BMS功能安全控制系统及控制方法与流程

本发明涉及电池管理技术领域，尤其涉及一种bms功能安全控制系统及控制方法。

背景技术：

bms系统在应用中需要具有安全功能，在故障发生时需要保证功能安全，功能安全与使用的芯片特点、软硬件架构及电路拓扑有关，同时，也需要考虑到设计达到的功能安全等级。现有的bms系统设计中，对于电池充/放电管理，当电池出现过温或过充或过放时，bms系统需要发出信号，断开总线继电器，但是当bms系统发生故障时，会导致此安全功能失效。安全功能失效有可能导致执行器执行错误，从而导致危险情况发生。

现有的bms系统对电池充/放电管理时，当传感器采集回路、通讯回路、驱动回路其中之一发生故障时，都可能导致执行器正常执行功能失效，各个系统故障包括元器件本身失效、采集错误、传输错误或者指令错误等，由于现有bms系统采集简单、对数据识别确定性差、传输路径单一、执行效果不佳，导致故障率高、识别执行失效率大，从而致使功能安全等级低，故障失效时危险发生的概率高，安全机制覆盖率低、可控性差。

技术实现要素：

本发明针对现有技术的缺陷，提供了一种bms功能安全控制系统及控制方法，加强实现了bms系统的安全保护，降低了因bms系统安全功能失效而导致执行器执行错误的风险。

为实现上述目的，本发明提供了一种bms功能安全控制系统，包括：

信号采集模块，用于采集电池模块中的电池信号；

主处理器，连接所述信号采集模块，用于根据所述电池信号判断所述电池模块是否发生故障，若判断为未发生故障，则生成维持驱动指令，若判断为发生故障，则生成进入安全操作指令；

电源控制模块，用于接收所述进入安全操作指令并生成第一硬件安全指令，所述电源控制模块连接于所述主处理器；

硬件安全逻辑模块，用于接收所述第一硬件安全指令并生成第一使能指令和第二使能指令，所述硬件安全逻辑模块连接于所述电源控制模块及所述信号采集模块；

驱动模块，用于在接收到所述维持驱动指令时维持对所述电池模块的驱动，在接收到所述第一使能指令时停止对所述电池模块的驱动，在接收到所述第二使能指令时关闭所述驱动模块的电源，所述驱动模块连接于所述主处理器和所述硬件安全逻辑模块；

所述信号采集模块在接收到所述第二使能指令时关闭所述信号采集模块的电源。

本发明的bms功能安全控制系统，通过电源控制模块与硬件安全逻辑模块的设置，增加了进入安全操作指令的传输路径，当电池模块发生故障时，主处理器可以通过更多传输路径将进入安全操作指令传递给驱动模块，使得在bms功能安全控制系统中部分传输路径发生故障失效时，还有其他传输路径可以进行指令的正确传递，确保驱动模块停止驱动电池模块，加强实现了bms系统的安全保护，降低因bms系统安全功能失效而导致执行器执行错误的风险。

本发明bms功能安全控制系统的进一步改进在于：

还包括与所述硬件安全逻辑模块连接及与所述主处理器连接、并进一步与上位机通讯连接的通讯模块；

所述主处理器若判断所述电池模块为发生故障，则生成报错指令并通过所述通讯模块将所述报错指令发送至所述上位机，在生成所述报错指令的同时开始计时，若一定时间内未收到所述上位机的反馈信息，则生成所述进入安全操作指令；

