廣告
首頁(yè) > 汽車測(cè)試技術(shù) > 正文
中汽研-基于故障注入的 BMS 功能安全測(cè)試方法研究
2021-11-17 14:23:03· 來(lái)源:電動(dòng)學(xué)堂 作者:解坤等
文章來(lái)源:中汽研汽車檢驗(yàn)中心(天津)有限公司,中國(guó)汽車技術(shù)研究中心有限公司,天津市電動(dòng)汽車評(píng)價(jià)技術(shù)企業(yè)重點(diǎn)實(shí)驗(yàn)室引言電池管理系統(tǒng)是新能源汽車的核心電子
文章來(lái)源:中汽研汽車檢驗(yàn)中心(天津)有限公司,中國(guó)汽車技術(shù)研究中心有限公司,天津市電動(dòng)汽車評(píng)價(jià)技術(shù)企業(yè)重點(diǎn)實(shí)驗(yàn)室
引言
電池管理系統(tǒng)是新能源汽車的核心電子電氣部件,其功能的合理性、魯棒性以及故障處理機(jī)制非常重要,電池管理系統(tǒng)的功能失效以及不合理機(jī)制往往直接導(dǎo)致電池起火爆炸等危險(xiǎn)發(fā)生,因此需要對(duì)電池管理系統(tǒng)的可靠性和安全性進(jìn)行有效測(cè)試。
ISO26262功能安全標(biāo)準(zhǔn)中基于V模型為產(chǎn)品開(kāi)發(fā)提供了參考依據(jù),從產(chǎn)品開(kāi)發(fā)系統(tǒng)層面、硬件層面和軟件層面進(jìn)行集成測(cè)試。本文從軟硬件集成層面,采用需求分析方法導(dǎo)出集成測(cè)試用例,為了實(shí)現(xiàn)技術(shù)安全要求在軟硬件層面的正確執(zhí)行,結(jié)合應(yīng)用場(chǎng)景選用故障注入測(cè)試方法對(duì)電池管理系統(tǒng)的典型功能故障進(jìn)行測(cè)試。
1相關(guān)項(xiàng)定義與HARA分析
1.1相關(guān)項(xiàng)定義
1.1.1電池管理系統(tǒng)功能概念
電池管理系統(tǒng)負(fù)責(zé)管理電池系統(tǒng)的安全、高效、合理運(yùn)行,電池管理系統(tǒng)作為電池系統(tǒng)的控制樞紐,對(duì)電池在整車上的安全運(yùn)行起著至關(guān)重要的作用。電池管理系統(tǒng)的主要功能包括狀態(tài)參數(shù)采集與SOX估算、故障診斷、充放電控制、系統(tǒng)能量控制管理、均衡管理、熱管理和數(shù)據(jù)信息管理。其中,與電池安全使用過(guò)程關(guān)聯(lián)最為密切的則是電池管理系統(tǒng)的充放電控制,電池使用無(wú)非在充電狀態(tài)或者放電狀態(tài)。動(dòng)力電池的充放電過(guò)程將直接影響到電池的壽命與安全,需要具備充放電控制的合理流程和保護(hù)機(jī)制。
l)充電管理:該功能旨在通過(guò)電池管理系統(tǒng)的控制管理,使得動(dòng)力蓄電池在充電過(guò)程中處于安全狀態(tài)。電池管理系統(tǒng)在動(dòng)力蓿電池充電過(guò)程中對(duì)充電電壓、充電電流、可檢測(cè)到的電池溫度等參數(shù)進(jìn)行控制優(yōu)化,確保動(dòng)力蓄電池在充電過(guò)程中的安全。
2)放電管理:該功能旨在通過(guò)電池管理系統(tǒng)的控制管理,使得動(dòng)力蓄電池在放電過(guò)程中處于安全狀態(tài)。電池管理系統(tǒng)在動(dòng)力蓄電池放電過(guò)程中對(duì)放電電壓、放電電流、可檢測(cè)到的電池溫度等參數(shù)進(jìn)行控制優(yōu)化,確保動(dòng)力蓄電池在放電過(guò)程中的安全。
1.1.2電池管理系統(tǒng)的邊界和接口
根據(jù)ISO26262中定義相關(guān)項(xiàng)的邊界、接口以及提出與其他相關(guān)項(xiàng)和要素交互關(guān)系的假設(shè)要求,同時(shí)還要考慮到影響相關(guān)項(xiàng)功能的運(yùn)行場(chǎng)景。
電池管理系統(tǒng)相關(guān)項(xiàng)的邊界和接口如圖2所示,主要包括傳感器要素、控制器要素、執(zhí)行器要素及電氣附件要素。其他相關(guān)項(xiàng)和要素如整車低壓蓄電池、整車動(dòng)力控制系統(tǒng)(整車控制器、電機(jī)控制器等)、高壓部件、充電接口(對(duì)于具有可外接充電功能的電動(dòng)汽車)。
