CN110036527B - 用于电池系统的控制单元 - Google Patents
用于电池系统的控制单元 Download PDFInfo
- Publication number
- CN110036527B CN110036527B CN201780075289.5A CN201780075289A CN110036527B CN 110036527 B CN110036527 B CN 110036527B CN 201780075289 A CN201780075289 A CN 201780075289A CN 110036527 B CN110036527 B CN 110036527B
- Authority
- CN
- China
- Prior art keywords
- control unit
- calibration data
- secure identifier
- input
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000004913 activation Effects 0.000 claims abstract description 102
- 238000000034 method Methods 0.000 claims abstract description 79
- 238000012795 verification Methods 0.000 claims abstract description 70
- 238000012360 testing method Methods 0.000 claims abstract description 42
- 230000008569 process Effects 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims abstract description 13
- 230000006870 function Effects 0.000 claims description 42
- 238000005259 measurement Methods 0.000 claims description 31
- 230000003213 activating effect Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000003860 storage Methods 0.000 abstract description 37
- 238000004519 manufacturing process Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 150000003839 salts Chemical class 0.000 description 5
- 238000010200 validation analysis Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 239000003990 capacitor Substances 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000001816 cooling Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013478 data encryption standard Methods 0.000 description 2
- 239000008151 electrolyte solution Substances 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000001465 metallisation Methods 0.000 description 2
- 208000032953 Device battery issue Diseases 0.000 description 1
- 239000004593 Epoxy Substances 0.000 description 1
- 241000282376 Panthera tigris Species 0.000 description 1
- 239000004642 Polyimide Substances 0.000 description 1
- 241001441724 Tetraodontidae Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000000919 ceramic Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 229920001940 conductive polymer Polymers 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003487 electrochemical reaction Methods 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000000383 hazardous chemical Substances 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 229920001721 polyimide Polymers 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 238000005476 soldering Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01M—PROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
- H01M10/00—Secondary cells; Manufacture thereof
- H01M10/42—Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
- H01M10/4221—Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells with battery type recognition
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01J—MEASUREMENT OF INTENSITY, VELOCITY, SPECTRAL CONTENT, POLARISATION, PHASE OR PULSE CHARACTERISTICS OF INFRARED, VISIBLE OR ULTRAVIOLET LIGHT; COLORIMETRY; RADIATION PYROMETRY
- G01J5/00—Radiation pyrometry, e.g. infrared or optical thermometry
- G01J5/02—Constructional details
- G01J5/028—Constructional details using a charging unit or battery
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01J—MEASUREMENT OF INTENSITY, VELOCITY, SPECTRAL CONTENT, POLARISATION, PHASE OR PULSE CHARACTERISTICS OF INFRARED, VISIBLE OR ULTRAVIOLET LIGHT; COLORIMETRY; RADIATION PYROMETRY
- G01J5/00—Radiation pyrometry, e.g. infrared or optical thermometry
- G01J5/10—Radiation pyrometry, e.g. infrared or optical thermometry using electric radiation detectors
- G01J5/28—Radiation pyrometry, e.g. infrared or optical thermometry using electric radiation detectors using photoemissive or photovoltaic cells
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01M—PROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
- H01M10/00—Secondary cells; Manufacture thereof
- H01M10/42—Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
- H01M10/425—Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01M—PROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
- H01M10/00—Secondary cells; Manufacture thereof
- H01M10/42—Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
- H01M10/48—Accumulators combined with arrangements for measuring, testing or indicating the condition of cells, e.g. the level or density of the electrolyte
