【AUTOSAR】BMS开发实际项目讲解（二十五）----电池管理系统安全状态过渡

1. 1. 安全状态过渡
      1. 关联的系统需求

TSR-BMS-S201、TSR-BMS-S202、TSR-BMS-S203、TSR-BMS-S204、TSR-BMS-S601、TSR-BMS-S602、TSR-BMS-S603、TSR-BMS-S604、TSR-BMS-S605、TSR-BMS-S606、TSR-BMS-S607、TSR-BMS-S608、TSR-BMS-S609、TSR-BMS-S610、TSR-BMS-S611、TSR-BMS-S612;

1. 1. 1. TSC功能框图

 

1. 1. 1. 1. 功能组件设计描述
            1. SBC module

ID	Function Block Description	ASIL	Ref.
OVP-B01	[Error Monitoring] block --SC_1所承载的功能，负责向MCU module提供电源供给，电源输出的控制指令由MCU module通过SPI通讯的方式输入到SBC module；	ASILC
OVP-B02	[SBC Module] block_监控功能 --SC_1所承载的功能，提供看门狗来监控MCU module的异常运行； --SC-1所承载的功能，提供MCU module的故障反馈（硬线告警信号：error signal）监控； --SC_1所承载的功能，具备自身故障监控，探测安全相关的故障；	ASILC
OVP-B03	[SBC Module] block_故障处理功能 --SC_1所承载的功能， 当监控到MCU module的安全相关故障时，将会根据故障种类的不同，而输出reset signal / interrupt signal给到MCU module， 或输出SS1&2给到[Disable switch]来实现对继电器驱动的控制； --SC_1所承载的功能， 当监控到自身的安全相关故障时，将会根据故障种类的不同，而输出reset signal / interrupt signal给到MCU module， 或输出SS1&2给到[Disable switch]来实现对继电器驱动的控制；	ASILC

ID	Function Block Description	ASIL	Ref.
SST-101	[Function Monitoring] block --对SBC module自身功能的异常监控，并将故障信息实时反馈到[Safe State Control]；	ASILC
SST-102	[Error Monitoring] block --对MCU module输出的硬线告警信号（error signal）进行实时监控； --对MCU module输出的SPI告警信号（SPI通讯信号）进行实时监控；	ASILC
SST-103	[Safe State Control] block --实时获取[Function Monitoring]、[Error Monitoring]和[Watchdog]的故障监控信息，根据故障种类的不同，输出控制指令到[SS1&2 Generator]或[Interrupt /Reset Generator]；	ASILC
SST-104	[SS1&2 Generator]block --根据[Safe State Control]输出的控制指令，来执行SS1&2 硬线信号输出（“高/低”）； --SS1&2信号将输入到[Disable switch]；	ASILC
SST-105	[Interrupt /Reset Generator] block --根据[Safe State Control]输出的控制指令，来执行Interrupt /Reset硬线信号输出； --Interrupt 信号将输入到MCU module，来指示中断事件的发生； --Reset信号将输入到MCU module，来对MCU module执行复位动作；	ASILC
SST-106	[Watchdog]block --对MCU module输出的喂狗信号（trigger）进行实时监控；	ASILC

1. 1. 1. 1. 1. MCU module

ID	Function Block Description	ASIL	Ref.
SST-201	[Monitoring module] block --对MCU module自身进行实时监控，并及时将异常反馈到[Safe State Control]； --配合“L2:Function Monitoring layer”执行程序流监控；	ASILC
SST-202	[Safe State Control] block --实时获取[Monitoring module]的故障监控信息，根据故障结果，输出error signal（可通过Error pin/SPI的方式输出）到SBC module中的[Error Monitoring]；	ASILC
SST-203	[Open Relays protection] block --根据“L2:Function Monitoring layer”各个功能监控模块的故障探测结果，执行系统安全状态的过渡；这将通过[Open Relays protection]输出驱动模块使能信号到[HSD module]和[LSD module]来实现； 注：该功能模块可分解为[Open Relays] 和[Arbitration Mechanism] ，参见OVP-704和OVP-705	ASILC
SST-204	[HSD&LSD diagnosis]block --通过实时获取[HSD module]和[LSD module]诊断电路采集信号，来对驱动模块进行故障诊断，并将诊断结果输入到[Open Relays protection]，以便[Open Relays protection]执行安全状态过渡；	ASILC

