BMS 功能安全(Battery Management System Safety)
本质 BMS 是 HV 系统里"信息密度最大、失效后果最严重"的 ECU——单次过充让 cell 进入 thermal runaway 链式传播,整车直接起火;接触器粘连让维修人员触电;SOC 估算偏 10% 让用户半路趴窝。所以 BMS 功能安全不是单一 SG,而是电压/电流/温度/接触器/绝缘 5 套独立 SG 联立——每套独立设计、独立 FMEDA、独立 reaction,但共用一套 cell monitor + master MCU + 接触器执行链。本页讲清:5 套 SG 怎么联立、为什么 BMS 必须 ASIL D、cell monitor IC 内置 SM 的作用、SOC/SOH 估算的安全边界、接触器粘连检测三种手段、TR 防护 5 层链。
学习目标
读完本页后,你应该能够:
- 列出 BMS 5 套独立 SG(过充/过放/过温/绝缘/接触器粘连)及其 ASIL 等级
- 说出 cell monitor IC 内置 SM(LTC6804 / BQ79616 / ADBMS6830)的覆盖边界
- 解释 SOC/SOH 估算偏离对安全的影响,以及 plausibility 检测手段
- 设计接触器粘连检测三件套(预充电曲线 + Vdc jump + coil V/I)
- 描述电池 TR 5 层防护链(单 cell → 模组 → pack → 系统 → 整车)
- 区分 BMS 主板 ASIL D 和 cell monitor 子板 ASIL B/C 的分工
- 识别 BMS 安全 5 个反模式
1. BMS 5 套独立 SG —— 不只是"管电压"
很多人以为 BMS 就是"测电压、控充放电"。从功能安全角度,BMS 是 5 套独立 SG 的总集成——每套对应一类不可接受的 hazard:
| SG | 描述 | ASIL | 关键 SM |
|---|---|---|---|
| SG-B1 | 任何 cell 不应过充(> 4.25V Li-ion / > 3.65V LFP) | D | cell monitor + redundant + 充电断流 |
| SG-B2 | 任何 cell 不应过放(< 2.5V) | C | cell monitor + 放电断流 |
| SG-B3 | 任何 cell/模组温度不应进入 TR 阈值(典型 130°C) | D | NTC × N + 热模型 + Pyro |
| SG-B4 | HV ↔ 底盘绝缘电阻不应 < 100 Ω/V | B-C | IMD + 启动+周期自检 |
| SG-B5 | 接触器关后,Vdc 应在 5s 内 < 60V(UN R100) | C | 主动放电 + Vdc 双独立监测 + 粘连检测 |
5 套 SG 共用同一套硬件(cell monitor IC + master MCU + 接触器 + Pyro fuse),但FMEDA 必须按 SG 分别算 —— 一颗 cell monitor IC die 失效可能同时进 SG-B1 和 SG-B3 两张表。
2. ISO 26262 + 法规依据
BMS 受双重监管约束:ISO 26262 管功能安全(失效率/SM 覆盖) + GB 38031 / UN R100 / ISO 6469 系列管法规(物理判据 + 强制条款)。两者必须同时满足,法规条款常比 ASIL D 的 99% SPFM 数字更刚性 —— 不达标直接整车不能上市。
| 标准位置 | 内容 | 用途 |
|---|---|---|
| ISO 26262-5/6/9 | 通用功能安全 | 同其它 ECU |
| GB 38031-2020 | 中国电池系统安全要求 | TR 不蔓延 5 min(强制) |
| UN R100 §5.1.4 | HV 残压 5s/60V | SG-B5 物理判据 |
| ISO 6469-1 | RESS 防护 | 单 cell 测温 + 充放电管理 |
| ISO 6469-3 | 电气安全 | IMD / HVIL / 绝缘 |
| ISO 6469-4 | 防撞试验 | 碰撞后 RESS 不漏液 |
| ISO 26262-11 §5.4 | 半导体接口诊断 | cell monitor IC 选型 |
注意:GB 38031-2020 的 "TR 不蔓延 5 min" 是强制条款,比 ISO 26262 的 ASIL D 更刚性——任何不符合即整车不能上市。
3. BMS 硬件架构 —— 主板 + 子板分工
典型 EV 大电池 pack 的 BMS 是分布式 —— 1 个 BMS Master(VCU/HV controller) + 多个 Cell Monitor Slave 模块(每个管 12-24 cell):
3.1 ASIL 分配的 ASIL 分解
BMS 整体 SG 是 ASIL D,但通过 ASIL 分解把 cell monitor 子板降到 ASIL B/C(成本省一半):
- BMS Master: ASIL D(运行 SOC 算法 + 接触器决策 + Pyro 触发)
- Cell Monitor: ASIL B(D) 或 C(D)(测 cell 电压 + 温度,把数据送 master)
- 配 Q&A WatchDog: SBC 监控 master 健康
详见 ASIL 分解。Master 失效时 Cell Monitor 自身的二次保护(如 cell monitor IC 内置过压 latch)兜底。
4. Cell Monitor IC 内置 SM
主流车规 cell monitor IC(LTC6804/6811、BQ76952/79616、ADBMS6830、MC33772)都集成一组硬件 SM,把 fault 检测从软件移到硬件,反应时间 < ms 级:
| SM | 抓的 fault | 实现 |
|---|---|---|
| OV / UV per cell(硬件比较器) | 单 cell 过压/欠压 | 比较器直拉 fault pin,< 1 ms |
| OT / UT(温度) | 单点温度异常 | 同 |
| Open wire detection | sense wire 断 | 启动注入电流测响应 |
| CRC on isoSPI / SPI | 通信链路 fault | 链路层校验 |
| Internal ADC self-test | ADC 失效 | 启动 + 周期 BIST |
| Reference voltage check | Vref 漂 | 双独立 Vref 比较 |
| Pin short / open | 焊点裂、连接器掉 | 启动连通性测试 |
例如 ADBMS6830(Analog Devices ASIL D level)有 70+ 内置诊断,FMEDA 直接引 datasheet 的 DC 数字。这是 cell monitor 子板能降到 ASIL B(D)/C(D) 的硬件根基。
5. SOC / SOH 估算的安全边界
SOC(State of Charge)和 SOH(State of Health)是软件估算量,估错本身不是 safety event,但驱动错误的充放电决策才是。所以 BMS 软件层有一层"安全 SOC"——比实际更保守的估算用作 safety reaction 的判据。
5.1 SOC plausibility 检查
SOC 估算受多种 fault 污染:current sensor 漂、温度补偿错、初始值错。安全 SOC 保守估算 + 跨方法对比:
- Coulomb Counting(直接积分电流)
- OCV 法(开路电压查表)
- Kalman / EKF observer
- 三者偏差超阈值 → 报 SOC fault,限功率
5.2 SOH 漂的安全后果
SOH 偏差让 BMS 误判电池容量,可能在"以为还能充很多"时实际过充 → 触发 SG-B1。SOH 必须周期性用 long-term 数据校准,且单次 OCV 测量异常不立刻改 SOH(防异常数据污染)。
6. Cell Balancing 安全约束
被动均衡(passive balancing)用电阻放电高 cell,主动均衡(active balancing)在 cell 间转移能量。两者都有安全边界:
| 维度 | 安全约束 |
|---|---|
| 均衡电流上限 | < 数百 mA(避免单 cell 升温) |
| 工作温度窗 | 仅在 0-50°C 内允许 |
| 时间窗 | 仅在 stationary + 不充电时(避免和充放电叠加) |
| 单 cell 偏差报警 | > 50 mV 触发 DTC,> 200 mV 强制断接触器 |
| 均衡电路自检 | 启动测每个均衡 channel 通断 |
均衡电路本身的硬件 fault(电阻烧 / MOSFET 短路)会让某 cell 持续放电,触发 SG-B2。这是 cell monitor IC 内置 OV/UV 比较器的兜底场景。
7. 接触器粘连检测 —— 三件套
接触器粘连(Stuck-Contact)是 BMS 第二高频 critical fault(仅次于 cell 过充)。一旦粘连,接触器关命令发出但物理仍闭合 → HV 不能切断 → 维修触电 / HV 不可控放电。三种检测手段并用:
7.1 Pre-charge curve check
上电时 pre-charge 接触器 + pre-charge 电阻,Vdc 按 RC 曲线上升。如果"主接触器关 + pre-charge 启动" Vdc 仍立刻满压 → 主接触器粘连。这是最可靠的检测时机,每次上电都做。
7.2 Vdc jump test(主接触器关命令时)
主接触器关命令发出后,active discharge 启动。如果 Vdc 不按预期下降 → 主接触器粘连。判据:5 s 内 Vdc 应 < 60V。这是法规 UN R100 强制时窗,详见 HV 安全。
7.3 Coil V/I monitoring
接触器线圈两端电压 + 流过电流的实测,和"开/关命令"对比:
- 命令"关"但 coil 电流 ≈ 0 + Vdc 仍满 → coil 链失效
- 命令"开"但 coil 电流 ≈ 0 → coil 链断
- 这一层抓"驱动电路本身失效"
三者正交覆盖:pre-charge 抓静态、Vdc jump 抓动态、coil V/I 抓驱动链。
8. 电池 TR 5 层防护链
热失控(TR)一旦在某 cell 触发,会向相邻 cell 链式传播,5 min 内整个 pack 燃烧。GB 38031-2020 强制"TR 不蔓延 5 min"。5 层防护:
| 层 | 措施 |
|---|---|
| L1 单 cell | cell 内置 CID(Current Interrupt Device)、PTC、隔膜熔断 |
| L2 模组 | 模组间隔热垫(气凝胶 / 云母)+ cell 间隔距 |
| L3 pack | pack 内排气通道、灭火介质(部分车用 Aerosol)、pack 上盖弱点设计(向下排气) |
| L4 系统 | BMS 检测 TR 信号(温升速率、电压跳变)→ 触发 Pyro Fuse + 关接触器 |
| L5 整车 | VCU 收到 TR 通知 → 主动放电 + 通知乘员逃生 + e-call |
9. 主流车规 BMS 子板架构对比
cell monitor IC 选型决定 BMS 整体安全成本 —— ASIL D 子板比 ASIL C 贵约 40%,但能让 master 通过 ASIL 分解降一档,系统总成本反而更低。下表对比主流车规 cell monitor。