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01M—PROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
- H01M10/00—Secondary cells; Manufacture thereof
- H01M10/42—Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
- H01M10/425—Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
- H01M2010/4271—Battery management systems including electronic circuits, e.g. control of current or voltage to keep battery in healthy state, cell balancing
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01M—PROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
- H01M10/00—Secondary cells; Manufacture thereof
- H01M10/42—Methods or arrangements for servicing or maintenance of secondary cells or secondary half-cells
- H01M10/425—Structural combination with electronic components, e.g. electronic circuits integrated to the outside of the casing
- H01M2010/4278—Systems for data transfer from batteries, e.g. transfer of battery parameters to a controller, data transferred between battery controller and main controller
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E60/00—Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
- Y02E60/10—Energy storage using batteries
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Chemical Kinetics & Catalysis (AREA)
- Manufacturing & Machinery (AREA)
- Chemical & Material Sciences (AREA)
- Electrochemistry (AREA)
- General Chemical & Material Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Spectroscopy & Molecular Physics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Secondary Cells (AREA)
Abstract
本发明涉及一种产生电池系统(100)的控制单元(10)的安全标识符的方法,包括以下步骤:向控制单元(10)提供操作电压,从控制单元(10)的非易失性存储元件(15a)输出校准数据,使用安全算法从校准数据产生安全标识符。其中,校准数据基于在控制单元(10)上执行的至少一个测试处理,并且是控制单元(10)的无故障操作所需的。此外,根据产生电池系统(100)的控制单元(10)的激活密钥的方法,激活密钥基于所述安全标识符产生并且从控制单元(10)输出。本发明还涉及所述控制单元(10)的激活方法,其中,响应于所述安全标识符的验证激活控制单元(10)。本发明还涉及执行所述方法的控制单元(10),并且还涉及产生安全标识符的校准数据的使用。
Description
技术领域
本发明涉及一种用于产生用于电池系统的控制单元的安全标识符的方法、一种用于产生用于这样的控制单元的激活密钥的方法、一种用于激活这样的控制单元的方法、一种用于电池系统的控制单元、一种包括这样的控制单元的电池系统,并涉及用于产生用于电池系统的控制单元的安全标识符的校准数据的使用。
背景技术
可再充电电池或二次电池与一次电池的区别在于其可重复地充电和放电,而后者仅提供化学能至电能的不可逆转换。低容量可再充电电池用作小型电子装置(诸如,蜂窝电话、笔记本电脑和摄录像机)的电源,而高容量可再充电电池用作混合动力车辆等的电源。
通常,可再充电电池包括电极组件、容纳电极组件的壳体和电连接到电极组件的电极端子,电极组件包括正电极、负电极和介于正电极与负电极之间的间隔件。将电解质溶液注入到壳体中,以便通过正电极、负电极和电解质溶液的电化学反应来实现电池的充电和放电。壳体的形状(例如,圆柱形或矩形)取决于电池的预期用途。
可再充电电池可用作由串联和/或并联连接以提供高能量密度的多个单位电池单体形成的电池模块(例如,用于混合动力车辆的马达驱动)。也就是说,电池模块通过根据需要的功率量并且为了实现高功率可再充电电池(例如,用于电动车辆)使多个单位电池单体的电极端子互连而形成。一个或更多个电池模块机械地或电气地集成、配备有热管理系统并且设置用于与一个或更多个耗电器(electrical consumer)通信以形成电池系统。
对于满足连接到电池系统的各种耗电器的动态功率需求,电池功率输出和充电的静态控制是不充分的。因此,需要电池系统与耗电器的控制器之间的稳定或间歇性的信息交换。所述信息包括电池系统的实际荷电状态(SoC)、潜在的电气性能、充电能力和内电阻以及耗电器的实际的或预测的功率需求或功率富裕量。
为了监测、控制和/或设置上述信息,电池系统通常包括电池管理单元(BMU)和/或电池管理系统(BMS)。这样的控制单元可以是电池系统的组成部分并且设置在共同的壳体内或者可以是经由合适的通信总线与电池系统通信的远程控制器的一部分。在这两种情况下,控制单元经由合适的通信总线(例如,CAN或SPI接口)与耗电器通信。
BMS/BMU通常结合至一个或更多个耗电器的控制器以及电池系统的电池模块中的每个。通常,每个电池模块包括被配置为与BMS/BMU保持通信并且与其它电池模块保持通信的电池单体监管电路(CSC)。CSC还可被配置为监测电池模块的电池单体中的一些或每个的电池单体电压并且主动地或被动地平衡电池模块内的各个电池单体的电压。
上述控制单元(即,BMS、BMU和CSC)的使用寿命可能超过被控制的电池单体的使用寿命。原则上,由原始设备制造商(OEM)引入市场的控制单元因此可在原始电池单体停止运行时更换电池单体的情况下被再次使用。然而,由于控制单元与电池单体是完美协调的,因此这样的再次使用会造成电池故障的高风险。并且,由于故障电池单体可能导致火灾、爆炸和/或有害物质的释放,因此OEM对防止电池控制单元的再次使用感兴趣。OEM还可能对防止控制电子器件的伪造感兴趣,这是因为假冒产品会降低OEM的收入并且可能损害OEM的声誉。
根据一种用于确保控制单元不被未授权的再次使用或不被伪造的方法,可例如在加工或测试控制单元期间将安全标识符写入到控制单元的非易失性存储元件中。安全标识符可用于产生加密密钥或者可用作加密密钥。然而,将安全标识符写入到控制单元中会带来攻击者可能读出安全标识符或者可能覆写非易失性存储元件的风险。此外,可容易地克隆控制单元,这是因为只有非易失性存储元件是芯片独立的。
根据另一种方法,不将安全标识符写入到控制单元中,而是根据控制单元的固有物理特性产生安全标识符。换句话说,不永久地存储安全标识符,而是仅在需要时产生安全标识符。一种用于实现这样的安全标识符的可行方式是使用嵌入在物理结构(诸如,控制单元的集成电路(IC))中的所谓的物理不可克隆功能(PUF)。PUF可基于IC制造期间的固有的、装置唯一的和深亚微米工艺的变化。Skoric等人在“Robust key extraction fromphysical unclonable functions(从物理不可克隆功能中的稳健的密钥提取)”(AppliedCryptography and Network Security(应用密码学和网络安全),LNCS第3531卷,第99-135页,2005年;其全部内容通过引用包含于此)中公开了PUF如何可用于安全目的。
普通类型的PUF是所谓的SRAM PUF,SRAM PUF基于SRAM的晶体管的参数(诸如,它们的阈值电压Uth)之间的固有不匹配。可读出和放大SRAM的晶体管的阈值电压的差以产生PUF。可选地,在IC上电期间(此时大体上对称的SRAM将基于晶体管的不匹配而获得特定逻辑值)产生PUF。然而,虽然一些SRAM在上电期间总是提供相同的逻辑值,但是包括大致相等的晶体管的其它SRAM将随机输出不同的值。Cortez等人在“Modeling SRAM start-upbehavior for Physical Unclonable Functions(针对物理不可克隆功能对SRAM启动行为进行建模)”(DOI:10.1109/DFT.2012.6378190;其全部内容通过引用包含于此)中发表了SRAM启动行为的变化的分析。为了避免不可预测的行为,PUF的使用通常需要在芯片外部存储辅助数据,从而外部存储器中产生了新的安全风险。
因此,本发明的目的是提供一种用于产生用于电池系统的控制单元的安全标识符的方法和提供一种控制单元,所述方法避免或者至少减少现有技术的一个或更多个缺陷,所述控制单元允许在OEM将控制单元投放到市场上之后控制控制单元的再次使用并防止伪造。
发明内容
