BMS功能安全开发流程（五）：硬件系统功能安全设计

上一篇介绍了《BMS功能安全开发流程（三）：ASIL等级》，这一篇介绍 《硬件系统功能安全设计》

硬件的详细安全需求来自于TSR，系统架构及系统边界HSI。

根据ISO 26262-8章节6.4.2 硬件安全需求规范应包括与安全相关的每一条硬件要求，包括以下：

a.   为控制要素硬件内部失效的安全机制的硬件安全要求和相关属性，这包括用来覆盖相关瞬态故障(例如，由于所使用的技术而产生的瞬态故障)的内部安全机制；

b.   为确保要素对外部失效容错的硬件安全要求和安全机制的相关属性。

c.    为符合其它要素的安全要求的硬件安全要求和安全机制的相关属性；

d.   为探测内外部失效和发送失效信息的硬件安全要求及安全机制的相关属性；及

e.   没有定义安全机制的硬件安全要求。

硬件安全要求应按照ISO26262-8第6章和第9章的要求进行验证，以提供证据证明。硬件设计可以硬件功能方块图开始，硬件方块图的所有的元素和内部接口应当展示出来。然后设计和验证详细的电路图，后通过演绎法（FTA）或者归纳法（FMEA）等方法来验证硬件架构可能出现的故障。

对系统设计来讲大的挑战是满足ISO26262硬件架构度量。针对ASIL C或D，ISO26262强烈推荐计算单失效和潜在失效概率。具体计算法见ISO26262-8附件。针对单点故障SPF (single-point faults),被称为单点故障度量（single-pointfault metric -SPFM)，针对潜在失效故障，被称为潜在故障度量（ latent-faultmetric-LFM）。对于每一个安全目标，由ISO26262要求的“潜伏故障度量”的定量目标值应基于下列参考目标值：

表1 SPFM和LFM推荐值

对BMS系统来讲，电池包电压传感器是一个非常重要的传感器，因此针对不同的ASIL等级需要分析电池包电压传感器不同的失效模式。下表是不同的ASIL级别所需要覆盖到失效模式。

表2 电池包电压传感器常见失效模式及覆盖度

ISO26262推荐用两个可选的方法以评估违背安全目标的残余风险是否足够低。

两个方法都评估由单点故障、残余故障和可能的双点故障导致的违背安全目标的残余风险。如果显示为与安全概念相关，也可考虑多点故障。在分析中，对残余和双点故障，将考虑安全机制的覆盖率，并且，对双点故障也将考虑暴露持续时间。

个方法包括使用概率的度量，即“随机硬件失效概率度量”（probabilisticmetric for random hardware failures-PMHF），通过使用例如定量故障树分析（FTA）或者（Failure Mode Effects and Diagnostic Analysis – FMEDA)及将此计算结果与目标值相比较的方法，评估是否违背所考虑的安全目标。

第二个方法包括独立的评估每个残余和单点故障，及每个双点失效是否导致违背所考虑的安全目标。此分析方法也可被考虑为割集分析。推荐的随机失效目标值如下表3。在文章[1]中选用第二种方法来验证BMS均衡电路的随机失效，单点失效等。

表3 随机失效目标值

在前面几章分析过从HARA分析得到Safe Goal，从Safe Goal推导出FSR，从FSR推导出TSR。并以BMS的过充作为例子进行了详细的介绍。文章[1]选取了TI公司的BQ20Z80芯片，监控四个cell电压，管理均衡。图1是电路原图（表示看不清，可以看参考文献[2]的高清大图），该电路的核心元器件是ICBQ20Z80，BQ2940是过充二级保护芯片。文章针对过充保护功能，选择方法2展开对安全目标-“Battery overcharging shallbe prevented ”的随机失效失效评估。该方法不仅考虑到错误发生的可能性同时还考虑到安全机制的有效性。文章评估了芯片BQ2940及采样芯片BQ2931。

图1 电芯电压采样均衡架构图

ISO 26262标准中引入了失效率等级。硬件元器件失效率的失效率等级评级应按如下确定：

a.   失效率等级1 对应的失效率应少于ASILD 的目标除以100（见表3）

b.   失效率等级2 对应的失效率应少于或等于10倍的失效率等级1 对应的失效率（见表4）

表4 失效率等级

如果单点失效违背ASILC的安全目标，那个对应的合适的失效率等级为FRC 1或者有其他额外测量的FRC2

采样均衡电路的失效可能会导致电芯过充，进一步引起热失控。因此根据SafetyGoal推导出的安全要求如图2。

图2 功能安全要求

根据FSR可以推导出TSR，TSR见图3

图3 技术安全要求

这是安全目标所导出想系统的TSR，需要从中分离出单独跟硬件相关的或者和软件硬件都相关的TSR，因此硬件的TSR为：

·        Overcharge condition shall be detectedwithin Y ms and,

·        Current to the battery shall beinterrupted within Z ms.

·        根据上面的分析有两条TSR分配给了硬件系统。在文档[1]中归纳总结了安全目标的安全机制，见表5：

表5 分配给硬件的过充保护安全机制

·        实施安全机制中需要用到的硬件元器件预估失效率(failurein time- FIT)。用于确定硬件元器件失效率和失效模式分布的业界公认的来源包括IEC/TR62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811,NPRD 95, EN 50129:2003, Annex C, IEC 2061:2005, Annex D, RIAC FMD97 和 MIL HDBK 338。文章[1]中选取数据库MILHDBK 217和芯片供应商所提供的数据来评估安全机制。

·        文章[1]中采用AFEBQ2931（TI）作为过充二级保护芯片，表是对过充保护的安全机制的评估。从下表格可以看出，安全目标的失效模式覆盖率为99%，针对不同的与之安全相关的部件。

表6 安全机制评估

一旦完成硬件架构的设计和样件设计，与之对应的不同的元素，系统集成测试也应该定义好。在ISO26262-8中，针对不同的ASIL等级推荐了不同的测试方法。