黄代富

摘要：基于功能安全，本文进行了电池管理系统概念阶段的设计。通过对系统主功能进行失效分析，并结合车辆场景，评估得出了电池管理系统的安全目标和ASIL等级。根据安全目标，推导出了该系统的功能安全需求，并将其分配到系统的初步架构上。

关键词：功能安全;电池管理系统;概念阶段;ISO 26262

0  引言

为了防止电子电气系统的失效给驾乘人员带来生命危险，国家标准化组织借鉴了工业电子功能安全IEC 61508标准，于2011年推出了适用于汽车电子的功能安全标准ISO 26262标准[1]。该标准共有10个部分，涵盖了项目管理以及系统软硬件的开发。

目前，已有部分高校和和企业进行了功能安全相关的研究，并基于ISO 26262研发了许多车载控制器，如整车电源模式管理系统[2]、7速变速器[3]以及车用驱动电机系统[4]等，但是作为电动汽车的主要动力源，关于动力电池系统在此方面的研究较少。本文将以动力电池管理系统为例，重点阐述功能安全阶段的设计与开发，旨在为后续基于功能安全的BMS开发提供借鉴。

1  ISO 26262概念阶段介绍

ISO 26262的第三部分介绍了系统在概念阶段的开发，其主要目的是为后续的设计开发与验证提供明确的目标，主要包括系统定义、安全生命周期初始化、危害分析和风险评估以及功能安全概念四个部分。

简单来说，ISO 26262中概念阶段是整个功能安全生命周期中至关重要的一个环节，位于整个功能安全生命周期金字塔的顶端，对后续的安全活动起重要的指导作用。在某一个电子电气系统进行研发时，概念阶段一般由整车厂主导，研发人员从整车的角度（功能、失效以及危害等）出发就进行安全活动，当概念阶段完成之后再将相关的安全目标与安全需求分配给各供应商。若无整车的参与，零部件供应商可自行进行功能安全假设活动，假设系统的危害以及确定系统的安全目标与需求。

2  电池管理系统的功能安全概念设计

接下来将以电动汽车动力电池管理系统为例，对其概念阶段的设计进行阐述。

2.1 项目定义

项目定义的主要作用是定义和描述该系统，主要包括对该系统的初始架构、操作模式以及该系统的主要功能的描述。

在进行功能安全项目定义之前，研发人员可以参考以下文档，以对系统有一个初步的、充分的了解。主要包括：①新能源汽车市场的研究报告;②相关产品的设计报告;③电池和电池管理系统的技术报告;④BMS相关的法律、法规和标准，例如QC/T 897-2011等文档。

在项目定义阶段，应该确定好項目的边界、接口以及车内其他的项目或者元素的交互。

从整车的角度来说，动力电池的主要功能是给整车提供能量，同样，动力电池也需要外部设备给其提供能量。由此我们便可得到该BMS的主要功能（Main Function）。

至此，系统的项目定义阶段基本完成。

2.2 安全周期初始化

安全生命初始化的作用主要是为了区分该项目的初始状态，是一个新的开发项目还是对现有项目的修改。如果说是一个新的开发项目，那么概念阶段的开发将继续从后面的危害分析和风险评估进行;如果说是一个对现有项目的修改，应该进行系统修改的影响分析，以识别和描述适用于该系统或其环境的预期修改，并评估这些修改的影响。

2.3 危害分析和风险评估

危害分析和风险评估（Hazard analysis and risk assessment， HARA）的作用是通过系统性分分析，对危害事件进行评估，从而规避不合理的风险。HARA过程中首先需要做的是基于系统定义中得到的BMS的主要功能（如表 1所示）得出失效功能（Malfunction， MF）。此过程可以借助头脑风暴的形式确定该系统的失效功能，缺点是可能存在遗漏的情况。目前较为常见的方式借鉴HAZOP分析中的“关键字”法进行失效功能的确定。通过“主功能+关键字”的形式，可以有效地得到该系统的失效功能并进行后续的HARA分析。常见的关键字包括“Loss”，“More”，“Less”，“Reverse”，“Unintended”，“Stuck”等。