技术方案
借助于本发明可避免或者至少减少现有技术的一个或更多个缺点。特别地,根据本发明的一个方面,提供一种用于产生用于电池系统的控制单元的安全标识符的方法,所述方法包括以下步骤:向控制单元提供操作电压;从控制单元的非易失性存储器输出校准数据;以及使用安全算法从校准数据产生安全标识符,其中,校准数据基于在控制单元上执行的至少一个测试处理,特别是基于这样的测试处理的至少一个结果,并且其中,校准数据是控制单元的无故障操作所需的,特别是关于由控制单元针对电池系统的至少一个电池单体执行的至少一个控制功能。
在本发明的上下文中,用于电池系统的控制单元可以是BMS、BMU或CSC中的一个,并且还可以是被配置为控制单独的电池单体的电子电路。通常,控制单元包括安装在合适的电路载体(例如,印刷电路板(PCB))上的一个或更多个集成电路(IC)。根据本发明的控制单元通常由至少一个电池单体提供操作电压,所述至少一个电池单体例如作为由控制单元控制的电池系统或电池模块的一部分由控制单元控制。操作电压是控制单元针对电池系统、电池模块或至少一个电池单体执行至少一个控制功能的先决条件。控制功能可包括至少一个电池单体电压、电池单体电流、电池单体电阻或电池单体容量的测量,并且还可包括多个电池单体的电池单体电压或电池单体电流的主动平衡或被动平衡。用于执行这些控制功能中的一个或更多个的合适电路设计是本领域技术人员已知的。
在本发明的上下文中,安全算法优选地减少位数并增加每位的熵。换句话说,与校准数据相比,安全标识符包括具有更高的信息熵的更少位。因此,不同的控制单元包括不同的安全标识符的概率高于它们包括不同的校准数据的概率。因此,安全标识符比校准数据更适合于加密使用。安全算法的简单实施例是应用于两位校准数据的XOR函数。进一步优选地,安全算法是哈希函数算法(hash function algorithm)、公钥算法或私钥算法中的一个。
在本发明的上下文中,私钥算法(对称加密)使用单个密钥进行加密和解密两者。私钥算法的示例包括数据加密标准(DES)算法、高级加密标准(AES)算法、CAST-128/256算法、国际数据加密算法(IDEA)算法、Rivest Ciphers算法、Blowfish算法、Twofish算法等。在本发明的上下文中,公钥算法(非对称加密)使用一个密钥进行加密并且使用另一个密钥进行解密。公钥算法的示例包括RSA算法、公钥加密标准(PKCS)算法、Diffie-Hellman算法、数字签名算法(DSA)、ElGamal算法等。在本发明的上下文中,哈希函数算法使用数学变换来不可逆地对信息进行加密,从而提供数字指纹。哈希函数算法的示例包括消息摘要(MD)算法、安全哈希算法(SHA)、RIPEMD算法、Whirlpool算法、Tiger算法、eD2k算法等。
优选地,根据本发明的方法还包括以下步骤:在控制单元上执行至少一个测试处理;基于所述至少一个测试处理,特别是基于所述测试处理的至少一个结果,产生用于控制单元的校准数据;以及将校准数据写入控制单元的非易失性存储元件中。校准数据可由控制单元的制造商(OEM)产生。可选地,校准数据在控制单元的设置期间产生,以供授权用户进行特定使用。校准数据是控制单元的无故障操作所需的,并且可用于校准输入到控制单元的数据或从控制单元输出的数据,并且可在控制单元的使用期间持续地或间歇地使用。
至少一个测试处理的执行以及校准数据的产生和保存可在控制单元的寿命开始时执行一次。在控制单元的使用寿命期间,可重复执行从控制单元的非易失性存储元件输出校准数据的步骤和使用安全算法从校准数据产生安全标识符的步骤。示例性地,每次控制单元通电时都可生成(并验证)安全标识符。可选地,可例如在防伪控制期间响应于输入到控制单元的特定验证信号而产生(并验证)安全标识符。
优选地,在组装或测试控制单元期间将校准数据存储在非易失性存储元件中。换句话说,在控制单元的初始启动之前,将校准数据存储在非易失性存储元件中。校准数据优选地硬件编码到非易失性存储元件中,例如,通过设置多个熔丝位。可选地,校准数据在测试控制单元期间被写入非易失性存储元件(例如,闪存)中,所述非易失性存储元件原则上能够被多次写入和读取。在后一种情况下,所述方法优选地还包括以下步骤:在将校准数据写入非易失性存储元件中之后,停用非易失性存储元件的写访问。
特别优选的是,校准数据仅在测试和校准控制单元期间设置一次。因此,取决于非易失性存储元件的质量,PUF中可能发生随机波动的风险显著降低。此外,例如,在每次启动控制单元时,不需要外部辅助数据来相同地重建安全标识符。有利地,特别是关于至少一个控制功能,修改安全标识符需要修改控制单元的无故障操作所需的校准数据。因此,修改安全标识符将导致控制单元的故障操作。根据本发明,控制单元的无故障操作所需的校准数据用于导出安全标识符,其中,安全标识符可用于不同的目的,诸如,控制单元的识别和认证。安全标识符可保存在控制单元上。然而,安全标识符优选地不保存在控制单元上,而是每当需要对控制单元进行认证或验证时产生安全标识符。
根据本发明的另一方面,提供一种用于产生用于电池系统的控制单元的激活密钥的方法。该方法包括如上所述的用于产生用于电池系统的控制单元的安全标识符的方法的步骤,并且还包括以下步骤:基于安全标识符产生激活密钥,并从控制单元输出激活密钥。输出的激活密钥优选地保存在控制单元外部,并且可交给电池系统的授权用户以允许用户激活控制单元。优选地,用于产生激活密钥的方法在组装电池系统期间由控制单元的制造商(OEM)或由授权用户仅执行一次。相反,每当控制单元上电时,可重复执行用于生成安全标识符的方法。激活密钥和安全标识符可用在对称或非对称加密方案中,其中,激活密钥和安全标识符中的一个或两个是密钥,或者激活密钥和安全标识符中的一个是公钥并且激活密钥和安全标识符中的另一个是私钥。激活密钥可以与安全标识符相同,可以是安全标识符的衍生物,或者可以通过安全算法与安全标识符相关。
优选地,控制单元包括至少一个测量电路,所述至少一个测量电路被配置为测量输入到测量电路的物理量,并且在上述方法中,所述至少一个测试处理包括在测量电路上执行偏移校准测试和/或增益校准测试的步骤,校准数据的产生包括针对每个测量电路产生至少一个偏移校准值和/或至少一个增益校准值的步骤。其中,测量电路的偏移校准包括以下步骤:当不将物理量主动地施加到测量电路时,检测物理量的测量值,并将检测到的测量值设置为偏移校准值。此外,测量电路的增益校准包括以下步骤:当将物理量的预定值施加到测量电路时,检测物理量的测量值,并将检测到的测量值和预定值之间的差设置为增益校准值。
特别优选地,控制单元包括至少一个电压测量电路,所述至少一个电压测量电路被配置为测量施加到电压测量电路的输入的电压。因此,在根据本发明的方法的优选实施例中,所述至少一个测试处理至少包括电压测量电路的偏移校准测试和增益校准测试。其中,偏移校准测试包括:当没有参考电压(即,等于零的参考电压)被施加到测量电路的输入时,检测由未校准的电压测量电路测量的电压。然后将检测到的电压设置为偏移校准值。增益校准测试包括将预定参考电压(即,不等于零的参考电压)施加到电压测量电路的输入并检测由未校准的电压测量电路测量的电压的步骤。然后将检测到的电压和预定电压之间的差设置为增益校准电压。
测量电路可包括用于测量至少一个电池单体的电压、电流、容量等的值的装置。此外,控制单元(例如,控制单元的控制模块)还可被配置为基于测量值主动地平衡多个电池单体的电压、电流、容量等。因此,控制单元(例如,测量电路)的测量准确度必须足以确保控制单元(例如,控制模块)的无故障操作。这是通过执行控制单元的测试和校准来实现的。换句话说,校准考虑了在测试期间变得明显的过程变化,并且还可考虑在控制单元的使用寿命期间可能出现的环境状况。关于微控制器的电压校准的示例性文档可以在ATMEL于2008年在线发表的“AVR353:Voltage Reference Calibration and Voltage ADC Usage(AVR353:电压参考校准和电压ADC使用)”中找到;其全部内容通过引用包含于此。
单个控制单元优选地被配置为针对多个电池单体进行控制,即,执行至少一个控制功能。因此,单个控制单元优选地包括用于测量各个电池单体的电压、电流、容量等的多个测量通道。因此,校准数据可包括针对控制单元的每个通道的值,例如,偏移校准值和/或增益校准值。校准数据还可包括针对不同环境状况的值,例如,偏移校准值和/或增益校准值。特别优选地,在多个不同温度下执行多个偏移校准测试。进一步优选地,在多个不同温度下和/或针对多个不同参考电压执行多个增益校准测试。因此,校准数据优选地包括用于每个(电压)测量电路的多个偏移校准值和/或多个增益校准值。因此,用于单个控制单元的校准数据可包括大量校准数据位。因此,两个不同的控制单元包括相同组的校准数据位的概率因此是完全可忽略的。因此,使用安全算法从校准数据产生的安全标识符(即,包括比校准数据更高的熵的安全标识符)可被认为是对于每个控制单元唯一的。
本发明的另一方面涉及一种用于激活用于电池系统的控制单元的方法,其中,控制单元包括电力输入、控制模块和启动模块,所述电力输入用于由至少一个电池单体提供的控制单元的操作电压,所述控制模块被配置为针对所述至少一个电池单体执行至少一个控制功能,所述启动模块连接在所述电力输入和所述控制模块之间。其中,根据本发明的激活方法包括以下步骤:由所述至少一个电池单体将控制单元的操作电压提供给电力输入,通过使用控制单元的安全算法从存储在控制单元的非易失性存储元件中的校准数据产生安全标识符,验证所产生的安全标识符,以及响应于安全标识符的验证而将电力输入和控制模块互连。根据本发明,校准数据基于在控制单元上执行的至少一个测试处理,并且是控制单元的无故障操作所需的。优选地,所述方法还包括响应于安全标识符的验证而将控制单元的激活电路中的开关元件设置为导通的步骤。
根据本发明的优选实施例,在控制单元中实现安全算法。特别优选地,在控制单元中对安全算法进行硬件编码。示例性地,安全算法可包括如Jarvinen等人在2005年发表的“Hardware Implementation Analysis of the MD5 Hash Algorithm(MD5哈希算法的硬件实现分析)”中所描述的MD5哈希算法的硬件实现。根据这样的实施例,安全算法总是与控制单元一起作为整体被复制并且难以修改。
