ASIL	Safety Mechanism Description	FDT+FRT	Diagnostic Coverage	Ref. ISO26262-5, Annex D	Req. ID	Addressed Failure Mode
SYS_SM_007	ASIL C	MCU应具备核校验机制，来识别自身错误，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.3.6	TSR-BMS-S301	the SM of SPF
SYS_SM_008	ASIL C	SBC module供电输出监控模块应对不同的电源输出通道使用独立的监测通道，识别到电源输出异常状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.6.2	TSR-BMS-S102 TSR-BMS-S112	the SM of SPF
SYS_SM_011	ASIL B	系统应具备对HSD驱动输出回采功能，识别到HSD输出异常，及时进行报警	Every Key-ON Cycle	High	D.2.9.1	TSR-BMS-S201	the SM of DPF
SYS_SM_012	ASIL B	系统应具备HSD驱动输出回路短电源故障诊断机制，每个驾驶循环至少执行一次诊断，识别短电源故障，及时进行报警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S202	the SM of DPF
SYS_SM_013	ASIL A	系统应具备对LSD驱动输出回采功能，识别到LSD输出异常，及时进行报警	Every Key-ON Cycle	High	D.2.9.1	TSR-BMS-S203	the SM of DPF
SYS_SM_014	ASIL A	系统应具备LSD驱动输出回路短地故障诊断机制，每个驾驶循环至少执行一次诊断，识别短地故障，及时进行报警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S204	the SM of DPF
SYS_SM_015	ASIL C	MCU应具备自身运行环境的诊断机制，以保证功能正确地执行，当识别到异常时，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	Table D.4 — Processing units	TSR-BMS-S302	the SM of SPF
SYS_SM_046	ASIL A	系统应具备HVIL采样回路断线诊断功能，识别到断线状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.1.1	TSR-BMS-6104	the SM of SPF
SYS_SM_047	ASIL A	系统应对HVIL采样值进行有效性监测，识别采样回路故障状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.1.1	TSR-BMS-6105	the SM of SPF
SYS_SM_057	ASIL C	SBC module内部 Regulator的基准源与电源输出监控模块基准源应是独立的，以保证监控模块的独立性	/	High		TSR-BMS-S103	the SM of SPF
SYS_SM_058	ASIL A	SBC module的监控模块基准源，应能够被监控。如果基准源存在异常，应及时告警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S104	the SM of DPF
SYS_SM_059	ASIL A	每个驾驶循环应至少对SBC的看门狗功能进行一次测试，识别到异常，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S105	the SM of DPF
SYS_SM_060	ASIL A	SBC module应对内部reset/interrupt信号源进行功能检查，识别到异常，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S106	the SM of DPF
SYS_SM_067	ASIL C	MCU module应具备程序序列的时间和逻辑的联合监控，识别安全相关功能的故障状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.7.4	TSR-BMS-S304	the SM of SPF
SYS_SM_069	ASIL C	应对MCU module与SBC module的通讯信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-S108 TSR-BMS-S306	the SM of SPF
SYS_SM_070	ASIL A	对于SBC module内部能够将SS1&2（ Safe State Control signals 1 and 2）置低的监控功能，每个驾驶循环应至少进行一次自测试，如果自测试结果为失败，SBC module应及时将故障信息传达给MCU module	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S107	the SM of DPF
SYS_SM_074	ASIL C	对于安全相关的标定数据存储，MCU module应具备安全校验机制，识别到数据错误，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	Table D.1 — Analysed failure modes （Ref. ISO26262-11, 5.1.13.1）	TSR-BMS-S308	the SM of SPF
SYS_SM_077	ASIL C	系统应对V_CAN 网络中安全相关通讯信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-S403	the SM of SPF
SYS_SM_079	ASIL A	MCU应对核校验机制进行测试，来识别双核锁步机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S309	the SM of DPF
SYS_SM_080	ASIL A	MCU应对自身运行环境的诊断机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S310	the SM of DPF
SYS_SM_090	ASIL C	系统应该对SBC供电输入KL30进行监控，当超出安全阈值时，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	Low	D.2.6.1	TSR-BMS-S110	the SM of SPF
SYS_SM_091	ASIL C	供电电源PIN脚KL30和KL31采用多PIN脚并联的形式输入，规避断路失效风险	/	High	/	TSR-BMS-S111
SYS_SM_092	ASIL A	HSD输出引脚和电源引脚、LSD输出引脚和地引脚需要分布在不同的接插件上或在同一接插件不相邻的Pin脚，以防止插针短接	/	High	/	TSR-BMS-S205
SYS_SM_093	ASIL C	MCU内部在进行安全相关的数据传输时，需要具备安全校验机制，来识别自身数据传输错误，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High		TSR-BMS-S311	the SM of SPF
SYS_SM_094	ASIL A	MCU应对其内部数据传输安全校验机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S312	the SM of DPF
SYS_SM_095	ASIL C	芯片PFLASH应该在写和擦除操作前进行溢出检测，识别到数据溢出，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High		TSR-BMS-S313	the SM of SPF
SYS_SM_096	ASIL A	MCU应对其内部PFLASH溢出检测机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S314	the SM of DPF
SYS_SM_097	ASIL C	硬件在接插件选型设计时应该考虑接插件Pin脚的材料和插拔力，确保满足功能安全相关要求	/	High	/	TSR-BMS-S501
SYS_SM_103	ASIL A	SBC module应对安全状态输出信号进行冗余设计	/	High	D.2.4.3	TSR-BMS-S115	the SM of DPF

1. 1. 功能实现描述
    1. 高压互锁故障检测及处理

对于高压互锁故障（Pack_HVILFault），定义如下一种：

Pack_HVILSafetyProtection（报警&进入安全状态）：旨在防止安全相关危害事件的发生

ID	Description	ASIL	Ref.
HVILP-101	Pack_HVILSafetyProtection识别和处理系统在激活状态下，当KL30电压与HVIL反馈电压比值在如下阈值范围内： --【比值阈值∈[9.63 , 11.77 ]】且持续180ms时，则确认电池系统高压连接器处于断开状态系统应当： --应按照Emergency Power Off_2执行故障保护，参见[FL] --应按照Fault Recovery Strategy_3执行故障恢复，参见[FL]	ASILA	TSR-BMS-6103 TSR-BMS-6201 TSR-BMS-6301
HVILP-102	数据有效性识别系统在上述故障阈值判断时，需要确保绝【高压互锁采样值】的有效性，若确认数据无效，不应参考该数据进行故障确认或故障清除，避免错误的故障识别	ASILA	TSR-BMS-6103