車載用以外のBMS設計における機能安全
はじめに
過去10年間で不可欠となったバッテリー駆動のアプリケーションでは、安全な使用を確保するために一定レベルの保護が必要です。この安全性はバッテリーマネジメントシステム (BMS) によって提供されます。 BMSは、バッテリーと障害の可能性をモニタし、バッテリーまたはその周囲に起因する危険な状況を防止し、バッテリーの残量またはバッテリーの劣化レベルを正確に推定できるようにします。
低電圧または中電圧バッテリー用のBMSの主な構造は、通常、以下に示す3つのICで構成されます。
- バッテリーモニタおよびプロテクタ: アナログフロントエンド (AFE) とも呼ばれるバッテリーモニタおよびプロテクタは、バッテリーの電圧、電流、温度を測定する役割を担い、第一レベルの保護を提供します。
- マイクロコントローラユニット (MCU): MCUは、バッテリーモニタとプロテクタから送信されるデータを処理します。MCUには通常、モニタリングしきい値を含む第2レベルの保護が組み込まれています。
- 電池残量計 (FG): 電池残量計は、充電状態 (SOC)、健全性状態 (SOH)、残りの実行時間の推定値、およびその他のユーザー関連のバッテリーパラメータを提供する独立したICです。
図1は、低電圧または中電圧バッテリー用の完全なBMSの主な構造を示しています。電池残量計は独立型のICにすることも、MCUに組み込むこともできます。MCUはBMSの中心的な要素であり、AFEと電池残量計の両方から情報を取得し、システムの残りの部分と接続します。
図1: BMSアーキテクチャ
これら3つの主要部品がBMSを構成します。ただし、さらに検討しないとこれらの部品を使用するだけでは、特定の業界で要求される安全レベルを満たすシステムを確保するには十分ではありません。本稿では、車載用以外のバッテリーマネジメントシステムにおける機能安全の役割と、必要な安全レベルを達成する方法について説明します。
機能安全入門
機能安全は、電気 / 電子 (E/E) システムの機能障害による危険なイベントによって生じるリスクを軽減することに重点を置いた総合的な安全性の分野です。目標は、残留リスクが許容範囲内に収まるようにすることです。
近年、さまざまな分野 (自動車、機械、医療、産業、航空など) でE/Eシステムの使用が増加し、機能安全性が重視されるようになりました。これらの変化により、さまざまな機能安全規格が開発されるようになりました。
ISO 13849 (タイトル「機械類の安全性 - 制御システムの安全関連部分」) は、機械分野における制御システムの安全関連部分 (SRP / CS) に焦点を当てた機能安全規格です。これは、一般的な産業機械からモペットや電動自転車まで、幅広いアプリケーションが含まれる分野です。ISO 13849では、さまざまな安全レベルをパフォーマンスレベル (PL) として定義しており、その幅はPLa (低安全レベル) からPLe (高安全レベル) まであります。この安全規格は、リスクの評価と軽減のための正確なプロセスを定義します。カテゴリ、危険側故障までの平均時間 (MTTFD)、平均診断範囲 (DCAVG) の3つのパラメータに基づいて達成PLを決定するための簡略化された方法を提案します。これはシステムに適用されているさまざまな安全対策に関連するすべてのDCを平均することによって計算されます。
カテゴリは、SRP / CSの分類であり、故障に対する耐性と、故障状態が発生した場合のその後の動作について表しています。カテゴリは5つあります (B、1、2、3、4)。
アーキテクチャはカテゴリに最も大きな影響を与えます。SRP / CSの基本アーキテクチャは、入力、ロジックブロック、出力の3つの機能ブロックで構成されています (図2参照)。図2は、カテゴリBおよびカテゴリ1に提案されたアーキテクチャに対応しており、「シングルチャネル」アーキテクチャと呼ばれます。シングルチャネルアーキテクチャは、SRP / CSの公称機能を実装するための最も基本的なアーキテクチャと考えられていますが、診断機能には適していません。カテゴリ1および2では、安全機能の整合性を確保するために、部品の信頼性 (MTTFD) に依存します。安全機能を実装する部品に障害が発生した場合、診断が実装されていないため、安全な状態が保証されなくなります (DCAVG = 0)。
図2: ISO 13849 基本アーキテクチャ