安全标识符的验证可包括将产生的安全标识符与之前(例如,在控制单元的测试期间)创建并且保存在控制单元的另一非易失性存储元件中的另一安全标识符进行比较。保存的另一安全标识符可与实际产生的安全标识符相同。但是,所述另一安全标识符可适合于验证实际的安全标识符而不是相同的。不相同但仍然合适的另一安全标识符可包括根据验证电路中的特定方案而删除的冗余位。因此,所述另一安全标识符不允许导出可从校准数据产生的安全标识符。进一步优选地,所述另一安全标识符可以是基于校准数据和一组盐位(salty bit)的哈希值,所述一组咸位与用于实际的安全标识符的一组咸位不同。然后,用于所述另一安全标识符和实际的安全标识符的两组咸位必须是已知的。示例性地,所述另一安全标识符的咸位被非易失性地保存在控制单元上。
可选地,安全标识符的验证可包括验证安全标识符是否可完全基于校准数据。因此,可使用校准数据的某些一般特征。这些一般特征可包括校准数据位组的大小,并且安全标识符的校验和(例如,CRC校验和)可以是验证的对象。一般特征还可包括某些校准位的相似性和/或功能依赖性。示例性地,关于描述偏移校准值或增益校准值的温度依赖性的校准位的一般知识可用于设计适合于验证真实校准数据是否被用作产生安全标识符的基础的验证算法。验证算法可被硬件编码或编程在控制单元上。验证算法还可取决于非易失性地保存在控制单元上并且与也可保存在控制单元上的安全标识符数据结构不同的合适的验证数据结构。
复制整个控制单元(即,非易失性存储器元件、实现的安全算法和验证电路(例如,包括验证辅助数据))的攻击者无法在不破坏控制单元的激活或无故障功能的能力的情况下修改这些特征之一。基本上,相同复制的验证电路被配置为仅验证一组校准数据(即,原始控制单元的校准数据)。然而,由于复制的控制单元包括与原始控制单元的晶体管(例如,针对阈值电压)不同的晶体管,因此它需要不同的校准数据以实现无故障功能。因此,复制的控制单元将无故障地操作(例如,正确地测量电压),或者复制的控制单元因为无法验证从校准数据产生的安全标识符而无法被激活。
用于激活用于电池系统的控制单元的方法还可包括以下步骤:将激活密钥输入到控制单元的数据输入,并相对于激活密钥验证产生的安全标识符。其中,验证可基本上是激活密钥和产生的安全标识符的比较,如果激活密钥至少部分地与安全标识符相同,则验证是成功的。激活密钥可以由从控制单元的制造商(OEM)接收它的授权用户输入。
所述方法还可包括响应于安全标识符的验证而由控制模块执行至少一个控制功能的步骤。控制功能可包括电池单体电压、电池单体电流、电池单体电阻或电池单体容量的测量,并且对于多个电池单体,控制功能还可包括电池单体电压或电池单体电流的主动平衡或被动平衡。在本发明的优选实施例中,对于将被提供操作电压的控制模块,输入到控制模块的激活密钥必须等于从校准数据产生的安全标识符。其中,需要校准数据以使控制模块无故障地操作。所述方法还可包括将至少一个电池单体连接到控制单元以将控制单元的操作电压提供给控制单元的步骤。
可多次执行本发明的方法,以控制电池系统的控制单元的启动。示例性地,在第一次将控制单元组装到至少一个电池单体之后,可由OEM执行第一次启动,并且可由具有通过将原始电池单体替换为更换的电池单体来翻新电池系统的许可的OEM的许可方来执行第二次启动。对于第二次启动,OEM可向许可方提供激活密钥,该激活密钥可相对于从校准数据产生的安全标识符进行验证。
本发明的另一方面涉及一种用于电池系统的控制单元,所述控制单元包括非易失性存储元件、安全元件、验证电路和控制模块,所述非易失性存储元件存储校准数据,所述安全元件被配置为使用安全算法从校准数据产生安全标识符,所述验证电路连接到安全元件并且被配置为验证安全标识符,所述控制模块被配置为针对至少一个电池单体执行至少一个控制功能。其中,校准数据基于在控制单元上执行的至少一个测试处理,并且是控制模块的无故障操作所需的。
优选地,校准数据在组装期间或在控制单元的测试期间存储在非易失性存储元件中。换句话说,校准数据优选地在控制单元的初始启动之前(即,在操作电压第一次被提供给控制单元之前)存储在非易失性存储元件中。根据特别优选的实施例,校准数据被硬件编码在启动模块中。换句话说,非易失性存储元件可被组装而不是被写入。示例性地,使用至少一个熔丝位(特别优选的是不可读的熔丝位)在控制单元中对校准数据进行编码。然后,非易失性存储元件包括至少一个熔丝位。可选地,非易失性存储元件主要能够被多次写入和读取。然后,非易失性存储元件可包括闪存、与熔丝位组合的SRAM、FeRAM、MRAM或相变存储器。进一步优选地,在将校准数据写入非易失性存储元件之后并且在控制单元第一次通电之前,停用非易失性存储元件的写访问。
安全元件被配置为执行安全算法,以从校准数据导出安全标识符。安全元件可包括用于接收校准数据的至少一个输入和用于输出安全标识符的至少一个输出。安全元件可包括硬件编码的安全算法。示例性地,安全元件包括如Jarvinen等人在2005年在“HardwareImplementation Analysis of the MD5 Hash Algorithm(MD5哈希算法的硬件实现分析)”中描述的硬件实现的MD5哈希算法。可选地,安全元件可包括软件实现的安全算法。根据优选实施例,控制单元包括数据输出,所述数据输出被配置为从控制单元输出激活密钥。其中,安全元件连接到数据输出,并且还被配置为从安全标识符产生激活密钥。激活密钥可与安全标识符相同,或者可适合于验证安全标识符并且可用于控制单元的之后的激活。
优选地,验证电路被配置为将产生的安全标识符与之前(例如在测试控制单元期间)创建的另一安全标识符进行比较。验证电路可包括其中保存了所述另一安全标识符的另一非易失性存储元件。可选地,验证电路可包括非易失性地存储合适的验证数据结构的另一非易失性存储元件,其中,所述验证数据结构不同于安全标识符数据结构。验证电路还可被配置为相对于通过合适的数据输入输入到控制单元的激活密钥来验证安全标识符。
根据本发明,包括控制单元的电池系统、电池模块或电池单体的功能取决于控制模块,所述控制模块针对电池系统、电池模块或电池单体中的至少一个电池单体执行至少一个控制功能。控制功能可包括电池单体电压、电池单体电流、电池单体电阻或电池单体容量的测量,并且对于多个电池单体,控制功能还可包括电池单体电压或电池单体电流的主动平衡或被动平衡。用于执行这些功能中的一个或更多个的合适的电路设计是本领域技术人员已知的。优选地,控制模块包括用于检测至少一个电池单体的电压的装置和/或控制模块包括用于平衡多个电池单体的电压的装置。为了执行这些控制功能中的任何一个,必须向控制模块提供操作电压。优选地,向控制模块提供操作电压的先决条件是验证安全标识符,所述安全标识符从保存在控制单元上的校准数据产生,并且还是控制模块的无故障操作所需的。可针对安全标识符的一般特征进行验证和/或验证可能需要存储在控制单元上的附加数据。可选地,可针对输入到控制模块的激活密钥进行验证,并且验证不需要存储在控制单元上的附加数据。
进一步优选地,控制单元包括电力输入和启动模块,所述电力输入用于由电池系统的至少一个电池单体提供的控制单元的操作电压,所述启动模块连接在电力输入和控制模块之间。所述启动模块包括如上所述的非易失性存储元件、安全元件和验证电路。然后,控制单元还包括激活电路,所述激活电路连接到验证电路并且被配置为响应于激活密钥的验证而将电力输入和控制模块互连。
激活电路优选地包括至少一个开关元件,所述至少一个开关元件被配置为响应于验证电路的特定输出而将电力输入和控制模块互连。特别优选地,开关元件被配置为通过验证电路的特定输出而被设置为导通。特别优选地,开关元件包括晶体管(例如,BPT、FET、JFET、MOSFET、IGBT等)中的至少一种。进一步优选地,开关元件包括环回电路,所述环回电路被配置为:一旦开关元件被设置为导通持续预定时间段,则维持开关元件的导通状态。响应于接收到验证信号,激活电路将控制单元的电力输入与控制模块互连,即,向控制模块提供操作电压。
进一步优选地,控制单元包括数据输入,所述数据输入被配置为接收激活密钥,其中,验证电路连接到数据输入和安全元件,并且还被配置为相对于输入的激活密钥验证产生的安全标识符。一旦操作电压从控制单元的电力输入被提供到控制单元的启动模块,则数据输入准备好接收激活密钥。优选地,例如经由允许用户输入激活密钥的GUI来提示用户输入激活密钥。或者优选地,数据输入包括接口,并且激活密钥可以经由所述接口输入到控制单元。
一旦激活密钥被输入到控制单元的数据输入中并且在安全元件中从校准数据产生安全标识符,则验证电路从数据输入接收激活密钥并从安全元件接收安全标识符。验证电路被配置为相对于安全标识符验证激活密钥。激活密钥和安全标识符均可由任何大小的数据串或数据阵列表示。验证电路可被配置为将激活密钥和安全标识符进行比较。比较可以按位进行。如果激活密钥的某一部分和安全标识符彼此相等,则安全标识符可被验证。优选地,该部分是安全标识符的大小的至少50%(特别优选地为至少75%并且进一步优选地为至少95%)。验证电路还被配置为:一旦相对于安全标识符验证了激活密钥,则向激活电路输出验证信号。验证信号的幅度和/或极性可取决于安全标识符是否相对于激活密钥被验证。一旦激活密钥被验证或者可被输出为单脉冲(burst),则可以从验证电路连续输出验证信号。
根据本发明的控制单元的优选实施例,验证电路包括SRAM,所述SRAM电连接到提供第一操作电压VDD的第一操作线和提供第二操作电压VSS的第二操作线。验证电路还包括NOT门,其中,所述NOT门的输出节点连接到第一反相器的输入,第一反相器互连在第一操作线和SRAM的数据输入之间。此外,电容器互连在SRAM的数据输入和第二操作线之间。第二反相器连接到SRAM的数据输出。特别优选地,验证电路还包括XNOR门,其中,XNOR门的第一输入连接到安全元件,安全元件本身由非易失性存储元件馈电,并且其中,XNOR门的第二输入连接到控制单元的数据输入。进一步优选地,XNOR门的输出连接到NOT门的输入。根据输入到XNOR门的激活密钥是否等于从校准数据产生并输入到XNOR门的安全标识符,第二反相器的输出被设置为高或低。只要操作电压被提供给激活电路,就保持该输出。
