【AUTOSAR】BMS开发实际项目讲解（二十）----电池管理系统电池单体过温保护

1. 1. 电池单体过温保护
      1. 关联的系统需求

TSR-BMS-3101、TSR-BMS-3102、TSR-BMS-3103、TSR-BMS-3104、TSR-BMS-3105、TSR-BMS-3106、TSR-BMS-3107、TSR-BMS-3108、TSR-BMS-3109、TSR-BMS-3110、TSR-BMS-3111、TSR-BMS-3112、TSR-BMS-3113、TSR-BMS-3114、TSR-BMS-3115、TSR-BMS-3116、TSR-BMS-3117、TSR-BMS-3118、TSR-BMS-3119、TSR-BMS-3120; TSR-BMS-3201; TSR-BMS-3301;TSR-BMS-3401;

TSR-BMS-S101、TSR-BMS-S102、TSR-BMS-S103、TSR-BMS-S1014、TSR-BMS-S105、TSR-BMS-S106、TSR-BMS-S107、TSR-BMS-S108、TSR-BMS-S109；TSR-BMS-S201、TSR-BMS-S202、TSR-BMS-S203、TSR-BMS-S204；TSR-BMS-S301、TSR-BMS-S302、TSR-BMS-S303、TSR-BMS-S304、TSR-BMS-S305、TSR-BMS-S306、TSR-BMS-S307、TSR-BMS-S308；TSR-BMS-S401、TSR-BMS-S402、TSR-BMS-S403；

1. 1. 1. TSC功能框图

 

1. 1. 1. 1. 功能组件设计描述
            1. CIDU(Charging signal input detection unit)

ID	Function Block Description	ASIL	Ref.
OTP-201	参见OVP-201	QM
OTP-202	参见OVP-202	QM

1. 1. 1. 1. 1. HVDU(High voltage signal detection unit)

ID	Function Block Description	ASIL	Ref.
OTP-301	参见OVP-301	ASILA
OTP-302	参见OVP-302	QM
OTP-303	参见OVP-303	ASILA
OTP-304	参见OVP-304	ASILA
OTP-305	参见OVP-305	QM
OTP-306	参见OVP-306	QM（A）
OTP-307	参见OVP-307	ASILA（A）

1. 1. 1. 1. 1. DIDU(Discharging signal input detection unit)

ID	Function Block Description	ASIL	Ref.
OTP-401	参见OVP-401	QM
OTP-402	参见OVP-402	QM

1. 1. 1. 1. 1. CMU(Cell management unit)

ID	Function Block Description	ASIL	Ref.
OTP-501	[AFE1~AFE8] block --SC_2所承载的功能，负责获取电池系统单体温度和电压信息，并通过[ISO_SPI] block进行信息传输。 --SC_2所承载的功能，负责执行AFE的故障诊断，并通过[ISO_SPI] block 进行信息传输。	ASILC
OTP-502	[ISO_SPI] block --SC_8所承载的功能，传输AFE反馈的单体温度荷电压信息，输入到[(Dis)charge Data Mgt] 和 [Data Mgt] --SC_8所承载的功能，传输AFE反馈的故障信息，输入到[Data Mgt]	QM（C）
OTP-503	[E2E check] block --对[ISO_SPI]通讯回路上的安全信息（单体温度和电压信息、AFE故障信息、MCU控制指令）进行E2E保护，以便及时探测故障，并将探测结果反馈到[Data Mgt]	ASILC（C）

