隨著汽車電動(dòng)化和智能化的趨勢(shì)不斷加深，汽車電子控制單元越來越多，電子控制單元的軟硬件（ECU SW/HW）越發(fā)復(fù)雜。與此同時(shí)，系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加，由此引發(fā)的人身傷害發(fā)生概率也不斷提高。

2011年11月15日，為避免因電子電器系統(tǒng)失效引起的不合理的風(fēng)險(xiǎn)，降低人身傷害發(fā)生概率，做到功能安全，針對(duì)道路車輛的第一版ISO 26262《道路車輛功能安全》（簡(jiǎn)稱 ISO 26262）正式發(fā)布，為汽車電子控制系統(tǒng)提供了一個(gè)全生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)、報(bào)廢）的功能安全指導(dǎo)準(zhǔn)則。

ISO 26262提供了汽車特定的基于危害分析和風(fēng)險(xiǎn)評(píng)估以確定的汽車安全完整性等級(jí)（Automotive Safety Integrity Level，下稱 ASIL）。ASIL分為四個(gè)等級(jí): ASIL A、ASIL B、ASIL C和ASIL D（見圖1）。

從ASIL A到ASIL D安全完整性等級(jí)逐級(jí)提高。除了這4個(gè)ASIL等級(jí)之外, 質(zhì)量管理（Quality Management，下稱 QM）等級(jí)不做功能安全要求。

基于不同的ASIL等級(jí)，ISO 26262要求在整個(gè)生命安全周期內(nèi)符合相應(yīng)的開發(fā)流程，技術(shù)要求和驗(yàn)證流程。即，如果電子電器系統(tǒng)需要滿足一個(gè)ASIL D功能安全目標(biāo)，需要最全面的安全機(jī)制和最嚴(yán)格的開發(fā)驗(yàn)證流程來保證該安全目標(biāo)。

圖1 汽車安全完整性等級(jí)示意

動(dòng)力電池系統(tǒng)是新能源汽車中非常關(guān)鍵的一個(gè)安全部件，每年因動(dòng)力電池問題引起的電動(dòng)車起火爆炸案例時(shí)有發(fā)生。今年以來因鋰電池爆炸導(dǎo)致人員傷亡的事故更是頻發(fā)。

為了保證整個(gè)電池系統(tǒng)的安全，電池廠商需要從化學(xué)、機(jī)械、電子電器三個(gè)主要方面進(jìn)行安全的設(shè)計(jì)驗(yàn)證，其中BMS（Battery Management System 電池管理系統(tǒng), 簡(jiǎn)稱 BMS）功能安全也成為行業(yè)關(guān)注的焦點(diǎn)之一。

圖2：電池系統(tǒng)安全示意

現(xiàn)今，國內(nèi)外的各大汽車廠商都強(qiáng)制BMS滿足ISO 26262安全需求。中國汽車技術(shù)研究中心從2017初年開始牽頭國內(nèi)主要整車制造廠、動(dòng)力電池及BMS供應(yīng)商制定GB/T《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》，草案定義了BMS四個(gè)主要安全目標(biāo)，均為ASILC。

此標(biāo)準(zhǔn)計(jì)劃在2019年下半年正式發(fā)布，將成為國內(nèi)行業(yè)對(duì)BMS的最基本門檻。

表1：《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》定義的BMS安全目標(biāo)注：安全目標(biāo)是最高層面的安全要求,是危害分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果。

萬向一二三作為一家專注于鋰離子動(dòng)力電池的供應(yīng)商，致力于為新能源汽車生產(chǎn)企業(yè)提供高品質(zhì)的全套動(dòng)力電池解決方案，不斷提供控制產(chǎn)品開發(fā)效率，質(zhì)量和安全。

自2015年開始推動(dòng)功能安全體系建設(shè)和ISO 26262開發(fā)流程搭建，萬向一二三已累積了豐富的功能安全項(xiàng)目經(jīng)驗(yàn)。

萬向一二三提供的BMS產(chǎn)品包括48V低壓系統(tǒng)、高壓系統(tǒng)兩個(gè)電壓平臺(tái)，并積極推進(jìn)ASIL C以上研發(fā)平臺(tái)的產(chǎn)品開發(fā)，其中：