根据优选实施例,激活电路包括至少一个差分放大器,所述至少一个差分放大器被配置为对验证电路的数据输出进行放大。差分放大器包括反相输入和非反相输入,其中,反相输入与验证电路的输出互连,并且其中,参考电压输入到非反相输入。可例如经由分压器和/或使用存储器从控制单元的第一操作电压和第二操作电压中的一个导出参考电压。差分放大器还包括第一电源输入和第二电源输入,其中,第一操作电压和第二操作电压分别提供给第一电源输入和第二电源输入。进一步优选地,差分放大器被配置为运算放大器并且包括反馈电路(例如,负反馈)。可选地,差分放大器被配置为比较器。
进一步优选地,根据本发明的控制单元的激活电路包括至少一个开关元件,所述至少一个开关元件被配置为响应于差分放大器的特定输出而将电力输入和控制模块互连。特别优选地,开关元件被配置为通过放大器的特定输出(即,通过具有特定极性的输出)而被设置为导通。特别优选地,开关元件包括晶体管(例如,BPT、FET、JFET、MOSFET、IGBT等)中的至少一种。进一步优选地,开关元件包括环回电路。
根据另一优选实施例,控制单元还包括至少一个测量电路,所述至少一个测量电路被配置为测量输入到测量电路的物理量。特别优选地,控制单元包括至少一个电压测量电路,所述至少一个电压测量电路被配置为测量施加到电压测量电路的输入的电压。测量电路可包括用于测量至少一个电池单体的电压、电流、容量等的值的装置。非易失性存储元件上的校准数据优选地包括每个测量电路的至少一个偏移校准值和/或至少一个增益校准值。
进一步优选地,不能从控制单元外部访问存储校准数据的非易失性存储元件。通常,在其上保存有校准数据的控制单元外部的校准数据没有用处。因此,非易失性存储元件可以不包括用于访问保存在其上的校准数据的接口。这使得攻击者更难以改变校准数据甚至读出校准数据。
在本发明的上下文中,用于电池系统的控制单元可以是BMS、BMU或CSC中的一个,并且还可以是被配置为控制单个电池单体的电子电路。通常,控制单元包括安装在合适的电路载体(例如,印刷电路板(PCB))上的一个或更多个集成电路(IC)。根据本发明的控制单元可由例如作为由控制单元控制的电池系统或电池模块的一部分的至少一个由控制单元控制的电池单体连续供电。优选地,控制单元在电池系统、电池模块或电池单体的整个使用寿命期间由至少一个电池单体供电。然而,根据本发明的控制单元能够被多次激活,其中,控制单元的激活需要验证从校准数据产生的安全标识符,所述校准数据本身是控制单元的无故障操作所需的。
本发明的另一方面涉及一种电池系统,所述电池系统包括如上所述的根据本发明的控制电路。控制单元优选地是电池系统的电池管理系统(BMS)、电池监测单元(BMU)或电池单体监管电路(CSC)中的至少一个的一部分。电池系统还包括多个电池单体和/或电池模块,并且还可包括冷却系统。
本发明的另一方面涉及用于电池系统的控制单元的校准数据的使用,所述校准数据用于产生用于控制单元的识别和认证的安全标识符。校准数据基于在控制单元上执行的至少一个测试处理,并且还是控制单元的无故障操作所需的。校准数据可包括如上所述的偏移校准值和/或增益校准值。可以如上所述地对输入的激活密钥执行验证,并且验证可以是如上所述的激活方法和/或认证处理的一部分。
在从属权利要求或以下附图说明中公开了本发明的其他方面。
附图说明
通过参照附图详细地描述示例性实施例,对于本领域普通技术人员来说,特征将变得明显,在附图中:
图1示意性地示出了电池系统的生产的工作流程;
图2示出了用于产生用于电池系统的控制单元的安全标识符的方法以及用于产生用于这样的控制单元的激活密钥的方法的流程图;
图3示出了根据实施例的用于激活电池系统的控制单元的方法的流程图;
图4示意性地示出了根据实施例的控制单元;
图5示意性地示出了根据实施例的启动模块的示例性电路图;
图6示意性地示出了根据实施例的安全元件的电路图;以及
图7示意性地示出了用于特定校准数据输入的图6的安全元件。
具体实施方式
现在将对实施例进行详细说明,其示例在附图中示出。将参照附图描述示例性实施例的效果和特征及其实现方法。在附图中,相同的附图标记表示相同的元件,并且省略多余的描述。然而,本发明可以以各种不同形式实施,并且不应被解释为仅限于在此示出的实施例。更确切地,提供这些实施例作为示例,使得本公开将是彻底且完整的,并且这些实施例将向本领域技术人员充分传达本发明的方面和特征。
相应地,可以不描述本领域普通技术人员所认为的对于全面理解本发明的方面和特征来说不必要的处理、元件和技术。在附图中,为了清楚,可夸大元件、层和区域的相对尺寸。
如在此所使用的,术语“和/或”包括一个或更多个相关所列项的任意组合和全部组合。此外,描述本发明的实施例时的“可”或“可以”的使用指的是“本发明的一个或更多个实施例”。在以下对本发明的实施例的描述中,除非上下文另外清楚地指出,否则单数形式的术语可包括复数形式。
将理解的是,尽管术语“第一”和“第二”用于描述各个元件,但是这些元件不应受这些术语限制。这些术语仅用于将一个元件与另一元件区分开。例如,在不脱离本发明的范围的情况下,第一元件可被命名为第二元件,并且类似地,在第二元件可被命名为第一元件。如在此所使用的,术语“和/或”包括一个或更多个相关所列项的任意组合和全部组合。诸如“……中的至少一个”的表述在一列元件之前时修饰整列元件,而不是修饰一列元件中的单独的元件。
如在此所使用的,术语“基本上”、“大约”和类似的术语用作表示近似的术语而不是用作表示程度的术语,并且意在考虑将被本领域普通技术人员识别的测量值或计算值的固有偏差。此外,如果术语“基本上”与可使用数值表述的特征一起使用,则术语“基本上”表示以该数值为中心的该数值的+/-5%的范围。
图1示意性地示出了电池系统100的生产过程的工作流程,该工作流程包括特别关于根据本发明的控制单元10的四个基本步骤。
如图1所示,电池系统100的生产过程中的第一步骤(A)是由半导体芯片制造商在晶片级1上制造半导体控制单元10。晶片级1上的制造过程至少包括FEOL的步骤和BEOL的步骤。在FEOL期间,在半导体IC控制单元10中图案化各个器件(例如,晶体管、电阻器等)。在BEOL期间,使用各种金属互连结构(例如,过孔)互连各个器件。
在电池系统100的生产过程的第二步骤(B)中,在晶片级上的各个器件和互连结构上执行若干测试过程。在测试过程中,测试控制单元10的若干电子功能,特别是针对控制单元10的至少一个控制功能。测试可包括电压测量测试,其中,将预定电压施加到控制单元10并利用控制单元10测量该电压。特别优选地,电压测量测试可包括偏移校准(即,通过在没有将电压施加到控制单元的情况下测量检测的电压),并且还可包括增益校准(即,通过在向控制单元施加预定电压的情况下测量检测的电压)。可在多个不同的温度下执行偏移校准,并且可在多个不同的温度下和/或针对多个不同的参考电压执行增益校准。这样的校准处理的结果是可包括多个偏移校准值和多个增益校准值的校准数据。
随后将校准数据写入到在晶片1上存在的多个控制单元10中。图1的部分(B)示出了晶片1的详细示图,其中,单个控制单元10的区域被切割线4包围。控制单元10包括用于作为控制单元10的非易失性存储元件15a的闪存(未示出)的写入线5。针对每个控制单元10,使用写入线5将校准数据写入到控制单元10的对应的闪存15a中。换句话说,如图2所示的方法的初始三个步骤在如图1所示的生产方法的步骤(B)期间执行。
在电池系统100的生产过程的第三步骤(C)中,沿着切割线4进行晶片切割。其中,晶片1被分割以形成单独的控制单元10。其中,部分地设置在切割线4内的写入线5被切割,并且因此停用对控制单元10的闪存的写入访问。
在电池系统100的生产过程的第四步骤(D)中,使用合适的电介质(诸如,环氧树脂、硅或聚酰亚胺)对单独的控制单元10进行封装,以保护IC免受环境影响。此外,控制单元10附连至引线框架31,引线框架31用于提供到控制单元10的多个电连接。
在图1中示出的工作流程的第五步骤(E)中,在合适的电路载体20(诸如,印刷电路板(PCB)或柔性电路板)上组装控制单元10。示例性地,控制单元10以芯片倒装的形式安装到电路载体20。可通过焊接来建立控制单元10与电路载体20之间的电连接。
在图1的工作流程的第六步骤(F)中,将包括控制单元10的电路载体20安装到多个二次电池单体80,以形成电池模块90。特别地,电池单体80中的每个的端子(未示出)经由引线键合(wire bond)35连接到电路载体20。因此,电池单体80连接到控制单元10,并且通过电池单体80中的至少一个向控制单元10提供操作电压。电池单体80还可经由汇流条30彼此互连。
通过在生产过程的步骤(F)期间将操作电压施加到控制单元10的电力输入11,执行如图2所示的方法的第四步骤至第六步骤。换句话说,当向控制单元10提供操作电压时,控制单元10进入用于产生安全标识符的模式。响应于操作电压被提供到控制单元10,将校准数据从非易失性存储元件15a输出到安全元件15b,安全元件15b从校准数据产生安全标识符。然而,还可在如图1所示的方法的步骤(B)期间执行如图2所示的方法的第四步骤至第六步骤。
在生产过程的步骤(F)期间,还可执行如图2所示的方法的第七步骤和第八步骤。也就是说,由安全元件15b基于安全标识符生成激活密钥,经由控制单元10的数据输出从安全元件15b输出激活密钥。优选地,将激活密钥输出给控制单元10的用户(例如,正在组装电池模块90的OEM的雇员)。然而,也可在如图1所示的方法的步骤(B)或(G)期间执行如图2所示的方法的第四步骤至第八步骤。
图3示出了根据本发明的用于激活控制单元的方法。该方法以上电步骤开始,其中,向控制单元10的电力输入11提供操作电压。在随后的第二步骤中,将校准数据从非易失性存储元件15a输出至控制单元10的安全元件15b,其中,从校准数据生成安全标识符。在第三步骤中,将激活密钥经由控制单元10的数据输入输入至控制单元10。
在输入安全密钥之后,在如图3所示的启动方法的第四步骤中,相对于安全标识符验证输入的激活密钥。在示出的实施例中,验证包括将激活密钥与安全标识符进行比较。如果激活密钥和安全标识符的验证是肯定的(即,如果激活密钥等于安全标识符),则激活控制单元10(即,通过向控制模块13提供操作电压来激活控制单元10的控制模块13)。如果激活密钥的验证是否定的(即,如果输入的激活密钥不等于安全标识符),则不向控制模块13提供操作电压并且不激活(即,停用)控制模块13(相对于执行针对至少一个电池单体80的至少一个控制功能)。
