非汽車BMS的功能安全設計
加入技術交流群
引言
中低壓電池的BMS結構通常由三個IC組成,如下所述:
● 電池監控器和保護器:也稱為模擬前端 (AFE),負責測量電池的電壓、電流和溫度,為電池提供第一級保護。
● 微控制器單元(MCU):MCU 處理來自電池監控器和保護器的數據,通常完成第二級保護,包括監控閾值。
● 電量計(FG):電量計是一個單獨的 IC,它可以提供充電狀態 (SOC)、健康狀況(SOH) 和剩余運行時間估算,以及其他用戶關心的電池參數。
圖 1 顯示了中低壓電池的完整 BMS 結構。其中電量計可以是獨立 IC,也可以嵌入 MCU。MCU 是 BMS 的核心元件,它從 AFE 和電量計處獲取信息,并與系統的其余部分進行交互。
圖1 BMS結構
除了這三個主要組件,BMS還需要考慮其他一些因素才能確保系統滿足特定行業所要求的安全級別。本文將解釋功能安全在非汽車電池管理系統中的作用以及如何達到所需的安全級別。
功能安全簡介
功能安全是整體安全系統的一個分支,其重點是降低電氣/電子 (E/E) 系統功能故障導致的危險事件,從而減低風險。功能安全的目標是確保剩余風險在可接受的范圍之內。
近年來,E/E 系統在汽車、機械、醫藥、工業和航空等不同領域中的應用越來越多,對功能安全的重視也隨之提升。這些變化也催生出不同的功能安全標準。
ISO 13849( “機械安全 - 控制系統的安全相關部分”)是一項重點關注機械領域控制系統 (SRP/CS) 安全相關部分的功能安全標準。從通用工業機械到輕便摩托車和電動自行車,機械領域中包含了廣泛的應用。ISO 13849 用性能級別 (PL)來定義不同的安全級別,范圍從 PLa(較低安全級別)到 PLe(較高安全級別)。該標準定義了風險評估及降低的準確流程,并提出了一種簡單的方法,基于三個參數來確定可實現的 PL,這三個參數包括:類別、平均危險故障時間(MTTFD)和平均診斷覆蓋率(DCAVG)。其中DCAVG是系統中所有安全措施對應的診斷覆蓋率的平均值。
類別是對SRP/CS 的分類,描述其對故障的抵抗力以及發生故障時的響應行為。共有 5 個類別(B、1、2、3 和 4)。
架構對類別的影響最大。SRP/CS 的基本架構由三個功能模塊組成:輸入、邏輯模塊和輸出(見圖 2)。針對類別 B 和類別 1 提出的架構被稱為“單通道”架構,如圖2所示。單通道架構被認為是實現 SRP/CS 標準功能的最基本架構,但它不提供任何診斷功能。類別 1 和 2 依靠其組件的可靠性 (MTTFD) 來確保安全功能的完整性。如果實現安全功能的組件發生故障,則無法保證進入安全狀態,因為根本沒有診斷功能(DCAVG = 0)。
圖2 ISO 13849基本架構
對于類別 2,建議采用“帶測試的單通道”架構。該架構基本與單通道架構相同,但增加了一個測試設備模塊,可用于診斷功能通道是否正常工作。當實現安全功能的組件出現故障時,不會執行安全功能;但如果測試設備診斷出故障,則可進入安全狀態。
對于類別 3 和類別 4,建議采用“冗余通道”架構。這種架構由兩個獨立的功能通道組成,每個通道都可以診斷另一個通道上的問題。當實現安全功能的組件出現故障時,安全功能仍可由另一個通道執行。設計人員應根據每個安全功能的目標安全級別來選擇 SRP/CS 類別。
逐步實現功能安全
ISO 13849 標準定義了一個迭代流程,通過該流程可以對 SRP/CS 設計進行評估以確定要實現的 PL,同時檢查該安全級別是否足夠或是否需要在新的循環中改進。流程中包含了三種不同的風險降低方法:通過安全設計措施降低風險、通過安全防護措施降低風險以及通過使用信息降低風險。ISO 13849 支持通過保護措施來降低風險(見圖 3)。
圖3 ISO 13849流程(安全防護)
安全防護流程從定義 SRP/CS 的安全功能開始,在進行風險分析后定義所需性能等級 (PLr)。PLr 是 每個安全功能的SRP/CS需要達到的目標 PL。
接下來需要根據特定的安全要求來設計 SRP/CS。這一步需要考慮可能的架構、要實施的安全措施,并最終確定 SRP/CS 的設計以執行相關安全功能。
SRP/CS設計完成之后,還要評估每個安全功能可實現的性能等級。這是整個安全防護流程的核心步驟。要評估可實現的 PL,先定義類別,然后計算每項安全功能的 SRP/CS 的MTTFD和DCAVG。
MTTFD是按通道計算的,它包含三個級別(見表 1)。
表1 通道MTTFD確定
| 級別 | 范圍 |
| 低 | 3年≤MTTFD<10年 |
| 中 | 10年≤MTTFD<30年 |
