非汽車BMS的功能安全設計

引言

中低壓電池的BMS結(jié)構(gòu)通常由三個IC組成，如下所述：

●   電池監(jiān)控器和保護器：也稱為模擬前端 (AFE)，負責測量電池的電壓、電流和溫度，為電池提供第一級保護。

●   微控制器單元(MCU)：MCU 處理來自電池監(jiān)控器和保護器的數(shù)據(jù)，通常完成第二級保護，包括監(jiān)控閾值。

●   電量計(FG)：電量計是一個單獨的 IC，它可以提供充電狀態(tài) (SOC)、健康狀況(SOH) 和剩余運行時間估算，以及其他用戶關心的電池參數(shù)。

圖 1 顯示了中低壓電池的完整 BMS 結(jié)構(gòu)。其中電量計可以是獨立 IC，也可以嵌入 MCU。MCU 是 BMS 的核心元件，它從 AFE 和電量計處獲取信息，并與系統(tǒng)的其余部分進行交互。

圖1 BMS結(jié)構(gòu)

除了這三個主要組件，BMS還需要考慮其他一些因素才能確保系統(tǒng)滿足特定行業(yè)所要求的安全級別。本文將解釋功能安全在非汽車電池管理系統(tǒng)中的作用以及如何達到所需的安全級別。

功能安全簡介 

功能安全是整體安全系統(tǒng)的一個分支，其重點是降低電氣/電子 (E/E) 系統(tǒng)功能故障導致的危險事件，從而減低風險。功能安全的目標是確保剩余風險在可接受的范圍之內(nèi)。

近年來，E/E 系統(tǒng)在汽車、機械、醫(yī)藥、工業(yè)和航空等不同領域中的應用越來越多，對功能安全的重視也隨之提升。這些變化也催生出不同的功能安全標準。

ISO 13849（ “機械安全 - 控制系統(tǒng)的安全相關部分”）是一項重點關注機械領域控制系統(tǒng) (SRP/CS) 安全相關部分的功能安全標準。從通用工業(yè)機械到輕便摩托車和電動自行車，機械領域中包含了廣泛的應用。ISO 13849 用性能級別 (PL)來定義不同的安全級別，范圍從 PLa（較低安全級別）到 PLe（較高安全級別）。該標準定義了風險評估及降低的準確流程，并提出了一種簡單的方法，基于三個參數(shù)來確定可實現(xiàn)的 PL，這三個參數(shù)包括：類別、平均危險故障時間（MTTFD）和平均診斷覆蓋率（DCAVG）。其中DCAVG是系統(tǒng)中所有安全措施對應的診斷覆蓋率的平均值。

類別是對SRP/CS 的分類，描述其對故障的抵抗力以及發(fā)生故障時的響應行為。共有 5 個類別（B、1、2、3 和 4）。

架構(gòu)對類別的影響最大。SRP/CS 的基本架構(gòu)由三個功能模塊組成：輸入、邏輯模塊和輸出（見圖 2）。針對類別 B 和類別 1 提出的架構(gòu)被稱為“單通道”架構(gòu)，如圖2所示。單通道架構(gòu)被認為是實現(xiàn) SRP/CS 標準功能的最基本架構(gòu)，但它不提供任何診斷功能。類別 1 和 2 依靠其組件的可靠性 (MTTFD) 來確保安全功能的完整性。如果實現(xiàn)安全功能的組件發(fā)生故障，則無法保證進入安全狀態(tài)，因為根本沒有診斷功能（DCAVG = 0）。

圖2 ISO 13849基本架構(gòu)

對于類別 2，建議采用“帶測試的單通道”架構(gòu)。該架構(gòu)基本與單通道架構(gòu)相同，但增加了一個測試設備模塊，可用于診斷功能通道是否正常工作。當實現(xiàn)安全功能的組件出現(xiàn)故障時，不會執(zhí)行安全功能；但如果測試設備診斷出故障，則可進入安全狀態(tài)。

對于類別 3 和類別 4，建議采用“冗余通道”架構(gòu)。這種架構(gòu)由兩個獨立的功能通道組成，每個通道都可以診斷另一個通道上的問題。當實現(xiàn)安全功能的組件出現(xiàn)故障時，安全功能仍可由另一個通道執(zhí)行。設計人員應根據(jù)每個安全功能的目標安全級別來選擇 SRP/CS 類別。

逐步實現(xiàn)功能安全 

ISO 13849 標準定義了一個迭代流程，通過該流程可以對 SRP/CS 設計進行評估以確定要實現(xiàn)的 PL，同時檢查該安全級別是否足夠或是否需要在新的循環(huán)中改進。流程中包含了三種不同的風險降低方法：通過安全設計措施降低風險、通過安全防護措施降低風險以及通過使用信息降低風險。ISO 13849 支持通過保護措施來降低風險（見圖 3）。

