AN215 - BMSソリューションの機能安全コンセプト : ISO13849準拠
役立つ情報を毎月お届けします
プライバシーを尊重します
摘要
バッテリー駆動システムは、安全な動作領域外で動作すると感度が高いため潜在的に危険になり、火災や爆発を引き起こす可能性があります。これらの安全上のリスクはユーザーにとって容認できないものであるため、リスクを軽減するために特別な措置を講じる必要があります。
本アプリケーションノートでは、ISO13849に準拠した機能安全を備えたバッテリー管理システム (BMS) アーキテクチャのソリューションについて説明します。本アプリケーションノートでは、安全機能、パフォーマンスレベル、実装される安全対策の定義について考察します。これらの安全機能は、バッテリーが常に安全な動作領域内で動作していることを確実にすることで、リスクを許容レベルまで軽減します。
はじめに
本アプリケーションノートでは、ISO13849機能安全規格に従って、目標性能レベル (PL) を達成するために、マイクロコントローラユニット (MCU) と組み合わせた、MPSのバッテリーモニタおよびプロテクタユニット (BM&P) に基づくBMSアーキテクチャで実装される推奨安全対策について説明します。
本文書は、BMSアーキテクチャの概要、BM&Pの構成方法の詳細を含み、各安全対策の構造の詳細を提供します。また、ISO13849機能安全規格に従ってPLを達成し正当化するための最も重要なポイントも明らかにします。
用語と定義
次の用語と定義は、アプリケーションノート全体で使用されます。これらの用語は主に機能安全、特にISO13849機能安全規格に関連しています。このセクションは、本アプリケーションノートとその目的を理解するための鍵になります。
安全機能
安全機能とは、故障すると直ちにリスクが増大する可能性がある機械の機能です。
パフォーマンスレベル (PL)
パフォーマンスレベル (PL) は、制御システム (SRP / CS) の安全関連部分が特定の条件下で安全機能を実行する能力を明確にするために使用される個別のレベルです。PLは、安全機能を実行するSRP / CSの能力に基づき、PLa (最低) からPLe (最高) までの範囲があります。
必要なパフォーマンス レベル (PLr)
各安全機能に対して必要なリスク低減を達成するには、必要なパフォーマンスレベル (PLr) を満たす必要があります。
危険側故障
危険側故障とは、安全機能の実装に関与する要素、サブシステム、システムの故障で、次のような状態を指します。
a. 必要なときに安全機能が作動しないようにする (要求モード) か、安全機能が機能しなくなり (連続モード)、機械が危険な状態または潜在的に危険な状態になる。または、
b. 安全機能が必要なときに正しく動作する確率が低下する。
危険側故障までの平均時間 (MTTFD)
危険側故障までの平均時間 (MTTFD) は、危険側故障が発生するまでの予想される平均時間です。
診断範囲
診断範囲は診断の有効性の尺度であり、検出された危険故障の故障率と総危険故障の故障率の比率によって決定されます。
カテゴリ
カテゴリとは、障害に対する耐性と障害状態でのその後の動作に関するサブシステムの分類であり、部品の構造的配置、障害検出、サブシステムの信頼性によって実現されます。
アーキテクチャ
アーキテクチャは、危険側故障がシステムの安全機能を実行する能力に与える影響を判断するために不可欠です。ISO13849では、以下に説明する3つのパターンオプションが提供されています。
シングルチャネル
1つのチャンネルは、1つの入力、1つのロジックブロック、1つの出力で構成されます (図1参照)。危険側故障が発生した場合、安全機能は実行できません。
図1 : シングルチャネルアーキテクチャ
テスト済みシングルチャネル
テスト済みシングルチャネルはシングルチャネルに似ていますが、ロジックブロックのテストが含まれます (図2参照)。危険側故障が発生時、システムは故障を検出し、リスクが高まる前に安全な状態に入ることができます。
図2 : テスト済みシングルチャネルアーキテクチャ
冗長チャネル
冗長チャネルは、並列に動作する2つの完全なチャネルです (7ページの図3参照)。危険側故障が発生した場合でも、障害が発生していないチャネルは引き続き安全機能を実行できます。
図3 : 冗長チャネルアーキテクチャ
カテゴリ
