【AUTOSAR】BMS开发实际项目讲解(十一)----电池管理系统相关项功能安全要求

最新推荐文章于 2026-04-27 13:50:06 发布
原创 最新推荐文章于 2026-04-27 13:50:06 发布 · 1.7k 阅读 · 22 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #单片机 #嵌入式硬件 #CCP #AUTOSAR
#电池管理系统 #26262
文章详细阐述了BMS系统在防止电池单体过充、过放和过温导致热失控的功能安全要求。具体包括监测单体电压、温度和电流,设定安全阈值,规定故障探测和响应时间,并在异常时断开高压回路,同时发出警告和限制功率。每个功能安全要求都关联了特定的ASIL等级,并指定了功能组件和接口职责。

    1. 相关项功能安全要求
      1. SG-BMS-1 : BMS系统应防止电池单体过充导致热失控(ASIL C
        1. 功能框图(SG-BMS-1

 

    功能组件说明

功能组件ID

功能组件名称

描述

ASIL等级

FSC-FC-01

Detection Cell Volt&Temp

采集表征单体电压和温度的模拟信号

ASIL C

FSC-FC-02

Detection Current

采集表征电流的数字信号

QM

FSC-FC-03

Detection Charging Signal

采集表征CC、CP、CC2和充电供电的模拟或数字信号

QM

FSC-FC-04

Charge &Discharge Mgt

管理电池系统的充电和放电,监控电池系统状态,并实施保护

ASIL C

FSC-FC-05

Relay Drive

驱动继电器开启和关断

ASIL C

FSC-FC-06

Charge &Discharge Capacity

向外部充电设备/负载输出电池系统可用的充放电功率(CAN信号)

QM

功能组件接口说明

接口ID

接口属性

描述

ASIL等级

I-01

AI

表征单体电压和温度的模拟信号

ASIL C

I-02

DI

表征电流的数字信号

QM

I-03

DI

表征单体电压和温度的数字信号

ASIL C

I-04

DI

表征电流的数字信号

QM

I-05

DI

表征CC、CP、CC2和充电供电的数字信号

QM

I-06

DO

驱动控制信号(使能/禁能)

ASIL C

I-07

DO

电池系统SOP信息

QM

I-08

CAN

高压上下电指令,请求放电功率

QM

I-09

AO

继电器驱动输出

ASIL C

I-10

CAN

电池系统当前允许的充电功率

QM

I-11

CAN

电池系统当前允许的充放电功率

QM

I-12

CAN

逆变器请求的放电功率

QM

I-13

A/DO

CC、CP信号交互

QM

I-14

DO

CC2、charger power信号交互

QM

        1. 功能安全要求描述(SG-BMS-1

安全目标 ID

SG-BMS-1

FTTI

4000ms

故障探测时间间隔

≤3500ms

故障响应时间间隔

≤500ms

安全阈值

单体过压安全阈值:≥4.25V

安全状态

断开高压回路

运行模式

充电模式,驱动模式,空闲模式

FSR ID

FSR-BMS-11

安全目标 ID

SG-BMS-1

要求

BMS系统应监测所有单体电压信息,判断电池单体电压值是否超过安全阈值

ASIL等级

ASIL C

状态

Draft

FSR的分配

Cell_AFE Module, MCU Module, Power Supply Module

备注

 继承SGASIL

FSR ID

FSR-BMS-12

安全目标 ID

SG-BMS-1

要求

当电池单体电压值超过安全阈值时,使动力蓄电池系统在FRT时间内断开高压回路进入安全状态,在电池单体过充故障退出、消除条件未满足时,不应退出安全状态; 

