导语:随着汽车电子软硬件复杂程度日趋提高,来自系统失效和随机硬件失效的风险也日益增加了。汽车电子行业标准ISO26262的发布,使得人们对车辆设计的功能安全有更深入的理解,从而对评估、避免这些风险提供了可靠的流程保证。
一、BMS简介
BMS即Battery Management System,电池管理系统的意思。作为新能源汽车“三电”核心技术之一,BMS在HEV/EV上扮演重要作用。广义上,BMS包含传统的12/24V铅酸电池管理,这里讨论的BMS主要是针对HEV/EV的动力电池管理,从48V的弱混动到500V以上的全电动,恩智浦的BMS解决方案都可以覆盖。
一般来说,BMS由一个主控单元和多个从控单元组成,从控单元直接连接电池包(Battery Pack),采集电池的电压、电流和温度等,主控单元通过CAN总线或Daisy Chain(菊花链)通信等方式管理多个从控单元。
按照新能源汽车对电池管理的需求,BMS具备的功能包括SOC/SOH估算、故障诊断、均衡控制、热管理和充电管理等。SOC即电池荷电状态,用于衡量电池剩余电量,对于判断汽车可行驶里程十分重要。故障诊断用于判断电池的当前状态,及时正确识别电池充放电过程中的过压、欠压、过温等异常情况有助于避免事故发生。均衡控制主要是消除单体电池之间的容量差异,达到一致性,延长电池使用寿命。
图1 电池管理系统BMS架构
二、BMS功能安全开发流程简介
ISO26262定义的功能安全标准涵盖了产品的管理、开发、生产、经营、服务和报废等阶段,覆盖产品的整个生命周期,产品开发时主要关注的阶段有概念、系统级开发、硬件开发和软件开发等阶段。 在功能安全概念阶段要做系统危害分析(Hazard Analysis)和风险评估(Risk Assessment),得出汽车安全完整性等级ASIL(Automotive Safety Integrity Level)。ISO26262标准规定了A到D四个安全等级,其中D级为最高等级,相应的需求最为苛刻。一般而言,主流车厂认为BMS应该需要达到的安全等级至少是ASIL-C。在得出安全等级ASIL后,需要设立安全目标(Safety Goal),并提出相应的安全需求(Safety Requirement)和安全机制(Safety Mechanism),并在必要的时候做功能安全等级分解。ISO26262给出了三个指标:单点故障指标SPFM,潜在故障指标LFM和随机硬件失效指标PMHF,用于去评估系统的安全性等级。
图2 ISO26262 安全生命周期
例如,在BMS开发过程中,对BMS的危害分析有过压(过充)、欠压、过温和过流等危害事件,如过压可能是一个比较严重的事件,尤其长时间对电池过充会导致电池性能下降和不可恢复性损坏,甚至导致电池变形、漏液情况发生,通过对过充这个事件进行危害分析和风险评估,得出其安全等级是ASIL-C或者ASIL-D(在不同应用场景下分析下得出的安全等级可能不一样),那么系统的安全目标就是BMS应该能及时发现电池过充情况并作出处理,对应地,要从单点失效和潜在失效等方面考虑设计安全机制,最后用前面提到的度量指标进行安全性评估。
三、恩智浦符合功能安全的BMS解决方案
恩智浦提供完整的电池管理系统解决方案,包括微控制器MCU、模拟前端电池控制器IC、隔离网络高速收发器、系统基础芯片SBC等。借助恩智浦的BMS方案,客户可轻易实现基于CAN网络或Daisy Chain的电池管理系统。恩智浦提供多种符合ISO26262标准的器件,主控单元MPC574xP安全等级达到ASIL-D,模拟前端电池控制器MC33771安全等级达到ASIL-C,SBC(System Basic Chip)系统基础芯片FS45/65安全等级达到ASIL-D。采用这套方案可简化软硬件设计,帮助客户轻松实现系统安全等级达到ASIL-C/D。此外,恩智浦提供符合功能安全的参考设计,极大加速客户开发符合ISO26262标准的BMS产品。
图3 恩智浦BMS Daisy Chain式解决方案
