非汽车 BMS的功能安全设计

Miguel Angel Sanchez

Diego Quintana

每月为您发送最具参考价值的行业文章

我们会保障您的隐私

引言

电池供电应用在过去十年中越来越流行，逐步成为人们日常生活中不可或缺的部分。但电池供电应用需要一定程度的保护才能确保安全的使用。这种安全性是由电池管理系统 (BMS) 提供的。BMS 能够监控电池和可能的故障情况，防止因电池或其周围环境而导致任何危险情况，并确保精确估算电池的剩余容量或退化程度。

中低压电池的BMS结构通常由三个IC组成，如下所述：

电池监控器和保护器：也称为模拟前端 (AFE)，负责测量电池的电压、电流和温度，为电池提供第一级保护。
微控制器单元 (MCU)：MCU 处理来自电池监控器和保护器的数据，通常完成第二级保护，包括监控阈值。
电量计 (FG)：电量计是一个单独的 IC，它可以提供充电状态 (SOC)、健康状况(SOH) 和剩余运行时间估算，以及其他用户关心的电池参数。

图 1 显示了中低压电池的完整 BMS 结构。其中电量计可以是独立 IC，也可以嵌入 MCU。MCU 是 BMS 的核心元件，它从 AFE 和电量计处获取信息，并与系统的其余部分进行交互。

图1: BMS结构

除了这三个主要组件，BMS还需要考虑其他一些因素才能确保系统满足特定行业所要求的安全级别。本文将解释功能安全在非汽车电池管理系统中的作用以及如何达到所需的安全级别。

功能安全简介

功能安全是整体安全系统的一个分支，其重点是降低电气/电子 (E/E) 系统功能故障导致的危险事件，从而减低风险。功能安全的目标是确保剩余风险在可接受的范围之内。

近年来，E/E 系统在汽车、机械、医药、工业和航空等不同领域中的应用越来越多，对功能安全的重视也随之提升。这些变化也催生出不同的功能安全标准。

ISO 13849（ “机械安全 - 控制系统的安全相关部分”）是一项重点关注机械领域控制系统 (SRP/CS) 安全相关部分的功能安全标准。从通用工业机械到轻便摩托车和电动自行车，机械领域中包含了广泛的应用。ISO 13849 用性能级别 (PL)来定义不同的安全级别，范围从 PLa（较低安全级别）到 PLe（较高安全级别）。该标准定义了风险评估及降低的准确流程，并提出了一种简单的方法，基于三个参数来确定可实现的 PL，这三个参数包括：类别、平均危险故障时间（MTTF_D）和平均诊断覆盖率（DC_AVG）。其中DC_AVG是系统中所有安全措施对应的诊断覆盖率的平均值。

类别是对SRP/CS 的分类，描述其对故障的抵抗力以及发生故障时的响应行为。共有 5 个类别（B、1、2、3 和 4）。

架构对类别的影响最大。SRP/CS 的基本架构由三个功能模块组成：输入、逻辑模块和输出（见图 2）。针对类别 B 和类别 1 提出的架构被称为“单通道”架构，如图2所示。单通道架构被认为是实现 SRP/CS 标准功能的最基本架构，但它不提供任何诊断功能。类别 1 和 2 依靠其组件的可靠性 (MTTFD) 来确保安全功能的完整性。如果实现安全功能的组件发生故障，则无法保证进入安全状态，因为根本没有诊断功能（DC_AVG = 0）。

图2: ISO 13849基本架构

对于类别 2，建议采用“带测试的单通道”架构。该架构基本与单通道架构相同，但增加了一个测试设备模块，可用于诊断功能通道是否正常工作。当实现安全功能的组件出现故障时，不会执行安全功能；但如果测试设备诊断出故障，则可进入安全状态。

对于类别 3 和类别 4，建议采用“冗余通道”架构。这种架构由两个独立的功能通道组成，每个通道都可以诊断另一个通道上的问题。当实现安全功能的组件出现故障时，安全功能仍可由另一个通道执行。设计人员应根据每个安全功能的目标安全级别来选择 SRP/CS 类别。

逐步实现功能安全

ISO 13849 标准定义了一个迭代流程，通过该流程可以对 SRP/CS 设计进行评估以确定要实现的 PL，同时检查该安全级别是否足够或是否需要在新的循环中改进。流程中包含了三种不同的风险降低方法：通过安全设计措施降低风险、通过安全防护措施降低风险以及通过使用信息降低风险。ISO 13849 支持通过保护措施来降低风险（见图 3）。

图3: ISO 13849流程（安全防护）

安全防护流程从定义 SRP/CS 的安全功能开始，在进行风险分析后定义所需性能等级 (PLr)。PLr 是每个安全功能的SRP/CS需要达到的目标 PL。

接下来需要根据特定的安全要求来设计 SRP/CS。这一步需要考虑可能的架构、要实施的安全措施，并最终确定 SRP/CS 的设计以执行相关安全功能。

SRP/CS设计完成之后，还要评估每个安全功能可实现的性能等级。这是整个安全防护流程的核心步骤。要评估可实现的 PL，先定义类别，然后计算每项安全功能的 SRP/CS 的MTTF_D和DC_AVG。

