【AUTOSAR】BMS开发实际项目讲解（二十二）----电池管理系统高压绝缘保护

最新推荐文章于 2026-06-23 16:33:00 发布

原创最新推荐文章于 2026-06-23 16:33:00 发布 · 1k 阅读

5 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

标签

#电池管理系统 #单片机 #嵌入式硬件 #AUTOSAR #安全

文章描述了一个电池管理系统(BMS)中的高压绝缘保护功能，包括CIDU、HVDU、DIDU、CMU等组件的设计和功能。同时，详细阐述了用于防止故障的安全机制，如MCU的核校验、电源输出监控、HSD/LSD驱动回采等，并列举了多个安全机制的故障检测和处理策略。

1. 高压绝缘保护
  1. 关联的系统需求

TSR-BMS-5101、TSR-BMS-5102、TSR-BMS-5103、TSR-BMS-5104、TSR-BMS-5105、TSR-BMS-5106、TSR-BMS-5107、TSR-BMS-5108、TSR-BMS-5109、TSR-BMS-5110、TSR-BMS-5111、TSR-BMS-5112、TSR-BMS-5113、TSR-BMS-5114、TSR-BMS-5115、TSR-BMS-5116; TSR-BMS-5201;TSR-BMS-5301;

TSR-BMS-S101、TSR-BMS-S102、TSR-BMS-S103、TSR-BMS-S104、TSR-BMS-S105、TSR-BMS-S106、TSR-BMS-S107、TSR-BMS-S108、TSR-BMS-S109；TSR-BMS-S201、TSR-BMS-S202、TSR-BMS-S203、TSR-BMS-S204；TSR-BMS-S301、TSR-BMS-S302、TSR-BMS-S303、TSR-BMS-S304、TSR-BMS-S305、TSR-BMS-S306、TSR-BMS-S307、TSR-BMS-S308；TSR-BMS-S401、TSR-BMS-S402、TSR-BMS-S403；

1. 1. TSC功能框图

1. 1. 1. 功能组件设计描述
      1. CIDU(Charging signal input detection unit)

ID	Function Block Description	ASIL	Ref.
IRLP-301	参见OVP-201	QM
IRLP-302	参见OVP-202	QM

1. 1. 1. 1. HVDU(High voltage signal detection unit)

ID	Function Block Description	ASIL	Ref.
IRLP-401	参见OVP-301	ASILA
IRLP-402	[IMM circuit] block --SC_21所承载的功能，负责将绝缘采样电路的采样信息给到[HV_μC]；	ASILA
IRLP-403	参见OVP-303	ASILA
IRLP-404	参见OVP-304	ASILA
IRLP-405	参见OVP-305	QM
IRLP-406	参见OVP-306	QM（A）
IRLP-407	参见OVP-307	ASILA（A）

1. 1. 1. 1. DIDU(Discharging signal input detection unit)

ID	Function Block Description	ASIL	Ref.
IRLP-501	参见OVP-401	QM
IRLP-502	参见OVP-402	QM

1. 1. 1. 1. CMU(Cell management unit)

ID	Function Block Description	ASIL	Ref.
IRLP-601	参见OVP-501	QM
IRLP-602	参见OVP-502	QM
IRLP-603	参见OVP-503	QM

1. 1. 1. 1. Function layer

ID	Function Block Description	ASIL	Ref.
IRLP-701	参见OVP-601	QM
IRLP-702	参见OVP-602	QM
IRLP-703	参见OVP-603	QM
IRLP-704	参见OVP-604	QM
IRLP-705	参见OVP-605	QM
IRLP-706	参见OVP-606	QM
IRLP-707	参见OVP-607	QM

