基于ISO 26262標準的BMS(ASIL C)功能安全設計

劉凌飛，李小鵬，徐征，沈圣智

(1.天津職業技術師范大學汽車與交通學院，天津 300222；2.天津動核芯科技有限公司，天津 300350)

0 引言

隨著汽車上電子/電氣(E/E)系統的復雜性不斷提高，系統失效和隨機硬件失效的風險也不斷增加。據不完全統計，截至2019年上半年，由于動力蓄電池所引發的電動汽車自燃事故已高達40余起。動力蓄電池系統作為新能源汽車的能源系統，承擔能量的存儲與釋放，其內部的電子控制器的功能安全直接影響動力蓄電池的安全性。

為提高汽車的安全性，針對汽車功能安全，國際標準化組織ISO于2018年發布了第二版 ISO 26262道路車輛功能安全標準[1]。電池管理系統(Battery Management System， BMS)作為動力蓄電池的核心電子控制器，在其系統功能安全設計過程中應用ISO 26262標準要求，將有利于提高其安全性。

本文作者根據ISO 26262標準中的危害分析和風險評估方法，介紹了汽車完整性等級(Automotive Safety Integration Level，ASIL)的確定方法，介紹了ASIL分解的原則，并以BMS的等級確定及分解為示例進行介紹。

1 道路車輛功能安全標準ISO 26262

2018年基于IEC 61508安全相關電氣/電子/可編程電子系統功能安全，ISO 26262被制定。它是針對公路車輛內的電子/電氣系統的汽車開發行業標準[1]，包括了汽車電子電氣在安全生命周期的開發過程中與安全相關的所有活動的要求。從而確保具備安全功能的電子產品的性能，在車輛使用過程中，即使出現功能性失效的情況，車輛也不會發生危險。

ISO 26262：2018標準體系由12個子標準組成，其中Road vehicles：Functional safety：Part 12是針對摩托車定制的[1]。Part1—Part11的內容如圖1所示，其中第4、5、6部分，兼容“V”形開發流程圖[4]，其結構框圖如圖1所示。

圖1 ISO 26262:2018 標準結構

依據ISO 26262標準進行功能安全設計時，需要進行危害分析和風險評估。根據系統的功能，可采用HAZOP、FMEA、頭腦風暴等方法，結合故障可能會出現的情景進行功能故障分析。

功能故障和駕駛場景的組合稱作危害事件。危害事件確定后，依據嚴重度、暴露率和可控性評估危害事件的風險級別——汽車完整性等級(ASIL)。其中，嚴重度是駕駛員、乘員或者行人等涉險人員在危害事件中遭受傷害的程度；暴露率是指人員處于失效系統所致的危害場景中的概率；可控性是指駕駛員或其他涉險人員通過相應的應急措施，避免事故或傷害的可能性。這3個因子的分類及等級評定如表1所示。

ASIL設置有4個等級，如表2所示。其中D等級的級別最高、A等級最低；QM表示質量管理，表示只需按照質量管理體系進行系統或功能的開發，不再需要考慮其他安全相關的設計[2]。ASIL等級越高，意味著對系統安全性的要求越高。

表1 嚴重度、暴露率、可控性分類

表2 ASIL等級確定

可將風險R描述為危險事件的功能函數F。風險R與危害事件的發生頻率f、通過人的及時反應而避免損害或損傷的可控性C以及潛在的嚴重程度S有關，其函數可表示為

R=F(f,C,S)

(1)

式中f是危害事件的暴露率E發生概率λ的函數。發生的頻率f由以下2個因素確定：(1)需要考慮危害事件的發生頻繁度和危害事件涉及的人數，該因素可用危害事件的暴露率E來代替。(2)可能導致危險事件的產品故障率λ，該因素受限于硬件隨機故障和系統性故障。其表達式如式(2)所示。

f=Eλ

(2)