在相对于安全标识符成功地验证激活密钥之后,可进行图1中示出的生产过程的步骤(G)。其中,多个电池模块90彼此连接以形成电池系统100。其中,电池模块90的端子(未示出)使用汇流条(未示出)彼此连接。此外,电池模块90的CSC 10使用合适的通信总线(例如,SPI或CAN)彼此连接并且连接到BMS(未示出)。将多个互连的电池模块90置于壳体中,并且可设置冷却回路用于冷却电池模块90。多个电池模块90经由系统端子102和101提供系统电压和系统电流。
如图3进一步示出的,可通过取消对控制单元10的电力供应来关闭本发明的控制单元10。这可发生在为控制单元10供电的电池模块90的使用寿命结束时或者控制单元10与该电池模块90分离时。如果控制单元10在关闭之后被再次上电(例如,通过将控制单元10连接到更换的电池单体),则再次开始如图3所示的启动方法。换句话说,控制单元10(特别是电力输入11和启动模块12)再次接收操作电压,将校准数据从非易失性存储器15a输出到安全元件15b,在安全元件15b中从校准数据产生安全标识符,并且提醒用户将安全密钥输入到控制单元10。
进行控制单元10的第二次启动,其中,相对于安全标识符验证输入的激活密钥,即,将输入的激活密钥与安全标识符进行比较。如果激活密钥和安全标识符的验证是肯定的(即,如果激活密钥等于安全标识符),则激活控制单元10(即,通过向控制模块13提供操作电压来激活控制单元10的控制模块13)。如果激活密钥的验证是否定的(即,如果输入的激活密钥不等于安全标识符),则不向控制模块13提供操作电压并且不激活(即,停用)控制模块13(相对于执行针对至少一个电池单体80的至少一个控制功能)。换句话说,只要在每次启动控制单元10时将正确的激活密钥输入到控制单元10,就可重复地为根据本发明的控制单元10上电。
图4示意性地示出了根据实施例的用于电池系统100的控制单元10。控制单元10包括电力输入11,电力输入11被构造为连接到至少一个电池单体80以用于接收控制单元10的操作电压。电力输入11优选地包括接触焊盘,所述接触焊盘被构造为例如经由至少一个引线键合等电连接到至少一个电池单体80。
电力输入11经由启动模块12电连接到控制模块13。
控制模块13被配置为针对至少一个电池单体执行至少一个控制功能。控制功能可包括电池单体电压、电池单体电流、电池单体电阻或电池单体容量的测量,并且针对多个电池单体,控制功能还可包括电池单体电压或电池单体电流的主动或被动平衡。控制模块13可包括用于与至少一个电池单体80建立电接触的至少一个接触焊盘(未示出)。可经由与用于将至少一个电池单体80与控制单元10的电力输入11连接的引线键合不同的引线键合建立所述电接触。
启动模块12被配置为执行如上所述的控制单元10的激活方法,并且包括数据输入14以及非易失性存储元件15a和安全元件15b,其中,后两个元件被示出为由附图标记15描绘的单个元件。启动模块12还包括验证电路16和激活电路17。数据输入14和安全元件15b连接到验证电路16,并且验证电路16与激活电路17连接。
数据输入14被配置为接收激活密钥,并且优选地被配置为提示用户输入激活密钥。
非易失性存储元件15a被配置为保存校准数据并且响应于操作电压被施加到启动模块12而将校准数据输出到安全元件15b。安全元件15b被配置为接收校准数据并且基于安全算法而从校准数据产生安全标识符。
验证电路16被配置为相对于从安全元件15b输出的安全标识符验证在数据输入14中输入的激活密钥(例如,将输入的激活密钥与输出的安全标识符进行比较)并且输出验证结果。
激活电路17被配置为从验证电路16接收验证结果并且根据验证结果提供电力输入11与控制模块13之间的电连接。激活电路17包括至少一个开关元件。
图5示出了根据本发明的验证电路16和激活电路17的示例性电路图。
图5的左侧部分示出了根据本发明的实施例的验证电路16的示意性电路图。验证电路16包括XNOR门41,XNOR门41的第一输入连接到数据输入14并且XNOR门41的第二输入连接到安全元件15b,安全元件15b本身连接到非易失性存储元件15a。XNOR门41的输出连接到NOT门42的输入。NOT门42的输出连接到反相器43的输入,反相器43互连在提供第一操作电压VDD的第一操作线58与SRAM 46的数据输入之间。电容器44互连在第二操作线59与SRAM46的数据输入45之间。
SRAM 46包括第一SRAM反相器和第二SRAM反相器。第一SRAM反相器和第二SRAM反相器中的每个连接到提供操作电压VDD的第一操作线58并且连接到提供第二操作电压VSS的第二操作线59。第一SRAM反相器的输入节点电连接到SRAM 46的数据输入45。第一SRAM反相器的输入节点还电连接到p沟道MOSFET的栅极,所述p沟道MOSFET互连在第一操作线58与SRAM 46的数据输出47之间。第一SRAM反相器的输入节点还电连接到n沟道MOSFET的栅极,所述n沟道MOSFET互连在第二操作线59与SRAM 46的数据输出47之间。SRAM 46的数据输出47电连接到第二SRAM反相器的输入节点,所述第二SRAM反相器的输入节点连接到另一p沟道MOSFET的栅极,所述另一p沟道MOSFET互连在第一操作线58与SRAM 46的数据输入45之间。第二SRAM反相器的输入节点还电连接到另一n沟道MOSFET的栅极,所述另一n沟道MOSFET互连在第二操作线59与SRAM 46的数据输入45之间。一旦第一操作电压和第二操作电压被提供给SRAM 46,SRAM 46就被设置为操作状态。通过第一操作电压VDD(“1”)或第二操作电压VSS(“0”)对输入到SRAM 46的数据输入45的逻辑值进行编码。输入到数据输入45的逻辑值被第一SRAM反相器反相,并且反相后的值被提供给SRAM 46的数据输出47。反相后的值还输入到第二SRAM反相器,并且因此再现了数据输入45处的初始逻辑值。因此,只要提供操作电压,提供给SRAM 46的数据输入45的逻辑值就存储在SRAM 46中。
在激活期间,经由电容器44将SRAM 46的数据输入45设置为逻辑值“0”,因此预定值输入到SRAM 46并且验证电路16的验证输出被设置为“0”。如果施加到XNOR门41的第一输入的信号(例如,由特定电压表示的输入的激活密钥的单个位)等于施加到XNOR门41的第二输入的信号(例如,由特定电压表示的产生的安全标识符的单个位),则XNOR门41的输出被设置为逻辑值“1”(例如,由第一操作电压VDD表示的逻辑值“1”)。NOT门42使逻辑值反相,因此逻辑值“1”由第一反相器43施加到SRAM 46的数据输入45。SRAM 46随后输出逻辑值“0”,所述逻辑值“0”再次被第二反相器48反相,使得由验证电路16输出逻辑值“1”。因此,从验证电路16输出的验证信号取决于激活密钥的验证结果,并且只要施加操作电压VDD、VSS便可维持在验证输出。
图5的右侧部分示出了根据本发明的实施例的激活电路17的示意性电路图。示出的激活电路17的实施例包括至少一个运算放大器54。通过第一操作线58向运算放大器54的第一电源输入提供第一操作电压VDD,通过第二操作线59向差分放大器54的第二电源输入提供第二操作电压VSS。运算放大器54还包括反相输入(“-”)和非反相输入(“+”)。验证电路16的输出的电压水平被提供给运算放大器54的反相输入。
激活电路17还包括分压器,所述分压器具有第一电阻器51和第二电阻器52,第一电阻器51互连在第一操作线58与运算放大器54的非反相输入之间,第二电阻器52互连在第二操作线59与运算放大器54的非反相输入之间。第一电阻器51的电阻等于第二电阻器52的电阻,因此第一操作电压VDD的二分之一作为参考电压被提供到运算放大器54的非反相输入。因此,如果逻辑值“1”被施加到验证电路16的输出,则运算放大器54的输出被设置为最大正电压,并且如果逻辑值“0”被施加到验证电路16的输出,则运算放大器54的输出被设置为最小负电压。运算放大器54的输出经由第三电阻器53反馈到反相输入。因此,运算放大器54的输出被进一步放大。
激活电路17还包括作为开关元件的n沟道IGBT 57。IGBT 57的栅极连接到运算放大器54的输出,IGBT 57的集电极连接到控制单元10的电力输入11,IGBT 57的发射极连接到控制单元10的控制模块13。如果验证电路16持续地输出逻辑值“1”,则运算放大器54输出放大的正电压。因此,IGBT57被设置为导通并且提供控制单元10的电力输入11与控制模块13之间的导电连接。因此,使得控制模块13能够执行至少一个控制功能。一旦IGBT 57被设置为导通,则IGBT 57的发射极经由第四电阻器56并经由变压器55与IGBT 57的栅极连接。这种环回连接使得:一旦将操作电压从电力输入11传导到控制模块13持续特定时间段,IGBT 57就保持导通。由此通过第四电阻器56的电阻和变压器55的感应率(inductivity)来设置所述时间段的持续时间。环回电路可包括用于使从IGBT 57的发射极到IGBT 57的栅极的电力传输延迟的另一感应率。
图6是根据实施例的安全元件15b的电路图的示意性图示。其中,安全元件是线性反馈移位寄存器,所述线性反馈移位寄存器包括多个触发器ri和连接到控制单元10的非易失性存储元件15a的多个输入ai。每个输入ai接收存储在非易失性存储元件15a中的校准数据位并且经由AND门将其与触发器ri的输出组合。经由一系列XOR门组合AND门的输出,其中,最后一个XOR门的输出连接到第一触发器r1。安全元件的输出为XNOR门41的第二输入。
图7示意性地示出了用于特定校准数据输入的图6的安全元件,其中,校准数据位为:a1=1,a2=0,a3=0,a4=1。然后,通过如图6所示的线性反馈移位寄存器实现的逻辑功能等效于图6中示出的电路。因此,安全元件15b的安全标识符输出为取决于从非易失性存储元件15a输入的校准数据ai的伪随机数。可随着每个时钟(即,时钟信号CLK的每个边沿)从安全元件15b输出安全标识符的新值。
