AN215 - BMS 解决方案的功能安全(符合ISO 13849标准)
每月为您发送最具参考价值的行业文章
我们会保障您的隐私
摘要
电池供电系统对工作条件具备一定敏感性,它在安全操作区域外运行时可能存在潜在的危险,有可能导致火灾或爆炸。 这些安全风险对用户而言是零容忍的,因此需要采取一定的措施来降低风险。
本应用说明介绍了符合 ISO 13849功能安全标准的电池管理系统 (BMS) 架构解决方案。文章讨论了安全功能、性能级别以及可实施的安全措施定义。这些安全功能可确保电池始终在安全的操作区域内工作,从而将风险降至可接受的水平。
简介
本应用说明根据 ISO 13849 功能安全标准,针对BMS 架构给出了安全措施建议。这些措施基于 MPS 的电池监控器和保护器 (BM&P) ,同时结合了微控制器 (MCU) ,可以实现目标性能等级 (PL) 。
文章还概述了 BMS 架构,给出了BM&P 的配置详情以及每项安全措施的详细结构,同时阐明了根据 ISO 13849功能安全标准实现并验证 PL 的几个要点。
术语和定义
本应用说明中使用了以下术语和定义。这些术语主要与功能安全相关,尤其在 ISO 13849 功能安全标准的背景下。 请仔细阅读本节以更好地理解本应用说明及其目的。
安全功能
安全功能是机器需要具备的一种功能,一旦失效将可能导致安全风险立刻增加。
性能等级(PL)
性能等级是一种离散级别,用于指定控制系统 (SRP/CS) 的安全相关部件在特定条件下执行安全功能的能力。根据系统执行安全功能的能力,PL 的范围从 PLa(最低)到 PLe(最高)。
所需PL
所需 PL 是指为实现每项安全功能、降低其风险而采取的 PL。
危险故障
危险故障是指有可能使 SRP/CS 处于危险状态或无法运行的故障。
通过采用特定的结构、特定的组件(MTTF)和诊断覆盖率(DC),可以降低危险故障产生的概率。
平均无故障时间(MTTF)
平均无故障时间 (MTTF) 是组件可靠性的衡量标准,它代表组件在损坏或失效之前可以运行的平均时间。但并非所有的故障都是危险的,因为组件有不同的故障模式及其响应,只有影响安全功能性能的故障才被视为危险故障。
关于安全性还有另一个重要的术语,即平均无危险故障时间(MTTFD),它是组件在发生危险故障之前可以运行的平均时间。
诊断覆盖率
诊断覆盖率用于度量诊断的有效性,它定义为检测到的危险故障故障率与总危险故障故障率之间的比率。
架构
危险故障可能对系统执行安全功能的能力产生影响,而架构对于确定这种影响至关重要。ISO 13849 提供了如下的三种架构模式选项:
- 单通道:单通道架构由一个输入、一个逻辑模块和一个输出组成。发生危险故障时,安全功能无法执行。
- 带测试的单通道: 带测试的单通道架构与单通道类似,但包括了逻辑模块的测试。在发生危险故障时,系统可以在风险增加之前检测到故障并进入安全状态。
- 冗余通道: 冗余通道架构提供两个并行运行的完整通道。在发生危险故障时,另一个通道仍然可以执行安全功能。
类别
ISO 13849 标准提出了一种简化方法,通过定义五个类别来确定能达到的 PL。这些类别根据所采用的架构、所使用的组件(MTTFD) 和 DC 来定义,如下所列:
- B:
- 架构:单通道
- MTTFD:低到中
- 直流:无
- 可实现的 PL:PLa 到 PLb
- 1:
- 架构:单通道
- MTTFD:高
- 直流:无
- 可实现的 PL:PLa 到 PLc
- 2:
- 架构:单通道测试
- MTTFD:低到高
- DC:低到中
- 可实现的 PL:PLa 到 PLd
- 3:
- 架构:冗余通道
- MTTFD:低到高
- DC:低到中
- 可实现的 PL:PLb 到 PLd
- 4:
- 架构:冗余通道
- MTTFD:高
- 直流:高
