一种多安全模式的电池管理系统及其设计方法与流程

本发明涉及动力电池领域，具体涉及一种多安全模式的电池管理系统及其设计方法。

背景技术：

随着功能安全标准iso26262的发布和推广，针对动力电池或储能电池系统中采用电池管理系统也需要进行符合功能安全等级的设计。功能安全覆盖qm（quality management，质量管理等级，比asil-a还要低的等级）、asil-a（汽车安全完整性等级，autosafetyintegritylevel）、asil-b、asil-c和asil-d五个等级，但是，现阶段电池管理系统量产的产品均是按照非功能安全标准的开发，在设计开发过程，对产品的功能安全方面的分析考虑不够系统。在功能安全标准导入新的产品过程当中，电池管理系统一般按照asil-c等级进行要求，这会导致此方案实现的电池管理系统，在功能安全方面存在以下缺陷：（1）没有系统化考虑电池管理系统实际面对的应用环境多样性特点，不同车型在不同的应用场景下会有不同的功能安全等级要求；（2）电池管理系统作为新能源汽车的动力电池系统重要ecu（electroniccontrolunit，电子控制单元）单元，对电池系统的安全和整车的质量保证有重大作用，功能安全考虑欠缺时可能产生安全生产方面的隐患；（3）目前以asil-c为目标的功能安全开发的电池管理系统，存在功能安全适应性差的情况，在面对更高功能要求的系统时，就不适应车辆的需求。

技术实现要素：

本发明解决的技术问题是提供一种多安全模式的电池管理系统，解决现有实现的电池管理系统在功能安全方面存在缺陷的问题。

为解决上述技术问题，本发明的技术方案是：一种多安全模式的电池管理系统，包括电池组、前端芯片、主控mcu、辅助mcu、can接口、逻辑运算器、驱动器、系统基础芯片、外部接口和继电器，主控mcu和辅助mcu均通过菊花链通信线与前端芯片连接，主控mcu和辅助mcu连接，且主控mcu和辅助mcu均与can接口连接；主控mcu、逻辑运算器和外部接口均与系统基础芯片连接；逻辑运算器和外部接口均与驱动器连接，驱动器、电池组和外部接口均与继电器连接；主控mcu和辅助mcu均与逻辑运算器连接。

优选的，前端芯片至少设置两个。

优选的，前端芯片上设有故障线，故障线一端连接前端芯片，故障线的另一端连接主控mcu。

优选的，前端芯片包括外部模组电压测量模块、内部模组电压测量模块、单体温度测量模块、单体电压测量模块、单体冗余电压测量模块、单体电压硬件监控模块、温度硬件监控模块、采集信号与安全机制模块、芯片电源安全机制模块、通信安全机制模块、芯片其他内部诊断模块、硬件安全管理模块、硬件告警接口和菊花链接口，外部模组电压测量模块、内部模组电压测量模块、单体温度测量模块、单体电压测量模块和单体冗余电压测量模块均与采集信号与安全机制模块连接；采集信号与安全机制模块分别与通信安全机制模块和硬件安全管理模块连接，芯片电源安全机制模块、通信安全机制模块和芯片其他内部诊断模块均与硬件安全管理模块连接；单体电压硬件监控模块、温度硬件监控模块和硬件安全管理模块均与硬件告警接口连接；通信安全机制模块和菊花链接口连接。

优选的，菊花链接口包括菊花链上行接口和菊花链下行接口，硬件告警接口包括告警上行接口和告警下行接口。

优选的，通信安全机制模块至少包括crc机制模块、计数机制模块模块和超时监控机制模块。

优选的，继电器包括正极继电器和负极继电器，正极继电器和电池组的正极连接，负极继电器和电池组的负极连接；在电池组上设有温度传感器。

优选的，还包括备用电源，所述系统基础芯片、主控mcu和辅助mcu均与备用电源连接。

本发明还提供了一种多安全模式的电池管理系统设计方法，在现有的汽车安全系统上，增设一个辅助mcu和电池数据采集模块，现有的主控mcu和增设的辅助mcu均通过菊花链通信线与增设的电池数据采集模块连接，且主控mcu和辅助mcu进行通信连接，主控mcu、辅助mcu和前端芯片模块形成闭环的通信链路，辅助mcu实时监测主控mcu的状态，并在主控mcu失效的情况下，辅助mcu自动接管主控mcu的权限。

