我們將在本次推文中對BMS正向研發流程進行介紹，包括系統層面、硬件層面、軟件層面的相關內容。

在文末，還將介紹BMS的發展趨勢，包括無線BMS和集成動力域控等概念。

BMS正向研發及測試

電池管理系統功能安全可以概括為圖示的V字型，主要包括功能安全流程開發和功能安全產品開發。

左半邊和設計相關，傳統開發一般由系統設計開始，安全目標與需求是由OEM和電池包總成供應商來定義的。而相關項定義，危害分析及風險評估則由BMS配套企業來制定。

在系統設計層面，包括硬件架構，軟件架構，技術架構和功能架構。

在設計完成后，對硬件和軟件進行測試校核，系統集成測試以及功能安全評估。

概念階段開發

BMS概念階段開發的主要步驟包括：

1

相關項定義及邊界劃分

根據BMS功能定義相關項，并切分相關項邊界。

現在主流的做法是將BMS相關的內容都框在一起，包括繼電器，絕緣電阻，數據采集，對于內部的熱管理通斷，對于外部的人機接口，通訊接口，以及自己本身的MCU。圖示展示的就是BMS的基本相關項。

明確BMS相關項后，可以進一步通過SEC判斷相關項ASIL等級。

2

危害分析和方向評估HARA

通過判斷危害程度，也就是電池累計失效，電池單體電壓過壓等，來評估會導致多嚴重的一個傷害，以及包容程度和可控程度。

通過這三個指標來定義BMS某個功能失效后，所產生的危害和嚴重等級。

目前行業內公認的安全目標一般有5個。

3

功能安全目標SG

所謂SG,指的是根據ASIL等級制定Safety Goals。

以上5項內容ASIL等級均為C級。

目前BMS很少能夠直接控制電池包的電流值，只能通過CAN總線向VCU發送信號，來限制電池包充放電的功率，同時發送warning信號給儀表提醒駕駛員注意，并在危險情況下切斷繼電器來截斷高壓電。

功能安全制定完成后，就可以著手導出功能安全需求。

4

功能安全要求FSR

基于FSR定義,進一步分解至各軟硬件接口上。也就是說，每個軟硬件接口需要做哪些設計和考量來滿足功能安全要求。

5

系統級三層監控設計

第一層QM負責基本功能控制，包括上下電控制和性能控制；

后一層負責安全監控，比如過溫，過壓，過流，過充，以及其他一些對人體可能產生傷害的風險監控。

第三層是對MCU硬件和APP級的程序都需要進行監控。

6

相關集成測試

集成測試包括每個要素的軟硬件集成，系統的相關項的所有要素集成，相關項與整車的集成。

7

功能安全評估

在完成系統級測試后，需要完成功能安全評估，評估相關項所實現的功能安全。

硬件層面

以上圖為例，功能安全強調的是對于硬件故障的探測程度和硬件上的冗余，因此，在做硬件功能設計開發的過程中，需要采用一種常規的閉環。

以ASIL A為例，傳感器輸入信號給控制單元MCU，通過邏輯運算，反饋給執行器進行動作，執行器再反饋信號給控制單元，進行診斷。

以ASIL B為例，就在現有的控制單元MCU基礎上，增加獨立的監控單元，采用雙核設計，在執行器處外加一個與非門，把執行狀態反饋回控制單元。

ASIL C的實施方案則是A+B的模式。

硬件層面典型案例

以高壓互鎖功能為例。

嚴重性：高壓互鎖功能用于監測高壓回路是否完整，如果功能失效，可能引起高壓電暴露，動力回路輸出功率下降，甚至會造成連接器燒結等嚴重后果，未采取安全防護措施的人員可能因接觸裸露的極柱或者高壓部件導致出點，定義嚴重性為S3，可產生致命危險。

