BMS 全栈 — 5 块功能 + 系统架构 + 量产决策树

BMS 是层次清楚的分布式系统:cell 监测靠贴在电池模组上的 cell monitor IC,master MCU 拿到全部 cell 状态后做 SOC / SOH / 平衡仲裁,再向 HV 主回路的接触器 + 安全件下达指令。下图把这条信号链、5 块功能、内部接口与对外 VCU 通讯一次画清,后续各节都是其子模块展开。

cell 监测是 BMS 一切的起点——电压、温度采样精度直接决定 SOC、SOH 准确度及 5 套 SG 的可信度。主流方案是专用 cell monitor IC + isoSPI daisy chain,每芯片 12-16 cell,菊花链最多挂 16+ 芯片 = 192-256 cell。

主流 IC 对比:

• Analog Devices LTC6804 / ADBMS6830 — 业界基准,12-16 cell / 芯片,电压精度 ±1-2 mV,SM 完备
• TI BQ79616 / BQ79612 — 16-cell + 8 temp,内置 voltage plausibility,通讯 isoUART
• NXP MC33772 / MC33775A — 6-14 cell,TSPI 接口,EV 主流之一
• 比亚迪自研 — 刀片专用,大面积 cell 集成,工艺自有

关键设计点:

• isoSPI daisy chain 隔离每段菊花链,共模电压 1500V+
• 被动 balancing (内置 MOSFET + 电阻) 是基础,大电流场景外接
• 温度采样 6-8 channel / 芯片,NTC 贴在 cell tab 附近
• 冗余采样 关键 cell 用双 ADC plausibility check 满足 ASIL B/D

链接深页:cell-balancing

主控 MCU 是 BMS 的"大脑",处理所有 cell monitor 上来的数据,做实时仲裁 + 算法计算。

主流 MCU 平台:

• Infineon Aurix TC3xx (TC397 / TC367) — 双核 lockstep,ASIL D 量产王者
• NXP S32K3xx — 经济款 ASIL B/D,EV 主流国产替代
• Renesas RH850/F1KM — 日韩 OEM 偏好

MCU 必带功能:

• 双核 lockstep 或 SBC 独立监视 (达 ASIL D 分解条件)
• ECC RAM / Flash + memory BIST
• 独立看门狗 + 时钟监测
• isoSPI / TSPI / isoUART 接口 to cell monitor
• CAN-FD × 2-4 通道 to VCU / DC 充电桩
• Ethernet 100/1000BASE-T1 (OTA 时高带宽)

SBC (System Basis Chip) 角色:

• NXP FS65 / Infineon TLF35584 / TI TPS65381 — 独立安全监视
• 独立电源 + 看门狗 + plausibility check
• ASIL D 分解中 Channel B 的核心

链接深页:BMS 功能安全 / 自动 MCU

SOC (State of Charge,剩余电量百分比) 和 SOH (State of Health,健康度) 是 BMS 输出给 VCU 的核心数字——续航预估、最大可用功率、充电截止判定都靠它。

SOC 估算主流方法:

• Coulomb Counting (库仑积分) — 简单,但电流采样 0.1% 误差累积 1 小时就 → ±5% SOC
• OCV (Open Circuit Voltage) — 静置 30min+ 测开路电压查 SOC(OCV) 表,准但只能静置
• EKF (Extended Kalman Filter) — 当前主流,结合 OCV + Coulomb + cell 模型,稳态 ±1-2%
• ML / Neural Network — 训练历史数据,新方案,Tesla 在用

SOH 估算:

• 循环计数 (Cycle Count) — 基础,粗
• Internal Resistance 跟踪 — 老化指标
• 电压曲线特征点 (Differential Voltage Analysis, ICA / DVA) — 老化的精细方法
• LFP 平台坡度低,SOH 估算更难

安全边界:

