基于功能安全的電池管理系統概念階段設計

黃代富

摘要：基于功能安全，本文進行了電池管理系統概念階段的設計。通過對系統主功能進行失效分析，并結合車輛場景，評估得出了電池管理系統的安全目標和ASIL等級。根據安全目標，推導出了該系統的功能安全需求，并將其分配到系統的初步架構上。

關鍵詞：功能安全;電池管理系統;概念階段;ISO 26262

0? 引言

為了防止電子電氣系統的失效給駕乘人員帶來生命危險，國家標準化組織借鑒了工業電子功能安全IEC 61508標準，于2011年推出了適用于汽車電子的功能安全標準ISO 26262標準[1]。該標準共有10個部分，涵蓋了項目管理以及系統軟硬件的開發。

目前，已有部分高校和和企業進行了功能安全相關的研究，并基于ISO 26262研發了許多車載控制器，如整車電源模式管理系統[2]、7速變速器[3]以及車用驅動電機系統[4]等，但是作為電動汽車的主要動力源，關于動力電池系統在此方面的研究較少。本文將以動力電池管理系統為例，重點闡述功能安全階段的設計與開發，旨在為后續基于功能安全的BMS開發提供借鑒。

1? ISO 26262概念階段介紹

ISO 26262的第三部分介紹了系統在概念階段的開發，其主要目的是為后續的設計開發與驗證提供明確的目標，主要包括系統定義、安全生命周期初始化、危害分析和風險評估以及功能安全概念四個部分。

簡單來說，ISO 26262中概念階段是整個功能安全生命周期中至關重要的一個環節，位于整個功能安全生命周期金字塔的頂端，對后續的安全活動起重要的指導作用。在某一個電子電氣系統進行研發時，概念階段一般由整車廠主導，研發人員從整車的角度（功能、失效以及危害等）出發就進行安全活動，當概念階段完成之后再將相關的安全目標與安全需求分配給各供應商。若無整車的參與，零部件供應商可自行進行功能安全假設活動，假設系統的危害以及確定系統的安全目標與需求。

2? 電池管理系統的功能安全概念設計

接下來將以電動汽車動力電池管理系統為例，對其概念階段的設計進行闡述。

2.1 項目定義

項目定義的主要作用是定義和描述該系統，主要包括對該系統的初始架構、操作模式以及該系統的主要功能的描述。

在進行功能安全項目定義之前，研發人員可以參考以下文檔，以對系統有一個初步的、充分的了解。主要包括：①新能源汽車市場的研究報告;②相關產品的設計報告;③電池和電池管理系統的技術報告;④BMS相關的法律、法規和標準，例如QC/T 897-2011等文檔。

在項目定義階段，應該確定好項目的邊界、接口以及車內其他的項目或者元素的交互。

從整車的角度來說，動力電池的主要功能是給整車提供能量，同樣，動力電池也需要外部設備給其提供能量。由此我們便可得到該BMS的主要功能（Main Function）。

至此，系統的項目定義階段基本完成。

2.2 安全周期初始化

安全生命初始化的作用主要是為了區分該項目的初始狀態，是一個新的開發項目還是對現有項目的修改。如果說是一個新的開發項目，那么概念階段的開發將繼續從后面的危害分析和風險評估進行;如果說是一個對現有項目的修改，應該進行系統修改的影響分析，以識別和描述適用于該系統或其環境的預期修改，并評估這些修改的影響。

2.3 危害分析和風險評估

危害分析和風險評估（Hazard analysis and risk assessment， HARA）的作用是通過系統性分分析，對危害事件進行評估，從而規避不合理的風險。HARA過程中首先需要做的是基于系統定義中得到的BMS的主要功能（如表 1所示）得出失效功能（Malfunction， MF）。此過程可以借助頭腦風暴的形式確定該系統的失效功能，缺點是可能存在遺漏的情況。目前較為常見的方式借鑒HAZOP分析中的“關鍵字”法進行失效功能的確定。通過“主功能+關鍵字”的形式，可以有效地得到該系統的失效功能并進行后續的HARA分析。常見的關鍵字包括“Loss”，“More”，“Less”，“Reverse”，“Unintended”，“Stuck”等。