ASIL等级

ASIL C

状态

Draft

FSR的分配

Relay Control Module, V_CAN Module, MCU Module, Power Supply Module

备注

 继承SGASILFSR允许BMS有自主控制高压回路继电器的功能

FSR ID

FSR-BMS-13

安全目标 ID

SG-BMS-1

要求

BMS系统在激活状态下,为防止过充保护的故障潜伏,应发出故障信息,以便警示驾驶员。

ASIL等级

ASIL A

状态

Draft

FSR的分配

V_CAN Module, MCU Module, Power Supply Module

备注

假设整车报警执行器能够及时且正确地响应报警请求,满足ASIL A要求

FSR ID

FSR-BMS-14

安全目标 ID

SG-BMS-1

要求

在电池管理系统检测到电池单体接近于触发过压故障,应提前限制充电、回馈功率,让整车进入降级运行模式。

ASIL等级

QM

状态

Draft

FSR的分配

V_CAN Module, C_CAN Module, MCU Module, Power Supply Module

备注

假设外部ECU能够及时且正确地响应功率限制,满足QM要求

      1. SG-BMS-2 : BMS系统应防止电池单体过放后再充电导致热失控(ASIL B
        1. 功能框图(SG-BMS-2

 

    功能组件说明

功能组件ID

功能组件名称

描述

ASIL等级

FSC-FC-01

Detection Cell Volt&Temp

采集表征单体电压和温度的模拟信号

ASIL B

FSC-FC-02

Detection Current

采集表征电流的数字信号

QM

FSC-FC-03

Detection Charging Signal

采集表征CC、CP、CC2和充电供电的模拟或数字信号

QM

FSC-FC-04

Charge &Discharge Mgt

管理电池系统的充电和放电,监控电池系统状态,并实施保护

ASIL B

FSC-FC-05

Relay Drive

驱动继电器开启和关断

ASIL B

FSC-FC-06

Charge &Discharge Capacity

向外部充电设备/负载输出电池系统可用的充放电功率(CAN信号)

QM

功能组件接口说明

接口ID

接口属性

描述

ASIL等级

I-01

AI

表征单体电压和温度的模拟信号

ASIL B

I-02

DI

表征电流的数字信号

QM

I-03

DI

表征单体电压和温度的数字信号

ASIL B

I-04

DI

表征电流的数字信号

QM

I-05

DI

表征CC、CP、CC2和充电供电的数字信号

QM

I-06

DO

驱动控制信号(使能/禁能)

ASIL B

I-07

DO

电池系统SOP信息

QM

I-08

CAN

高压上下电指令,请求放电功率

QM

I-09

AO

继电器驱动输出

ASIL B

I-10

CAN

电池系统当前允许的充电功率

QM

I-11

CAN

电池系统当前允许的充放电功率

QM

I-12

CAN

逆变器请求的放电功率

QM

I-13

A/DO

CC、CP信号交互

QM

I-14

DO

CC2、charger power信号交互

QM

        1. 功能安全要求描述(SG-BMS-2

安全目标 ID

SG-BMS-2

FTTI

4000ms

故障探测时间间隔

3500ms

故障响应时间间隔

≤500ms

安全阈值

单体欠压安全阈值:

1)≤1.6V @ -30℃≤温度<-20℃

2)≤2.0V @ -20℃≤温度< 0℃

3)≤2.3V@ 温度≥0℃

安全状态

断开高压回路

运行模式

充电模式,驱动模式,空闲模式

FSR ID

FSR-BMS-21

安全目标 ID

SG-BMS-2

要求

BMS系统应监测所有单体电压信息,判断电池单体电压值是否低于安全阈值

ASIL等级

ASIL B

状态

Draft

FSR的分配

Cell_AFE Module, MCU Module, Power Supply Module

备注

 继承SGASIL

FSR ID

FSR-BMS-22

安全目标 ID

SG-BMS-2

要求

当电池单体电压值低于安全阈值时,使动力蓄电池系统在FRT 时间内断开充电高压回路进入安全状态,在电池单体过放故障退出、消除条件未满足时,不应退出安全状态;

