如何重新定義電動(dòng)汽車(chē)電池管理系統

　　無(wú)論是簡(jiǎn)單的充電控制器還是復雜的控制單元，對于電池管理系統 （BMS） 的需求都在迅速增長(cháng)，尤其是電動(dòng)汽車(chē)領(lǐng)域。除了傳統的充電狀態(tài)監控外，BMS 系統還必須遵守日益嚴格的安全法規，注重控制和待機功能、熱管理和用于保護 OEM 車(chē)廠(chǎng)電池的加密算法。未來(lái)，甚至車(chē)輛控制單元 （VCU） 的部件和功能也會(huì )與 BMS 相關(guān)聯(lián)。

　　
圖1 配備所有相關(guān)部件的電動(dòng)汽車(chē)電池管理系統 （BMS）

　　未來(lái)，BMS 將在電動(dòng)汽車(chē)領(lǐng)域發(fā)揮重要作用。然而 BMS 的各個(gè)子功能往往由 OEM車(chē)廠(chǎng) 定制，會(huì )因系統配置不同而存在很大差異。因此，不可能制定出適用于每一個(gè)電動(dòng)汽車(chē)制造商的完整的 BMS 要求列表。然而，電池管理系統處理的任務(wù)范圍不斷擴大，這一事實(shí)毋庸置疑。BMS 最常見(jiàn)的要求包括安全要求、控制和監控功能、待機功能、熱管理、加密算法和預留可擴展接口增加新功能。

　　安全要求

　　在 ISO 26262 安全標準范圍內，如 BMS 等特定的電氣和電子系統將被歸類(lèi)為從 ASIL C 至 ASIL D 的高安全類(lèi)別。與之對應的故障檢測率至少為 97% 至 99%。電池系統中最危險的故障來(lái)源有：因電纜磨損或事故而導致車(chē)輛底盤(pán)出現高電壓漏電而未被發(fā)現；各種引起高電壓電池起火或爆炸的原因：例如對電池過(guò)度充電（例如在公用電網(wǎng)上或因停電恢復引起）、電池過(guò)早老化（例如爆炸性氣體泄漏）、液體進(jìn)入和短路（例如因雨水引起）、濫用（例如維修不當）和熱管理錯誤（例如冷卻失效）等。

　　在安全方面，主開(kāi)關(guān)（主繼電器）在避免與高電壓相關(guān)的事故中起到了重要的作用，它可確保 BMS 電子系統能夠作出充分的故障反應。發(fā)生故障時(shí)，BMS 模塊會(huì )在適當的故障反應時(shí)間內斷開(kāi)開(kāi)關(guān)（例如 10ms 以?xún)龋?。非關(guān)鍵故障安全條件的特征通常是：如果 BMS 微控制器 （MCU） 失效，甚至在控制器邏輯完全失效的情況下，獨立的外部安全元件（例如窗口看門(mén)狗）仍可確保主開(kāi)關(guān)繼電器可靠地打開(kāi)逆變器（正/負）的兩個(gè)高電壓觸點(diǎn)。BMS 系統中還集成了其他安全功能，包括漏電電流監控和主開(kāi)關(guān)繼電器監控。

　　控制和監控功能：

　　其他 BMS 功能包括對電動(dòng)汽車(chē)中昂貴的高電壓電池的監控、保養和維護。BMS 控制和監控功能來(lái)源于安裝于電池包中的電子平衡單元。管理各個(gè)電池組內（battery slave pack）的平衡，同時(shí)精確地感測各個(gè)單電池的電壓。平衡芯片通?？晒芾矶噙_ 12 個(gè)單電池組成的群組。相關(guān)數量的電池群組串聯(lián)后可產(chǎn)生高達數百伏的高中間電路電壓以供逆變器控制之用，這是電動(dòng)汽車(chē)的逆變器電驅動(dòng)所必需的。

　　位于主開(kāi)關(guān)對所有高電壓電池的總電流的測量，以及從芯片對各個(gè)單電池電壓的單電池精確同步監控，BMS 可使用特定算法（例如，基于電池化學(xué) Matlab Simulink 模型）評估充電狀態(tài)及健康狀態(tài)等電池參數。BMS 通常不會(huì )安裝在非?？拷唠妷弘姵氐奈恢?，但是通常會(huì )通過(guò)冗余的流電去耦總線(xiàn)系統（比如 CAN 或其他適合的差分總線(xiàn)）與電子平衡從動(dòng)元件相連接。它由汽車(chē)電壓（12 伏電池）供電，因此可通過(guò)現有的網(wǎng)絡(luò )架構與現有的控制單元群組結合使用，無(wú)需進(jìn)一步的流電去耦措施。最后，它還改善了安全性，因為它讓 BMS 能夠在高電壓電池發(fā)生機構或化學(xué)缺陷時(shí)確保功能正常并且安全地斷開(kāi)主開(kāi)關(guān)。

