AN215 - BMS 解决方案的功能安全(符合ISO 13849标准)

每月为您发送最具参考价值的行业文章

订阅

我们会保障您的隐私


摘要

电池供电系统对工作条件具备一定敏感性,它在安全操作区域外运行时可能存在潜在的危险,有可能导致火灾或爆炸。 这些安全风险对用户而言是零容忍的,因此需要采取一定的措施来降低风险。

本应用说明介绍了符合 ISO 13849功能安全标准的电池管理系统 (BMS) 架构解决方案。文章讨论了安全功能、性能级别以及可实施的安全措施定义。这些安全功能可确保电池始终在安全的操作区域内工作,从而将风险降至可接受的水平。

简介

本应用说明根据 ISO 13849 功能安全标准,针对BMS 架构给出了安全措施建议。这些措施基于 MPS 的电池监控器和保护器 (BM&P) ,同时结合了微控制器 (MCU) ,可以实现目标性能等级 (PL) 。

文章还概述了 BMS 架构,给出了BM&P 的配置详情以及每项安全措施的详细结构,同时阐明了根据 ISO 13849功能安全标准实现并验证 PL 的几个要点。

术语和定义

本应用说明中使用了以下术语和定义。这些术语主要与功能安全相关,尤其在 ISO 13849 功能安全标准的背景下。 请仔细阅读本节以更好地理解本应用说明及其目的。

安全功能

安全功能是机器需要具备的一种功能,一旦失效将可能导致安全风险立刻增加。

性能等级(PL)

性能等级是一种离散级别,用于指定控制系统 (SRP/CS) 的安全相关部件在特定条件下执行安全功能的能力。根据系统执行安全功能的能力,PL 的范围从 PLa(最低)到 PLe(最高)。

所需PL

所需 PL 是指为实现每项安全功能、降低其风险而采取的 PL。

危险故障

危险故障是指有可能使 SRP/CS 处于危险状态或无法运行的故障。

通过采用特定的结构、特定的组件(MTTF)和诊断覆盖率(DC),可以降低危险故障产生的概率。

平均无故障时间(MTTF)

平均无故障时间 (MTTF) 是组件可靠性的衡量标准,它代表组件在损坏或失效之前可以运行的平均时间。但并非所有的故障都是危险的,因为组件有不同的故障模式及其响应,只有影响安全功能性能的故障才被视为危险故障。

关于安全性还有另一个重要的术语,即平均无危险故障时间(MTTFD),它是组件在发生危险故障之前可以运行的平均时间。

诊断覆盖率

诊断覆盖率用于度量诊断的有效性,它定义为检测到的危险故障故障率与总危险故障故障率之间的比率。

架构

危险故障可能对系统执行安全功能的能力产生影响,而架构对于确定这种影响至关重要。ISO 13849 提供了如下的三种架构模式选项:

  • 单通道:单通道架构由一个输入、一个逻辑模块和一个输出组成。发生危险故障时,安全功能无法执行。
  • 带测试的单通道: 带测试的单通道架构与单通道类似,但包括了逻辑模块的测试。在发生危险故障时,系统可以在风险增加之前检测到故障并进入安全状态。
  • 冗余通道: 冗余通道架构提供两个并行运行的完整通道。在发生危险故障时,另一个通道仍然可以执行安全功能。

类别

ISO 13849 标准提出了一种简化方法,通过定义五个类别来确定能达到的 PL。这些类别根据所采用的架构、所使用的组件(MTTFD) 和 DC 来定义,如下所列:

  • B:
    • 架构:单通道
    • MTTFD:低到中
    • 直流:无
    • 可实现的 PL:PLa 到 PLb
  • 1:
    • 架构:单通道
    • MTTFD:高
    • 直流:无
    • 可实现的 PL:PLa 到 PLc
  • 2:
    • 架构:单通道测试
    • MTTFD:低到高
    • DC:低到中
    • 可实现的 PL:PLa 到 PLd
  • 3:
    • 架构:冗余通道
    • MTTFD:低到高
    • DC:低到中
    • 可实现的 PL:PLb 到 PLd
  • 4:
    • 架构:冗余通道
    • MTTFD:高
    • 直流:高
    • 可实现的 PL:PLe


    安全功能

    风险降低策略的第一步是风险分析,分析所有可能操作条件、故障和潜在影响的场景。分析的结果可以确定安全功能及其所需的性能级别(PLr) 。表 1 罗列了电池系统的典型安全功能,包括 PLr及其说明。

    表 1:BMS 的安全功能 (SF) 定义

    SF ID SF说明 安全状态 PLr 采取的安全措施
    SF1 防止电池单元过度充电 隔离电池充电和放电 PLc SM2, SM5, SM6, SM7, SM8, SM9, SM11
    SF2 防止电池过度充电 隔离电池充电和放电 PLc SM2, SM5, SM6, SM7, SM8, SM9, SM11
    SF3 防止电池单元充电不足 隔离电池充电和放电 PLc SM2, SM5, SM6, SM7, SM8, SM9, SM11
    SF4 防止电池充电不足 隔离电池充电和放电 PLc SM1, SM5, SM6, SM7, SM8, SM9, SM11
    SF5 防止电池充电过流 (OC) 故障 隔离电池充电和放电 PLc SM3, SM5, SM6, SM9, SM11
    SF6 防止电池放电过流故障 隔离电池充电和放电 PLc SM3, SM5, SM6, SM9, SM11
    SF7 防止电池充电短路 隔离电池充电和放电 PLc SM3, SM9, SM11
    SF8 防止电池放电短路 隔离电池充电和放电 PLc SM3, SM9, SM11
    SF9 检测电池过热 (OT) 隔离电池充电和放电 PLc SM4, SM5, SM6, SM9, SM10, SM11
    SF10 检测电池低温 (UT) 隔离电池充电和放电 PLc SM4, SM5, SM6, SM9, SM10, SM11

    BMS架构

    本节介绍 BMS 架构如何实现安全功能。注意,BMS中通常都会用到电量计,但本文对此不做讨论,因为电量计与功能安全特性无关。

    图1: BMS系统架构

    上图中的系统架构基于 MPS BM&P(MP279x 系列)并结合了MCU。BM&P 可感测电池电压、电流和温度的大小。MCU 也可以感测电池和电池组的电压及电池温度。采样感测之后,这些值可由 BM&P 和 MCU 同时监控,二者通过多个接口连接,包括:

    • I2C 和 SPI 通信:为 I2C 通信配置安全解决方案
    • GPIOs:GPIO1、GPIO2 和 GPIO3
    • xALERT:从 BM&P 发送到 MCU 的采样中断
    • 看门狗定时器 (WDT):通过BM&P 复位 MCU
    • nSHDN:通过 MCU 复位 BM&P
    • REGIN, VDD, and VREF:BM&P 的内部电源(REGIN、VDD)和内部参考电压(VREF)


    这两款 IC 都可以实现保护功能,触发故障反应,并转换至安全状态。通过打开电源线上的不同保护层可以实现安全状态,隔离电池的充电和放电。

    第一保护层由接触器或保护MOSFET组成(见图1)。 第二保护层由自控保护器(SCP)组成,它是有或没有外部命令均可触发的熔丝。注意,SCP 是不可重置的设备,应配置为仅当第一保护层发生故障时才触发。

    _______________________

    您感兴趣吗?点击订阅,我们将每月为您发送最具价值的资讯!

    获取技术支持