TSR-BMS-S201、TSR-BMS-S202、TSR-BMS-S203、TSR-BMS-S204、TSR-BMS-S601、TSR-BMS-S602、TSR-BMS-S603、TSR-BMS-S604、TSR-BMS-S605、TSR-BMS-S606、TSR-BMS-S607、TSR-BMS-S608、TSR-BMS-S609、TSR-BMS-S610、TSR-BMS-S611、TSR-BMS-S612;

-
-
-
- 功能组件设计描述
- SBC module
- 功能组件设计描述
-
-
|
ID |
Function Block Description |
ASIL |
Ref. |
|
OVP-B01 |
[Error Monitoring] block --SC_1所承载的功能,负责向MCU module提供电源供给,电源输出的控制指令由MCU module通过SPI通讯的方式输入到SBC module; |
ASILC | |
|
OVP-B02 |
[SBC Module] block_监控功能 --SC_1所承载的功能,提供看门狗来监控MCU module的异常运行; --SC-1所承载的功能,提供MCU module的故障反馈(硬线告警信号:error signal)监控; --SC_1所承载的功能,具备自身故障监控,探测安全相关的故障; |
ASILC | |
|
OVP-B03 |
[SBC Module] block_故障处理功能 --SC_1所承载的功能, 当监控到MCU module的安全相关故障时,将会根据故障种类的不同,而输出reset signal / interrupt signal给到MCU module, 或输出SS1&2给到[Disable switch]来实现对继电器驱动的控制; --SC_1所承载的功能, 当监控到自身的安全相关故障时,将会根据故障种类的不同,而输出reset signal / interrupt signal给到MCU module, 或输出SS1&2给到[Disable switch]来实现对继电器驱动的控制; |
ASILC |
|
ID |
Function Block Description |
ASIL |
Ref. |
|
SST-101 |
[Function Monitoring] block --对SBC module自身功能的异常监控,并将故障信息实时反馈到[Safe State Control]; |
ASILC | |
|
SST-102 |
[Error Monitoring] block --对MCU module输出的硬线告警信号(error signal)进行实时监控; --对MCU module输出的SPI告警信号(SPI通讯信号)进行实时监控; |
ASILC | |
|
SST-103 |
[Safe State Control] block --实时获取[Function Monitoring]、[Error Monitoring]和[Watchdog]的故障监控信息,根据故障种类的不同,输出控制指令到[SS1&2 Generator]或[Interrupt /Reset Generator]; |
ASILC | |
|
SST-104 |
[SS1&2 Generator]block --根据[Safe State Control]输出的控制指令,来执行SS1&2 硬线信号输出(“高/低”); --SS1&2信号将输入到[Disable switch]; |
ASILC | |
|
SST-105 |
[Interrupt /Reset Generator] block --根据[Safe State Control]输出的控制指令,来执行Interrupt /Reset硬线信号输出; --Interrupt 信号将输入到MCU module,来指示中断事件的发生; --Reset信号将输入到MCU module,来对MCU module执行复位动作; |
ASILC | |
|
SST-106 |
[Watchdog]block --对MCU module输出的喂狗信号(trigger)进行实时监控; |
ASILC |
-
-
-
-
- MCU module
-
-
-
|
ID |
Function Block Description |
ASIL |
Ref. |
|
SST-201 |
[Monitoring module] block --对MCU module自身进行实时监控,并及时将异常反馈到[Safe State Control]; --配合“L2:Function Monitoring layer”执行程序流监控; |
ASILC | |
|
SST-202 |
[Safe State Control] block --实时获取[Monitoring module]的故障监控信息,根据故障结果,输出error signal(可通过Error pin/SPI的方式输出)到SBC module中的[Error Monitoring]; |
ASILC | |
|
SST-203 |
[Open Relays protection] block --根据“L2:Function Monitoring layer”各个功能监控模块的故障探测结果,执行系统安全状态的过渡;这将通过[Open Relays protection]输出驱动模块使能信号到[HSD module]和[LSD module]来实现; 注:该功能模块可分解为[Open Relays] 和[Arbitration Mechanism] ,参见OVP-704和OVP-705 |
ASILC | |
|
SST-204 |
[HSD&LSD diagnosis]block --通过实时获取[HSD module]和[LSD module]诊断电路采集信号,来对驱动模块进行故障诊断,并将诊断结果输入到[Open Relays protection],以便[Open Relays protection]执行安全状态过渡; |
ASILC |
-
-
-
-
- Disable switch
-
-
-
|
ID |
Function Block Description |
ASIL |
Ref. |
|
SST-301 |
[Disable switch] block -- 参见OVP-901 |
ASILC |
|
ID |
Description |
ASIL |
Ref. |
|
SST-001 |
安全状态进入
|
ASIL C |
TSR-BMS-S602 TSR-BMS-S603 TSR-BMS-S604 TSR-BMS-S605 |
|
SST-002 |
MCU module输出禁能信号
|
ASIL C |
TSR-BMS-S607 |
|
SST003 |
SBC module输出禁能信号
|
ASIL C |
TSR-BMS-S608 |
|
SST-004 |
安全状态过渡执行器的故障诊断
|
ASIL B |
TSR-BMS-S201 TSR-BMS-S202 |
|
SST-005 |
安全状态过渡执行器的故障诊断
|
ASIL A |
TSR-BMS-S203 TSR-BMS-S204 |
TSR-BMS-1114、TSR-BMS-1115、TSR-BMS-1116、TSR-BMS-1117、TSR-BMS-1127、TSR-BMS-1128、TSR-BMS-2114、TSR-BMS-2115、TSR-BMS-2116、TSR-BMS-2117、TSR-BMS-2127、TSR-BMS-2128、TSR-BMS-3114、TSR-BMS-3115、TSR-BMS-3116、TSR-BMS-3117、TSR-BMS-3126、TSR-BMS-3127、TSR-BMS-4119、TSR-BMS-4120、TSR-BMS-5111、TSR-BMS-5112、TSR-BMS-5118、TSR-BMS-5119、TSR-BMS-S402、TSR-BMS-S403;