ASIL等级

ASIL B

状态

Draft

FSR的分配

Relay Control Module, V_CAN Module, MCU Module, Power Supply Module

备注

 继承SGASILFSR允许BMS有自主控制高压回路继电器的功能

FSR ID

FSR-BMS-23

安全目标 ID

SG-BMS-2

要求

BMS系统在激活状态下,为防止过放保护的故障潜伏,应发出故障信息,以便警示驾驶员。

ASIL等级

ASIL A

状态

Draft

FSR的分配

V_CAN Module, MCU Module, Power Supply Module

备注

 假设整车报警执行器能够及时且正确地响应报警请求,满足ASIL A要求

FSR ID

FSR-BMS-24

安全目标 ID

SG-BMS-2

要求

在电池管理系统检测到电池单体接近于触发过放故障,应提前限制放电功率,让整车进入降级运行模式。

ASIL等级

QM

状态

Draft

FSR的分配

V_CAN Module, MCU Module, Power Supply Module

备注

 假设外部ECU能够及时且正确地响应功率限制,满足QM要求

      1. SG-BMS-3 : BMS系统应防止电池单体过温导致热失控(ASIL C
        1. 功能框图(SG-BMS-3

 

    功能组件说明

功能组件ID

功能组件名称

描述

ASIL等级

FSC-FC-01

Detection Cell Volt&Temp

采集表征单体电压和温度的模拟信号

ASIL C

FSC-FC-02

Detection Current

采集表征电流的数字信号

QM

FSC-FC-03

Detection Charging Signal

采集表征CC、CP、CC2和充电供电的模拟或数字信号

QM

FSC-FC-04

Charge &Discharge Mgt

管理电池系统的充电和放电,监控电池系统状态,并实施保护

ASIL C

FSC-FC-05

Relay Drive

驱动继电器开启和关断

ASIL C

FSC-FC-06

Charge &Discharge Capacity

向外部充电设备/负载输出电池系统可用的充放电功率(CAN信号)

QM

功能组件接口说明

接口ID

接口属性

描述

ASIL等级

I-01

AI

表征单体电压和温度的模拟信号

ASIL C

I-02

DI

表征电流的数字信号

QM

I-03

DI

表征单体电压和温度的数字信号

ASIL C

I-04

DI

表征电流的数字信号

QM

I-05

DI

表征CC、CP、CC2和充电供电的数字信号

QM

I-06

DO

驱动控制信号(使能/禁能)

ASIL C

I-07

DO

电池系统SOP信息

QM

I-08

CAN

高压上下电指令,请求放电功率

QM

I-09

AO

继电器驱动输出

ASIL C

I-10

CAN

电池系统当前允许的充电功率

QM

I-11

CAN

电池系统当前允许的充放电功率

QM

I-12

CAN

逆变器请求的放电功率

QM

I-13

A/DO

CC、CP信号交互

QM

I-14

DO

CC2、charger power信号交互

QM

        1. 功能安全要求描述(SG-BMS-3

安全目标 ID

SG-BMS-3

FTTI

4000ms

故障探测时间间隔

≤3500ms

故障响应时间间隔

≤500ms

安全阈值

过温安全阈值:≥59

安全状态

断开高压回路

运行模式

充电模式,驱动模式,空闲模式

FSR ID

FSR-BMS-31

安全目标 ID

SG-BMS-3

要求

BMS系统应监测所有单体温度信息,判断电池单体温度值是否高于安全阈值

ASIL等级

ASIL C

状态

Draft

FSR的分配

Cell_AFE Module, MCU Module, Power Supply Module

备注

 继承SGASIL

FSR ID

FSR-BMS-32

安全目标 ID

SG-BMS-3

要求

当电池单体温度值高于安全阈值时,使动力蓄电池系统在FRT 时间内断开高压回路进入安全状态,在电池单体过温故障退出、消除条件未满足时,不应退出安全状态;

