切换导航
菜单:
close
我的购物车 0
我的购物车

  • 我的购物车

  • 比较产品
EN
高级搜索
搜索
搜索
code is temp removed to debug

AN215 - BMS 解决方案的功能安全原理(符合 ISO 13849标准)

Application Note

DOWNLOAD FULL PDF

Get valuable resources straight to your inbox - sent out once per month

Subscribe

We value your privacy


摘要

电池供电系统对工作条件具备一定敏感性,它在安全操作区域外运行时可能存在潜在的危险,甚至有可能导致火灾或爆炸。这种安全风险对用户来说是零容忍的,因此需要采取一定的措施来降低风险。

本应用说明介绍了一种符合 ISO 13849标准的功能安全电池管理系统 (BMS) 架构解决方案。文章讨论了安全功能、性能等级以及采取的安全措施定义。这些安全功能可以确保电池始终在安全操作区内工作,从而将风险降低到可接受的水平。

简介

本应用说明讨论了在基于 MPS 电池监控器和保护器 (BM&P) 的 BMS 架构中,根据 ISO 13849 功能安全标准推荐采取的安全措施。该架构结合了微控制器单元 (MCU),可以实现目标性能等级 (PL)。

文章概述了 BMS 架构,给出了如何配置 BM&P 的详细信息,并提供了每项安全措施的结构细节,此外还阐述了根据 ISO 13849 功能安全标准实现并证明 PL 的几个要点。

术语和定义

本应用说明中使用了以下术语和定义。这些术语主要与功能安全相关,尤其是在 ISO 13849 功能安全标准的背景下。本节内容对于理解本应用说明及其目的非常重要。

安全功能

安全功能是指一旦发生故障即可能导致风险立即增加的设备功能。

性能等级(PLr)

性能等级 (PL) 为离散等级,用于指定控制系统 (SRP/CS) 的安全相关部件在特定条件下执行安全功能的能力。根据SRP/CS 执行安全功能的能力,PL 范围从 PLa(最低)到 PLe(最高)。

所需性能等级(PLr)

所需性能等级 (PLr)是为了降低风险并实现每项安全功能必须满足的最低性能等级。

危险故障

危险故障是指对实施安全功能发挥重要作用的元件、子系统和/或系统发生的故障,危险故障会导致:

a. 阻止安全功能在需要时运行(需求模式)或导致安全功能失效(连续模式),从而使机器/机械处于危险或潜在的危险状态;或

b. 降低安全功能在需要时能够正常运行的概率。

平均危险故障时间(MTTFD)

平均危险故障时间 (MTTFD) 是指系统或组件在发生危险故障之前的预期平均运行时间。

诊断覆盖率

诊断覆盖率用于度量诊断的有效性,它是检测到的危险故障率与总危险故障率之间的比率。

类别

类别是基于子系统故障抵抗力和在故障条件下的后续行为而做的分类。通过部件的结构安排、故障检测和/或子系统的可靠性可以实现不同的类别。

架构

危险故障对系统执行安全功能的能力可能产生影响,而架构对于确定这种影响有多大非常关键。ISO 13849 提供了三种架构模式选项,如下所述:

单通道

单通道架构由一个输入、一个逻辑模块和一个输出组成(见图 1)。在发生危险故障期间,安全功能无法执行。

图1: 单通道架构

带测试的单通道

带测试的单通道与单通道类似,但包括了逻辑模块的测试(见图 2)。在发生危险故障时,系统可以检测到故障并在风险增加之前进入安全状态。

图2: 带测试的单通道架构

冗余通道

冗余通道架构提供两个并行运行的完整通道(见图 3)。在发生危险故障时,未发生故障的通道仍可执行安全功能。

图3: 冗余通道架构

类别

ISO 13849 标准提出了一种简化的方法,通过定义五个类别来确定能达到的 PL。这些类别根据所采用的架构、所使用的组件(MTTFD) 和 DC 来定义,如下所列:

  • B类:
    • 架构: 单通道
    • MTTFD: 低到中
    • DC: 无
    • 可实现的 PL: PLa 到 PLb
  • 1类
    • 架构: 单通道
    • MTTFD: 高
    • DC: 无
    • 可实现的 PL: PLa 到 PLc
  • 2类
    • 架构: 带测试的单通道
    • MTTFD: 低到高
    • DC: 低到中
    • 可实现的 PL: PLa 到 PLd
  • 3类
    • 架构: 冗余通道
    • MTTFD: 低到高
    • DC: 低到中
    • 可实现的 PLM: PLb 到 PLd
  • 4类
    • 架构: 冗余通道
    • MTTFD: 高
    • DC: 高
    • 可实现的 PL: PLe


    安全功能

    风险降低策略的第一步是风险分析,即分析所有可能的操作条件、故障和潜在的影响。分析的结果可以确定安全功能及其所需的性能等级 (PLr)。表 1 罗列了电池系统的典型安全功能,包括安全功能描述和 PLr。下文还将描述针对每项安全功能的安全措施。

    表 1:BMS 的安全功能 (SF) 定义

    SF ID SF 说明 安全状态 PLr 采取的安全措施
    SF1 防止电池单元过度充电 隔离电池,防止其充电和放电 PLc SM2, SM5, SM6, SM7, SM8, SM9, SM11, SM12, SM13, SM14, SM15, SM16, SM17
    SF2 防止电池过度充电 隔离电池,防止其充电和放电 PLc SM1, SM5, SM6, SM7, SM8, SM9, SM11, SM13, SM14, SM15, SM16, SM17
    SF3 防止电池单元充电不足 隔离电池,防止其充电和放电 PLc SM2, SM5, SM6, SM7, SM8, SM9, SM11, SM12, SM13, SM14, SM15, SM16, SM17
    SF4 防止电池充电不足 隔离电池,防止其充电和放电 PLc SM1, SM5, SM6, SM7, SM8, SM9, SM11, SM13, SM14, SM15, SM16, SM17
    SF5 防止电池充电过流 (OC) 故障 隔离电池,防止其充电和放电 PLc SM3, SM5, SM6, SM9, SM11, SM13, SM14, SM15, SM16, SM17
    SF6 防止电池放电 OC 故障 隔离电池,防止其充电和放电 PLc SM3, SM5, SM6, SM9, SM11, SM13, SM14, SM15, SM16, SM17
    SF7 防止电池充电短路 隔离电池,防止其充电和放电 PLc SM3, SM9, SM11, SM13, SM17
    SF8 防止电池放电短路 隔离电池,防止其充电和放电 PLc SM3, SM9, SM11, SM13, SM17
    SF9 检测电池过热(OT) 隔离电池,防止其充电和放电 PLc SM4, SM5, SM6, SM9, SM10, SM11, SM13, SM14, SM15, SM16, SM17
    SF10 检测电池低温 (UT) 隔离电池,防止其充电和放电 PLc SM4, SM5, SM6, SM9, SM10, SM11, SM13, SM14, SM15, SM16, SM17

    BMS架构

    本节介绍 BMS 架构如何实现安全功能。注意,BMS中通常都会用到电量计,但本文对此不做讨论,因为电量计与功能安全特性无关。图 4 显示了 BMS 的系统架构。

    图4: BMS系统架构

    上图中的系统架构基于 MPS BM&P(MP279x 系列)并结合了MCU。BM&P 可感测电池电压、电流和温度的大小。MCU 也可以感测电池和电池组的电压及电池温度。采样感测之后,这些值可由 BM&P 和 MCU 同时监控,二者通过多个接口连接,包括:

    • I2C 和 SPI 通信: 为I2C 通信配置安全解决方案
    • GPIO: GPIO1, GPIO2, 和 GPIO3.
    • xALERT: 从 BM&P 发送到 MCU 的采样中断
    • 看门狗定时器(WDT): 通过BM&P 复位 MCU
    • nSHDN: 通过 MCU 复位 BM&P
    • REGIN, VDD, 和 VREF: BM&P 的内部电源(REGIN、VDD)和内部参考电压 (VREF).

    本设计采用的电源架构确保了 BM&P 与MCU 的电源独立性。BM&P 通过高压输入引脚直接连接电池电压,该引脚能够承受超过最大电池电压的电压值。

    电池电压内部输入到电压稳压器模块,由该模块再生成不同的内部电源。MCU 由外部降压变换器供电;该变换器的输入端连接到电池电压,输出端直接连接到 MCU。两个芯片电源的唯一共同点是电池,通过模拟前端 (AFE) 和 MCU可以监控电池的过压 (OV) 和欠压 (UV) 事件。

    两个 IC 都可以实施保护功能并触发故障反应以过渡到安全状态。通过打开电源线路的不同保护层级,IC可以进入安全状态,将电池隔离以避免进行充电和放电。

    第一层保护由接触器或保护 MOSFET 组成(见图 4)。第二层保护是一个自控保护器 (SCP) ,它是一个可以通过(或不通过)外部命令触发的保险丝;SCP 不可复位,应配置为仅在第一层保护发生故障时再触发。

    SCP熔断机制通过内部加热器实现,这对功率耗散的范围有一定要求,只有满足该功率耗散范围要求才能确保 SCP 安全的熔断。 用加热器熔断保险丝的标准方法是关断控制加热器电流的晶体管,然后保持晶体管关断,直到保险丝熔断。然而,由于电池电压水平的变化,这种方法可能无法确保加热器的功率耗散在要求的操作范围内,因为功率耗散的多少取决于电池电压和加热器的内部电阻。

    必须确保功率耗散超过下限阈值并低于上限阈值。如果功率耗散低于下限阈值,加热器可能无法产生足够的热量熔断SCP;如果功率耗散超过上限阈值,则加热器可能在熔断保险丝之前先损坏。

    如果熔断 SCP 的标准方法不能确保其内部加热器产生的功率耗散在电池电压工作范围的标称范围内,还可以选择内部加热器电阻足够低的 SCP。通过这种方法确保在最低电池电压水平下加热器的功率耗散仍在要求的范围之内。采用具有可调占空比的脉宽调制 (PWM) 控制信号,可以使 SCP 内部加热器的平均功率耗散始终在其功率耗散范围内。

    功率耗散操作范围取决于所采用的 SCP,系统集成商应根据具体应用情况解决这个问题,选择 SCP 并正确控制以确保在电池电压的工作范围内安全正确地熔断 SCP。

    _______________________

    Did you find this interesting? Get valuable resources straight to your inbox - sent out once per month!

    技术论坛

    MPS 工程师24小时内回复您!
    【应用说明】AN169 - MP2696A移动电源参考设计
    摘要 便携式设备的性能提升与其电池尺寸和容量限制之间一直纠结不清,作为便携式设备的辅助设备,移动电源?...
    电池管理
    Latest activity a week ago
    10 回复
    【精华帖合集】电池管理板块精华帖合集
    MPS论坛 精华帖合集 全新上线!经过几年时间的累积,MPS论坛已经积累了许多有价值的内容,这其中包括技术分享?...
    电池管理
    Latest activity 2 months ago
    9 回复
    【方案推荐】智慧两轮出行新方案
    简介 自 2019 年新国标正式推行以来,电动自行车被要求确保蓄电池标称电压小于等于 48V、整车质量小于等于 55kg?...
    电池管理
    Latest activity 3 months ago
    5 回复
    获取技术支持