基于HIL的電池管理系統(tǒng)功能安全測試研究

王浩淼，遲文波

（92228部隊(duì)，北京 100072）

0 引言

近年來，隨著新能源汽車技術(shù)的不斷進(jìn)步，汽車電子軟硬件的復(fù)雜性逐漸提高，來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也在日益增加，尤其是動力電池系統(tǒng)，涉及到高壓和大電流，一旦發(fā)生故障，容易引起短路、爆炸、火災(zāi)等，造成巨大經(jīng)濟(jì)損失和人員傷亡，因此在軟件架構(gòu)中，需要重點(diǎn)針對故障保護(hù)策略進(jìn)行分析和設(shè)計(jì)，這部分在ISO26262標(biāo)準(zhǔn)中定義了詳細(xì)的流程。但在產(chǎn)品開發(fā)的后期測試階段，傳統(tǒng)的臺架及實(shí)車測試已無法滿足極限工況和特定的故障保護(hù)功能的測試需求。HIL測試通過半實(shí)物仿真設(shè)備模擬各種工況來驗(yàn)證控制器的功能邏輯，可以在實(shí)驗(yàn)室環(huán)境下安全并高效地對控制器進(jìn)行測試，已成為整車研發(fā)過程中不可缺少的環(huán)節(jié)[1-3]。本文分析了電池系統(tǒng)組成和HIL測試方法，并通過dSPACEHIL測試平臺驗(yàn)證了某BMS針對功能安全定義的不同故障保護(hù)策略。

1 電池系統(tǒng)結(jié)構(gòu)

動力電池系統(tǒng)包括電池、高壓繼電器及BMS等部分，系統(tǒng)通過高壓接口與外部充電裝置及驅(qū)動裝置相連接，低壓接口包括喚醒信號、整車通訊、充電通訊以及電源等。電池系統(tǒng)結(jié)構(gòu)如圖1所示：

電池為車輛提供動力源，BMS實(shí)時(shí)監(jiān)測電池的電壓、電流、溫度等狀態(tài)，當(dāng)車輛在充電或行駛過程中出現(xiàn)異常，BMS會根據(jù)故障等級不同執(zhí)行相應(yīng)的保護(hù)措施，同時(shí)將故障信號通過CAN通訊發(fā)送給整車控制器（VCU）或者儀表，以執(zhí)行車輛動作或提醒用戶[4]。

2 BMS功能安全故障保護(hù)策略

ISO26262標(biāo)準(zhǔn)（道路車輛功能安全標(biāo)準(zhǔn)）包括了汽車電子電氣開發(fā)中與安全相關(guān)的所有應(yīng)用，制定了汽車整個生命周期中與安全相關(guān)的所有活動。標(biāo)準(zhǔn)從需求開始，包括概念設(shè)計(jì)、軟硬件設(shè)計(jì)、最后的生產(chǎn)、操作都提出了相應(yīng)的功能安全要求，其覆蓋了汽車整個生命周期，從而保證安全相關(guān)的電子產(chǎn)品的功能性失效不會造成危險(xiǎn)的發(fā)生[5]。

如圖2所示，在系統(tǒng)正常運(yùn)行的時(shí)候，突然發(fā)生故障，系統(tǒng)安全機(jī)制檢測到此故障后將系統(tǒng)置為安全狀態(tài)。從故障發(fā)生到系統(tǒng)進(jìn)入安全狀態(tài)的時(shí)間為故障容錯時(shí)間。

在功能安全概念階段需要通過系統(tǒng)危害分析和風(fēng)險(xiǎn)評估得出ASIL等級，其中D為最高等級。得出安全等級后，需要設(shè)立安全目標(biāo)，并提出相應(yīng)的安全需求和安全機(jī)制[6]。某BMS故障檢測及處理策略如表1所示：

表1 BMS故障保護(hù)策略（ASIL=B/C）

針對電壓、溫度、電流等相關(guān)故障判斷，BMS一般會分為多個故障等級，當(dāng)電池系統(tǒng)狀態(tài)超過較低故障等級的閾值時(shí)，一般不會斷開繼電器及高壓回路，僅做限流限功率或故障提示，此類故障ASIL等級為B或C；當(dāng)檢測值超過高故障等級閾值，如電池過充過放、熱失控等極限故障，ASIL等級為D，如表2所示：