ASIL等级

ASIL C

状态

Draft

FSR的分配

Relay Control Module, V_CAN Module, MCU Module, Power Supply Module

备注

 继承SGASILFSR允许BMS有自主控制高压回路继电器的功能

FSR ID

FSR-BMS-33

安全目标 ID

SG-BMS-3

要求

BMS系统在激活状态下,为防止过温保护的故障潜伏,应发出故障信息,以便警示驾驶员。

ASIL等级

ASIL A

状态

Draft

FSR的分配

V_CAN Module, MCU Module, Power Supply Module

备注

 假设整车报警执行器能够及时且正确地响应报警请求,满足ASIL A要求

FSR ID

FSR-BMS-34

安全目标 ID

SG-BMS-3

要求

在电池管理系统检测到电池单体接近于触发过温故障,应提前限制放电、充电和回馈功率,让整车进入降级运行模式。

ASIL等级

QM

状态

Draft

FSR的分配

V_CAN Module, C_CAN Module, MCU Module, Power Supply Module

备注

 假设外部ECU能够及时且正确地响应功率限制,满足QM要求

BMS技术解析:AutoSAR
HmoaAmp的博客
09-22 438
AutoSAR目标是推进汽车电子系统的开放性、可重用性和可扩展性,减少不同厂商之间的耦合度,并提高系统的稳定性和安全性。BMS技术的主要任务是监测和管理电池组的状态,包括电池组的电压、电流、温度等参数。通过准确获取电池组的状态信息,BMS可以实现对电池组的充放电控制、保护和故障诊断等功能,从而提高电池组的使用寿命和安全性能。BMS对采集到的数据进行处理和分析,以得出电池组的状态信息。BMS通过实时监测电池组的各参数,可以及时发现故障,并进行相应的诊断和保护措施,防止进一步损害电池组的性能和安全
autosar架构详细介绍_电池管理系统BMS)的基本概述软件架构
weixin_39620197的博客
11-04 2625
点击上方蓝字,你的关注,是对我的最大的鼓励!那有什么岁月静好!只不过有人替你负重前行!武汉因“您”而美丽,中国因“您”更精彩!上篇文章大致描述硬件的架构,含输入,输出,处理模块的一些基本概念,本节主要讲述软件相关的架构及基本信息,供初学者,或者刚开始进行0-1研发的各位同志们一些帮助。软件架构概述整体BMS软件的开发基础,有的买成熟的底层,自己开发应用层,有的买Autosar的对应包,自...
BMS软开系列】1、 ISO 26262功能安全标准 ()
梦想是要有的,万一实现了呢!
11-05 7563
BMS(Battery Management System),也叫电池管理系统。按照新能源汽车对电池管理的需求,BMS具备的功能包括电压、温度、电流采样及相应的过压、欠压、过温、过流保护,SOC/SOH估算、SOP预测、故障诊断、均衡控制、热管理和充电管理等。ISO26262 正式版于1011年11月发布,通过增加安全机制使系统达到可接受安全程度(目的)。ISO26262适用于包含一个或多个电子电气系统的安全相关系统,并且这个系统安装在总量不超过3.5吨的量产乘用车上。
车载BMS功能安全开发避坑指南:从C语言内存越界到ASIL-B认证失败的5个致命陷阱
最新发布
BytePulse的博客
04-27 166
避开C语言车载功能安全BMS开发中的5大致命陷阱,涵盖内存越界、ASIL-B认证失败等典型问题。适用于汽车电子工程师,提供静态分析、MISRA-C合规检查等实战方法,提升功能安全可靠性。值得收藏
AUTOSARBMS开发实际项目讲解(三)----驱动及采样操作系统诊断需求
hellotzx的博客
06-27 2417
当1或者2个报文周期未接收到报文Rx(1->0),收到1桢报文(0->1)。故障发生后,接收到1帧报文timeout立刻恢复(1->0),故障条件满足后(0->1)。Checksum 1帧校验不通过(0->1),校验通过(1->0);Liver Counter故障条件满足(0->1),故障条件不满足(1->0);timeout故障发生时Liver Counter、Checksum状态无需处理,接收到1帧报文,Liver Counter 、Checksum算法重新计算,同报文刚接收(1->0)