1. 1. 1. 1. Function monitoring layer

ID	Function Block Description	ASIL	Ref.
IRLP-801	[Isolation sampling data Mgt ] block --获取HV_μC 通过HV_ISO_SPI上传的绝缘采样信息，判断信息有效性，并将有效的信号输入到[Safety Mechanisms]和[Isolation algorithm] --获取继电器状态诊断信号以及总压信号，判断信号有效性，并将有效的信号输入到[Safety Mechanisms] --获取AFE 通过ISO_SPI上传的单体电压信息以及AFE故障信息，判断信息有效性，并将有效的信号输入到[Safety Mechanisms] --获取HSD&LSD诊断信号，判断信号有效性，并将有效的信号输入到[Safety Mechanisms]	ASILA
IRLP-802	[Safety Mechanisms] block --获取[Isolation algorithm]输入的绝缘阻值信号，判断是否存在绝缘过低故障，并对探测到的故障进行处理 --获取[Isolation sampling data Mgt]输入的诊断信号，判断绝缘保护功能链路上是否存在故障，并对探测到的故障进行处理 --[Safety Mechanisms]根据故障探测的结果，输出降级指令给到[Degradation &Warning]，或输出报警指令给到[Warning]，或输出安全状态过渡指令给到[Open Relays]	ASILA
IRLP-803	参见OVP-703	ASILA
IRLP-804	参见OVP-704	ASILA
IRLP-805	参见OVP-705	ASILA
IRLP-806	[Isolation algorithm] block --获取 [Isolation sampling data Mgt] 输入的绝缘采样信息以及总压信息，通过既定的绝缘算法，计算出电池系统绝缘阻值，并将绝缘阻值输入到[Safety Mechanisms]	ASILA

1. 1. 1. 1. Computation layer

ID	Function Block Description	ASIL	Ref.
IRLP-901	参见OVP-801	ASILA

1. 1. 1. 1. Disable switch

ID	Function Block Description	ASIL	Ref.
IRLP-A01	参见OVP-901	ASILA

1. 1. 1. 1. RDU(Relay drive unit)

ID	Function Block Description	ASIL	Ref.
IRLP-B01	参见OVP-A01	ASILA（A）
IRLP-B02	参见OVP-A01	QM（A）

1. 1. 1. 1. SBC Module

ID	Function Block Description	ASIL	Ref.
IRLP-C01	参见OVP-B01	ASILA
IRLP-C02	参见OVP-B02	ASILA
IRLP-C03	参见OVP-B03	ASILA

