基于ISO26262的恩智浦BMS安全解决方案

随着汽车电子软硬件复杂程度日趋提高，来自系统失效和随机硬件失效的风险也日益增加了。汽车电子行业标准ISO26262的发布，使得人们对车辆设计的功能安全有更深入的理解，从而对评估、避免这些风险提供了可靠的流程保证。

一、BMS简介

BMS即Battery Management System，电池管理系统的意思。作为新能源汽车“三电”核心技术之一，BMS在HEV/EV上扮演重要作用。广义上，BMS包含传统的12/24V铅酸电池管理，这里讨论的BMS主要是针对HEV/EV的动力电池管理，从48V的弱混动到500V以上的全电动，恩智浦的BMS解决方案都可以覆盖。

一般来说，BMS由一个主控单元和多个从控单元组成，从控单元直接连接电池包（Battery Pack），采集电池的电压、电流和温度等，主控单元通过CAN总线或Daisy Chain（菊花链）通信等方式管理多个从控单元。

按照新能源汽车对电池管理的需求，BMS具备的功能包括SOC/SOH估算、故障诊断、均衡控制、热管理和充电管理等。SOC即电池荷电状态，用于衡量电池剩余电量，对于判断汽车可行驶里程十分重要。故障诊断用于判断电池的当前状态，及时正确识别电池充放电过程中的过压、欠压、过温等异常情况有助于避免事故发生。均衡控制主要是消除单体电池之间的容量差异，达到一致性，延长电池使用寿命。

图1 电池管理系统BMS架构

二、BMS功能安全开发流程简介

ISO26262定义的功能安全标准涵盖了产品的管理、开发、生产、经营、服务和报废等阶段，覆盖产品的整个生命周期，产品开发时主要关注的阶段有概念、系统级开发、硬件开发和软件开发等阶段。 在功能安全概念阶段要做系统危害分析（Hazard Analysis）和风险评估（Risk Assessment），得出汽车安全完整性等级ASIL（AutomoTIve Safety Integrity Level）。ISO26262标准规定了A到D四个安全等级，其中D级为最高等级，相应的需求最为苛刻。一般而言，主流车厂认为BMS应该需要达到的安全等级至少是ASIL-C。在得出安全等级ASIL后，需要设立安全目标（Safety Goal），并提出相应的安全需求（Safety Requirement）和安全机制（Safety Mechanism），并在必要的时候做功能安全等级分解。ISO26262给出了三个指标：单点故障指标SPFM，潜在故障指标LFM和随机硬件失效指标PMHF，用于去评估系统的安全性等级。

图2 ISO26262 安全生命周期

例如，在BMS开发过程中，对BMS的危害分析有过压（过充）、欠压、过温和过流等危害事件，如过压可能是一个比较严重的事件，尤其长时间对电池过充会导致电池性能下降和不可恢复性损坏，甚至导致电池变形、漏液情况发生，通过对过充这个事件进行危害分析和风险评估，得出其安全等级是ASIL-C或者ASIL-D（在不同应用场景下分析下得出的安全等级可能不一样），那么系统的安全目标就是BMS应该能及时发现电池过充情况并作出处理，对应地，要从单点失效和潜在失效等方面考虑设计安全机制，最后用前面提到的度量指标进行安全性评估。