我們將在本次推文中對BMS正向研發(fā)流程進行介紹，包括系統(tǒng)層面、硬件層面、軟件層面的相關(guān)內(nèi)容。

在文末，還將介紹BMS的發(fā)展趨勢，包括無線BMS和集成動力域控等概念。

BMS正向研發(fā)及測試

電池管理系統(tǒng)功能安全可以概括為圖示的V字型，主要包括功能安全流程開發(fā)和功能安全產(chǎn)品開發(fā)。

左半邊和設(shè)計相關(guān)，傳統(tǒng)開發(fā)一般由系統(tǒng)設(shè)計開始，安全目標(biāo)與需求是由OEM和電池包總成供應(yīng)商來定義的。而相關(guān)項定義，危害分析及風(fēng)險評估則由BMS配套企業(yè)來制定。

在系統(tǒng)設(shè)計層面，包括硬件架構(gòu)，軟件架構(gòu)，技術(shù)架構(gòu)和功能架構(gòu)。

在設(shè)計完成后，對硬件和軟件進行測試校核，系統(tǒng)集成測試以及功能安全評估。

概念階段開發(fā)

BMS概念階段開發(fā)的主要步驟包括：

1

相關(guān)項定義及邊界劃分

根據(jù)BMS功能定義相關(guān)項，并切分相關(guān)項邊界。

現(xiàn)在主流的做法是將BMS相關(guān)的內(nèi)容都框在一起，包括繼電器，絕緣電阻，數(shù)據(jù)采集，對于內(nèi)部的熱管理通斷，對于外部的人機接口，通訊接口，以及自己本身的MCU。圖示展示的就是BMS的基本相關(guān)項。

明確BMS相關(guān)項后，可以進一步通過SEC判斷相關(guān)項ASIL等級。

2

危害分析和方向評估HARA

通過判斷危害程度，也就是電池累計失效，電池單體電壓過壓等，來評估會導(dǎo)致多嚴(yán)重的一個傷害，以及包容程度和可控程度。

通過這三個指標(biāo)來定義BMS某個功能失效后，所產(chǎn)生的危害和嚴(yán)重等級。

目前行業(yè)內(nèi)公認(rèn)的安全目標(biāo)一般有5個。

3

功能安全目標(biāo)SG

所謂SG,指的是根據(jù)ASIL等級制定Safety Goals。

以上5項內(nèi)容ASIL等級均為C級。

目前BMS很少能夠直接控制電池包的電流值，只能通過CAN總線向VCU發(fā)送信號，來限制電池包充放電的功率，同時發(fā)送warning信號給儀表提醒駕駛員注意，并在危險情況下切斷繼電器來截斷高壓電。

功能安全制定完成后，就可以著手導(dǎo)出功能安全需求。

4

功能安全要求FSR

基于FSR定義,進一步分解至各軟硬件接口上。也就是說，每個軟硬件接口需要做哪些設(shè)計和考量來滿足功能安全要求。

5

系統(tǒng)級三層監(jiān)控設(shè)計

第一層QM負(fù)責(zé)基本功能控制，包括上下電控制和性能控制；

后一層負(fù)責(zé)安全監(jiān)控，比如過溫，過壓，過流，過充，以及其他一些對人體可能產(chǎn)生傷害的風(fēng)險監(jiān)控。

第三層是對MCU硬件和APP級的程序都需要進行監(jiān)控。

6

相關(guān)集成測試

集成測試包括每個要素的軟硬件集成，系統(tǒng)的相關(guān)項的所有要素集成，相關(guān)項與整車的集成。

7

功能安全評估

在完成系統(tǒng)級測試后，需要完成功能安全評估，評估相關(guān)項所實現(xiàn)的功能安全。

硬件層面

以上圖為例，功能安全強調(diào)的是對于硬件故障的探測程度和硬件上的冗余，因此，在做硬件功能設(shè)計開發(fā)的過程中，需要采用一種常規(guī)的閉環(huán)。

以ASIL A為例，傳感器輸入信號給控制單元MCU，通過邏輯運算，反饋給執(zhí)行器進行動作，執(zhí)行器再反饋信號給控制單元，進行診斷。

以ASIL B為例，就在現(xiàn)有的控制單元MCU基礎(chǔ)上，增加獨立的監(jiān)控單元，采用雙核設(shè)計，在執(zhí)行器處外加一個與非門，把執(zhí)行狀態(tài)反饋回控制單元。

ASIL C的實施方案則是A+B的模式。

硬件層面典型案例

以高壓互鎖功能為例。

嚴(yán)重性：高壓互鎖功能用于監(jiān)測高壓回路是否完整，如果功能失效，可能引起高壓電暴露，動力回路輸出功率下降，甚至?xí)斐?a target="_blank">連接器燒結(jié)等嚴(yán)重后果，未采取安全防護措施的人員可能因接觸裸露的極柱或者高壓部件導(dǎo)致出點，定義嚴(yán)重性為S3，可產(chǎn)生致命危險。

