隨著汽車電動化和智能化的趨勢不斷加深，汽車電子控制單元越來越多，電子控制單元的軟硬件（ECU SW/HW）越發復雜。與此同時，系統失效和隨機硬件失效的風險也日益增加，由此引發的人身傷害發生概率也不斷提高。

2011年11月15日，為避免因電子電器系統失效引起的不合理的風險，降低人身傷害發生概率，做到功能安全，針對道路車輛的第一版ISO 26262《道路車輛功能安全》（簡稱 ISO 26262）正式發布，為汽車電子控制系統提供了一個全生命周期（管理、開發、生產、經營、服務、報廢）的功能安全指導準則。

ISO 26262提供了汽車特定的基于危害分析和風險評估以確定的汽車安全完整性等級（Automotive Safety Integrity Level，下稱 ASIL）。ASIL分為四個等級: ASIL A、ASIL B、ASIL C和ASIL D（見圖1）。

從ASIL A到ASIL D安全完整性等級逐級提高。除了這4個ASIL等級之外, 質量管理（Quality Management，下稱 QM）等級不做功能安全要求。

基于不同的ASIL等級，ISO 26262要求在整個生命安全周期內符合相應的開發流程，技術要求和驗證流程。即，如果電子電器系統需要滿足一個ASIL D功能安全目標，需要最全面的安全機制和最嚴格的開發驗證流程來保證該安全目標。

圖1 汽車安全完整性等級示意

動力電池系統是新能源汽車中非常關鍵的一個安全部件，每年因動力電池問題引起的電動車起火爆炸案例時有發生。今年以來因鋰電池爆炸導致人員傷亡的事故更是頻發。

為了保證整個電池系統的安全，電池廠商需要從化學、機械、電子電器三個主要方面進行安全的設計驗證，其中BMS（Battery Management System 電池管理系統, 簡稱 BMS）功能安全也成為行業關注的焦點之一。

圖2：電池系統安全示意

現今，國內外的各大汽車廠商都強制BMS滿足ISO 26262安全需求。中國汽車技術研究中心從2017初年開始牽頭國內主要整車制造廠、動力電池及BMS供應商制定GB/T《電動汽車用電池管理系統功能安全要求及試驗方法》，草案定義了BMS四個主要安全目標，均為ASILC。

此標準計劃在2019年下半年正式發布，將成為國內行業對BMS的最基本門檻。

表1：《電動汽車用電池管理系統功能安全要求及試驗方法》定義的BMS安全目標注：安全目標是最高層面的安全要求,是危害分析和風險評估的結果。

萬向一二三作為一家專注于鋰離子動力電池的供應商，致力于為新能源汽車生產企業提供高品質的全套動力電池解決方案，不斷提供控制產品開發效率，質量和安全。

自2015年開始推動功能安全體系建設和ISO 26262開發流程搭建，萬向一二三已累積了豐富的功能安全項目經驗。

萬向一二三提供的BMS產品包括48V低壓系統、高壓系統兩個電壓平臺，并積極推進ASIL C以上研發平臺的產品開發，其中：

- ASIL C 48V BMS平臺基于多個客戶項目需求，將于明年年底量產；

- ASIL C 高壓BMS平臺將于今年下半年量產（基于合資整車廠項目）；

為了滿足全球客戶更高的功能安全等級要求，ASIL D 高壓BMS平臺也正在研發。

從技術層面上講，ASIL C 高壓和48V BMS平臺系統，有以下主要特點：

- 軟件架構設計遵循AUTOSAR，采用第三方AUTOSAR 底層軟件方案（COTS）；

- 采用經過安全認證（SEooC）的軟件和硬件組件；

- 推行A-spice Level 2 流程；

- 軟件模型化設計；

此外，ASIL C高壓BMS已經過歐洲安全專家（來自客戶）的現場系統安全評審（包括功能安全），并給出了“A123 solution is state of the art with good concept”的評價：

A. 軟件架構中，采用經歐洲第三方公司認證的ASIL D-Safety OS、ASIL D-Safety Watchdog manager、ASIL D-Safety RTE軟件模塊；

B. 硬件架構中，采用ASIL D-MCU （包含ASIL B safeTlib）、ASIL D-SBC、ASIL C采集芯片；

圖4：ASPICE 實施過程范圍

萬向一二三是國內唯一一家同時提供滿足功能安全的高壓BMS、48V BMS的供應商。依托于12年豐富的BMS、電芯、模組和電池系統開發經驗，萬向一二三在進行功能安全開發時，有相對完善的電池系統測試仿真體系和實驗驗證體系，供BMS功能安全設計使用。

BMS的功能安全設計和安全需求依賴于大量的電芯、模組和pack數據，譬如：

- 在定義電芯過壓保護安全需求時，電壓閾值和FTTI的選擇必須是基于充分的電芯過充實驗數據，且要考慮這些閾值是否適用于電芯的整個生命周期（BOL- EOL）；

- 在定義動力電池的過流保護安全需求時，必須考慮電芯、繼電器和高壓線束的使用限制，且結合熔斷器（Fuse）的熔斷特性去設計整個系統的保護策略；

- 在定義電芯的過流保護安全需求時，需要基于模組的熱仿真數據去定義電芯溫度傳感器的安裝位置；

依賴于大量的實驗和仿真數據，萬向一二三BMS研發團隊和電芯、模組、Pack團隊一起密切合作，保證功能安全相關的技術溝通高效且更具深度，確保BMS產品安全。

此外，萬向一二三還擁有國際化的功能安全團隊，高效地服務全球客戶。目前，萬向一二三在中國杭州、美國底特律、德國斯圖加特分別建立了功能安全團隊，并將繼續擴大功能安全團隊規模，深化公司內部功能安全文化，以提供更好的功能安全產品和服務給全球客戶，為動力電池系統及新能源汽車的安全保駕護航。