中汽研黄登高:BMS 功能安全标准、研发及测试
行业新闻 | 2021-06-29 08:16黄登高:各位同行上午好!蔡总非常丰富的经历让我们震撼到了,我作为后进者,分享一个小的主题,新能源三电里的电池管理系统。
电池其中有一部分还是电池管理系统。同时电池经常起火、爆炸,其中很大一部分责任可能划分到电池管理系统的管理不善上,所以大家对安全比较重视。在最新电池测试标准法规,以及电池管理系统功能安全相应标准法规里,也对安全的重要性在逐步提升。
今天报告的题目是 "BMS 功能安全标准、研发及测试 "。
工程院简介
主要致力于汽车工程技术的研发,总部在天津,在江苏有两个基地,在常州,主要做新能源动力锂离子电池和混合动力。在扬州高邮市,主要覆盖智能网联、氢燃料、EMC、测试服务和研发验证相应工作。
业务布局
围绕五大方向 +1 中心。
我们做电池管理系统,是电子电控板块,主要围绕工程技术服务和工具链产品以及科技成果转化。我们本身不做产业化,主要负责工程技术服务和科技成果转移工作。
今天的汇报主要围绕 BMS 以及相关标准、BMS 正向研发及测试、BMS 未来发展趋势和新的技术。
BMS 是电控产品,在汽车电子里有 EMC 相应标准,充换电设备有相应的标准,本身是电子设备要耐受环境性的标准,必须满足电池包强标的相应内容。
去年有三个强标,包括 18384、30381 和 38032,今年 4 月 1 日,39086 正式发布。
通过 30381 蓄电池箱测试里,比较多还是热扩散试验部分。测试结果表明:加了液冷之后,液冷预测时间比风冷预测时间预警效果好一些。
BMS 属于电控产品,在下一代 BMS 研发中,零部件、主机厂基本都采用功能安全,这个过程中本身投入的人力、资源比较多,相应能够屏蔽一定小的供应商或团队。
图左是功能安全需求分析、硬件功能安全要求和软件功能安全相应设计需求,底部实现产品开发。整个产品开发占比比较小,主要是前期的分析和后期测试。
电池管理系统功能安全前期开发阶段,首先是相关性分析,BMS 分析时除了硬件的板子,也会把相应电流传感器、继电器等线束情况考虑进去。然后进一步分析其危害,目前常遇到的危害主要是着火、绝缘、人身触电。第三步是定义功能安全的 Safety Goals,关于电池包其他的特殊工况也会考虑到功能安全目标里,不仅仅是电池本身起火、爆炸,还把与高压部分和充电过程的操作,例如充电连接时,车辆行车保护都要考虑到 BMS 里去,所以功能目标根据每家主机厂从整车功能目标分解下来,电池会稍有差异,但是测试的方式方法和判定标准基本差不多。
定义完系统功能安全输出之后,进一步导出技术安全需求,进一步进行系统三层架构的开发,最后是软硬件系统集成及功能安全评估和测试。
标准中也提到一些参考的机制,包括系统安全机制、通信机制等,还有继电器相应冗余上的机制,包括高低边安全保护机制。
比较常用的几种安全机制:
单体信息检测、传输,用单体管理芯片,在出现故障时,能把最近数据恢复,让车辆保持安全状态。功能安全标准里提到功能安全降级问题,把速率或功率降低下来,让车辆暂时进入相对来说比较安全的状态。
功能安全分析提出之后,包含启动硬件方面的功能安全开发和功能安全定义,以及硬件的设计,到后面失效概率的校核。我们当时做研发时也采用了两核或三核芯片做相应的硬件架构研发工作,其中涉及 A 级参考的控制硬件架构。其中涉及到继电器包含前端采集的冗余和后端执行过程中的比较与判断。
软件部分,常规采用 AUTOSAR 开发工具,目前常用两种,一个是达芬奇工具,还有一个是 ETAS 的 SA 和 SB,行业里用的比较多,进行软件架构的开发。在软件架构开发过程中,要定义软件处理流程和架构模块。主要包含底层部分数据的采集和执行机的驱动和通信,中间层包含控制器多核之间的验证和 memory 的校验。
常用到的软件系统三层架构,第一层是状态估计、热管理、均衡控制、充放电控制;第二层是诊断监控功能,检测电压电流和温度信号是否在许可范围内、当前是否允许均衡,散热等指令。第三层是硬件监控模块。
我们用 ETAS 工具配 AUTOSAR 的应用软件和底层软件。该张图为 AUTOSAR 开发 V 流程,包含开发和测试两个部分。我们自己开发的电池管理系统的控制策略模型,主要采用模型化方式进行开发。开发完以后,很大一部分是电控系统的测试,测试包含硬件测试、软件测试,软件包含软件单元以及软件集成和软硬件集成之后的 HIL 测试工作。
硬件部分首先要进行失效概率校核,针对功能安全目标进行校核。硬件不仅要进行功能安全相应的失效概率校核,还要进行相应的环境性、电机兼容性、电气特性相应的测试,测试主要包含低温、高低温相应的环境适应性测试。
除了系统级测试之外,现在做得比较多的是根据虚拟硬件环境,目前虚拟硬件环境类有一些做的内核仿真,过程中比较复杂,而且会跟平台比较相关,好处是能够模拟类似于内核或 memory、硬件上的问题。针对这种问题,底层程序或底层监控程序能否及时发现它,这个过程中,有的厂家直接采用产品认证方式,还有企业采用自己直接测量方式。
在功能安全测试中,控制策略模型需要做到 SIL、PIL 和 HIL,各个阶段的测试在测试内容、测试覆盖度、测试精密程度、测试环境上都会有所区分。
针对模型部分,对模型单元复杂度、静态规范、动态和背靠背等相应测试情况。
针对 PIL,主要测试每个任务的时间,以及在整个任务调度下时间片是否会有缺失,还有执行过程中有没有出现冲突。特别是多核之后,情况以及时间片断切分的话容易出现问题的概率更多。
虚拟硬件测试——硬件故障注入测试。
HIL 环境,我们现有单台 HIL 设备支持 144 串,有的主机厂比我们的数更加多。
功能安全的认证,现有测试主要根据今年 4 月 1 日出台的 GB/T 39086,每个主机厂给出的功能性目标集合有一些区别,做的一些项目对比,每家主机厂从整车角度上分解下来都会有相应差异。
测试过程,BMS 进入正常运行状态,设定故障时测定诊断故障时间,以及故障响应时间,最后进入安全状态或安全运行状态中间总的时间段,整个过程采用 HIL 形式进行触发,通过外部的形式触发进去。这个过程中,主要把时间点跟主机厂备测送样方沟通好相应测试内容。
根据 34590 和 39086,在功能安全测试样率上一直都在积累,客户每来一个需求就做到我们自动化测试软件中,目标越多,做得内容会更加多。
随着电池量越来越多,有一个电池梯次和循环利用标准会,讨论时就考虑以后电池生产出来或到退役之后要回收,回收的主要几个问题:1. 电池来源问题。2. 电池拆解和筛选。3. 市场应用。
电池来源问题,主要跟市场机制有关,就是怎么回收回来。
电池拆解和筛选,目前量不大,如果要拆的话,成本投入会比较高,目前最常用的是直接粉碎,把材料回收回来。这种方式比较简单粗暴,但经济模式相对比较简单,特别是在现有原材料涨价的情况下,它是可以盈利比较好的。但从社会资源和熵增熵减角度来说,存在资源消耗和浪费。这个过程中,希望电池厂和主机厂设计电池 PACK 时,就把电池梯次利用的接口或拆解方式考虑到其中,模组方式能够采用无线方式,以后直接测量模组,不需要拆解到单体,因为会涉及切割、打磨、重新焊接,成本比较高。对 PACK 利用过程中把接口预留出来,可能采用授权方式,PACK 授权某回收商回收这个电池,回收电池里收接口的费用,在这个回收过程中能把控,回收过程中也不需要协议,可以重新利用起来。
车云系统协同控制。目前大多数主机厂都在做这个,包括我们遇到自己开新能源汽车,主机厂说报了一个绝缘故障,你查一下是什么问题。如果是新能源汽车主的话,可能会收得到。
这个过程中,还有对于电池数据相应预测,数据一方面用于现有策略的安全保护和状态估计修正。另一方面数据用于电池梯次利用过程中对于未来循环寿命的估计和梯次利用的分选,因为有了这个数据之后,知道电池之前使用是正常的,对于后续的筛选以及再次使用会有加分项在其中的。
我的报告就到这里,谢谢各位!