1、中国科技信息 2024 年第 1 期CHINA SCIENCE AND TECHNOLOGY INFORMATION Jan.2024-106-三星推荐随着锂离子电池技术的快速发展,锂离子电池在轨道交通领域具备了广泛应用的潜力。与其他领域的电池系统相比,轨道交通用电池系统具有高容量、高电压和高能量等特点。由于轨道交通车辆的高速运行和高负荷运输,电池的安全性要求更高。然而,锂离子电池发生热失控导致火灾或爆炸等安全事故仍然是一个主要的安全风险。根据国内外标准,如IEC62928 和 TJ/JW127,可以通过监测电压、温度、温升速率等指标来判断和识别锂电池的热失控。目前,针对锂离子电池的安全监控主
2、要依靠电池管理系统(BMS)来实现。通常在轨道交通领域,BMS 采取二级架构。一级主控单元负责总电压和总电流的采样,并处理整车和从控单元之间的数据通信,同时估算能量状态(SOC)和健康状态(SOH)、控制均衡策略、判断故障等功能。二级从控单元负责电池单体的电压和温度采集、均衡控制,并与主控单元进行数据通信。然而,当从控单元出现故障时,无法向主控单元报告电池监测数据,导致主控无法准确判断电池状态,或者当主控模块出现故障时,无法根据从控上报的数据执行安全保护动作,都存在很大的安全隐患。目前解决上述问题的常见方案是采用热备双冗余架构。然而一方面热备双冗余架构需要配置两套硬件设备,从经济性上来说不具备
3、优势。另一方面热备双冗余方案因主、备系统采用相同软、硬件而容易发生共因失效的情况。本文基于上述问题,提出了一种新型的 BMS 架构,旨在提高锂离子电池在轨道交通领域的安全性。系统架构及冗余方案设计系统架构设计一种轨道交通动力锂电池 PACK,通常由 M 串锂电池电芯构成,其中每 m1 串电芯构成一个模组,共 n 个模组串联。一套轨道交通动力锂电池系统通常由 N 个 PACK 串联组成,每套锂电池系统配置一个一级主控单元模块和 N 个二级从控单元模块,每一个二级从控单元模块由一个主监控单元和一个冗余监控单元组成。从系统功能上划分,一级主控单元模块负责与 TCMS 及外部充电机(ETH/CAN/M
4、VB)通信管理,与二级从控单元 CAN 通信管理,IO 控制管理高压辅助电路,估算SOC和SOH,控制均衡策略和故障诊断;二级从控单元模块负责电芯电压及温度数据采集管理,与一级主控单元 CAN 通信管理,执行均衡策略并控制安全报警信号输出,管理主冗余系统间的 UART 通信。从控的主监控单元和冗余监控单元都实时采集电压、温行业曲线开放度创新度生态度互交度持续度可替代度影响力可实现度行业关联度真实度本文针对现有轨道交通动力锂电池监控系统存在的安全隐患及可靠性问题,提出一种基于异构冗余架构的电池监控系统设计思路及方案,能够在主监控单元故障时,冗余监控单元接管监测电芯电压和温度,并在故障触发时发出安
5、全报警信号,同时采用异构方案,能够有效避免共因失效的问题。如果将该设计方案真正付诸实践,可以极大地提高电池监控系统的可靠性和安全性,并减少潜在的安全隐患。罗凯宇 许晋荣 翟昊宇 王雪莲中车株洲电力机车有限公司罗凯宇,硕士,工程师,从事轨道车辆新能源管理系统研发工作。基于异构冗余架构的动力锂电池监控系统及保护设计罗凯宇 许晋荣 翟昊宇 王雪莲-107-CHINA SCIENCE AND TECHNOLOGY INFORMATION Jan.2024中国科技信息 2024 年第 1 期三星推荐度等状态信息。主监控单元通过 CAN 总线将采样数据上报给一级主控单元,而冗余监控单元配置一路安全报警输出
