非自动BMS设计的功能安全性

[导读]在过去的十年中，电池供电的应用已变得必不可少，需要一定程度的保护才能确保安全使用。此安全性由电池管理系统(BMS)提供。 BMS监视电池和可能的故障状况，防止由于电池或其周围环境而导致的任何危险情况，并确保对电池剩余容量或电池降解水平进行准确的估计。

在过去的十年中，电池供电的应用已变得必不可少，需要一定程度的保护才能确保安全使用。此安全性由电池管理系统(BMS)提供。 BMS监视电池和可能的故障状况，防止由于电池或其周围环境而导致的任何危险情况，并确保对电池剩余容量或电池降解水平进行准确的估计。

低压电池或中型电池电池的BMS的主要结构通常由三个IC组成，如下所述：

1. 电池监视器和保护器：也称为模拟前端(AFE)，电池监视器和保护器提供了第一级保护，因为它负责测量电池电压，电流和温度。

2. 微控制器单元(MCU)：MCU处理来自电池监视器和保护器的数据，通常包含第二级保护，包括监视阈值。

3. 燃油表(FG)：燃油表是一个单独的IC，可提供最新电荷(SOC)，健康(SOH)信息和剩余的运行时估计以及其他与用户相关的电池参数。

图1 BMS体系结构显示了关键的三个构建块。

图1显示了低压或中电池的完整BMS的主要结构。燃油表可以是独立的IC，也可以嵌入MCU中。 MCU是BMS的中心元素，从AFE和燃油表中获取信息，并与系统的其余部分接口。

尽管三个主要组件构成了BMS，但使用这些组件而无需任何其他考虑因素不足以确保系统符合某些行业所需的安全水平。本文将解释功能安全在非自动电池管理系统中的作用以及如何达到所需的安全水平。

功能安全介绍

功能安全性是整体安全的一个分支，重点是减少由于电气/电子(E/E)系统功能故障而导致的危险事件产生的风险。目的是确保剩余风险在可接受的范围内。

近年来，在汽车，机械，医学，工业和航空等不同领域中E/E系统的使用越来越多，伴随着更加重视功能安全性。这些变化导致了不同功能安全标准的发展。

ISO 13849，标题为“机械安全性 - 控制系统的安全相关部分”，是一个功能安全标准，该标准侧重于机械场中控制系统(SRP/CS)的安全相关部分。这是一个包括广泛应用的领域，从通用工业机械到摩托车和电子自行车。 ISO 13849将不同的安全水平定义为性能水平(PL)，其范围从PLA(较低的安全水平)到PLE(更高的安全水平)。

该安全标准定义了风险评估和减少的准确过程。它提出了一种基于三个参数确定已达到的PL的简化方法：类别，危险失败的平均时间(MTTF D)和平均诊断覆盖范围(DC AVG)，该方法是通过平均与不同安全措施相关的所有DC计算得出的应用于系统。

该类别是对SRP/CS的分类，该分类描述了其对故障的阻力以及在发生故障状态的后续行为。有5个类别(B，1、2、3和4)。

体系结构对该类别的影响最大。 SRP/CS的基本体系结构由三个功能块组成：输入，逻辑块和输出(图2)。图2对应于针对B类和类别1提出的体系结构，它称为“单渠道”体系结构。单通道体系结构被认为是实现SRP/CS标称功能的最基本体系结构，但它不打算用于任何诊断功能。

图2为B类和类别1提出了上述体系结构。

B类和1依赖于其组件的可靠性(MTTF D)来确保安全功能的完整性。如果实现安全函数的组件失败，则无法保证安全状态，因为没有诊断(DC AVG = 0)。

对于类别2，所提出的架构称为“经过单通道测试”。该体系结构的基础与单渠道体系结构相同，但是带有一个增加的测试设备块可以诊断功能通道是否正常工作。如果实现安全函数的组件失败，则不会执行安全函数;但是，如果测试设备诊断出故障，可以实现安全状态。

对于类别3和类别4，所提出的体系结构称为“冗余通道”，该频道通过两个独立的功能渠道实现，可以诊断另一个渠道上的问题。如果实现安全函数的组件有故障，则安全函数仍然可以由另一个渠道执行。设计人员应根据每个安全功能的目标安全水平选择SRP/CS类别。

逐步实现功能安全性

ISO 13849标准定义了一个迭代过程，在该过程中，对SRP/CS设计进行评估以确定所达到的PL并检查安全水平是否足够或必须在新的环中改进。该过程包括降低风险的三种不同方法：通过安全设计措施降低风险，通过保障措施降低风险以及通过信息降低风险。 ISO 13849支持通过保护风险的降低风险(图3)。

图3 ISO 13849通过保障支持降低风险。

保护过程首先定义SRP/CS的安全函数，在该功能进行风险分析后定义了所需的性能水平(PLR)。 PLR是每个安全函数的SRP/CS的靶PL。

下一步包括为指定的安全要求设计SRP/CS。这需要考虑可能的架构，实施的安全措施以及最终确定SRP/CS的设计以执行相关的安全功能。

设计SRP/CS后，评估每个安全功能的实现性能水平。这是整个保护过程的核心步骤。要评估所达到的PL，请定义类别，然后计算每个单个安全函数的SRP/CS的MTTF D和DC AVG 。

MTTF D是每个通道计算的，并且具有三个级别(表1)。

表1 MTTF D，计算为每个通道，具有三个级别。

表2显示了定义每个诊断度量的DC的四个级别。

表2有四个级别来定义每个诊断度量的DC。

可以使用相关参数确定可实现的PL(表3)。

表3相关参数有助于确定可实现的PL。

只有在设计中实施了标准定义的剩余要求和分析时，才能确认可实现的PL。这些要求必须遵守系统的故障管理，常见原因失败(CCF)分析，安全原理和软件开发(如果适用)。

一旦完成此过程，应通过PLR验证SRP/CS为混凝土安全函数实现的PL。如果PL <PLR，则应重新设计SRP p CS。每个安全功能都应重申此过程。< CS已达到所需的安全水平，并且必须执行验证以通过测试确保正确的行为。如果有意外的行为，则应重新设计SRP CS，并且PL评估过程必须重新开始。如果PL≥PLR，则SRP>

根据每个市场的功能安全水平

电池供电的设备用于无数市场，每个市场都根据失败对人类和/或环境的危险程度要求不同的功能安全规范。表4显示了一些主要市场所需的功能安全水平。请注意，这些级别正在不断变化，并且可能会根据每个工程团队的设计而有所不同。

表4这是基于市场确定的PL的方式。

尽管这些是当前的性能水平市场期望，但由于世界各地电池供电设备的持续问题，电动性和某些能源存储应用可能会进入PLD。例如，能源不良的应用程序已导致美国储能系统(ESS)设施发生火灾。在英国，超过190人受伤，八人被电动自行车和电子驾驶员故障引起的大火杀死。

所有这些事件都可以通过更强大，更可靠的系统来阻止。不断提高安全水平的需求意味着拥有可以在不同性能水平上实现的可扩展解决方案至关重要。

功能安全设计建议

以ISO 13849的BMS概念为例，MONOLITHIC POWER SYSTEMS(MPS)通过将MCU与MP279X的MP279X家族组成的电池监视器和保护器组合来开发。如表5所示，该系统的方向达到了一套安全功能(SFS)的PLC安全水平(SFS)。 PLR确定取决于风险分析，在该风险分析中可以进行微小的变化以及使用BMS的应用。