李世杰，温 帅，马金艳，朱仲文

（1.河北工业大学机械工程学院，天津 300130；2.中国汽车技术研究中心有限公司，天津 300300）

1 引言

为解决日益突出的燃油供求矛盾以及环境污染问题，世界各国政府机构已将新能源汽车的发展作为应对能源和环境危机的国家战略[1]，各国全面禁售燃油车时间也相继宣布，然而，随着新能源汽车电控系统日趋复杂，电子控制单元（ECU）系统性失效和硬件随机失效的风险相继增加[2]，给汽车企业带来巨大的经济损失的同时给用户的人身安全也带来严重威胁，这使得许多国家和车企越来越重视汽车的功能安全，为了保证在复杂电控系统下的人车安全，国际标准化组织（ISO）研究并发布了针对汽车电子的道路车辆功能安全标准IS0 26262，为汽车企业和零部件企业在控制器开发过程中可靠性设计提供了有力保障[3]。

ISO 26262 标准自2011 年发布以来，已成为欧洲汽车企业开发产品的通用标准，也吸引了国内许多汽车和零部件厂商的广泛关注和使用。均衡控制系统是电池管理系统（BMS）的重要组成部分，对保持电池一致性和优化有效储能有重要意义。介绍了基于ISO 26262 硬件层面开发设计的均衡控制系统，分别从硬件架构定量分析和硬件在环（HIL）集成试验两个方面对其功能安全进行验证。

2 基于IS0 26262 的系统开发流程

ISO 26262 以IEC 61508 为基础，为满足道路车辆上特定电子电气系统的需求而编写，适应于汽车电子、电气系统硬件和软件组成的相关安全系统全生命安全周期的开发活动[4]，对产品的整个生命安全周期进行功能安全评估，从需求管理开始，到概念和软硬件设计，到最后生产与维护，都提出严格的功能安全要求，根据ISO 26262 定义的全生命周期功能安全要求，BMS 均衡控制系统开发流程[5]包括概念设计阶段、开发阶段以及生产运行阶段，如图1 所示。在概念设计阶段，完成系统定义，启动安全生命周期，进行危害分析和风险评估以及功能安全概念[6]，将这些作为均衡控制系统软硬件开发的重要输入。均衡控制系统功能安全概念主要包括数据采集单元和均衡单元，通过对影响因子严重度、曝光概率、可控性分析，其需要的最高安全完整性等级（ASIL）为ASIL C。均衡控制系统开发阶段根据其功能安全需求开发出更为详细的软硬件设计技术安全要求，然后根据这些安全要求进行均衡控制系统软硬件设计，硬件设计和软件设计的开发都遵循汽车工业中常用的V 型开发流程。

图1 均衡控制系统开发流程Fig.1 Equalization Control System Development Process

3 均衡控制系统设计

由于材料和加工工艺不同，每个电池单体存在一定性能差异，其次电池自身的容量较小，必须将多个电池单体串联才能为电动汽车提供足够的动力，电池成组放大了电池差异，导致电池组充放电不均衡，极易出现过充过放，影响电池循环寿命，甚至危害人身安全[7]，因此需要通过均衡技术减少电池单体之间的差异，有效提高电池使用效率和循环寿命。均衡技术可分为主动均衡和被动均衡，主动均衡主要分为电感均衡和电容均衡，可以达到能量无损，同样具有均衡速度缓慢，价格高昂的缺点；被动均衡是电阻放电式均衡，采用合适的均衡电阻放电，多余的电量以热能的形式排出，结构简单，均衡速度较快[8]。

3.1 系统架构设计

根据产品开发阶段硬件安全要求设计出均衡控制系统体系架构，本系统采用被动均衡，由数据采集单元、均衡单元、故障监控单元组成，架构图，如图2 所示。

图2 均衡控制系统架构Fig.2 Equalization Control System Architecture

均衡控制系统围绕LTC6804-2 展开设计，该芯片集电压监测和均衡为一体，是严格按照ISO 26262 标准而设计的电池专用芯片，采用可编程三阶噪声滤波器的16 位增量累加型ADC，可在290μs 内测量多达12 节串接电池的电压，并能将总测量误差精确到1.2mV 以下，具有可编程放电定时器，可控制电池单体被动均衡，每片LTC6804-2 凭借isoSPI 接口，能够实现高速、抗RF干扰的局域通信。均衡控制系统在运行过程中，数据采集单元实时采集12 节电池单体电压，并通过串口与TC212 实现SPI 通信，TC212 作为主控制单元与从控制单元的中转站，将各单体电压传送给主控单元，由主控单元通过SOC 估算判断是否需要开启均衡，如果需要开启均衡，主控单元则通过TC212 向均衡控制系统输出控制字指令释放对应电池的多余电量，有效保证电池循环寿命和人车安全。

