隨著汽車電子軟硬件復(fù)雜程度日趨提高，來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險也日益增加了。汽車電子行業(yè)標(biāo)準(zhǔn)ISO26262的發(fā)布，使得人們對車輛設(shè)計的功能安全有更深入的理解，從而對評估、避免這些風(fēng)險提供了可靠的流程保證。

一、BMS簡介

BMS即Battery Management System，電池管理系統(tǒng)的意思。作為新能源汽車“三電”核心技術(shù)之一，BMS在HEV/EV上扮演重要作用。廣義上，BMS包含傳統(tǒng)的12/24V鉛酸電池管理，這里討論的BMS主要是針對HEV/EV的動力電池管理，從48V的弱混動到500V以上的全電動，恩智浦的BMS解決方案都可以覆蓋。

一般來說，BMS由一個主控單元和多個從控單元組成，從控單元直接連接電池包（Battery Pack），采集電池的電壓、電流和溫度等，主控單元通過CAN總線或Daisy Chain（菊花鏈）通信等方式管理多個從控單元。

按照新能源汽車對電池管理的需求，BMS具備的功能包括SOC/SOH估算、故障診斷、均衡控制、熱管理和充電管理等。SOC即電池荷電狀態(tài)，用于衡量電池剩余電量，對于判斷汽車可行駛里程十分重要。故障診斷用于判斷電池的當(dāng)前狀態(tài)，及時正確識別電池充放電過程中的過壓、欠壓、過溫等異常情況有助于避免事故發(fā)生。均衡控制主要是消除單體電池之間的容量差異，達(dá)到一致性，延長電池使用壽命。

圖1 電池管理系統(tǒng)BMS架構(gòu)

二、BMS功能安全開發(fā)流程簡介

ISO26262定義的功能安全標(biāo)準(zhǔn)涵蓋了產(chǎn)品的管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)和報廢等階段，覆蓋產(chǎn)品的整個生命周期，產(chǎn)品開發(fā)時主要關(guān)注的階段有概念、系統(tǒng)級開發(fā)、硬件開發(fā)和軟件開發(fā)等階段。 在功能安全概念階段要做系統(tǒng)危害分析（Hazard Analysis）和風(fēng)險評估（Risk Assessment），得出汽車安全完整性等級ASIL（AutomoTIve Safety Integrity Level）。ISO26262標(biāo)準(zhǔn)規(guī)定了A到D四個安全等級，其中D級為最高等級，相應(yīng)的需求最為苛刻。一般而言，主流車廠認(rèn)為BMS應(yīng)該需要達(dá)到的安全等級至少是ASIL-C。在得出安全等級ASIL后，需要設(shè)立安全目標(biāo)（Safety Goal），并提出相應(yīng)的安全需求（Safety Requirement）和安全機(jī)制（Safety Mechanism），并在必要的時候做功能安全等級分解。ISO26262給出了三個指標(biāo)：單點(diǎn)故障指標(biāo)SPFM，潛在故障指標(biāo)LFM和隨機(jī)硬件失效指標(biāo)PMHF，用于去評估系統(tǒng)的安全性等級。

圖2 ISO26262 安全生命周期

例如，在BMS開發(fā)過程中，對BMS的危害分析有過壓（過充）、欠壓、過溫和過流等危害事件，如過壓可能是一個比較嚴(yán)重的事件，尤其長時間對電池過充會導(dǎo)致電池性能下降和不可恢復(fù)性損壞，甚至導(dǎo)致電池變形、漏液情況發(fā)生，通過對過充這個事件進(jìn)行危害分析和風(fēng)險評估，得出其安全等級是ASIL-C或者ASIL-D（在不同應(yīng)用場景下分析下得出的安全等級可能不一樣），那么系統(tǒng)的安全目標(biāo)就是BMS應(yīng)該能及時發(fā)現(xiàn)電池過充情況并作出處理，對應(yīng)地，要從單點(diǎn)失效和潛在失效等方面考慮設(shè)計安全機(jī)制，最后用前面提到的度量指標(biāo)進(jìn)行安全性評估。