發(fā)生率：正常使用（行駛，停放，充電）時，使用者并不會去觸碰高壓部件，只有在維護維修時才有可能接觸，定義發(fā)生率為E2，低的發(fā)生概率。

可控性：在電池系統(tǒng)維護維修時，經(jīng)過培訓(xùn)的操作員，都可以通過基本的防護設(shè)備來防止觸電，因此定義可控性為C2，正常可控。

因此根據(jù)ASIL等級評估表，高壓互鎖功能的安全等級為ASIL B。

采用ASIL B的實現(xiàn)方案

在執(zhí)行器前增加“與門”的操作，能夠及時斷開繼電器。BMS需要帶有高壓互鎖信號監(jiān)測功能，當(dāng)故障發(fā)生時，BMS需要及時上報整車控制器并保存故障內(nèi)容，整車控制器根據(jù)實際情況進行高壓電路關(guān)斷或降低功率使用，并將處理結(jié)果返回BMS，同時通過儀表或指示器及時通知駕駛員異常情況，以便及時處理。

軟件層面

軟件開發(fā)流程目前主要遵循V流程。

BMS軟件開發(fā)同樣遵循V流程，首先要明確軟件安全的要求，隨后進行軟件架構(gòu)設(shè)計，再進一步細(xì)化，對軟件單元進行設(shè)計和實現(xiàn)，完成設(shè)計部分后，通過對軟件單元測試，軟件集成測試和軟件安全要求等校驗步驟，最終完成BMS的軟件開發(fā)流程。

BMS軟件架構(gòu)采用分層軟件架構(gòu)，參考的是目前各大車企普遍使用的AUTOSAR軟件接口進行定義，具有良好的通用性。

BMS的軟件相關(guān)組件可劃分為2類，安全相關(guān)和非安全相關(guān)，后者部件占比比較大。

這種劃分方式即兼顧了ISO26262的流程和方法要求，又可以降低成本和開發(fā)復(fù)雜度。

功能控制器共分為2層。

第一層主要負(fù)責(zé)基礎(chǔ)功能，包括電池狀態(tài)估計，熱管理，均衡控制和充放電控制等。

第二層功能包括診斷監(jiān)控功能，監(jiān)測電壓電流和溫度信號是否在許可范圍內(nèi)，當(dāng)前是否允許均衡，散熱等指令。

第三層橫跨功能控制器和監(jiān)控控制層，屬于硬件監(jiān)控模塊。

軟件層面測試

軟件層面的測試方法，主要有仿真和系統(tǒng)原型法，其中故障注入注入測試技術(shù)是被非常推崇的。

故障注入測試，在系統(tǒng)層面，可以驗證在正常操作時沒有被調(diào)用執(zhí)行的安全機制測試覆蓋，在硬件層面，每個硬件安全機制對應(yīng)故障的響應(yīng)分析；在軟件層面，必須注入軟件故障或硬件組件故障用來測試安全機制。

因此基于故障仿真注入的測試時功能安全系統(tǒng)，硬件和軟件階段重點需要考慮的測試方法。

BMS測試主要包括MIL測試，SIL測試和PIL測試。

一句話簡單解釋，就是在臺架上注入一個故障，通過BMS對故障的診斷時間以及響應(yīng)時間，來判斷是否滿足主機廠的要求。

BMS未來發(fā)展趨勢-無線BMS

目前刀片電池正如火如荼，在刀片電池之后，大家都在考慮BMS是否可以優(yōu)化為無線BMS。

其優(yōu)勢在于，降低了組裝成本，總BMS成本將更低。電池位置擺放更靈活，擁有更好的擴展性。

其困難之處在于，在密閉空間內(nèi)，尤其是在電池模組比較多的情況下，天線之間電磁場的耦合，會對通信質(zhì)量產(chǎn)生影響。

BMS未來發(fā)展趨勢-動力域控制器

另一個發(fā)展趨勢是，現(xiàn)有的三電控制器可能會與BMS集成在一起，也就是說BMS向動力域控制器集成。

這么做的好處在于更新代碼的接口統(tǒng)一，主機廠只要控制這一個動力單元，就能把整個動力域控制住。

此外，還能夠帶來提升整車動力性最優(yōu)控制算法開發(fā)、降低控制器硬件成本及線束成本等優(yōu)勢。

高壓電池管理系統(tǒng)BMS淺析前三篇合集（點擊文字進入）

高壓電池管理系統(tǒng)BMS淺析 專題一

高壓電池管理系統(tǒng)BMS淺析 專題二

高壓電池管理系統(tǒng)BMS淺析 專題三

至此，有關(guān)高壓電池管理系統(tǒng)BMS的介紹就結(jié)束了。希望能幫助行業(yè)同仁更好地了解新能源汽車的增量零件，為大家的日常工作提供參考和幫助。

審核編輯：劉清