ISO13849規格は、実装されたアーキテクチャ、使用される部品 (MTTFDD) およびDCに基づいて5つのカテゴリのセットを定義することによって達成されるPLを決定する簡素化された方法を提案しています。これらのカテゴリを以下に示します。
- カテゴリB
- アーキテクチャ: シングルチャネル
- MTTFD: 低~中
- DC: なし
- 達成可能なPL: PLa〜PLb
- カテゴリ1
- アーキテクチャ: シングルチャネル
- MTTFD: 高い
- DC: なし
- 達成可能なPL: PLa〜PLc
- カテゴリ2
- アーキテクチャ: テスト済みシングルチャネル
- MTTFD: 低~高
- DC: 低~中
- 達成可能なPL: PLa〜PLd
- カテゴリ3
- アーキテクチャ: 冗長チャネル
- MTTFD: 低~高
- DC: 低~中
- 達成可能なPLM: PLb〜PLd
- カテゴリ4
- アーキテクチャ: 冗長チャネル
- MTTFD: 高い
- DC: 高い
- 達成可能なPL: PLe
- I2CおよびSPI通信: 安全ソリューションはI2C通信向けに構成
- 汎用入出力 (GPIO): GPIO1、GPIO2、GPIO3
- xアラート: BM&PからMCUへの割り込みを検知
- ウォッチドッグタイマー (WDT): BM&PからMCUをリセット
- nSHDN: MCUからBM&Pをリセット
- REGIN、VDD、VREF: BM&Pの内部電源 (REGIN、VDD) と内部基準電圧 (VREF)
安全機能
リスク削減戦略の最初のステップはリスク分析であり、動作条件、故障、潜在的な影響について考えられるすべてのシナリオが分析されます。このプロセスの結果として、安全機能とその必要なパフォーマンスレベル (PLr) が特定されます。表1は、説明とPLrを含むバッテリーシステムの代表的な安全機能を示しています。さらに、本文書の後半で説明する安全対策は、各安全機能までさかのぼります。
表1 : BMS の安全機能 (SF) の定義
| SF ID | SFの説明 | 安全な状態 | PLr | 適用される安全対策 |
| SF1 | セルの過充電を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM2、SM5、SM6、SM7、SM8、SM9、SM11、SM12、SM13、SM14、SM15、SM16、SM17 |
| SF2 | バッテリーの過充電を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM1、SM5、SM6、SM7、SM8、SM9、SM11、SM13、SM14、SM15、SM16、SM17 |
| SF3 | セルの充電不足を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM2、SM5、SM6、SM7、SM8、SM9、SM11、SM12、SM13、SM14、SM15、SM16、SM17 |
| SF4 | バッテリーの充電不足を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM1、SM5、SM6、SM7、SM8、SM9、SM11、SM13、SM14、SM15、SM16、SM17 |
| SF5 | バッテリーの充電過電流 (OC) 故障を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM3、SM5、SM6、SM9、SM11、SM13、SM14、SM15、SM16、SM17 |
| SF6 | バッテリーの放電OC故障を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM3、SM5、SM6、SM9、SM11、SM13、SM14、SM15、SM16、SM17 |
| SF7 | バッテリーの充電短絡を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM3、SM9、SM11、SM13、SM17 |
| SF8 | バッテリーの放電短絡を防ぐ | バッテリーを充電と放電から絶縁する | PLc | SM3、SM9、SM11、SM13、SM17 |
| SF9 | バッテリーの過熱 (OT) を検出 | バッテリーを充電と放電から絶縁する | PLc | SM4、SM5、SM6、SM9、SM10、SM11、SM13、SM14、SM15、SM16、SM17 |