3.2 子系统设计

数据采集单元是均衡控制系统的重要子系统，是均衡控制系统能否准确开启均衡的关键前提。LTC6804-2 引脚C0C12 作为电池的输入，其内置一个ΔΣADC，该ADC 具有ΔΣ 调制器和一个SINC3 有限脉冲响应数字滤波器，极大地降低了外部采集电路输入滤波要求，外围采集电路采用冗余机制，通过差分电容滤波器与接地电容滤波器两种高阶低通滤波器过滤所有瞬态噪声，可以有效保证12 节电池单体电压采集精度。

故障监控单元是均衡控制系统的安全保障，是数据采集精准有效的有力保证，主要包括以下三个监控模块。

（1）欠压/过压监测：测量测量引脚C 输入时，将测量结果与存储器存储的欠压和过压门限进行比较。如果电池电压的测量值高于过压限值，则存储器中的一位被设定为标记。同样，低于欠压门限时存储器的一位也会被标记。

（2）数字滤波检查：该监控模块是LTC6804-2 ADC 自检模块，针对ΔΣADC 而设计，用于验证数字滤波器和存储器是否正常运作。

（3）断线检测：利用ADOW 命令检查LTC6804-2 中的ADC与外部电池之间的任何导线开路。

均衡单元是均衡控制系统的执行子系统，MOSFET 栅极端子连接至S 输出引脚，S 引脚充当一个驱动外部MOSFET 的数字输出，当接收到来自TC212 的均衡开启指令，LTC6804-2 驱动外部MOSFET 闭合，利用均衡电阻R3 放掉多余的电量。由于每一节电池的数据采集单元与均衡单元采用统一的设计，只列出其中两节电池的数据采集电路和均衡电路，如图3、图4 所示。

图3 数据采集单元Fig.3 Data Acquisition Unit

图4 均衡单元Fig.4 Equalization Unit

4 均衡控制系统功能安全失效率验证

4.1 基本概念

ISO 26262 通过硬件架构度量定量评估均衡控制系统硬件设计的可靠性[9]。硬件架构度量包括单点故障度量和潜伏故障度量，以单点故障度量目标值和潜伏故障度量目标值作为衡量指标进行对比分析，并采用随机硬件失效概率度量（PMHF）进一步评估系统架构应对随机硬件失效的有效性，具体量化值，如表1 和表2 所示。

表1 硬件架构度量目标值Tab.1 Target Values of Hardware Architecture Metric

表2 随机硬件失效目标值Tab.2 Target Values of Random Hardware Failure

单点故障度量反映了通过安全机制覆盖的均衡控制系统硬件设计实现的对单点故障和残余故障的鲁棒性。高的单点故障度量值意味着系统硬件的单点故障和残余故障所占的比例低。

潜伏故障度量反映了均衡控制系统通过安全机制覆盖以及通过驾驶员在安全目标违背之前识别实现的对潜伏故障的鲁棒性。高的潜伏故障度量值意味着硬件的潜伏故障所占的比例低。

4.2 故障分类

IS0 26262 将与功能安全相关的硬件故障分为单点故障、残余故障、多点故障以及安全故障。距离n 表示了在同一时刻存在的导致违背一个安全目标的独立故障的数量（n=1 对应单点故障或者残余故障，n=2 对应双点故障），如果技术安全概念中未表明相关，则认为距离高于n=2 的多点故障是安全故障，如图5 所示。

图5 功能安全相关的硬件故障Fig.5 Hardware Failures Related to Functional Security

4.3 硬件架构度量估算

设计的均衡控制系统具有一个输入（通过差分、接地滤波电路和LTC6804-2 采集各电池单体电压）和一个输出（通过LTC6-804-2 控制MOSFET 闭合），其功能安全目标为当其中某一节电池的电压与12 节电池平均电压压差超过0.09V，闭合MOSFET，并通过软件确定均衡的有效性，功能安全目标等级为ASIL C。安全机制及诊断覆盖率，如表3 所示。

表3 硬件安全机制诊断覆盖率Tab.3 Diagnostic Coverages of Hardware Security Mechanism

将均衡控制系统硬件模块化分解，如图6 所示。下面将以均衡控制系统硬件设计为例，针对数据采集单元和均衡单元各硬件要素，在已有的安全机制保护下进行具体的硬件架构度量计算，并对比硬件架构度量值，判断该系统硬件设计是否符合功能安全要求。假设电源、时钟模块以及TC212 和LTC604-2 的通信功能均正常，当安全机制SM3 失效时，安全机制SM1 和安全机制SM4 可以防止SM3 的潜在故障，当安全机制SM2 失效时，安全机制SM6 可以防止SM2 的潜在故障。将各硬件要素分成安全相关和非安全相关两类，分别进行失效模式分析、单点或多点失效分析，并结合设计的安全机制做单点故障或残余故障判断与失效率计算，潜伏多点故障判断与失效率计算，均衡控制系统硬件架构指标计算分析[4]，如表4 所示。

