隨著汽車電子軟硬件復(fù)雜程度日趨提高，來(lái)自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加了。汽車電子行業(yè)標(biāo)準(zhǔn)ISO26262的發(fā)布，使得人們對(duì)車輛設(shè)計(jì)的功能安全有更深入的理解，從而對(duì)評(píng)估、避免這些風(fēng)險(xiǎn)提供了可靠的流程保證。

一、BMS簡(jiǎn)介

BMS即Battery Management System，電池管理系統(tǒng)的意思。作為新能源汽車“三電”核心技術(shù)之一，BMS在HEV/EV上扮演重要作用。廣義上，BMS包含傳統(tǒng)的12/24V鉛酸電池管理，這里討論的BMS主要是針對(duì)HEV/EV的動(dòng)力電池管理，從48V的弱混動(dòng)到500V以上的全電動(dòng)，恩智浦的BMS解決方案都可以覆蓋。

一般來(lái)說(shuō)，BMS由一個(gè)主控單元和多個(gè)從控單元組成，從控單元直接連接電池包（Battery Pack），采集電池的電壓、電流和溫度等，主控單元通過(guò)CAN總線或Daisy Chain（菊花鏈）通信等方式管理多個(gè)從控單元。

按照新能源汽車對(duì)電池管理的需求，BMS具備的功能包括SOC/SOH估算、故障診斷、均衡控制、熱管理和充電管理等。SOC即電池荷電狀態(tài)，用于衡量電池剩余電量，對(duì)于判斷汽車可行駛里程十分重要。故障診斷用于判斷電池的當(dāng)前狀態(tài)，及時(shí)正確識(shí)別電池充放電過(guò)程中的過(guò)壓、欠壓、過(guò)溫等異常情況有助于避免事故發(fā)生。均衡控制主要是消除單體電池之間的容量差異，達(dá)到一致性，延長(zhǎng)電池使用壽命。

圖1 電池管理系統(tǒng)BMS架構(gòu)

二、BMS功能安全開(kāi)發(fā)流程簡(jiǎn)介

ISO26262定義的功能安全標(biāo)準(zhǔn)涵蓋了產(chǎn)品的管理、開(kāi)發(fā)、生產(chǎn)、經(jīng)營(yíng)、服務(wù)和報(bào)廢等階段，覆蓋產(chǎn)品的整個(gè)生命周期，產(chǎn)品開(kāi)發(fā)時(shí)主要關(guān)注的階段有概念、系統(tǒng)級(jí)開(kāi)發(fā)、硬件開(kāi)發(fā)和軟件開(kāi)發(fā)等階段。 在功能安全概念階段要做系統(tǒng)危害分析（Hazard Analysis）和風(fēng)險(xiǎn)評(píng)估（Risk Assessment），得出汽車安全完整性等級(jí)ASIL（AutomoTIve Safety Integrity Level）。ISO26262標(biāo)準(zhǔn)規(guī)定了A到D四個(gè)安全等級(jí)，其中D級(jí)為最高等級(jí)，相應(yīng)的需求最為苛刻。一般而言，主流車廠認(rèn)為BMS應(yīng)該需要達(dá)到的安全等級(jí)至少是ASIL-C。在得出安全等級(jí)ASIL后，需要設(shè)立安全目標(biāo)（Safety Goal），并提出相應(yīng)的安全需求（Safety Requirement）和安全機(jī)制（Safety Mechanism），并在必要的時(shí)候做功能安全等級(jí)分解。ISO26262給出了三個(gè)指標(biāo)：?jiǎn)吸c(diǎn)故障指標(biāo)SPFM，潛在故障指標(biāo)LFM和隨機(jī)硬件失效指標(biāo)PMHF，用于去評(píng)估系統(tǒng)的安全性等級(jí)。

圖2 ISO26262 安全生命周期

例如，在BMS開(kāi)發(fā)過(guò)程中，對(duì)BMS的危害分析有過(guò)壓（過(guò)充）、欠壓、過(guò)溫和過(guò)流等危害事件，如過(guò)壓可能是一個(gè)比較嚴(yán)重的事件，尤其長(zhǎng)時(shí)間對(duì)電池過(guò)充會(huì)導(dǎo)致電池性能下降和不可恢復(fù)性損壞，甚至導(dǎo)致電池變形、漏液情況發(fā)生，通過(guò)對(duì)過(guò)充這個(gè)事件進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，得出其安全等級(jí)是ASIL-C或者ASIL-D（在不同應(yīng)用場(chǎng)景下分析下得出的安全等級(jí)可能不一樣），那么系統(tǒng)的安全目標(biāo)就是BMS應(yīng)該能及時(shí)發(fā)現(xiàn)電池過(guò)充情況并作出處理，對(duì)應(yīng)地，要從單點(diǎn)失效和潛在失效等方面考慮設(shè)計(jì)安全機(jī)制，最后用前面提到的度量指標(biāo)進(jìn)行安全性評(píng)估。