1. 1. 安全机制描述/ Description of the used safety mechanism

为防止电池系统绝缘保护功能链路上的故障失效发生，应对链路各要素制定安全机制，以探测故障、预防失效。

SM ID	ASIL	Safety Mechanism Description	FDT+FRT	Diagnostic Coverage	Ref. ISO26262-5, Annex D	Req. ID	Addressed Failure Mode
SYS_SM_007	ASIL C	MCU应具备核校验机制，来识别自身错误，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.3.6	TSR-BMS-S301	the SM of SPF
SYS_SM_008	ASIL C	SBC module供电输出监控模块应对不同的电源输出通道使用独立的监测通道，识别到电源输出异常状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.6.2	TSR-BMS-S102 TSR-BMS-S112	the SM of SPF
SYS_SM_011	ASIL B	系统应具备对HSD驱动输出回采功能，识别到HSD输出异常，及时进行报警	Every Key-ON Cycle	High	D.2.9.1	TSR-BMS-S201	the SM of DPF
SYS_SM_012	ASIL B	系统应具备HSD驱动输出回路短电源故障诊断机制，每个驾驶循环至少执行一次诊断，识别短电源故障，及时进行报警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S202	the SM of DPF
SYS_SM_013	ASIL A	系统应具备对LSD驱动输出回采功能，识别到LSD输出异常，及时进行报警	Every Key-ON Cycle	High	D.2.9.1	TSR-BMS-S203	the SM of DPF
SYS_SM_014	ASIL A	系统应具备LSD驱动输出回路短地故障诊断机制，每个驾驶循环至少执行一次诊断，识别短地故障，及时进行报警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S204	the SM of DPF
SYS_SM_015	ASIL C	MCU应具备自身运行环境的诊断机制，以保证功能正确地执行，当识别到异常时，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	Table D.4 — Processing units	TSR-BMS-S302	the SM of SPF
SYS_SM_033	ASIL A	系统应具备绝缘采样回路断线诊断功能，识别到断线状态，并在规定时间之内完成故障处理（进入安全状态）	5500ms+500ms	High	D.2.1.1	TSR-BMS-5107	the SM of SPF
SYS_SM_040	ASIL A	应对通讯信息（绝缘、总压、HV_μC报警信息以及MCU对HV_μC的控制指令）进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	5500ms+500ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-5112 TSR-BMS-5119	the SM of SPF
SYS_SM_041	ASIL A	HV_μC应具备自身供电输入的监控机制，识别供电异常，并在规定时间之内完成故障处理（进入安全状态）	5500ms+500ms	Low	D.2.6.1	TSR-BMS-5113	the SM of SPF
SYS_SM_042	ASIL A	系统应通过单体电压求和计算所得总压值来对HV_μC采集得到的总压值进行校验，识别总压采样故障，并在规定时间之内完成故障处理（进入安全状态）	5500ms+500ms	High	D.2.4.5	TSR-BMS-5118	the SM of SPF
SYS_SM_044	ASIL A	系统应对HV_μC外部运行环境增加诊断机制或进行冗余设计	5500ms+500ms	Medium	D.2.3.2	TSR-BMS-5114	the SM of SPF
SYS_SM_045	ASIL A	系统应通过监测HV_μC报文，来识别HV_μC的工作状态（HV_μC、ISO_CAN以及I_CAN无法工作的状态均可通过报文的有无来表征），当识别到异常时，应在规定时间之内完成故障处理（进入安全状态）	5500ms+500ms	Medium		TSR-BMS-5115	the SM of SPF
SYS_SM_056	ASIL A	HV_μC module应能够通过软件进行自检，识别HV_μC module故障状态，并在规定时间之内完成故障处理（进入安全状态）	5500ms+500ms	Medium	D.2.3.1	TSR-BMS-5116	the SM of SPF
SYS_SM_057	ASIL C	SBC module内部 Regulator的基准源与电源输出监控模块基准源应是独立的，以保证监控模块的独立性	/	High		TSR-BMS-S103	the SM of SPF
SYS_SM_058	ASIL A	SBC module的监控模块基准源，应能够被监控。如果基准源存在异常，应及时告警	Every Key-ON Cycle	High	D.2.1.1	TSR-BMS-S104	the SM of DPF
SYS_SM_059	ASIL A	每个驾驶循环应至少对SBC的看门狗功能进行一次测试，识别到异常，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S105	the SM of DPF
SYS_SM_060	ASIL A	SBC module应对内部reset/interrupt信号源进行功能检查，识别到异常，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S106	the SM of DPF
SYS_SM_067	ASIL C	MCU module应具备程序序列的时间和逻辑的联合监控，识别安全相关功能的故障状态，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.7.4	TSR-BMS-S304	the SM of SPF
SYS_SM_069	ASIL C	应对MCU module与SBC module的通讯信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-S108 TSR-BMS-S306	the SM of SPF
SYS_SM_070	ASIL A	对于SBC module内部能够将SS1&2（ Safe State Control signals 1 and 2）置低的监控功能，每个驾驶循环应至少进行一次自测试，如果自测试结果为失败，SBC module应及时将故障信息传达给MCU module	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S107	the SM of DPF
SYS_SM_074	ASIL C	对于安全相关的标定数据存储，MCU module应具备安全校验机制，识别到数据错误，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	Table D.1 — Analysed failure modes （Ref. ISO26262-11, 5.1.13.1）	TSR-BMS-S308	the SM of SPF
SYS_SM_077	ASIL C	系统应对V_CAN 网络中安全相关通讯信息进行E2E保护机制，以便系统识别通讯数据异常，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High	D.2.5.6 and D.2.5.7 and D.2.5.8	TSR-BMS-S403	the SM of SPF
SYS_SM_079	ASIL A	MCU应对核校验机制进行测试，来识别双核锁步机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S309	the SM of DPF
SYS_SM_080	ASIL A	MCU应对自身运行环境的诊断机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S310	the SM of DPF
SYS_SM_090	ASIL C	系统应该对SBC供电输入KL30进行监控，当超出安全阈值时，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	Low	D.2.6.1	TSR-BMS-S110	the SM of SPF
SYS_SM_091	ASIL C	供电电源PIN脚KL30和KL31采用多PIN脚并联的形式输入，规避断路失效风险	/	High	/	TSR-BMS-S111
SYS_SM_092	ASIL A	HSD输出引脚和电源引脚、LSD输出引脚和地引脚需要分布在不同的接插件上或在同一接插件不相邻的Pin脚，以防止插针短接	/	High	/	TSR-BMS-S205
SYS_SM_093	ASIL C	MCU内部在进行安全相关的数据传输时，需要具备安全校验机制，来识别自身数据传输错误，并在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High		TSR-BMS-S311	the SM of SPF
SYS_SM_094	ASIL A	MCU应对其内部数据传输安全校验机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S312	the SM of DPF
SYS_SM_095	ASIL C	芯片PFLASH应该在写和擦除操作前进行溢出检测，识别到数据溢出，在规定时间之内完成故障处理（进入安全状态）	250ms+50ms	High		TSR-BMS-S313	the SM of SPF
SYS_SM_096	ASIL A	MCU应对其内部PFLASH溢出检测机制进行测试，来识别相应机制的正确性，每个驾驶循环至少执行一次诊断，识别到错误时，及时进行报警	Every Key-ON Cycle	High	D.2.4.1	TSR-BMS-S314	the SM of DPF
SYS_SM_097	ASIL C	硬件在接插件选型设计时应该考虑接插件Pin脚的材料和插拔力，确保满足功能安全相关要求	/	High	/	TSR-BMS-S501
SYS_SM_103	ASIL A	SBC module应对安全状态输出信号进行冗余设计	/	High	D.2.4.3	TSR-BMS-S115	the SM of DPF

