摘要：锂电池的使用越来越多，电池管理系统（BMS）的必要集成导致国际标准对电动汽车应用的功能安全提出了要求，尤其是电动汽车。这项工作涵盖了从概念阶段到验证活动的功能安全增强型汽车BMS的完整设计。首先，对锂电池的内在危害进行了详细分析。其次，对汽车锂基电池进行危害和风险评估，以解决由汽车应用产生的特定风险，并确定要实现的安全目标。安全目标导致BMS从设备的下一个硬件设计和原型设计的技术安全要求。最后，评估BMS从设备的失效率，以验证所开发的增强型BMS从设备是否符合功能安全汽车安全完整性等级（ASIL）C。本文提供了符合ISO 26262汽车锂电池功能安全标准要求的BMS的设计方法。

原文作者：David Marcos，Maitane Garmendia，Jon Crego，José Antonio Cortajarena

编译：猿东东，猿西西

01. 简介

近年来，电动汽车市场不断增长，电动汽车保有量每两年翻一番。这种增长也推动了锂电池市场的增长，因为锂已成为汽车应用中存储能量的首选技术之一。随着这种增长，对锂电池的研究重点是提高其功率/能量密度和能力，以及其可靠性和安全性，以满足市场需求。

事实上，锂电池在其整个生命周期中可能会发生多种失效机制。因此，在电池组的设计、制造、调试、运行和退役过程中应执行特殊规定，以确保安全。其中，电池管理系统（BMS）是电子控制单元，负责在运行过程中对电池进行持续监控和保护，以避免任何电气和热管理的误操作。BMS必须可靠且安全，尽管情况并非总是如此。因此，市场和国际标准最近要求增强BMS设计，以支持更高的电池安全性。目前，最先进的BMS设计必须进行升级，以有助于提高电池安全性并走向更值得信赖的技术。

电池管理系统属于保护系统，因此应遵循以安全为导向的设计。在此框架中，提出了对BMS设计中应用的安全要求和方法的审查，并得到功能安全标准和电池安全标准的支持。本文提出了一种符合汽车锂电池功能安全要求的增强型BMS的V型设计方法（图 1）。

图1. 以安全为导向的设计方法

在多种设计和开发方法中，安全相关系统遵循的方法将完整性和安全性置于开发时间和成本之上。V型方法以及瀑布模型是一个顺序过程，需要完成每个活动才能进入下一个任务。然而，与瀑布模型不同的是，V型方法是一个迭代过程，这是确保设计过程中不犯错误所必需的。V型方法由五个阶段组成：概念阶段、规范、开发、验证以及生产和运营。虽然不被视为一个阶段，但安全管理活动必须存在于各个阶段，其中对产品生命周期的监管至关重要。此外，开发阶段被分解为硬件和软件开发，每个阶段都有自己的 V 形方法，包括规范、开发和验证。在V型的最下端，原型或版本得以实现。V型方法是迭代的，因为如果在验证、确认或生产阶段出现任何故障，项目可以分别返回到硬件/软件规范、系统级规范或概念阶段，以修正故障。所提出方法的目标是弥补最先进BMS设计中的空白，同时考虑各个方面的安全性。

作为该方法的第一步，第2节包括概念阶段，并介绍了汽车电池组中锂基电池的安全评估，从而分配BMS要实现的安全目标。作为该方法的第二步和第三步，第3节收集了源自这些安全目标的技术安全要求以及增强型BMS从设备（作为整体BMS的一部分）的最终设计。作为该方法的第四步也是最后一步，第4节描述了通过失效模式、影响和诊断分析对增强型BMS从设备的验证。最后，第5节总结了获得的结论。

02. 概念阶段：危害和风险评估以及安全目标分配

作为一般定义，安全目标是BMS必须实现的顶级目标，以确保锂电池的安全。它们源自对特定汽车应用研究的危害分析和风险评估，并且必须保持一致，以将风险控制在可接受的水平。汽车安全完整性等级 (ASIL) 是ISO 26262标准（汽车行业功能安全标准）定义的风险分类。它是IEC 61508标准（一般应用的功能安全标准）中使用的安全完整性等级 (SIL) 的衍生版。这种分类有助于定义前面提到的必要的风险降低。ASIL是通过在危害和风险评估中查看危害的可能性和后果来建立的。