l)傳感器要素用于測(cè)量電池組內(nèi)部的相關(guān)信息,包括但不限于:電芯單體的電壓及表面溫度、電芯模組電壓、電池組電流、電池組總電壓,電池組內(nèi)部自定義采樣點(diǎn)電壓、電池組內(nèi)部自定義采樣點(diǎn)溫度等。
2)控制器要素主要對(duì)于傳感器要素采集的信息或收到的其他外圍系統(tǒng)發(fā)送信息進(jìn)行邏輯判斷及算法計(jì)算,并與其他外圍系統(tǒng)進(jìn)行信息交互,或控制執(zhí)行器要素進(jìn)行工作。
3))執(zhí)行器要素主要根據(jù)控制器要素的決策及指令,執(zhí)行相關(guān)動(dòng)作,典型的動(dòng)作包括主負(fù)接觸器開(kāi)關(guān)控制、主正接觸器開(kāi)關(guān)控制、預(yù)充電接觸器開(kāi)關(guān)控制、冷卻水泵控制、冷卻風(fēng)扇控制等。
4))電氣附件要素主要對(duì)電池組進(jìn)行安全保護(hù),典型附件包括熔絲、服務(wù)開(kāi)關(guān)、隔離開(kāi)關(guān)等。
考慮到電池管理系統(tǒng)安裝在整車的不同部位、車輛配置不同、一系列環(huán)境條件(溫度、海拔、濕度、路況、天氣等)和運(yùn)行模式,本文主要研究充電模式和放電模式,因此分析得到車輛典型運(yùn)行場(chǎng)景見(jiàn)表l。
1.2HARA分析
1.2.1危害分析
危害分析和風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別相關(guān)項(xiàng)中因故障而引起的危害并對(duì)危害進(jìn)行歸類,制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo),以避免不合理的風(fēng)險(xiǎn)。
電動(dòng)汽車動(dòng)力電池系統(tǒng)在充放電過(guò)程中動(dòng)力電池內(nèi)部發(fā)生各種電化學(xué)反應(yīng),多采用應(yīng)用危害與可操作性分析(HAZOP)、自上而下-故障樹(shù)分析(ITA)和自下而上-故障模式分析(FMEA)等方法識(shí)別電池管理系統(tǒng)在充放電過(guò)程中的功能異常。
結(jié)合電動(dòng)車輛的典型應(yīng)用場(chǎng)景和功能概念,采用應(yīng)用危害與可操作性分析(HAZOP)方法得到充放電功能異常表現(xiàn),見(jiàn)表2。
1.2.2風(fēng)險(xiǎn)評(píng)估
針對(duì)ISO26262中對(duì)于風(fēng)險(xiǎn)評(píng)估給定了三個(gè)關(guān)鍵參數(shù):嚴(yán)重度S、暴露度E和可控度C,最終由這三個(gè)參數(shù)的等級(jí)綜合確定出危害事件的ASIL等級(jí)。
l)嚴(yán)重度S:表示在發(fā)生功能故障時(shí)(包括駕駛員、乘員、行人和環(huán)境)對(duì)人體的傷害程度。分為SO、Sl、S2、S3四個(gè)等級(jí),依次表示傷害的嚴(yán)重程度為無(wú)傷害、輕度和中度傷害、嚴(yán)重的和危及生命的傷害、危及生命和致命的傷害。
2)暴露度E:表示在發(fā)生功能故障或危害事件發(fā)生時(shí)所處車輛運(yùn)行場(chǎng)景發(fā)生的概率,而不是危害事件發(fā)生的概率。分為EO、El、E2、E3和E4五個(gè)等級(jí),依次表示暴露的暴露概率為不可能、非常低的概率、低概率、中等概率和高概率。
3)可控度C:表示在發(fā)生危害事件時(shí)預(yù)估駕駛員或其他人員對(duì)該危害事件的可控性。分為co、Cl、C2、C3四個(gè)等級(jí),依次表示可控的可控程度為可控、簡(jiǎn)單可控、一般可控和難以控制或不可控。
按照上述風(fēng)險(xiǎn)評(píng)估的細(xì)則和要求,考慮最嚴(yán)苛情況下的潛在事故場(chǎng)景,通過(guò)分析電池在過(guò)電壓、過(guò)電流和過(guò)溫下的一系列內(nèi)部化學(xué)反應(yīng),均可能引發(fā)電池?zé)崾Э兀瑫?huì)釋放有害物質(zhì),整車層面危害即導(dǎo)致車輛冒煙、起火、爆炸,因此得到危害分析及風(fēng)險(xiǎn)評(píng)估結(jié)果,見(jiàn)表3。