6、信号,并通过FPGA根据采集的电压和温度状态信息进行诊断,控制安全报警继电器的闭合与断开。FPGA 还回采安全报警继电器的闭合与断开状态,以避免继电器故障或异常导致安全信号无法输出。当从控单元通信正常时,一级主控采信主监控单元通过CAN 总线上报的数据进行故障诊断和保护控制,同时还监视冗余监控单元的安全报警输出信号。当从控单元通信异常时,一级主控则根据冗余监控单元的安全报警输出信号执行保护控制逻辑。当一级主控单元自身异常时,从控的冗余监控单元输出的安全报警信号同时作为控制信号输入给接触器的辅助控制回路,当安全报警信号触发时,高压回路断开接触器实现系统保护。当系统采用多个电池 PACK 串联时,
7、冗余监控单元的安全报警信号也按串联方式接线。即当任意 PACK 输出安全报警信号后,控制主回路接触器的输入信号由常闭变为常开,立即断开接触器执行保护控制逻辑。从系统安全功能上看二级从控单元内的主、冗余单元互为冗余,二级从控的冗余单元与一级主控又互为冗余。从控冗余方案设计二级从控单元由独立的主监控单元和冗余监控单元组成,如图 2 所示。主监控单元和冗余监控单元共用电气接口进行采样,电压和温度模拟输入信号在设备内部通过独立的采样电路及芯片处理。主、冗余监控单元共用外部电源接口进行供电,内部分别通过独立的DC/DC隔离电源进行供电,实现供电独立性。主、冗余监控单元之间同时使用隔离双路 UART 串口
8、进行通信,可以进行自检状态、关键采样数据、故障状态等数据的互通。主监控单元配置双路 CAN 通信冗余,避免单路通信故障。冗余监控系统则配置双路安全继电器,实现安全报警信号的输出控制。主 监 控 单 元 功 能 需 求 更 丰 富,因 此 采 用 ARM-Cortex-M4 内核的 MCU 作为控制核心;冗余监控单元功能简单,但可靠性要求高,则采用 EAGLE 架构的 FPGA 作为控制核心。主监控模拟采样核心采用 ADI 的 LTC6811,而冗余监控模拟采样核心采用 CHIPWAYS 的 XL8812。主、冗余监控单元采用不同的 CPU、模拟前端采样芯片和通信电路,完全采用异构方案,以避免共
9、因失效。安全保护策略根据所采用的异构冗余架构,设计一套安全保护策略如下。1)系统上电后,二级从控单元的主监控单元和冗余监控单元分别进行初始化和自检。若自检异常,则退出程序;若自检正常,则进入主循环。2)自检正常通过后,主监控单元和冗余监控单元各自进入主循环运行子任务。主监控单元定期采集数据上报一级主控,冗余监控单元定期采集数据并判断是否触发安全报警图 1 基于异构冗余架构的锂电池监控系统框图中国科技信息 2024 年第 1 期CHINA SCIENCE AND TECHNOLOGY INFORMATION Jan.2024-108-三星推荐图 2 从控单元异构冗余方案原理图图 3 主、从单元软
10、件流程图阈值。具体策略如下:当电池电压 A 阈值或电池温度 B阈值,并持续 2 个周期时,控制安全报警继电器断开,输出报警信号;当电池电压 C 阈值且电池温度 D 阈值时,控制安全报警继电器闭合,解除报警信号。3)主监控单元与冗余监控单元通过双路 UART 实时交互生命信号。当主监控单元识别冗余监控单元异常时,通过CAN 总线上报一级主控。4)一级主控模块判断二级从控模块的CAN通信正常时,采信 CAN 通信数据,并根据 CAN 通信传输的电压和温度值进行故障逻辑诊断和保护逻辑执行。具体策略如下:当电池电压A1阈值或电池温度B1阈值,并持续2个周期时,判断为严重故障,执行保护逻辑断开主接触器;
11、当电池电压 C1 阈值且电池温度 D1 阈值时,解除严重故障,允许主接触器闭合。其中,A1A,B1B,C1C,D1D,即-109-CHINA SCIENCE AND TECHNOLOGY INFORMATION Jan.2024中国科技信息 2024 年第 1 期三星推荐表 1 安全诊断阈值表序号所属系统诊断项点阈值参数数值保护动作1冗余监控单元过压报警A4V任意条件满足,输出安全报警信号2过温报警B703解除过压报警C3.7V同时满足条件,解除安全报警信号4解除过温报警D605主监控单元过压报警A13.8V任意条件满足,输出接触器断开信号6过温报警B1607解除过压报警C13.6V同时满足条