该标准将必要的风险降低分为：ASIL A、ASIL B、ASIL C、ASIL D和QM（质量管理）。ASIL D规定了功能集成的最高安全要求，可以最大程度地降低风险，而ASIL A最低。归类为质量管理的风险必须经过定期的质量管理设计流程。

在接下来的子章节中，将对汽车应用的锂电池进行危害分析和风险评估。为此，对应用场景进行了简要描述，并考虑了锂电池的安全问题。该评估对已识别的风险进行分类并推断所需的ASIL。最后推导并分配安全目标。

2.1. 危害分析

锂基电池是纯电动汽车的主要能源。它是车辆牵引系统的一部分，有多个设备与其连接，包括负责控制它的BMS。图2描绘了电池电动汽车牵引系统的框图，该系统集成了高压 (HV) 锂基电池和低压 (LV) 铅酸电池。

图2.应用场景描述

BMS同时由BMS从设备（每个模块一个）、BMS主控制器和电源监控和断开单元 (PMDU) 组成。BMS从设备从电池收集监测数据并将其传输至 BMS主控制器。此外，BMS从设备还包括电池平衡电路。如果电池中的电池充电不均匀、它们的最大容量彼此不同、或者它们的电池内部或外部电路漏电流的差异都会导致电池不平衡。电池不平衡会导致电池过度充电和过度放电，并且还会阻止应用程序充分利用电池容量。因此，需要给BMS分配电池平衡电路和平衡算法来克服这个问题。BMS主控器处理BMS从控器发送的数据，并控制它们协调测量和执行平衡算法。BMS主控器还控制PMDU，PMDU用于保持与应用程序的电池连接和断开接触器以及保险丝和预充电电路。在蓄电池工作期间，BMS将蓄电池连接到牵引系统，并传输与蓄电池相关的数据。如果存在任何安全问题，BMS必须中断蓄电池电流。此外，BMS必须包括相关的电池参数估计算法，例如用于确定电池中剩余容量的电荷状态（SoC）、用于估计从寿命开始的容量衰减的健康状态（SoH）以及用于精确功率容量估计的功率状态（SoP）。这些先进的估计算法对于操作电池是必要的，并且有助于电池安全。

锂基电池存在本质安全问题。影响其安全性的主要参数是温度、电压、电流、机械损伤、制造污染，甚至串联电池的数量。这些参数界定了所谓的安全操作区域 (SOA)，其阈值因电池成分而异。当电池在SOA之外运行时，会发生二次反应，这会导致电池快速退化甚至引发火灾。

电池的电气和化学行为受温度影响很大。当电池暴露在60℃以上的温度下时，就会开始发生危险的二次反应。当电池温度升高到最高温度以上并且散热速率足以将其冷却时，它可以承受过热事件。然而，如果温度持续升高，可能会引发热失控。

热失控是放热反应产生的热量加速反应速率，进而增加热量产生速率的过程。热失控是一种导致电池塌陷的温度正反馈。首先分解固体电解质界面层。然后，阳极与电解质发生反应，隔膜熔化，电极分解，最后电解质分解。在热失控过程中，产生的气体会增加电池的内部压力。内部压力会导致电池破裂，释放出有毒气体、火灾和爆燃。当多个电池组合在一个模块中时，热失控可以通过热传递传播。此外，热失控还会在受影响的电池中产生内部短路，因此，它也可能传播到并联电池。当电池电压较高时以及电池阳极中存在锂沉积物时，热失控的起始温度会降低。当反应成分被消耗时，热失控事件结束。

另一方面，锂基电池的化学反应动力学在低温下会降低。在电池充电过程中，阳极中缓慢的锂插层和扩散会导致锂沉积。当电池在较低温度端进一步误用时，它们会以枝晶的形式生长锂沉积物，最终穿透隔膜并使电极内部短路（钛酸锂（LTO）型电池除外）。内部短路会大大增加电池的发热并导致受影响的电池热失控。低温下电池的功率能力会下降，最低温度限制是电解质冻结温度，通常低于-20℃，在该温度下电池无法循环。

锂电池发热的最大贡献者是电流。此外，电流也是电池老化的第二大因素。外部短路是电池过流的最大指数。此外，对于由锂金属阳极制成的电池，如Li-O2和Li-Sulfur电池，在高电流率下，在阳极中产生锂镀层。

