鉅大LARGE | 點(diǎn)擊量:1524次 | 2020年07月09日
基于ISO26262的動(dòng)力鋰電池BMS解決方法詳細(xì)介紹
BMS(BatteryManagementSystem)即電池管理系統(tǒng)。作為新能源汽車三電核心技術(shù)之一,BMS在HEV/EV中發(fā)揮著重要用途。廣義上,BMS包含傳統(tǒng)的12/24 V鉛酸電池管理,但這里討論的BMS重要是針對(duì)HEV/EV的動(dòng)力鋰電池管理,從48 V的弱混動(dòng)到500 V以上的純電動(dòng),恩智浦的BMS解決方法都可以覆蓋。一般來說,BMS由一個(gè)主控單元和多個(gè)從控單元組成,從控單元直接連接電池包(Batterypack),采集電池的電壓、電流和溫度等,主控通過CAN總線或DaisyChain(菊花鏈)通信等方式管理多個(gè)從控單元。
按照新能源汽車對(duì)電池管理系統(tǒng)的需求,BMS具備的功能包括SoC/SoH估算、故障診斷、均衡控制、熱管理和充電管理等(見圖1)。SoC即電池荷電狀態(tài),用于衡量電池剩余電量,關(guān)于判斷汽車可行駛里程十分重要。故障診斷用于判斷電池的當(dāng)前狀態(tài),及時(shí)正確識(shí)別電池的過壓、欠壓或過溫等異常情況有助于防止事故發(fā)生。均衡控制重要是消除單體電池之間的容量差異,達(dá)到一致性,延長(zhǎng)電池使用壽命。
隨著汽車電子軟硬件復(fù)雜性提高,來自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)日益新增,隨著汽車電子行業(yè)標(biāo)準(zhǔn)ISO26262的公布,使得人們對(duì)功能安全有了深入的理解,對(duì)評(píng)估、防止這些風(fēng)險(xiǎn)供應(yīng)了可靠的流程保證。電池管理BMS引入ISO26262標(biāo)準(zhǔn),不僅是順應(yīng)技術(shù)趨勢(shì)的發(fā)展需求,而且確實(shí)能為BMS帶來質(zhì)的變化,從長(zhǎng)遠(yuǎn)來看,有利于行業(yè)健康發(fā)展。
BMS功能安全開發(fā)流程
ISO26262含義的功能安全標(biāo)準(zhǔn)涵蓋了產(chǎn)品的管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)和報(bào)廢等階段,覆蓋了產(chǎn)品的整個(gè)生命周期,產(chǎn)品開發(fā)時(shí)重要關(guān)注的階段有概念、系統(tǒng)級(jí)開發(fā)、硬件開發(fā)和軟件開發(fā)等階段。
在功能安全概念階段要做系統(tǒng)危害分析(HazardAnalysis)和風(fēng)險(xiǎn)評(píng)估(RiskAssessment),得出汽車安全完整性等級(jí)ASIL(AutomotiveSafetyIntegrityLevel)。ISO26262標(biāo)準(zhǔn)規(guī)定了A到D四個(gè)安全等級(jí),其中D級(jí)為最高等級(jí),相應(yīng)的需求最為苛刻。一般而言,主流車廠認(rèn)為BMS要達(dá)到的安全等級(jí)至少是ASIL-C。在得出安全等級(jí)ASIL后,要設(shè)立安全目標(biāo)(SafetyGoal),并提出相應(yīng)的安全需求(SafetyRequirement)和安全機(jī)制(SafetyMechanism),并在必要的時(shí)候做功能安全等級(jí)分解(見圖2)。
ISO26262給出了三個(gè)指標(biāo):?jiǎn)吸c(diǎn)故障指標(biāo)SpFM、潛在故障指標(biāo)LFM和隨機(jī)硬件失效指標(biāo)pMHF,用于評(píng)估系統(tǒng)的安全性等級(jí)。
例如:在BMS開發(fā)過程中,對(duì)BMS的危害分析有過壓(過充)、欠壓、過溫和過流等危害事件進(jìn)行監(jiān)測(cè)。如過壓,可能是一個(gè)比較嚴(yán)重的事件,尤其長(zhǎng)時(shí)間對(duì)電池過充會(huì)導(dǎo)致電池性能下降和不可恢復(fù)性損壞,甚至導(dǎo)致電池變形、漏液情況發(fā)生。通過對(duì)過充這類事件進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估,得出其安全等級(jí)是ASIL-C或者ASIL-D(在不同應(yīng)用場(chǎng)景下分析下得出的安全等級(jí)可能不相同),那么系統(tǒng)的安全目標(biāo)就是BMS應(yīng)該能及時(shí)發(fā)現(xiàn)電池過充情況并作出處理,對(duì)應(yīng)地,要從單點(diǎn)失效和潛在失效等方面考慮設(shè)計(jì)安全機(jī)制,最后用前面提到的度量指標(biāo)進(jìn)行安全性評(píng)估。
符合功能安全的BMS解決方法
恩智浦供應(yīng)完整的電池管理系統(tǒng)解決方法,包括微控制器MCU、模擬前端電池控制器IC、隔離網(wǎng)絡(luò)高速收發(fā)器和系統(tǒng)基礎(chǔ)芯片SBC等。借助恩智浦的BMS解決方法,用戶可輕易實(shí)現(xiàn)基于CAN網(wǎng)絡(luò)或菊花鏈的電池管理系統(tǒng)。恩智浦供應(yīng)多種符合ISO26262標(biāo)準(zhǔn)的器件,主控單元MpC574xp安全等級(jí)達(dá)到ASIL-D,模擬前端電池控制器MC33771安全等級(jí)達(dá)到ASIL-C,SBC(SystemBasicChip)系統(tǒng)基礎(chǔ)芯片F(xiàn)S45/65安全等級(jí)達(dá)到ASIL-D。采用這套方法可簡(jiǎn)化軟硬件設(shè)計(jì),幫助用戶輕松實(shí)現(xiàn)系統(tǒng)安全等級(jí)達(dá)到ASIL-C/D。此外,恩智浦供應(yīng)符合功能安全的參考設(shè)計(jì),極大加速用戶開發(fā)符合ISO2626標(biāo)準(zhǔn)的BMS產(chǎn)品(見圖3)。
在圖3的方法中,主控單元采用的MpC574xp是一款基于powerArchitecture、具有延遲鎖步核LockStep核的高性能和高安全性MCU。SBC系統(tǒng)基礎(chǔ)芯片F(xiàn)S45/65不僅供應(yīng)多種可配置的電源選擇,而且供應(yīng)電源監(jiān)控和眾多安全機(jī)制,支持Fail-Safe安全保護(hù)模式,MCU搭配SBC系統(tǒng)基礎(chǔ)芯片可實(shí)現(xiàn)更高的安全等級(jí)。模擬前端MC33771負(fù)責(zé)電池?cái)?shù)據(jù)的采集,一個(gè)MC33771最多可以接14節(jié)單體電池,多個(gè)MC33771可以級(jí)聯(lián)形成菊花鏈?zhǔn)酵ㄐ?。MC33664作為MCU和MC33771的傳輸物理層,負(fù)責(zé)將SpI信號(hào)和差分信號(hào)進(jìn)行轉(zhuǎn)換。
恩智浦的BMS解決方法支持多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),包括集中式、分布式菊花鏈結(jié)構(gòu)以及集中式、分布式CAN網(wǎng)絡(luò)結(jié)構(gòu)。菊花鏈?zhǔn)骄W(wǎng)絡(luò)可顯著降低BoM成本,受制于通信距離限制,在目前的大巴車上,目前重要是基于CAN總線通信。恩智浦供應(yīng)的BMS解決方法具有極大的靈活性,可以滿足不同用戶的需求(見圖4)。
鑒于目前國內(nèi)市場(chǎng)基于ISO26262的開發(fā)還處于起步階段,部分車廠和供應(yīng)商的功能安全開發(fā)相關(guān)經(jīng)驗(yàn)不足,導(dǎo)致開發(fā)符合IS026262標(biāo)準(zhǔn)的BMS難度較大,并且要一下子達(dá)到系統(tǒng)級(jí)ASIL-C/D,挑戰(zhàn)性巨大。針對(duì)這種情況,恩智浦供應(yīng)一種折中的方法,推薦主控單元采用S32K14x系列MCU,結(jié)合外部的系統(tǒng)基礎(chǔ)芯片F(xiàn)S45/65等,可使系統(tǒng)安全等級(jí)達(dá)到ASIL-B。另外,單個(gè)S32K14x達(dá)到ASIL-B等級(jí),通過軟硬件冗余設(shè)計(jì)也能使系統(tǒng)達(dá)到更高的安全等級(jí)ASIL-C。
