原创 电池管理系统（二）

安全等级介绍

针对于国内来说，从事汽车行业的这几年给自己的印象在设计这块汽车的安全等级还是比较薄弱，然而低压相较于高压来说相较来说还比较好，但是一旦涉及到高压来说，如果设计的有缺陷的，轻者电到人，重者电死人，这对于汽车的高压这块是不容忽视，而BMS牵涉的高压就是例子，接下来让我们梳理下在设计BMS从哪些方面去介绍高压方面的情况。

接下来几个问题需要去解决;国际上有哪些等级标准？以及这些标准是怎样定义的？结合相对应的测试标准去相对应的思考两者相关联。对于汽车方面的安全国际标准化组织制定了ISO26262标准，起源于过程工业领域的IEC61508标准，在这个标准之中由于没有考虑到相对应的汽车的分布式开发模式，在这里面也俗称V型开发模式。



所以在此标准之上，重新加以修订了属于汽车方面的标准，自此标准里面的两个概念运用到汽车研发的各个阶段;”汽车安全生命周期””汽车安全完整性等级”。

在这个过程是否能够在实际过程当中举证个例子来说明重要性，既然自己做硬件的话，那就以硬件的方式来表述相对应的设计过程，下面先来看看这张图。



这张表格主要是用来衡量硬件架构的合理性，其中单点故障指标等于除单点故障和残余故障之外的故障占所有故障的比率。

就好比在硬件ECU没有任何诊断的情况下，比如相对应的传感器没有任何诊断和安全机制，如果对电源对地短路的时候，会使得传感器的采集信号错误，而使得在ECU内部的逻辑判断有误，而有可能最终出现故障，如此这个过程的故障就属于单点故障，将导致低的单点故障指标，可能无法达到ASIL B的要求，由此在这边能够做到的是需要再设计过程中需要加以注意诊断，过流，过载等一些方面的故障。(作为硬件设计这块；再设计的过程中所要硬件工程师编制相对应的DFMEA以及FTA等文档就是这方面的代表)

如果正对于满足等级比较高的ECU这块的，可以在这个地方能够做到的是把这个功能给细分到相对应的元器件之中，就好比下面的这张图所表示的原则。



对于QM也是同样类似的，经过以上的分解之后，如果要求ECU设计出来的满足ASIL D开发的功能逻辑就比较简单了，整体成本也就相对应的得以降低了，以及设计研发周期也会相对应的缩短，前提是在设计的初期能够做到的是对于选型的功能等级要求。

参考文档；

• ISO26262中的ASIL等级确定与分解(EPB案例)“北京经纬恒润科技有限公司”


• 汽车电子电气系统的功能安全标准ISO26262“联合汽车电子有限公司（刘佳熙 郭 辉 李 君）”


• ISO_DIS26262-10.2-2011Roadvehicles.Functionalsafety.Part10_GuidelineonIS.