关于电压，如果锂电池的端电压高于电池的最大电压，则锂电池会被过度充电。电池过度充电可能是由于电池内部存在过度充电或充电电流过大造成的。当电池充电时，锂离子和电子从阴极移动到阳极。当阴极的锂离子耗尽时就会发生过度充电。高氧化电位引起永久晶体变化后，阴极变得不稳定，导致阴极释放氧气，分解电解质。此外，阳极中锂离子的过度嵌入会导致锂镀层。在过度充电过程中，副反应会释放气体和热量，从而促进电池排气和起火。电池对过充的响应与过充电压、电流以及环境条件和电池成分有关，其中阴极是影响最大的成分。当由于电池过度充电而发生热失控时，由于存储了额外的能量，该事件变得更加危险。另一方面，低充电率下的小幅过度充电可以在不发生火灾的情况下克服，但对电池进行轻微且反复的过度充电最终将引发热失控。

在锂电池的过放电过程中，石墨阳极会脱锂，这会分解固体电解质中间层并释放CO和CO2气体。此外，铜集电器变得与高阳极电势不兼容，导致铜溶解。溶解的铜沉积在阳极表面，形成枝晶，有时会使电池短路。当电池过度放电时，由于电池能量较低，内部短路并不是很危险。然而，当电池充电时，内部短路的行为就像一个低值电阻器，会增加电池的温度，这可能导致热失控。如果过度放电期间没有发生短路，电池仍然可以工作并且可以充电。对电池进一步放电或连续过度放电会增加内部短路的可能性。过放电后，如果电池再充电，固体电解质界面可能会再生，但阳极电阻也会增加。此外，锂离子在固体电解质中间层的再生过程中被消耗，从而永久降低电池容量。

电池上的机械应力也可能导致内部短路，这可能是由于电池外壳的穿透或以振动或冲击的形式施加在电池上的重力。在这两种情况下，电极都是电连接的，使电池短路并在短时间内释放大量能量。此外，电极在电池工作期间不断膨胀和收缩。经过几次电和热循环后，电极可能会发生位移，如果设计和制造不当，可能会导致它们接触并短路。此外，在电池制造过程中，任何污染物都会污染电池。污染物可能沉积在电极中并以枝晶的形式生长，导致内部短路。

总之，“火灾、爆燃和气体”是与锂电池相关的固有危害。除此之外，“触电”和“功能丧失导致的车辆事故”也是高压电池应用于电动汽车时的其他潜在危害。

大多数与SOA之外的电池操作相关的误用事件都会导致与火灾、爆燃和气体排放相关的危害。电缆或PCB等局部组件过热也可能导致其着火。此外，锂基电池中通常使用的液体电解质含有有机溶剂（例如碳酸乙烯酯、二甲基碳酸酯、乙基甲基碳酸酯等）和锂盐（例如LiPF6、LiBF4或LiClO4）的混合物。如果电池泄漏电解质，它会与环境水分发生反应并生成具有高度刺激性的氢氟酸（HF）。电解质气体与空气混合时也会形成爆炸性混合物。

串联电池会增加最终电池的电压。高压电池存在电气风险，其带电部件和可触及部件之间的任何绝缘故障都可能导致触电和电弧形成。

最后，电池组实现电动汽车的基本功能。在关键情况下（例如在高速公路上高速行驶），任何电池组功能的丧失都可能导致事故。电池所实现的基本功能不仅限于供电和存储，还包括数据通信以及与连接设备的协调，因此必须确保这些功能。

2.2. 风险评估

风险评估包括列出已识别的危害及其原因、规划可用于预防或减轻危害的措施，以及评估风险以确定必要的风险降低措施。根据ISO 26262标准中建议的三个单独参数来评估风险：严重度 (S)、暴露度(E) 和可控度 (C)。每个参数都有不同的级别，以对其对评估的危害原因的风险的贡献进行定性分类。危害的严重程度分为四个级别，从S0（无伤害）到 S3（危及生命的伤害）。危害暴露度分为五个级别，从E0（不可信）到E4（非常有可能）。最后，危害的可控性也分为四个等级，从C0（一般可控）到C3（难以控制或不可控）。

