在

 ISO 26262 安全标准范围内，如 BMS 等特定的电气和电子系统将被归类为从 ASIL 

C 至 ASIL D 的高安全类别。与之对应的故障检测率至少为 97% 至 99%。电池系统中最危险
的故障来源有：因电缆磨损或事故而导致车辆底盘出现高电压漏电而未被发现；各种引起
高电压电池起火或爆炸的原因：例如对电池过度充电（例如在公用电网上或因停电恢复引
起）、电池过早老化（例如爆炸性气体泄漏）、液体进入和短路（例如因雨水引起）、滥用
（例如维修不当）和热管理错误（例如冷却失效）等。

　　在安全方面，主开关（主继电器）在避免与高电压相关的事故中起到了重要的作用，
它可确保

 BMS 电子系统能够作出充分的故障反应。发生故障时，BMS 模块会在适当的故障

反应时间内断开开关（例如

 10ms 以内）。非关键故障安全条件的特征通常是：如果 BMS 

微控制器

 （MCU） 失效，甚至在控制器逻辑完全失效的情况下，独立的外部安全元件

（例如窗口看门狗）仍可确保主开关继电器可靠地打开逆变器（正

/负）的两个高电压触点。

BMS 系统中还集成了其他安全功能，包括漏电电流监控和主开关继电器监控。

　　控制和监控功能：

　　其他

 BMS 功能包括对电动汽车中昂贵的高电压电池的监控、保养和维护。BMS 控制和

监控功能来源于安装于电池包中的电子平衡单元。管理各个电池组内（

battery slave pack）

的平衡，同时精确地感测各个单电池的电压。平衡芯片通常可管理多达

 12 个单电池组成的

群组。相关数量的电池群组串联后可产生高达数百伏的高中间电路电压以供逆变器控制之用，
这是电动汽车的逆变器电驱动所必需的。

　　位于主开关对所有高电压电池的总电流的测量，以及从芯片对各个单电池电压的单电
池精确同步监控，

BMS 可使用特定算法（例如，基于电池化学 Matlab Simulink 模型）评

估充电状态及健康状态等电池参数。

BMS 通常不会安装在非常靠近高电压电池的位置，但

是通常会通过冗余的流电去耦总线系统（比如

 CAN 或其他适合的差分总线）与电子平衡

从动元件相连接。它由汽车电压（

12 伏电池）供电，因此可通过现有的网络架构与现有的

控制单元群组结合使用，无需进一步的流电去耦措施。最后，它还改善了安全性，因为它让

 

BMS 能够在高电压电池发生机构或化学缺陷时确保功能正常并且安全地断开主开关。

　　随着电池专用的化学

/电气算法日益复杂，预计 BMS 将需要使用拥有 2.5MB 至 4MB 

闪存和强大的多核处理器架构的

 AURIX 等微控制器 （MCU）。这种组合可以保证有足够

的内存用于全面校准参数并提供足够的计算能力（图

 2）。