优选的，所述主控mcu选择asil-d等级、所述辅助mcu选择qm及更高等级，电池管理系统构成asil-d+的架构，实现故障（fail-operation）操作；所述主控mcu选择asil-b等级、所述辅助mcu选择asil-a及更高等级，电池管理系统构成asil-c的架构，实现故障（fail-operation）操作；所述主控mcu选择asil-b等级、所述辅助mcu选择asil-b及更高等级，电池管理系统构成asil-d的架构，实现故障（fail-operation）操作；所述主控mcu选择asil-b等级、所述辅助mcu空缺时，电池管理系统构成asil-b的架构，实现故障安全（fail-safe）操作。

本发明实现的有益效果：

（1）相对现有的设计电池管理系统，本发明在前端芯片具备asil-d的架构上改进，使其具备asil-d+的等级，且对功能安全的设计具有更高的自由度。

（2）本发明所使用的前端芯片具备双向回环，独立访问、高诊断覆盖率的通信机制。

（3）本发明所使用的前端芯片提供冗余的硬件保护机制，与回环通讯构成信号链路多样化冗余。

（4）本发明采用系统基础芯片、主控mcu、辅助mcu架构，支持故障安全（fail-safe）和故障操作(fail-operation)两种模式，主控mcu与辅助mcu搭配成asil-d与qm或asil-b或asil-c的组合。

（5）当需要从asil-d的等级降低要求，可以在本发明的架构下减配mcu与前端回路信号链回路的冗余度，来自由度进行适配不同的需求。

附图说明

图1为本发明的框架图。

图2为本实用新前端芯片的框架图。

图中的数字或字母代表的相应部件的名称或流程名称：1.电池组；2.前端芯片；3.主控mcu；4.辅助mcu；5.can接口；6.逻辑运算器；7.驱动器；8.系统基础芯片；9.外部接口；10.继电器；11.菊花链通信线；11.外部模组电压测量模块；12.内部模组电压测量模块；13.单体温度测量模块；14.单体电压测量模块；15.单体冗余电压测量模块；16.单体电压硬件监控模块；17.温度硬件监控模块；18.采集信号与安全机制模块；19.芯片电源安全机制模块；20.通信安全机制模块；21.芯片其他内部诊断模块；22.硬件安全管理模块；23.硬件告警接口；24.菊花链接口；25.备用电源；26.故障线；27.温度传感器。

附图仅用于示例性说明，不能理解为对本专利的限制；为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的；相同或相似的标号对应相同或相似的部件；附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制。

具体实施方式

为了便于本领域技术人员理解，下面将结合附图以及实施例对本发明进行进一步详细描述。

一种多安全模式的电池管理系统，包括电池组1、前端芯片2、主控mcu、辅助mcu、can接口5、逻辑运算器6、驱动器7、系统基础芯片8、外部接口9和继电器10，主控mcu和辅助mcu均通过菊花链通信线11与前端芯片2连接，主控mcu和辅助mcu连接，且主控mcu和辅助mcu均与can接口5连接；主控mcu、逻辑运算器6和外部接口9均与系统基础芯片8连接；逻辑运算器6和外部接口9均与驱动器7连接，驱动器7、电池组1和外部接口9均与继电器10连接；主控mcu3和辅助mcu4均与逻辑运算器6连接。

具体的，前端芯片2至少设置两个。

具体的，前端芯片2上设有故障线26，故障线26一端连接前端芯片2，故障线26的另一端连接主控mcu。

具体的，前端芯片2包括外部模组电压测量模块11、内部模组电压测量模块12、单体温度测量模块13、单体电压测量模块14、单体冗余电压测量模块15、单体电压硬件监控模块16、温度硬件监控模块17、采集信号与安全机制模块18、芯片电源安全机制模块19、通信安全机制模块20、芯片其他内部诊断模块21、硬件安全管理模块22、硬件告警接口23和菊花链接口24，外部模组电压测量模块11、内部模组电压测量模块12、单体温度测量模块13、单体电压测量模块14和单体冗余电压测量模块15均与采集信号与安全机制模块18连接；采集信号与安全机制模块18分别与通信安全机制模块20和硬件安全管理模块22连接，芯片电源安全机制模块19、通信安全机制模块20和芯片其他内部诊断模块21均与硬件安全管理模块22连接；单体电压硬件监控模块16、温度硬件监控模块17和硬件安全管理模块22均与硬件告警接口23连接；通信安全机制模块20和菊花链接口24连接。

具体的，菊花链接口24包括菊花链上行接口和菊花链下行接口，硬件告警接口23包括告警上行接口和告警下行接口。

具体的，通信安全机制模块至少包括crc机制模块、计数机制模块模块和超时监控机制模块。

具体的，继电器10包括正极继电器和负极继电器，正极继电器和电池组1的正极连接，负极继电器和电池组1的负极连接；在电池组1上设有温度传感器27。

具体的，还包括备用电源25，系统基础芯片8、主控mcu和辅助mcu均与备用电源25连接。

具体的，主控mcu和辅助mcu通过spi接口、uart、lvds等多种通信方式连接，系统基础芯片8为tle926x系统基础芯片或tle927x系统基础芯片，当然也可以是其他类型芯片。

本发明还提供了一种多安全模式的电池管理系统设计方法，在现有的汽车安全系统上，增设一个辅助mcu和电池数据采集模块，现有的主控mcu和增设的辅助mcu均通过菊花链通信线与增设的电池数据采集模块连接，且主控mcu和辅助mcu进行通信连接，主控mcu、辅助mcu和前端芯片模块形成闭环的通信链路，辅助mcu实时监测主控mcu的状态，并在主控mcu失效的情况下，辅助mcu自动接管主控mcu的权限。电池数据采集模块所采集的数据，为上述电池管理系统中前端芯片所采集的数据。

具体的，主控mcu选择asil-d等级、辅助mcu选择qm及更高等级，电池管理系统构成asil-d+的架构，实现fail-operation操作；主控mcu选择asil-b等级、辅助mcu选择asil-a及更高等级，电池管理系统构成asil-c的架构，实现fail-operation操作；主控mcu选择asil-b等级、辅助mcu选择asil-b及更高等级，电池管理系统构成asil-d的架构，实现fail-operation操作；主控mcu选择asil-b等级、辅助mcu空缺时，电池管理系统构成asil-b的架构，实现fail-safe操作。

实施例一

将前述的电池管理系统以及多安全模式的汽车电池管理系统设计方法结合现实中具体的做法，做相应的阐述，具体如下：一种多安全模式的电池管理系统，包括电池组1、前端芯片2、主控mcu、辅助mcu、can接口5、逻辑运算器6、驱动器7、系统基础芯片8、外部接口9、继电器10、备用电源25，系统基础芯片8、主控mcu和辅助mcu均与备用电源25和电池组1连接，主控mcu和辅助mcu均通过菊花链通信线11与前端芯片2连接，主控mcu和辅助mcu连接，本实施例中主控mcu和辅助mcu通过spi接口连接，且主控mcu和辅助mcu均与can接口5连接；主控mcu、逻辑运算器6和外部接口9均与系统基础芯片8连接，本实施例中系统基础芯片8为tle926x系统基础芯片或tle927x系统基础芯片，具有问答式看门狗，可以对主控mcu进行程序执行状态和程序流监控，同时还可以对主控mcu进行监控和对系统输入供电和输出供电进行监控与故障诊断、输出故障信号，方便执行limphome模式（跛行模式，当汽车ecu中的电控单元出现故障的行驶模式），不仅如此，在主控mcu出现异常或其供电系统基础芯片出现异常，辅助mcu通过can接口进行监听，将can接口由监听模式转化为输出模式，可以直接实现对管电池管理系统的管理权限，达到failoperation（故障工作）的运行目的；逻辑运算器6和外部接口9均与驱动器7连接，驱动器7、电池组1和外部接口9均与继电器10连接；主控mcu3和辅助mcu4均与逻辑运算器6连接，本实施中继电器通过受驱动器控制，驱动器由逻辑运算器控制，逻辑运算器的控制信号来源于辅助mcu、主控mcu和系统基础芯片。继电器10包括正极继电器和负极继电器，正极继电器和电池组1的正极连接，负极继电器和电池组1的负极连接。

