非汽車BMS的功能安全設(shè)計(jì)

引言

中低壓電池的BMS結(jié)構(gòu)通常由三個(gè)IC組成，如下所述：

●   電池監(jiān)控器和保護(hù)器：也稱為模擬前端 (AFE)，負(fù)責(zé)測(cè)量電池的電壓、電流和溫度，為電池提供第一級(jí)保護(hù)。

●   微控制器單元(MCU)：MCU 處理來(lái)自電池監(jiān)控器和保護(hù)器的數(shù)據(jù)，通常完成第二級(jí)保護(hù)，包括監(jiān)控閾值。

●   電量計(jì)(FG)：電量計(jì)是一個(gè)單獨(dú)的 IC，它可以提供充電狀態(tài) (SOC)、健康狀況(SOH) 和剩余運(yùn)行時(shí)間估算，以及其他用戶關(guān)心的電池參數(shù)。

圖 1 顯示了中低壓電池的完整 BMS 結(jié)構(gòu)。其中電量計(jì)可以是獨(dú)立 IC，也可以嵌入 MCU。MCU 是 BMS 的核心元件，它從 AFE 和電量計(jì)處獲取信息，并與系統(tǒng)的其余部分進(jìn)行交互。

圖1 BMS結(jié)構(gòu)

除了這三個(gè)主要組件，BMS還需要考慮其他一些因素才能確保系統(tǒng)滿足特定行業(yè)所要求的安全級(jí)別。本文將解釋功能安全在非汽車電池管理系統(tǒng)中的作用以及如何達(dá)到所需的安全級(jí)別。

功能安全簡(jiǎn)介 

功能安全是整體安全系統(tǒng)的一個(gè)分支，其重點(diǎn)是降低電氣/電子 (E/E) 系統(tǒng)功能故障導(dǎo)致的危險(xiǎn)事件，從而減低風(fēng)險(xiǎn)。功能安全的目標(biāo)是確保剩余風(fēng)險(xiǎn)在可接受的范圍之內(nèi)。

近年來(lái)，E/E 系統(tǒng)在汽車、機(jī)械、醫(yī)藥、工業(yè)和航空等不同領(lǐng)域中的應(yīng)用越來(lái)越多，對(duì)功能安全的重視也隨之提升。這些變化也催生出不同的功能安全標(biāo)準(zhǔn)。

ISO 13849（ “機(jī)械安全 - 控制系統(tǒng)的安全相關(guān)部分”）是一項(xiàng)重點(diǎn)關(guān)注機(jī)械領(lǐng)域控制系統(tǒng) (SRP/CS) 安全相關(guān)部分的功能安全標(biāo)準(zhǔn)。從通用工業(yè)機(jī)械到輕便摩托車和電動(dòng)自行車，機(jī)械領(lǐng)域中包含了廣泛的應(yīng)用。ISO 13849 用性能級(jí)別 (PL)來(lái)定義不同的安全級(jí)別，范圍從 PLa（較低安全級(jí)別）到 PLe（較高安全級(jí)別）。該標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評(píng)估及降低的準(zhǔn)確流程，并提出了一種簡(jiǎn)單的方法，基于三個(gè)參數(shù)來(lái)確定可實(shí)現(xiàn)的 PL，這三個(gè)參數(shù)包括：類別、平均危險(xiǎn)故障時(shí)間（MTTFD）和平均診斷覆蓋率（DCAVG）。其中DCAVG是系統(tǒng)中所有安全措施對(duì)應(yīng)的診斷覆蓋率的平均值。

類別是對(duì)SRP/CS 的分類，描述其對(duì)故障的抵抗力以及發(fā)生故障時(shí)的響應(yīng)行為。共有 5 個(gè)類別（B、1、2、3 和 4）。

架構(gòu)對(duì)類別的影響最大。SRP/CS 的基本架構(gòu)由三個(gè)功能模塊組成：輸入、邏輯模塊和輸出（見(jiàn)圖 2）。針對(duì)類別 B 和類別 1 提出的架構(gòu)被稱為“單通道”架構(gòu)，如圖2所示。單通道架構(gòu)被認(rèn)為是實(shí)現(xiàn) SRP/CS 標(biāo)準(zhǔn)功能的最基本架構(gòu)，但它不提供任何診斷功能。類別 1 和 2 依靠其組件的可靠性 (MTTFD) 來(lái)確保安全功能的完整性。如果實(shí)現(xiàn)安全功能的組件發(fā)生故障，則無(wú)法保證進(jìn)入安全狀態(tài)，因?yàn)楦緵](méi)有診斷功能（DCAVG = 0）。