MTTF_D是按通道计算的，它包含三个级别（见表 1）。

表 1：通道 MTTF_D 确定

级别	范围
低	3年≤MTTF_D<10年
中	10年≤MTTF_D<30年
高	30年≤MTTF_D<100年

表 2 显示了定义每个诊断措施的诊断覆盖率的四个级别。

表2: DC确定

级别	范围
无	DC<60%
低	60%≤DC<90%
中	90%≤DC<99%
高	99%≤DC

通过以下相关参数可以确定可实现的 PL（见表 3）。

表 3：如何确定可实现的 PL

类别	B	1	2	2	3	3	4
DC_AVG	无	无	低	中	低	中	高
各通道的MTTF_D
低	a	未覆盖	a	b	b	c	未覆盖
中	b	未覆盖	b	c	c	d	未覆盖
高	未覆盖	c	c	d	d	d	e

只有在设计中实施了标准定义的其余要求和分析后，才能确定可实现的 PL。这些要求必须符合系统故障管理、CCF 分析、安全原则和软件开发（如适用）。

完成该流程之后，应针对所需PLr验证SRP/CS为具体安全功能实现的PL。如果 PL < PLr，则应重新设计 SRP/CS，并重新开始 PL 评估过程。如果 PL ≥ PLr，则 SRP/CS 已达到所需的安全级别，需要执行验证以确保通过测试正确运行。如果出现意外行为，则应重新设计 SRP/CS。针对每个安全功能，都要重复此流程。

根据具体市场来确定功能安全级别

电池供电设备的应用场景（市场）非常多。根据故障对人体和/或环境的危险程度不同，每个市场都有不同的功能安全规范要求。表 4 展示了部分主要市场的功能安全级别需求。请注意，这些级别还在不断的变化中，并且可能因每个客户的设计不同而异。

表 4：根据市场确定 PL

	电动汽车	储能	电动工具	机器人
性能级别(PL)	PLc	PLc	PLb	PLc

上述性能水平是能够满足当前市场期望的，但由于全球电池供电设备不断出现问题，电动汽车和某些储能应用可能会进入 PLd 级别。例如，储能应用故障导致美国 ESS 设施发生火灾；而在英国，超过190 人因电动自行车和电动滑板车故障引发的火灾受伤，其中8 人死亡。

所有这些事故都可以通过更强大、更可靠的系统来预防。提高安全水平的需求不断提升，拥有一个可以基于不同性能水平进行扩展的解决方案愈发重要。

MPS 功能安全提案

MPS基于 MP279x 电池监视器和保护器系列，并结合MCU，提出了 ISO 13849 BMS 方案。该方案能够让一组特定的安全功能 (SF)达到 PLc 安全级别（见表 5）。PLr 的确定取决于具体风险分析和BMS应用，可能会有细微不同。

表 5：BMS 方案的安全功能

SF ID	安全功能描述	安全状态	PLr
SF1	防止电池单元过度充电	隔离电池，防止充电和放电	PLc
SF2	防止电池过度充电
SF3	防止电池单元充电不足
SF4	防止电池充电不足
SF5	防止电池充电过流故障
SF6	防止电池放电过流故障
SF7	防止电池充电短路
SF8	防止电池放电短路
SF9	检测电池过温
SF10	检测电池低温

MPS 提出的实现 PLc 的解决方案可满足类别 2 或类别 3 的要求（具体取决于各安全功能的设计）。对于部分安全功能，系统仅采用单一输入模块；而对其他安全功能，则配置冗余输入模块。

图 4 显示了如何实现 SF2 和 SF4（防止电池组过度充电和充电不足）。

SRP/CS 的设计中有两个逻辑模块：电池监控器和保护器（logic 1）和 MCU（logic 2）。这些逻辑模块用于诊断设计中不同部件的功能是否正常。

通过使用断路器模块（输出 1）和自控保护器（输出 2），输出也被复制。

图4: SF2 和SF4的实现

采用单输入还是双输入取决于各场景的复杂性及成本。为确保单个输入的安全功能符合 PLc，可以采取额外的安全措施来提高诊断能力；例如，进行电池电压合理性检查以验证电池电压测量是否准确。

结语

功能安全过去仅与汽车产品相关，但如今大多数现代市场都要求制造商遵守功能安全标准。非汽车市场最常用的安全标准是 ISO 13849，这是一种确保应用安全性和稳健性的系统级标准。MPS 提出的架构利用了每个 BMS 中已包含的有源组件，从而降低了附加成本。MPS 的电池监视器和保护器IC 系列均采用了这种架构，并经过了功能安全认证。

要了解通过MPS 设备根据 ISO 13849 标准如何实现特定性能水平的更多信息，请参阅相关应用说明。