可使用任何合适的硬件、固件(例如,专用集成电路)、软件或软件、固件和硬件的组合来实现根据在此描述的本发明的实施例的电子装置或电气装置和/或任何其它相关装置或组件。例如,这些装置的各个组件可形成在一个集成电路(IC)芯片上或者形成在单独的IC芯片上。此外,这些装置的各个组件可在柔性印刷电路膜、带载封装(TCP)、印刷电路板(PCB)上实现或者形成在一个基板上。在此描述的电连接或互连可通过导线或导电元件(例如,在PCB或另一种电路载体上的导线或导电元件)实现。导电元件可包括金属化(例如,表面金属化和/或引脚),并且/或者可包括导电聚合物或陶瓷。此外,可经由无线连接(例如,使用电磁辐射和/或光)传输电能。
此外,这些装置的各个组件可以是在一个或更多个计算装置中在一个或更多个处理器上运行的进程或线程,所述一个或更多个计算装置执行计算机程序指令并与用于执行在此描述的各种功能的其它系统组件进行交互。计算机程序指令存储在可在计算装置中使用标准存储装置(诸如,例如随机存取存储器(RAM))实现的存储器中。计算机程序指令还可存储在其它非暂时性计算机可读介质(诸如,例如CD-ROM、闪存驱动器等)中。
此外,本领域技术人员应认识到,在不脱离本发明的示例性实施例的范围的情况下,各个计算装置的功能可组合或集成到单个计算装置中,或者可将特定计算装置的功能分布在一个或更多个其它计算装置上。
Claims (15)
1.一种用于产生用于电池系统(100)的控制单元(10)的安全标识符的方法,所述方法包括以下步骤:
向控制单元(10)提供操作电压;
从控制单元(10)的非易失性存储元件(15a)输出校准数据;以及
使用安全算法从校准数据产生安全标识符,
其中,校准数据基于在控制单元(10)上执行的至少一个测试处理,并且是控制单元(10)的无故障操作所需的。
2.根据权利要求1所述的方法,所述方法还包括以下步骤:
在控制单元(10)上执行至少一个测试处理;
基于所述至少一个测试处理产生用于控制单元(10)的校准数据;以及
将校准数据写入控制单元(10)的非易失性存储元件(15a)。
3.根据权利要求1所述的方法,其中,所述安全算法是哈希函数算法、公钥算法或私钥算法中的一个。
4.一种用于产生用于电池系统(100)的控制单元(10)的激活密钥的方法,所述方法包括根据权利要求1所述的方法的步骤,并且还包括以下步骤:基于安全标识符产生激活密钥,以及从控制单元(10)输出激活密钥。
5.根据前述权利要求中的任何一项所述的方法,
其中,控制单元(10)包括至少一个测量电路,所述测量电路被配置为测量输入到所述测量电路的物理量;
其中,所述至少一个测试处理包括测量电路上的偏移校准测试和/或增益校准测试;并且
其中,校准数据的产生包括针对每个测量电路产生至少一个偏移校准值和/或至少一个增益校准值。
6.一种用于激活电池系统(100)的控制单元(10)的方法,控制单元(10)包括用于接收由至少一个电池单体(80)提供的操作电压的电力输入(11)、被配置为针对所述至少一个电池单体(80)执行至少一个控制功能的控制模块(13)以及连接在电力输入(11)和控制模块(13)之间的启动模块(12),所述方法包括以下步骤:
(a)通过所述至少一个电池单体(80)将控制单元(10)的操作电压提供给电力输入(11);
(b)使用安全算法从存储在控制单元(10)的非易失性存储元件(15a)中的校准数据产生安全标识符;
(c)验证产生的安全标识符;以及
(d)响应于安全标识符的验证,将电力输入(11)和控制模块(13)互连,
其中,校准数据基于在控制单元(10)上执行的至少一个测试处理,并且是控制单元(10)的无故障操作所需的。
7.根据权利要求6所述的方法,其中,步骤(c)包括以下步骤:
(c1)将激活密钥输入到控制单元(10)的数据输入(14)中;以及
(c2)相对于激活密钥验证产生的安全标识符。
8.一种用于电池系统(100)的控制单元(10),所述控制单元(10)包括:
非易失性存储元件(15a),存储校准数据;
安全元件(15b),被配置为使用安全算法从校准数据产生安全标识符;
验证电路(16),被配置为验证安全标识符;
控制模块(13),被配置为针对至少一个电池单体(80)执行至少一个控制功能,
其中,校准数据基于在控制单元(10)上执行的至少一个测试处理,并且是控制模块(13)的无故障操作所需的。
9.根据权利要求8所述的控制单元,所述控制单元还包括:
数据输出,被配置为从控制单元(10)输出激活密钥,
其中,安全元件(15b)连接到所述数据输出,并且还被配置为从所述安全标识符产生激活密钥。
10.根据权利要求8所述的控制单元,所述控制单元还包括:
电力输入(11),用于接收由至少一个电池单体(80)提供的控制单元(10)的操作电压;
启动模块(12),连接在电力输入(11)和控制模块(13)之间,并且包括非易失性存储元件(15a)、安全元件(15b)和验证电路(16);以及
激活电路(17),被配置为:响应于安全标识符的验证,将电力输入(11)和控制模块(13)互连。
11.根据权利要求8至10中的任何一项所述的控制单元(10),所述控制单元(10)还包括:
数据输入(14),被配置为接收激活密钥,其中,验证电路(16)连接到数据输入(14)和安全元件(15b),并且被配置为相对于输入的激活密钥验证产生的安全标识符。
12.根据权利要求8至10中的任何一项所述的控制单元(10),所述控制单元(10)还包括:
至少一个测量电路,被配置为测量输入到所述测量电路的物理量,其中,校准数据包括针对每个测量电路的至少一个偏移校准值和/或至少一个增益校准值。
13.根据权利要求8至10中的任何一项所述的控制单元(10),其中,非易失性存储元件(15a)不能从控制单元(10)的外部访问。
14.一种电池系统(100),所述电池系统(100)包括根据权利要求9至10中的任何一项所述的控制单元(10)作为电池管理系统、电池监测单元和电池单体监管电路中的至少一个的一部分。
15.一种电池系统(100)的控制单元(10)的校准数据的使用,所述校准数据用于产生用于控制单元(10)的识别和认证的安全标识符,其中,所述校准数据基于在控制单元(10)上执行的至少一个测试处理,并且是控制单元(10)的无故障操作所需的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16202199.2 | 2016-12-05 | ||
| EP16202199.2A EP3330878B1 (en) | 2016-12-05 | 2016-12-05 | Control unit for a battery system with security identifier |
| PCT/KR2017/011683 WO2018105884A1 (en) | 2016-12-05 | 2017-10-20 | Control unit for a battery system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110036527A CN110036527A (zh) | 2019-07-19 |
| CN110036527B true CN110036527B (zh) | 2022-06-10 |
Family
ID=57539027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780075289.5A Active CN110036527B (zh) | 2016-12-05 | 2017-10-20 | 用于电池系统的控制单元 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11106782B2 (zh) |
| EP (1) | EP3330878B1 (zh) |
| KR (1) | KR102555489B1 (zh) |
| CN (1) | CN110036527B (zh) |
| WO (1) | WO2018105884A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11634094B2 (en) * | 2019-11-08 | 2023-04-25 | Thermo King Llc | Methods and systems for secure communication and authorization of vehicle mode change |
| US11301343B2 (en) * | 2020-06-12 | 2022-04-12 | Taiwan Semiconductor Manufacturing Company Limited | Memory block age detection |
| EP4189765A2 (en) * | 2020-07-27 | 2023-06-07 | Robert Bosch GmbH | A system and method for generation and validation of puf identifier of a battery pack |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101421792A (zh) * | 2006-04-13 | 2009-04-29 | Nxp股份有限公司 | 半导体器件标识符产生方法以及半导体器件 |
| GB2475612A (en) * | 2009-11-23 | 2011-05-25 | Chih-Ang Yao | Anti-fake battery pack with cells having inner and outer identifiers |
| JP2015128350A (ja) * | 2013-12-27 | 2015-07-09 | キヤノン株式会社 | 電子機器及びその制御方法、プログラム、並びに記憶媒体 |
| CN104838385A (zh) * | 2012-12-28 | 2015-08-12 | 英特尔公司 | 使用基于物理不可克隆功能的密钥产生系统的设备认证 |
