如何重新定義電動(dòng)汽車電池管理系統(tǒng)

　　無(wú)論是簡(jiǎn)單的充電控制器還是復(fù)雜的控制單元，對(duì)于電池管理系統(tǒng) （BMS） 的需求都在迅速增長(zhǎng)，尤其是電動(dòng)汽車領(lǐng)域。除了傳統(tǒng)的充電狀態(tài)監(jiān)控外，BMS 系統(tǒng)還必須遵守日益嚴(yán)格的安全法規(guī)，注重控制和待機(jī)功能、熱管理和用于保護(hù) OEM 車廠電池的加密算法。未來(lái)，甚至車輛控制單元 （VCU） 的部件和功能也會(huì)與 BMS 相關(guān)聯(lián)。

　　
圖1 配備所有相關(guān)部件的電動(dòng)汽車電池管理系統(tǒng) （BMS）

　　未來(lái)，BMS 將在電動(dòng)汽車領(lǐng)域發(fā)揮重要作用。然而 BMS 的各個(gè)子功能往往由 OEM車廠 定制，會(huì)因系統(tǒng)配置不同而存在很大差異。因此，不可能制定出適用于每一個(gè)電動(dòng)汽車制造商的完整的 BMS 要求列表。然而，電池管理系統(tǒng)處理的任務(wù)范圍不斷擴(kuò)大，這一事實(shí)毋庸置疑。BMS 最常見的要求包括安全要求、控制和監(jiān)控功能、待機(jī)功能、熱管理、加密算法和預(yù)留可擴(kuò)展接口增加新功能。

　　安全要求

　　在 ISO 26262 安全標(biāo)準(zhǔn)范圍內(nèi)，如 BMS 等特定的電氣和電子系統(tǒng)將被歸類為從 ASIL C 至 ASIL D 的高安全類別。與之對(duì)應(yīng)的故障檢測(cè)率至少為 97% 至 99%。電池系統(tǒng)中最危險(xiǎn)的故障來(lái)源有：因電纜磨損或事故而導(dǎo)致車輛底盤出現(xiàn)高電壓漏電而未被發(fā)現(xiàn)；各種引起高電壓電池起火或爆炸的原因：例如對(duì)電池過度充電（例如在公用電網(wǎng)上或因停電恢復(fù)引起）、電池過早老化（例如爆炸性氣體泄漏）、液體進(jìn)入和短路（例如因雨水引起）、濫用（例如維修不當(dāng)）和熱管理錯(cuò)誤（例如冷卻失效）等。

　　在安全方面，主開關(guān)（主繼電器）在避免與高電壓相關(guān)的事故中起到了重要的作用，它可確保 BMS 電子系統(tǒng)能夠作出充分的故障反應(yīng)。發(fā)生故障時(shí)，BMS 模塊會(huì)在適當(dāng)?shù)墓收戏磻?yīng)時(shí)間內(nèi)斷開開關(guān)（例如 10ms 以內(nèi)）。非關(guān)鍵故障安全條件的特征通常是：如果 BMS 微控制器 （MCU） 失效，甚至在控制器邏輯完全失效的情況下，獨(dú)立的外部安全元件（例如窗口看門狗）仍可確保主開關(guān)繼電器可靠地打開逆變器（正/負(fù)）的兩個(gè)高電壓觸點(diǎn)。BMS 系統(tǒng)中還集成了其他安全功能，包括漏電電流監(jiān)控和主開關(guān)繼電器監(jiān)控。

　　控制和監(jiān)控功能：

　　其他 BMS 功能包括對(duì)電動(dòng)汽車中昂貴的高電壓電池的監(jiān)控、保養(yǎng)和維護(hù)。BMS 控制和監(jiān)控功能來(lái)源于安裝于電池包中的電子平衡單元。管理各個(gè)電池組內(nèi)（battery slave pack）的平衡，同時(shí)精確地感測(cè)各個(gè)單電池的電壓。平衡芯片通?？晒芾矶噙_(dá) 12 個(gè)單電池組成的群組。相關(guān)數(shù)量的電池群組串聯(lián)后可產(chǎn)生高達(dá)數(shù)百伏的高中間電路電壓以供逆變器控制之用，這是電動(dòng)汽車的逆變器電驅(qū)動(dòng)所必需的。

　　位于主開關(guān)對(duì)所有高電壓電池的總電流的測(cè)量，以及從芯片對(duì)各個(gè)單電池電壓的單電池精確同步監(jiān)控，BMS 可使用特定算法（例如，基于電池化學(xué) Matlab Simulink 模型）評(píng)估充電狀態(tài)及健康狀態(tài)等電池參數(shù)。BMS 通常不會(huì)安裝在非?？拷唠妷弘姵氐奈恢?，但是通常會(huì)通過冗余的流電去耦總線系統(tǒng)（比如 CAN 或其他適合的差分總線）與電子平衡從動(dòng)元件相連接。它由汽車電壓（12 伏電池）供電，因此可通過現(xiàn)有的網(wǎng)絡(luò)架構(gòu)與現(xiàn)有的控制單元群組結(jié)合使用，無(wú)需進(jìn)一步的流電去耦措施。最后，它還改善了安全性，因?yàn)樗?BMS 能夠在高電壓電池發(fā)生機(jī)構(gòu)或化學(xué)缺陷時(shí)確保功能正常并且安全地?cái)嚅_主開關(guān)。

　　隨著電池專用的化學(xué)/電氣算法日益復(fù)雜，預(yù)計(jì) BMS 將需要使用擁有 2.5MB 至 4MB 閃存和強(qiáng)大的多核處理器架構(gòu)的 AURIX 等微控制器 （MCU）。這種組合可以保證有足夠的內(nèi)存用于全面校準(zhǔn)參數(shù)并提供足夠的計(jì)算能力（圖 2）。

　　
圖2 帶 2.45MB 至 4MB 閃存 TriCore 多核架構(gòu) AURIX 微控制器框圖

　　待機(jī)功能：

　　電動(dòng)汽車制造商傾向于定期監(jiān)視電池組和各個(gè)單電池的充電狀態(tài)。因此，BMS 必須提供專門的低功耗待機(jī)功能，該功能僅需要 μA 級(jí)極小的 MCU 功耗且能夠借助定時(shí)器快速喚醒系統(tǒng)，例如，在 BMS 激活模式下通過平衡芯片記錄特定的單電池?cái)?shù)據(jù)。為借助喚醒定時(shí)器實(shí)現(xiàn) BMS 的循環(huán)喚醒，AURIX 微控制器有多個(gè)型號(hào)均在獨(dú)立的低功耗域內(nèi)（在同一芯片上）集成了一個(gè) 8 位單片待機(jī) MCU。

　　熱管理：

　　出于設(shè)計(jì)原因，高電壓電池模塊通常包含主動(dòng)熱管理，比如用于冬季的加熱器和用于夏季的冷卻系統(tǒng)。這些可通過風(fēng)冷或水冷實(shí)現(xiàn)。在這兩種情況下，BMS 均用于感測(cè)電池的相關(guān)溫度數(shù)據(jù)和主動(dòng)執(zhí)行及控制散熱器（例如，風(fēng)扇電機(jī)或水泵）。AURIX 微控制器具有內(nèi)置的ADC采樣器和多種定時(shí)器功能，可勝任此任務(wù)。

　　加密算法：

　　應(yīng)避免電動(dòng)汽車的原裝 OEM 電池受未經(jīng)授權(quán)的第三方維修。更換電池群組中的單電池或組裝從廢舊電池上拆卸的個(gè)別零部件，會(huì)掩蓋與安全相關(guān)的故障甚至是爆炸或火災(zāi)危險(xiǎn)跡象。為保證車廠確認(rèn)電池保修的正常性 ，英飛凌的 Origa 芯片等適當(dāng)?shù)谋Ｗo(hù)模塊應(yīng)直接安裝于各個(gè)單電池群組。同時(shí)，在 MCU 中集成硬件安全模塊 （HSM） 構(gòu)成的電池個(gè)體數(shù)據(jù)邏輯保護(hù)可作為一種低成本的備選方案。

　　在這種情況下，由于電池可控制這些參數(shù)并將它們存儲(chǔ)于受 HSM 保護(hù)的安全數(shù)據(jù)存儲(chǔ)器，AURIX 中的 HSM 可有效檢測(cè)上述電池的各個(gè)參數(shù)。例如，在使用壽命方面，通過這種方式將各個(gè)單電池狀態(tài)存儲(chǔ)為 AES 加密檔案，如此可基于此數(shù)據(jù)檢測(cè)未經(jīng)授權(quán)的各個(gè)單電池更換。我們可以將典型的電池群組檔案比作一個(gè)指紋，其唯一性將有利于檢測(cè)存在更換的群組。加密算法的另一個(gè)應(yīng)用領(lǐng)域是負(fù)責(zé)監(jiān)控和對(duì)比由外部供應(yīng)商計(jì)算的充電量與由 BMS 實(shí)際測(cè)量所得的充電量。

　　未來(lái)的任務(wù)：

　　根據(jù)制造商選擇的電動(dòng)汽車特定電子拓?fù)浣Y(jié)構(gòu)，目前已有高階驅(qū)動(dòng)策略的逆變器控制單元和獨(dú)立的整車控制單元，即 VCU。同時(shí)還有整個(gè)轉(zhuǎn)矩控制系統(tǒng)，這些系統(tǒng)還具有其它高級(jí)功能，如智能電源管理器等。電源處理器（通過集成的導(dǎo)航單元）將駕車路線規(guī)劃涵蓋在內(nèi)，可根據(jù)具體路線優(yōu)化整個(gè)電源系統(tǒng)，因此有助于增加電池的行駛距離范圍。

　　獨(dú)立的 OEM 廠商現(xiàn)在正在考慮將以前的 VCU 的所有部件改設(shè)至 BMS 和逆變器控制單元中，從而減少電動(dòng)汽車的總電子元件成本。去除 VCU 的先決條件歸根結(jié)底是由 BMS 可處理的微控制器特定參數(shù)所決定，比如閃存和 SRAM 的數(shù)量和性能、各個(gè)控制單元功能在實(shí)時(shí)能力方面的獨(dú)立性和在共享的可擴(kuò)展的微控制器架構(gòu)上無(wú)縫集成安全相關(guān)軟件功能（從 QM 至 ASIL D）等。針對(duì)這一特定情況，英飛凌推出了基于三核處理器的 AURIX 多核架構(gòu)的控制器硬件，可在未來(lái)的 BMS 客戶應(yīng)用中集成所有上述要求功能。