1.2.3ASIL等級(jí)確定
每一個(gè)危害事件的ASIL等級(jí)應(yīng)根據(jù)表4和表5進(jìn)行確定,其中ASILA是最低的安全完整性等級(jí),ASILD是最高的安全完整性等級(jí),除了4個(gè)ASIL等級(jí)之外,QM(質(zhì)量管理)等級(jí)表示不做要求規(guī)定。
2BMS故障注入測(cè)試
2.1故障注入測(cè)試方法
故障注入測(cè)試方法是ISO26262功能安全國(guó)際標(biāo)準(zhǔn)中所提供的一種軟硬件集成測(cè)試方法,能夠通過(guò)虛擬仿真測(cè)試平臺(tái)對(duì)一些極端故障、復(fù)雜故障進(jìn)行模擬,能夠極大地減少測(cè)試成本和測(cè)試周期,又能夠較為真實(shí)地還原故障場(chǎng)景,是對(duì)電池管理系統(tǒng)安全機(jī)制有效性及魯棒性的最佳測(cè)試方法。故障注入測(cè)試方法需要預(yù)先確定測(cè)試前的系統(tǒng)環(huán)境、要注入的故障模型、預(yù)期輸出結(jié)果、實(shí)際輸出結(jié)果、故障恢復(fù)方法。
本文測(cè)試方法采用硬件在環(huán)系統(tǒng)對(duì)電動(dòng)汽車電池管理系統(tǒng)的相關(guān)功能進(jìn)行功能安全測(cè)試,其中包含了BMS模型的搭建、硬件信號(hào)匹配等,具備CAN信號(hào)監(jiān)控和數(shù)據(jù)保存功能,能夠?yàn)殡姵毓芾硐到y(tǒng)提供信號(hào)輸入,包括單體電壓信號(hào)、溫度信號(hào)、電流信號(hào)等。
2.2故障注入測(cè)試用例
通過(guò)對(duì)電池管理系統(tǒng)在充放電狀態(tài)下的危害分析和風(fēng)險(xiǎn)評(píng)估,確定相應(yīng)危害的功能安全目標(biāo)和安全狀態(tài),見(jiàn)下表6。其中,安全狀態(tài)是指沒(méi)有不合理風(fēng)險(xiǎn)的相關(guān)項(xiàng)的運(yùn)行模式,包括預(yù)期運(yùn)行模式、降級(jí)運(yùn)行模式和關(guān)閉模式,本研究是考慮最嚴(yán)苛情況下而確定的安全狀態(tài)。
根據(jù)安全目標(biāo)、功能安全要求和安全狀態(tài),為了能夠通過(guò)系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)相關(guān)的功能安全要求,需要定義技術(shù)安全要求,從而得到故障注入的測(cè)試用例,技術(shù)安全要求見(jiàn)表7。
本文所研究的測(cè)試對(duì)象為電池管理系統(tǒng),單體電壓正常范圍為1.8~3.85V,單體溫度正常范圍為-40~65°C,總電壓正常范圍為223.2~477.4V,最大允許放電電流440A,最大允許充電電流270A,CANFD通信波特率500khit/s。以防止電池單體過(guò)充電導(dǎo)致熱失控、防止電池單體過(guò)溫導(dǎo)致熱失控、防止動(dòng)力蓄電池系統(tǒng)過(guò)電流導(dǎo)致熱失控為安全目標(biāo),結(jié)合所測(cè)試電池管理系統(tǒng)的故障保護(hù)邊界值,設(shè)計(jì)測(cè)試用例,見(jiàn)表8,測(cè)試平臺(tái)搭建如圖3所示。
3測(cè)試結(jié)果分析
針對(duì)所研究的典型應(yīng)用場(chǎng)景和風(fēng)險(xiǎn)評(píng)估分析,制定防止電池單體過(guò)充電導(dǎo)致熱失控、防止電池單體過(guò)溫導(dǎo)致熱失控、防止動(dòng)力蓄電池系統(tǒng)過(guò)電流導(dǎo)致熱失控為安全目標(biāo),設(shè)計(jì)滿足要求的測(cè)試用例。采用硬件在環(huán)系統(tǒng)對(duì)單體電壓信號(hào)、單體溫度信號(hào)和系統(tǒng)電流信號(hào)進(jìn)行傳感器硬件方式故障注入,搭建潛在失效場(chǎng)景進(jìn)行測(cè)試。
3.1故障注入測(cè)試用例-HARA01