| 厂商 / IC | ASIL | cell 数 | 关键特性 |
|---|---|---|---|
| TI BQ79616 | D | 16 cell | isoSPI daisy chain + 内置 OV/UV/OT 比较器 |
| NXP MC33775 | D | 14 cell | TPL 通信 + 70+ 诊断 |
| Analog ADBMS6830 | D | 16 cell | iso 通信 + 高精度 ADC |
| STM L9963E | D | 14 cell | ISOSPI + 集成 cell balance MOSFET |
| Renesas ISL78714 | C | 14 cell | 中端方案 |
ASIL D cell monitor 比 ASIL C 贵约 40%,但能让 BMS Master 通过 ASIL 分解降复杂度,系统总成本反而省。
10. FMEDA 简化实例(SG-B1 过充)
BMS 的 FMEDA 必须按 SG 切片算 —— 一颗 cell monitor IC die 失效可能同时进 SG-B1(过充)和 SG-B3(过温)两张表,FIT 不能重复算但 SM 可以共用。下面是 SG-B1 的简化骨架:
Element: BMS pack(1× Master MCU + 16× cell monitors + 接触器驱动)
SG-B1 safety-related FIT = 80
| Fault group | FIT | SM | DC | residual |
|---|---|---|---|---|
| Cell monitor OV 比较器失效 | 12 | 双 cell monitor 冗余 + master cross-check | 99% | 0.12 |
| 充电电流采样错 | 8 | KCL + 冗余 shunt | 99% | 0.08 |
| Master MCU SOC 算错 | 15 | Lockstep + Q&A WD + safety SOC plausibility | 99% | 0.15 |
| isoSPI 通信丢/篡改 | 6 | E2E P05 + CRC | 99% | 0.06 |
| 接触器关失败(SG-B5 共用) | 8 | 粘连检测三件套 | 95% | 0.4 |
| 充电桩信号错(SOC 满了仍充) | 5 | CCS 充电协议 + 跨 ECU plausibility | 95% | 0.25 |
| Common cause(BMS Master die) | 4 | DFA + safety MCU 独立监控 | 90% | 0.4 |
| 其它 | 22 | 各 SM | 95-99% | 1.0 |
差点到 ASIL D 99%。提升:cell monitor IC 升 ASIL D 双独立 + safety MCU 完全独立 die。
11. 安全反模式(5 个常见错)
BMS 是 5 套 SG 共用一套硬件,反模式集中在"假冗余"和"软件单算法" —— 看起来配齐了 SM,实际共因没切或单点决策。下面 5 条覆盖量产事故复盘里最常见的根因。
| 反模式 | 表现 | 修法 |
|---|---|---|
| SOC 算法没安全冗余 | 只用 Kalman,Kalman bug 不被检测 | Coulomb + OCV + EKF 三方法跨验证 |
| 接触器只用 coil 状态判 | coil 通了但触点粘连看不到 | pre-charge + Vdc jump + coil V/I 三件套 |
| 均衡在充电中开 | 充电电流 + 均衡放电叠加,cell 升温 | 仅 stationary + 不充电时允许 |
| Cell monitor 没双独立 | "用了 1 颗 ASIL D IC" 仍是 single point | 关键回路双独立 monitor + DFA |
| TR 检测只看绝对温度 | TR 早期温升慢但加速度大,绝对温度还没到阈值 | 温升速率 + 电压跳变 + 模组间温差三联 |
12. 与 Inverter ASIL D 的关系
BMS 给 Inverter 提供两类信号:Vdc(实测 HV bus 电压) + 可用功率上限(SOC/SOH/T 推算)。Inverter 的 ASIL D SG 依赖这两类信号正确——两者通过 CAN E2E P05 传输,接收端 plausibility 兜底。
详见 Inverter ASIL D 端到端实现案例 §3 HV no thermal incident。
核心要点
- BMS 是 5 套独立 SG 的总集成(过充/过放/过温/绝缘/接触器),不是单一 SG
- 法规约束比 ISO 26262 更严 —— GB 38031-2020 "TR 不蔓延 5 min" 强制条款
- 架构:Master ASIL D + Cell Monitor ASIL B/C(D),通过 ASIL 分解省成本
- Cell monitor IC 内置硬件 SM(OV/UV 比较器、open wire、CRC)是降级 ASIL B/C 的根基
- SOC/SOH 估算 + safety SOC plausibility 双层防御,Coulomb + OCV + EKF 跨方法验证
- 接触器粘连三件套:pre-charge curve + Vdc jump + coil V/I,正交覆盖
- TR 防护5 层链:cell → 模组 → pack → 系统(BMS+Pyro)→ 整车(VCU + e-call)
- 5 反模式戒除:SOC 单算法 / 接触器只看 coil / 均衡在充电中 / cell monitor 单 IC / TR 只看绝对温度