通过表1中的风险图矩阵，从严重度、暴露和可控度参数推断出风险水平。风险图矩阵将可容忍风险和必要的风险降低联系起来，结果是适用于所评估原因的ASIL。S0、E0和C0的任何组合都会产生QM要求。当QM的要求适用时，风险通常很低，但决不能忽视。预防或控制风险原因的功能的设计和开发必须至少符合质量管理体系，如从ISO 9001或ISO/TS 16949标准指南中获得的质量管理体系。质量管理体系有助于防止错误和控制设计过程。至于ASIL A至D要求，除了质量管理体系外，ISO 26262还要求包括广泛的分析、流程和文件，以证明设计的功能具有适当的措施，可以在要求的范围内降低风险。

表1. ISO 26262 的风险图表矩

关于汽车锂基电池的风险评估，表2列出了所有已识别的危害及其部分原因。主要原因被分解为组件级别的原因，包括尽可能多的详细信息，以正确识别危害的根源。可以通过归纳或演绎得出所有原因和细节。归纳方法需要识别每种可能的失效原因并评估它是否会导致给定的危害。反过来，演绎方法是通过思考给定的危害如何产生并将原因分解为失效模式来实现的。然后，规划与E/E/PE系统无关的预防和缓解措施。预防措施旨在减少危害暴露，而缓解措施则试图在危害发生时降低其严重程度。

表2. 危害和风险分析（各个传播行的提取样本）

经过危害和风险分析后，表 3 评估了每个危害原因的风险。考虑到已计划的预防和缓解措施，分配严重度、暴露度和可控度参数及其基本原理。该分配是定性的，符合作者的判断以及给定的理由，前提是没有公开的定量数据来计算必要的风险降低。

表3. 风险评估

2.3. 安全目标定义

如果分配的非E/E/PE预防和缓解措施不充分，则为E/E/PE安全相关系统（即本例中的BMS）规划安全目标。安全目标 (SG) 列于表 4 中，并按表 3 中的原因进行分配。

表4. 安全目标定义

然后导出安全目标以满足安全要求、安全架构和诊断。规范和诊断的范围取决于指定的ASIL，例如，如果安全目标的ASIL被低估，则无法满足真正必要的风险降低，而高估ASIL可能会大大增加开发成本。

03. 开发阶段：功能/技术要求和设计

整体BMS需要满足表4的安全目标。它应与多达16个增强型BMS从属设备集成和通信。作为顶层规范的一部分，整体BMS必须遵循以下安全策略，以满足建立的安全目标。如果安全目标即将被违反，BMS必须引导电池进入安全状态。安全状态是指不会发生危害的运行状态。一般来说，当没有电流流过电池时，电池处于安全状态。这可以通过将电池与牵引系统断开或将牵引系统的充电和放电功率设置为零来实现。相反，当车辆高速时不应激活安全状态。除非情况紧急，即火灾迫在眉睫或已检测到，否则车辆必须进入紧急状态，直到车辆可以安全停车。为此，提出了三个错误类别：可容忍错误、严重错误和致命错误。可容忍错误必须仅在启动维护呼叫时被注意到，严重错误必须激活紧急状态，致命错误必须直接激活安全状态，而无需首先进入紧急状态。

因此，BMS必须检测到危害事件并在容错时间间隔内达到安全状态。增强型BMS的容错时间间隔为1秒。选择这个相对较长的时间是考虑到没有证据表明短时间、单一的滥用事件会导致热失控。与此同时，BMS必须定期扫描其资源，以发现与其他故障结合可能违反安全目标的故障。多次失效诊断的考虑时间为8小时或每次车辆充电前。

关于安全架构，图3显示了为整个BMS定义的简化架构。如图所示，BMS从设备直接由电池供电，而BMS主设备由12/24 V 低压 (LV) 电池供电。BMS主设备执行电流检测，测量电池总电压，监控高压电路的绝缘阻抗，参与高压互锁电路（HVIL），控制冗余电源开关以实现电池隔离和保护，并最终与外部电子控制单元（ECU）通信。

图3. 技术安全架构

高级估计算法，例如SoC、SoH和SoP，或内部短路检测算法，只要针对电池误用情况进行准确调整，它们就是非常理想的电池误用诊断方法。因此，它们应该分配给BMS主设备或外部ECU，如能源管理系统（EMS），或者在两者之间共享。如果BMS主设备中集成了高级估计算法，则应特别注意软件失效模式（例如，软错误或硬错误、边界外条件和堆栈溢出），并应考虑将其集成到单独的非安全关键处理器中。