所述电源控制模块在接收到所述进入安全操作指令时还生成第二硬件安全指令；

所述硬件安全逻辑模块在接收到所述第二硬件安全指令时生成第三使能指令；

所述通讯模块在接收到所述第三使能指令时停止通讯、在接收到所述第二使能指令时关闭所述通讯模块的电源。

本发明bms功能安全控制系统的进一步改进在于：

还包括电源模块，所述电源模块用于接收外部的总电源并向所述信息采集模块、所述主处理器、所述驱动模块和所述通讯模块供电，所述电源控制模块控制连接所述电源模块；

所述主处理器内设有用于判断主处理器各引脚的信号是否与相应预设信号一致的自检模块，若所述自检模块连续多次判断为不一致则生成进入安全保护指令；

所述电源控制模块在接收到所述进入安全保护指令时生成关闭总电源指令；

所述电源模块在接收到所述关闭总电源指令时关闭所述总电源。

本发明bms功能安全控制系统的进一步改进在于：

所述信号采集模块分多路采集所述电池信号；

所述主处理器内设有两两连接的多个数据处理单元，多个所述数据处理单元一一对应地接收多路所述电池信号，用于判断每路所述电池信号是否超出第一设定阈值，以及用于判断多路所述电池信号中的两两差值是否超出第二设定阈值。

本发明bms功能安全控制系统的进一步改进在于：

多路所述电池信号包括多路电流信号、多路电压信号和多路温度信号；

所述主处理器内设有温度校正单元，所述温度校正单元用于将每路所述电流信号和每路所述电压信号分别与预设的电流特性曲线和电压特性曲线相比较并校正相应的所述电流信号和所述电压信号。

本发明还提供了一种基于上述bms功能安全控制系统的bms功能安全控制方法，包括如下步骤：

s1、利用信号采集模块采集电池模块的电池信号并输出至主处理器；

s2、所述主处理器根据所述电池信号判断所述电池模块是否发生故障：

若判断为未发生故障，则所述主处理器生成维持驱动指令，同时返回到步骤s1；

若判断为发生故障，则所述主处理器生成进入安全操作指令；

s3、电源控制模块接收所述进入安全操作指令并生成第一硬件安全指令；

s4、硬件安全逻辑模块接收所述第一硬件安全指令并生成第一使能指令和第二使能指令；

s5、驱动模块在接收到所述维持驱动指令时维持对所述电池模块的驱动，在接收到所述第一使能指令时停止对所述电池模块的驱动，在接收到所述第二使能指令时关闭所述驱动模块的电源；所述信号采集模块在接收到所述第二使能指令时关闭所述信号采集模块的电源。

采用本发明的bms功能安全控制方法，当电池模块发生故障时，主处理器可以通过更多传输路径将进入安全操作指令传递给驱动模块，使得在bms功能安全控制系统中部分传输路径发生故障失效时，还有其他传输路径可以进行指令的正确传递，确保驱动模块停止驱动电池模块，加强实现了bms系统的安全保护，降低因bms系统安全功能失效而导致执行器执行错误的风险。

本发明bms功能安全控制方法的进一步改进在于：

所述bms功能安全控制系统还包括与所述硬件安全逻辑模块连接及与所述主处理器连接、并进一步与上位机通讯连接的通讯模块；

在进行所述步骤s2时，若判断为发生故障，则所述主处理器先生成报错指令并通过通讯模块将所述报错指令发送至上位机，在生成所述报错指令的同时开始计时，若一定时间内未收到所述上位机的反馈信息，再生成所述进入安全操作指令；

在进行所述步骤s3时，所述电源控制模块在接收到所述进入安全操作指令时还生成第二硬件安全指令；

在进行所述步骤s4时，所述硬件安全逻辑模块在接收到所述第二硬件安全指令时生成第三使能指令；

在进行所述步骤s5时，所述通讯模块在接收到所述第三使能指令时停止通讯、在接收到所述第二使能指令时关闭所述通讯模块的电源。

本发明bms功能安全控制方法的进一步改进在于：

所述bms功能安全控制系统还包括电源模块，所述电源模块用于接收外部的总电源并向所述信息采集模块、所述主处理器、所述驱动模块和所述通讯模块供电，所述电源控制模块控制连接所述电源模块；所述主处理器内设有用于判断主处理器各引脚的信号是否与相应预设信号一致的自检模块；