1. 1. 功能实现描述
    1. 绝缘监测
绝缘模块设计基于GBT 18384.1-2015设计，绝缘监测高压拓扑如图

绝缘检测高压拓扑图

绝缘监测模块开发参数表

表绝缘检测需求参数表

序号	项目	参数	备注
1	系统总压范围	200V~500V
2	系统Y电容容值	400nF
3

绝缘监测及绝缘电路控制

ID	Description	ASIL	Ref.
IRLP-101	绝缘算法 --软件对于算法的实现应参考《绝缘检测电路配置及原理_20190125》文档来实现	ASILA	TSR-BMS-5101
IRLP-102	绝缘采样控制要求 -- 绝缘采样电路设计应满足“可控性”要求，能够对采样功能进行“使能/禁止”的控制 -- 绝缘采样采样电路在直流充电时，应正确响应直流充电管理功能模块的控制请求，防止对直流充电桩绝缘检测造成影响	QM	Sys_Req_3701
IRLP-103	绝缘电路配置 -- 绝缘采样正级和负极电路阻值均应＞4000KΩ，防止在采样电路工作时拉低电池系统绝缘值	QM	Sys_Req_3702 Sys_Req_3703
IRLP-104	绝缘阻值更新周期 -- 更新周期应≤ 3S	QM	Sys_Req_3705
IRLP-105	绝缘精度要求 -- 系统在激活状态下，在-40~85℃温度范围内，应保证输出的绝缘电阻精度满足如下要求： ≤±5KΩ (0~10KΩ）,≤±3KΩ（10KΩ~30KΩ）,≤±10%（30KΩ~1MΩ）	ASIL A	TSR-BMS-5106 Sys_Req_3704

1. 1. 1. 绝缘值过低故障检测及处理

对于绝缘值故障（Pack_IsolationRLFault），定义如下二种：

Pack_IsolationWarning（报警）：旨在警示驾驶员，当前系统绝缘阻值低，存在安全隐患
Pack_IsolationSafetyProtection（报警&进入安全状态）：旨在防止安全相关危害事件的发生

ID	Description	ASIL	Ref.
IRLP-201	Pack_IsolationWarning识别和处理系统在激活状态下，当电池系统绝缘阻值： --当【<500Ω/V】且持续5s时系统应当： --应按照No Action执行故障保护，参见[FL] --应按照Fault Recovery Strategy_1执行故障恢复，参见[FL]	QM	TSR-BMS-5301
IRLP-202	Pack_IsolationSafetyProtection识别和处理系统在激活状态下，当电池系统绝缘阻值： --【<110Ω/V】且持续5s时系统应当： --应按照Emergency Power Off_1执行故障保护，参见[FL] --应按照Fault Recovery Strategy_3执行故障恢复，参见[FL]	ASILA	TSR-BMS-5105 TSR-BMS-5201 TSR-BMS-5301
IRLP-203	数据有效性识别系统在上述故障阈值判断时，需要确保绝【缘模块采样值、绝缘电阻计算值】的有效性，若确认数据无效，不应参考该数据进行故障确认或故障清除，避免错误的故障识别	ASILA	TSR-BMS-5105 TSR-BMS-5301