以动力电池放电管理为例，进行系统的失效功能的分析，如表 1所述。

表 1中所列的动力电池放电管理的失效功能存在重复的情况，可以对其进行整合归纳。需要注意的是，研发人员可能具备相关BMS的经验知识，知道电池在发生故障时系统会有保护措施。但是对于概念阶段的设计，应该把BMS当作一个“黑盒”来看待，在分析失效功能时不应考虑已知的安全机制。结合预先设定好的车辆场景专家库（如车辆状况、地理位置、天气气候、道路场地、危害事件相关人员等），组合便可得到该系统相关的危害事件。通过“失效功能+车辆场景”这样的方式可以得到数量很多的危害事件，在进行汽车安全完整性等级（Automotive Safety Integrity Level， ASIL）打分之前，可以对其进行预处理，整合相似的危害事件以及删除不和逻辑的危害事件等。

ASIL 的等级的确定需要借助该危害事件的严重度（Severity，S）、暴露概率（Exposure，E）以及可控性（Controllability，C）等级的评定。其中严重度分为4级，S4最严重，指的是致命的伤害，而S0严重等级最低，无伤害;暴露概率分为5级，E4指的是发生概率最高的事件，几乎在每次驾驶中都会发生，而E0则表示该事件发生概率非常低;可控性分为4级，其中E4代表该事件难以控制或不可控，而C0代表该事件非常容易控制。

通过对每个危害事件进行S、E、C的评级，便可得到该事件的ASIL等级，其计算公式下式所示：

为防止危害事件的发生，需为每个危害制定安全目标。

至此，功能安全概念阶段中HARA部分的设计已结束，通过对失效以及危害的分析、评估，我们推导出了BMS的部分安全目标。安全目标是整个功能安全开发流程中的顶事件，将会在后续安全需求的推导，系统设计及验证过程中起指导作用。

2.4 功能安全概念

如果说概念阶段的项目定义、安全目标等安全活动与传统的开发流程相差甚远，研发人员对其较为陌生的话，那么功能安全需求则显得相对友好。在功能安全活动中，功能安全需求（Functional Safety Requirement，FSR）是从安全目标推导出来的，实际上，我们可以将其等价于“用户安全需求”，根据定义好的需求，我们便可以进行后续的系统，软件与硬件阶段的设计。安全目标一般都是防止危害发生，那么由安全目标导出的功能安全需求可以按照“检测信号-确认故障-进入安全状态”的方式进行推导。

ISO 26262中规定，每一个安全目标下至少有一个FSR，且FSR是可以共用于多个安全目标的。作为功能安全中一个重要的属性，FSR的ASIL等级是继承自该需求所属的安全目标的，如果该FSR属于多个安全目标，那么FSR的ASIL等级取多个安全目标的ASIL等级的最高值。如果说某一FSR可以分解为两个独立的需求，那么相应的ASIL等级也会进行分解，从而可以降低后续活动中该条需求的開发与验证难度。

为了防止在本阶段安全需求的推导中发生FSR遗漏的情况，可以借助故障树分析，确保FSR的推导无遗漏。此外，还需要为每条FSR在电池包层面上制订验证标准，为后续测试过程中编写测试用例提供依据。

根据ISO 26262，功能安全概念主要包含两部分的内容，一是基于功能安全目标推导功能安全需求，二是将功能安全需求分配到系统的初始架构中。

3  结束语

本文以电池管理系统为例，介绍了ISO 26262流程中第三部分概念阶段的开发与设计。作为标准中与实际开发项目相关的第一部分，概念阶段给出了功能安全活动中十分重要的安全目标、ASIL等级以及安全需求等。本文给出了电池管理系统在概念阶段开发过程中的一些要点，能为后续的功能安全活动提供指导性的建议。

参考文献：

[1]文凯，夏珩，裴锋，等.基于ISO 26262的电动四驱混合动力系统功能安全概念设计[J].机电工程技术，2012（12）：74-76.

[2]童菲.基于ISO26262的整车电源模式管理系统功能安全概念设计[J].机电一体化，2015，21（7）：63-67.

[3]葛鹏，陈勇，罗大国，等.基于道路车辆功能安全标准ISO26262的7DCT电控系统设计[J].汽车技术，2014（9）：21-23.

[4]庄兴明，张琴.基于ISO 26262标准的车用驱动电机系统设计研究[J].汽车零部件，2016（12）：18-21.