在所述步骤s4之后，所述主处理器利用所述自检模块进行自检，若所述自检模块连续多次判断为不一致则生成进入安全保护指令；

所述电源控制模块在接收到所述安全保护指令时生成关闭总电源指令；

所述电源模块在接收到所述关闭总电源指令时关闭所述总电源。

本发明bms功能安全控制方法的进一步改进在于：

所述信号采集模块分多路采集所述电池信号；所述主处理器内设有两两连接的多个数据处理单元，多个所述数据处理单元一一对应地接收多路所述电池信号；

在进行步骤s2时，所述主处理器利用多个所述数据处理单元对多路所述电池信号中的两两差值是否超出第二设定阈值进行判断，若超出，则所述电池模块为发生故障；若未超出，则对每路所述电池信号是否超出第一设定阈值进行判断，若超出，则所述电池模块为发生故障，若未超出，则所述电池模块为未发生故障。

本发明bms功能安全控制方法的进一步改进在于：

多路所述电池信号包括多路电流信号、多路电压信号和多路温度信号；

所述主处理器内设有温度校正单元，所述温度校正单元用于将每路所述电流信号和每路所述电压信号分别与预设的电流特性曲线和电压特性曲线相比较并校正相应的所述电流信号和所述电压信号；

在进行步骤s2时，所述主处理器先利用温度校正单元对多路所述电流信号和多路所述电压信号进行校正，并将所述温度信号以及校正后的多路电流信号和校正后的多路电压信号作为多路所述电池信号，利用多个所述数据处理单元对多路所述电池信号进行判断。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明bms功能安全控制系统的基础框图。

图2示出了本发明bms功能安全控制系统的一较佳实施例的原理图。

图3示出了本发明图2实施例中硬件安全逻辑模块的电路图。

图4示出了本发明bms功能安全控制方法流程图。

具体实施方式

本发明为了加强实现bms系统的安全保护、降低因bms系统安全功能失效而导致执行器执行错误的风险，提供了一种bms功能安全控制系统及控制方法，下面结合附图和具体实施例对本发明做进一步详细说明。

参阅图1所示，一种bms功能安全控制系统，包括：

信号采集模块，用于采集电池模块(未示出)中的电池信号；

主处理器，连接该信号采集模块，用于根据该电池信号判断该电池模块是否发生故障，若判断为未发生故障，则生成维持驱动指令11，若判断为发生故障，则生成进入安全操作指令；

电源控制模块，用于接收该进入安全操作指令并生成第一硬件安全指令21，该电源控制模块与该主处理器通讯连接，并通过spi\uart\i2c\lin\can\daisychain等协议进行通讯；

硬件安全逻辑模块，用于接收该第一硬件安全指令21并生成第一使能指令31和第二使能指令32，该硬件安全逻辑模块连接于该电源控制模块及该信号采集模块；

驱动模块，用于在接收到该维持驱动指令11时维持对该电池模块的驱动，在接收到该第一使能指令31时停止对该电池模块的驱动，在接收到该第二使能指令32时关闭该驱动模块的电源，该驱动模块连接于该主处理器和该硬件安全逻辑模块；

该信号采集模块在接收到该第二使能指令时关闭该信号采集模块的电源。

上述bms功能安全控制系统，在传统的bms系统(即主处理器分两路与驱动模块的通断引脚和中断引脚连接，分别用以向驱动模块发送维持驱动指令11和第一软件安全指令12)的基础上，增加了电源控制模块至硬件安全逻辑模块再至驱动模块的传输路径，即当电池模块发生故障(如过温或过充或过放)时，主处理器向电源控制模块发送进入安全操作指令，然后由电源控制模块生成第一硬件安全指令21至硬件安全逻辑模块，再由硬件安全逻辑模块生成第一使能指令31至驱动模块的总线继电器引脚、生成第二使能指令32分别至驱动模块的电源使能引脚和信号采集模块的电源使能引脚，一方面通过断开总线继电器来控制电池模块停止充放电，另一方面通过切断驱动模块的电源来停止对电池模块的驱动，进而达到停止充放电的目的，同时切断信号采集模块的电源，以停止信号采集，使该bms功能安全控制系统在使用时响应速度更快且更节能。另外，本实施例中，主处理器与硬件安全逻辑模块的中断引脚连接，用以向硬件安全逻辑模块发送第二软件指令13。