12、件,输出接触器闭合信号8解除过温报警D155表 2 验证试验序号验证项点测试方法预期现象实际现象1主监控通信正常电芯状态未触发安全保护主监控通信正常充电至最大电芯电压 3.79V 加热至最高电芯温度 59接触器保持闭合接触器保持闭合2主监控通信正常电芯状态触发安全保护主监控通信正常充电至最大电芯电压 3.8V 或加热至最高电芯温度 60接触器由闭合变为断开接触器由闭合变为断开3主监控通信正常电芯状态未解除安全保护主监控通信正常放电至最大电芯电压 3.6V 冷却至最高电芯温度 55接触器保持断开接触器保持断开4主监控通信正常电芯状态解除安全保护主监控通信正常放电至最大电芯电压 3.59V 冷却至
13、最高电芯温度 54接触器由断开变为闭合接触器由断开变为闭合5主监控通信异常冗余监控单元正常电芯状态未触发安全保护主监控通信异常冗余监控单元正常充电至最大电芯电压 3.99V 加热至最高电芯温度 69接触器保持闭合接触器保持闭合6主监控通信异常冗余监控单元正常电芯状态触发安全保护主监控通信异常冗余监控单元正常充电至最大电芯电压 4.0V 或加热至最高电芯温度 70接触器由闭合变为断开接触器由闭合变为断开7主监控通信异常冗余监控单元正常电芯状态未解除安全保护主监控通信异常冗余监控单元正常放电至最大电芯电压 3.8V 冷却至最高电芯温度 60接触器保持断开接触器保持断开8主监控通信异常冗余监控单元正
14、常电芯状态解除安全保护主监控通信异常冗余监控单元正常放电至最大电芯电压 3.79V 冷却至最高电芯温度 59接触器由断开变为闭合接触器由断开变为闭合冗余监控单元诊断故障输出安全信号的条件更为严苛。5)一级主控模块判断二级从控模块的CAN通信异常时,根据冗余监控单元上报的安全报警信号进行故障逻辑诊断和保护逻辑执行。具体策略如下:当安全报警信号为高电平(闭合)且持续 2 个周期时,判断为正常,允许主接触器闭合;当安全报警信号为低电平(断开)且持续 2 个周期时,判断为异常,执行保护逻辑断开主接触器。6)一级主控实时将故障诊断结果通过列车网络通信(ETH/MVB/CAN)发送至车辆中央控制单元(CC
15、U),以进行实时故障预警和状态上报。安全保护策略对应的主、从控软件设计流程图如图 3所示。根据本研究采用的磷酸铁锂电池电芯的特征参数,所涉及的安全策略诊断阈值如表 1。如采用钛酸锂或三元锂电池,阈值需根据电芯的安全参数进行相应调整,以保障系统安全。冗余监控单元采用的报警阈值通常为电池的安全极限,主监控使用低一级的阈值,可在保证安全性的同时,增加系统的可用性。试验验证依据本项目所设计的安全保护策略,采用黑盒测试的边界值分析法设计测试用例进行如表 2 的验证试验。试验结果表明:本研究设计的安全保护策略,在主监控通信正常时,可按照保护策略所制定的阈值对电芯状态进行保护动作;在主监控通信异常时,冗余监
16、控单元可继续实现对电芯状态的监控从而实现安全保护的执行。结束语在本文中,基于锂离子动力电池在轨道交通领域的应用,深入研究并设计了一种基于异构冗余架构的电池监控系统及其保护方法。当以 MCU 为控制核心的主监控单元出现功能异常时,引入了以 FPGA 为控制核心的冗余监控单元,以确保对电芯电压和温度的监控和诊断功能的连续实现。在电芯状态触发安全故障阈值后,系统能够及时输出安全报警信号,从而提供额外的保护层面。还通过试验验证了所设计保护方法的有效性。这项研究对于提升锂离子动力电池储能系统的安全性和可靠性具有重要意义。随着锂离子动力电池在轨道交通领域的广泛应用,保障系统的安全性和可靠性是至关重要的。研究提供了一种创新的解决方案,能够在主监控单元故障时实现无缝切换,并保持对电芯状态的监测,以及及时响应安全故障。通过集成异构冗余架构的监控系统,为锂离子动力电池储能系统提供了更可靠的保护手段。