2 BMS的等級評定

2.1 市場車型定位

BMS是保護動力電池的使用安全和使用壽命的控制系統。通常具有上電自檢，對電壓、電流、溫度數據進行采樣監測，均衡管理，絕緣監控，狀態估計(SOC、SOH等)，高壓回路控制，故障診斷，通信，熱管理等功能[3]。BMS需時刻監控電池的狀態，通過檢測單體電池的電壓、電流及溫度值，估算動力電池的SOC、SOH等值，以確定動力電池的安全狀態。BMS內部的邏輯計算與控制策略可以防止電池出現過度充電和過度放電的現象，緩解電池組的不一致性，提高電池的利用率[4]，保障動力蓄電池的使用安全。

動力電池系統的BMS控制模塊，可分為數據采集與數據通信、處理模塊，如圖2所示。該系統由一個主控單元和多個從控單元組成，其中從控單元主要負責單體電壓信號采集與均衡處理，主控單元主要負責數據的運算處理、系統高壓通斷、熱管理及與 VCU 進行信息交互等。

圖2 電動汽車的動力電池系統

2.2 BMS的危害分析與風險評估

對BMS進行危害分析與風險評估時，可將BMS作為一個獨立單元，在不考慮其他整車要素的情況下進行。首先要對BMS的功能及結構進行分析，可以采用概念階段所定義的安全生命周期的方法來定義BMS的工作環境和工作狀況。根據BMS的工作狀態，分析其失效或故障狀態下可能發生的危害。針對BMS的危害至少確定一個安全目標，再根據BMS的安全目標確定其ASIL等級。安全目標是最高層面的安全要求，也是危害分析和風險評估的結果[1]。

結合BMS在動力電池系統中的工作狀態， BMS電子控制器的危險動作主要包含過充、過放、低溫充電、過度冷卻/加熱、接觸器非正常斷開/接合、過流等。以BMS失效為例，該危險事件的危害有：(1)在行駛過程中，BMS失效出現電池過放，引起電池組內部短路和電池包著火。(2)高速行駛過程中，高壓回路被切斷,導致車輛失去動力[2]。(3)車輛充電時，由于BMS失效不能保護動力電池，發生過充現象等。高速行駛、充電是每天都會發生的事情。對于不同的失效危害可采取相應的措施，如車輛失去動力后,駕駛員可依靠慣性將車輛駛離主車道，將車輛停靠在路邊等待維修處理；車輛充電時著火，駕駛員及乘客可通過門窗逃生等，以保障車輛上人員的生命安全。即使危害相同，在不同場景下發生的風險也是不同的，所以需要對不同的駕駛場景進行針對性分析。為了簡化問題，文中僅對“高速行駛過程中，BMS失效引發電池組過放”這種功能故障進行風險評估。根據以上分析，BMS風險評估結果如表3所示。駕駛場景是正常道路高速行駛。對于同一個安全目標，如果出現評估的ASIL等級不同時，要選擇最高的ASIL評定值。

城市工況低速行駛時，其ASIL的等級會比高速行駛的評定等級低。通過以上分析，得出BMS系統的安全目標為防止電池過放，ASIL等級為C。安全目標確定后，即可確定BMS在系統級別的安全需求，安全需求需繼承安全目標的ASIL等級，并分配至BMS的硬件和軟件設計中。根據BMS的ASIL C的等級要求，在其硬件及軟件的開發設計過程中，需要繼承ASIL C等級的設計需求。

表3 BMS風險評估

3 BMS的ASIL分解

ISO 26262規定，應為每一個安全目標定義至少一項功能安全需求，每條功能安全需求從相關的安全目標繼承最高的ASIL，然后將功能安全需求分配給相關項。由于在實際的生產過程中需要考慮生產成本，ASIL的等級越高生產成本越高[5]。為了降低安全目標的實施成本，可將一個高ASIL等級的安全目標分解為兩個相互獨立的較低級的安全目標。ISO 26262標準的第9部分中提出了在滿足安全目標的前提下降低ASIL等級的ASIL分解方法[1]。

3.1 ASIL的分解原則

如果將一個安全需求分解為兩個冗余的安全需求，則原來的安全需求的ASIL等級可以分解到兩個冗余的安全需求上[1]。由于只有當兩個安全需求同時不達標時，才會引發系統失效，所以冗余安全需求的ASIL等級可以比原始的ASIL等級低。ASIL 分解時，分解對象應具有獨立性，否則冗余單元需遵循原始的等級進行開發[1]。下面介紹BMS的ASIL 分解過程。