發生率：正常使用（行駛，停放，充電）時，使用者并不會去觸碰高壓部件，只有在維護維修時才有可能接觸，定義發生率為E2，低的發生概率。

可控性：在電池系統維護維修時，經過培訓的操作員，都可以通過基本的防護設備來防止觸電，因此定義可控性為C2，正常可控。

因此根據ASIL等級評估表，高壓互鎖功能的安全等級為ASIL B。

采用ASIL B的實現方案

在執行器前增加“與門”的操作，能夠及時斷開繼電器。BMS需要帶有高壓互鎖信號監測功能，當故障發生時，BMS需要及時上報整車控制器并保存故障內容，整車控制器根據實際情況進行高壓電路關斷或降低功率使用，并將處理結果返回BMS，同時通過儀表或指示器及時通知駕駛員異常情況，以便及時處理。

軟件層面

軟件開發流程目前主要遵循V流程。

BMS軟件開發同樣遵循V流程，首先要明確軟件安全的要求，隨后進行軟件架構設計，再進一步細化，對軟件單元進行設計和實現，完成設計部分后，通過對軟件單元測試，軟件集成測試和軟件安全要求等校驗步驟，最終完成BMS的軟件開發流程。

BMS軟件架構采用分層軟件架構，參考的是目前各大車企普遍使用的AUTOSAR軟件接口進行定義，具有良好的通用性。

BMS的軟件相關組件可劃分為2類，安全相關和非安全相關，后者部件占比比較大。

這種劃分方式即兼顧了ISO26262的流程和方法要求，又可以降低成本和開發復雜度。

功能控制器共分為2層。

第一層主要負責基礎功能，包括電池狀態估計，熱管理，均衡控制和充放電控制等。

第二層功能包括診斷監控功能，監測電壓電流和溫度信號是否在許可范圍內，當前是否允許均衡，散熱等指令。

第三層橫跨功能控制器和監控控制層，屬于硬件監控模塊。

軟件層面測試

軟件層面的測試方法，主要有仿真和系統原型法，其中故障注入注入測試技術是被非常推崇的。

故障注入測試，在系統層面，可以驗證在正常操作時沒有被調用執行的安全機制測試覆蓋，在硬件層面，每個硬件安全機制對應故障的響應分析；在軟件層面，必須注入軟件故障或硬件組件故障用來測試安全機制。

因此基于故障仿真注入的測試時功能安全系統，硬件和軟件階段重點需要考慮的測試方法。

BMS測試主要包括MIL測試，SIL測試和PIL測試。

一句話簡單解釋，就是在臺架上注入一個故障，通過BMS對故障的診斷時間以及響應時間，來判斷是否滿足主機廠的要求。

BMS未來發展趨勢-無線BMS

目前刀片電池正如火如荼，在刀片電池之后，大家都在考慮BMS是否可以優化為無線BMS。

其優勢在于，降低了組裝成本，總BMS成本將更低。電池位置擺放更靈活，擁有更好的擴展性。

其困難之處在于，在密閉空間內，尤其是在電池模組比較多的情況下，天線之間電磁場的耦合，會對通信質量產生影響。

BMS未來發展趨勢-動力域控制器

另一個發展趨勢是，現有的三電控制器可能會與BMS集成在一起，也就是說BMS向動力域控制器集成。

這么做的好處在于更新代碼的接口統一，主機廠只要控制這一個動力單元，就能把整個動力域控制住。

此外，還能夠帶來提升整車動力性最優控制算法開發、降低控制器硬件成本及線束成本等優勢。

高壓電池管理系統BMS淺析前三篇合集（點擊文字進入）

高壓電池管理系統BMS淺析 專題一

高壓電池管理系統BMS淺析 專題二

高壓電池管理系統BMS淺析 專題三

至此，有關高壓電池管理系統BMS的介紹就結束了。希望能幫助行業同仁更好地了解新能源汽車的增量零件，為大家的日常工作提供參考和幫助。

審核編輯：劉清