• batterie
• triple modular redundancy
• ridondanza
• redundancy
• lithium
• fpga
• safety-critical
• fail-operational
• battery management system
• litio

La crescente attenzione riguardo alle tematiche ambientali sta portando sempre più all’attenzione i problemi legati all’inquinamento, specialmente per quanto riguarda l’emissione dei gas serra. Una delle principali cause dell’aumento di gas serra è senza dubbio l’utilizzo dei combustibili fossili, anche nel campo della mobilità. Per questo motivo, negli ultimi decenni, sono state cercate alternative più ecologiche: la tendenza attuale è senza dubbio quella di muoversi in direzione della trazione elettrica, e in special modo a guida autonoma. Il lavoro oggetto di tesi è appunto inquadrato all’interno del progetto europeo AutoDrive, il quale mira alla progettazione di componenti elettronici e architetture di tipo Fail-Operational, ovvero che continuano a eseguire un insieme definito delle loro funzioni anche in presenza di guasti, che permettano l’introduzione della guida autonoma in autoveicoli di tutte le categorie, con l’intento di contribuire a una mobilità più efficiente e sicura. Infatti, dato il crescente numero di implementazioni software e meccatroniche all’interno delle automobili, sono presenti sempre più rischi dovuti a loro possibili guasti, sia sistematici che aleatori, che devono quindi essere tenuti in considerazione al fine della sicurezza funzionale. Poiché quest’ultima venga garantita è necessario introdurre all’interno del sistema, in modo controllato, un qualche tipo di ridondanza che permetta di mascherare o individuare i guasti che si possono verificare.
La possibilità di realizzare veicoli a trazione elettrica è strettamente legata ai progressi conseguiti nel campo delle batterie, specialmente per quanto riguarda le tecnologie basate sugli ioni di Litio. Infatti, quest’ultime presentano una maggiore densità di energia e di potenza, una tensione di cella più elevata, la mancanza di effetto memoria e una minore corrente di auto scarica se confrontate con le altre chimiche esistenti. Grazie a questa serie di vantaggi, le tecnologie basate sugli ioni di Litio, rappresentano l’unico vero candidato per il futuro della mobilità elettrica. Questa tecnologia, tuttavia, presenta degli svantaggi in quanto è necessario l’inserimento di un sistema elettronico che monitori la batteria, il Battery Management System (BMS), il quale ha, tra gli altri, il compito di garantirne il corretto funzionamento in termini di range operativi di tensione, temperatura e corrente. Difatti, la fuoriuscita di queste grandezze dalla loro Safe Operating Area (SOA), oltre a portare un degradamento delle prestazioni della batteria, può provocare l’innescarsi di condizioni ben più gravi quali fughe termiche interne alle celle o persino l’esplosione delle celle stesse. Qualora il BMS identifichi una situazione critica per l’operatività della batteria, questo sistema interviene attraverso un sistema di feedback sul circuito, andando ad esempio a distaccare il carico. Il BMS misura costantemente tutte le grandezze fisiche delle celle che compongono la batteria, quali corrente, tensione e temperatura. A partire da queste, oltre a verificare se i dati sono all’interno della loro SOA, questo sistema esegue degli algoritmi di stima dello stato della batteria andando a ricavare dei parametri tipici quali lo stato di carica (SoC) e lo stato di salute (SoH) e, qualora fosse richiesto, si occupa di loggare e comunicare queste informazioni agli altri blocchi che compongono il sistema.
Nel caso in cui si voglia realizzare un intero sistema avente una batteria agli ioni litio e che presenti un comportamento di tipo Fail-Operational, come quello in esame nel progetto Autodrive, anche il BMS deve avere questa caratteristica. Per questo motivo, partendo dunque dalla struttura convenzionale del BMS, sono state aggiunte strutture ridondanti al fine di raggiungere l’obbiettivo preposto. La ridondanza può essere classificata in due grandi categorie, spaziale e temporale: la prima involve l’introduzione all’interno del sistema di componenti, o funzioni, che sarebbero inutili in ambienti privi di guasti, mentre la seconda è basata sulla ripetizione delle operazioni eseguite e il confronto con il risultato precedente. Specialmente in applicazioni safety-critical, quali quella automotive, la ridondanza di tipo spaziale è necessaria al fine di raggiungere i massimi livelli di sicurezza stabiliti dagli standard, quali ISO 26262.
Per questo motivo la struttura convenzionale del BMS è stata replicata e un’estensione del BMS stesso, che ricopre un ruolo decisionale, è stata sviluppata su una piattaforma FPGA. La scelta di utilizzare un FPGA invece di un microcontrollore, porta numerosi vantaggi, tra i quali un incremento delle capacità computazionali e una maggiore flessibilità e riconfigurabilità del sistema sviluppato. Nel dettaglio è stato scelto di modificare la struttura del BMS andando a sviluppare un sistema in triplice ridondanza nel quale, come suggerisce il nome, si ha una triplicazione parallela del sistema. I tre flussi di dati ottenuti vengono sottoposti a un sistema di voting a maggioranza, dal quale si ottiene un unico flusso di uscita, permettendo dunque di mascherare un guasto su uno dei tre ingressi. A questo scopo sono state sviluppate delle periferiche hardware su FPGA per eseguire le operazioni di voting sui dati e per stimare la regione di lavoro della batteria. È stata inoltre sviluppata una interfaccia grafica su PC, la quale permette di configurare opportunamente le periferiche implementate e mostra in tempo reale tutte le informazioni riguardo alla batteria, tra le quali i valori di tensione delle celle, le temperature e lo stato del sistema. Il sistema è stato infine testato andando a triplicare virtualmente il BMS convenzionale a nostra disposizione e, manipolando i dati su ciascuna linea in modo controllato, è stato verificato il corretto funzionamento delle periferiche sviluppate e validata l’architettura proposta.

#english version#
The growing awareness about the environmental issues is bringing to the attention the pollution topics, especially the greenhouse gas emission. One of the main causes is fossil fuel consumption for the energy production, even in the automotive systems. For this reason, during the last decades greener alternatives have been sought, and the actual trend is the one that leads to the electrical traction, especially towards the autonomous driving system. The thesis work is part of the European project AutoDrive, which aims at designing Fail-Operational electronic components and system architectures, that enables the introduction of automated driving in all car categories to make future mobility more efficient and safer. It is said that a system presents a Fail-Operational behaviour if it continues to execute a defined set of its function even in presence of faults. Given the increasing number of software and mechatronic implementations within the automotive systems, there are increasing risks from systematic failures and random hardware failures that must be considered within the scope of functional safety. Since this last one must be guaranteed, the introduction within the system of some kind of redundancy is mandatory in order to detect or mask the possible faults.
The possibility of developing electrical traction vehicles is closely related to the progress made in the battery field, especially with regards to the Lithium-ion (Li-ion) based technologies. In fact, these types of cells present a higher energy and power density, an higher cell voltage, no memory effect and a lower auto discharge current compared to the other chemistries. Thanks to these advantages, Li-ion based technologies are the only real candidate for the future electrical mobility. However, this chemistry also brings some disadvantages since a battery monitoring system, the Battery Management System (BMS), is mandatory. This system has to ensure the maintenance of the all cells composing the battery pack within their operative ranges in terms of voltages, temperatures and current. In fact, the coming out of one or more of these measures from its Safe Operating Area (SOA) brings a degradation of the cell’s performance, and could also lead to hazardous conditions, such us thermal runaway within the cell itself or even explosions. If the BMS identifies a critical condition for the battery functionality, it acts on the circuit though a feedback system, for example disconnecting the load. The BMS also uses the acquired measures in order to estimate typical battery parameters, such as State of Charge (SoC) and State of Health (SoH), and, if required, it also provides logging functionality and communicates to the other blocks composing the system.
In the case of a system containing a Li-ion battery with Fail-Operational behaviour has to be developed, such as the project AutoDrive one, even the BMS must show this characteristic. For this reason, starting from a conventional BMS, redundant structures have been added to the system in order to reach the responsible goal.
Redundancy can be classified into two main categories: space redundancy and time redundancy. The former involves the introduction within the system of components, or functions, that would be useless in a fault-free environment, while the latter is based on the repetition of the tasks and the comparison of the results to a stored copy of the previous ones. Especially in safety-critical applications, such as automotive, space redundancy is mandatory in order to ensure the safety level required by standards, such as ISO 26262. Therefore, the conventional structure of BMS has been replicated and an extension of BMS itself, which acts as decisional unit, has been developed on a FPGA platform. The FPGA approach, compared to a microcontroller-based one, brings several advantages, such as an increased computational capability and a higher flexibility and reconfigurability of the developed system. More specifically, the conventional structure of the BMS has been modified by using a Triple Modular Redundancy (TMR) approach. As the name suggests, TMR involves the triplication of the components to perform the same computation in parallel. The three obtained data flows are then subjected to a majority voting unit, which provides a single data flow as output, allowing to mask a fault in one of the inputs. For this purpose, hardware peripherals within the FPGA fabric have been developed in order to execute voting and operating area estimation algorithms. Furthermore, a PC graphical user interface has been developed and it allows to configure the hardware peripherals and to show real-time information about the battery pack, such as cell voltages, temperatures and current. The system has been finally tested by virtually triplicating the conventional BMS at our disposal and, manipulating each data flow in a controlled manner, the proper functioning of the developed peripherals has been verified and the proposed architecture has been validated.