功能安全开发（二）概念开发.pdf

功能安全开发（二）概念开发

功能安全开发开始于概念阶段，对应标准的part3。概念阶段所要

做的工作包括item定义、产品安全生命周期的初始化、HARA分析和

FSC。这里面标准的2011版和最新的2018版有所区别，在2018版

里概念阶段没有产品安全生命周期初始化的规定。这是因为新版标准

将产品开发各阶段（概念阶段、系统开发、硬件开发和软件开发）的

产品安全开发初始化的定义，统一移到标准第二部分功能安全管理中。

这样的改变，从整体上对功能安全开发的理解更加清晰，对于功能安

全管理的规定也更加完整和全面。新旧版标准还有很多更改的地方，

后面会专门针对两版标准的区别进行分析。新版标准只是将工作定义

的位置调整，但工作内容没有变化，对概念阶段仍以2011版进行分析。

图1新旧版标准对概念阶段的定义

概念开发的第一步是itemdefinition。Item定义的目的是划定开

发范围、描述开发对象以及其对环境和其他item的依赖和相互交互关

系。以新能源车BMS开发为例，进行这一步需要明确一些前提输入，

包括：

-整车动力系统架构：纯电动、混动。混动还需要明确P0-P4的具

体架构

-车型信息：SUV,A00,A0等。整车动力信息，如电机持续功率、

峰值功率

-车型目标市场：中国/欧洲/美国等

-电池包电池种类：三元、磷酸铁锂等

-相关法律法规

-操作和环境约束

这些信息不是功能安全要求的特殊输入，而是一个标准BMS开发

所必须的车辆输入信息。这些车辆信息对BMS的item定义和开发会

有直接影响，是开展概念开发的必要前提。目前国内新能源市场很多

零部件厂商出于提高自身产品竞争力的考虑，其BMS开发可能不是基

于某一特定OEM的具体车型，此时需要根据未来BMS产品希望覆盖

的车型，对这些输入信息进行一定假设，以便进行开发。

Itemdefinition首先确定Item的边界，在整车系统上，BMS功

能安全开发只考虑边界内的各部件。而对边界外部需要定义清除与

BMS交互的接口，包括准确的接口数量，接口类型和交互信息。本文

分析建立在纯电动车BMS开发的基础上，BMS负责电池的管理和保

护，配合VCU，DCcharger，OBC完成车辆的充电管理和放电管理。

图2BMS的itemdefinition

Itemdefinition之后是概念阶段的安全生命周期的初始化。这个

工作就是针对定义下来的item，来分析其是一个全新的开发还是对现

有项目的修改。如果是一个全新的项目，就可以直接进行HARA分析

的工作了。而如果是对现有项目的修改，就涉及到安全相关活动的裁

剪了。现有项目的修改，需要进行影响分析，对修改部分可能产生影

响的对象：运行场景和运行模式、与环境的接口、安装特性和环境条

件等。影响分析需修改项对功能安全的影响。

BMS有个特殊的地方在于，其主要是保护动力电池，并且配合动

力电池，实现在车辆上的功能。单独定义BMS的功能，在接下来进行

HARA分析的时候，其功能失效对应的危害比较难定义清楚，或者其

功能失效与危害之间的逻辑关系不是很直接。

因此建议在这个阶段以电池系统的级别定义其在整车上的功能。

这里电池系统的主要功能包括为车辆存储能量、提供动力以及保证电

池工作在合适的温度范围内。在BMS工作过程中，对车辆的电池系统

提供过充、过放、过温、过流保护功能，防止车辆使用过程中，对电

池产生损害，影响电池寿命，甚至导致电池爆喷。同时需要定义清楚

每个功能的失效模式是什么，这个是进行下一步HARA