非自動(dòng)BMS設(shè)計(jì)的功能安全性

在過(guò)去的十年中，電池供電的應(yīng)用已變得必不可少，需要一定程度的保護(hù)才能確保安全使用。此安全性由電池管理系統(tǒng)(BMS)提供。 BMS監(jiān)視電池和可能的故障狀況，防止由于電池或其周?chē)h(huán)境而導(dǎo)致的任何危險(xiǎn)情況，并確保對(duì)電池剩余容量或電池降解水平進(jìn)行準(zhǔn)確的估計(jì)。

低壓電池或中型電池電池的BMS的主要結(jié)構(gòu)通常由三個(gè)IC組成，如下所述：

1. 電池監(jiān)視器和保護(hù)器：也稱(chēng)為模擬前端(AFE)，電池監(jiān)視器和保護(hù)器提供了第一級(jí)保護(hù)，因?yàn)樗?fù)責(zé)測(cè)量電池電壓，電流和溫度。

2. 微控制器單元(MCU)：MCU處理來(lái)自電池監(jiān)視器和保護(hù)器的數(shù)據(jù)，通常包含第二級(jí)保護(hù)，包括監(jiān)視閾值。

3. 燃油表(FG)：燃油表是一個(gè)單獨(dú)的IC，可提供最新電荷(SOC)，健康(SOH)信息和剩余的運(yùn)行時(shí)估計(jì)以及其他與用戶(hù)相關(guān)的電池參數(shù)。

圖1 BMS體系結(jié)構(gòu)顯示了關(guān)鍵的三個(gè)構(gòu)建塊。

圖1顯示了低壓或中電池的完整BMS的主要結(jié)構(gòu)。燃油表可以是獨(dú)立的IC，也可以嵌入MCU中。 MCU是BMS的中心元素，從AFE和燃油表中獲取信息，并與系統(tǒng)的其余部分接口。

盡管三個(gè)主要組件構(gòu)成了BMS，但使用這些組件而無(wú)需任何其他考慮因素不足以確保系統(tǒng)符合某些行業(yè)所需的安全水平。本文將解釋功能安全在非自動(dòng)電池管理系統(tǒng)中的作用以及如何達(dá)到所需的安全水平。

功能安全介紹

功能安全性是整體安全的一個(gè)分支，重點(diǎn)是減少由于電氣/電子(E/E)系統(tǒng)功能故障而導(dǎo)致的危險(xiǎn)事件產(chǎn)生的風(fēng)險(xiǎn)。目的是確保剩余風(fēng)險(xiǎn)在可接受的范圍內(nèi)。

近年來(lái)，在汽車(chē)，機(jī)械，醫(yī)學(xué)，工業(yè)和航空等不同領(lǐng)域中E/E系統(tǒng)的使用越來(lái)越多，伴隨著更加重視功能安全性。這些變化導(dǎo)致了不同功能安全標(biāo)準(zhǔn)的發(fā)展。

ISO 13849，標(biāo)題為“機(jī)械安全性 - 控制系統(tǒng)的安全相關(guān)部分”，是一個(gè)功能安全標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)側(cè)重于機(jī)械場(chǎng)中控制系統(tǒng)(SRP/CS)的安全相關(guān)部分。這是一個(gè)包括廣泛應(yīng)用的領(lǐng)域，從通用工業(yè)機(jī)械到摩托車(chē)和電子自行車(chē)。 ISO 13849將不同的安全水平定義為性能水平(PL)，其范圍從PLA(較低的安全水平)到PLE(更高的安全水平)。

該安全標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評(píng)估和減少的準(zhǔn)確過(guò)程。它提出了一種基于三個(gè)參數(shù)確定已達(dá)到的PL的簡(jiǎn)化方法：類(lèi)別，危險(xiǎn)失敗的平均時(shí)間(MTTF D)和平均診斷覆蓋范圍(DC AVG)，該方法是通過(guò)平均與不同安全措施相關(guān)的所有DC計(jì)算得出的應(yīng)用于系統(tǒng)。

該類(lèi)別是對(duì)SRP/CS的分類(lèi)，該分類(lèi)描述了其對(duì)故障的阻力以及在發(fā)生故障狀態(tài)的后續(xù)行為。有5個(gè)類(lèi)別(B，1、2、3和4)。

體系結(jié)構(gòu)對(duì)該類(lèi)別的影響最大。 SRP/CS的基本體系結(jié)構(gòu)由三個(gè)功能塊組成：輸入，邏輯塊和輸出(圖2)。圖2對(duì)應(yīng)于針對(duì)B類(lèi)和類(lèi)別1提出的體系結(jié)構(gòu)，它稱(chēng)為“單渠道”體系結(jié)構(gòu)。單通道體系結(jié)構(gòu)被認(rèn)為是實(shí)現(xiàn)SRP/CS標(biāo)稱(chēng)功能的最基本體系結(jié)構(gòu)，但它不打算用于任何診斷功能。