要指出的是,在恩智浦,所有按照ISO26262標(biāo)準(zhǔn)開發(fā)的器件,都被囊括在恩智浦的SafeAssure計(jì)劃里。SafeAssure保證開發(fā)的產(chǎn)品符合ISO26262標(biāo)準(zhǔn),并供應(yīng)必要的支持,供應(yīng)功能安全相關(guān)的文檔(如SafetyManual和FMEDA等),SafetyManual詳細(xì)闡述了芯片所采用安全機(jī)制,并指導(dǎo)用戶如何使用芯片可以達(dá)到比較高的安全性等級(jí)。FMEDA展示了芯片失效模型、失效概率和診斷分析等,用戶可根據(jù)具體應(yīng)用需求對(duì)FMEDA進(jìn)行裁剪。
高性能、高安全性微控制器
恩智浦還供應(yīng)高性能、高安全性的微控制器。
1.基于powerArchitecture的MpC574xp
MpC574xp是MpC5743L的下一代產(chǎn)品。MpC5643L是第一個(gè)拿到第三方認(rèn)證、符合ISO2626標(biāo)準(zhǔn)的MCU,MpC574xp基本繼承了MpC5643L的所有特性,并在工藝和性能上有一定提升(見圖5)。
MpC574xp具有延遲鎖步核LockStep,可運(yùn)行在200 MHz,兩個(gè)核執(zhí)行同樣的代碼,輸出結(jié)果進(jìn)行比較,假如發(fā)現(xiàn)不匹配,可以觸發(fā)系統(tǒng)的安全機(jī)制,通知用戶有異常發(fā)生,并作出相應(yīng)處理。MpC574xp具有很多的安全特性,針對(duì)電源和時(shí)鐘的功能是否正常,內(nèi)部有專門的監(jiān)控電路。針對(duì)Flash和RAM,有ECC保證讀寫數(shù)據(jù)的正確性。針對(duì)ADC,有BIST(BuildinSelfTest)自檢電路驗(yàn)證ADC的邏輯。特別要提到的是MpC574xp具有FCCU單元,該單元收集所有其他模塊在運(yùn)行過程中出現(xiàn)的異常事件,并提交給MCU內(nèi)核做處理。
實(shí)際上,MpC574xp不僅僅可運(yùn)用在BMS領(lǐng)域,任何對(duì)安全要求很嚴(yán)格的應(yīng)用都可以采用MpC574xp,如新能源汽車電動(dòng)機(jī)控制、EpS(電子助力轉(zhuǎn)向系統(tǒng))、制動(dòng)、安全氣囊和底盤應(yīng)用等。
2.基于powerArchitecture的MpC574xR
MpC574xR系列MCU特點(diǎn)與MpC574xp系列類似,安全等級(jí)滿足ISO26262ASIL-D,不同的是除了MpC5743R(內(nèi)部只有鎖步核),MpC5745/6R供應(yīng)了鎖步核的同時(shí),還供應(yīng)了另外一個(gè)獨(dú)立的內(nèi)核,這個(gè)內(nèi)核可單獨(dú)運(yùn)行其他程序,該系列MCU供應(yīng)了更高的性能。
3.基于AMRCortexM4的S32K14x
S32K14x系列MCU供應(yīng)極強(qiáng)的性價(jià)比,同時(shí)具有較高的安全等級(jí),滿足ISO26262ASIL-B。該系列MCU最大運(yùn)行頻率112MHz,帶有SFpU,基于修改的Harvard架構(gòu),支持緊密耦合的RAM和4KBI/D緩存,支持SHE規(guī)范的硬件安全引擎,內(nèi)置48MHzRC(IRC)振蕩器,支持CANFD,利用FlexIO可仿真通信協(xié)議,如SpI、UART等。
4.模擬前端電池控制器MC33771
MC33771滿足ISO2626ASIL-C,工作電壓范圍9.6 V≤VpWR≤61.6 V,70 V瞬態(tài)電壓,支持7~14節(jié)電池,7個(gè)ADC/IO口/溫度傳感器輸入,支持14通道300 mA板載被動(dòng)均衡。
結(jié)語
功能安全是未來汽車電子行業(yè)的趨勢(shì),也是恩智浦BMS解決方法的優(yōu)勢(shì),恩智浦能夠供應(yīng)BMS的全套解決方法,包括高性能、高安全性的微控制器和模擬器件,如基于powerArchitecture微控制器MpC574xp和基于ARMArchitecture的S32K14x,以及模擬前端電池控制器MC33771。恩智浦供應(yīng)靈活的方法,支持集中式/分布式的CAN/菊花鏈網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),能滿足不同的應(yīng)用需求。恩智浦BMS解決方法可幫助用戶簡(jiǎn)化功能安全設(shè)計(jì),使系統(tǒng)安全等級(jí)符合ISO26262ASIL-C/D。