BMS(Battery Management System)即電池管理系統。作為新能源汽車“三電”核心技術之一，BMS在HEV/EV中發揮著重要作用。廣義上，BMS包含傳統的12/24 V鉛酸電池管理，但這裡討論的BMS主要是針對HEV/EV的動力電池管理，從48 V的弱混動到500 V以上的純電動，恩智浦的BMS解決方案都可以覆蓋。一般來說，BMS由一個主控單元和多個從控單元組成，從控單元直接連線電池包(Battery Pack)，採集電池的電壓、電流和溫度等，主控通過CAN匯流排或Daisy Chain(菊花鏈)通訊等方式管理多個從控單元。

按照新能源汽車對電池管理系統的需求，BMS具備的功能包括SoC/SoH估算、故障診斷、均衡控制、熱管理和充電管理等(見圖1)。SoC即電池荷電狀態，用於衡量電池剩餘電量，對於判斷汽車可行駛里程十分重要。故障診斷用於判斷電池的當前狀態，及時正確識別電池的過壓、欠壓或過溫等異常情況有助於避免事故發生。均衡控制主要是消除單體電池之間的容量差異，達到一致性，延長電池使用壽命。

隨著汽車電子軟硬體複雜性提高，來自系統失效和隨機硬體失效的風險日益增加，隨著汽車電子行業標準ISO26262的釋出，使得人們對功能安全有了深入的理解，對評估、避免這些風險提供了可靠的流程保證。電池管理BMS引入ISO26262標準，不僅是順應技術趨勢的發展需求，而且確實能為BMS帶來質的變化，從長遠來看，有利於行業健康發展。

BMS功能安全開發流程

ISO26262定義的功能安全標準涵蓋了產品的管理、開發、生產、經營、服務和報廢等階段，覆蓋了產品的整個生命週期，產品開發時主要關注的階段有概念、系統級開發、硬體開發和軟體開發等階段。

在功能安全概念階段要做系統危害分析(Hazard Analysis)和風險評估(Risk Assessment)，得出汽車安全完整性等級ASIL(Automotive Safety Integrity Level)。ISO26262標準規定了A到D四個安全等級，其中D級為最高等級，相應的需求最為苛刻。一般而言，主流車廠認為BMS需要達到的安全等級至少是ASIL-C。在得出安全等級ASIL後，需要設立安全目標(Safety Goal)，並提出相應的安全需求(Safety Requirement)和安全機制(Safety Mechanism)，並在必要的時候做功能安全等級分解(見圖2)。

ISO26262給出了三個指標：單點故障指標SPFM、潛在故障指標LFM和隨機硬體失效指標PMHF，用於評估系統的安全性等級。

例如：在BMS開發過程中，對BMS的危害分析有過壓(過充)、欠壓、過溫和過流等危害事件進行監測。如過壓，可能是一個比較嚴重的事件，尤其長時間對電池過充會導致電池效能下降和不可恢復性損壞，甚至導致電池變形、漏液情況發生。通過對過充這類事件進行危害分析和風險評估，得出其安全等級是ASIL-C或者ASIL-D(在不同應用場景下分析下得出的安全等級可能不一樣)，那麼系統的安全目標就是BMS應該能及時發現電池過充情況並作出處理，對應地，要從單點失效和潛在失效等方面考慮設計安全機制，最後用前面提到的度量指標進行安全性評估。

符合功能安全的BMS解決方案

恩智浦提供完整的電池管理系統解決方案，包括微控制器MCU、模擬前端電池控制器IC、隔離網路高速收發器和系統基礎晶片SBC等。藉助恩智浦的BMS解決方案，使用者可輕易實現基於CAN網路或菊花鏈的電池管理系統。恩智浦提供多種符合ISO26262標準的器件，主控單元MPC574xP安全等級達到ASIL-D，模擬前端電池控制器MC33771安全等級達到ASIL-C，SBC(System Basic Chip)系統基礎晶片FS45/65安全等級達到ASIL-D。採用這套方案可簡化軟硬體設計，幫助使用者輕鬆實現系統安全等級達到ASIL-C/D。此外，恩智浦提供符合功能安全的參考設計，極大加速使用者開發符合ISO2626標準的BMS產品(見圖3)。

在圖3的方案中，主控單元採用的MPC574xP是一款基於PowerArchitecture、具有延遲鎖步核Lock Step核的高效能和高安全性MCU。SBC系統基礎晶片FS45/65不僅提供多種可配置的電源選擇，而且提供電源監控和眾多安全機制，支援Fail-Safe安全保護模式，MCU搭配SBC系統基礎晶片可實現更高的安全等級。模擬前端MC33771負責電池資料的採集，一個MC33771最多可以接14節單體電池，多個MC33771可以級聯形成菊花鏈式通訊。MC33664作為MCU和MC33771的傳輸物理層，負責將SPI訊號和差分訊號進行轉換。

