摘要为保证整个电池系统的安全,电池厂商需要从化学、机械、电子电器三个主要方面进行安全的设计验证,其中BMS功能安全也成为行业关注的焦点之一。
随着汽车电动化和智能化的趋势不断加深,汽车电子控制单元越来越多,电子控制单元的软硬件(ECU SW/HW)越发复杂。与此同时,系统失效和随机硬件失效的风险也日益增加,由此引发的人身伤害发生概率也不断提高。
2011年11月15日,为避免因电子电器系统失效引起的不合理的风险,降低人身伤害发生概率,做到功能安全,针对道路车辆的第一版ISO 26262《道路车辆功能安全》(简称 ISO 26262)正式发布,为汽车电子控制系统提供了一个全生命周期(管理、开发、生产、经营、服务、报废)的功能安全指导准则。
ISO 26262提供了汽车特定的基于危害分析和风险评估以确定的汽车安全完整性等级(Automotive Safety Integrity Level,下称 ASIL)。ASIL分为四个等级: ASIL A、ASIL B、ASIL C和ASIL D(见图1)。
从ASIL A到ASIL D安全完整性等级逐级提高。除了这4个ASIL等级之外, 质量管理(Quality Management,下称 QM)等级不做功能安全要求。
基于不同的ASIL等级,ISO 26262要求在整个生命安全周期内符合相应的开发流程,技术要求和验证流程。即,如果电子电器系统需要满足一个ASIL D功能安全目标,需要最全面的安全机制和最严格的开发验证流程来保证该安全目标。
图1 汽车安全完整性等级示意
动力电池系统是新能源汽车中非常关键的一个安全部件,每年因动力电池问题引起的电动车起火爆炸案例时有发生。今年以来因锂电池爆炸导致人员伤亡的事故更是频发。
为了保证整个电池系统的安全,电池厂商需要从化学、机械、电子电器三个主要方面进行安全的设计验证,其中BMS(Battery Management System 电池管理系统, 简称 BMS)功能安全也成为行业关注的焦点之一。
图2:电池系统安全示意
现今,国内外的各大汽车厂商都强制BMS满足ISO 26262安全需求。中国汽车技术研究中心从2017初年开始牵头国内主要整车制造厂、动力电池及BMS供应商制定GB/T《电动汽车用电池管理系统功能安全要求及试验方法》,草案定义了BMS四个主要安全目标,均为ASILC。
此标准计划在2019年下半年正式发布,将成为国内行业对BMS的最基本门槛。
表1:《电动汽车用电池管理系统功能安全要求及试验方法》定义的BMS安全目标注:安全目标是最高层面的安全要求,是危害分析和风险评估的结果。
万向一二三作为一家专注于锂离子动力电池的供应商,致力于为新能源汽车生产企业提供高品质的全套动力电池解决方案,不断提供控制产品开发效率,质量和安全。
自2015年开始推动功能安全体系建设和ISO 26262开发流程搭建,万向一二三已累积了丰富的功能安全项目经验。
万向一二三提供的BMS产品包括48V低压系统、高压系统两个电压平台,并积极推进ASIL C以上研发平台的产品开发,其中:
- ASIL C 48V BMS平台基于多个客户项目需求,将于明年年底量产;
- ASIL C 高压BMS平台将于今年下半年量产(基于合资整车厂项目);
为了满足全球客户更高的功能安全等级要求,ASIL D 高压BMS平台也正在研发。
从技术层面上讲,ASIL C 高压和48V BMS平台系统,有以下主要特点:
- 软件架构设计遵循AUTOSAR,采用第三方AUTOSAR 底层软件方案(COTS);
- 采用经过安全认证(SEooC)的软件和硬件组件;
- 推行A-spice Level 2 流程;
- 软件模型化设计;
此外,ASIL C高压BMS已经过欧洲安全专家(来自客户)的现场系统安全评审(包括功能安全),并给出了“A123 solution is state of the art with good concept”的评价:
A. 软件架构中,采用经欧洲第三方公司认证的ASIL D-Safety OS、ASIL D-Safety Watchdog manager、ASIL D-Safety RTE软件模块;
B. 硬件架构中,采用ASIL D-MCU (包含ASIL B safeTlib)、ASIL D-SBC、ASIL C采集芯片;
图4:ASPICE 实施过程范围
万向一二三是国内唯一一家同时提供满足功能安全的高压BMS、48V BMS的供应商。依托于12年丰富的BMS、电芯、模组和电池系统开发经验,万向一二三在进行功能安全开发时,有相对完善的电池系统测试仿真体系和实验验证体系,供BMS功能安全设计使用。
BMS的功能安全设计和安全需求依赖于大量的电芯、模组和pack数据,譬如:
- 在定义电芯过压保护安全需求时,电压阈值和FTTI的选择必须是基于充分的电芯过充实验数据,且要考虑这些阈值是否适用于电芯的整个生命周期(BOL- EOL);
- 在定义动力电池的过流保护安全需求时,必须考虑电芯、继电器和高压线束的使用限制,且结合熔断器(Fuse)的熔断特性去设计整个系统的保护策略;
- 在定义电芯的过流保护安全需求时,需要基于模组的热仿真数据去定义电芯温度传感器的安装位置;
依赖于大量的实验和仿真数据,万向一二三BMS研发团队和电芯、模组、Pack团队一起密切合作,保证功能安全相关的技术沟通高效且更具深度,确保BMS产品安全。
此外,万向一二三还拥有国际化的功能安全团队,高效地服务全球客户。目前,万向一二三在中国杭州、美国底特律、德国斯图加特分别建立了功能安全团队,并将继续扩大功能安全团队规模,深化公司内部功能安全文化,以提供更好的功能安全产品和服务给全球客户,为动力电池系统及新能源汽车的安全保驾护航。
文章来源:万向一二三
责任编辑: