BMS功能安全控制系统及控制方法技术方案

本发明专利技术提供了一种BMS功能安全控制系统及控制方法，BMS功能安全控制系统包括用于采集电池信号的信号采集模块、连接于信号采集模块并根据电池信号判断电池模块是否发生故障的主处理器、连接于主处理器的电源控制模块、连接于电源控制模块及信号采集模块的硬件安全逻辑模块、以及连接于主处理器和硬件安全逻辑模块的驱动模块；当电池模块未发生故障时，主处理器生成维持驱动指令至驱动模块，当电池模块发生故障时，主处理器生成进入安全操作指令至电源控制模块，再由电源控制模块生成第一硬件安全指令至硬件安全逻辑模块，使硬件安全逻辑模块控制驱动模块停止驱动并关闭相应电源。本发明专利技术加强实现了BMS系统的安全保护，降低了执行错误的风险。

【技术实现步骤摘要】
BMS功能安全控制系统及控制方法
本专利技术涉及电池管理
，尤其涉及一种BMS功能安全控制系统及控制方法。
技术介绍
BMS系统在应用中需要具有安全功能，在故障发生时需要保证功能安全，功能安全与使用的芯片特点、软硬件架构及电路拓扑有关，同时，也需要考虑到设计达到的功能安全等级。现有的BMS系统设计中，对于电池充/放电管理，当电池出现过温或过充或过放时，BMS系统需要发出信号，断开总线继电器，但是当BMS系统发生故障时，会导致此安全功能失效。安全功能失效有可能导致执行器执行错误，从而导致危险情况发生。现有的BMS系统对电池充/放电管理时，当传感器采集回路、通讯回路、驱动回路其中之一发生故障时，都可能导致执行器正常执行功能失效，各个系统故障包括元器件本身失效、采集错误、传输错误或者指令错误等，由于现有BMS系统采集简单、对数据识别确定性差、传输路径单一、执行效果不佳，导致故障率高、识别执行失效率大，从而致使功能安全等级低，故障失效时危险发生的概率高，安全机制覆盖率低、可控性差。
技术实现思路
本专利技术针对现有技术的缺陷，提供了一种BMS功能安全控制系统及控制方法，加强实现了BMS系统的安全保护，降低了因BMS系统安全功能失效而导致执行器执行错误的风险。为实现上述目的，本专利技术提供了一种BMS功能安全控制系统，包括：信号采集模块，用于采集电池模块中的电池信号；主处理器，连接所述信号采集模块，用于根据所述电池信号判断所述电池模块是否发生故障，若判断为未发生故障，则生成维持驱动指令，若判断为发生故障，则生成进入安全操作指令；电源控制模块，用于接收所述进入安全操作指令并生成第一硬件安全指令，所述电源控制模块连接于所述主处理器；硬件安全逻辑模块，用于接收所述第一硬件安全指令并生成第一使能指令和第二使能指令，所述硬件安全逻辑模块连接于所述电源控制模块及所述信号采集模块；驱动模块，用于在接收到所述维持驱动指令时维持对所述电池模块的驱动，在接收到所述第一使能指令时停止对所述电池模块的驱动，在接收到所述第二使能指令时关闭所述驱动模块的电源，所述驱动模块连接于所述主处理器和所述硬件安全逻辑模块；所述信号采集模块在接收到所述第二使能指令时关闭所述信号采集模块的电源。本专利技术的BMS功能安全控制系统，通过电源控制模块与硬件安全逻辑模块的设置，增加了进入安全操作指令的传输路径，当电池模块发生故障时，主处理器可以通过更多传输路径将进入安全操作指令传递给驱动模块，使得在BMS功能安全控制系统中部分传输路径发生故障失效时，还有其他传输路径可以进行指令的正确传递，确保驱动模块停止驱动电池模块，加强实现了BMS系统的安全保护，降低因BMS系统安全功能失效而导致执行器执行错误的风险。