圖2為B類(lèi)和類(lèi)別1提出了上述體系結(jié)構(gòu)。

B類(lèi)和1依賴(lài)于其組件的可靠性(MTTF D)來(lái)確保安全功能的完整性。如果實(shí)現(xiàn)安全函數(shù)的組件失敗，則無(wú)法保證安全狀態(tài)，因?yàn)闆](méi)有診斷(DC AVG = 0)。

對(duì)于類(lèi)別2，所提出的架構(gòu)稱(chēng)為“經(jīng)過(guò)單通道測(cè)試”。該體系結(jié)構(gòu)的基礎(chǔ)與單渠道體系結(jié)構(gòu)相同，但是帶有一個(gè)增加的測(cè)試設(shè)備塊可以診斷功能通道是否正常工作。如果實(shí)現(xiàn)安全函數(shù)的組件失敗，則不會(huì)執(zhí)行安全函數(shù);但是，如果測(cè)試設(shè)備診斷出故障，可以實(shí)現(xiàn)安全狀態(tài)。

對(duì)于類(lèi)別3和類(lèi)別4，所提出的體系結(jié)構(gòu)稱(chēng)為“冗余通道”，該頻道通過(guò)兩個(gè)獨(dú)立的功能渠道實(shí)現(xiàn)，可以診斷另一個(gè)渠道上的問(wèn)題。如果實(shí)現(xiàn)安全函數(shù)的組件有故障，則安全函數(shù)仍然可以由另一個(gè)渠道執(zhí)行。設(shè)計(jì)人員應(yīng)根據(jù)每個(gè)安全功能的目標(biāo)安全水平選擇SRP/CS類(lèi)別。

逐步實(shí)現(xiàn)功能安全性

ISO 13849標(biāo)準(zhǔn)定義了一個(gè)迭代過(guò)程，在該過(guò)程中，對(duì)SRP/CS設(shè)計(jì)進(jìn)行評(píng)估以確定所達(dá)到的PL并檢查安全水平是否足夠或必須在新的環(huán)中改進(jìn)。該過(guò)程包括降低風(fēng)險(xiǎn)的三種不同方法：通過(guò)安全設(shè)計(jì)措施降低風(fēng)險(xiǎn)，通過(guò)保障措施降低風(fēng)險(xiǎn)以及通過(guò)信息降低風(fēng)險(xiǎn)。 ISO 13849支持通過(guò)保護(hù)風(fēng)險(xiǎn)的降低風(fēng)險(xiǎn)(圖3)。

圖3 ISO 13849通過(guò)保障支持降低風(fēng)險(xiǎn)。

保護(hù)過(guò)程首先定義SRP/CS的安全函數(shù)，在該功能進(jìn)行風(fēng)險(xiǎn)分析后定義了所需的性能水平(PLR)。 PLR是每個(gè)安全函數(shù)的SRP/CS的靶PL。

下一步包括為指定的安全要求設(shè)計(jì)SRP/CS。這需要考慮可能的架構(gòu)，實(shí)施的安全措施以及最終確定SRP/CS的設(shè)計(jì)以執(zhí)行相關(guān)的安全功能。

設(shè)計(jì)SRP/CS后，評(píng)估每個(gè)安全功能的實(shí)現(xiàn)性能水平。這是整個(gè)保護(hù)過(guò)程的核心步驟。要評(píng)估所達(dá)到的PL，請(qǐng)定義類(lèi)別，然后計(jì)算每個(gè)單個(gè)安全函數(shù)的SRP/CS的MTTF D和DC AVG 。

MTTF D是每個(gè)通道計(jì)算的，并且具有三個(gè)級(jí)別(表1)。

表1 MTTF D，計(jì)算為每個(gè)通道，具有三個(gè)級(jí)別。

表2顯示了定義每個(gè)診斷度量的DC的四個(gè)級(jí)別。

表2有四個(gè)級(jí)別來(lái)定義每個(gè)診斷度量的DC。

可以使用相關(guān)參數(shù)確定可實(shí)現(xiàn)的PL(表3)。

表3相關(guān)參數(shù)有助于確定可實(shí)現(xiàn)的PL。

只有在設(shè)計(jì)中實(shí)施了標(biāo)準(zhǔn)定義的剩余要求和分析時(shí)，才能確認(rèn)可實(shí)現(xiàn)的PL。這些要求必須遵守系統(tǒng)的故障管理，常見(jiàn)原因失敗(CCF)分析，安全原理和軟件開(kāi)發(fā)(如果適用)。

