（3）在系统设计、软件设计、硬件设计阶段执行功能安全分析（FMEA、FTA、DFA、 FMEDA） ， 满足 ASIL 等级相关要求 。·执行系统安全分析 ， 识别违反功能安全目标的失效模式 ， 通过系统设计确保故障发 生时 ， 整车能在 FTTI 时间内进入安全状态 ·执行软件安全分析 ， 针对软件失效模式 ， 确定软件安全机制 ·执行硬件安全分析 ， 基于硬件器件的失效率、失效模式、失效分布 ， 对硬件架构进 行评估（SPFM、LFM、PMHF） ， 完善硬件安全机制 ， 确保满足安全等级要求 ·安全分析应持续、迭代执行 ， 针对安全分析中发现的问题 ， 需不断优化更新安全机 制 。
（4）软件设计建议采用标准化软件架构（例如：AUTOSAR） ， 软件开发应遵循符合功 能安全要求的建模规范和代码规范 ， 使用多种模型/代码测试方法（例如：MIL、SIL、PIL、 HIL）进行软件集成和测试 ， 确保满足软件覆盖度要求 。
（5）关注需求、设计、验证之间的双向追溯和一致性 ， 确保需求变更、缺陷修正的 63 可跟踪性 。
（6）执行软件/硬件组件鉴定和再用证明相关活动 ， 确保软件/硬件组件使用的合适 性 。实施工具链置信度评估 ， 确保工具置信度水平（TCL）满足要求 。（7）执行与安全目前等级相适应的认可措施 ， 包括：认可评审、安全审核和安全评 估 。
功能安全产品开发活动建议参考《GB/T34590-2017 道路车辆功能安全》 。4.1.3.3 功能安全目标验证与确认 应在系统级、整车级对 BMS 功能安全需求及功能安全目标执行验证与确认 ， 确保达成 整车功能安全目标 。如果除 BMS 功能安全保护机制外 ， 整车还设计了其它安全机制（如：机械、化学等） ，  功能安全目标的验证与确认也应覆盖这些安全机制 。电池系统的功能安全目标验证与确认活动建议参考《GB/T 电动汽车用电池管理系统 功能安全要求及试验方法》（预计 2019 年发布） 。
4.1.4 热失控、预警识别策略 4.1.4.1 电池包热失控基本防护 电池包应具有热失控防护措施 ， 保证热失控发生后 ， 可以在一定时间内确保电池包不 发生导致人生伤害的事件发生（起火、爆炸等） 。4.1.4.2 热失控提前探测预防 BMS 可考虑监控导致热失控的事件（如电压、电流、温度超过安全使用范围、内短路 等） ， 在热失控发生前采取紧急应对措施（如报警、限制功率、切断高压回路等） ， 同时提 醒乘员采取避险措施 。
4.1.4.3 热失控探测及告警
（1）电池发生热失控及热扩散时 ， 电池系统内部温度、气体成份、压力等参数会发 生变化 ， 应对热失控及热扩散进行试验研究 ， 通过理论分析和实验验证 ， 确定适合的热失 控和热扩散探测手段（例如：温度、气体、压力等） ， 并确保探测器的检测精度满足需求 。
（2）当 BMS 确认发生电池热失控时 ， 应把热失控信号传递给整车 ， 整车应通过指示 装置（仪表或其他装置）提供一个明显的热失控报警信号以及警示声 ， 提醒驾驶员和乘客 疏散；同时 ， BMS 请求下高压 ， 整车根据当时工况进入紧急下电流程 。
（3）建议 BMS 应准确监测电池系统及其部件的异常温度升高 ， 对电池系统的热失控 要尽可能早地发出预警信号 。
64 （4）热失控探测及报警功能应在运行模式下执行 ， 其有效性应通过整车级测试 ， 避 免漏报、误报 。

• 新能源汽车试制测试 新能源汽车试制测试流程
• 新能源汽车生产许可 新能源汽车生产许可证有多少
• 宿州公交新能源汽车 宿州公交车公司
• 岳阳比亚迪新能源汽车 岳阳比亚迪新能源汽车电话
• 镇江远景新能源汽车 江苏远景新能源有限公司
• 泸州奥体新能源汽车 泸州新动力体育运动有限公司
• 德瑞博新能源汽车公司 德瑞博新能源汽车公司招聘
• 中通股市 中国股市行情大盘
• 新能源汽车可用的新能源 新能源汽车可用的新能源电池
• 新能源汽车电池哪种好 新能源汽车电池哪个好?