本专利技术BMS功能安全控制系统的进一步改进在于：还包括与所述硬件安全逻辑模块连接及与所述主处理器连接、并进一步与上位机通讯连接的通讯模块；所述主处理器若判断所述电池模块为发生故障，则生成报错指令并通过所述通讯模块将所述报错指令发送至所述上位机，在生成所述报错指令的同时开始计时，若一定时间内未收到所述上位机的反馈信息，则生成所述进入安全操作指令；所述电源控制模块在接收到所述进入安全操作指令时还生成第二硬件安全指令；所述硬件安全逻辑模块在接收到所述第二硬件安全指令时生成第三使能指令；所述通讯模块在接收到所述第三使能指令时停止通讯、在接收到所述第二使能指令时关闭所述通讯模块的电源。本专利技术BMS功能安全控制系统的进一步改进在于：还包括电源模块，所述电源模块用于接收外部的总电源并向所述信息采集模块、所述主处理器、所述驱动模块和所述通讯模块供电，所述电源控制模块控制连接所述电源模块；所述主处理器内设有用于判断主处理器各引脚的信号是否与相应预设信号一致的自检模块，若所述自检模块连续多次判断为不一致则生成进入安全保护指令；所述电源控制模块在接收到所述进入安全保护指令时生成关闭总电源指令；所述电源模块在接收到所述关闭总电源指令时关闭所述总电源。本专利技术BMS功能安全控制系统的进一步改进在于：所述信号采集模块分多路采集所述电池信号；所述主处理器内设有两两连接的多个数据处理单元，多个所述数据处理单元一一对应地接收多路所述电池信号，用于判断每路所述电池信号是否超出第一设定阈值，以及用于判断多路所述电池信号中的两两差值是否超出第二设定阈值。本专利技术BMS功能安全控制系统的进一步改进在于：多路所述电池信号包括多路电流信号、多路电压信号和多路温度信号；所述主处理器内设有温度校正单元，所述温度校正单元用于将每路所述电流信号和每路所述电压信号分别与预设的电流特性曲线和电压特性曲线相比较并校正相应的所述电流信号和所述电压信号。本专利技术还提供了一种基于上述BMS功能安全控制系统的BMS功能安全控制方法，包括如下步骤：S1、利用信号采集模块采集电池模块的电池信号并输出至主处理器；S2、所述主处理器根据所述电池信号判断所述电池模块是否发生故障：若判断为未发生故障，则所述主处理器生成维持驱动指令，同时返回到步骤S1；若判断为发生故障，则所述主处理器生成进入安全操作指令；S3、电源控制模块接收所述进入安全操作指令并生成第一硬件安全指令；S4、硬件安全逻辑模块接收所述第一硬件安全指令并生成第一使能指令和第二使能指令；S5、驱动模块在接收到所述维持驱动指令时维持对所述电池模块的驱动，在接收到所述第一使能指令时停止对所述电池模块的驱动，在接收到所述第二使能指令时关闭所述驱动模块的电源；所述信号采集模块在接收到所述第二使能指令时关闭所述信号采集模块的电源。采用本专利技术的BMS功能安全控制方法，当电池模块发生故障时，主处理器可以通过更多传输路径将进入安全操作指令传递给驱动模块，使得在BMS功能安全控制系统中部分传输路径发生故障失效时，还有其他传输路径可以进行指令的正确传递，确保驱动模块停止驱动电池模块，加强实现了BMS系统的安全保护，降低因BMS系统安全功能失效而导致执行器执行错误的风险。本专利技术BMS功能安全控制方法的进一步改进在于：所述BMS功能安全控制系统还包括与所述硬件安全逻辑模块连接及与所述主处理器连接、并进一步与上位机通讯连接的通讯模块；在进行所述步骤S2时，若判断为发生故障，则所述主处理器先生成报错指令并通过通讯模块将所述报错指令发送至上位机，在生成所述报错指令的同时开始计时，若一定时间内未收到所述上位机的反馈信息，再生成所述进入安全操作指令；在进行所述步骤S3时，所述电源控制模块在接收到所述进入安全操作指令时还生成第二硬件安全指令；在进行所述步骤S4时，所述硬件安全逻辑模块在接收到所述第二硬件安全指令时生成第三使能指令；在进行所述步骤S5时，所述通讯模块在接收到所述第三使能指令时停止通讯、在接收到所述第二使能指令时关闭所述通本文档来自技高网...