增强型BMS从设备安全架构如图4所示。它由四个主要电路组成：电池测量和平衡、温度测量、通信和专用集成电路 (ASIC)。ASIC是一款最先进的现成电池管理IC，专为面向功能安全的应用而设计。所有接口均包含高频 (HF) 滤波器，以符合EMC标准。电池测量电路包括一个板载热敏电阻，用于监控电池平衡电路温度。温度测量电路包括NTC或PTC型传感器，并包括HF和LF滤波器以及使电阻值适应电压信号的调节电路。考虑可配置的温度测量，其中可以为每对温度输入选择单端冗余或差分模式。在环境噪声不允许安全运行的情况下，可以使用两者的组合，即单冗余模式和差分模式，以确保精度和安全性。通信电路提供电流隔离并包括电阻器末端以匹配特性阻抗。最后，ASIC必须具有针对硬件配置及其操作推荐的电源和外围组件。BMS从设备中的所有元件都与安全相关，以符合安全目标。

图4. 增强型 BMS从设备的技术安全架构

安全要求与图4中的架构一致，并描述了实现正在开发的元件的可行安全概念的详细功能和技术方面。表5收集了增强型BMS从设备最相关的技术安全要求。

表5. 增强型BMS从设备的技术安全要求

表5.续

最后，定义了适用的安全分析和措施。为此，安全机制源自失效模式和影响分析 (FMEA)。安全机制是旨在防止或检测所设计元件的硬件或软件中的失效的元件或功能。FMEA是一种归纳安全分析，可识别并描述系统中可能发生的失效。最后，必须讨论如何根据定义的安全机制来避免或检测失效。表6列出了根据技术安全架构和技术安全要求对增强型BMS从设备执行的FMEA的最相关条目。

因此，表7总结了最相关的所采用的安全机制。最先进的ASIC还包括多种内部安全机制，使其能够集成到面向功能安全的应用中。

表6. 增强型BMS从设备的失效模式和影响分析 (FMEA)

表6. 续

表7. 增强型BMS从设备的安全机制

根据所描述的要求、架构和安全机制，进行了增强型BMS从设备的设计。增强型BMS的原型如图5所示。

图5. 开发的增强型电池管理系统从设备原型符合功能安全ASIL C要求

04. 通过失效模式、影响和诊断分析进行验证

安全相关系统的验证过程不仅仅包括测试活动。在这项工作中，描述了通过失效模式、影响和诊断分析 (FMEDA) 进行验证。FMEDA是一种归纳安全分析，包括分析每个硬件组件的失效模式，并根据随机失效检查设计的适用性。进行此安全分析是为了突出电路漏洞并计算随机硬件失效率。执行FMEDA所遵循的程序如图6所示。该程序首先列出设计中的所有组件和计划的安全机制。得出每个组件的失效模式、失效率和失效率分布。此外，还评估了安全机制的诊断覆盖率。最后，分析了每个部件失效模式的影响。以下段落描述了完成FMEDA的后续程序的详细信息。

硬件随机失效率可以从可靠性数据源获得，也可以通过测试测量。然而，测量失效率需要对大量组件进行加速测试。由于组件制造商测量失效率的成本较高，因此它们大多从可靠性数据源获取。失效率以失效时间 (FIT) 表示，代表109 小时内预期的失效数量。每个组件的失效率与工作温度和负载曲线密切相关，为此必须首先指定任务曲线。较高的温度会降低组件的故障率。在本次分析中，考虑了40℃ 的工作温度，旨在覆盖非常苛刻的场景而不高估失效率。

对于安全相关组件的失效模式，必须对其进行分析以确定它们是否会违反安全目标。硬件失效模式可以在标准中找到，或者可以通过分析进行估计。前者是推荐的路线，但后者对于大多数集成电路或普通元件以外的情况可能是必要的。分析中使用了FMD-91和EN 50129标准，其中详细介绍了最常见组件的失效模式和失效率分布。尽管上述标准通常不用于汽车应用，但它们已被使用，因为它们提供了非常准确的失效模式分解。

诊断覆盖率是诊断的有效性，即可检测到的失效模式数量与总失效模式数量之比。诊断覆盖率表示给定组件或一组组件的可检测失效模式的百分比。安全机制可以通过其诊断覆盖率来降低检测到的危险失效的失效率。必须给出为每个安全机制选择的诊断覆盖范围的理由。