圖2 ISO 13849基本架構(gòu)

對(duì)于類別 2，建議采用“帶測(cè)試的單通道”架構(gòu)。該架構(gòu)基本與單通道架構(gòu)相同，但增加了一個(gè)測(cè)試設(shè)備模塊，可用于診斷功能通道是否正常工作。當(dāng)實(shí)現(xiàn)安全功能的組件出現(xiàn)故障時(shí)，不會(huì)執(zhí)行安全功能；但如果測(cè)試設(shè)備診斷出故障，則可進(jìn)入安全狀態(tài)。

對(duì)于類別 3 和類別 4，建議采用“冗余通道”架構(gòu)。這種架構(gòu)由兩個(gè)獨(dú)立的功能通道組成，每個(gè)通道都可以診斷另一個(gè)通道上的問(wèn)題。當(dāng)實(shí)現(xiàn)安全功能的組件出現(xiàn)故障時(shí)，安全功能仍可由另一個(gè)通道執(zhí)行。設(shè)計(jì)人員應(yīng)根據(jù)每個(gè)安全功能的目標(biāo)安全級(jí)別來(lái)選擇 SRP/CS 類別。

逐步實(shí)現(xiàn)功能安全 

ISO 13849 標(biāo)準(zhǔn)定義了一個(gè)迭代流程，通過(guò)該流程可以對(duì) SRP/CS 設(shè)計(jì)進(jìn)行評(píng)估以確定要實(shí)現(xiàn)的 PL，同時(shí)檢查該安全級(jí)別是否足夠或是否需要在新的循環(huán)中改進(jìn)。流程中包含了三種不同的風(fēng)險(xiǎn)降低方法：通過(guò)安全設(shè)計(jì)措施降低風(fēng)險(xiǎn)、通過(guò)安全防護(hù)措施降低風(fēng)險(xiǎn)以及通過(guò)使用信息降低風(fēng)險(xiǎn)。ISO 13849 支持通過(guò)保護(hù)措施來(lái)降低風(fēng)險(xiǎn)（見(jiàn)圖 3）。

圖3 ISO 13849流程（安全防護(hù)）

安全防護(hù)流程從定義 SRP/CS 的安全功能開(kāi)始，在進(jìn)行風(fēng)險(xiǎn)分析后定義所需性能等級(jí) (PLr)。PLr 是 每個(gè)安全功能的SRP/CS需要達(dá)到的目標(biāo) PL。

接下來(lái)需要根據(jù)特定的安全要求來(lái)設(shè)計(jì) SRP/CS。這一步需要考慮可能的架構(gòu)、要實(shí)施的安全措施，并最終確定 SRP/CS 的設(shè)計(jì)以執(zhí)行相關(guān)安全功能。

SRP/CS設(shè)計(jì)完成之后，還要評(píng)估每個(gè)安全功能可實(shí)現(xiàn)的性能等級(jí)。這是整個(gè)安全防護(hù)流程的核心步驟。要評(píng)估可實(shí)現(xiàn)的 PL，先定義類別，然后計(jì)算每項(xiàng)安全功能的 SRP/CS 的MTTFD和DCAVG。

MTTFD是按通道計(jì)算的，它包含三個(gè)級(jí)別（見(jiàn)表 1）。

表1 通道MTTFD確定

表2顯示了定義每個(gè)診斷措施的診斷覆蓋率的四個(gè)級(jí)別。

表2 DC確定

通過(guò)以下相關(guān)參數(shù)可以確定可實(shí)現(xiàn)的 PL（見(jiàn)表 3）。

表3 如何確定可實(shí)現(xiàn)的PL

只有在設(shè)計(jì)中實(shí)施了標(biāo)準(zhǔn)定義的其余要求和分析后，才能確定可實(shí)現(xiàn)的 PL。這些要求必須符合系統(tǒng)故障管理、CCF 分析、安全原則和軟件開(kāi)發(fā)（如適用）。

完成該流程之后，應(yīng)針對(duì)所需PLr驗(yàn)證SRP/CS為具體安全功能實(shí)現(xiàn)的PL。如果 PL < PLr，則應(yīng)重新設(shè)計(jì) SRP/CS，并重新開(kāi)始 PL 評(píng)估過(guò)程。如果 PL ≥ PLr，則 SRP/CS 已達(dá)到所需的安全級(jí)別，需要執(zhí)行驗(yàn)證以確保通過(guò)測(cè)試正確運(yùn)行。如果出現(xiàn)意外行為，則應(yīng)重新設(shè)計(jì) SRP/CS。針對(duì)每個(gè)安全功能，都要重復(fù)此流程。