- ASIL C 48V BMS平臺(tái)基于多個(gè)客戶項(xiàng)目需求，將于明年年底量產(chǎn)；

- ASIL C 高壓BMS平臺(tái)將于今年下半年量產(chǎn)（基于合資整車廠項(xiàng)目）；

為了滿足全球客戶更高的功能安全等級(jí)要求，ASIL D 高壓BMS平臺(tái)也正在研發(fā)。

從技術(shù)層面上講，ASIL C 高壓和48V BMS平臺(tái)系統(tǒng)，有以下主要特點(diǎn)：

- 軟件架構(gòu)設(shè)計(jì)遵循AUTOSAR，采用第三方AUTOSAR 底層軟件方案（COTS）；

- 采用經(jīng)過安全認(rèn)證（SEooC）的軟件和硬件組件；

- 推行A-spice Level 2 流程；

- 軟件模型化設(shè)計(jì)；

此外，ASIL C高壓BMS已經(jīng)過歐洲安全專家（來自客戶）的現(xiàn)場(chǎng)系統(tǒng)安全評(píng)審（包括功能安全），并給出了“A123 solution is state of the art with good concept”的評(píng)價(jià)：

A. 軟件架構(gòu)中，采用經(jīng)歐洲第三方公司認(rèn)證的ASIL D-Safety OS、ASIL D-Safety Watchdog manager、ASIL D-Safety RTE軟件模塊；

B. 硬件架構(gòu)中，采用ASIL D-MCU （包含ASIL B safeTlib）、ASIL D-SBC、ASIL C采集芯片；

圖4：ASPICE 實(shí)施過程范圍

萬向一二三是國內(nèi)唯一一家同時(shí)提供滿足功能安全的高壓BMS、48V BMS的供應(yīng)商。依托于12年豐富的BMS、電芯、模組和電池系統(tǒng)開發(fā)經(jīng)驗(yàn)，萬向一二三在進(jìn)行功能安全開發(fā)時(shí)，有相對(duì)完善的電池系統(tǒng)測(cè)試仿真體系和實(shí)驗(yàn)驗(yàn)證體系，供BMS功能安全設(shè)計(jì)使用。

BMS的功能安全設(shè)計(jì)和安全需求依賴于大量的電芯、模組和pack數(shù)據(jù)，譬如：

- 在定義電芯過壓保護(hù)安全需求時(shí)，電壓閾值和FTTI的選擇必須是基于充分的電芯過充實(shí)驗(yàn)數(shù)據(jù)，且要考慮這些閾值是否適用于電芯的整個(gè)生命周期（BOL- EOL）；

- 在定義動(dòng)力電池的過流保護(hù)安全需求時(shí)，必須考慮電芯、繼電器和高壓線束的使用限制，且結(jié)合熔斷器（Fuse）的熔斷特性去設(shè)計(jì)整個(gè)系統(tǒng)的保護(hù)策略；

- 在定義電芯的過流保護(hù)安全需求時(shí)，需要基于模組的熱仿真數(shù)據(jù)去定義電芯溫度傳感器的安裝位置；

依賴于大量的實(shí)驗(yàn)和仿真數(shù)據(jù)，萬向一二三BMS研發(fā)團(tuán)隊(duì)和電芯、模組、Pack團(tuán)隊(duì)一起密切合作，保證功能安全相關(guān)的技術(shù)溝通高效且更具深度，確保BMS產(chǎn)品安全。

此外，萬向一二三還擁有國際化的功能安全團(tuán)隊(duì)，高效地服務(wù)全球客戶。目前，萬向一二三在中國杭州、美國底特律、德國斯圖加特分別建立了功能安全團(tuán)隊(duì)，并將繼續(xù)擴(kuò)大功能安全團(tuán)隊(duì)規(guī)模，深化公司內(nèi)部功能安全文化，以提供更好的功能安全產(chǎn)品和服務(wù)給全球客戶，為動(dòng)力電池系統(tǒng)及新能源汽車的安全保駕護(hù)航。