非汽車(chē)BMS的功能安全設計

引言

中低壓電池的BMS結構通常由三個(gè)IC組成，如下所述：

●   電池監控器和保護器：也稱(chēng)為模擬前端 (AFE)，負責測量電池的電壓、電流和溫度，為電池提供第一級保護。

●   微控制器單元(MCU)：MCU 處理來(lái)自電池監控器和保護器的數據，通常完成第二級保護，包括監控閾值。

●   電量計(FG)：電量計是一個(gè)單獨的 IC，它可以提供充電狀態(tài) (SOC)、健康狀況(SOH) 和剩余運行時(shí)間估算，以及其他用戶(hù)關(guān)心的電池參數。

圖 1 顯示了中低壓電池的完整 BMS 結構。其中電量計可以是獨立 IC，也可以嵌入 MCU。MCU 是 BMS 的核心元件，它從 AFE 和電量計處獲取信息，并與系統的其余部分進(jìn)行交互。

圖1 BMS結構

除了這三個(gè)主要組件，BMS還需要考慮其他一些因素才能確保系統滿(mǎn)足特定行業(yè)所要求的安全級別。本文將解釋功能安全在非汽車(chē)電池管理系統中的作用以及如何達到所需的安全級別。

功能安全簡(jiǎn)介 

功能安全是整體安全系統的一個(gè)分支，其重點(diǎn)是降低電氣/電子 (E/E) 系統功能故障導致的危險事件，從而減低風(fēng)險。功能安全的目標是確保剩余風(fēng)險在可接受的范圍之內。

近年來(lái)，E/E 系統在汽車(chē)、機械、醫藥、工業(yè)和航空等不同領(lǐng)域中的應用越來(lái)越多，對功能安全的重視也隨之提升。這些變化也催生出不同的功能安全標準。

ISO 13849（ “機械安全 - 控制系統的安全相關(guān)部分”）是一項重點(diǎn)關(guān)注機械領(lǐng)域控制系統 (SRP/CS) 安全相關(guān)部分的功能安全標準。從通用工業(yè)機械到輕便摩托車(chē)和電動(dòng)自行車(chē)，機械領(lǐng)域中包含了廣泛的應用。ISO 13849 用性能級別 (PL)來(lái)定義不同的安全級別，范圍從 PLa（較低安全級別）到 PLe（較高安全級別）。該標準定義了風(fēng)險評估及降低的準確流程，并提出了一種簡(jiǎn)單的方法，基于三個(gè)參數來(lái)確定可實(shí)現的 PL，這三個(gè)參數包括：類(lèi)別、平均危險故障時(shí)間（MTTFD）和平均診斷覆蓋率（DCAVG）。其中DCAVG是系統中所有安全措施對應的診斷覆蓋率的平均值。

類(lèi)別是對SRP/CS 的分類(lèi)，描述其對故障的抵抗力以及發(fā)生故障時(shí)的響應行為。共有 5 個(gè)類(lèi)別（B、1、2、3 和 4）。

架構對類(lèi)別的影響最大。SRP/CS 的基本架構由三個(gè)功能模塊組成：輸入、邏輯模塊和輸出（見(jiàn)圖 2）。針對類(lèi)別 B 和類(lèi)別 1 提出的架構被稱(chēng)為“單通道”架構，如圖2所示。單通道架構被認為是實(shí)現 SRP/CS 標準功能的最基本架構，但它不提供任何診斷功能。類(lèi)別 1 和 2 依靠其組件的可靠性 (MTTFD) 來(lái)確保安全功能的完整性。如果實(shí)現安全功能的組件發(fā)生故障，則無(wú)法保證進(jìn)入安全狀態(tài)，因為根本沒(méi)有診斷功能（DCAVG = 0）。

圖2 ISO 13849基本架構

對于類(lèi)別 2，建議采用“帶測試的單通道”架構。該架構基本與單通道架構相同，但增加了一個(gè)測試設備模塊，可用于診斷功能通道是否正常工作。當實(shí)現安全功能的組件出現故障時(shí)，不會(huì )執行安全功能；但如果測試設備診斷出故障，則可進(jìn)入安全狀態(tài)。

對于類(lèi)別 3 和類(lèi)別 4，建議采用“冗余通道”架構。這種架構由兩個(gè)獨立的功能通道組成，每個(gè)通道都可以診斷另一個(gè)通道上的問(wèn)題。當實(shí)現安全功能的組件出現故障時(shí)，安全功能仍可由另一個(gè)通道執行。設計人員應根據每個(gè)安全功能的目標安全級別來(lái)選擇 SRP/CS 類(lèi)別。

逐步實(shí)現功能安全 

ISO 13849 標準定義了一個(gè)迭代流程，通過(guò)該流程可以對 SRP/CS 設計進(jìn)行評估以確定要實(shí)現的 PL，同時(shí)檢查該安全級別是否足夠或是否需要在新的循環(huán)中改進(jìn)。流程中包含了三種不同的風(fēng)險降低方法：通過(guò)安全設計措施降低風(fēng)險、通過(guò)安全防護措施降低風(fēng)險以及通過(guò)使用信息降低風(fēng)險。ISO 13849 支持通過(guò)保護措施來(lái)降低風(fēng)險（見(jiàn)圖 3）。