根據(jù)具體市場(chǎng)來(lái)確定功能安全級(jí)別 

電池供電設(shè)備的應(yīng)用場(chǎng)景（市場(chǎng)）非常多。根據(jù)故障對(duì)人體和/或環(huán)境的危險(xiǎn)程度不同，每個(gè)市場(chǎng)都有不同的功能安全規(guī)范要求。表 4 展示了部分主要市場(chǎng)的功能安全級(jí)別需求。請(qǐng)注意，這些級(jí)別還在不斷的變化中，并且可能因每個(gè)客戶的設(shè)計(jì)不同而異。

表4 根據(jù)市場(chǎng)確定PL

上述性能水平是能夠滿足當(dāng)前市場(chǎng)期望的，但由于全球電池供電設(shè)備不斷出現(xiàn)問(wèn)題，電動(dòng)汽車和某些儲(chǔ)能應(yīng)用可能會(huì)進(jìn)入 PLd 級(jí)別。例如，儲(chǔ)能應(yīng)用故障導(dǎo)致美國(guó) ESS 設(shè)施發(fā)生火災(zāi)；而在英國(guó)，超過(guò)190 人因電動(dòng)自行車和電動(dòng)滑板車故障引發(fā)的火災(zāi)受傷，其中8 人死亡。

所有這些事故都可以通過(guò)更強(qiáng)大、更可靠的系統(tǒng)來(lái)預(yù)防。提高安全水平的需求不斷提升，擁有一個(gè)可以基于不同性能水平進(jìn)行擴(kuò)展的解決方案愈發(fā)重要。

MPS功能安全提案 

MPS基于 MP279x 電池監(jiān)視器和保護(hù)器系列，并結(jié)合MCU，提出了 ISO 13849 BMS 方案。該方案能夠讓一組特定的安全功能 (SF)達(dá)到 PLc 安全級(jí)別（見(jiàn)表 5）。PLr 的確定取決于具體風(fēng)險(xiǎn)分析和BMS應(yīng)用，可能會(huì)有細(xì)微不同。

表5 BMS方案的安全功能

MPS 提出的實(shí)現(xiàn) PLc 的解決方案可滿足類別 2 或類別 3 的要求（具體取決于各安全功能的設(shè)計(jì)）。對(duì)于部分安全功能，系統(tǒng)僅采用單一輸入模塊；而對(duì)其他安全功能，則配置冗余輸入模塊。

圖 4 顯示了如何實(shí)現(xiàn) SF2 和 SF4（防止電池組過(guò)度充電和充電不足）。

SRP/CS 的設(shè)計(jì)中有兩個(gè)邏輯模塊：電池監(jiān)控器和保護(hù)器（logic 1）和 MCU（logic 2）。這些邏輯模塊用于診斷設(shè)計(jì)中不同部件的功能是否正常。

通過(guò)使用斷路器模塊（輸出 1）和自控保護(hù)器（輸出 2），輸出也被復(fù)制。

圖4 SF2 和SF4的實(shí)現(xiàn)

采用單輸入還是雙輸入取決于各場(chǎng)景的復(fù)雜性及成本。為確保單個(gè)輸入的安全功能符合 PLc，可以采取額外的安全措施來(lái)提高診斷能力；例如，進(jìn)行電池電壓合理性檢查以驗(yàn)證電池電壓測(cè)量是否準(zhǔn)確。

結(jié)語(yǔ) 

功能安全過(guò)去僅與汽車產(chǎn)品相關(guān)，但如今大多數(shù)現(xiàn)代市場(chǎng)都要求制造商遵守功能安全標(biāo)準(zhǔn)。非汽車市場(chǎng)最常用的安全標(biāo)準(zhǔn)是 ISO 13849，這是一種確保應(yīng)用安全性和穩(wěn)健性的系統(tǒng)級(jí)標(biāo)準(zhǔn)。MPS 提出的架構(gòu)利用了每個(gè) BMS 中已包含的有源組件，從而降低了附加成本。MPS 的電池監(jiān)視器和保護(hù)器IC 系列均采用了這種架構(gòu)，并經(jīng)過(guò)了功能安全認(rèn)證。