AUTOSARBMS开发实际项目讲解(三十一----电池管理系统电池热管理功能
hellotzx的博客
06-30 2455
BMS热管理使能为“禁止”时,不论系统当前处于热管理的何种阶段,强制将BMS热管理请求置为“请求停止”,强制将BMS热管理执行状态置为“故障停止”,同时使能“加热控制(关闭)”和“制冷控制(关闭)”2、其他状态组合,均认为无效组合,并做超时判断,当无效组合存在5s,上报“指令状态不符”故障,“BMS热管理执行状态”置为:故障停止。当前不存在禁止热管理的故障(包括系统内部、外部)时,则为“使能”,否则为“禁止”HeatM_VCUReq为热管理请求指令,对应三种状态:制冷、加热、无需求;
电池管理系统(BMS)软硬件介绍
weixin_41542613的博客
06-01 2万+
带你认识什么是BMS电池管理系统
热门推荐
m0_56208280的博客
04-29 2万+
BMS的目的,主要就是为了能够提高电池的利用率,防止电池出现过充电和过放电,延长电池的使用寿命,监控电池的状态...
AUTOSARBMS开发实际项目讲解(十)----电池管理系统安全功能概述
hellotzx的博客
06-28 1414
安全目标中得出功能安全要求,并将其分配给相关的初步架构要素或外部措施。GB20234.1电动汽车传导充电用连接器装置第1部分。GB20234.2电动汽车传导充电用连接器装置第2部分。GB20234.3电动汽车传导充电用连接器装置第3部分。GB18487.1电动汽车传导充电系统第一部分。标定CAN模块,与外部诊断/标定设备进行通讯。直流充电CAN模块,与直流充电设备进行通讯。整车CAN模块,与外部ECU进行通讯。充电信号监测(CC/CP/CC2)在车辆层面所执行功能的系统(组)数字霍尔传感器电源输出。
探索基于AutoSAR架构的BMS电池管理系统模型
2508_94202330的博客
11-23 1493
基于autosar架构的BMS电池管理系统模型,包含脚本、策略文档,内部通讯协议DBC及A2L标定文件等。可用于基于模型的开发BMS软件开发学习,或量产参考。虚拟产品。在汽车电子领域,AutoSAR(Automotive Open System Architecture)架构已经成为行业标准,而BMS(Battery Management System)电池管理系统对于电动汽车的性能和安全性至关重要。
AUTOSARBMS开发实际项目讲解(五)----BMS产品技术方案书(节选)
hellotzx的博客
06-28 3158
本章节针对硬件功能要求的需求对标,确认满足需求的case标注为OK,对于需要澄清或不满足的需求case,标注为TBD,并添加相应说明。本章节针对软件功能要求的需求对标,确认满足需求的case标注为OK,对于需要澄清或不满足的需求case,标注为TBD,并添加相应说明。本章节针对功能要求的需求对标,确认满足需求的case标注为OK,对于需要澄清或不满足的需求case,标注为TBD,并添加相应说明。能检测到系统错误,提供 OS 运行错误回调函数,通过接口传递的错误码, FAW可以知道 OS 运行错误原因;
基于功能安全ISO26262的动力电池BMS解决方案
打怪升级ing
11-07 8494
BMS(Battery Management System)电池管理系统。作为新能源汽车“三电”核心技术之一,BMS在HEV/EV中发挥着重要作用。广义上,BMS包含传统的12/24 V铅酸电池管理,但这里讨论的BMS主要是针对HEV/EV的动力电池管理,从48 V的弱混动到500 V以上的纯电动,恩智浦的BMS解决方案都可以覆盖。一般来说,BMS由一个主控单元和多个从控单元组成,从控单元直接连...
AUTOSARBMS开发实际项目讲解(四)----BMS功能安全清单
hellotzx的博客
06-28 1489
硬件专用措施的定义,如果需要,包括专用措施有效性的依据。对随机硬件失效导致违背安全目标进行评估的评审报告。产品架构应对随机硬件失效的有效性评估的评审报告。产品架构应对随机硬件失效的有效性的分析。由随机硬件失效导致违背安全目标的分析。系统验证报告(系统设计)(更新版)SWRTM(软件需求的追溯关系表)功能安全概念-安全分析-验证评审。软件需求的追溯关系表(更新版)软件需求的追溯关系表(更新版)软件需求的追溯关系表(更新版)软件需求的追溯关系表(更新版)软件需求的追溯关系表(更新版)功能安全评估计划(更新版)