1. 1. 1. 1. 1. Function layer

ID	Function Block Description	ASIL	Ref.
OTP-601	[(Dis)charge Data Mgt] block --获取AFE 通过ISO_SPI上传的单体电压及温度信息以及AFE故障信息，判断信息有效性，并将有效的信息输入到[SOP algorithm]、[(Dis)charge algorithm]和[Thermal Mgt algorithm]  --获取Digital Hall sensor 通过I_CAN上传的电流信息，判断信息有效性，并将有效的信息输入到[(Dis)charge algorithm] --获取HV_μC 通过HV_ISO_SPI上传的高压信息，判断信息有效性，并将有效的信息输入到[SOP algorithm]、[(Dis)charge algorithm]和[Thermal Mgt algorithm] --获取CIDU(Charging signal input detection unit)和DIDU(Discharging signal input detection unit)输入的信息，判断信息有效性，并将有效的信息输入到[SOP algorithm]、[(Dis)charge algorithm]和[Thermal Mgt algorithm]	QM
OTP-602	参见OVP-602	QM
OTP-603	参见OVP-603	QM
OTP-604	参见OVP-604	QM
OTP-605	参见OVP-605	QM
OTP-606	参见OVP-606	QM
OTP-607	参见OVP-607	QM
OTP-608	[Thermal Mgt algorithm] block --根据输入信息（单体温度信息、电池冷却系统温度信息、外部ECU热管理请求等），来执行既定的热管理算法，输出当前热管理需求以及相应的热管理控制指令。 注：详见5.17章节	QM
OTP-609	[Thermal Mgt Command] block --根据[Thermal Mgt algorithm] block输出的控制指令，来控制外部热管理执行器。 注：详见5.17章节	QM
OTP-610	[Thermal Mgt requirements] block --根据[Thermal Mgt algorithm] block输出的热管理请求信息，来通知外部ECU，以便配合执行热管理。 注：详见5.17章节	QM

1. 1. 1. 1. 1. Function monitoring layer

ID	Function Block Description	ASIL	Ref.
OTP-701	[ Data Mgt ] block --获取AFE 通过ISO_SPI上传的单体温度和电压信息以及AFE故障信息，判断信息有效性，并将有效的信号输入到[Safety Mechanisms] --获取继电器状态诊断信号以及总压信号，判断信号有效性，并将有效的信号输入到[Safety Mechanisms] --获取HSD&LSD诊断信号，判断信号有效性，并将有效的信号输入到[Safety Mechanisms]	ASILC
OTP-702	[Safety Mechanisms] block --获取[ Data Mgt ]输入的单体温度信息，判断是否存在过温故障，并对探测到的故障进行处理 --获取 [Data Mgt] 输入的诊断信号，判断过温保护功能链路上是否存在故障，并对探测到的故障进行处理 --[Safety Mechanisms]根据故障探测的结果，输出降级指令给到[Degradation &Warning]，或输出报警指令给到[Warning]，或输出安全状态过渡指令给到[Open Relays]	ASILC
OTP-703	参见OVP-703	ASILC
OTP-704	参见OVP-704	ASILC
OTP-705	参见OVP-705	ASILC

1. 1. 1. 1. 1. Computation layer

ID	Function Block Description	ASIL	Ref.
OTP-801	参见OVP-801	ASILC

1. 1. 1. 1. 1. Disable switch

ID	Function Block Description	ASIL	Ref.
OTP-901	参见OVP-901	ASILC

1. 1. 1. 1. 1. RDU(Relay drive unit)

ID	Function Block Description	ASIL	Ref.
OTP-A01	参见OVP-A01	ASILB（C）
OTP-A02	参见OVP-A01	ASILA（C）

1. 1. 1. 1. 1. SBC Module

ID	Function Block Description	ASIL	Ref.
OTP-B01	参见OVP-B01	ASILC
OTP-B02	参见OVP-B02	ASILC
OTP-B03	参见OVP-B03	ASILC

1. 1. 1. 1. 1. In/Outlet temp detect

ID	Function Block Description	ASIL	Ref.
OTP-C01	[In/Outlet temp detect] block --SC_6所承载的功能，负责采集电池冷却系统的温度信息，并将采样值输入到[(Dis)charge Data Mgt]；	QM

