BMS（ASIL C）的功能安全设计

随着新能源汽车的发展逐步趋于电气化和智能化， 其电子控制器的数量不断增加， 电子控制器的功能安全成为影响新 能源汽车安全性的首要问题。旨在将标准 ＩＳＯ ２６２６２－３：２０１８ 的开发要求， 应用到动力电池管理系统的功能安全开发中。

通过对 动力电池的管理系统进行功能和结构分析， 结合应用场景和危险辨识分析得到系统的潜在危害， 提出了电池管理系统 （ＢＭＳ） 的 安全目标及功能安全需求。根据动力电池过放危害， 进行危害分析与风险评估以确定 ＢＭＳ 的汽车完整性等级 （ＡＳＩＬ）， 并提出了 一种分解其 ＡＳＩＬ 以降低开发成本的方法。

以 ＢＭＳ 为例介绍了 ＩＳＯ ２６２６２ 标准中安全目标及其 ＡＳＩＬ 等级确定的方法。如果产品的安全需求的 ＡＳＩＬ 等级较高， 成 本高， 可通过 ＡＳＩＬ 分解以降低 ＡＳＩＬ 等级， 降低生产成本。在 分解的过程中， 遵循安全目标的 ＡＳＩＬ 等级在被开发阶段的安 全需求继承的原则。以 ＢＭＳ 预防过放为例， 介绍了 ＡＳＩＬ 的分 解原则和步骤。 

通过对功能及结构进行分析， 对系统的架构进 行调整， 实现了 ＡＳＩＬ 的分解。为针对 ＡＳＩＬ 等级高而带来的开 发成本高、 开发周期长及技术要求高等方面的问题， 提供了一 种解决方法。

审核编辑 ：李倩