電池均衡控制系統(tǒng)的功能安全設(shè)計(jì)與驗(yàn)證

李世杰，溫 帥，馬金艷，朱仲文

（1.河北工業(yè)大學(xué)機(jī)械工程學(xué)院，天津 300130；2.中國(guó)汽車技術(shù)研究中心有限公司，天津 300300）

1 引言

為解決日益突出的燃油供求矛盾以及環(huán)境污染問(wèn)題，世界各國(guó)政府機(jī)構(gòu)已將新能源汽車的發(fā)展作為應(yīng)對(duì)能源和環(huán)境危機(jī)的國(guó)家戰(zhàn)略[1]，各國(guó)全面禁售燃油車時(shí)間也相繼宣布，然而，隨著新能源汽車電控系統(tǒng)日趨復(fù)雜，電子控制單元（ECU）系統(tǒng)性失效和硬件隨機(jī)失效的風(fēng)險(xiǎn)相繼增加[2]，給汽車企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失的同時(shí)給用戶的人身安全也帶來(lái)嚴(yán)重威脅，這使得許多國(guó)家和車企越來(lái)越重視汽車的功能安全，為了保證在復(fù)雜電控系統(tǒng)下的人車安全，國(guó)際標(biāo)準(zhǔn)化組織（ISO）研究并發(fā)布了針對(duì)汽車電子的道路車輛功能安全標(biāo)準(zhǔn)IS0 26262，為汽車企業(yè)和零部件企業(yè)在控制器開發(fā)過(guò)程中可靠性設(shè)計(jì)提供了有力保障[3]。

ISO 26262 標(biāo)準(zhǔn)自2011 年發(fā)布以來(lái)，已成為歐洲汽車企業(yè)開發(fā)產(chǎn)品的通用標(biāo)準(zhǔn)，也吸引了國(guó)內(nèi)許多汽車和零部件廠商的廣泛關(guān)注和使用。均衡控制系統(tǒng)是電池管理系統(tǒng)（BMS）的重要組成部分，對(duì)保持電池一致性和優(yōu)化有效儲(chǔ)能有重要意義。介紹了基于ISO 26262 硬件層面開發(fā)設(shè)計(jì)的均衡控制系統(tǒng)，分別從硬件架構(gòu)定量分析和硬件在環(huán)（HIL）集成試驗(yàn)兩個(gè)方面對(duì)其功能安全進(jìn)行驗(yàn)證。

2 基于IS0 26262 的系統(tǒng)開發(fā)流程

ISO 26262 以IEC 61508 為基礎(chǔ)，為滿足道路車輛上特定電子電氣系統(tǒng)的需求而編寫，適應(yīng)于汽車電子、電氣系統(tǒng)硬件和軟件組成的相關(guān)安全系統(tǒng)全生命安全周期的開發(fā)活動(dòng)[4]，對(duì)產(chǎn)品的整個(gè)生命安全周期進(jìn)行功能安全評(píng)估，從需求管理開始，到概念和軟硬件設(shè)計(jì)，到最后生產(chǎn)與維護(hù)，都提出嚴(yán)格的功能安全要求，根據(jù)ISO 26262 定義的全生命周期功能安全要求，BMS 均衡控制系統(tǒng)開發(fā)流程[5]包括概念設(shè)計(jì)階段、開發(fā)階段以及生產(chǎn)運(yùn)行階段，如圖1 所示。在概念設(shè)計(jì)階段，完成系統(tǒng)定義，啟動(dòng)安全生命周期，進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估以及功能安全概念[6]，將這些作為均衡控制系統(tǒng)軟硬件開發(fā)的重要輸入。均衡控制系統(tǒng)功能安全概念主要包括數(shù)據(jù)采集單元和均衡單元，通過(guò)對(duì)影響因子嚴(yán)重度、曝光概率、可控性分析，其需要的最高安全完整性等級(jí)（ASIL）為ASIL C。均衡控制系統(tǒng)開發(fā)階段根據(jù)其功能安全需求開發(fā)出更為詳細(xì)的軟硬件設(shè)計(jì)技術(shù)安全要求，然后根據(jù)這些安全要求進(jìn)行均衡控制系統(tǒng)軟硬件設(shè)計(jì)，硬件設(shè)計(jì)和軟件設(shè)計(jì)的開發(fā)都遵循汽車工業(yè)中常用的V 型開發(fā)流程。

