1、動(dòng)力鋰電池BMS功能需求的考量

功能安全：不存在由電子電氣系統的故障而引起的危害導致不合理的風(fēng)險。因此，動(dòng)力鋰電池BMS功能安全開(kāi)發(fā)要根據實(shí)際產(chǎn)品應用需求做相應功能列表情況，其中首要任務(wù)是要防止不可接受的風(fēng)險。要區分兩類(lèi)故障、錯誤和失效：隨機和系統性失效。系統性失效可以在設計階段通過(guò)合適的方法來(lái)防止，而隨機性失效只能降低到可接受程度。系統性甚至隨機性失效會(huì )發(fā)生在硬件當中，而軟件的失效更多的是系統性的失效。關(guān)于每個(gè)危害事件，根據其暴露概率E、可控性C、嚴重度S三要素，確定其ASIL等級。

從需求開(kāi)始，當中包括概念設計、系統設計、硬件設計、軟件設計，直至最后的生產(chǎn)公布、售后維護，做出相應的功能安全要求，必須具備電壓、電流、溫度等基本的采樣功能，同時(shí)對電池的運行過(guò)程實(shí)時(shí)監督，過(guò)壓、欠壓、過(guò)流、過(guò)溫等保護功能，根據需求做同時(shí)SOP、SOC、SOH的預測，故障診斷、均衡控制、熱管理、快慢充管理等。

2、動(dòng)力鋰電池BMS開(kāi)發(fā)流程

優(yōu)先確定可能性危害事件發(fā)生。根據不同的工況、不同使用情況、環(huán)境應用情況分析出可能性較大的危害事件，針對危害事件，分配到系統工作的各個(gè)職能部門(mén)。

（1）思考動(dòng)力鋰電池BMS因故障導致功能失效的全部可能性：匯總全部功能和故障，按照運行模式區分，形成危害事件的矩陣。通過(guò)危害分析和風(fēng)險評估，界定危害事件的功能安全目標。合并不同場(chǎng)景下的同一個(gè)危害事件的安全等級，用最高的功能安全等級作為該危害事件的安全等級。為了防止危害事件的發(fā)生，進(jìn)而形成安全目標。

可以從防止危害事件發(fā)生的角度考慮安全目標，也可以從防止故障發(fā)生的角度提出安全目標。例如：對過(guò)放導致內部短路電池起火這個(gè)危害提出安全目標，從防止危害發(fā)生的角度提出安全目標為防止過(guò)放導致短路電池起火，從防止故障的角度提出安全目標則為防止溫度限制發(fā)生故障。安全目標的得出，衍生出一些安全相關(guān)的參數也要做規定，這些參數包括：運行模式，故障容錯時(shí)間，安全狀態(tài)，功能冗余等。

（2）確定功能安全需求FSR，每一個(gè)安全目標含義至少一項功能安全要求，盡管一個(gè)功能安全要求能夠cover不止一條安全目標，每一條FSR從相關(guān)的SG繼承最高的ASIL。通過(guò)分層的方法，從風(fēng)險評估和危害分析得出安全目標，再由安全目標得出功能安全要求。FSR的功能安全等級，自動(dòng)繼承安全目標的最高等級。

（3）由功能安全需求（FSR）提煉技術(shù)安全需求（TSR），在整個(gè)開(kāi)發(fā)生命周期，技術(shù)安全需求是要落實(shí)功能安全概念的技術(shù)要求，其用意是從細節的單級功能安全要求到系統級的安全技術(shù)要求。下表為功能安全需求轉化成技術(shù)安全需求的栗子，僅供流程上的參考。

（4）bms系統設計階段，系統及子系統要上面所含義的貫徹技術(shù)安全要求，要反映前面含義的安全檢測及安全機制。技術(shù)安全要求的應分配給系統設計要素，同時(shí)系統設計應完成技術(shù)安全要求，有關(guān)技術(shù)安全要求的實(shí)現，在系統設計中應考慮如下問(wèn)題，含義系統架構，分配TSR到硬件和軟件，同時(shí)含義好軟件硬件接口HIS。軟硬件接口規范應規定的硬件和軟件的交互，并與技術(shù)安全的概念是一致的，應包括組件的硬件設備，是由軟件和硬件資源控制支持軟件運行的。

系統設計，標準中給出三個(gè)方面的原則：模塊化、適當的顆粒度和簡(jiǎn)單。針對不同的安全等級，強調關(guān)注不同側面的設計考量。

技術(shù)安全要求，直接或者經(jīng)過(guò)進(jìn)一步細化后，分配給硬件和軟件。

系統設計完成后，還要考慮設計驗證。功能安全目標越高，越傾向于實(shí)物驗證的方式。

（5）硬件系統功能安全設計。硬件的詳細安全需求來(lái)自于TSR，系統架構及系統邊界HSI。硬件設計可以硬件功能方塊圖開(kāi)始，硬件方塊圖的所有的元素和內部接口應當展示出來(lái)。然后設計和驗證詳細的電路圖，最后通過(guò)演繹法（FTA）或者歸納法（FMEA）等方法來(lái)驗證硬件架構可能出現的故障。對BMS系統來(lái)講，電池包電壓傳感器是一個(gè)非常重要的傳感器，因此針對不同ASIL等級要分析電池包電壓傳感器不同的失效模式。一部分失效模式可以通過(guò)硬件的需求防范，一部分失效模式可以被分離為軟件需求去防范。

每個(gè)技術(shù)安全要求怎么樣設計，與實(shí)際產(chǎn)品功能、技術(shù)發(fā)展水平，供應商水平等密切相關(guān)，是不同廠(chǎng)家產(chǎn)品差異性的起點(diǎn)。而產(chǎn)品具體執行，有自己不同的思路，有的是不適用安全機制，直接要求零部件提高自身功能安全等級；有的則選擇新增監測機制或者供應不同原理的冗余設計，用以提高功能安全等級。

（6）bms軟件系統設計。在軟件開(kāi)發(fā)一般遵循V模型，左邊是開(kāi)發(fā)過(guò)程，右邊對應的測試過(guò)程。BMS在軟件架構設計中，要重點(diǎn)考慮軟件的可維護性及可測試性。軟件在整個(gè)產(chǎn)品周期內都應當考慮維護性，同時(shí)還要考慮軟件架構的設計測試的容易實(shí)現，至此產(chǎn)品的設計開(kāi)發(fā)環(huán)節已經(jīng)全部完成。