动力锂离子电池BMS处理办法——SO26262

作为新能源三电核心技术之一，bMS在HEV/EV中发挥着紧要用途。广义上，bMS蕴含传统的12/24?V铅酸蓄电池管理，但这里讨论的bMS紧要是针对HEV/EV的管理，从48?V的弱混动到500?V以上的纯电动，的bMS处理办法都可以倾覆。一般来说，bMS由一个主控单元和多个从控单元组成，从控单元笔直连接电池组(batterypack)，采集电池的电压、和温度等，主控通过CAN或DaisyChain(菊花链)通信等方式管理多个从控单元。

按照新能源汽车对电池管理系统的需求，bMS具备的功能包括SoC/SoH、故障诊断、均衡控制、热管理和管理等(见图1)。SoC即电池状态，用于掂量电池剩余电量，有关判断汽车可行驶里程十分紧要。故障诊断用于判断电池的当前状态，及时正确识别电池的过压、欠压或过温等异常情况有助于戒备事故发生。均衡控制紧要是消除单体电池之间的容量差异，达到一致性，延长电池使用寿命。

随着软硬件复杂性提高，来自系统失效和随机硬件失效的风险日益新增，随着汽车行业标准的公布，使得人们对功能安全有了深入的理解，对评估、戒备这些风险供应了可靠的流程保证。电池管理bMS引入ISO26262标准，不仅是顺应技术趋势的发展需求，而且实在能为bMS带来质的变化，从长远来看，有利于行业健康发展。

bMS功能安全开发流程

ISO26262含义的功能安全标准涵盖了产品的管理、开发、加工、经营、服务和报废等阶段，倾覆了产品的整个生命周期，产品开发时紧要关注的阶段有概念、系统级开发、硬件开发和软件开发等阶段。

在功能安全概念阶段要做系统危害分解(HazardAnalysis)和风险评估(RiskAssessment)，得出完整性等级ASIL(AutoiveSafetyIntegrityLevel)。ISO26262标准规定了A到D四个安全等级，其中D级为最高等级，相应的需求最为苛刻。一般而言，主流车厂认为bMS要达到的安全等级至少是ASIL-C。在得出安全等级ASIL后，要设立安全目标(SafetyGoal)，并提出相应的安全需求(SafetyRirement)和(SafetyMechanism)，并在必要的时候做功能安全等级分析(见图2)。

ISO26262给出了三个指标：单点故障指标SpFM、潜在故障指标LFM和随机硬件失效指标pMHF，用于评估等级。

例如：在bMS开发过程中，对bMS的危害分解有过压(过充)、欠压、过温柔过流等危害事件进行监测。如过压，可能是一个比较严重的事件，尤其长时间对电池过充会导致电池性能下降和不可恢复性损坏，甚至导致电池变形、漏液情况发生。通过对过充这类事件进行危害分解和风险评估，得出其安全等级是ASIL-C或者ASIL-D(在不同使用场景下分解下得出的安全等级可能不相同)，那么系统的安全目标就是bMS应当能及时发现电池过充情况并作出解决，对应地，要从单点失效和潜在失效等方面考虑设计安全机制，最后用前面提到的度量指标进行安全性评估。

符合功能安全的bMS处理办法

恩智浦供应完整的电池管理系统处理办法，包括MCU、模拟前端电池控制器IC、隔离网络高速和系统基础芯片SbC等。借助恩智浦的bMS处理办法，用户可轻易实现基于CAN网络或菊花链的电池管理系统。恩智浦供应多种符合ISO26262标准的器件，主控单元MpC574xp安全等级达到ASIL-D，模拟前端电池控制器MC33771安全等级达到ASIL-C，SbC(SystembasicChip)系统基础芯片FS45/65安全等级达到ASIL-D。采用这套办法可简化软，帮助用户轻松实现系统安全等级达到ASIL-C/D。此外，恩智浦供应符合功能安全的参考设计，极大加速用户开发符合ISO2626标准的bMS产品(见图3)。

在图3的办法中，主控单元采用的MpC574xp是一款基于powerArchitecture、具有延迟锁步核LockStep核的高性能和高安全性MCU。SbC系统基础芯片FS45/65不仅供应多种可配置的，而且供应监控和众多安全机制，支持Fail-Safe安全保护模式，MCU搭配SbC系统基础芯片可实现更高的安全等级。模拟前端MC33771负责电池数据的采集，一个MC33771最多可以接14节单体电池，多个MC33771可以级联形成菊花链式通信。MC33664作为MCU和MC33771的传输物理层，负责将SpI信号和进行转换。

恩智浦的bMS处理办法支持多种，包括聚集式、分布式菊花链结构以及聚集式、分布式CAN网络结构。菊花链式网络可显著降低boM成本，受制于通信距离限制，在目前的大巴车上，目前紧要是基于CAN总线通信。恩智浦供应的bMS处理办法具有极大的灵活性，可以满足不同用户的需求(见图4)。

鉴于目前国内市场基于ISO26262的开发还处于起步阶段，部分车厂和供应商的功能安全开发相关相关经验不足，导致开发符合IS026262标准的bMS难度较大，并且要一下子达到系统级ASIL-C/D，挑战性巨大。针对这种情况，恩智浦供应一种折中的办法，推荐主控单元采用S32K14x系列MCU，结合外部的系统基础芯片FS45/65等，可使系统安全等级达到ASIL-b。另外，单个S32K14x达到ASIL-b等级，通过软硬件也能使系统达到更高的安全等级ASIL-C。

要指出的是，在恩智浦，所有按照ISO26262标准开发的器件，都被囊括在恩智浦的SafeAssure计划里。SafeAssure保证开发的产品符合ISO26262标准，并供应必要的支持，供应功能安全相关的文档(如SafetyManual和FMEDA等)，SafetyManual具体阐述了芯片所采用安全机制，并指挥用户要怎么样使用芯片可以达到比较高的安全性等级。FMEDA展示了芯片失效模型、失效概率和诊断分解等，用户可依据详尽使用需求对FMEDA进行裁剪。

高性能、高安全性微控制器

恩智浦还供应高性能、高安全性的微控制器。

1.基于powerArchitecture的MpC574xp

MpC574xp是MpC5743L的下一代产品。MpC5643L是第一个拿到第三方认证、符合ISO2626标准的MCU，MpC574xp基本继承了MpC5643L的所有特性，并在工艺和性能上有一定提升(见图5)。

MpC574xp具有延迟锁步核LockStep，可运行在200?MHz，两个核执行同样的代码，输出结果进行比较，倘若发现不匹配，可以触发系统的安全机制，通知用户有异常发生，并作出相应解决。MpC574xp具有很多的安全特性，针对电源和时钟的功能是不是正常，内部有专门的监控电路。针对Flash和RAM，有ECC保证读写数据的正确性。针对ADC，有bIST(buildinSelfTest)自检电路验证ADC的逻辑。特别要提到的是MpC574xp具有FCCU单元，该单元收集所有其他模块在运行过程中的异常事件，并提交给MCU内核做解决。

实际上，MpC574xp不仅仅可运用在bMS范畴，任何对安全要求很严格的使用都可以采用MpC574xp，如新能源汽车、EpS(电子助力转向系统)、制动、安全气囊和使用等。

2.基于powerArchitecture的MpC574xR

MpC574xR系列MCU与MpC574xp系列类似，安全等级满足ISO26262ASIL-D，不同的是除了MpC5743R(内部惟有锁步核)，MpC5745/6R供应了锁步核的同时，还供应了另外一个独立的内核，这个内核可单独运行其他程序，该系列MCU供应了更高的性能。

3.基于AMRCortexM4的S32K14x

S32K14x系列MCU供应极强的性价比，同时具有较高的安全等级，满足ISO26262ASIL-b。该系列MCU最大运行频率112MHz，带有SFpU，基于修改的Harvard架构，支持紧密耦合的RAM和4KbI/D缓存，支持SHE规范的硬件安全引擎，内置48MHzRC(IRC)器，支持CANFD，利用FlexIO可仿真通信协议，如SpI、UART等。

4.模拟前端电池控制器MC33771

MC33771满足ISO2626ASIL-C，工作电压范围9.6?V≤VpWR≤61.6?V，70?V瞬态电压，支持7～14节电池，7个ADC/IO口/输入，支持14通道300?mA板载被动均衡。

结语

功能安全是将来汽车电子行业的趋势，也是恩智浦bMS处理办法的优点，恩智浦能够供应bMS的全套处理办法，包括高性能、高安全性的微控制器和模拟器件，如基于powerArchitecture微控制器MpC574xp和基于ARMArchitecture的S32K14x，以及模拟前端电池控制器MC33771。恩智浦供应灵活的办法，支持聚集式/分布式的CAN/菊花链网络，能满足不同的使用需求。恩智浦bMS处理办法可帮助用户简化功能安全设计，使系统安全等级符合ISO26262ASIL-C/D。