圖1 均衡控制系統(tǒng)開發(fā)流程Fig.1 Equalization Control System Development Process

3 均衡控制系統(tǒng)設(shè)計(jì)

由于材料和加工工藝不同，每個(gè)電池單體存在一定性能差異，其次電池自身的容量較小，必須將多個(gè)電池單體串聯(lián)才能為電動(dòng)汽車提供足夠的動(dòng)力，電池成組放大了電池差異，導(dǎo)致電池組充放電不均衡，極易出現(xiàn)過(guò)充過(guò)放，影響電池循環(huán)壽命，甚至危害人身安全[7]，因此需要通過(guò)均衡技術(shù)減少電池單體之間的差異，有效提高電池使用效率和循環(huán)壽命。均衡技術(shù)可分為主動(dòng)均衡和被動(dòng)均衡，主動(dòng)均衡主要分為電感均衡和電容均衡，可以達(dá)到能量無(wú)損，同樣具有均衡速度緩慢，價(jià)格高昂的缺點(diǎn)；被動(dòng)均衡是電阻放電式均衡，采用合適的均衡電阻放電，多余的電量以熱能的形式排出，結(jié)構(gòu)簡(jiǎn)單，均衡速度較快[8]。

3.1 系統(tǒng)架構(gòu)設(shè)計(jì)

根據(jù)產(chǎn)品開發(fā)階段硬件安全要求設(shè)計(jì)出均衡控制系統(tǒng)體系架構(gòu)，本系統(tǒng)采用被動(dòng)均衡，由數(shù)據(jù)采集單元、均衡單元、故障監(jiān)控單元組成，架構(gòu)圖，如圖2 所示。

圖2 均衡控制系統(tǒng)架構(gòu)Fig.2 Equalization Control System Architecture

均衡控制系統(tǒng)圍繞LTC6804-2 展開設(shè)計(jì)，該芯片集電壓監(jiān)測(cè)和均衡為一體，是嚴(yán)格按照ISO 26262 標(biāo)準(zhǔn)而設(shè)計(jì)的電池專用芯片，采用可編程三階噪聲濾波器的16 位增量累加型ADC，可在290μs 內(nèi)測(cè)量多達(dá)12 節(jié)串接電池的電壓，并能將總測(cè)量誤差精確到1.2mV 以下，具有可編程放電定時(shí)器，可控制電池單體被動(dòng)均衡，每片LTC6804-2 憑借isoSPI 接口，能夠?qū)崿F(xiàn)高速、抗RF干擾的局域通信。均衡控制系統(tǒng)在運(yùn)行過(guò)程中，數(shù)據(jù)采集單元實(shí)時(shí)采集12 節(jié)電池單體電壓，并通過(guò)串口與TC212 實(shí)現(xiàn)SPI 通信，TC212 作為主控制單元與從控制單元的中轉(zhuǎn)站，將各單體電壓傳送給主控單元，由主控單元通過(guò)SOC 估算判斷是否需要開啟均衡，如果需要開啟均衡，主控單元?jiǎng)t通過(guò)TC212 向均衡控制系統(tǒng)輸出控制字指令釋放對(duì)應(yīng)電池的多余電量，有效保證電池循環(huán)壽命和人車安全。

3.2 子系統(tǒng)設(shè)計(jì)

數(shù)據(jù)采集單元是均衡控制系統(tǒng)的重要子系統(tǒng)，是均衡控制系統(tǒng)能否準(zhǔn)確開啟均衡的關(guān)鍵前提。LTC6804-2 引腳C0C12 作為電池的輸入，其內(nèi)置一個(gè)ΔΣADC，該ADC 具有ΔΣ 調(diào)制器和一個(gè)SINC3 有限脈沖響應(yīng)數(shù)字濾波器，極大地降低了外部采集電路輸入濾波要求，外圍采集電路采用冗余機(jī)制，通過(guò)差分電容濾波器與接地電容濾波器兩種高階低通濾波器過(guò)濾所有瞬態(tài)噪聲，可以有效保證12 節(jié)電池單體電壓采集精度。

故障監(jiān)控單元是均衡控制系統(tǒng)的安全保障，是數(shù)據(jù)采集精準(zhǔn)有效的有力保證，主要包括以下三個(gè)監(jiān)控模塊。

（1）欠壓/過(guò)壓監(jiān)測(cè)：測(cè)量測(cè)量引腳C 輸入時(shí)，將測(cè)量結(jié)果與存儲(chǔ)器存儲(chǔ)的欠壓和過(guò)壓門限進(jìn)行比較。如果電池電壓的測(cè)量值高于過(guò)壓限值，則存儲(chǔ)器中的一位被設(shè)定為標(biāo)記。同樣，低于欠壓門限時(shí)存儲(chǔ)器的一位也會(huì)被標(biāo)記。

（2）數(shù)字濾波檢查：該監(jiān)控模塊是LTC6804-2 ADC 自檢模塊，針對(duì)ΔΣADC 而設(shè)計(jì)，用于驗(yàn)證數(shù)字濾波器和存儲(chǔ)器是否正常運(yùn)作。

（3）斷線檢測(cè)：利用ADOW 命令檢查L(zhǎng)TC6804-2 中的ADC與外部電池之間的任何導(dǎo)線開路。

均衡單元是均衡控制系統(tǒng)的執(zhí)行子系統(tǒng)，MOSFET 柵極端子連接至S 輸出引腳，S 引腳充當(dāng)一個(gè)驅(qū)動(dòng)外部MOSFET 的數(shù)字輸出，當(dāng)接收到來(lái)自TC212 的均衡開啟指令，LTC6804-2 驅(qū)動(dòng)外部MOSFET 閉合，利用均衡電阻R3 放掉多余的電量。由于每一節(jié)電池的數(shù)據(jù)采集單元與均衡單元采用統(tǒng)一的設(shè)計(jì)，只列出其中兩節(jié)電池的數(shù)據(jù)采集電路和均衡電路，如圖3、圖4 所示。

圖3 數(shù)據(jù)采集單元Fig.3 Data Acquisition Unit

圖4 均衡單元Fig.4 Equalization Unit

4 均衡控制系統(tǒng)功能安全失效率驗(yàn)證

4.1 基本概念

ISO 26262 通過(guò)硬件架構(gòu)度量定量評(píng)估均衡控制系統(tǒng)硬件設(shè)計(jì)的可靠性[9]。硬件架構(gòu)度量包括單點(diǎn)故障度量和潛伏故障度量，以單點(diǎn)故障度量目標(biāo)值和潛伏故障度量目標(biāo)值作為衡量指標(biāo)進(jìn)行對(duì)比分析，并采用隨機(jī)硬件失效概率度量（PMHF）進(jìn)一步評(píng)估系統(tǒng)架構(gòu)應(yīng)對(duì)隨機(jī)硬件失效的有效性，具體量化值，如表1 和表2 所示。

表1 硬件架構(gòu)度量目標(biāo)值Tab.1 Target Values of Hardware Architecture Metric

表2 隨機(jī)硬件失效目標(biāo)值Tab.2 Target Values of Random Hardware Failure

單點(diǎn)故障度量反映了通過(guò)安全機(jī)制覆蓋的均衡控制系統(tǒng)硬件設(shè)計(jì)實(shí)現(xiàn)的對(duì)單點(diǎn)故障和殘余故障的魯棒性。高的單點(diǎn)故障度量值意味著系統(tǒng)硬件的單點(diǎn)故障和殘余故障所占的比例低。

潛伏故障度量反映了均衡控制系統(tǒng)通過(guò)安全機(jī)制覆蓋以及通過(guò)駕駛員在安全目標(biāo)違背之前識(shí)別實(shí)現(xiàn)的對(duì)潛伏故障的魯棒性。高的潛伏故障度量值意味著硬件的潛伏故障所占的比例低。

4.2 故障分類

IS0 26262 將與功能安全相關(guān)的硬件故障分為單點(diǎn)故障、殘余故障、多點(diǎn)故障以及安全故障。距離n 表示了在同一時(shí)刻存在的導(dǎo)致違背一個(gè)安全目標(biāo)的獨(dú)立故障的數(shù)量（n=1 對(duì)應(yīng)單點(diǎn)故障或者殘余故障，n=2 對(duì)應(yīng)雙點(diǎn)故障），如果技術(shù)安全概念中未表明相關(guān)，則認(rèn)為距離高于n=2 的多點(diǎn)故障是安全故障，如圖5 所示。

圖5 功能安全相關(guān)的硬件故障Fig.5 Hardware Failures Related to Functional Security

4.3 硬件架構(gòu)度量估算

設(shè)計(jì)的均衡控制系統(tǒng)具有一個(gè)輸入（通過(guò)差分、接地濾波電路和LTC6804-2 采集各電池單體電壓）和一個(gè)輸出（通過(guò)LTC6-804-2 控制MOSFET 閉合），其功能安全目標(biāo)為當(dāng)其中某一節(jié)電池的電壓與12 節(jié)電池平均電壓壓差超過(guò)0.09V，閉合MOSFET，并通過(guò)軟件確定均衡的有效性，功能安全目標(biāo)等級(jí)為ASIL C。安全機(jī)制及診斷覆蓋率，如表3 所示。

表3 硬件安全機(jī)制診斷覆蓋率Tab.3 Diagnostic Coverages of Hardware Security Mechanism

將均衡控制系統(tǒng)硬件模塊化分解，如圖6 所示。下面將以均衡控制系統(tǒng)硬件設(shè)計(jì)為例，針對(duì)數(shù)據(jù)采集單元和均衡單元各硬件要素，在已有的安全機(jī)制保護(hù)下進(jìn)行具體的硬件架構(gòu)度量計(jì)算，并對(duì)比硬件架構(gòu)度量值，判斷該系統(tǒng)硬件設(shè)計(jì)是否符合功能安全要求。假設(shè)電源、時(shí)鐘模塊以及TC212 和LTC604-2 的通信功能均正常，當(dāng)安全機(jī)制SM3 失效時(shí)，安全機(jī)制SM1 和安全機(jī)制SM4 可以防止SM3 的潛在故障，當(dāng)安全機(jī)制SM2 失效時(shí)，安全機(jī)制SM6 可以防止SM2 的潛在故障。將各硬件要素分成安全相關(guān)和非安全相關(guān)兩類，分別進(jìn)行失效模式分析、單點(diǎn)或多點(diǎn)失效分析，并結(jié)合設(shè)計(jì)的安全機(jī)制做單點(diǎn)故障或殘余故障判斷與失效率計(jì)算，潛伏多點(diǎn)故障判斷與失效率計(jì)算，均衡控制系統(tǒng)硬件架構(gòu)指標(biāo)計(jì)算分析[4]，如表4 所示。

圖6 系統(tǒng)硬件模塊化分解Fig.6 Modular Decomposition of System Hardware

表4 均衡控制系統(tǒng)硬件架構(gòu)指標(biāo)計(jì)算分析Tab.4 Calculation and Analysis of Hardware Architecture Indexes of Equalization Control System

通過(guò)式（1）和式（2）計(jì)算分別得到單點(diǎn)故障度量值和潛伏故障度量值為97.3%和81.2%，可知單點(diǎn)故障度量值與潛伏故障度量值均達(dá)到ASIL C 的目標(biāo)值。

4.4 隨機(jī)硬件失效概率度量（PMHF）

通過(guò)式（3）計(jì)算得到MPMHF 為13.238FIT，與隨機(jī)硬件失效目標(biāo)值比較可知本架構(gòu)滿足ASIL C 的要求。

5 硬件在環(huán)（HIL）集成驗(yàn)證

5.1 HIL 試驗(yàn)方案

為了進(jìn)一步驗(yàn)證均衡控制系統(tǒng)硬件設(shè)計(jì)是否符合ASIL C 等級(jí)的硬件安全要求以及安全機(jī)制完整性和正確性，根據(jù)IS0 26262硬件集成和測(cè)試要求，選擇HIL 注入故障為最終試驗(yàn)方案[11]。該試驗(yàn)方案原理由dSPACE 實(shí)時(shí)仿真硬件平臺(tái)，上位機(jī)軟件平臺(tái)以及BMS 三大部分構(gòu)成，其中硬件平臺(tái)包括實(shí)時(shí)仿真板卡（電池仿真板卡、I/O 板卡、CAN 板卡、電阻板卡）、信號(hào)調(diào)理單元以及故障注入單元，上位機(jī)軟件平臺(tái)是基于ControlDesk 的測(cè)試管理軟件和基于Simulink 搭建的數(shù)學(xué)模型，如圖7 所示。硬件平臺(tái)與上位機(jī)軟件平臺(tái)利用網(wǎng)線連接，通過(guò)注入均衡故障、過(guò)壓欠壓故障以及斷線故障等典型故障，利用信號(hào)調(diào)理單元作為仿真板卡、故障注入單元以及BMS 之間的橋梁作用，實(shí)現(xiàn)信號(hào)的轉(zhuǎn)換與匹配，最終通過(guò)ControlDesk 人機(jī)交互界面即可直觀地看到試驗(yàn)結(jié)果。

圖7 硬件在環(huán)試驗(yàn)原理Fig.7 Principle of Hardware in-the-Loop Test

5.2 HIL 試驗(yàn)結(jié)果

（1）均衡故障注入測(cè)試：利用電池仿真板卡模擬輸出12 路3.8V，并注入均衡故障，運(yùn)行8s 后改變電池1 的電壓，觸發(fā)均衡開啟指令，ControlDesk 讀取BMS 故障碼并記錄均衡故障，再運(yùn)行一段時(shí)間后清除故障，故障顯示為歷史故障，此時(shí)均衡指令執(zhí)行正常，均衡故障注入測(cè)試波形，如圖8 所示。

圖8 均衡故障注入測(cè)試波形Fig.8 Test Waveform of Equalization Fault Injection

（2）過(guò)壓故障注入測(cè)試：本均衡控制系統(tǒng)對(duì)電池單體過(guò)壓安全監(jiān)控的門限值設(shè)定為4.2V，利用電池仿真板卡模擬輸出一路3.6V 并運(yùn)行一段時(shí)間，切換至4.2V 觸發(fā)過(guò)壓故障，ControlDesk讀取BMS 故障碼并記錄過(guò)壓故障，再運(yùn)行一段時(shí)間后清除故障切換至3.8V，故障顯示為歷史故障，過(guò)壓故障注入測(cè)試波形，如圖9 所示。

圖9 過(guò)壓故障注入測(cè)試波形Fig.9 Test Waveform of Over-Voltage Fault Injection

（3）欠壓故障注入測(cè)試：本均衡控制系統(tǒng)對(duì)電池單體過(guò)壓安全監(jiān)控的門限值設(shè)定為2.8V，利用電池仿真板卡模擬輸出一路3.2V 并運(yùn)行一段時(shí)間，切換至2.8V 觸發(fā)欠壓故障，ControlDesk讀取BMS 故障碼并記錄欠壓故障，再運(yùn)行一段時(shí)間后清除故障切換至3.3V，故障顯示為歷史故障，欠壓故障注入測(cè)試波形，如圖10 所示。

圖10 欠壓故障注入測(cè)試波形Fig.10 Test Waveform of Under-Voltage Fault Injection

（4）斷線故障測(cè)試：利用電池仿真板卡模擬輸出一路4V 并運(yùn)行一段時(shí)間，切換至0V 觸發(fā)斷線故障，ControlDesk 讀取BMS 故障碼并記錄斷線故障，再運(yùn)行一段時(shí)間后清除故障切換至3.9V，故障顯示為歷史故障，斷線故障注入測(cè)試波形，如圖11 所示。

圖11 斷線故障注入測(cè)試波形Fig.11 Test Waveform of Off-Line Fault Injection

6 結(jié)論

以均衡控制系統(tǒng)為研究對(duì)象，制定了基于ISO 26262 標(biāo)準(zhǔn)的開發(fā)流程，通過(guò)功能安全失效率定量分析與硬件在環(huán)故障注入集成試驗(yàn)兩種方法，對(duì)系統(tǒng)設(shè)計(jì)與詳細(xì)子系統(tǒng)設(shè)計(jì)的功能安全進(jìn)行雙重驗(yàn)證，得出以下結(jié)論：（1）基于dSPACE 實(shí)時(shí)仿真硬件平臺(tái)的硬件在環(huán)試驗(yàn)?zāi)軌驕?zhǔn)確，全面地模擬均衡、斷線以及過(guò)/欠壓故障，結(jié)果表明該均衡控制系統(tǒng)設(shè)計(jì)能夠有效辨識(shí)故障，對(duì)提高整車安全性能有重要意義。（2）失效率定量分析與硬件在環(huán)集成試驗(yàn)雙重驗(yàn)證方式對(duì)電池管理系統(tǒng)其他模塊的功能安全設(shè)計(jì)也具有一定的參考價(jià)值。（3）當(dāng)單點(diǎn)、殘余以及多點(diǎn)故障度量值與隨機(jī)硬件失效概率度量值同時(shí)滿足ASIL 等級(jí)的要求時(shí)，整個(gè)硬件架構(gòu)度量才更加可靠。