假設BMS的功能實現過程中，將傳感器測量到的電壓、電流及溫度信號作為BMS的輸入信號，分別記為S1、S2、S3。這3個輸入信號是由相互獨立的傳感器分別檢測出的。MCU將運算后的輸入信號，轉化為觸發信息并發送給執行器。其功能的架構示意如圖3所示。假設經過危害分析和風險評估后，BMS的ASIL等級為ASIL C，安全目標為避免非預期觸發執行器，那么BMS的各個部分均繼承BMS的ASIL，即傳感器、MCU、執行器都需要按照ASIL C 的等級開發，如圖3所示。

圖3 ASIL等級在BMS功能架構上的分配

ASIL的分解可以在功能安全概念、系統設計、硬件設計、軟件設計階段等多個階段進行。在將一個高ASIL分解為幾個較低級的ASIL部分時，分解部分的括號里的字母為原始需求的ASIL等級。例如ASIL C等級分為ASIL B(C)和ASIL A (C)兩個分部分，或者ASIL C等級還可以分解為ASIL C(C)和ASIL QM(C)等，如圖4所示。ASIL等級可分多次進行分解，比如ASIL C分解為ASIL B(C)和ASIL A(C)， ASIL B(C)還可以分解為ASIL B(C)和QM (C)[1]，如圖5所示。

圖4 ASIL C分解原理

圖5 ASIL B分解原理

3.2 BMS的ASIL分解

以預防過放功能為例，在動力電池運行過程中，為了防止動力電池出現過放現象，可以通過BMS計算出動力電池的SOC，并判斷SOC值是否在安全范圍內[4]。如果電池的SOC過低，就存在電池過放的趨勢，需要將該信息發送給其他控制單元，以提示整車做出對應措施。除此之外，當BMS檢測到電池處于深度放電的狀態時，可以斷開高壓回路，以阻斷放電電流。因此，為達到防止電池組中的一個或多個電池深度放電的安全目標，需要達到以下安全需求：

(1)確定電池組的SOC并傳達給其他控制器。如果電池組的SOC不在規定的操作范圍內，系統需要跟蹤到電池的能量流并做出反應。此外，如果超出了電池組SOC的限定值，則應將該信息傳達到車輛的其他系統。

(2)如果檢測到深度放電狀態，則應在較短的時間內切斷放電電流。

為保護電池免受損壞并防止深度放電(深度放電可使電池內部短路并導致熱事件和火災)引起的危險后果，如果檢測到深度放電狀態，系統應切斷放電電流。

根據以上需求分析，結合BMS的工作環境及BMS與內、外部部件之間的聯系進行需求分配。假設動力電池的負載只有驅動電機，那么BMS需要實現與電池組及電力電子控制單元之間的交流，即處理電池組內電芯的數據，接收電力電子控制單元的信息，根據數據進行決策判斷。因此，可將BMS的安全目標分解為斷開高壓回路和負載需求降為零，且這兩個功能安全需求是相互獨立的。將BMS的ASIL C等級分別分配至BMS及其他電力電子控制器的功能需求，分解情況如圖6所示。

圖6 預防過放目標的ASIL分解

經過分解后，較高的ASIL C的BMS安全目標，被分解為按照ASIL B(C)等級設計的BMS功能安全需求及按照ASIL A(C)等級設計的電力電子控制器。通過對功能安全需求的分配與分解，使得BMS功能邏輯及開發變得簡單，整體成本得以降低。

4 結語

以BMS為例介紹了ISO 26262標準中安全目標及其ASIL等級確定的方法。如果產品的安全需求的ASIL等級較高，成本高，可通過ASIL分解以降低ASIL等級，降低生產成本。在分解的過程中，遵循安全目標的ASIL等級在被開發階段的安全需求繼承的原則。以BMS預防過放為例，介紹了ASIL的分解原則和步驟。通過對功能及結構進行分析，對系統的架構進行調整，實現了ASIL的分解。為針對ASIL等級高而帶來的開發成本高、開發周期長及技術要求高等方面的問題，提供了一種解決方法。