圖3 ISO 13849流程（安全防護）

安全防護流程從定義 SRP/CS 的安全功能開始，在進行風險分析后定義所需性能等級 (PLr)。PLr 是 每個安全功能的SRP/CS需要達到的目標 PL。

接下來需要根據(jù)特定的安全要求來設計 SRP/CS。這一步需要考慮可能的架構(gòu)、要實施的安全措施，并最終確定 SRP/CS 的設計以執(zhí)行相關安全功能。

SRP/CS設計完成之后，還要評估每個安全功能可實現(xiàn)的性能等級。這是整個安全防護流程的核心步驟。要評估可實現(xiàn)的 PL，先定義類別，然后計算每項安全功能的 SRP/CS 的MTTFD和DCAVG。

MTTFD是按通道計算的，它包含三個級別（見表 1）。

表1 通道MTTFD確定

表2顯示了定義每個診斷措施的診斷覆蓋率的四個級別。

表2 DC確定

通過以下相關參數(shù)可以確定可實現(xiàn)的 PL（見表 3）。

表3 如何確定可實現(xiàn)的PL

只有在設計中實施了標準定義的其余要求和分析后，才能確定可實現(xiàn)的 PL。這些要求必須符合系統(tǒng)故障管理、CCF 分析、安全原則和軟件開發(fā)（如適用）。

完成該流程之后，應針對所需PLr驗證SRP/CS為具體安全功能實現(xiàn)的PL。如果 PL < PLr，則應重新設計 SRP/CS，并重新開始 PL 評估過程。如果 PL ≥ PLr，則 SRP/CS 已達到所需的安全級別，需要執(zhí)行驗證以確保通過測試正確運行。如果出現(xiàn)意外行為，則應重新設計 SRP/CS。針對每個安全功能，都要重復此流程。

根據(jù)具體市場來確定功能安全級別 

電池供電設備的應用場景（市場）非常多。根據(jù)故障對人體和/或環(huán)境的危險程度不同，每個市場都有不同的功能安全規(guī)范要求。表 4 展示了部分主要市場的功能安全級別需求。請注意，這些級別還在不斷的變化中，并且可能因每個客戶的設計不同而異。

表4 根據(jù)市場確定PL

上述性能水平是能夠滿足當前市場期望的，但由于全球電池供電設備不斷出現(xiàn)問題，電動汽車和某些儲能應用可能會進入 PLd 級別。例如，儲能應用故障導致美國 ESS 設施發(fā)生火災；而在英國，超過190 人因電動自行車和電動滑板車故障引發(fā)的火災受傷，其中8 人死亡。

所有這些事故都可以通過更強大、更可靠的系統(tǒng)來預防。提高安全水平的需求不斷提升，擁有一個可以基于不同性能水平進行擴展的解決方案愈發(fā)重要。

MPS功能安全提案 

MPS基于 MP279x 電池監(jiān)視器和保護器系列，并結(jié)合MCU，提出了 ISO 13849 BMS 方案。該方案能夠讓一組特定的安全功能 (SF)達到 PLc 安全級別（見表 5）。PLr 的確定取決于具體風險分析和BMS應用，可能會有細微不同。

表5 BMS方案的安全功能

MPS 提出的實現(xiàn) PLc 的解決方案可滿足類別 2 或類別 3 的要求（具體取決于各安全功能的設計）。對于部分安全功能，系統(tǒng)僅采用單一輸入模塊；而對其他安全功能，則配置冗余輸入模塊。

圖 4 顯示了如何實現(xiàn) SF2 和 SF4（防止電池組過度充電和充電不足）。

SRP/CS 的設計中有兩個邏輯模塊：電池監(jiān)控器和保護器（logic 1）和 MCU（logic 2）。這些邏輯模塊用于診斷設計中不同部件的功能是否正常。

通過使用斷路器模塊（輸出 1）和自控保護器（輸出 2），輸出也被復制。

圖4 SF2 和SF4的實現(xiàn)

采用單輸入還是雙輸入取決于各場景的復雜性及成本。為確保單個輸入的安全功能符合 PLc，可以采取額外的安全措施來提高診斷能力；例如，進行電池電壓合理性檢查以驗證電池電壓測量是否準確。

結(jié)語 

功能安全過去僅與汽車產(chǎn)品相關，但如今大多數(shù)現(xiàn)代市場都要求制造商遵守功能安全標準。非汽車市場最常用的安全標準是 ISO 13849，這是一種確保應用安全性和穩(wěn)健性的系統(tǒng)級標準。MPS 提出的架構(gòu)利用了每個 BMS 中已包含的有源組件，從而降低了附加成本。MPS 的電池監(jiān)視器和保護器IC 系列均采用了這種架構(gòu)，并經(jīng)過了功能安全認證。