- 可实现的 PL:PLe
- I2C 和 SPI 通信:为 I2C 通信配置安全解决方案
- GPIOs:GPIO1、GPIO2 和 GPIO3
- xALERT:从 BM&P 发送到 MCU 的采样中断
- 看门狗定时器 (WDT):通过BM&P 复位 MCU
- nSHDN:通过 MCU 复位 BM&P
- REGIN, VDD, and VREF:BM&P 的内部电源(REGIN、VDD)和内部参考电压(VREF)
安全功能
风险降低策略的第一步是风险分析,分析所有可能操作条件、故障和潜在影响的场景。分析的结果可以确定安全功能及其所需的性能级别(PLr) 。表 1 罗列了电池系统的典型安全功能,包括 PLr及其说明。
表 1:BMS 的安全功能 (SF) 定义
| SF ID | SF说明 | 安全状态 | PLr | 采取的安全措施 |
| SF1 | 防止电池单元过度充电 | 隔离电池充电和放电 | PLc | SM2, SM5, SM6, SM7, SM8, SM9, SM11 |
| SF2 | 防止电池过度充电 | 隔离电池充电和放电 | PLc | SM2, SM5, SM6, SM7, SM8, SM9, SM11 |
| SF3 | 防止电池单元充电不足 | 隔离电池充电和放电 | PLc | SM2, SM5, SM6, SM7, SM8, SM9, SM11 |
| SF4 | 防止电池充电不足 | 隔离电池充电和放电 | PLc | SM1, SM5, SM6, SM7, SM8, SM9, SM11 |
| SF5 | 防止电池充电过流 (OC) 故障 | 隔离电池充电和放电 | PLc | SM3, SM5, SM6, SM9, SM11 |
| SF6 | 防止电池放电过流故障 | 隔离电池充电和放电 | PLc | SM3, SM5, SM6, SM9, SM11 |
| SF7 | 防止电池充电短路 | 隔离电池充电和放电 | PLc | SM3, SM9, SM11 |
| SF8 | 防止电池放电短路 | 隔离电池充电和放电 | PLc | SM3, SM9, SM11 |
| SF9 | 检测电池过热 (OT) | 隔离电池充电和放电 | PLc | SM4, SM5, SM6, SM9, SM10, SM11 |
| SF10 | 检测电池低温 (UT) | 隔离电池充电和放电 | PLc | SM4, SM5, SM6, SM9, SM10, SM11 |
BMS架构
本节介绍 BMS 架构如何实现安全功能。注意,BMS中通常都会用到电量计,但本文对此不做讨论,因为电量计与功能安全特性无关。
图1: BMS系统架构
上图中的系统架构基于 MPS BM&P(MP279x 系列)并结合了MCU。BM&P 可感测电池电压、电流和温度的大小。MCU 也可以感测电池和电池组的电压及电池温度。采样感测之后,这些值可由 BM&P 和 MCU 同时监控,二者通过多个接口连接,包括:
这两款 IC 都可以实现保护功能,触发故障反应,并转换至安全状态。通过打开电源线上的不同保护层可以实现安全状态,隔离电池的充电和放电。
第一保护层由接触器或保护MOSFET组成(见图1)。 第二保护层由自控保护器(SCP)组成,它是有或没有外部命令均可触发的熔丝。注意,SCP 是不可重置的设备,应配置为仅当第一保护层发生故障时才触发。
_______________________
您感兴趣吗?点击订阅,我们将每月为您发送最具价值的资讯!
技术论坛
Latest activity 2 months ago
8 回复
Latest activity 3 weeks ago
3 回复
Latest activity 5 hours ago
4 回复
直接登录
创建新帐号