基于ISO26262的恩智浦BMS安全解决方案

45/65等，可使系统安全等级达到ASIL-B。另外，单个S32K14x达到ASIL-B等级，通过软硬件冗余设计也能使系统达到更高的安全等级ASIL-C。

图4 恩智浦BMS CAN网络解决方案

需要指出的是，在恩智浦公司，所有按照ISO26262标准开发的器件，都被囊括在恩智浦的SafeAssure计划里。SafeAssure 保证开发的产品符合ISO26262标准，并提供必要的支持，提供功能安全相关的文档，如Safety Manual 和FMEDA等，Safety Manual详细阐述了芯片所采用安全机制，并 指导用户如何使用芯片可以达到比较高的安全性等级。FMEDA展示了芯片失效模型、失效概率和诊断分析等，客户可根据具体应用需求对FMEDA进行裁剪。

四、恩智浦高性能、高安全性的微控制器

1. 基于Power Architecture的MPC574xP

MPC574xP具有延迟锁步核（lock step），可运行在200MHz，两个核执行同样的代码，输出结果进行比较，如果发现不匹配，可以触发系统的安全机制，通知用户有异常发生，并作出相应处理。MPC574xP具有很多的安全特性，针对电源和时钟的功能是否正常，内部有专门的监控电路。针对Flash 和RAM，有ECC保证读写数据的正确性。针对ADC，有BIST（Build In Self Test）自检电路验证ADC的逻辑。特别要提到的是MPC574xP具有FCCU单元，该单元收集所有其他模块在运行过程中产生的异常事件，并提交给MCU 内核做处理。

实际上，MPC574xP不仅仅可运用在BMS领域，任何对安全要求很严格的应用都可以采用MPC574xP，如新能源汽车电机控制、EPS（电子助力转向系统）、刹车、安全气囊和汽车底盘应用等。

2. 基于Power Architecture的MPC574xR

MPC574xR系列MCU特点与MPC574xP系列类似，安全等级满足ISO26262 ASIL-D，不同的是除了MPC5743R（内部只有锁步核），MPC5745/6R提供了锁步核的同时，还提供了另外一个独立的内核，这个内核可单独运行其他程序，该系列MCU提供了更高的性能。

3. 基于AMR Cortex M4的S32K14x

S32K14x系列MCU提供极强的性价比，同时具有较高的安全等级，满足ISO 26262 ASIL-B。该系列MCU最大运行频率112 MHz，带有SFPU，基于修改的Harvard架构，支持紧密耦合的RAM和4 KB I/D缓存，支持SHE规范的硬件安全引擎，内置48 MHz RC （IRC）振荡器，支持CAN FD，利用FlexIO可仿真通信协议，如SPI、UART等。

4. 模拟前端电池控制器MC33771

MC33771满足ISO2626 ASIL-C，工作电压范围9.6 V ≤ VPWR ≤ 61.6 V，70 V瞬态电压，支持7-14节电池，7个ADC/IO/温度传感器输入，支持14通道300mA板载被动均衡。

五、总结
功能安全是未来汽车电子行业的趋势，也是恩智浦BMS方案的优势，恩智浦能够提供BMS的全套解决方案，帮助客户简化功能安全设计，使BMS产品符合ISO26262标准。