基于HIL的电池管理系统功能安全测试研究

王浩淼，迟文波

（92228部队，北京 100072）

0 引言

近年来，随着新能源汽车技术的不断进步，汽车电子软硬件的复杂性逐渐提高，来自系统失效和随机硬件失效的风险也在日益增加，尤其是动力电池系统，涉及到高压和大电流，一旦发生故障，容易引起短路、爆炸、火灾等，造成巨大经济损失和人员伤亡，因此在软件架构中，需要重点针对故障保护策略进行分析和设计，这部分在ISO26262标准中定义了详细的流程。但在产品开发的后期测试阶段，传统的台架及实车测试已无法满足极限工况和特定的故障保护功能的测试需求。HIL测试通过半实物仿真设备模拟各种工况来验证控制器的功能逻辑，可以在实验室环境下安全并高效地对控制器进行测试，已成为整车研发过程中不可缺少的环节[1-3]。本文分析了电池系统组成和HIL测试方法，并通过dSPACEHIL测试平台验证了某BMS针对功能安全定义的不同故障保护策略。

1 电池系统结构

动力电池系统包括电池、高压继电器及BMS等部分，系统通过高压接口与外部充电装置及驱动装置相连接，低压接口包括唤醒信号、整车通讯、充电通讯以及电源等。电池系统结构如图1所示：

电池为车辆提供动力源，BMS实时监测电池的电压、电流、温度等状态，当车辆在充电或行驶过程中出现异常，BMS会根据故障等级不同执行相应的保护措施，同时将故障信号通过CAN通讯发送给整车控制器（VCU）或者仪表，以执行车辆动作或提醒用户[4]。

2 BMS功能安全故障保护策略

ISO26262标准（道路车辆功能安全标准）包括了汽车电子电气开发中与安全相关的所有应用，制定了汽车整个生命周期中与安全相关的所有活动。标准从需求开始，包括概念设计、软硬件设计、最后的生产、操作都提出了相应的功能安全要求，其覆盖了汽车整个生命周期，从而保证安全相关的电子产品的功能性失效不会造成危险的发生[5]。

如图2所示，在系统正常运行的时候，突然发生故障，系统安全机制检测到此故障后将系统置为安全状态。从故障发生到系统进入安全状态的时间为故障容错时间。

在功能安全概念阶段需要通过系统危害分析和风险评估得出ASIL等级，其中D为最高等级。得出安全等级后，需要设立安全目标，并提出相应的安全需求和安全机制[6]。某BMS故障检测及处理策略如表1所示：

表1 BMS故障保护策略（ASIL=B/C）

针对电压、温度、电流等相关故障判断，BMS一般会分为多个故障等级，当电池系统状态超过较低故障等级的阈值时，一般不会断开继电器及高压回路，仅做限流限功率或故障提示，此类故障ASIL等级为B或C；当检测值超过高故障等级阈值，如电池过充过放、热失控等极限故障，ASIL等级为D，如表2所示：

表2 BMS故障保护策略（ASIL=D）

ISO26262中定义了对于指定ASIL等级的软件安全需求测试方法，如表3所示，“+”表示推荐该方法，“++”表示高度推荐该方法。

表3 软件安全需求测试方法

基于网络环境和整车环境测试，只能覆盖到整车网络通信及系统层面测试，针对极限故障尤其是涉及到高压大电流工况，更多采用硬件在环仿真测试。

3 BMS硬件在环测试平台

3.1 硬件在环系统结构

dSPACE硬件在环测试系统按用户需求并应用Matlab/Simulink实现建模，根据数学模型和软件仿真验证控制系统的正确性。整个测试系统如图3所示，主要由测试机柜、仿真模型、被测控制器以及相关上位机软件组成[7]。测试机柜中有不同功能仿真板卡，通过板卡接口将仿真模型和真实控制器相连，同时可在上位机上实时调整参数来模拟各种极端工况，以测试控制器功能的正确性和稳定性。硬件在环测试已成为整车开发流程中必不可少的环节，在减少了实车路试及标定工作任务的同时，又缩短了开发周期，可以安全并高效地对控制器进行验证[8]。

3.2 系统硬件分配

HIL硬件系统包括待测BMS、dSPACE机柜组成，BMS分为主控和从控，从控将采集的电池电压和温度信息通过菊花链发送到主控，主控实现继电器控制、故障保护以及充放电控制等功能。机柜由主处理器、功能板卡和内部信号调理电路组成。主处理器对模型进行实时运算，并通过不同功能IO板卡和信号调理单元实现与控制器的交互，系统连接图如4所示。

