背景

安全是先進BMS的一項關鍵指標。先前的文章介紹了信息安全的重要性以及聯合電子BMS信息安全的能力《信息安全護航，保障暢行無憂——全新一代500V電池管理系統》，那么是否擁有了信息安全的加持，BMS就可安全無虞了呢？答案是否定的。信息安全側重于對外部威脅和攻擊的防護，而對于系統內部電子電氣失效的防護，就需要引入本篇文章的主角——功能安全。

以BMS的充電管理功能為例，采樣芯片失效引起電芯電壓采樣值偏小，從而造成充電電壓超出預期，導致電池過充電，引發熱失控、車輛起火爆炸。目前國內、國外相繼出臺和發布了針對可充電儲能系統功能安全要求的法規與標準。其中GB/T 39086《電動汽車用動力蓄電池系統功能安全要求及試驗方法》中的功能安全要求已經逐漸成為國內行業共識；歐盟頒布的針對電動汽車以及可充電儲能系統的法規UN Regulation No.100中也對功能安全提出了要求，功能安全已經成為BMS產品不可或缺的一部分。

方案介紹

聯合電子適應客戶多樣化需求，依托強大的本地功能安全自研團隊和豐富的功能安全產品開發經驗，基于ISO26262：2018標準，設計并推出了最高支持ASIL D的BMS控制器。

圖1 電池管理控制器BMC8.5.1

圖2 電芯模組控制器 CMC8.3.2

為了兼顧安全性和系統可用性，BMS控制器具備如下安全相關功能：

ASIL D的電芯電壓、母線電流和電池模組溫度采樣功能；

ASIL D的電芯電壓、母線電流和電池模組溫度安全監控功能；

ASIL D的繼電器控制功能；

絕緣檢測、高壓互鎖檢測和碰撞監控等高壓安全相關功能；

控制器復位時繼電器保持功能；

主動保險絲點爆功能。

圖3 BMS功能安全方案簡要示意

方案亮點

E-GAS三層監控架構

E-GAS三層監控架構，多級故障響應，支持BMS系統最高實現ASILD的安全目標，有效降低由于系統失效和硬件隨機失效引發的風險。

功能層(Level 1)：負責電池狀態監控、故障診斷和響應等功能的實現；

功能監控層(Level 2)：負責冗余安全診斷功能，對電池系統安全參數進行監控，確保系統異常能被及時診斷，并讓BMS系統進入安全狀態；

控制器監控層(Level 3)：負責監控和診斷安全計算單元的硬件完整性，為功能監控層提供一個獨立于功能層的更加安全可靠的環境；

圖4 E-GAS三層監控架構簡要示意

E-GAS三層監控架構作為聯合電子成熟的控制器平臺方案，在眾多控制器平臺中應用，擁有多年的量產經驗，將安全功能與非安全功能解耦，在開發中只需關注安全功能，降低開發難度，在降低開發成本的同時，有效提高產品質量。

繼電器保持功能

為了降低整車非預期動力丟失導致的風險，聯合電子創新性地提出了繼電器保持功能，可有效應對控制器異常復位給整車帶來的影響。

繼電器保持功能主要通過硬件設計實現，在BMS控制器發生復位時，能通過電容的放電實現繼電器的延時斷開，延時時間完全覆蓋控制器從復位到恢復正常所用時間，可以保證在復位過程中繼電器處于閉合狀態，實現控制器復位時整車無感，避免了控制器復位帶來的行車安全問題。

另外，繼電器保持功能具有自我診斷，靈活設定延時時間，成本低廉，失效率低等特點。

客戶收益

聯合電子致力于為國內外OEM提供最佳的BMS功能安全解決方案，助力客戶為消費者提供更安全，更可靠的汽車產品：

關注整車電子電氣架構發展與域融合趨勢，支持BMS安全功能在不同控制器上的靈活部署。

平臺化的BMS功能安全解決方案，支持多種類型的高壓安全檢測，適配主流的電流傳感器配置，兼容400V與800V，有效降低變形項目的開發周期與成本。

功能安全方案覆蓋主流的采樣芯片，為客戶提供多樣的選擇。

100%本地的功能安全團隊，可提供快速靈活的支持。

支持靈活的功能安全分布式開發模式，既可提供一站式BMS產品，也可提供硬件與BSW，與客戶進行聯合開發。

具備萊茵認證的ASIL D流程證書，擁有豐富的BMS與其他控制器功能安全量產經驗，保障功能安全工作產品質量。

聯合電子將繼續關注市場與客戶需求，持續迭代BMS平臺，不斷優化兼顧安全性與可靠性的功能安全方案，為客戶提供極致安全的保障。