中汽研-基于故障注入的 BMS 功能安全测试方法研究

2021-11-17 14:23:03·  来源:电动学堂  作者:解坤等  
 
文章来源:中汽研汽车检验中心(天津)有限公司,中国汽车技术研究中心有限公司,天津市电动汽车评价技术企业重点实验室引言电池管理系统是新能源汽车的核心电子
文章来源:中汽研汽车检验中心(天津)有限公司,中国汽车技术研究中心有限公司,天津市电动汽车评价技术企业重点实验室

引言
电池管理系统是新能源汽车的核心电子电气部件,其功能的合理性、鲁棒性以及故障处理机制非常重要,电池管理系统的功能失效以及不合理机制往往直接导致电池起火爆炸等危险发生,因此需要对电池管理系统的可靠性和安全性进行有效测试。
ISO26262功能安全标准中基于V模型为产品开发提供了参考依据,从产品开发系统层面、硬件层面和软件层面进行集成测试。本文从软硬件集成层面,采用需求分析方法导出集成测试用例,为了实现技术安全要求在软硬件层面的正确执行,结合应用场景选用故障注入测试方法对电池管理系统的典型功能故障进行测试。

1相关项定义与HARA分析
1.1相关项定义
1.1.1电池管理系统功能概念
电池管理系统负责管理电池系统的安全、高效、合理运行,电池管理系统作为电池系统的控制枢纽,对电池在整车上的安全运行起着至关重要的作用。电池管理系统的主要功能包括状态参数采集与SOX估算、故障诊断、充放电控制、系统能量控制管理、均衡管理、热管理和数据信息管理。其中,与电池安全使用过程关联最为密切的则是电池管理系统的充放电控制,电池使用无非在充电状态或者放电状态。动力电池的充放电过程将直接影响到电池的寿命与安全,需要具备充放电控制的合理流程和保护机制。
l)充电管理:该功能旨在通过电池管理系统的控制管理,使得动力蓄电池在充电过程中处于安全状态。电池管理系统在动力蓿电池充电过程中对充电电压、充电电流、可检测到的电池温度等参数进行控制优化,确保动力蓄电池在充电过程中的安全。
2)放电管理:该功能旨在通过电池管理系统的控制管理,使得动力蓄电池在放电过程中处于安全状态。电池管理系统在动力蓄电池放电过程中对放电电压、放电电流、可检测到的电池温度等参数进行控制优化,确保动力蓄电池在放电过程中的安全。
1.1.2电池管理系统的边界和接口
根据ISO26262中定义相关项的边界、接口以及提出与其他相关项和要素交互关系的假设要求,同时还要考虑到影响相关项功能的运行场景。
电池管理系统相关项的边界和接口如图2所示,主要包括传感器要素、控制器要素、执行器要素及电气附件要素。其他相关项和要素如整车低压蓄电池、整车动力控制系统(整车控制器、电机控制器等)、高压部件、充电接口(对于具有可外接充电功能的电动汽车)。

l)传感器要素用于测量电池组内部的相关信息,包括但不限于:电芯单体的电压及表面温度、电芯模组电压、电池组电流、电池组总电压,电池组内部自定义采样点电压、电池组内部自定义采样点温度等。
2)控制器要素主要对于传感器要素采集的信息或收到的其他外围系统发送信息进行逻辑判断及算法计算,并与其他外围系统进行信息交互,或控制执行器要素进行工作。
3))执行器要素主要根据控制器要素的决策及指令,执行相关动作,典型的动作包括主负接触器开关控制、主正接触器开关控制、预充电接触器开关控制、冷却水泵控制、冷却风扇控制等。
4))电气附件要素主要对电池组进行安全保护,典型附件包括熔丝、服务开关、隔离开关等。
考虑到电池管理系统安装在整车的不同部位、车辆配置不同、一系列环境条件(温度、海拔、湿度、路况、天气等)和运行模式,本文主要研究充电模式和放电模式,因此分析得到车辆典型运行场景见表l。

1.2HARA分析
1.2.1危害分析
危害分析和风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类,制定防止危害事件发生或减轻危害程度的安全目标,以避免不合理的风险。
电动汽车动力电池系统在充放电过程中动力电池内部发生各种电化学反应,多采用应用危害与可操作性分析(HAZOP)、自上而下-故障树分析(ITA)和自下而上-故障模式分析(FMEA)等方法识别电池管理系统在充放电过程中的功能异常。
结合电动车辆的典型应用场景和功能概念,采用应用危害与可操作性分析(HAZOP)方法得到充放电功能异常表现,见表2。