表2 BMS故障保護(hù)策略（ASIL=D）

ISO26262中定義了對于指定ASIL等級的軟件安全需求測試方法，如表3所示，“+”表示推薦該方法，“++”表示高度推薦該方法。

表3 軟件安全需求測試方法

基于網(wǎng)絡(luò)環(huán)境和整車環(huán)境測試，只能覆蓋到整車網(wǎng)絡(luò)通信及系統(tǒng)層面測試，針對極限故障尤其是涉及到高壓大電流工況，更多采用硬件在環(huán)仿真測試。

3 BMS硬件在環(huán)測試平臺

3.1 硬件在環(huán)系統(tǒng)結(jié)構(gòu)

dSPACE硬件在環(huán)測試系統(tǒng)按用戶需求并應(yīng)用Matlab/Simulink實(shí)現(xiàn)建模，根據(jù)數(shù)學(xué)模型和軟件仿真驗(yàn)證控制系統(tǒng)的正確性。整個測試系統(tǒng)如圖3所示，主要由測試機(jī)柜、仿真模型、被測控制器以及相關(guān)上位機(jī)軟件組成[7]。測試機(jī)柜中有不同功能仿真板卡，通過板卡接口將仿真模型和真實(shí)控制器相連，同時(shí)可在上位機(jī)上實(shí)時(shí)調(diào)整參數(shù)來模擬各種極端工況，以測試控制器功能的正確性和穩(wěn)定性。硬件在環(huán)測試已成為整車開發(fā)流程中必不可少的環(huán)節(jié)，在減少了實(shí)車路試及標(biāo)定工作任務(wù)的同時(shí)，又縮短了開發(fā)周期，可以安全并高效地對控制器進(jìn)行驗(yàn)證[8]。

3.2 系統(tǒng)硬件分配

HIL硬件系統(tǒng)包括待測BMS、dSPACE機(jī)柜組成，BMS分為主控和從控，從控將采集的電池電壓和溫度信息通過菊花鏈發(fā)送到主控，主控實(shí)現(xiàn)繼電器控制、故障保護(hù)以及充放電控制等功能。機(jī)柜由主處理器、功能板卡和內(nèi)部信號調(diào)理電路組成。主處理器對模型進(jìn)行實(shí)時(shí)運(yùn)算，并通過不同功能IO板卡和信號調(diào)理單元實(shí)現(xiàn)與控制器的交互，系統(tǒng)連接圖如4所示。

根據(jù)待測BMS接口定義和特性，對機(jī)柜可用通道進(jìn)行資源分配，如表4所示：

表4 HIL硬件資源分配

HIL機(jī)柜資源主要使用DS6101、DS2671和EV1077板卡。其中，DS6101為通用IO板卡，用于電源控制、溫度和電流傳感器模擬，以及數(shù)字信號的輸出和采集。EV1077為電池電芯專用仿真板卡，輸出精度為1mV，每個電芯通道可單獨(dú)控制，機(jī)柜內(nèi)部已將所有EV1077通道串聯(lián)來模擬真實(shí)電池包。DS2671為總線板卡，用于CAN總線通訊測試，可以仿真及驗(yàn)證BMS的CAN報(bào)文和信號交互邏輯。

3.3 系統(tǒng)模型開發(fā)

HIL系統(tǒng)模型主要包括IO模型、電池模型和其他輔助模型，IO模型主要為機(jī)柜硬件接口和信號之間的匹配，電池模型通過參數(shù)配置，可以模擬真實(shí)電池包充放電、溫度及SOC特性，輔助模型主要為與BMS交互的仿真邏輯模型，如VCU和充電機(jī)模型等。

系統(tǒng)模型開發(fā)和配置完成后，在Matlab中編譯生成dSPACE目標(biāo)處理器可識別的代碼。

3.4 測試管理界面開發(fā)

ControlDesk是dSPACE公司開發(fā)的新一代集成實(shí)驗(yàn)和測試工具的軟件，可實(shí)現(xiàn)對測試過程的綜合管理。包括實(shí)時(shí)硬件及變量的可視化管理，即對機(jī)柜和模型進(jìn)行操作。通過編輯不同控件屬性，可實(shí)現(xiàn)測試界面的開發(fā)設(shè)計(jì)。通過在上位機(jī)導(dǎo)入模型編譯生成的變量文件來對所需信號和參數(shù)進(jìn)行實(shí)時(shí)操作[9]。

BMS測試界面主要包括機(jī)柜高低壓上下電控制，以及BMS的狀態(tài)及故障信息檢測，如圖6（a）所示。單體和溫度控制界面包括所有電池單體和溫度通道的控制及回采信息，如圖6（b）所示。