カテゴリ2の場合、提案されたアーキテクチャは「テスト済みシングルチャネル」と呼ばれます。このアーキテクチャのベースはシングルチャネルアーキテクチャと同じですが、機能チャネルが正しく動作しているかどうかを診断できるテストツールブロックが追加されています。安全機能を実装する部品に障害が発生した場合、安全機能は実行されませんが、テスト装置によって障害が診断されれば安全な状態を実現できます。
カテゴリ3およびカテゴリ4の場合、提案されたアーキテクチャは「冗長チャネル」と呼ばれ、他のチャネルの問題を診断できる2つの独立した機能チャネルを使用して実装されます。安全機能を実装する部品に障害が発生した場合でも、他のチャネルによって安全機能を実行できます。設計者は、各安全機能の目標とする安全レベルに基づいてSRP / CSカテゴリを選択する必要があります。
機能安全の段階的な実現
ISO13849規格では、SRP / CS設計を評価して達成されたPLを決定し、その安全レベルが十分であるか、または新しいループで改善する必要があるかをチェックする反復プロセスが定義されています。このプロセスには、安全設計対策によるリスク軽減、安全保護によるリスク軽減、使用情報によるリスク軽減という3つの異なるリスク軽減方法が含まれます。ISO 13849 は、安全保護によるリスク軽減に対応しています (図3参照)。
図3: ISO 13849プロセス (安全保護用)
安全保護プロセスは、SRP / CSの安全機能の定義から始まり、リスク分析を実施した後に必要なパフォーマンスレベル (PLr) が定義されます。PLrは、各安全機能に対するSRP/CSの目標PLです。
次のステップで、指定された安全要件に合わせてSRP / CSを設計します。これには、可能なアーキテクチャ、実装する安全対策を検討し、関連する安全機能を実行するためのSRP / CSの設計を最終決定することが含まれます。
SRP / CSが設計されたら、各安全機能の達成されたパフォーマンスレベルを評価します。これは、保護プロセス全体の中核となるステップです。達成されたPLを評価するには、カテゴリを定義し、MTTFDと個々の安全機能に対するSRP / CSのDCAVGを計算します。
MTTFDはチャネルごとに計算され、3つのレベルがあります (表1参照)。
表1: 各チャネルのMTTFD決定
| 各チャンネルの表記 | 各チャンネルの範囲 |
| 低 | 3年 ≤ MTTFD < 10年 |
| 中間 | 10年 ≤ MTTFD < 30年 |
| 高 | 30年 ≤ MTTFD < 100年 |
表2は、各診断尺度のDCを定義するための4つのレベルを示しています。
表2: DCの決定
| 表記 | 範囲 |
| なし | DC < 60% |
| 低 | 60% ≤ DC < 90% |
| 中間 | 90% ≤ DC < 99% |
| 高 | 99% ≤ DC |
達成可能なPLは、関連するパラメータを使用して決定できます (表3参照)。
表3: 達成可能なPLを決定する方法
| カテゴリ | B | 1 | 2 | 2 | 3 | 3 | 4 |
| DCAVG | なし | なし | 低 | 中間 | 低 | 中間 | 高 |
| 各チャネルのMTTFD | |||||||
| 低 | a | 対象外 | a | b | b | c | 対象外 |
| 中間 | b | 対象外 | b | c | c | d | 対象外 |
| 高 | 対象外 | c | c | d | d | d | e |
達成可能なPLは、標準で定義された残りの要件と分析が設計に実装された場合にのみ確認できます。これらの要件は、体系的な障害管理、CCF分析、安全原則、およびソフトウェア開発 (該当する場合) に準拠する必要があります。
このプロセスが完了したら、具体的な安全機能に対してSRP / CSによって達成されたPLをPLrに対して検証する必要があります。PL < PLrの場合、SRP / CSを再設計し、PL評価プロセスを再度開始する必要があります。PL ≥ PLrの場合、SRP / CS は必要な安全レベルを達成しており、テストを通じて正しい動作を確認するために検証を実行する必要があります。予期しない動作が発生した場合は、SRP / CSを再設計する必要があります。このプロセスは、安全機能ごとに繰り返す必要があります。
市場に応じた機能安全レベル