以動力電池放電管理為例，進行系統的失效功能的分析，如表 1所述。

表 1中所列的動力電池放電管理的失效功能存在重復的情況，可以對其進行整合歸納。需要注意的是，研發人員可能具備相關BMS的經驗知識，知道電池在發生故障時系統會有保護措施。但是對于概念階段的設計，應該把BMS當作一個“黑盒”來看待，在分析失效功能時不應考慮已知的安全機制。結合預先設定好的車輛場景專家庫（如車輛狀況、地理位置、天氣氣候、道路場地、危害事件相關人員等），組合便可得到該系統相關的危害事件。通過“失效功能+車輛場景”這樣的方式可以得到數量很多的危害事件，在進行汽車安全完整性等級（Automotive Safety Integrity Level， ASIL）打分之前，可以對其進行預處理，整合相似的危害事件以及刪除不和邏輯的危害事件等。

ASIL 的等級的確定需要借助該危害事件的嚴重度（Severity，S）、暴露概率（Exposure，E）以及可控性（Controllability，C）等級的評定。其中嚴重度分為4級，S4最嚴重，指的是致命的傷害，而S0嚴重等級最低，無傷害;暴露概率分為5級，E4指的是發生概率最高的事件，幾乎在每次駕駛中都會發生，而E0則表示該事件發生概率非常低;可控性分為4級，其中E4代表該事件難以控制或不可控，而C0代表該事件非常容易控制。

通過對每個危害事件進行S、E、C的評級，便可得到該事件的ASIL等級，其計算公式下式所示：

為防止危害事件的發生，需為每個危害制定安全目標。

至此，功能安全概念階段中HARA部分的設計已結束，通過對失效以及危害的分析、評估，我們推導出了BMS的部分安全目標。安全目標是整個功能安全開發流程中的頂事件，將會在后續安全需求的推導，系統設計及驗證過程中起指導作用。

2.4 功能安全概念

如果說概念階段的項目定義、安全目標等安全活動與傳統的開發流程相差甚遠，研發人員對其較為陌生的話，那么功能安全需求則顯得相對友好。在功能安全活動中，功能安全需求（Functional Safety Requirement，FSR）是從安全目標推導出來的，實際上，我們可以將其等價于“用戶安全需求”，根據定義好的需求，我們便可以進行后續的系統，軟件與硬件階段的設計。安全目標一般都是防止危害發生，那么由安全目標導出的功能安全需求可以按照“檢測信號-確認故障-進入安全狀態”的方式進行推導。

ISO 26262中規定，每一個安全目標下至少有一個FSR，且FSR是可以共用于多個安全目標的。作為功能安全中一個重要的屬性，FSR的ASIL等級是繼承自該需求所屬的安全目標的，如果該FSR屬于多個安全目標，那么FSR的ASIL等級取多個安全目標的ASIL等級的最高值。如果說某一FSR可以分解為兩個獨立的需求，那么相應的ASIL等級也會進行分解，從而可以降低后續活動中該條需求的開發與驗證難度。

為了防止在本階段安全需求的推導中發生FSR遺漏的情況，可以借助故障樹分析，確保FSR的推導無遺漏。此外，還需要為每條FSR在電池包層面上制訂驗證標準，為后續測試過程中編寫測試用例提供依據。

根據ISO 26262，功能安全概念主要包含兩部分的內容，一是基于功能安全目標推導功能安全需求，二是將功能安全需求分配到系統的初始架構中。

3? 結束語

本文以電池管理系統為例，介紹了ISO 26262流程中第三部分概念階段的開發與設計。作為標準中與實際開發項目相關的第一部分，概念階段給出了功能安全活動中十分重要的安全目標、ASIL等級以及安全需求等。本文給出了電池管理系統在概念階段開發過程中的一些要點，能為后續的功能安全活動提供指導性的建議。

參考文獻：

[1]文凱，夏珩，裴鋒，等.基于ISO 26262的電動四驅混合動力系統功能安全概念設計[J].機電工程技術，2012（12）：74-76.

[2]童菲.基于ISO26262的整車電源模式管理系統功能安全概念設計[J].機電一體化，2015，21（7）：63-67.

[3]葛鵬，陳勇，羅大國，等.基于道路車輛功能安全標準ISO26262的7DCT電控系統設計[J].汽車技術，2014（9）：21-23.

[4]莊興明，張琴.基于ISO 26262標準的車用驅動電機系統設計研究[J].汽車零部件，2016（12）：18-21.