恩智浦的BMS解决方案支持多种网络拓扑结构,包括集中式、分布式菊花链结构以及集中式、分布式CAN网络结构。菊花链式网络可显著降低BOM成本,受制于通信距离限制,在目前的大巴车上,目前主要是基于CAN总线通信。恩智浦提供的BMS解决方案具有极大的灵活性,可满足不同客户的需求。
鉴于目前国内市场基于ISO26262的开发还处于起步阶段,部分车厂和供应商的功能安全开发经验不足,导致开发符合IS026262标准的BMS难度较大,并且要一下子达到系统级ASIL-C/D,系统开发成本高,挑战性巨大。针对这种情况,恩智浦提供一种具有低成本优势的方案,推荐主控单元MCU采用具有超高性价比的S32K14x,该系列MCU基于ARM Cortex M4内核,按照ISO26262标准设计,结合外部的系统基础芯片FS45/65等,可使系统安全等级达到ASIL-B。另外,单个S32K14x达到ASIL-B等级,通过软硬件冗余设计也能使系统达到更高的安全等级ASIL-C。
图4 恩智浦BMS CAN网络解决方案
需要指出的是,在恩智浦公司,所有按照ISO26262标准开发的器件,都被囊括在恩智浦的SafeAssure计划里。SafeAssure 保证开发的产品符合ISO26262标准,并提供必要的支持,提供功能安全相关的文档,如Safety Manual 和FMEDA等,Safety Manual详细阐述了芯片所采用安全机制,并 指导用户如何使用芯片可以达到比较高的安全性等级。FMEDA展示了芯片失效模型、失效概率和诊断分析等,客户可根据具体应用需求对FMEDA进行裁剪。
四、恩智浦高性能、高安全性的微控制器
1. 基于Power Architecture的MPC574xP
MPC574xP具有延迟锁步核(lock step),可运行在200MHz,两个核执行同样的代码,输出结果进行比较,如果发现不匹配,可以触发系统的安全机制,通知用户有异常发生,并作出相应处理。MPC574xP具有很多的安全特性,针对电源和时钟的功能是否正常,内部有专门的监控电路。针对Flash 和RAM,有ECC保证读写数据的正确性。针对ADC,有BIST(Build In Self Test)自检电路验证ADC的逻辑。特别要提到的是MPC574xP具有FCCU单元,该单元收集所有其他模块在运行过程中产生的异常事件,并提交给MCU 内核做处理。
实际上,MPC574xP不仅仅可运用在BMS领域,任何对安全要求很严格的应用都可以采用MPC574xP,如新能源汽车电机控制、EPS(电子助力转向系统)、刹车、安全气囊和汽车底盘应用等。
图5 MPC574xP安全特性
2. 基于Power Architecture的MPC574xR
MPC574xR系列MCU特点与MPC574xP系列类似,安全等级满足ISO26262 ASIL-D,不同的是除了MPC5743R(内部只有锁步核),MPC5745/6R提供了锁步核的同时,还提供了另外一个独立的内核,这个内核可单独运行其他程序,该系列MCU提供了更高的性能。
S32K14x系列MCU提供极强的性价比,同时具有较高的安全等级,满足ISO 26262 ASIL-B。该系列MCU最大运行频率112 MHz,带有SFPU,基于修改的Harvard架构,支持紧密耦合的RAM和4 KB I/D缓存,支持SHE规范的硬件安全引擎,内置48 MHz RC (IRC)振荡器,支持CAN FD,利用FlexIO可仿真通信协议,如SPI、UART等。
MC33771满足ISO2626 ASIL-C,工作电压范围9.6 V ≤ VPWR ≤ 61.6 V,70 V瞬态电压,支持7-14节电池,7个ADC/IO/温度传感器输入,支持14通道300mA板载被动均衡。
五、总结
功能安全是未来汽车电子行业的趋势,也是恩智浦BMS方案的优势,恩智浦能够提供BMS的全套解决方案,帮助客户简化功能安全设计,使BMS产品符合ISO26262标准。