概述

文章概述了电池管理系统的热失控分析。介绍了功能安全的概念，解析了某主机厂的BMS功能安全设计。以及开发中的一些思考。

背景

电动汽车作为新兴的交通工具，虽然具有节能、环保等优势，但其安全问题却一直是人们关注的焦点之一。近年来，电动车频繁起火自燃的事件屡屡发生，引起了消费者和汽车制造商的担忧和关注。而导致这些事故发生的根本原因，则是电池的热失控。

电池的热失控是指电池内部发生不可逆的化学反应，导致热量释放过快，无法及时散发出去，从而引发过热、燃烧或爆炸等安全事故。热失控的原因比较复杂，包括以下方面：

过高温度使用：负极SEI膜溶解，负极与电解液反应放热，电解液分解放热，正 极分解放热，热量积累反应加剧，电池热失控

过低温度使用：电解质活性降低，导电能力变差，强行充电会造成负极析锂， 析锂累积热失控

过大倍率使用：系统热量积累，加大热失控风险；锂单质负极表面堆积，如反 复进行，锂枝晶不断生长，最终会刺破隔膜，造成内短路

过充电：正极晶格塌陷，内阻急剧升高，热量积累；负极析锂

过放电：析铜，造成系统的失效

作为新能源汽车“三电”核心技术之一。BMS具备的功能包括电压/温度/电流采样及相应的过压、欠压、过温、过流保护，SOC/SOH估算、SOP预测、故障诊断、均衡控制、热管理和充电管理等。因此，BMS在新能源车上扮演十分重要的作用。本文将谈一谈BMS功能安全。值得注意的是功能安全不能解决电池爆炸的概率问题。电池热失控的本质是电芯的内短路，而内短路造成的原因很多，包含机械，化学，工艺方方面面，而功能安全解决的E/E相关的，所以功能安全不能绝对解决电池爆炸问题，仅仅能在一定程度预测可能出现的故障问题。

功能安全基本概念

功能安全定义

汽车功能安全属于汽车操作安全体系下的人身安全，它关注的危害单指因E/E系统的故障行为引起的，对驾驶员或者路人或周边车辆内人员（注意不仅是驾驶员）的人身危害。也就是说，功能安全开发的目的是避免伤人，而不是避免伤车。

ISO 26262标准体系

ISO 26262是从电子、电气及可编程器件功能安全基本标准IEC 61508派生出来的一项汽车功能安全标准，其给出了整个汽车电子电气产品功能安全的技术体系框架。

ISO 26262标准由众多国际一线整车及零部件企业共同起草，从2005年11月启动开始，经历了大约6年左右的时间，于2011年11月颁布首版正式实施。之后在2018年发布了第二版标准。

ISO 26262-2018标准框架

GB/T 34590-2017中给出的对应定义为：“不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。”

由以上功能安全的定义，可理解功能安全的核心思路为：采用合适的安全措施，将因为电子电气系统功能异常表现而引起的危害控制在可容忍的风险边界。

风险定义

风险可以看成一个功能函数F，一个变量frequency of occurrence (f)，controllability (C)，potential

severity (S)功能函数

其中f是Exposure（E）危害时间发生概率λ的函数

ISO26262标准中分别对E，C，S进行了相应的定义

对于每一个危害事件，应基于确定的理由预估每个运行场景的暴露概率。按照下表，应为暴露概率指定一个E0、E1、E2、E3或E4的概率等级。

对于每一个危害事件，应基于一个确定的理由预估驾驶员或其他潜在处于风险的人员对该危害事件的可控性。按照下表，应为可控性指定一个C0、C1、C2或C3的可控性等级。

对于每一个危害事件，应基于一个已确定的理由来预估潜在伤害的严重度。根据下表，应为严重度指定一个S0、S1、S2或S3的严重度等级

每一个危害事件的ASIL等级应使用“严重度”、“暴露概率”和“可控性”这三个参数根据下表来确定

由于BMS属于新能源汽车高压电池系统的一部分，EUCAR定义了高压电池系统的危害等级。

当BMS不能够很好的监测或者保护电芯时，上表中的危害事件就有可能发生。ISO26262的目标是保护乘客受到危害，因为上表Level 5以上就算是严重危害事件了。因此有必要定义一个电芯工作的最大允许危害级别，5以上时肯定不允许的。

BMS功能安全开发

应该关注解决安全相关E/E系统的故障导致的失效。识别系统自身内部要素和外部要素的失效。以及针对故障潜伏所做的安全机制如报警和降级的策略之类的。此外根据系统架构做安全分析故障，按照FEMA/故障树提出安全机制来细化技术安全需求，最后优化系统架构，形成持续迭代确认。

功能安全系统阶段设计思路

BMS应当承接安全目标分解的需求

电压采集

通过电池管理专用采样芯片进行单体电压的采集，通过总线传递给BMS控制模块。

温度采集

通过温度传感器（通常NTC）将温度转换为电信号，通过ADC采集，然后根据RC曲线处理为温度值

根据：(Vref-Vadc)/Rv=Vadc/Rm

得出：Rv=（Vref-Vadc)*Rm/Rv

进而：查表获得温度值

电流采集

通过电流传感器（霍尔、电磁、分流器）将电流转换为电信号，接收智能电流传 感器电流值或BMS进行采样处理

BMS功能安全设计 | 电流监控

目前的电池管理系统（BMS）功能安全是拥有不同的设计方案的，比如可以选择方案1一个ASIL D电流传感器；也可以选择方案2ASIL C和ASIL A两个不同的电流传感器进行相关的分解等。

选择的不同方案的时候，首先我们要保证它的独立性，比如避免同质冗余和相同电源，要选择不同类型的通信。其次诊断策略里，可以让传感器自身诊断上报，或者BMS诊断包括超范围、开路、短路之类的检测。另外就是传感器的精度如图所示，传感器的精度的降低可以有效地减少残余故障的覆盖。

BMS功能安全设计||电压和温度监控

电压和温度采集方案采用菊花链设计降本

随着新能源汽车补贴退坡，近几年BMS厂商都在采用各种各样方案降低系统的成本。传统的分布式架构是由下面不同的子板的微控制器通过CAN芯片方式把它采集到的数据上报给主板。而目前普遍采用的菊花链方案它可以把前端采样芯片和主板串联在一起，相邻的芯片可以通讯，相比传统分布式架构可以节约掉子板微控制器和CAN芯片，可以使成本获得显著的降低。

开发中的思考

功能安全开发首先要做的、并且肯定能做的就是在项目实施的过程中，想方设法用最低的成本来实现功能安全的要求。把功能安全做出来没有什么了不起的，我们的目标是要用最低的成本做出来。像我们之前提到的菊花链设计就是既满足了功能安全的要求，也没有带来成本的上升。还有就是开发周期，可以通过平台化开发包括引入敏捷开发方式加快功能安全迭代。去满足整车越来越频繁的OTA需求。最后就是供应商的管理，建立建立评估和审核能力。

安全是产品重要的属性，但绝不是唯一的属性，如何在各种属性中找到平衡才是重中之重。