バッテリー駆動機器は数え切れないほど多くの市場で使用されており、各市場では、障害が人や環境に及ぼす危険性に応じて、異なる機能安全仕様が求められています。表4は、いくつかの主要市場で要求される機能安全レベルを示しています。これらのレベルは常に変化しており、各顧客の設計によって異なる場合がありますのでご注意ください。
表4: 市場に基づくPL決定
| 電動モビリティ | エネルギー貯蔵 | 電動工具 | ロボット工学 | |
| パフォーマンスレベル (PL) | PLc | PLc | PLb | PLc |
これらは現在のパフォーマンスレベルの市場期待値ですが、世界中のバッテリー駆動機器で問題が絶えず発生しているため、電動モビリティや特定のエネルギー貯蔵アプリケーションはPLdに移行する可能性があります。たとえば、エネルギー貯蔵アプリケーションの欠陥により、米国のESS施設で火災が発生しました。英国では、欠陥のある電動自転車や電動スクータが原因で発生した火災により、190人以上が負傷し、8人が死亡しました。
これらすべての出来事は、より堅牢で信頼性の高いシステムによって防ぐことができたはずです。安全性レベルを常に高める必要があるため、さまざまなパフォーマンスレベルに実装できるスケーラブルなソリューションが不可欠です。
MPS機能安全提案
MPSは、MCUと組み合わせた、バッテリーモニタおよびプロテクタファミリであるMP279xの実装に基づいてISO 13849 BMSのコンセプトを開発しました。このシステムは、特定の安全機能 (SF) セットに対してPLc安全レベルまで達成することを目的としています (表5参照)。PLrの決定は、BMSが使用されるアプリケーションと同様に、小さな変動が発生する可能性があるリスク分析に依存します。
表5: BMSコンセプトに対して定義された安全機能
| SF ID | SFの説明 | 安全な状態 | PLr |
| SF1 | セルの過充電を防ぐ | バッテリーを充電と放電から絶縁する | PLc |
| SF2 | バッテリーの過充電を防ぐ | ||
| SF3 | セルの充電不足を防ぐ | ||
| SF4 | バッテリーの充電不足を防ぐ | ||
| SF5 | バッテリーの充電過電流故障を防ぐ | ||
| SF6 | バッテリーの放電過電故障を防ぐ | ||
| SF7 | バッテリーの充電短絡を防ぐ | ||
| SF8 | バッテリーの放電短絡を防ぐ | ||
| SF9 | バッテリーの過熱を検出 | ||
| SF10 | バッテリーの温度低下を検出 |
PLcを達成するためにMPSが提案するソリューションは、特定の安全機能には単一の入力ブロックのみがあり、他の安全機能には冗長入力ブロックがあるため、各安全機能に応じてカテゴリ2またはカテゴリ3を満たすことができます。
図4は、SF2とSF4 (バッテリーパックの過充電と充電不足を防ぐ) を実装する方法を示しています。
SRP / CSの実装には、バッテリーモニタおよびプロテクタ (ロジック1) と MCU (ロジック2) の 2つのロジックブロックがあります。これらのロジックブロックは、設計内のさまざまな部分の正しい機能を診断するために使用されます。
出力は、回路遮断ブロック (出力1) と自己制御プロテクタ (出力2) の使用によっても二重化されます。
図4: SF2とSF4の実装
単一入力または重複入力の実装は、それぞれのケースの複雑さとコストによって決まります。単一入力の安全機能がPLcに準拠していることを確認するために、追加の安全対策を講じて診断機能を高めることができます。たとえば、セル電圧の測定値が正しいことを確認するセル電圧の妥当性チェックがあります。
結論
機能安全はかつては自動車製品にのみ関係していましたが、現在ではほとんどの市場でメーカーが機能安全規格に準拠することが求められています。車載用以外の市場で最もよく知られている安全規格は、アプリケーションの安全性と堅牢性を保証するシステムレベルの規格であるISO 13849です。MPSが提案するアーキテクチャでは、すべてのBMSにすでに搭載されている使用可能な製品を使って、追加コストを削減します。当アーキテクチャを採用し機能安全能力認定済みであるMPSのバッテリーモニタと保護ICファミリをご覧ください。
MPSの製品を使用してISO 13849に準拠した特定のパフォーマンスレベルを達成する方法の詳細については、関連するアプリケーションノートをご覧ください。
_______________________
興味のある内容でしたか? お役に立つ情報をメールでお届けします。今すぐ登録を!
アカウントにログイン
新しいアカウントを作成