4 測試結(jié)果分析

HIL機(jī)柜和BMS正常工作后，在上位機(jī)根據(jù)表1和表2觸發(fā)不同ASIL等級和類型的故障，并實(shí)時(shí)監(jiān)控BMS針對不同故障的保護(hù)及處理措施。

4.1 單體電壓故障測試

在系統(tǒng)運(yùn)行過程中，每個單體電壓在電池模型中初始值為3.6V，通過改變其中一個或多個電壓，來模擬單體過壓、欠壓、不均衡以及過充和過放工況。如圖7所示，當(dāng)單體最高電壓（RX_CellMaxVol）達(dá)到4.3V且持續(xù)5s時(shí)，BMS將最大充電電流（RX_BatCur Permit Max Charge Cur）限制為0，最大放電電流（RX_Bat Cur Permit Max Discha Cur）線性降為0，并上報(bào)單體過壓指示（RX_Cell MaxVol Over Limit=1）和故障等級（RX_Bat Fault Level=1），故障上報(bào)5s后切斷高壓繼電器（RX_Cut Off Main Neg=1）。

當(dāng)BMS檢測到單體最低電壓（RX_CellMinVol）達(dá)到2.7V且持續(xù)20s時(shí)，放電電流限制線性降為0，同時(shí)上報(bào)故障等級，當(dāng)故障持續(xù)30s后，故障等級為1并上報(bào)單體欠壓指示（RX_CellMinVolOverLimit=1），5s后切斷繼電器，測試結(jié)果8如圖所示：

當(dāng)單體最高和最低壓差大于0.5V且持續(xù)20s時(shí)，BMS將放電電流限制線性降為0，故障等級為2并上報(bào)單體不均衡故障指示（RX_BatVolBalanceFault=1)，測試結(jié)果如圖9所示：

4.2 總壓故障測試

總電壓直接通過高壓源進(jìn)行控制，當(dāng)BMS檢測到總壓過低或過高時(shí)，根據(jù)閾值判斷是否斷高壓。如圖所示，總壓（RX_BatTotalVol）大于380V且持續(xù)5s時(shí)，BMS將充電電流限制為0，故障等級為1并切斷高壓繼電器。

4.3 溫度故障測試

電池溫度仿真通過電壓信號模擬，電壓和溫度的對應(yīng)關(guān)系在IO模型中進(jìn)行配置，改變其中一個或多個溫度值，當(dāng)BMS檢測出最低溫度（RX_Cell Min Temp）或最高溫度（RX_CellMaxTemp）超出閾值，或兩個溫度之間溫差過大時(shí)，會進(jìn)入保護(hù)。如圖所示，當(dāng)溫差大于15℃且持續(xù)5s時(shí)，BMS上報(bào)故障等級為3并限制放電電流。

4.4 電流故障測試

通過機(jī)柜的電壓輸出通道來模擬真實(shí)霍爾電流傳感器檢測的電流值，電壓和電流的對應(yīng)關(guān)系在IO模型中定義，系統(tǒng)在放電時(shí)，放電電流（RX_BatDischrgTotalCurr）超過150A且持續(xù)15s，BMS僅發(fā)出三級故障提示。

綜上所述，通過用dSPACE的硬件在環(huán)測試系統(tǒng)可對電池系統(tǒng)中的電壓、電流、溫度等關(guān)鍵參數(shù)進(jìn)行實(shí)時(shí)修改，并監(jiān)控控制器故障觸發(fā)和恢復(fù)時(shí)的參數(shù)閾值以及總線發(fā)出的故障信號，能夠準(zhǔn)確地驗(yàn)證BMS針對不同故障下的保護(hù)策略。

5 結(jié)語

本文詳細(xì)論述了基于dSPACE的HIL仿真測試方案，從理論上闡述了測試系統(tǒng)和測試方案的可行性和必要性。通過搭建某BMS的HIL測試平臺，驗(yàn)證了BMS基于功能安全需求設(shè)計(jì)的故障保護(hù)策略。

利用dSPACEHIL平臺對控制器進(jìn)行驗(yàn)證不僅能夠節(jié)約成本，大大縮短ECU開發(fā)周期，而且能夠靈活地配置模型參數(shù)，實(shí)時(shí)地改變不同變量來模擬各種工況，并對不同工況下控制器及控制對象的運(yùn)行狀態(tài)進(jìn)行監(jiān)測，相比傳統(tǒng)的測試方法更具有優(yōu)越性。