1. 1. 1. 1. 1. Disable switch

ID	Function Block Description	ASIL	Ref.
SST-301	[Disable switch] block -- 参见OVP-901	ASILC

1. 1. 1. 功能实现描述

ID	Description	ASIL	Ref.
SST-001	安全状态进入 本系统的安全状态指：系统将HSD和LSD禁止输出的状态 HSD和LSD禁止输出的状态可通过MCU module输出禁能信号来实现 HSD和LSD禁止输出的状态也可通过SBC module输出禁能信号来实现	ASIL C	TSR-BMS-S602 TSR-BMS-S603 TSR-BMS-S604 TSR-BMS-S605
SST-002	MCU module输出禁能信号 系统在激活状态下，当系统探测到直接导致功能安全目标被违背的故障时，且MCU Module无故障的情况下，应由MCU Module输出控制信号使能HSD Module和LSD Module关断，将系统带入安全状态；	ASIL C	TSR-BMS-S607
SST003	SBC module输出禁能信号 系统在激活状态下，当系统探测到直接导致功能安全目标被违背的故障时，且MCU Module存在永久性故障的情况下，应由MCU Module应通过Error pin/SPI输出故障信号反馈到SBC Module，之后SBC Module输出控制信号使能（SS1&2）HSD Module和LSD Module关断，将系统带入安全状态； MCU module自身的故障应能够通过Error pin/SPI反馈到SBC Module，对于Error pin/SPI应参考芯片安全手册来设计，保证故障反馈的可靠性。	ASIL C	TSR-BMS-S608
SST-004	安全状态过渡执行器的故障诊断 系统通过MCU module对安全状态过渡执行器（HSD module）进行故障探测，防止故障潜伏，故障探测机制详见本文“5.8.3.1继电器驱动诊断”	ASIL B	TSR-BMS-S201 TSR-BMS-S202
SST-005	安全状态过渡执行器的故障诊断 系统通过MCU module对安全状态过渡执行器（LSD module）进行故障探测，防止故障潜伏，故障探测机制详见本文“5.8.3.1继电器驱动诊断”	ASIL A	TSR-BMS-S203 TSR-BMS-S204

1. 1. 通讯保护
      1. 关联的系统需求

TSR-BMS-1114、TSR-BMS-1115、TSR-BMS-1116、TSR-BMS-1117、TSR-BMS-1127、TSR-BMS-1128、TSR-BMS-2114、TSR-BMS-2115、TSR-BMS-2116、TSR-BMS-2117、TSR-BMS-2127、TSR-BMS-2128、TSR-BMS-3114、TSR-BMS-3115、TSR-BMS-3116、TSR-BMS-3117、TSR-BMS-3126、TSR-BMS-3127、TSR-BMS-4119、TSR-BMS-4120、TSR-BMS-5111、TSR-BMS-5112、TSR-BMS-5118、TSR-BMS-5119、TSR-BMS-S402、TSR-BMS-S403;

1. 1. 1. TSC功能框图

 

1. 1. 1. 功能实现描述

ID	Description	ASIL	Ref.
CP-001	AFE module与MCU module之间的通讯保护 系统应对AFE module与MCU module之间安全信息传输进行保护	ASIL C	TSR-BMS-1114、TSR-BMS-1115、TSR-BMS-1116、TSR-BMS-1117、TSR-BMS-1127、TSR-BMS-1128、TSR-BMS-2114、TSR-BMS-2115、TSR-BMS-2116、TSR-BMS-2117、TSR-BMS-2127、TSR-BMS-2128、TSR-BMS-3114、TSR-BMS-3115、TSR-BMS-3116、TSR-BMS-3117、TSR-BMS-3126、TSR-BMS-3127
CP-002	Digital hall sensor与MCU module之间的通讯保护 系统应对Digital hall sensor与MCU module之间安全信息传输进行保护	ASIL B	TSR-BMS-4119、TSR-BMS-4120
CP-003	HV_μC module与MCU module之间的通讯保护 系统应对HV_μC module与MCU module之间安全信息传输进行保护	ASIL A	TSR-BMS-5111、TSR-BMS-5112、TSR-BMS-5118、TSR-BMS-5119
CP-004	VCU与MCU module之间的通讯保护 系统应对VCU与MCU module之间安全信息传输进行保护	ASIL C	TSR-BMS-S402 TSR-BMS-S403