在過去的十年中，電池供電的應(yīng)用已變得必不可少，需要一定程度的保護(hù)才能確保安全使用。此安全性由電池管理系統(tǒng)(BMS)提供。 BMS監(jiān)視電池和可能的故障狀況，防止由于電池或其周圍環(huán)境而導(dǎo)致的任何危險情況，并確保對電池剩余容量或電池降解水平進(jìn)行準(zhǔn)確的估計。

低壓電池或中型電池電池的BMS的主要結(jié)構(gòu)通常由三個IC組成，如下所述：

1. 電池監(jiān)視器和保護(hù)器：也稱為模擬前端(AFE)，電池監(jiān)視器和保護(hù)器提供了第一級保護(hù)，因為它負(fù)責(zé)測量電池電壓，電流和溫度。

2. 微控制器單元(MCU)：MCU處理來自電池監(jiān)視器和保護(hù)器的數(shù)據(jù)，通常包含第二級保護(hù)，包括監(jiān)視閾值。

3. 燃油表(FG)：燃油表是一個單獨的IC，可提供最新電荷(SOC)，健康(SOH)信息和剩余的運行時估計以及其他與用戶相關(guān)的電池參數(shù)。

圖1 BMS體系結(jié)構(gòu)顯示了關(guān)鍵的三個構(gòu)建塊。

圖1顯示了低壓或中電池的完整BMS的主要結(jié)構(gòu)。燃油表可以是獨立的IC，也可以嵌入MCU中。 MCU是BMS的中心元素，從AFE和燃油表中獲取信息，并與系統(tǒng)的其余部分接口。

盡管三個主要組件構(gòu)成了BMS，但使用這些組件而無需任何其他考慮因素不足以確保系統(tǒng)符合某些行業(yè)所需的安全水平。本文將解釋功能安全在非自動電池管理系統(tǒng)中的作用以及如何達(dá)到所需的安全水平。

功能安全介紹

功能安全性是整體安全的一個分支，重點是減少由于電氣/電子(E/E)系統(tǒng)功能故障而導(dǎo)致的危險事件產(chǎn)生的風(fēng)險。目的是確保剩余風(fēng)險在可接受的范圍內(nèi)。

近年來，在汽車，機(jī)械，醫(yī)學(xué)，工業(yè)和航空等不同領(lǐng)域中E/E系統(tǒng)的使用越來越多，伴隨著更加重視功能安全性。這些變化導(dǎo)致了不同功能安全標(biāo)準(zhǔn)的發(fā)展。

ISO 13849，標(biāo)題為“機(jī)械安全性 - 控制系統(tǒng)的安全相關(guān)部分”，是一個功能安全標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)側(cè)重于機(jī)械場中控制系統(tǒng)(SRP/CS)的安全相關(guān)部分。這是一個包括廣泛應(yīng)用的領(lǐng)域，從通用工業(yè)機(jī)械到摩托車和電子自行車。 ISO 13849將不同的安全水平定義為性能水平(PL)，其范圍從PLA(較低的安全水平)到PLE(更高的安全水平)。

該安全標(biāo)準(zhǔn)定義了風(fēng)險評估和減少的準(zhǔn)確過程。它提出了一種基于三個參數(shù)確定已達(dá)到的PL的簡化方法：類別，危險失敗的平均時間(MTTF D)和平均診斷覆蓋范圍(DC AVG)，該方法是通過平均與不同安全措施相關(guān)的所有DC計算得出的應(yīng)用于系統(tǒng)。

該類別是對SRP/CS的分類，該分類描述了其對故障的阻力以及在發(fā)生故障狀態(tài)的后續(xù)行為。有5個類別(B，1、2、3和4)。

體系結(jié)構(gòu)對該類別的影響最大。 SRP/CS的基本體系結(jié)構(gòu)由三個功能塊組成：輸入，邏輯塊和輸出(圖2)。圖2對應(yīng)于針對B類和類別1提出的體系結(jié)構(gòu)，它稱為“單渠道”體系結(jié)構(gòu)。單通道體系結(jié)構(gòu)被認(rèn)為是實現(xiàn)SRP/CS標(biāo)稱功能的最基本體系結(jié)構(gòu)，但它不打算用于任何診斷功能。

圖2為B類和類別1提出了上述體系結(jié)構(gòu)。

B類和1依賴于其組件的可靠性(MTTF D)來確保安全功能的完整性。如果實現(xiàn)安全函數(shù)的組件失敗，則無法保證安全狀態(tài)，因為沒有診斷(DC AVG = 0)。

對于類別2，所提出的架構(gòu)稱為“經(jīng)過單通道測試”。該體系結(jié)構(gòu)的基礎(chǔ)與單渠道體系結(jié)構(gòu)相同，但是帶有一個增加的測試設(shè)備塊可以診斷功能通道是否正常工作。如果實現(xiàn)安全函數(shù)的組件失敗，則不會執(zhí)行安全函數(shù);但是，如果測試設(shè)備診斷出故障，可以實現(xiàn)安全狀態(tài)。

對于類別3和類別4，所提出的體系結(jié)構(gòu)稱為“冗余通道”，該頻道通過兩個獨立的功能渠道實現(xiàn)，可以診斷另一個渠道上的問題。如果實現(xiàn)安全函數(shù)的組件有故障，則安全函數(shù)仍然可以由另一個渠道執(zhí)行。設(shè)計人員應(yīng)根據(jù)每個安全功能的目標(biāo)安全水平選擇SRP/CS類別。