|
ID |
Description |
ASIL |
Ref. |
|
CP-001 |
AFE module与MCU module之间的通讯保护
|
ASIL C |
TSR-BMS-1114、TSR-BMS-1115、TSR-BMS-1116、TSR-BMS-1117、TSR-BMS-1127、TSR-BMS-1128、TSR-BMS-2114、TSR-BMS-2115、TSR-BMS-2116、TSR-BMS-2117、TSR-BMS-2127、TSR-BMS-2128、TSR-BMS-3114、TSR-BMS-3115、TSR-BMS-3116、TSR-BMS-3117、TSR-BMS-3126、TSR-BMS-3127 |
|
CP-002 |
Digital hall sensor与MCU module之间的通讯保护
|
ASIL B |
TSR-BMS-4119、TSR-BMS-4120 |
|
CP-003 |
HV_μC module与MCU module之间的通讯保护
|
ASIL A |
TSR-BMS-5111、TSR-BMS-5112、TSR-BMS-5118、TSR-BMS-5119 |
|
CP-004 |
VCU与MCU module之间的通讯保护
|
ASIL C |
TSR-BMS-S402 TSR-BMS-S403 |
该系统详细描述了从MCUmodule到SBCmodule的安全状态管理和故障监控,包括电源供给、看门狗、错误监测以及硬线和SPI信号的通讯保护。在检测到故障时,系统能通过禁能信号或中断/复位信号进行安全状态过渡,确保功能安全目标得以实现。同时,针对不同模块如HSD和LSD的驱动诊断以及AFEmodule、Digitalhallsensor、HV_μCmodule和VCU与MCUmodule间的通讯安全也进行了规定。
3050

被折叠的 条评论
为什么被折叠?



