电池系统电子部分的失效模式细节

　　这里把有关电子部分的失效细节给梳理出来了。系统级别的FMEA主要是还是把概念性的问题树立出来，确认问题之严重性。进行到这个层次，才能把握不同的设计以及设计背后的软硬件FMEA。
　　所谓的软硬件策略容错设计，就是建立在这些RPN数值很高的，不能接受的状态下，设定Safety Goal去实现安全目标。
　　4）电池单元状态汇总给整车
　　a)正常的客户使用（驾驶、充电、停放&维修）
　　4.1 无法发送正常状态
　　（10 4 7） 电池系统无法与整车通信 <=车辆容错设计
　　（10 4 4 ）电池系统内部无法通信 <=车辆容错设计/电池系统容错设计
　　（10 4 7） 电子模块失电 <=车辆容错设计 【标准电压测试 软件测试】
　　（10 4 4） 传感器失效
　　（10 1 4） 通信崩溃（数据传输错误） <=串行通信策略
　　4.2 间歇性发送正常状态
　　（10 4 7） 电池系统间歇性无法与整车通信 <=车辆容错设计
　　（10 4 4 ）电池系统间歇性内部无法通信 <=车辆容错设计/电池系统容错设计
　　（10 4 7） 电子模块间歇性失电 <=车辆容错设计 【标准电压测试 软件测试】
　　（10 4 4） 传感器间歇性失效
　　（10 1 4） 通信间歇性崩溃（数据传输错误） <=串行通信策略
　　4.3 故障时发送正常状态信息
　　（10 1 7） 单片机失效 <=车辆容错设计/电池系统容错设计
　　（10 4 4 ）传感器信息错误 <=车辆容错设计/电池系统容错设计
　　（10 1 4） 通信间歇性崩溃（数据传输错误） <=串行通信策略
　　（10 4 7） 电池系统无法与整车通信<=车辆容错设计
　　（10 4 7） 电子模块失电<=车辆容错设计 【标准电压测试 软件测试】
　　4.4 间歇性发送故障信息
　　（10 4 7） 电池系统间歇性无法与整车通信 <=车辆容错设计
　　（10 4 4 ）电池系统间歇性内部无法通信<=车辆容错设计/电池系统容错设计
　　（10 4 7） 电子模块间歇性失电 <=车辆容错设计 【标准电压测试 软件测试】
　　（10 4 4） 传感器间歇性失效
　　（10 1 4） 通信间歇性崩溃（数据传输错误） <=串行通信策略
　　4.5 正常时发送故障信息
　　（10 1 7） 单片机失效 <=车辆容错设计/电池系统容错设计
　　（10 4 4 ）传感器信息错误 <=车辆容错设计/电池系统容错设计
　　（10 1 4） 通信间歇性崩溃（数据传输错误） <=串行通信策略
　　（10 4 7） 电池系统无法与整车通信 <=车辆容错设计
　　（10 4 4 ）电池系统间歇性内部无法通信 <=车辆容错设计/电池系统容错设计
　　（10 4 7） 电子模块失电<=车辆容错设计 【标准电压测试 软件测试】
　　4.6 信息错误或不发送
　　（10 4 4） 无法通信<=车辆容错设计
　　（10 1 7） 单片机失效 <=车辆容错设计/电池系统容错设计
　　（10 7 4 ）传感器失去<=电池系统位置/结构
　　（10 4 4 ）传感器问题 <=电池系统位置/结构
　　5）在电池系统内对电池单体进行控制和管理
　　a）工作范围内维护SOC
　　5.1 SOC过充
　　(10 4 7) 传感器故障（线束、短路到12V/GND、开路）
　　(10 1 7) MCU故障
　　(10 4 7) 算法错误
　　（10 1 4） 通信间歇性崩溃（数据传输错误） <=串行通信策略
　　5.2 SOC过放
　　(10 4 7) 传感器故障（线束、短路到12V/GND、开路）
　　(10 1 7) MCU故障
　　(10 4 7) 算法错误
　　（10 1 4）通信间歇性崩溃（数据传输错误）<=串行通信策略
　　b）温度管控在范围内
　　5.3 温度高于安全范围
　　（10 4 4 ）散热能力不足
　　(10 4 7) 温度传感器故障（线束、短路到12V/GND、开路）
　　（10 4 4 ）电池内阻过高
　　（10 1 7）外部温度暴露过热
　　（10 1 4 ）外部加热
　　5.4 充电时温度过低
　　(10 4 7) 外部冷却
　　(10 4 7) 温度传感器故障（线束、短路到12V/GND、开路）
　　c）电池电压一致性维护
　　5.5 电压不持续（稳定）
　　(7 4 7) 传感器故障（线束、短路到12V/GND、开路）充电机故障 单体采集电路接触电阻过高 单体内阻过高 并联单体丢失
　　5.6 单体电压过高
　　(10 4 7) 传感器故障（线束、短路到12V/GND、开路）
　　(10 4 7) 充电机故障
　　(10 7 7) 单体采集电路接触电阻过高
　　(10 4 7) 单体内阻过高
　　(10 4 7) 并联单体丢失
　　5.7 单体电压过低
　　(10 1 4) 传感器故障（线束、短路到12V/GND、开路）
　　10 1 7）通信间歇性崩溃（数据传输错误） <=串行通信策略
　　(10 4 7) 主继电器无法断开
　　(10 1 4) 电池包短路
　　d）维持充电放电电流在一定范围内
　　5.8 电流过高
　　(10 4 7) 充电机故障
　　(10 1 4) 熔丝故障
　　(10 4 4) 电池包短路
　　5.9 充电电流过低
　　小结：
　　a）以上的很多内容，是可以从实验来定性安全情况的
　　b）细节可以往下走，具体到每个传感器、MCU、电源乃至串行通信&信号输出的
　　c）有机会，我要仔细做一遍自己设计方案