1. 1. 1. 安全机制描述/ Description of the used safety mechanism

为防止电池单体过温保护功能链路上的故障失效发生，应对链路各要素制定安全机制，以探测故障、预防失效。

SM ID	ASIL	Safety Mechanism Description	FDT+FRT	Diagnostic Coverage	Ref. ISO26262-5, Annex D	Req. ID	Addressed Failure Mode
SYS_SM_007	ASIL C	MCU应具备核校验机制，来识别自身错误，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.3.6	TSR-BMS-S301	the SM of SPF
SYS_SM_008	ASIL C	SBC module供电输出监控模块应对不同的电源输出通道使用独立的监测通道，识别到电源输出异常状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.6.2	TSR-BMS-S102 TSR-BMS-S112	the SM of SPF
SYS_SM_009	ASIL C	应对MCU module发送给AFE module的控制信息进行E2E保护，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	3500ms+500ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-3127	the SM of SPF
SYS_SM_011	ASIL B	系统应具备对HSD驱动输出回采功能，识别到HSD输出异常，及时进行报警	Every Key-ON Cycle	High	D.2.9.1	TSR-BMS-S201	the SM of DPF
SYS_SM_012	ASIL B	系统应具备HSD驱动输出回路短电源故障诊断机制，每个驾驶循环至少执行一次诊断，识别短电源故障，及时进行报警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S202	the SM of DPF
SYS_SM_013	ASIL A	系统应具备对LSD驱动输出回采功能，识别到LSD输出异常，及时进行报警	Every Key-ON Cycle	High	D.2.9.1	TSR-BMS-S203	the SM of DPF
SYS_SM_014	ASIL A	系统应具备LSD驱动输出回路短地故障诊断机制，每个驾驶循环至少执行一次诊断，识别短地故障，及时进行报警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S204	the SM of DPF
SYS_SM_015	ASIL C	MCU应具备自身运行环境的诊断机制，以保证功能正确地执行，当识别到异常时，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	Table D.4 — Processing units	TSR-BMS-S302	the SM of SPF
SYS_SM_018	ASIL C	系统应具备单体温度采样回路断线诊断功能，识别到断线状态，并在规定时间之内完成故障处理（进入安全状态）	3500ms+500ms	High	D.2.1.1	TSR-BMS-3108	the SM of SPF
SYS_SM_022	ASIL C	AFE芯片应具备内部单体温度采样模块自诊断机制，识别采样模块的异常状态，并在规定时间之内完成故障处理（进入安全状态）	3500ms+500ms	High	D.2.3.2	TSR-BMS-3112	the SM of SPF
SYS_SM_023	ASIL C	对于单体电池温度采集应进行冗余采样，对采样结果进行交叉检查，识别采样差异异常状态，并在规定时间之内完成故障处理（进入安全状态）	3500ms+500ms	High	D.2.4.5	TSR-BMS-3113	the SM of SPF
SYS_SM_025	ASIL C	应对单体温度通讯信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	3500ms+500ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-3115	the SM of SPF
SYS_SM_057	ASIL C	SBC module内部 Regulator的基准源 与 电源输出监控模块基准源 应是独立的，以保证监控模块的独立性	/	High		TSR-BMS-S103	the SM of SPF
SYS_SM_058	ASIL A	SBC module的监控模块基准源，应能够被监控。如果基准源存在异常，应及时告警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S104	the SM of DPF
SYS_SM_059	ASIL A	每个驾驶循环应至少对SBC的看门狗功能进行一次测试，识别到异常，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S105	the SM of DPF
SYS_SM_060	ASIL A	SBC module应对内部reset/interrupt信号源进行功能检查，识别到异常，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S106	the SM of DPF
SYS_SM_064	ASIL C	应对AFE发送报警信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	3500ms+500ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-3117	the SM of SPF
SYS_SM_067	ASIL C	MCU module应具备程序序列的时间和逻辑的联合监控，识别安全相关功能的故障状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.7.4	TSR-BMS-S304	the SM of SPF
SYS_SM_069	ASIL C	应对MCU module与SBC module的通讯信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-S108 TSR-BMS-S306	the SM of SPF
SYS_SM_070	ASIL A	对于SBC module内部能够将SS1&2（ Safe State Control signals 1 and 2）置低的监控功能，每个驾驶循环应至少进行一次自测试，如果自测试结果为失败，SBC module应及时将故障信息传达给MCU module	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S107	the SM of DPF
SYS_SM_073	ASIL C	AFE module应具备自身过温保护机制 AFE module应具备自身过温保护机制，当AFE module过温时，应关闭安全相关的监控功能，防止上报错误的数据	3500ms+500ms	Medium	D.2.3.2	TSR-BMS-3119	the SM of SPF
SYS_SM_074	ASIL C	对于安全相关的标定数据存储，MCU module应具备安全校验机制，识别到数据错误，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	Table D.1 — Analysed failure modes （Ref. ISO26262-11, 5.1.13.1）	TSR-BMS-S308	the SM of SPF
SYS_SM_077	ASIL C	系统应对V_CAN 网络中安全相关通讯信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-S403	the SM of SPF
SYS_SM_079	ASIL A	MCU应对核校验机制进行测试，来识别双核锁步机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S309	the SM of DPF
SYS_SM_080	ASIL A	MCU应对自身运行环境的诊断机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S310	the SM of DPF
SYS_SM_086	ASIL C	AFE芯片供电线采用双线冗余	/	High	/	TSR-BMS-3122
SYS_SM_087	ASIL C	对AFE芯片供电电压（单个AFE采集的总压）进行采集，当检测到异常时，在规定时间规定时间内进入安全状态	3500ms+500ms	Low	D.2.6.1	TSR-BMS-3123	the SM of SPF
SYS_SM_089	ASIL C	AFE module需要增加抗外部环境干扰措施，防止芯片因外部环境干扰而异常	/	High	/	TSR-BMS-3125
SYS_SM_090	ASIL C	系统应该对SBC供电输入KL30进行监控，当超出安全阈值时，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	Low	D.2.6.1	TSR-BMS-S110	the SM of SPF
SYS_SM_091	ASIL C	供电电源PIN脚KL30和KL31采用多PIN脚并联的形式输入，规避断路失效风险	/	High	/	TSR-BMS-S111
SYS_SM_092	ASIL A	HSD输出引脚和电源引脚、LSD输出引脚和地引脚需要分布在不同的接插件上或在同一接插件不相邻的Pin脚，以防止插针短接	/	High	/	TSR-BMS-S205
SYS_SM_093	ASIL C	MCU内部在进行安全相关的数据传输时，需要具备安全校验机制，来识别自身数据传输错误，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High		TSR-BMS-S311	the SM of SPF
SYS_SM_094	ASIL A	MCU应对其内部数据传输安全校验机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S312	the SM of DPF
SYS_SM_095	ASIL C	芯片PFLASH应该在写和擦除操作前进行溢出检测，识别到数据溢出，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High		TSR-BMS-S313	the SM of SPF
SYS_SM_096	ASIL A	MCU应对其内部PFLASH溢出检测机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S314	the SM of DPF
SYS_SM_097	ASIL C	硬件在接插件选型设计时应该考虑接插件Pin脚的材料和插拔力，确保满足功能安全相关要求	/	High	/	TSR-BMS-S501
SYS_SM_103	ASIL A	SBC module应对安全状态输出信号进行冗余设计	/	High	D.2.4.3	TSR-BMS-S115	the SM of DPF