| SF10 | バッテリーの温度低下 (UT) を検出 | バッテリーを充電と放電から絶縁する | PLc | SM4、SM5、SM6、SM9、SM10、SM11、SM13、SM14、SM15、SM16、SM17 |
BMSアーキテクチャ
このセクションでは、BMSアーキテクチャを使用して安全機能を実装する方法について説明します。通常、電池残量計はBMSで使用されますが、機能安全機能には関連しないため、本文書では表示も説明もしません。図4はBMSシステムのアーキテクチャを示しています。
図4 : BMSシステムアーキテクチャ
システムアーキテクチャは、MPS BM&P (MP279xファミリ) とMCUを組み合わせたものに基づいています。BM&Pはバッテリーの大きさ (電圧、電流、温度) を検知します。MCUは、バッテリーとパックの電圧とバッテリー温度も検知します。センシング段階の後、これらの値はBM&PとMCUによってモニタできます。BM&PとMCUは、以下に示すいくつかのインタフェースを介して接続されます。
このコンセプトで実装された電源アーキテクチャは、BM&PとMCU間の電源の観点からの独立性を保証します。BM&Pは、最大バッテリー電圧を超える電圧値に耐えることができる高電圧入力ピンを介してバッテリー電圧に直接接続されます。
このバッテリー電圧は内部で電圧レギュレータブロックに入力され、さまざまな内部電源が生成されます。MCUには外部降圧型コンバータが付属しており、コンバータの入力はバッテリー電圧に接続され、出力はMCUに直接接続されます。両方のチップの電源における唯一の共通点はバッテリーであり、アナログフロントエンド (AFE) とMCUによって過電圧 (OV) および低電圧 (UV) イベントがモニタされます。
どちらのICも保護を実装し、故障時の反応を引き起こして安全な状態に移行できます。安全な状態は、電力線に実装されているさまざまな保護レイヤを開くことで実現でき、バッテリーを充電と放電から絶縁できます。
最初の保護レイヤはコンタクタまたは保護MOSFETで構成されます (10ページの図4参照)。2番目の保護層は、外部コマンドの有無にかかわらず実行できるヒューズであるセルフコントロールプロテクタ (SCP) で構成されます。SCPはリセット不可能なデバイスであり、最初の保護レイヤに故障が発生した場合にのみ実行されるように構成する必要があります。
SCPを内部ヒータで動作させる機構には、SCPが安全に動作することを保証するために満たさなければならない電力消費動作範囲があります。ヒータを通してヒューズを飛ばす標準的な方法は、ヒータを通る電流の流れを制御するトランジスタを閉じ、ヒューズが飛ぶまでトランジスタを閉じたままにすることです。ただし、バッテリー電圧レベルにより、この方法ではヒータを介した電力消費が電力消費動作範囲内に収まるかどうかは保証されません。これは、電力消費がバッテリー電圧とヒータの内部抵抗器に依存するためです。
電力消費が下限しきい値を超え、上限しきい値を下回っていることを確認することが重要です。消費電力が下限しきい値を下回る場合、ヒータで発生した熱によりヒューズは切れません。消費電力が上限しきい値を超えると、ヒューズが溶断する前にヒータが破損する可能性があります。
SCPを動作させる標準的な方法において、内部ヒータで発生する電力消費がバッテリー電圧の動作範囲全体にわたって公称幅内に収まることが保証されない場合、このSCPの制限を克服する方法は、抵抗が十分に低い内部ヒータを備えたSCPを選択することです。この場合には、ヒータによる電力消費は、最小バッテリー電圧レベルでの電力消費動作範囲内にあります。調整可能なデューティサイクルを持つパルス幅変調 (PWM) 制御信号を適用して、SCPの内部ヒータの平均電力消費が常に電力消費動作範囲内になるようにします。
消費電力の動作範囲は使用するSCPによって異なるため、システムインテグレータが各ケースで対処する必要があります。システムインテグレータは、バッテリー電圧の動作範囲全体にわたって安全で正しいSCPが確実に動作するように、SCPを選択し、それに適切な制御を適用する責任があります。
_______________________
興味のある内容でしたか? お役に立つ情報をメールでお届けします。今すぐ登録を!
アカウントにログイン
新しいアカウントを作成