| 高 | 30年≤MTTFD<100年 |
表2顯示了定義每個診斷措施的診斷覆蓋率的四個級別。
表2 DC確定
| 級別 | 范圍 |
| 無 | DC<60% |
| 低 | 60%≤DC<90% |
| 中 | 90%≤DC<99% |
| 高 | 99%≤DC |
通過以下相關參數可以確定可實現的 PL(見表 3)。
表3 如何確定可實現的PL
| 類別 | B | 1 | 2 | 2 | 3 | 3 | 4 |
| DCAVG | 無 | 無 | 低 | 中 | 低 | 中 | 高 |
| 各通道的MTTFD | |||||||
| 低 | a | 未覆蓋 | a | b | b | c | 未覆蓋 |
| 中 | b | 未覆蓋 | b | c | c | d | 未覆蓋 |
| 高 | 未覆蓋 | c | c | d | d | d | e |
只有在設計中實施了標準定義的其余要求和分析后,才能確定可實現的 PL。這些要求必須符合系統故障管理、CCF 分析、安全原則和軟件開發(如適用)。
完成該流程之后,應針對所需PLr驗證SRP/CS為具體安全功能實現的PL。如果 PL < PLr,則應重新設計 SRP/CS,并重新開始 PL 評估過程。如果 PL ≥ PLr,則 SRP/CS 已達到所需的安全級別,需要執行驗證以確保通過測試正確運行。如果出現意外行為,則應重新設計 SRP/CS。針對每個安全功能,都要重復此流程。
根據具體市場來確定功能安全級別
電池供電設備的應用場景(市場)非常多。根據故障對人體和/或環境的危險程度不同,每個市場都有不同的功能安全規范要求。表 4 展示了部分主要市場的功能安全級別需求。請注意,這些級別還在不斷的變化中,并且可能因每個客戶的設計不同而異。
表4 根據市場確定PL
| 電動汽車 | 儲能 | 電動工具 | 機器人 | |
| 性能級別(PL) | PLc | PLc | PLb | PLc |
上述性能水平是能夠滿足當前市場期望的,但由于全球電池供電設備不斷出現問題,電動汽車和某些儲能應用可能會進入 PLd 級別。例如,儲能應用故障導致美國 ESS 設施發生火災;而在英國,超過190 人因電動自行車和電動滑板車故障引發的火災受傷,其中8 人死亡。
所有這些事故都可以通過更強大、更可靠的系統來預防。提高安全水平的需求不斷提升,擁有一個可以基于不同性能水平進行擴展的解決方案愈發重要。
MPS功能安全提案
MPS基于 MP279x 電池監視器和保護器系列,并結合MCU,提出了 ISO 13849 BMS 方案。該方案能夠讓一組特定的安全功能 (SF)達到 PLc 安全級別(見表 5)。PLr 的確定取決于具體風險分析和BMS應用,可能會有細微不同。
表5 BMS方案的安全功能
| SF ID | 安全功能描述 | 安全狀態 | PLr |
| SF1 | 防止電池單元過度充電 | 隔離電池,防止充電和放電 | PLc |
| SF2 | 防止電池過度充電 | ||
| SF3 | 防止電池單元充電不足 | ||
| SF4 | 防止電池充電不足 | ||
| SF5 | 防止電池充電過流故障 | ||
| SF6 | |||
| SF7 | 防止電池充電短路 | ||
| SF8 | |||
| SF9 | 檢測電池過溫 | ||
| SF10 |
MPS 提出的實現 PLc 的解決方案可滿足類別 2 或類別 3 的要求(具體取決于各安全功能的設計)。對于部分安全功能,系統僅采用單一輸入模塊;而對其他安全功能,則配置冗余輸入模塊。
圖 4 顯示了如何實現 SF2 和 SF4(防止電池組過度充電和充電不足)。
SRP/CS 的設計中有兩個邏輯模塊:電池監控器和保護器(logic 1)和 MCU(logic 2)。這些邏輯模塊用于診斷設計中不同部件的功能是否正常。
通過使用斷路器模塊(輸出 1)和自控保護器(輸出 2),輸出也被復制。
圖4 SF2 和SF4的實現
采用單輸入還是雙輸入取決于各場景的復雜性及成本。為確保單個輸入的安全功能符合 PLc,可以采取額外的安全措施來提高診斷能力;例如,進行電池電壓合理性檢查以驗證電池電壓測量是否準確。
結語
功能安全過去僅與汽車產品相關,但如今大多數現代市場都要求制造商遵守功能安全標準。非汽車市場最常用的安全標準是 ISO 13849,這是一種確保應用安全性和穩健性的系統級標準。MPS 提出的架構利用了每個 BMS 中已包含的有源組件,從而降低了附加成本。MPS 的電池監視器和保護器IC 系列均采用了這種架構,并經過了功能安全認證。
評論