详解基于ISO26262的动力电池BMS解决方案

广告也精彩

BMS(Battery Management System)即电池管理系统。作为新能源汽车“三电”核心技术之一,BMS在HEV/EV中发挥着重要作用。广义上,BMS包含传统的12/24 V铅酸电池管理,但这里讨论的BMS主要是针对HEV/EV的动力电池管理,从48 V的弱混动到500 V以上的纯电动,恩智浦的BMS解决方案都可以覆盖。一般来说,BMS由一个主控单元和多个从控单元组成,从控单元直接连接电池包(Battery Pack),采集电池的电压、电流和温度等,主控通过CAN总线或Daisy Chain(菊花链)通信等方式管理多个从控单元。

按照新能源汽车对电池管理系统的需求,BMS具备的功能包括SoC/SoH估算、故障诊断、均衡控制、热管理和充电管理等(见图1)。SoC即电池荷电状态,用于衡量电池剩余电量,对于判断汽车可行驶里程十分重要。故障诊断用于判断电池的当前状态,及时正确识别电池的过压、欠压或过温等异常情况有助于避免事故发生。均衡控制主要是消除单体电池之间的容量差异,达到一致性,延长电池使用寿命。

 

详解基于ISO26262的动力电池BMS解决方案

随着汽车电子软硬件复杂性提高,来自系统失效和随机硬件失效的风险日益增加,随着汽车电子行业标准ISO26262的发布,使得人们对功能安全有了深入的理解,对评估、避免这些风险提供了可靠的流程保证。电池管理BMS引入ISO26262标准,不仅是顺应技术趋势的发展需求,而且确实能为BMS带来质的变化,从长远来看,有利于行业健康发展。

BMS功能安全开发流程

ISO26262定义的功能安全标准涵盖了产品的管理、开发、生产、经营、服务和报废等阶段,覆盖了产品的整个生命周期,产品开发时主要关注的阶段有概念、系统级开发、硬件开发和软件开发等阶段。

在功能安全概念阶段要做系统危害分析(Hazard Analysis)和风险评估(Risk Assessment),得出汽车安全完整性等级ASIL(Automotive Safety Integrity Level)。ISO26262标准规定了A到D四个安全等级,其中D级为最高等级,相应的需求最为苛刻。一般而言,主流车厂认为BMS需要达到的安全等级至少是ASIL-C。在得出安全等级ASIL后,需要设立安全目标(Safety Goal),并提出相应的安全需求(Safety Requirement)和安全机制(Safety Mechanism),并在必要的时候做功能安全等级分解(见图2)。

 

详解基于ISO26262的动力电池BMS解决方案

ISO26262给出了三个指标:单点故障指标SPFM、潜在故障指标LFM和随机硬件失效指标PMHF,用于评估系统的安全性等级。

例如:在BMS开发过程中,对BMS的危害分析有过压(过充)、欠压、过温和过流等危害事件进行监测。如过压,可能是一个比较严重的事件,尤其长时间对电池过充会导致电池性能下降和不可恢复性损坏,甚至导致电池变形、漏液情况发生。通过对过充这类事件进行危害分析和风险评估,得出其安全等级是ASIL-C或者ASIL-D(在不同应用场景下分析下得出的安全等级可能不一样),那么系统的安全目标就是BMS应该能及时发现电池过充情况并作出处理,对应地,要从单点失效和潜在失效等方面考虑设计安全机制,最后用前面提到的度量指标进行安全性评估。

符合功能安全的BMS解决方案

恩智浦提供完整的电池管理系统解决方案,包括微控制器MCU、模拟前端电池控制器IC、隔离网络高速收发器和系统基础芯片SBC等。借助恩智浦的BMS解决方案,用户可轻易实现基于CAN网络或菊花链的电池管理系统。恩智浦提供多种符合ISO26262标准的器件,主控单元MPC574xP安全等级达到ASIL-D,模拟前端电池控制器MC33771安全等级达到ASIL-C,SBC(System Basic Chip)系统基础芯片FS45/65安全等级达到ASIL-D。采用这套方案可简化软硬件设计,帮助用户轻松实现系统安全等级达到ASIL-C/D。此外,恩智浦提供符合功能安全的参考设计,极大加速用户开发符合ISO2626标准的BMS产品(见图3)。

 

详解基于ISO26262的动力电池BMS解决方案

在图3的方案中,主控单元采用的MPC574xP是一款基于PowerArchitecture、具有延迟锁步核Lock Step核的高性能和高安全性MCU。SBC系统基础芯片FS45/65不仅提供多种可配置的电源选择,而且提供电源监控和众多安全机制,支持Fail-Safe安全保护模式,MCU搭配SBC系统基础芯片可实现更高的安全等级。模拟前端MC33771负责电池数据的采集,一个MC33771最多可以接14节单体电池,多个MC33771可以级联形成菊花链式通信。MC33664作为MCU和MC33771的传输物理层,负责将SPI信号和差分信号进行转换。

恩智浦的BMS解决方案支持多种网络拓扑结构,包括集中式、分布式菊花链结构以及集中式、分布式CAN网络结构。菊花链式网络可显著降低BoM成本,受制于通信距离限制,在目前的大巴车上,目前主要是基于CAN总线通信。恩智浦提供的BMS解决方案具有极大的灵活性,可以满足不同用户的需求(见图4)。

 

详解基于ISO26262的动力电池BMS解决方案

鉴于目前国内市场基于ISO26262的开发还处于起步阶段,部分车厂和供应商的功能安全开发经验不足,导致开发符合IS026262标准的BMS难度较大,并且要一下子达到系统级ASIL-C/D,挑战性巨大。针对这种情况,恩智浦提供一种折中的方案,推荐主控单元采用S32K14x系列MCU,结合外部的系统基础芯片FS45/65等,可使系统安全等级达到ASIL-B。另外,单个S32K14x达到ASIL-B等级,通过软硬件冗余设计也能使系统达到更高的安全等级ASIL-C。

需要指出的是,在恩智浦,所有按照ISO26262标准开发的器件,都被囊括在恩智浦的SafeAssure计划里。SafeAssure保证开发的产品符合ISO26262标准,并提供必要的支持,提供功能安全相关的文档(如Safety Manual和FMEDA等),Safety Manual详细阐述了芯片所采用安全机制,并指导用户如何使用芯片可以达到比较高的安全性等级。FMEDA展示了芯片失效模型、失效概率和诊断分析等,用户可根据具体应用需求对FMEDA进行裁剪。

  • 详解基于ISO26262的动力电池BMS解决方案已关闭评论
    A+
发布日期:2019年03月10日  所属分类:汽车电子