采用上述bms功能安全控制系统，加强实现了bms系统的安全保护，通过更多的传输路径，降低了因bms系统部分安全功能失效而导致执行错误的风险。

较佳地：

参阅图2和图3所示，该bms功能安全控制系统还包括与该硬件安全逻辑模块连接及与该主处理器连接、并进一步与上位机通讯连接的通讯模块；

该主处理器若判断该电池模块为发生故障，则生成报错指令并通过该通讯模块将该报错指令发送至该上位机，在生成该报错指令的同时开始计时，若一定时间内未收到该上位机的反馈信息，则生成该进入安全操作指令；

该电源控制模块在接收到该进入安全操作指令时还生成第二硬件安全指令22；

该硬件安全逻辑模块在接收到该第二硬件安全指令22时生成第三使能指令33；

该通讯模块在接收到该第三使能指令33时停止通讯、在接收到该第二使能指令32时关闭该通讯模块的电源。

在本实施例中，主处理器与通讯模块采用spi\uart\i2c\lin\can\daisychain等协议进行通讯，同时，通讯模块与上位机或整车主控制器等外部系统进行通讯，使得该bms功能安全控制系统可以与上位机或整车主控制器等外部系统建立通讯，以实现该bms功能安全控制系统与外部系统的信息对接和联合控制；另外，电源控制模块内设有计时器，在接收到进入安全操作指令时通过计时器先后生成第一硬件安全指令21和第二硬件安全指令，使硬件安全逻辑模块顺序控制驱动模块和通讯模块。

较佳地：

该bms功能安全控制系统还包括电源模块，该电源模块用于接收外部的总电源并向该信息采集模块、该主处理器、该驱动模块和该通讯模块供电，该电源控制模块控制连接该电源模块；

该主处理器内设有用于判断主处理器各引脚的信号是否与相应预设信号一致的自检模块，若该自检模块连续多次判断为不一致则生成进入安全保护指令；

该电源控制模块在接收到该进入安全保护指令时生成关闭总电源指令；

该电源模块在接收到该关闭总电源指令时关闭该总电源。

在本实施例中，主处理器上还留有用以接收该硬件安全逻辑模块的回采诊断信号的引脚，该回采诊断信号即在硬件安全逻辑模块的各使能指令的输出线路上采集的实际输出的使能指令信号(包括第一使能指令31、第二使能指令32和第三使能指令33)，自检模块通过采集该回采诊断信号，可以判断其是否与预设信号(即在电池模块发生故障时硬件安全逻辑模块应该输出的各使能指令信号)一致，进而确认bms功能安全控制系统的相应传输路径及模块本身是否发生失效或故障；相应的，自检模块同样可以对主处理器内的其他各引脚的信号进行检查，进而确认bms功能安全控制系统的其他相应传输路径及模块本身是否发生失效或故障。

通过上述改进可以对bms功能安全控制系统本身进行监控，以便在bms功能安全控制系统本身发生失效或故障时，可以及时通过电源控制模块对电源模块进行相应控制，保护系统安全；具体控制逻辑可以根据实际情况灵活设置；例如在本实施例中：在自检模块第一次判断实际信号与预设信号发生不一致现象后，继续进行判断，若连续三次以上判断均为不一致，则确定bms功能安全控制系统本身发生失效或故障，此时，向电源控制模块发出关闭总电源指令，以使电源控制模块控制电源模块的总电源关闭，进而同时关闭电源模块所供电的所有模块，使bms功能安全控制系统进入安全保护模式，直至从外部硬启动该电源控制模块；在自检模块第一次判断实际信号与预设信号发生不一致现象后，继续进行判断，若连续三次以上判断均变为一致，则确定bms功能安全控制系统本身发生的失效或故障已移除，此时，向电源控制模块发出重启指令，以使电源控制模块控制电源模块将已关闭的电源重新启动，以恢复bms功能安全控制系统的正常工作。