圖3 ISO 13849流程（安全防護）

安全防護流程從定義 SRP/CS 的安全功能開(kāi)始，在進(jìn)行風(fēng)險分析后定義所需性能等級 (PLr)。PLr 是 每個(gè)安全功能的SRP/CS需要達到的目標 PL。

接下來(lái)需要根據特定的安全要求來(lái)設計 SRP/CS。這一步需要考慮可能的架構、要實(shí)施的安全措施，并最終確定 SRP/CS 的設計以執行相關(guān)安全功能。

SRP/CS設計完成之后，還要評估每個(gè)安全功能可實(shí)現的性能等級。這是整個(gè)安全防護流程的核心步驟。要評估可實(shí)現的 PL，先定義類(lèi)別，然后計算每項安全功能的 SRP/CS 的MTTFD和DCAVG。

MTTFD是按通道計算的，它包含三個(gè)級別（見(jiàn)表 1）。

表1 通道MTTFD確定

表2顯示了定義每個(gè)診斷措施的診斷覆蓋率的四個(gè)級別。

表2 DC確定

通過(guò)以下相關(guān)參數可以確定可實(shí)現的 PL（見(jiàn)表 3）。

表3 如何確定可實(shí)現的PL

只有在設計中實(shí)施了標準定義的其余要求和分析后，才能確定可實(shí)現的 PL。這些要求必須符合系統故障管理、CCF 分析、安全原則和軟件開(kāi)發(fā)（如適用）。

完成該流程之后，應針對所需PLr驗證SRP/CS為具體安全功能實(shí)現的PL。如果 PL < PLr，則應重新設計 SRP/CS，并重新開(kāi)始 PL 評估過(guò)程。如果 PL ≥ PLr，則 SRP/CS 已達到所需的安全級別，需要執行驗證以確保通過(guò)測試正確運行。如果出現意外行為，則應重新設計 SRP/CS。針對每個(gè)安全功能，都要重復此流程。

根據具體市場(chǎng)來(lái)確定功能安全級別 

電池供電設備的應用場(chǎng)景（市場(chǎng)）非常多。根據故障對人體和/或環(huán)境的危險程度不同，每個(gè)市場(chǎng)都有不同的功能安全規范要求。表 4 展示了部分主要市場(chǎng)的功能安全級別需求。請注意，這些級別還在不斷的變化中，并且可能因每個(gè)客戶(hù)的設計不同而異。

表4 根據市場(chǎng)確定PL

上述性能水平是能夠滿(mǎn)足當前市場(chǎng)期望的，但由于全球電池供電設備不斷出現問(wèn)題，電動(dòng)汽車(chē)和某些儲能應用可能會(huì )進(jìn)入 PLd 級別。例如，儲能應用故障導致美國 ESS 設施發(fā)生火災；而在英國，超過(guò)190 人因電動(dòng)自行車(chē)和電動(dòng)滑板車(chē)故障引發(fā)的火災受傷，其中8 人死亡。

所有這些事故都可以通過(guò)更強大、更可靠的系統來(lái)預防。提高安全水平的需求不斷提升，擁有一個(gè)可以基于不同性能水平進(jìn)行擴展的解決方案愈發(fā)重要。

MPS功能安全提案 

MPS基于 MP279x 電池監視器和保護器系列，并結合MCU，提出了 ISO 13849 BMS 方案。該方案能夠讓一組特定的安全功能 (SF)達到 PLc 安全級別（見(jiàn)表 5）。PLr 的確定取決于具體風(fēng)險分析和BMS應用，可能會(huì )有細微不同。

表5 BMS方案的安全功能

MPS 提出的實(shí)現 PLc 的解決方案可滿(mǎn)足類(lèi)別 2 或類(lèi)別 3 的要求（具體取決于各安全功能的設計）。對于部分安全功能，系統僅采用單一輸入模塊；而對其他安全功能，則配置冗余輸入模塊。

圖 4 顯示了如何實(shí)現 SF2 和 SF4（防止電池組過(guò)度充電和充電不足）。

SRP/CS 的設計中有兩個(gè)邏輯模塊：電池監控器和保護器（logic 1）和 MCU（logic 2）。這些邏輯模塊用于診斷設計中不同部件的功能是否正常。

通過(guò)使用斷路器模塊（輸出 1）和自控保護器（輸出 2），輸出也被復制。

圖4 SF2 和SF4的實(shí)現

采用單輸入還是雙輸入取決于各場(chǎng)景的復雜性及成本。為確保單個(gè)輸入的安全功能符合 PLc，可以采取額外的安全措施來(lái)提高診斷能力；例如，進(jìn)行電池電壓合理性檢查以驗證電池電壓測量是否準確。

結語(yǔ) 

功能安全過(guò)去僅與汽車(chē)產(chǎn)品相關(guān)，但如今大多數現代市場(chǎng)都要求制造商遵守功能安全標準。非汽車(chē)市場(chǎng)最常用的安全標準是 ISO 13849，這是一種確保應用安全性和穩健性的系統級標準。MPS 提出的架構利用了每個(gè) BMS 中已包含的有源組件，從而降低了附加成本。MPS 的電池監視器和保護器IC 系列均采用了這種架構，并經(jīng)過(guò)了功能安全認證。