摩托用電池管理系統功能安全概念設計

摘 要：本文基于ISO26262道路車輛功能安全標準的開發流程，介紹了一款電動摩托用動力電池管理系統（BMS）的功能安全概念設計，從整車系統層級出發進行了危害分析和風險評估（HARA），得出了電池管理系統（BMS）功能安全目標及對應的功能安全等級（ASIL），根據確定的安全目標，得出具體的功能安全要求，最后將功能安全要求細分至軟硬件設計的技術安全需求中。

關鍵詞：電動摩托 ISO26262 BMS 概念設計

Abstract：Based on the development process of ISO26262 road vehicle functional safety standard， this paper introduces the functional safety concept design of an electric motorcycle power battery management system （BMS）， and carries out hazard analysis and risk assessment （HARA） from the vehicle system level.The functional safety objectives of battery management system （BMS） and the corresponding functional safety level （ASIL） are obtained. According to the determined safety objectives， the specific functional safety requirements are obtained. Finally， the functional safety requirements are subdivided into the technical safety requirements of software and hardware design.

Key words：Electric motorcycle ; ISO26262; BMS; Conceptual design

1 引言

在當前環境破壞嚴重，傳統能源危機加劇的背景下，傳統燃油車發展越來越受限，一些國家地區已經提出了禁燃計劃，如下表1所示：

同時在此背景下，新能源車得到進一步發展，其主要通過磷酸鐵鋰技術開發的電池提供動力，一定程度上緩解了能源危機，減少了碳排放。但隨著新能源車市場占有量逐漸增加，其對應的安全事故也越來越多，包括人員觸電、剎車失靈、車輛起火失效等直接威脅駕駛員生命的安全的事故頻繁發生。為了最大程度避免此類失效造成的安全風險，汽車的功能安全被更多的整車廠重視?；贗SO26262功能安全標準開發的產品，從整車層面進行危害分析和風險評估，得出功能安全目標及對應的ASIL等級，基于確定的功能安全需求，提出一系列軟硬件技術要求，進而可以從設計層面最大程度的避免由于功能模塊失效導致的安全事故。

目前隨著城市交通堵塞越來越驗證，摩托車也逐漸成為人們出行的交通工具之一，伴隨著能源危機，越來越多的傳統燃油摩托車轉向電動摩托，同時電子技術在電動摩托上的應用不斷增加，人們對由于半導體器件、硬件系統和軟件系統級別的失效導致的安全事故的關注度也越來越高，所以基于ISO26262 標準的開發越來越多的得到車廠的重視。

本文基于ISO26262功能安全V型開發流程給出了電動摩托功能安全概念設計方法，為電動摩托動力系統功能安全開發提供了一定的指導。

2 功能安全標準及開發流程簡介

為了對汽車電子電氣可靠性設計進行充分的保證，ISO在2011年發布了IS0 26262 標準， 后期根據整車廠對標準實施過程中各個環節的經驗總結，ISO對反饋的信息進行研討，對標準進行了完善，結構上增加了半導體應用指南和摩托車適用性章節。目前眾多整車廠和對應的零部件供應商在各ECU的開發中都采用了ISO26262這個標準，ISO26262涵蓋了汽車電子電氣開發中與安全相關的所有信息，制定了完整的開發流程及對應與安全相關的所有活動，ISO 26262標準對功能需求、概念設計階段、硬件設計、軟件設計、測試階段、生產及操作，都提出了對應的功能安全要求，覆蓋了整個的產品生命周期，有效降低了由于安全相關的電氣電子產品的功能性失效導致的安全事故。

ISO 26262的內容分為以下三大類：

第一類，針對功能安全管理和流程，設計分布式開發接口、需求規范管理、配置管理、變更管理、驗證、文檔、軟件工具、軟件組件、硬件組件的功能安全要需求。

第二類，針對產品開發設計過程。ISO 26262標準對產品的整個生命周期的每個階段都有對應功能安全的需求。從最初的概念設計一直到產品的報廢。

第三類，安全分析，一個好的產品需要對產品的失效模式以及產生的影響進行安全分析，分析產品的失效是否會違背安全目標。一旦可能違背安全目標，就需要在設計、測試、生產各個環節，提出功能安全需求。

本文針對電動摩托動力電池管理系統安全設計，從功能安全概念中的相關項定義、危害分析和風險評估、安全目標設定、功能安全要求及技術安全要求內容進行了分析研究。

3 電池管理系統（BMS）功能安全概念設計階段開發

電池管理系統功能安全概念階段設計要求包含四大塊，分別是相關項定義、安全生命周期的啟動、危害分析和風險評估及功能安全概念。首先根據電池管理系統在電動摩托中的功能，定義其相關項，然后通過危害分析及風險評估識別相關項中因失效故障可能導致的危害，并對識別的危害進行歸類，接著根據分析評估的結果確定每個結果對應的功能安全目標并對其進行ASIL 等級分類，最后將功能安全目標細分至具體的軟硬件技術安全需求中。