逐步實現(xiàn)功能安全性

ISO 13849標(biāo)準(zhǔn)定義了一個迭代過程，在該過程中，對SRP/CS設(shè)計進(jìn)行評估以確定所達(dá)到的PL并檢查安全水平是否足夠或必須在新的環(huán)中改進(jìn)。該過程包括降低風(fēng)險的三種不同方法：通過安全設(shè)計措施降低風(fēng)險，通過保障措施降低風(fēng)險以及通過信息降低風(fēng)險。 ISO 13849支持通過保護(hù)風(fēng)險的降低風(fēng)險(圖3)。

圖3 ISO 13849通過保障支持降低風(fēng)險。

保護(hù)過程首先定義SRP/CS的安全函數(shù)，在該功能進(jìn)行風(fēng)險分析后定義了所需的性能水平(PLR)。 PLR是每個安全函數(shù)的SRP/CS的靶PL。

下一步包括為指定的安全要求設(shè)計SRP/CS。這需要考慮可能的架構(gòu)，實施的安全措施以及最終確定SRP/CS的設(shè)計以執(zhí)行相關(guān)的安全功能。

設(shè)計SRP/CS后，評估每個安全功能的實現(xiàn)性能水平。這是整個保護(hù)過程的核心步驟。要評估所達(dá)到的PL，請定義類別，然后計算每個單個安全函數(shù)的SRP/CS的MTTF D和DC AVG 。

MTTF D是每個通道計算的，并且具有三個級別(表1)。

表1 MTTF D，計算為每個通道，具有三個級別。

表2顯示了定義每個診斷度量的DC的四個級別。

表2有四個級別來定義每個診斷度量的DC。

可以使用相關(guān)參數(shù)確定可實現(xiàn)的PL(表3)。

表3相關(guān)參數(shù)有助于確定可實現(xiàn)的PL。

只有在設(shè)計中實施了標(biāo)準(zhǔn)定義的剩余要求和分析時，才能確認(rèn)可實現(xiàn)的PL。這些要求必須遵守系統(tǒng)的故障管理，常見原因失敗(CCF)分析，安全原理和軟件開發(fā)(如果適用)。

一旦完成此過程，應(yīng)通過PLR驗證SRP/CS為混凝土安全函數(shù)實現(xiàn)的PL。如果PL <PLR，則應(yīng)重新設(shè)計SRP p CS。每個安全功能都應(yīng)重申此過程。< CS已達(dá)到所需的安全水平，并且必須執(zhí)行驗證以通過測試確保正確的行為。如果有意外的行為，則應(yīng)重新設(shè)計SRP CS，并且PL評估過程必須重新開始。如果PL≥PLR，則SRP>

根據(jù)每個市場的功能安全水平

電池供電的設(shè)備用于無數(shù)市場，每個市場都根據(jù)失敗對人類和/或環(huán)境的危險程度要求不同的功能安全規(guī)范。表4顯示了一些主要市場所需的功能安全水平。請注意，這些級別正在不斷變化，并且可能會根據(jù)每個工程團(tuán)隊的設(shè)計而有所不同。

表4這是基于市場確定的PL的方式。

盡管這些是當(dāng)前的性能水平市場期望，但由于世界各地電池供電設(shè)備的持續(xù)問題，電動性和某些能源存儲應(yīng)用可能會進(jìn)入PLD。例如，能源不良的應(yīng)用程序已導(dǎo)致美國儲能系統(tǒng)(ESS)設(shè)施發(fā)生火災(zāi)。在英國，超過190人受傷，八人被電動自行車和電子駕駛員故障引起的大火殺死。

所有這些事件都可以通過更強(qiáng)大，更可靠的系統(tǒng)來阻止。不斷提高安全水平的需求意味著擁有可以在不同性能水平上實現(xiàn)的可擴(kuò)展解決方案至關(guān)重要。

功能安全設(shè)計建議

以ISO 13849的BMS概念為例，MONOLITHIC POWER SYSTEMS(MPS)通過將MCU與MP279X的MP279X家族組成的電池監(jiān)視器和保護(hù)器組合來開發(fā)。如表5所示，該系統(tǒng)的方向達(dá)到了一套安全功能(SFS)的PLC安全水平(SFS)。 PLR確定取決于風(fēng)險分析，在該風(fēng)險分析中可以進(jìn)行微小的變化以及使用BMS的應(yīng)用。

表5請參閱BMS概念的定義安全功能。

國會議員提出的實現(xiàn)PLC提出的解決方案可以符合某些安全功能的第2類或第3類(對每個安全功能)。只有一個輸入塊，對于其他輸入塊，有冗余的輸入塊。

圖4顯示了如何實現(xiàn)SF2和SF4，以防止電池組充電和收費不足。在實現(xiàn)SRP/CS時，有兩個邏輯塊：電池監(jiān)視器和保護(hù)器(邏輯1)和MCU(邏輯2)。這些邏輯塊用于診斷設(shè)計中不同零件的正確功能。

圖4這是如何實現(xiàn)SF2和SF4。

單個或重復(fù)輸入的實施取決于每種情況下的復(fù)雜性和成本。為了確保單個輸入的安全功能符合PLC，可以采取其他安全措施來提高診斷能力;一個示例是單元電壓的合理性檢查，以驗證細(xì)胞電壓測量是否正確。

功能安全曾與汽車產(chǎn)品相關(guān)，但如今，大多數(shù)現(xiàn)代市場都要求制造商遵守功能安全標(biāo)準(zhǔn)。非自動化市場最著名的安全標(biāo)準(zhǔn)是ISO 13849，這是一個系統(tǒng)級別的標(biāo)準(zhǔn)，可確保應(yīng)用程序的安全性和魯棒性。