根据待测BMS接口定义和特性，对机柜可用通道进行资源分配，如表4所示：

表4 HIL硬件资源分配

HIL机柜资源主要使用DS6101、DS2671和EV1077板卡。其中，DS6101为通用IO板卡，用于电源控制、温度和电流传感器模拟，以及数字信号的输出和采集。EV1077为电池电芯专用仿真板卡，输出精度为1mV，每个电芯通道可单独控制，机柜内部已将所有EV1077通道串联来模拟真实电池包。DS2671为总线板卡，用于CAN总线通讯测试，可以仿真及验证BMS的CAN报文和信号交互逻辑。

3.3 系统模型开发

HIL系统模型主要包括IO模型、电池模型和其他辅助模型，IO模型主要为机柜硬件接口和信号之间的匹配，电池模型通过参数配置，可以模拟真实电池包充放电、温度及SOC特性，辅助模型主要为与BMS交互的仿真逻辑模型，如VCU和充电机模型等。

系统模型开发和配置完成后，在Matlab中编译生成dSPACE目标处理器可识别的代码。

3.4 测试管理界面开发

ControlDesk是dSPACE公司开发的新一代集成实验和测试工具的软件，可实现对测试过程的综合管理。包括实时硬件及变量的可视化管理，即对机柜和模型进行操作。通过编辑不同控件属性，可实现测试界面的开发设计。通过在上位机导入模型编译生成的变量文件来对所需信号和参数进行实时操作[9]。

BMS测试界面主要包括机柜高低压上下电控制，以及BMS的状态及故障信息检测，如图6（a）所示。单体和温度控制界面包括所有电池单体和温度通道的控制及回采信息，如图6（b）所示。

4 测试结果分析

HIL机柜和BMS正常工作后，在上位机根据表1和表2触发不同ASIL等级和类型的故障，并实时监控BMS针对不同故障的保护及处理措施。

4.1 单体电压故障测试

在系统运行过程中，每个单体电压在电池模型中初始值为3.6V，通过改变其中一个或多个电压，来模拟单体过压、欠压、不均衡以及过充和过放工况。如图7所示，当单体最高电压（RX_CellMaxVol）达到4.3V且持续5s时，BMS将最大充电电流（RX_BatCur Permit Max Charge Cur）限制为0，最大放电电流（RX_Bat Cur Permit Max Discha Cur）线性降为0，并上报单体过压指示（RX_Cell MaxVol Over Limit=1）和故障等级（RX_Bat Fault Level=1），故障上报5s后切断高压继电器（RX_Cut Off Main Neg=1）。

当BMS检测到单体最低电压（RX_CellMinVol）达到2.7V且持续20s时，放电电流限制线性降为0，同时上报故障等级，当故障持续30s后，故障等级为1并上报单体欠压指示（RX_CellMinVolOverLimit=1），5s后切断继电器，测试结果8如图所示：

当单体最高和最低压差大于0.5V且持续20s时，BMS将放电电流限制线性降为0，故障等级为2并上报单体不均衡故障指示（RX_BatVolBalanceFault=1)，测试结果如图9所示：

4.2 总压故障测试

总电压直接通过高压源进行控制，当BMS检测到总压过低或过高时，根据阈值判断是否断高压。如图所示，总压（RX_BatTotalVol）大于380V且持续5s时，BMS将充电电流限制为0，故障等级为1并切断高压继电器。

4.3 温度故障测试

电池温度仿真通过电压信号模拟，电压和温度的对应关系在IO模型中进行配置，改变其中一个或多个温度值，当BMS检测出最低温度（RX_Cell Min Temp）或最高温度（RX_CellMaxTemp）超出阈值，或两个温度之间温差过大时，会进入保护。如图所示，当温差大于15℃且持续5s时，BMS上报故障等级为3并限制放电电流。

4.4 电流故障测试

通过机柜的电压输出通道来模拟真实霍尔电流传感器检测的电流值，电压和电流的对应关系在IO模型中定义，系统在放电时，放电电流（RX_BatDischrgTotalCurr）超过150A且持续15s，BMS仅发出三级故障提示。

综上所述，通过用dSPACE的硬件在环测试系统可对电池系统中的电压、电流、温度等关键参数进行实时修改，并监控控制器故障触发和恢复时的参数阈值以及总线发出的故障信号，能够准确地验证BMS针对不同故障下的保护策略。

5 结语

本文详细论述了基于dSPACE的HIL仿真测试方案，从理论上阐述了测试系统和测试方案的可行性和必要性。通过搭建某BMS的HIL测试平台，验证了BMS基于功能安全需求设计的故障保护策略。

利用dSPACEHIL平台对控制器进行验证不仅能够节约成本，大大缩短ECU开发周期，而且能够灵活地配置模型参数，实时地改变不同变量来模拟各种工况，并对不同工况下控制器及控制对象的运行状态进行监测，相比传统的测试方法更具有优越性。