【技术保护点】
1.一种BMS功能安全控制系统，其特征在于，包括：/n信号采集模块，用于采集电池模块中的电池信号；/n主处理器，连接所述信号采集模块，用于根据所述电池信号判断所述电池模块是否发生故障，若判断为未发生故障，则生成维持驱动指令，若判断为发生故障，则生成进入安全操作指令；/n电源控制模块，用于接收所述进入安全操作指令并生成第一硬件安全指令，所述电源控制模块连接于所述主处理器；/n硬件安全逻辑模块，用于接收所述第一硬件安全指令并生成第一使能指令和第二使能指令，所述硬件安全逻辑模块连接于所述电源控制模块及所述信号采集模块；/n驱动模块，用于在接收到所述维持驱动指令时维持对所述电池模块的驱动，在接收到所述第一使能指令时停止对所述电池模块的驱动，在接收到所述第二使能指令时关闭所述驱动模块的电源，所述驱动模块连接于所述主处理器和所述硬件安全逻辑模块；/n所述信号采集模块在接收到所述第二使能指令时关闭所述信号采集模块的电源。/n

【技术特征摘要】
1.一种BMS功能安全控制系统，其特征在于，包括：
信号采集模块，用于采集电池模块中的电池信号；
主处理器，连接所述信号采集模块，用于根据所述电池信号判断所述电池模块是否发生故障，若判断为未发生故障，则生成维持驱动指令，若判断为发生故障，则生成进入安全操作指令；
电源控制模块，用于接收所述进入安全操作指令并生成第一硬件安全指令，所述电源控制模块连接于所述主处理器；
硬件安全逻辑模块，用于接收所述第一硬件安全指令并生成第一使能指令和第二使能指令，所述硬件安全逻辑模块连接于所述电源控制模块及所述信号采集模块；
驱动模块，用于在接收到所述维持驱动指令时维持对所述电池模块的驱动，在接收到所述第一使能指令时停止对所述电池模块的驱动，在接收到所述第二使能指令时关闭所述驱动模块的电源，所述驱动模块连接于所述主处理器和所述硬件安全逻辑模块；
所述信号采集模块在接收到所述第二使能指令时关闭所述信号采集模块的电源。


2.如权利要求1所述的BMS功能安全控制系统，其特征在于：
还包括与所述硬件安全逻辑模块连接及与所述主处理器连接、并进一步与上位机通讯连接的通讯模块；
所述主处理器若判断所述电池模块为发生故障，则生成报错指令并通过所述通讯模块将所述报错指令发送至所述上位机，在生成所述报错指令的同时开始计时，若一定时间内未收到所述上位机的反馈信息，则生成所述进入安全操作指令；
所述电源控制模块在接收到所述进入安全操作指令时还生成第二硬件安全指令；
所述硬件安全逻辑模块在接收到所述第二硬件安全指令时生成第三使能指令；
所述通讯模块在接收到所述第三使能指令时停止通讯、在接收到所述第二使能指令时关闭所述通讯模块的电源。


3.如权利要求2所述的BMS功能安全控制系统，其特征在于：
还包括电源模块，所述电源模块用于接收外部的总电源并向所述信息采集模块、所述主处理器、所述驱动模块和所述通讯模块供电，所述电源控制模块控制连接所述电源模块；
所述主处理器内设有用于判断主处理器各引脚的信号是否与相应预设信号一致的自检模块，若所述自检模块连续多次判断为不一致则生成进入安全保护指令；
所述电源控制模块在接收到所述进入安全保护指令时生成关闭总电源指令；
所述电源模块在接收到所述关闭总电源指令时关闭所述总电源。


4.如权利要求1所述的BMS功能安全控制系统，其特征在于：
所述信号采集模块分多路采集所述电池信号；
所述主处理器内设有两两连接的多个数据处理单元，多个所述数据处理单元一一对应地接收多路所述电池信号，用于判断每路所述电池信号是否超出第一设定阈值，以及用于判断多路所述电池信号中的两两差值是否超出第二设定阈值。


5.如权利要求4所述的BMS功能安全控制系统，其特征在于：
多路所述电池信号包括多路电流信号、多路电压信号和多路温度信号；
所述主处理器内设有温度校正单元，所述温度校正单元用于将每路所述电流信号和每路所述电压信号分别与预设的电流特性曲线和电压特性曲线相比较并校正相应的所述电流信号和所述电压信号。


6.一种采用如权利要求1所述的BMS功能安全控制系统的BMS功能安全控制方法，其特征在于，包括如下步骤：
S1、利用信号采集模块采集电池模块的电池信号并输出至主处理器；
S2、所述主处理器根据所述电池信号判断所述电池模块是否发生故障：
若判...

【专利技术属性】
技术研发人员：吴文臣，冉文，邵庞，朱春波，
申请(专利权)人：上海金脉电子科技有限公司，
类型：发明
国别省市：上海;31