1. 1. 1. 功能实现描述

对于过温故障（BMS_CellOTFault），定义如下三种：

1. Cell_OverTempDegradation（报警&功能降级）：旨在降低过温危害事件发生概率
2. Cell_OverTempProtection（报警&请求充放电功能禁用）：旨在防止过温危害事件发生
3. Cell_OverTempSafetyProtection（报警&进入安全状态）：旨在防止安全相关危害事件的发生

ID	Description	ASIL	Ref.
OTP-101	Cell_OverTempDegradation识别和处理 系统在激活状态下，当电池系统最高单体电芯温度： --【≥53℃】且持续3s时 系统应当： --应按照Degrade Power_3执行故障保护，参见[FL] --应按照Fault Recovery Strategy_1执行故障恢复，参见[FL]	QM	TSR-BMS-3401
OTP-102	Cell_OverTempProtection识别和处理 系统在激活状态下，当电池系统最高单体电芯电压： --【≥56℃】且持续3s时 系统应当： --应按照Normal Power Off_3 执行故障保护，参见[FL] --应按照Fault Recovery Strategy_2执行故障恢复，参见[FL]	QM	TSR-BMS-3401
OTP-103	Cell_OverTempSafetyProtection识别和处理 系统在激活状态下，当电池系统最高单体电芯电压： --【≥58℃】且持续3s时 系统应当： --应按照Emergency Power Off_1执行故障保护，参见[FL] --应按照Fault Recovery Strategy_3执行故障恢复，参见[FL]	ASILC	TSR-BMS-3106 TSR-BMS-3201
OTP-104	数据有效性识别 系统在上述故障阈值判断时，需要确保所判断的单体电芯温度值的有效性，若确认数据无效，不应参考该数据进行故障确认或故障清除，避免错误的故障识别	ASILC	TSR-BMS-3106 TSR-BMS-3401