隨著汽車(chē)電動(dòng)化和智能化的趨勢(shì)不斷加深，汽車(chē)電子控制單元越來(lái)越多，電子控制單元的軟硬件（ECU SW/HW）越發(fā)復(fù)雜。與此同時(shí)，系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加，由此引發(fā)的人身傷害發(fā)生概率也不斷提高。

2011年11月15日，為避免因電子電器系統(tǒng)失效引起的不合理的風(fēng)險(xiǎn)，降低人身傷害發(fā)生概率，做到功能安全，針對(duì)道路車(chē)輛的第一版ISO 26262《道路車(chē)輛功能安全》（簡(jiǎn)稱 ISO 26262）正式發(fā)布，為汽車(chē)電子控制系統(tǒng)提供了一個(gè)全生命周期（管理、開(kāi)發(fā)、生產(chǎn)、經(jīng)營(yíng)、服務(wù)、報(bào)廢）的功能安全指導(dǎo)準(zhǔn)則。

ISO 26262提供了汽車(chē)特定的基于危害分析和風(fēng)險(xiǎn)評(píng)估以確定的汽車(chē)安全完整性等級(jí)（Automotive Safety Integrity Level，下稱 ASIL）。ASIL分為四個(gè)等級(jí): ASIL A、ASIL B、ASIL C和ASIL D（見(jiàn)圖1）。

從ASIL A到ASIL D安全完整性等級(jí)逐級(jí)提高。除了這4個(gè)ASIL等級(jí)之外, 質(zhì)量管理（Quality Management，下稱 QM）等級(jí)不做功能安全要求。

基于不同的ASIL等級(jí)，ISO 26262要求在整個(gè)生命安全周期內(nèi)符合相應(yīng)的開(kāi)發(fā)流程，技術(shù)要求和驗(yàn)證流程。即，如果電子電器系統(tǒng)需要滿足一個(gè)ASIL D功能安全目標(biāo)，需要最全面的安全機(jī)制和最嚴(yán)格的開(kāi)發(fā)驗(yàn)證流程來(lái)保證該安全目標(biāo)。

圖1 汽車(chē)安全完整性等級(jí)示意

動(dòng)力電池系統(tǒng)是新能源汽車(chē)中非常關(guān)鍵的一個(gè)安全部件，每年因動(dòng)力電池問(wèn)題引起的電動(dòng)車(chē)起火爆炸案例時(shí)有發(fā)生。今年以來(lái)因鋰電池爆炸導(dǎo)致人員傷亡的事故更是頻發(fā)。

為了保證整個(gè)電池系統(tǒng)的安全，電池廠商需要從化學(xué)、機(jī)械、電子電器三個(gè)主要方面進(jìn)行安全的設(shè)計(jì)驗(yàn)證，其中BMS（Battery Management System 電池管理系統(tǒng), 簡(jiǎn)稱 BMS）功能安全也成為行業(yè)關(guān)注的焦點(diǎn)之一。

圖2：電池系統(tǒng)安全示意

現(xiàn)今，國(guó)內(nèi)外的各大汽車(chē)廠商都強(qiáng)制BMS滿足ISO 26262安全需求。中國(guó)汽車(chē)技術(shù)研究中心從2017初年開(kāi)始牽頭國(guó)內(nèi)主要整車(chē)制造廠、動(dòng)力電池及BMS供應(yīng)商制定GB/T《電動(dòng)汽車(chē)用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》，草案定義了BMS四個(gè)主要安全目標(biāo)，均為ASILC。

此標(biāo)準(zhǔn)計(jì)劃在2019年下半年正式發(fā)布，將成為國(guó)內(nèi)行業(yè)對(duì)BMS的最基本門(mén)檻。

表1：《電動(dòng)汽車(chē)用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》定義的BMS安全目標(biāo)注：安全目標(biāo)是最高層面的安全要求,是危害分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果。

萬(wàn)向一二三提供的BMS產(chǎn)品包括48V低壓系統(tǒng)、高壓系統(tǒng)兩個(gè)電壓平臺(tái)，并積極推進(jìn)ASIL C以上研發(fā)平臺(tái)的產(chǎn)品開(kāi)發(fā)，其中：

- ASIL C 48V BMS平臺(tái)基于多個(gè)客戶項(xiàng)目需求，將于明年年底量產(chǎn)；

- ASIL C 高壓BMS平臺(tái)將于今年下半年量產(chǎn)（基于合資整車(chē)廠項(xiàng)目）；

為了滿足全球客戶更高的功能安全等級(jí)要求，ASIL D 高壓BMS平臺(tái)也正在研發(fā)。

從技術(shù)層面上講，ASIL C 高壓和48V BMS平臺(tái)系統(tǒng)，有以下主要特點(diǎn)：

- 軟件架構(gòu)設(shè)計(jì)遵循AUTOSAR，采用第三方AUTOSAR 底層軟件方案（COTS）；

- 采用經(jīng)過(guò)安全認(rèn)證（SEooC）的軟件和硬件組件；

- 推行A-spice Level 2 流程；

- 軟件模型化設(shè)計(jì)；

此外，ASIL C高壓BMS已經(jīng)過(guò)歐洲安全專家（來(lái)自客戶）的現(xiàn)場(chǎng)系統(tǒng)安全評(píng)審（包括功能安全），并給出了“A123 solution is state of the art with good concept”的評(píng)價(jià)：

A. 軟件架構(gòu)中，采用經(jīng)歐洲第三方公司認(rèn)證的ASIL D-Safety OS、ASIL D-Safety Watchdog manager、ASIL D-Safety RTE軟件模塊；

B. 硬件架構(gòu)中，采用ASIL D-MCU （包含ASIL B safeTlib）、ASIL D-SBC、ASIL C采集芯片；

圖4：ASPICE 實(shí)施過(guò)程范圍

BMS的功能安全設(shè)計(jì)和安全需求依賴于大量的電芯、模組和pack數(shù)據(jù)，譬如：

- 在定義電芯過(guò)壓保護(hù)安全需求時(shí)，電壓閾值和FTTI的選擇必須是基于充分的電芯過(guò)充實(shí)驗(yàn)數(shù)據(jù)，且要考慮這些閾值是否適用于電芯的整個(gè)生命周期（BOL- EOL）；

- 在定義動(dòng)力電池的過(guò)流保護(hù)安全需求時(shí)，必須考慮電芯、繼電器和高壓線束的使用限制，且結(jié)合熔斷器（Fuse）的熔斷特性去設(shè)計(jì)整個(gè)系統(tǒng)的保護(hù)策略；

- 在定義電芯的過(guò)流保護(hù)安全需求時(shí)，需要基于模組的熱仿真數(shù)據(jù)去定義電芯溫度傳感器的安裝位置；

文章來(lái)源：萬(wàn)向一二三