【AUTOSAR】BMS开发实际项目讲解（十三）----电池管理系统碰撞安全功能和SFR

1. 1. 1. SG-BMS-7 :** BMS系统应避免碰撞保护功能异常引起的安全事故（ASIL A）*1. 功能框图（SG-BMS-7*）

功能组件说明

功能组件ID

功能组件名称

描述

ASIL****等级

FSC-FC-05

Relay Drive

驱动继电器开启和关断

ASIL A

FSC-FC-11

Detection Crash

采集表征车辆碰撞状态的数字信号

ASIL A

FSC-FC-12

Crash Protection

监控车辆碰撞状态，并实施保护

ASIL A

功能组件接口说明

接口ID

接口属性

描述

ASIL****等级

I-08

CAN

高压上下电指令，请求放电功率

QM

I-09

AO

继电器驱动输出

ASIL A

I-21

DI

表征车辆碰撞状态的数字信号

ASIL A

I-22

DI

表征车辆碰撞状态的数字信号

ASIL A

I-23

DO

驱动控制信号（使能/禁能）

ASIL A

1. 1. 1. 1. 功能安全要求描述（SG-BMS-8）

安全目标**** ID****

SG-BMS-7

FTTI

300ms

故障探测时间间隔

≤250ms

故障响应时间间隔

≤50ms

安全阈值

碰撞安全阈值：

1. 正常时碰撞信号输出占空比为5/6高电平，1/6低电平，周期240ms；
2. 当碰撞事件发生时，碰撞信号输出占空比为1/6高电平，5/6低电平，周期240ms，连续20个周期，只有恢复到正常时的信号特性；

安全状态

断开高压回路

运行模式

充电模式，驱动模式，空闲模式

FSR ID

FSR-BMS-71

安全目标**** ID****

SG-BMS-7

要求

BMS系统应监测整车碰撞信息，判断车辆是否发生碰撞事件；

ASIL****等级

ASIL A

状态

Draft

FSR****的分配

Crash Detection Module, MCU Module, Power Supply Module

备注

　继承SG的ASIL

FSR ID

FSR-BMS-72

安全目标**** ID****

SG-BMS-7

要求

当检测到发送碰撞时，使动力蓄电池系统在FRT 时间内断开高压回路进入安全状态，在碰撞故障退出、消除条件未满足时，不应退出安全状态；

ASIL****等级

ASIL A

状态

Draft

FSR的分配

Relay Control Module, V_CAN Module, MCU Module, Power Supply Module

备注

　继承SG的ASIL；该FSR允许BMS有自主控制高压回路继电器的功能

FSR ID

FSR-BMS-73

安全目标 ID

SG-BMS-7

要求

BMS系统在激活状态下，为防止碰撞保护的故障潜伏，应发出故障信息，以便警示驾驶员。

ASIL等级

QM

状态

Draft

FSR的分配

V_CAN Module, MCU Module, Power Supply Module

备注

　假设整车报警执行器能够及时且正确地响应报警请求，满足QM要求

1. 1. 外部要素功能安全要求假设

外部要素名称

****整车报警执行器　****

FSR ID

FSR-BMS-15

安全目标 ID

SG-BMS-1

要求

　能够及时正确响应BMS报警请求

运行模式

　激活状态

ASIL等级

ASIL A

状态

Draft

备注

外部要素名称

****OBC ****

FSR ID

FSR-BMS-16

安全目标 ID

SG-BMS-1

要求

　能够及时正确响应BMS功率限制

运行模式

　激活状态

ASIL等级

QM

状态

Draft

备注

外部要素名称

****VCU ****

FSR ID

FSR-BMS-17

安全目标 ID

SG-BMS-1

要求

　能够及时正确响应BMS功率限制

运行模式

　激活状态

ASIL等级

QM

状态

Draft

备注

外部要素名称

****DC charger ****

FSR ID

FSR-BMS-18

安全目标 ID

SG-BMS-1

要求

　能够及时正确响应BMS功率限制

运行模式

　激活状态

ASIL等级

QM

状态

Draft

备注

外部要素名称

R****elays

FSR ID

****FSR-BMS-****19

安全目标 ID

****SG-BMS-****1

要求

　能够正确响应BMS系统的驱动控制

运行模式

　激活状态

ASIL等级

ASIL C

状态

Draft

备注

外部要素名称

****Hall Sensor ****

FSR ID

FSR-BMS-45

安全目标 ID

SG-BMS-4

要求

　能够正确采集高压主回路电流信息，并反馈BMS系统。

运行模式

　激活状态

ASIL等级

ASIL B

状态

Draft

备注

……

1. 1. 安全目标（SG）与功能安全要求（FSR）追溯图（如果需要的话）

从HARA分析导出功能安全目标SG，对应功能安全目标分解为FSR，从对应FSR细化到具体架构和模块方案设计，形成本TSC文档。

其中，FSR-ECU-XY命名中的X对应SG-ECU-X中的X，FSR-ECU-XY命名中的Y对应同一SG的相关FSR的序号；X、Y均为十六进制数，范围1~F。

注1：SG-ECU-X、FSR-ECU-XY中的ECU请根据具体产品进行替换，如：电池管理系统则为SG-BMS-X、FSR- BMS -XY。