3.1 BMS相關項定義

相關項的定義具體指對相關項本身進行系統性描述并對其進行定義，及其同環境和其他相關項之間的依賴關系及相互之間的影響。對相關項的定義應從功能、接口、環境條件、法律法規和危害等方面進行。本文所研究的電動摩托電池管理系統架構如下圖所示：包含了充放電MOS、電壓采集、溫度采集、電流采集、通訊等模塊，功能上具有過壓保護、欠壓保護、過溫保護、低溫保護、充放電控制、電池狀態監控、SOC估計、故障診斷等功能。

3.2 BMS危害分析和風險評估

危害分析和風險評估的目的是通過對相關項中因功能性失效導致的產品故障而引起的危害進行分析并對其進行分類，根據分析的結果和類別指定對應的安全目標，用于防止危害事件發生或減輕危害程度，以避免不合理的風險。

危害識別可以通過FMEA、歷史質量問題記錄、現場研究等方式提前相關項層面的危害，然后通過嚴重度、暴露率、和可控性等級，如下表2、表3、表4所示，對識別的危害進行分類。根據分類的結果結合表5確定危害事件ASIL等級。

對電池管理系統的放電控制功能進行危害分析和風險評估，對應的分析結果如下表6所示：

電動摩托電池管理系統在放電過程中，可能會出現放電過溫、過流、過欠壓等失效故障，其中過溫和過流失效暴露率和嚴重度相對較高，且這種失效導致的危害不可控，故根據ASIL等級劃分原則，HARA-BMS-01和HARA-BMS-02的ASIL等級為B，HARA-BMS-03的ASIL等級為QM。

3.3 BMS安全目標設定和功能安全概念

安全目標的設定應結合危害分析和風險評估結果及ASIC等級劃分進行確定，確保ASIL等級的每個危害事件具有一個安全目標，如所確定的安全目標類似，則可將其合并為一個安全目標。

功能安全概念的目的是從安全目標中得出功能安全要求，并將其分配給相關項的初步架構要素或外部措施。為了確保安全目標的實現，功能安全概念包含的安全機制將在對應的相關項架構要素中實現，功能安全概念涵蓋了故障探測、失效減輕、容錯機制、故障探測和駕駛員警告等。

基于放電控制功能的失效模式HARA-BMS-01和HARA-BMS-02，得出的功能安全目標如下表7所示：

根據表7列舉的安全目標 SG1和SG2結合電池管理系統，導出對應的功能安全要求見表8：

3.4 BMS電池系統技術安全要求

在整個產品的開發生命周期內，技術安全要求是實現功能安全概念必要的技術要求，目的是將相關頂層面的功能安全要求細化到系統層面的技術安全要求。技術安全要求應根據功能安全概念、相關項的初步架構設想進行定義。本文將以過流為例，介紹如何將功能安全要求細化分解到對應技術安全要求層面。其主要包括充放電MOS模塊、電流檢測單元、電芯模組和中控MCU模塊。過流保護策略的實現，主要通過電流檢測單元將檢測的母線電流信息上傳至中控模塊，MCU接收到電流信息后，分析處理數據并進行判斷，根據分析的結果，輸出控制充放電MOS通斷信息。過程中為了確保電流檢測信息的可靠性，電流檢測單元結合充放電MOS狀態對電流檢測功能模塊進行診斷。

結合表8功能安全要求及分配的架構要素及，提出技術安全要求見如下表9：

4 結論

本文通過對電動摩托用動力電池管理系統的研究，按照ISO26262標準流程進行了功能安全概念階段的設計，從整車層面對電池管理系統進行了危害分析和風險評估，根據分析的結果確定功能安全目標及每個目標對應的ASIL 等級，確定后在將功能安全目標需求細分至具體技術安全需求，得出具體安全需求后在將需求細分至軟硬件設計的具體技術需求中。軟硬件的設計開發全部按照ISO 26262 標準要求的V模型開發流程，即先根據軟硬件技術安全需求進行軟硬件架構設計、詳細設計，后期通過單元測試、集成測試、系統測試、整車測試等驗證系統設計是否符合技術安全需求及是否滿足安全目標要求。本文目前僅對電動摩托用動力電池管理系統進行了概念階段的設計，后期將根據技術安全需求做進一步的軟硬件設計，并設計對應的測試用例測試驗證設計是否滿足技術安全要求。

參考文獻：

[1]STANDARDIZATION I O F. ISO 26262 Road vehicles-Function Safety Part 1-12[S]. Switzerland，2018.

[2]劉凌飛，李小鵬，徐征，沈圣智.基于ISO 26262標準的BMS（ASIL C）功能安全設計[J].汽車零部件，2019（11）：30-33.

[3]郭凌崧，姚珍，戴磊.ISO 26262：2018與摩托車功能安全[J].小型內燃機與車輛技術，2020，49（06）：93-96.

[4]歐陽娟.基于ISO26262開發汽車電子電氣產品的一般性實踐[J].電子技術與軟件工程，2021（18）：36-37.

[5]何波. 符合ISO 26262標準的安全完整性等級評估方法的研究[D].西華大學，2017.

作者簡介

劉璐：（1991.09.06—），男，漢族，安徽省合肥市肥西縣人，學歷：碩士在讀。職位：學生。研究方向：新能源汽車技術。