• SOC 估算偏离 ±10% 在过充 / 过放 SG 触发上是致命的
• 必须plausibility check — Coulomb 算 vs OCV 偏离 > 阈值 → 进 safe state

链接深页:SOC 估算

HV 主回路是 BMS 物理保护的实体。5 个关键安全件串在 HV+ / HV- 上:

BMS 对外有三条主要通路,每条有自己的协议栈和安全要求:

• CAN-FD to VCU — SOC% / 可用功率 / Fault DTC / SOH%,典型 500 kbps,SecOC 报文认证
• CCS / ISO 15118 to 充电桩 — 直流快充协议,V2G 双向支持
• UDS / DTC to 诊断仪 — ISO 14229,售后维修读 DTC

SecOC (Secure Onboard Communication) — AUTOSAR 报文层认证,HMAC + Freshness Counter 防重放。BMS 报文必须 SecOC 保护,否则中间人攻击可让车跑去满电 / 全断电。

E2E protection — 应用层 CRC + Counter + DataID,防数据损坏。BMS → VCU 报文一般 P05 profile。

OTA bootloader — 远程升级 BMS firmware,典型 100MB+ via Ethernet,断电恢复 + 签名校验是硬要求。

链接深页:ISO 15118 / CAN 总线

BMS 不是单一 SG,是5 套独立 SG 联立:

5 套 SG 不是顺序而是并联 — 每套独立 FMEDA、独立 reaction、独立验证。

链接深页:BMS 功能安全 / ASIL 分解 / HV 安全

到 2026 年 BMS 器件供应链基本固化:西方厂商(ADI / TI / NXP / Infineon)在 ASIL D 量产端仍主导,国产替代在 cell monitor + master MCU 经济款已成熟,Bender IMD、Daicel Pyro Fuse 等几款关键器件全球通用、几无第二选择。下表列出选型最常用的对照。

BMS 合规由国家强制 + 国际通用 + 行业流程三层标准联立约束,任何一层不过 PPAP 就出不了厂。三类标准放一起看,可避免新工程师只盯 ISO 26262 而漏掉 GB 38031 / UN R100 这类硬强制法规:

• GB 38031-2020 — 中国市场强制,电池 pack 安全 (TR 5min 逃生 + 8 项测试)
• UN R100 / ECE R100 — 国际市场强制,EV 整车 HV 安全
• ISO 26262 — Part 2-9,功能安全开发流程
• ISO 6469-1/3/4 — EV 电池 + HV 系统安全
• IEC 61851 / ISO 15118 — 充电协议
• UN 38.3 — 电池运输安全 (热 / 振动 / 撞击)

链接深页:GB 38031 / UN R100 / ISO 26262 总览

BMS 的 failure mode 多是几条主线反复出现的样板:过充 / 过放 / 接触器 / 绝缘 / 通讯 / 热失控。下表汇总最常见 7 类失效 + 后果 + 标配缓解,FMEDA 报告至少要覆盖这 7 行:

链接深页:失效模式综合速查表 / 电池 TR 5min 逃生

新主管 onboard 一个 BMS 项目的第一周决策清单:

1. Cell 选型 → NCM (高能量) / LFP (低成本 + 安全) / NCMA (旗舰) / 钠离子 (低端)
2. Pack 架构 → CTP (Cell-to-Pack) / CTC (Cell-to-Chassis) / 传统 module
3. Cell monitor IC → 看 cell 数 + ASIL 要求 + 国产化要求
4. Master MCU → ASIL D 选 TC397 / 经济选 S32K3
5. SBC + 安全 mcu → FS65 标配
6. 接触器 → Tyco LEV200 + 国产替代 (松下 / 欣锐 / Tyco)
7. 预充 → 50-100Ω 大功率铝壳电阻 + 小信号 K2
8. Pyro Fuse → Daicel 还是国产 (比亚迪自研)
9. IMD → Bender IR155 几乎默认
10. CAN topology → BMS bus + 充电 bus + VCU bus 分开