AUTOSARBMS开发实际项目讲解(三十三)----电池管理系统直流交流充电功能
hellotzx的博客
07-03 2564
系统检测到【充电插座温度≥90℃,且持续5s】,上报充电插座过温2级报警,系统限制充电功率为当前请求功率的30%系统检测到【充电插座温度≥105℃,且持续5s】,上报充电插座过温3级报警,系统请求停止充电,执行正常下高压。系统应将“SOP模块输出允许充电电流”与“充电设备反馈最大输出电流”进行取小,得出当前请求电流。系统检测到【充电插座温度<80℃,且持续5s】,解除充电插座过温2级报警。当识别到上述故障时,系统应限制充电功率为当前请求功率的30%系统请求电压固定为:450V(最高允许充电总压+3V)
BMS功能安全目标有哪些?
kaixinmeimei的博客
05-07 914
功能安全安全目标BMS安全等级
BMS功能安全开发流程详解
程序人生,学海无涯
08-28 1万+
尊重原创:https://mp.weixin.qq.com/s/Won30-d3jI7WoC8B6JCdLw 来源:第一电动网作者:129Lab (一):BMS和ISO26262 最近在了解学习关于ISO26262,看了一些文章,本身从事BMS相关的工作,想做一个关于BMS功能安全开发流程的笔记,分三篇文章,第一篇是关于BMS和ISO26262的简介。 BMS & ISO26...
基于AUTOSAR与FEV融合的BMS应用层开发:满足ASIL C安全标准的量产实践
pytorchlight8的博客
02-13 610
本文详细介绍了基于AUTOSAR架构与FEV技术融合的BMS应用层开发实践,重点解析如何满足ASIL C功能安全标准。内容涵盖安全需求分析、软件架构设计、算法优化及量产挑战解决方案,为新能源汽车电池管理系统开发提供可靠参考。
BMS AUTOSAR V4.2 需求规格文件列表
牙擦苏-kuan
06-23 3495
AUTOSAR_TR_ReleaseOverviewAndRevHistory.pdf 01_Standard/AUTOSAR_ASWS_TransformerGeneral.pdf 01_Standard/AUTOSAR_MMOD_XMLSchema.zip 01_Standard/AUTOSAR_MOD_AISpecification.zip 01_Standard/AUTOSAR_MOD_E...
AUTOSARBMS开发实际项目讲解(十二)----电池管理系统绝缘热失控功能安全
hellotzx的博客
06-29 1415
时间内断开高压回路进入安全状态,在高压连接器异常连接故障退出、消除条件未满足时,不应退出安全状态;时间内断开高压回路进入安全状态,在电池单体过温故障退出、消除条件未满足时,不应退出安全状态;时间内断开高压回路进入安全状态,在绝缘过低故障退出、消除条件未满足时,不应退出安全状态;时间内断开高压回路进入安全状态,在过流故障退出、消除条件未满足时,不应退出安全状态;BMS系统在激活状态下,为防止绝缘保护的故障潜伏,应发出故障信息,以便警示驾驶员。管理电池系统的充电和放电,监控电池系统状态,并实施保护。
AUTOSARBMS开发实际项目讲解(十六)----电池管理系统系统电池单体过充保护
hellotzx的博客
06-29 976
当监控到MCU module的安全相关故障时,将会根据故障种类的不同,而输出reset signal / interrupt signal给到MCU module, 或输出SS1&2给到[当监控到自身的安全相关故障时,将会根据故障种类的不同,而输出reset signal / interrupt signal给到MCU module, 或输出SS1&2给到[SC_23所承载的功能,传输HV_μC反馈的高压信息(绝缘采样值、总压值、继电器状态采样值、HV_μC报警信号),输入到[
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大道生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值