恩智浦的BMS解決方案支援多種網路拓撲結構，包括集中式、分散式菊花鏈結構以及集中式、分散式CAN網路結構。菊花鏈式網路可顯著降低BoM成本，受制於通訊距離限制，在目前的大巴車上，目前主要是基於CAN匯流排通訊。恩智浦提供的BMS解決方案具有極大的靈活性，可以滿足不同使用者的需求(見圖4)。

鑑於目前國內市場基於ISO26262的開發還處於起步階段，部分車廠和供應商的功能安全開發經驗不足，導致開發符合IS026262標準的BMS難度較大，並且要一下子達到系統級ASIL-C/D，挑戰性巨大。針對這種情況，恩智浦提供一種折中的方案，推薦主控單元採用S32K14x系列MCU，結合外部的系統基礎晶片FS45/65等，可使系統安全等級達到ASIL-B。另外，單個S32K14x達到ASIL-B等級，通過軟硬體冗餘設計也能使系統達到更高的安全等級ASIL-C。

需要指出的是，在恩智浦，所有按照ISO26262標準開發的器件，都被囊括在恩智浦的SafeAssure計劃裡。SafeAssure保證開發的產品符合ISO26262標準，並提供必要的支援，提供功能安全相關的文件(如Safety Manual和FMEDA等)，Safety Manual詳細闡述了晶片所採用安全機制，並指導使用者如何使用晶片可以達到比較高的安全性等級。FMEDA展示了晶片失效模型、失效概率和診斷分析等，使用者可根據具體應用需求對FMEDA進行裁剪。

高效能、高安全性微控制器

恩智浦還提供高效能、高安全性的微控制器。

1.基於Power Architecture的MPC574xP

MPC574xP是MPC5743L的下一代產品。MPC5643L是第一個拿到第三方認證、符合ISO2626標準的MCU，MPC574xP基本繼承了MPC5643L的所有特性，並在工藝和效能上有一定提升(見圖5)。

MPC574xP具有延遲鎖步核Lock Step，可執行在200 MHz，兩個核執行同樣的程式碼，輸出結果進行比較，如果發現不匹配，可以觸發系統的安全機制，通知使用者有異常發生，並作出相應處理。MPC574xP具有很多的安全特性，針對電源和時鐘的功能是否正常，內部有專門的監控電路。針對Flash 和RAM，有ECC保證讀寫資料的正確性。針對ADC，有BIST(Build in Self Test)自檢電路驗證ADC的邏輯。特別要提到的是MPC574xP具有FCCU單元，該單元收集所有其他模組在執行過程中產生的異常事件，並提交給MCU核心做處理。

實際上，MPC574xP不僅僅可運用在BMS領域，任何對安全要求很嚴格的應用都可以採用MPC574xP，如新能源汽車電動機控制、EPS(電子助力轉向系統)、制動、安全氣囊和底盤應用等。

2.基於Power Architecture的MPC574xR

MPC574xR系列MCU特點與MPC574xP系列類似，安全等級滿足ISO26262 ASIL-D，不同的是除了MPC5743R(內部只有鎖步核)，MPC5745/6R提供了鎖步核的同時，還提供了另外一個獨立的核心，這個核心可單獨執行其他程式，該系列MCU提供了更高的效能。

3.基於AMR Cortex M4的S32K14x

S32K14x系列MCU提供極強的價效比，同時具有較高的安全等級，滿足ISO 26262 ASIL-B。該系列MCU最大執行頻率112 MHz，帶有SFPU，基於修改的Harvard架構，支援緊密耦合的RAM和4 KB I/D快取，支援SHE規範的硬體安全引擎，內建48 MHz RC (IRC)振盪器，支援CAN FD，利用FlexIO可模擬通訊協議，如SPI、UART等。

4.模擬前端電池控制器MC33771

MC33771滿足ISO2626 ASIL-C，工作電壓範圍9.6 V ≤ VPWR ≤ 61.6 V，70 V瞬態電壓，支援7～14節電池，7個ADC/IO口/溫度感測器輸入，支援14通道300 mA板載被動均衡。

結語

功能安全是未來汽車電子行業的趨勢，也是恩智浦BMS解決方案的優勢，恩智浦能夠提供BMS的全套解決方案，包括高效能、高安全性的微控制器和模擬器件，如基於Power Architecture微控制器MPC574xP和基於ARM Architecture的S32K14x，以及模擬前端電池控制器MC33771。恩智浦提供靈活的方案，支援集中式/分散式的CAN/菊花鏈網路拓撲結構，能滿足不同的應用需求。恩智浦BMS解決方案可幫助使用者簡化功能安全設計，使系統安全等級符合ISO26262 ASIL-C/D。來源：AI《汽車製造業》