较佳地：

该信号采集模块分多路采集该电池信号；

该主处理器内设有两两连接的多个数据处理单元，多个该数据处理单元一一对应地接收多路该电池信号，用于判断每路该电池信号是否超出第一设定阈值，以及用于判断多路该电池信号中的两两差值是否超出第二设定阈值。

本实施例采用多路采集方式，以防止因单一采集路径发生失效造成采集不准而导致的判断失效；另外，通过上述多个数据处理单元可以对多个电池信号进行双核交叉比较；具体地，数据处理单元内设有模数转换模块，先通过将电池信号转换成数字信号，再对数字信号进行双核交叉比较，使得主处理器对电池模块是否发生故障的判断更加准确。

较佳地：

多路该电池信号包括多路电流信号、多路电压信号和多路温度信号；

该主处理器内设有温度校正单元，该温度校正单元用于将每路该电流信号和每路该电压信号分别与预设的电流特性曲线和电压特性曲线相比较并校正相应的该电流信号和该电压信号。

在本实施例中，多路电流信号通过电流传感器分多路对电池位置进行采集得到，多路电压信号通过电压传感器分多路对电池位置进行采集得到，多路温度信号通过温度传感器分多路对电流传感器和电压传感器位置进行采集得到；

通过温度校正单元对电流信号和电压信号进行校正，并将温度信号、校正后的电流信号和校正后的电压信号作为该用以主处理器判断电池模块是否发生故障的电池信号，进一步提高了故障判断的准确性。

针对上述bms功能安全控制系统，本发明还提供了一种bms功能安全控制方法，参阅图1和图4所示，包括如下步骤：

s1、利用信号采集模块采集电池模块的电池信号并输出至主处理器；

s2、该主处理器根据该电池信号判断该电池模块是否发生故障：

若判断为未发生故障，则该主处理器生成维持驱动指令，同时返回到步骤s1；

若判断为发生故障，则该主处理器生成进入安全操作指令；

s3、电源控制模块接收该进入安全操作指令并生成第一硬件安全指令；

s4、硬件安全逻辑模块接收该第一硬件安全指令并生成第一使能指令和第二使能指令；

s5、驱动模块在接收到该维持驱动指令时维持对该电池模块的驱动，在接收到该第一使能指令时停止对该电池模块的驱动，在接收到该第二使能指令时关闭该驱动模块的电源；该信号采集模块在接收到该第二使能指令时关闭该信号采集模块的电源。

在步骤s2中，若判断为发生故障，则该主处理器在生成第一软件安全指令12至驱动模块、生成第三软件安全指令13至硬件安全逻辑模块的基础上，还同时生成进入安全操作指令至电源控制模块。

在电池模块发生故障(如过温或过充或过放)时，主处理器可以通过多条软硬件指令的结合来达到准确控制驱动模块及其他相关模块的目的，加强实现了bms系统的安全保护，降低了因bms系统部分安全功能失效而导致执行错误的风险。

较佳地：

该bms功能安全控制系统还包括与该硬件安全逻辑模块连接及与该主处理器连接、并进一步与上位机通讯连接的通讯模块；

在进行该步骤s2时，若判断为发生故障，则该主处理器先生成报错指令并通过通讯模块将该报错指令发送至上位机，在生成该报错指令的同时开始计时，若一定时间内未收到该上位机的反馈信息，再生成该进入安全操作指令；

