位置:编程技术网 > 物联网 > 正文 >

BMS功能安全开发流程(五):硬件系统功能安全设计

2019年07月18日 13:21来源:未知手机版

福建南纺,胎儿唇裂,杨弈

硬件的详细安全需求来自于TSR,系统架构及系统边界HSI。

硬件系统功能安全设计

根据ISO26262-8章节6.4.2硬件安全需求规范应包括与安全相关的每一条硬件要求,包括以下:

a.???为控制要素硬件内部失效的安全机制的硬件安全要求和相关属性,这包括用来覆盖相关瞬态故障(例如,由于所使用的技术而产生的瞬态故障)的内部安全机制;

b.???为确保要素对外部失效容错的硬件安全要求和安全机制的相关属性。

c.????为符合其它要素的安全要求的硬件安全要求和安全机制的相关属性;

d.???为探测内外部失效和发送失效信息的硬件安全要求及安全机制的相关属性;及

e.???没有定义安全机制的硬件安全要求。

硬件安全要求应按照ISO26262-8第6章和第9章的要求进行验证,以提供证据证明。硬件设计可以硬件功能方块图开始,硬件方块图的所有的元素和内部接口应当展示出来。然后设计和验证详细的电路图,最后通过演绎法(FTA)或者归纳法(FMEA)等方法来验证硬件架构可能出现的故障。

对系统设计来讲最大的挑战是满足ISO26262硬件架构度量。针对ASILC或D,ISO26262强烈推荐计算单失效和潜在失效概率。具体计算法见ISO26262-8附件。针对单点故障SPF(single-pointfaults),被称为单点故障度量(single-pointfaultmetric-SPFM),针对潜在失效故障,被称为潜在故障度量(latent-faultmetric-LFM)。对于每一个安全目标,由ISO26262要求的“潜伏故障度量”的定量目标值应基于下列参考目标值:

表1SPFM和LFM推荐值

对BMS系统来讲,电池包电压传感器是一个非常重要的传感器,因此针对不同的ASIL等级需要分析电池包电压传感器不同的失效模式。下表是不同的ASIL级别所需要覆盖到失效模式。

表2?电池包电压传感器常见失效模式及覆盖度

ISO26262推荐用两个可选的方法以评估违背安全目标的残余风险是否足够低。

两个方法都评估由单点故障、残余故障和可能的双点故障导致的违背安全目标的残余风险。如果显示为与安全概念相关,也可考虑多点故障。在分析中,对残余和双点故障,将考虑安全机制的覆盖率,并且,对双点故障也将考虑暴露持续时间。

第一个方法包括使用概率的度量,即“随机硬件失效概率度量”(probabilisticmetricforrandomhardwarefailures-PMHF),通过使用例如定量故障树分析(FTA)或者(FailureModeEffectsandDiagnosticAnalysis-FMEDA)及将此计算结果与目标值相比较的方法,评估是否违背所考虑的安全目标。

第二个方法包括独立的评估每个残余和单点故障,及每个双点失效是否导致违背所考虑的安全目标。此分析方法也可被考虑为割集分析。推荐的随机失效目标值如下表3。在文章[1]中选用第二种方法来验证BMS均衡电路的随机失效,单点失效等。

表3?随机失效目标值

在前面几章分析过从HARA分析得到SafeGoal,从SafeGoal推导出FSR,从FSR推导出TSR。并以BMS的过充作为例子进行了详细的介绍。文章[1]选取了TI公司的BQ20Z80芯片,监控四个cell电压,管理均衡。图1是电路原图(表示看不清,可以看参考文献[2]的高清大图),该电路的核心元器件是ICBQ20Z80,BQ2940是过充二级保护芯片。文章针对过充保护功能,选择方法2展开对安全目标-“Batteryoverchargingshallbeprevented”的随机失效失效评估。该方法不仅考虑到错误发生的可能性同时还考虑到安全机制的有效性。文章评估了芯片BQ2940及采样芯片BQ2931。

本文地址:http://www.reviewcode.cn/wulianwang/58028.html 转载请注明出处!

今日热点资讯