具体的，前端芯片2至少设置两个。本实施例中设置三个。前端芯片2上设有故障线26，故障线26一端连接前端芯片2，故障线26的另一端连接主控mcu。在电池组1上设有温度传感器27。如图1，本实施例中，本发明的电路中的前端芯片通过双向回环菊花链构成通信回路，其中一个通信方向与主控mcu连接，所构成的菊花链回路为：主控mcu、接口28、前端芯片#1、前端芯片#2、依此类推到前端芯片#n；另外一个方向则由辅助mcu连接，所构成的菊花链回路为：辅助mcu、接口、前端芯片#n、前端芯片#（n-1）、依此类推到前端芯片#1。同时，主控mcu与辅助mcu通过spi接口进行数据交互，将回环上的前端芯片发送给对方进行数据比较和故障判断，从而让菊花链形成可以闭环的通信链路，降低使用单个mcu的架构出现mcu失效导致功能安全失效的概率。

具体的，如图2和图1，前端芯片2由被检测的电池组1供电，主控mcu由系统基础芯片8供电；前端芯片2包括外部模组电压测量模块11、内部模组电压测量模块12、单体温度测量模块13、单体电压测量模块14、单体冗余电压测量模块15、单体电压硬件监控模块16、温度硬件监控模块17、采集信号与安全机制模块18、芯片电源安全机制模块19、通信安全机制模块20、芯片其他内部诊断模块21、硬件安全管理模块22、硬件告警接口23和菊花链接口24，外部模组电压测量模块11、内部模组电压测量模块12、单体温度测量模块13、单体电压测量模块14和单体冗余电压测量模块15均与采集信号与安全机制模块18连接；采集信号与安全机制模块18分别与通信安全机制模块20和硬件安全管理模块22连接，芯片电源安全机制模块19、通信安全机制模块20和芯片其他内部诊断模块21均与硬件安全管理模块22连接；单体电压硬件监控模块16、温度硬件监控模块17和硬件安全管理模块22均与硬件告警接口23连接；通信安全机制模块20和菊花链接口24连接。本实施例中，前端芯片中的单体电压硬件监控模块16、温度硬件监控模块17分别对单体电压测量模块14、单体温度测量模块13检测的单体冗余监控，并提供冗余硬件回路，对电池组的电压监控和温度监控多样化，使得电压监控可以达到asil-d+的等级、温度达到asil-d的等级；外部模组电压测量模块11由前端芯片提供的模拟口，采集经过分压电阻的信号，测量对应芯片的电池组的电压，形成一个外部检测模组电压的信号链；前端芯片的内部模组电压测量模块12完成对内部模组电压测量模块12、单体温度测量模块13和单体电压测量模块14的信号采集；前端芯片内部的单体冗余电压测量模块15，用于对电池组中的单体电压测量，以满足功能安全对测量回路的高诊断覆盖率设计要求；外部模组电压测量模块11、内部模组电压测量模块12、单体温度测量模块13、单体电压测量模块14以及单体冗余电压测量模块15采集得到的信号通过采集信号与安全机制模块18处理，得到的故障状态传递到硬件安全管理模块22，并与同时得到的采集数据的结果通过通信安全机制模块20传递到菊花链接口24，因为本实施例中通信安全机制模块包括crc机制、计数机制、超时监控机制等，可以保证通信链路能够达到asil-d等级要求。

具体的，菊花链接口24包括菊花链上行接口和菊花链下行接口，硬件告警接口23包括告警上行接口和告警下行接口。本实施例中，采集信号与安全机制模块18、芯片电源安全机制模块19、通信安全机制模块20和芯片其他内部诊断模块21一旦检测出现安全故障信息，统一传递到硬件安全管理模块22，这样可以集中对前端芯片的功能安全进行管理，汇总出来的故障状态一方面通过菊花链获取到前端芯片的内部状态和电池状态反馈给主控mcu或辅助mcu，然后主控mcu或辅助mcu作出响应，当主控mcu选择asil-b、辅助mcu在线结合主控mcu达到d+等级，且主控mcu故障由辅助接替工作；当主控mcu选择asil-b，辅助mcu选择asil-a，整个管理系统实现asil-c的架构设计；另外一方面会直接传递到硬件告警接口，硬件告警信号可以通过告警上行接口和告警下行接口构成菊花链通信环路，也可以通过具有开漏极输出的隔离器件进行信号并接，输出到告警接口，然后通过mcu的外部硬件中断信号通知mcu做出响应。同时，本实施例中在辅助mcu处于空缺状态时，因为系统基础芯片具有安全管理机制，在没有辅助mcu的应用场景下，可以输出故障信号，用于在主控mcu工作异常时，紧急操作逻辑运算器，控制负载处于断开状态让系统进入安全状态，即达到故障操作（fail-safe）。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。