　　隨著(zhù)電池專(zhuān)用的化學(xué)/電氣算法日益復雜，預計 BMS 將需要使用擁有 2.5MB 至 4MB 閃存和強大的多核處理器架構的 AURIX 等微控制器 （MCU）。這種組合可以保證有足夠的內存用于全面校準參數并提供足夠的計算能力（圖 2）。

　　
圖2 帶 2.45MB 至 4MB 閃存 TriCore 多核架構 AURIX 微控制器框圖

　　待機功能：

　　電動(dòng)汽車(chē)制造商傾向于定期監視電池組和各個(gè)單電池的充電狀態(tài)。因此，BMS 必須提供專(zhuān)門(mén)的低功耗待機功能，該功能僅需要 μA 級極小的 MCU 功耗且能夠借助定時(shí)器快速喚醒系統，例如，在 BMS 激活模式下通過(guò)平衡芯片記錄特定的單電池數據。為借助喚醒定時(shí)器實(shí)現 BMS 的循環(huán)喚醒，AURIX 微控制器有多個(gè)型號均在獨立的低功耗域內（在同一芯片上）集成了一個(gè) 8 位單片待機 MCU。

　　熱管理：

　　出于設計原因，高電壓電池模塊通常包含主動(dòng)熱管理，比如用于冬季的加熱器和用于夏季的冷卻系統。這些可通過(guò)風(fēng)冷或水冷實(shí)現。在這兩種情況下，BMS 均用于感測電池的相關(guān)溫度數據和主動(dòng)執行及控制散熱器（例如，風(fēng)扇電機或水泵）。AURIX 微控制器具有內置的ADC采樣器和多種定時(shí)器功能，可勝任此任務(wù)。

　　加密算法：

　　應避免電動(dòng)汽車(chē)的原裝 OEM 電池受未經(jīng)授權的第三方維修。更換電池群組中的單電池或組裝從廢舊電池上拆卸的個(gè)別零部件，會(huì )掩蓋與安全相關(guān)的故障甚至是爆炸或火災危險跡象。為保證車(chē)廠(chǎng)確認電池保修的正常性 ，英飛凌的 Origa 芯片等適當的保護模塊應直接安裝于各個(gè)單電池群組。同時(shí)，在 MCU 中集成硬件安全模塊 （HSM） 構成的電池個(gè)體數據邏輯保護可作為一種低成本的備選方案。

　　在這種情況下，由于電池可控制這些參數并將它們存儲于受 HSM 保護的安全數據存儲器，AURIX 中的 HSM 可有效檢測上述電池的各個(gè)參數。例如，在使用壽命方面，通過(guò)這種方式將各個(gè)單電池狀態(tài)存儲為 AES 加密檔案，如此可基于此數據檢測未經(jīng)授權的各個(gè)單電池更換。我們可以將典型的電池群組檔案比作一個(gè)指紋，其唯一性將有利于檢測存在更換的群組。加密算法的另一個(gè)應用領(lǐng)域是負責監控和對比由外部供應商計算的充電量與由 BMS 實(shí)際測量所得的充電量。

　　未來(lái)的任務(wù)：

　　根據制造商選擇的電動(dòng)汽車(chē)特定電子拓撲結構，目前已有高階驅動(dòng)策略的逆變器控制單元和獨立的整車(chē)控制單元，即 VCU。同時(shí)還有整個(gè)轉矩控制系統，這些系統還具有其它高級功能，如智能電源管理器等。電源處理器（通過(guò)集成的導航單元）將駕車(chē)路線(xiàn)規劃涵蓋在內，可根據具體路線(xiàn)優(yōu)化整個(gè)電源系統，因此有助于增加電池的行駛距離范圍。

　　獨立的 OEM 廠(chǎng)商現在正在考慮將以前的 VCU 的所有部件改設至 BMS 和逆變器控制單元中，從而減少電動(dòng)汽車(chē)的總電子元件成本。去除 VCU 的先決條件歸根結底是由 BMS 可處理的微控制器特定參數所決定，比如閃存和 SRAM 的數量和性能、各個(gè)控制單元功能在實(shí)時(shí)能力方面的獨立性和在共享的可擴展的微控制器架構上無(wú)縫集成安全相關(guān)軟件功能（從 QM 至 ASIL D）等。針對這一特定情況，英飛凌推出了基于三核處理器的 AURIX 多核架構的控制器硬件，可在未來(lái)的 BMS 客戶(hù)應用中集成所有上述要求功能。