概述

文章概述了電池管理系統的熱失控分析。介紹了功能安全的概念，解析了某主機廠的BMS功能安全設計。以及開發中的一些思考。

背景

電動汽車作為新興的交通工具，雖然具有節能、環保等優勢，但其安全問題卻一直是人們關注的焦點之一。近年來，電動車頻繁起火自燃的事件屢屢發生，引起了消費者和汽車制造商的擔憂和關注。而導致這些事故發生的根本原因，則是電池的熱失控。

電池的熱失控是指電池內部發生不可逆的化學反應，導致熱量釋放過快，無法及時散發出去，從而引發過熱、燃燒或爆炸等安全事故。熱失控的原因比較復雜，包括以下方面：

過高溫度使用：負極SEI膜溶解，負極與電解液反應放熱，電解液分解放熱，正 極分解放熱，熱量積累反應加劇，電池熱失控

過低溫度使用：電解質活性降低，導電能力變差，強行充電會造成負極析鋰， 析鋰累積熱失控

過大倍率使用：系統熱量積累，加大熱失控風險；鋰單質負極表面堆積，如反 復進行，鋰枝晶不斷生長，最終會刺破隔膜，造成內短路

過充電：正極晶格塌陷，內阻急劇升高，熱量積累；負極析鋰

過放電：析銅，造成系統的失效

作為新能源汽車“三電”核心技術之一。BMS具備的功能包括電壓/溫度/電流采樣及相應的過壓、欠壓、過溫、過流保護，SOC/SOH估算、SOP預測、故障診斷、均衡控制、熱管理和充電管理等。因此，BMS在新能源車上扮演十分重要的作用。本文將談一談BMS功能安全。值得注意的是功能安全不能解決電池爆炸的概率問題。電池熱失控的本質是電芯的內短路，而內短路造成的原因很多，包含機械，化學，工藝方方面面，而功能安全解決的E/E相關的，所以功能安全不能絕對解決電池爆炸問題，僅僅能在一定程度預測可能出現的故障問題。

功能安全基本概念

功能安全定義

汽車功能安全屬于汽車操作安全體系下的人身安全，它關注的危害單指因E/E系統的故障行為引起的，對駕駛員或者路人或周邊車輛內人員（注意不僅是駕駛員）的人身危害。也就是說，功能安全開發的目的是避免傷人，而不是避免傷車。

ISO 26262標準體系

ISO 26262是從電子、電氣及可編程器件功能安全基本標準IEC 61508派生出來的一項汽車功能安全標準，其給出了整個汽車電子電氣產品功能安全的技術體系框架。

ISO 26262標準由眾多國際一線整車及零部件企業共同起草，從2005年11月啟動開始，經歷了大約6年左右的時間，于2011年11月頒布首版正式實施。之后在2018年發布了第二版標準。

ISO 26262-2018標準框架

GB/T 34590-2017中給出的對應定義為：“不存在由電子電氣系統的功能異常表現引起的危害而導致不合理的風險。”

由以上功能安全的定義，可理解功能安全的核心思路為：采用合適的安全措施，將因為電子電氣系統功能異常表現而引起的危害控制在可容忍的風險邊界。

風險定義

風險可以看成一個功能函數F，一個變量frequency of occurrence (f)，controllability (C)，potential

severity (S)功能函數

其中f是Exposure（E）危害時間發生概率λ的函數

ISO26262標準中分別對E，C，S進行了相應的定義

對于每一個危害事件，應基于確定的理由預估每個運行場景的暴露概率。按照下表，應為暴露概率指定一個E0、E1、E2、E3或E4的概率等級。

對于每一個危害事件，應基于一個確定的理由預估駕駛員或其他潛在處于風險的人員對該危害事件的可控性。按照下表，應為可控性指定一個C0、C1、C2或C3的可控性等級。

對于每一個危害事件，應基于一個已確定的理由來預估潛在傷害的嚴重度。根據下表，應為嚴重度指定一個S0、S1、S2或S3的嚴重度等級

每一個危害事件的ASIL等級應使用“嚴重度”、“暴露概率”和“可控性”這三個參數根據下表來確定

由于BMS屬于新能源汽車高壓電池系統的一部分，EUCAR定義了高壓電池系統的危害等級。

當BMS不能夠很好的監測或者保護電芯時，上表中的危害事件就有可能發生。ISO26262的目標是保護乘客受到危害，因為上表Level 5以上就算是嚴重危害事件了。因此有必要定義一個電芯工作的最大允許危害級別，5以上時肯定不允許的。

BMS功能安全開發

應該關注解決安全相關E/E系統的故障導致的失效。識別系統自身內部要素和外部要素的失效。以及針對故障潛伏所做的安全機制如報警和降級的策略之類的。此外根據系統架構做安全分析故障，按照FEMA/故障樹提出安全機制來細化技術安全需求，最后優化系統架構，形成持續迭代確認。

功能安全系統階段設計思路

BMS應當承接安全目標分解的需求

電壓采集

通過電池管理專用采樣芯片進行單體電壓的采集，通過總線傳遞給BMS控制模塊。

溫度采集

通過溫度傳感器（通常NTC）將溫度轉換為電信號，通過ADC采集，然后根據RC曲線處理為溫度值

根據：(Vref-Vadc)/Rv=Vadc/Rm

得出：Rv=（Vref-Vadc)*Rm/Rv

進而：查表獲得溫度值

電流采集

通過電流傳感器（霍爾、電磁、分流器）將電流轉換為電信號，接收智能電流傳 感器電流值或BMS進行采樣處理

BMS功能安全設計 | 電流監控

目前的電池管理系統（BMS）功能安全是擁有不同的設計方案的，比如可以選擇方案1一個ASIL D電流傳感器；也可以選擇方案2ASIL C和ASIL A兩個不同的電流傳感器進行相關的分解等。

選擇的不同方案的時候，首先我們要保證它的獨立性，比如避免同質冗余和相同電源，要選擇不同類型的通信。其次診斷策略里，可以讓傳感器自身診斷上報，或者BMS診斷包括超范圍、開路、短路之類的檢測。另外就是傳感器的精度如圖所示，傳感器的精度的降低可以有效地減少殘余故障的覆蓋。

BMS功能安全設計||電壓和溫度監控

電壓和溫度采集方案采用菊花鏈設計降本

隨著新能源汽車補貼退坡，近幾年BMS廠商都在采用各種各樣方案降低系統的成本。傳統的分布式架構是由下面不同的子板的微控制器通過CAN芯片方式把它采集到的數據上報給主板。而目前普遍采用的菊花鏈方案它可以把前端采樣芯片和主板串聯在一起，相鄰的芯片可以通訊，相比傳統分布式架構可以節約掉子板微控制器和CAN芯片，可以使成本獲得顯著的降低。

開發中的思考

功能安全開發首先要做的、并且肯定能做的就是在項目實施的過程中，想方設法用最低的成本來實現功能安全的要求。把功能安全做出來沒有什么了不起的，我們的目標是要用最低的成本做出來。像我們之前提到的菊花鏈設計就是既滿足了功能安全的要求，也沒有帶來成本的上升。還有就是開發周期，可以通過平臺化開發包括引入敏捷開發方式加快功能安全迭代。去滿足整車越來越頻繁的OTA需求。最后就是供應商的管理，建立建立評估和審核能力。

安全是產品重要的屬性，但絕不是唯一的屬性，如何在各種屬性中找到平衡才是重中之重。