1.2.2风险评估
针对ISO26262中对于风险评估给定了三个关键参数:严重度S、暴露度E和可控度C,最终由这三个参数的等级综合确定出危害事件的ASIL等级。
l)严重度S:表示在发生功能故障时(包括驾驶员、乘员、行人和环境)对人体的伤害程度。分为SO、Sl、S2、S3四个等级,依次表示伤害的严重程度为无伤害、轻度和中度伤害、严重的和危及生命的伤害、危及生命和致命的伤害。
2)暴露度E:表示在发生功能故障或危害事件发生时所处车辆运行场景发生的概率,而不是危害事件发生的概率。分为EO、El、E2、E3和E4五个等级,依次表示暴露的暴露概率为不可能、非常低的概率、低概率、中等概率和高概率。
3)可控度C:表示在发生危害事件时预估驾驶员或其他人员对该危害事件的可控性。分为co、Cl、C2、C3四个等级,依次表示可控的可控程度为可控、简单可控、一般可控和难以控制或不可控。
按照上述风险评估的细则和要求,考虑最严苛情况下的潜在事故场景,通过分析电池在过电压、过电流和过温下的一系列内部化学反应,均可能引发电池热失控,会释放有害物质,整车层面危害即导致车辆冒烟、起火、爆炸,因此得到危害分析及风险评估结果,见表3。
1.2.3ASIL等级确定
每一个危害事件的ASIL等级应根据表4和表5进行确定,其中ASILA是最低的安全完整性等级,ASILD是最高的安全完整性等级,除了4个ASIL等级之外,QM(质量管理)等级表示不做要求规定。
2BMS故障注入测试
2.1故障注入测试方法
故障注入测试方法是ISO26262功能安全国际标准中所提供的一种软硬件集成测试方法,能够通过虚拟仿真测试平台对一些极端故障、复杂故障进行模拟,能够极大地减少测试成本和测试周期,又能够较为真实地还原故障场景,是对电池管理系统安全机制有效性及鲁棒性的最佳测试方法。故障注入测试方法需要预先确定测试前的系统环境、要注入的故障模型、预期输出结果、实际输出结果、故障恢复方法。
本文测试方法采用硬件在环系统对电动汽车电池管理系统的相关功能进行功能安全测试,其中包含了BMS模型的搭建、硬件信号匹配等,具备CAN信号监控和数据保存功能,能够为电池管理系统提供信号输入,包括单体电压信号、温度信号、电流信号等。
2.2故障注入测试用例
通过对电池管理系统在充放电状态下的危害分析和风险评估,确定相应危害的功能安全目标和安全状态,见下表6。其中,安全状态是指没有不合理风险的相关项的运行模式,包括预期运行模式、降级运行模式和关闭模式,本研究是考虑最严苛情况下而确定的安全状态。
根据安全目标、功能安全要求和安全状态,为了能够通过系统设计实现相关的功能安全要求,需要定义技术安全要求,从而得到故障注入的测试用例,技术安全要求见表7。

本文所研究的测试对象为电池管理系统,单体电压正常范围为1.8~3.85V,单体温度正常范围为-40~65°C,总电压正常范围为223.2~477.4V,最大允许放电电流440A,最大允许充电电流270A,CANFD通信波特率500khit/s。以防止电池单体过充电导致热失控、防止电池单体过温导致热失控、防止动力蓄电池系统过电流导致热失控为安全目标,结合所测试电池管理系统的故障保护边界值,设计测试用例,见表8,测试平台搭建如图3所示。
3测试结果分析
针对所研究的典型应用场景和风险评估分析,制定防止电池单体过充电导致热失控、防止电池单体过温导致热失控、防止动力蓄电池系统过电流导致热失控为安全目标,设计满足要求的测试用例。采用硬件在环系统对单体电压信号、单体温度信号和系统电流信号进行传感器硬件方式故障注入,搭建潜在失效场景进行测试。
3.1故障注入测试用例-HARA01
通过硬件在环系统设定电池单体电压为3.895V,该电压超过了电池单体最高电压3.85V,BMS上报电池单体过电压故障,并且执行断开接触器,实测FTTI时间为3.30s。

3.2故障注入测试用例-HARA02
通过硬件在环系统设定分流器模拟电压,模拟充电场景电流278.4A,超过了最大允许充电电流270A,BMS上报总电流过电流故障,并且执行断开接触器,实测FTTI时间为3.38s。

3.3故障注入测试用例-HARA03
通过硬件在环系统模拟电压输出用于设定BMS的单体温度检测值,设置电池单体最高温度为66°C,超过了单体最高正常温度65°C,BMS上报单体过温故障报警,并且执行断开接触器,实测FTTI时间为3.05s。

3.4故障注入测试用例-HARA04
通过硬件在环系统给定分流器模拟电压,模拟放电场景电流450A,超过了最大允许放电电流440A,BMS上报总电流过电流故障,并且执行断开接触器,实测FTTI时间为3.36s。
通过分析不同测试用例的测试结果,通过传感器硬件方式故障注入,并且结合CAN总线信号发送使电池管理系统进入相应模式。通过被测电池管理系统CAN报文信号监控,对测试数据进行分析,电池管理系统具备电池单体过充电故障、电池单体过温故障和系统过电流故障保护的功能,能够在故障容错时间间隔FTII内完成诊断测试、故障响应并准确进入安全状态,在信号失效或者非正常状态下安全机制有效,符合功能安全标准要求。

4结论
依据ISO26262《道路车辆功能安全》和GB/T390862020《电动汽车用电池管理系统功能安全要求及试验方法》标准,结合被测电池管理系统的功能参数与设计要求,对电池管理系统进行基于故障注入的功能安全测试方法进行研究,建立了基于硬件在环仿真系统的测试平台,用于功能安全确认与验证。

通过实例测试证明,该测试方法不需要改变被测对象的内部结构和程序逻辑,基于CAN总线逻辑信号和硬件在环信号,能够快速搭建测试所需要的应用场景和故障测试信号,并且能够对测试结果进行分析,验证安全机制的有效性和合理性。
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25