图6 系统硬件模块化分解Fig.6 Modular Decomposition of System Hardware

表4 均衡控制系统硬件架构指标计算分析Tab.4 Calculation and Analysis of Hardware Architecture Indexes of Equalization Control System

通过式（1）和式（2）计算分别得到单点故障度量值和潜伏故障度量值为97.3%和81.2%，可知单点故障度量值与潜伏故障度量值均达到ASIL C 的目标值。

4.4 随机硬件失效概率度量（PMHF）

通过式（3）计算得到MPMHF 为13.238FIT，与随机硬件失效目标值比较可知本架构满足ASIL C 的要求。

5 硬件在环（HIL）集成验证

5.1 HIL 试验方案

为了进一步验证均衡控制系统硬件设计是否符合ASIL C 等级的硬件安全要求以及安全机制完整性和正确性，根据IS0 26262硬件集成和测试要求，选择HIL 注入故障为最终试验方案[11]。该试验方案原理由dSPACE 实时仿真硬件平台，上位机软件平台以及BMS 三大部分构成，其中硬件平台包括实时仿真板卡（电池仿真板卡、I/O 板卡、CAN 板卡、电阻板卡）、信号调理单元以及故障注入单元，上位机软件平台是基于ControlDesk 的测试管理软件和基于Simulink 搭建的数学模型，如图7 所示。硬件平台与上位机软件平台利用网线连接，通过注入均衡故障、过压欠压故障以及断线故障等典型故障，利用信号调理单元作为仿真板卡、故障注入单元以及BMS 之间的桥梁作用，实现信号的转换与匹配，最终通过ControlDesk 人机交互界面即可直观地看到试验结果。

图7 硬件在环试验原理Fig.7 Principle of Hardware in-the-Loop Test

5.2 HIL 试验结果

（1）均衡故障注入测试：利用电池仿真板卡模拟输出12 路3.8V，并注入均衡故障，运行8s 后改变电池1 的电压，触发均衡开启指令，ControlDesk 读取BMS 故障码并记录均衡故障，再运行一段时间后清除故障，故障显示为历史故障，此时均衡指令执行正常，均衡故障注入测试波形，如图8 所示。

图8 均衡故障注入测试波形Fig.8 Test Waveform of Equalization Fault Injection

（2）过压故障注入测试：本均衡控制系统对电池单体过压安全监控的门限值设定为4.2V，利用电池仿真板卡模拟输出一路3.6V 并运行一段时间，切换至4.2V 触发过压故障，ControlDesk读取BMS 故障码并记录过压故障，再运行一段时间后清除故障切换至3.8V，故障显示为历史故障，过压故障注入测试波形，如图9 所示。

图9 过压故障注入测试波形Fig.9 Test Waveform of Over-Voltage Fault Injection

（3）欠压故障注入测试：本均衡控制系统对电池单体过压安全监控的门限值设定为2.8V，利用电池仿真板卡模拟输出一路3.2V 并运行一段时间，切换至2.8V 触发欠压故障，ControlDesk读取BMS 故障码并记录欠压故障，再运行一段时间后清除故障切换至3.3V，故障显示为历史故障，欠压故障注入测试波形，如图10 所示。

图10 欠压故障注入测试波形Fig.10 Test Waveform of Under-Voltage Fault Injection

（4）断线故障测试：利用电池仿真板卡模拟输出一路4V 并运行一段时间，切换至0V 触发断线故障，ControlDesk 读取BMS 故障码并记录断线故障，再运行一段时间后清除故障切换至3.9V，故障显示为历史故障，断线故障注入测试波形，如图11 所示。

图11 断线故障注入测试波形Fig.11 Test Waveform of Off-Line Fault Injection

6 结论

以均衡控制系统为研究对象，制定了基于ISO 26262 标准的开发流程，通过功能安全失效率定量分析与硬件在环故障注入集成试验两种方法，对系统设计与详细子系统设计的功能安全进行双重验证，得出以下结论：（1）基于dSPACE 实时仿真硬件平台的硬件在环试验能够准确，全面地模拟均衡、断线以及过/欠压故障，结果表明该均衡控制系统设计能够有效辨识故障，对提高整车安全性能有重要意义。（2）失效率定量分析与硬件在环集成试验双重验证方式对电池管理系统其他模块的功能安全设计也具有一定的参考价值。（3）当单点、残余以及多点故障度量值与随机硬件失效概率度量值同时满足ASIL 等级的要求时，整个硬件架构度量才更加可靠。