一旦完成此過(guò)程，應(yīng)通過(guò)PLR驗(yàn)證SRP/CS為混凝土安全函數(shù)實(shí)現(xiàn)的PL。如果PL <PLR，則應(yīng)重新設(shè)計(jì)SRP p CS。每個(gè)安全功能都應(yīng)重申此過(guò)程。< CS已達(dá)到所需的安全水平，并且必須執(zhí)行驗(yàn)證以通過(guò)測(cè)試確保正確的行為。如果有意外的行為，則應(yīng)重新設(shè)計(jì)SRP CS，并且PL評(píng)估過(guò)程必須重新開(kāi)始。如果PL≥PLR，則SRP>

根據(jù)每個(gè)市場(chǎng)的功能安全水平

電池供電的設(shè)備用于無(wú)數(shù)市場(chǎng)，每個(gè)市場(chǎng)都根據(jù)失敗對(duì)人類(lèi)和/或環(huán)境的危險(xiǎn)程度要求不同的功能安全規(guī)范。表4顯示了一些主要市場(chǎng)所需的功能安全水平。請(qǐng)注意，這些級(jí)別正在不斷變化，并且可能會(huì)根據(jù)每個(gè)工程團(tuán)隊(duì)的設(shè)計(jì)而有所不同。

表4這是基于市場(chǎng)確定的PL的方式。

盡管這些是當(dāng)前的性能水平市場(chǎng)期望，但由于世界各地電池供電設(shè)備的持續(xù)問(wèn)題，電動(dòng)性和某些能源存儲(chǔ)應(yīng)用可能會(huì)進(jìn)入PLD。例如，能源不良的應(yīng)用程序已導(dǎo)致美國(guó)儲(chǔ)能系統(tǒng)(ESS)設(shè)施發(fā)生火災(zāi)。在英國(guó)，超過(guò)190人受傷，八人被電動(dòng)自行車(chē)和電子駕駛員故障引起的大火殺死。

所有這些事件都可以通過(guò)更強(qiáng)大，更可靠的系統(tǒng)來(lái)阻止。不斷提高安全水平的需求意味著擁有可以在不同性能水平上實(shí)現(xiàn)的可擴(kuò)展解決方案至關(guān)重要。

功能安全設(shè)計(jì)建議

以ISO 13849的BMS概念為例，MONOLITHIC POWER SYSTEMS(MPS)通過(guò)將MCU與MP279X的MP279X家族組成的電池監(jiān)視器和保護(hù)器組合來(lái)開(kāi)發(fā)。如表5所示，該系統(tǒng)的方向達(dá)到了一套安全功能(SFS)的PLC安全水平(SFS)。 PLR確定取決于風(fēng)險(xiǎn)分析，在該風(fēng)險(xiǎn)分析中可以進(jìn)行微小的變化以及使用BMS的應(yīng)用。

表5請(qǐng)參閱BMS概念的定義安全功能。

國(guó)會(huì)議員提出的實(shí)現(xiàn)PLC提出的解決方案可以符合某些安全功能的第2類(lèi)或第3類(lèi)(對(duì)每個(gè)安全功能)。只有一個(gè)輸入塊，對(duì)于其他輸入塊，有冗余的輸入塊。

圖4顯示了如何實(shí)現(xiàn)SF2和SF4，以防止電池組充電和收費(fèi)不足。在實(shí)現(xiàn)SRP/CS時(shí)，有兩個(gè)邏輯塊：電池監(jiān)視器和保護(hù)器(邏輯1)和MCU(邏輯2)。這些邏輯塊用于診斷設(shè)計(jì)中不同零件的正確功能。

圖4這是如何實(shí)現(xiàn)SF2和SF4。

單個(gè)或重復(fù)輸入的實(shí)施取決于每種情況下的復(fù)雜性和成本。為了確保單個(gè)輸入的安全功能符合PLC，可以采取其他安全措施來(lái)提高診斷能力;一個(gè)示例是單元電壓的合理性檢查，以驗(yàn)證細(xì)胞電壓測(cè)量是否正確。

功能安全曾與汽車(chē)產(chǎn)品相關(guān)，但如今，大多數(shù)現(xiàn)代市場(chǎng)都要求制造商遵守功能安全標(biāo)準(zhǔn)。非自動(dòng)化市場(chǎng)最著名的安全標(biāo)準(zhǔn)是ISO 13849，這是一個(gè)系統(tǒng)級(jí)別的標(biāo)準(zhǔn)，可確保應(yīng)用程序的安全性和魯棒性。