在进行该步骤s3时，该电源控制模块在接收到该进入安全操作指令时还生成第二硬件安全指令；

在进行该步骤s4时，该硬件安全逻辑模块在接收到该第二硬件安全指令时生成第三使能指令；

在进行该步骤s5时，该通讯模块在接收到该第三使能指令时停止通讯、在接收到该第二使能指令时关闭该通讯模块的电源。

上述bms功能安全控制方法可以与上位机或整车主控制器等外部系统建立通讯，实现了该bms功能安全控制系统与外部系统的信息对接和联合控制。

较佳地：

该bms功能安全控制系统还包括电源模块，该电源模块用于接收外部的总电源并向该信息采集模块、该主处理器、该驱动模块和该通讯模块供电，该电源控制模块控制连接该电源模块；该主处理器内设有用于判断主处理器各引脚的信号是否与相应预设信号一致的自检模块；

在该步骤s4之后，该主处理器利用该自检模块进行自检，若该自检模块连续多次判断为不一致则生成进入安全保护指令；

该电源控制模块在接收到该安全保护指令时生成关闭总电源指令；

该电源模块在接收到该关闭总电源指令时关闭该总电源。

上述bms功能安全控制方法，可以对bms功能安全控制系统本身进行监控，以便在bms功能安全控制系统本身发生失效或故障时，可以及时通过电源控制模块对电源模块进行相应控制，保护系统安全；具体控制逻辑可以根据实际情况灵活设置；例如在本方法中：在自检模块第一次判断实际信号与预设信号发生不一致现象后，继续进行判断，若连续三次以上判断均为不一致，则确定bms功能安全控制系统本身发生失效或故障，此时，向电源控制模块发出关闭总电源指令，以使电源控制模块控制电源模块的总电源关闭，进而同时关闭电源模块所供电的所有模块，使bms功能安全控制系统进入安全保护模式，直至从外部硬启动该电源控制模块；在自检模块第一次判断实际信号与预设信号发生不一致现象后，继续进行判断，若连续三次以上判断均变为一致，则确定bms功能安全控制系统本身发生的失效或故障已移除，此时，向电源控制模块发出重启指令，以使电源控制模块控制电源模块将已关闭的电源重新启动，以恢复bms功能安全控制系统的正常工作。

较佳地：

该信号采集模块分多路采集该电池信号；该主处理器内设有两两连接的多个数据处理单元，多个该数据处理单元一一对应地接收多路该电池信号；

在进行步骤s2时，该主处理器利用多个该数据处理单元对多路该电池信号中的两两差值是否超出第二设定阈值进行判断，若超出，则该电池模块为发生故障；若未超出，则对每路该电池信号是否超出第一设定阈值进行判断，若超出，则该电池模块为发生故障，若未超出，则该电池模块为未发生故障。

上述bms功能安全控制方法采用多路采集方式，避免了因单一采集路径发生失效造成采集不准而导致的判断失效；另外，通过多个数据处理单元可以对多个电池信号进行双核交叉比较；具体地，数据处理单元内设有模数转换模块，先通过将电池信号转换成数字信号，再对数字信号进行双核交叉比较，使得主处理器对电池模块是否发生故障的判断更加准确。

较佳地：

多路该电池信号包括多路电流信号、多路电压信号和多路温度信号；

该主处理器内设有温度校正单元，该温度校正单元用于将每路该电流信号和每路该电压信号分别与预设的电流特性曲线和电压特性曲线相比较并校正相应的该电流信号和该电压信号；

在进行步骤s2时，该主处理器先利用温度校正单元对多路该电流信号和多路该电压信号进行校正，并将该温度信号以及校正后的多路电流信号和校正后的多路电压信号作为多路该电池信号，利用多个该数据处理单元对多路该电池信号进行判断。

通过温度校正单元对电流信号和电压信号进行校正，并将温度信号、校正后的电流信号和校正后的电压信号作为该用以主处理器判断电池模块是否发生故障的电池信号，进一步提高了故障判断的准确性。

以上所述仅是本发明的较佳实施例而已，并非对本发明做任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明，任何熟悉本专业的技术人员，在不脱离本发明技术方案的范围内，当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例，但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。