下一步是分析每个组件的每种失效模式。必须评估失效模式是否危险，以及它是否可能单独违反安全目标（单点故障），或与其他部件失效结合（多点故障）。为此，必须描述故障模式的影响。如果有安全机制来检测失效模式，则还必须提供检测的理由。因此，计算失效率时必须考虑诊断覆盖率。运行该过程后，每种失效模式的失效率可细分为：

. λt : 总失效率；每个与安全相关的失效模式都会影响总失效率。

.λs : 安全失效率；不危险的失效率的一小部分。

. λSP : 单点失效率；未检测到的危险失效对失效率的贡献。

.λRF : 残余失效率；失效率对检测到的故障的未发现百分比的贡献。

. λMP_L : 多点潜在失效率；检测到的多点故障的未覆盖百分比或未检测到的多点故障对失效率的贡献。

. λMP_DP : 多点检测失效率；失效率对检测到的多点故障的覆盖百分比的贡献。

图6. 实现FMEDA遵循的程序

通过建立最大失效率和故障指标来控制危险失效率。故障指标表示单点和多点危险失效率占总失效率的百分比。单点故障度量（SPFM）由（1）描述，它是检测或预防直接危险故障所包括的诊断和措施的适用性的指标。另一方面，潜在故障度量（LFM）由式（2）计算得出，类似地，它表示当一个或多个组件已经发生故障时可避免危险故障的程度。根据ISO 26262标准，ASIL C安全目标的SPFM目标为97%，而LFM目标为80%。

硬件失效概率指标(PMHF)是对满足给定安全目标的组件每小时发生失效的平均概率的估计。PMHF根据(3)计算，其中T寿命是以小时为单位的总应用寿命。PMHF必须针对完整的安全目标进行评估，并且必须低于ISO 26262标准给出的阈值。增强型BMS从设备的目标PMHF已确定为ASIL C安全目标（即 100 FIT）所需的总体PMHF的65%。反过来，整个PMHF的这一部分必须在全部串行化增强型BMS从设备之间共享。由于总共考虑了16个串行化增强型BMS从设备，因此每个增强型BMS从设备应具有4 FIT以下的PMHF。该PMHF目标是任意的，但已考虑BMS主设备的PHMF来确定，并且PMDU也应可实现以完成每个安全目标。

表8列出了获得的电压和温度监控的失效率、故障指标和PMHF。虽然可以针对每个单独的安全目标完成FMEDA，但我们采取了保守的方法，并且所提供的结果涵盖了所有BMS从设备适用的安全性 目标，前提是大多数子电路是通用的。根据获得的结果，增强型BMS从设备适合实现ASIL C安全目标。

表8. 在增强型BMS从设备的FMEDA中获得的失效率和故障指标

05. 结论

本文为电池管理系统(BMS)提供了一种符合ISO 26262标准、面向安全的设计和验证方法。对锂电池的安全问题进行了分析，以显示在汽车应用中使用电池的短期和长期危害。

危害和风险评估表明，动力电池的汽车BMS应至少满足ASIL C评级，以实现电池安全运行所需的风险降低。整个系统实现了安全架构，考虑了三子系统拓扑，由16个用于监控高压电池（高达1000 V）的BMS从设备、一个BMS主设备和一个电源监控和断开单元 (PMDU) 组成。大多数相关要求、预防和缓解措施以及安全机制均符合增强型BMS从设备的ASIL C要求。

最后，通过评估其失效率和故障指标来验证所提出的BMS从设备。增强型BMS从设备的失效率和故障指标通过失效模式、影响和诊断分析 (FMEDA)进行评估。将65个时间失效(FIT)的最大硬件失效概率指标(PMHF)分配给16个BMS从设备，同时将35个FIT的最大失效率分配给BMS主设备和PMDU，以实现ASIL C安全目标。此外，单点故障指标(SPFM)和潜在故障指标 (LFM) 必须分别高于97%和80%。描述了应用于FMEDA的方法，并将其应用于增强型BMS从设备，导致单个BMS从设备的 PMHF为 3.94 FIT，SPFM为99.1%，LFM为88%。因此，16个BMS从设备的PMHF为63.04 FIT，比65 FIT阈值提高了3%，证明了ASIL C功能以及基于所提出方法的设计的适用性。