通過(guò)硬件在環(huán)系統(tǒng)設(shè)定電池單體電壓為3.895V,該電壓超過(guò)了電池單體最高電壓3.85V,BMS上報(bào)電池單體過(guò)電壓故障,并且執(zhí)行斷開(kāi)接觸器,實(shí)測(cè)FTTI時(shí)間為3.30s。
3.2故障注入測(cè)試用例-HARA02
通過(guò)硬件在環(huán)系統(tǒng)設(shè)定分流器模擬電壓,模擬充電場(chǎng)景電流278.4A,超過(guò)了最大允許充電電流270A,BMS上報(bào)總電流過(guò)電流故障,并且執(zhí)行斷開(kāi)接觸器,實(shí)測(cè)FTTI時(shí)間為3.38s。
3.3故障注入測(cè)試用例-HARA03
通過(guò)硬件在環(huán)系統(tǒng)模擬電壓輸出用于設(shè)定BMS的單體溫度檢測(cè)值,設(shè)置電池單體最高溫度為66°C,超過(guò)了單體最高正常溫度65°C,BMS上報(bào)單體過(guò)溫故障報(bào)警,并且執(zhí)行斷開(kāi)接觸器,實(shí)測(cè)FTTI時(shí)間為3.05s。
3.4故障注入測(cè)試用例-HARA04
通過(guò)硬件在環(huán)系統(tǒng)給定分流器模擬電壓,模擬放電場(chǎng)景電流450A,超過(guò)了最大允許放電電流440A,BMS上報(bào)總電流過(guò)電流故障,并且執(zhí)行斷開(kāi)接觸器,實(shí)測(cè)FTTI時(shí)間為3.36s。
通過(guò)分析不同測(cè)試用例的測(cè)試結(jié)果,通過(guò)傳感器硬件方式故障注入,并且結(jié)合CAN總線信號(hào)發(fā)送使電池管理系統(tǒng)進(jìn)入相應(yīng)模式。通過(guò)被測(cè)電池管理系統(tǒng)CAN報(bào)文信號(hào)監(jiān)控,對(duì)測(cè)試數(shù)據(jù)進(jìn)行分析,電池管理系統(tǒng)具備電池單體過(guò)充電故障、電池單體過(guò)溫故障和系統(tǒng)過(guò)電流故障保護(hù)的功能,能夠在故障容錯(cuò)時(shí)間間隔FTII內(nèi)完成診斷測(cè)試、故障響應(yīng)并準(zhǔn)確進(jìn)入安全狀態(tài),在信號(hào)失效或者非正常狀態(tài)下安全機(jī)制有效,符合功能安全標(biāo)準(zhǔn)要求。
4結(jié)論
依據(jù)ISO26262《道路車輛功能安全》和GB/T390862020《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》標(biāo)準(zhǔn),結(jié)合被測(cè)電池管理系統(tǒng)的功能參數(shù)與設(shè)計(jì)要求,對(duì)電池管理系統(tǒng)進(jìn)行基于故障注入的功能安全測(cè)試方法進(jìn)行研究,建立了基于硬件在環(huán)仿真系統(tǒng)的測(cè)試平臺(tái),用于功能安全確認(rèn)與驗(yàn)證。
通過(guò)實(shí)例測(cè)試證明,該測(cè)試方法不需要改變被測(cè)對(duì)象的內(nèi)部結(jié)構(gòu)和程序邏輯,基于CAN總線邏輯信號(hào)和硬件在環(huán)信號(hào),能夠快速搭建測(cè)試所需要的應(yīng)用場(chǎng)景和故障測(cè)試信號(hào),并且能夠?qū)y(cè)試結(jié)果進(jìn)行分析,驗(yàn)證安全機(jī)制的有效性和合理性。
點(diǎn)贊 0 反對(duì) 0 舉報(bào) 0
收藏 0
評(píng)論 0 分享 102
廣告 編輯推薦
最新資訊
-
“汽車爬坡試驗(yàn)方法”將有國(guó)家標(biāo)準(zhǔn)
2026-03-03 12:44
-
十年耐久監(jiān)管時(shí)代:電池系統(tǒng)開(kāi)發(fā)策略將如何
2026-03-03 12:44
-
聯(lián)合國(guó)法規(guī)R59對(duì)機(jī)動(dòng)車備用消聲系統(tǒng)的工程
2026-03-03 12:08
-
聯(lián)合國(guó)法規(guī)R58對(duì)后下部防護(hù)裝置的工程化約
2026-03-03 12:07
-
聯(lián)合國(guó)法規(guī)R57對(duì)摩托車前照燈配光性能的工
2026-03-03 12:07