| CN105556984A (zh) * | 2013-09-24 | 2016-05-04 | 罗伯特·博世有限公司 | 用于认证电池组的测量数据的方法和设备 |
| CN105793815A (zh) * | 2013-12-03 | 2016-07-20 | 无线电系统公司 | 用于验证电池认证的方法和设备 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3765544B1 (ja) | 2004-11-26 | 2006-04-12 | 株式会社ソニー・コンピュータエンタテインメント | バッテリ、及び認証要求装置 |
| KR101398633B1 (ko) | 2008-01-28 | 2014-05-26 | 삼성전자주식회사 | 반도체 메모리 장치 및 이 장치의 칩 식별신호 발생방법 |
| US20090259771A1 (en) | 2008-04-09 | 2009-10-15 | Tanik Haluk K | Identification of memory cards by host |
| US20100034238A1 (en) * | 2008-08-05 | 2010-02-11 | Broadcom Corporation | Spread spectrum wireless resonant power delivery |
| JP5490473B2 (ja) | 2009-09-15 | 2014-05-14 | ルネサスエレクトロニクス株式会社 | データ処理システム、電気自動車及びメンテナンスサービスシステム |
| KR101727130B1 (ko) * | 2010-01-20 | 2017-04-14 | 인트린직 아이디 비브이 | 암호화 키를 획득하기 위한 디바이스 및 방법 |
| JP5549479B2 (ja) * | 2010-08-27 | 2014-07-16 | 株式会社デンソー | 電池管理装置 |
| US8898461B2 (en) * | 2011-03-03 | 2014-11-25 | Lenovo (Singapore) Pte. Ltd. | Battery authentication method and apparatus |
| KR101455443B1 (ko) * | 2011-09-26 | 2014-10-28 | 주식회사 엘지화학 | 고유 식별자를 할당하는 방법 및 이를 이용하는 배터리 관리 시스템 |
| EP2835001B1 (en) * | 2012-04-05 | 2022-10-26 | Nokia Technologies Oy | Identification for apparatuses |
| KR20140136201A (ko) | 2013-05-20 | 2014-11-28 | 에스케이하이닉스 주식회사 | 반도체 장치 및 메모리 시스템 |
| US20150048684A1 (en) * | 2013-08-06 | 2015-02-19 | Bedrock Automation Platforms Inc. | Secure power supply for an industrial control system |
| JP6212386B2 (ja) * | 2013-12-26 | 2017-10-11 | キヤノン株式会社 | 電子機器およびその制御方法 |
| GB2523456B (en) | 2013-12-27 | 2016-08-24 | Canon Kk | Electronic apparatus and control method thereof |
| US9626531B2 (en) * | 2014-11-18 | 2017-04-18 | Intel Corporation | Secure control of self-encrypting storage devices |
-
2016
- 2016-12-05 EP EP16202199.2A patent/EP3330878B1/en active Active
-
2017
- 2017-10-20 KR KR1020197015997A patent/KR102555489B1/ko active IP Right Grant
- 2017-10-20 WO PCT/KR2017/011683 patent/WO2018105884A1/en active Application Filing
- 2017-10-20 US US16/343,220 patent/US11106782B2/en active Active
- 2017-10-20 CN CN201780075289.5A patent/CN110036527B/zh active Active
-
2021
- 2021-08-31 US US17/463,269 patent/US11693947B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101421792A (zh) * | 2006-04-13 | 2009-04-29 | Nxp股份有限公司 | 半导体器件标识符产生方法以及半导体器件 |
| GB2475612A (en) * | 2009-11-23 | 2011-05-25 | Chih-Ang Yao | Anti-fake battery pack with cells having inner and outer identifiers |
| CN104838385A (zh) * | 2012-12-28 | 2015-08-12 | 英特尔公司 | 使用基于物理不可克隆功能的密钥产生系统的设备认证 |
| CN105556984A (zh) * | 2013-09-24 | 2016-05-04 | 罗伯特·博世有限公司 | 用于认证电池组的测量数据的方法和设备 |
| CN105793815A (zh) * | 2013-12-03 | 2016-07-20 | 无线电系统公司 | 用于验证电池认证的方法和设备 |
| JP2015128350A (ja) * | 2013-12-27 | 2015-07-09 | キヤノン株式会社 | 電子機器及びその制御方法、プログラム、並びに記憶媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018105884A1 (en) | 2018-06-14 |
| KR20190084269A (ko) | 2019-07-16 |
| US11106782B2 (en) | 2021-08-31 |
| US11693947B2 (en) | 2023-07-04 |
| EP3330878B1 (en) | 2019-03-13 |
| EP3330878A1 (en) | 2018-06-06 |
| KR102555489B1 (ko) | 2023-07-12 |
| US20220004618A1 (en) | 2022-01-06 |
| US20190243962A1 (en) | 2019-08-08 |
| CN110036527A (zh) | 2019-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11693947B2 (en) | Control unit for a battery system | |
| KR102517373B1 (ko) | 배터리 시스템 제어 유닛 | |
| JP6449086B2 (ja) | バッテリ制御ic、バッテリパック及びその認証方法 | |
| US7863858B2 (en) | Authenticating a device at a battery pack using a random number generator | |
| US20140025944A1 (en) | Secure Storage and Signature | |
| US10473722B2 (en) | Method and apparatuses for authenticating measurement data for a battery | |
| US9664744B2 (en) | Cell module | |
| US20200161716A1 (en) | Control unit for a battery module or system | |
| KR20210101136A (ko) | 배터리 시스템 | |
| EP3331120B1 (en) | Control unit for a battery system | |
| JP6612957B2 (ja) | バッテリ制御ic、バッテリパック及びその認証方法 | |
| CN113212242B (zh) | 控制单元、电池系统及其操作方法 | |
| US11699817B2 (en) | Apparatus and methods for removable battery module with internal relay and internal controller | |
| Galloway | BMS for Drones and Small Systems, Incorporating Automotive Components | |
| JP2007172362A (ja) | 監視システム | |
| EP3657592A1 (en) | Control unit for a battery module or system | |
| KR20210152966A (ko) | 전류 측정 장치, 이를 포함하는 배터리 시스템, 배터리 시스템의 전류 측정 방법, 및 전기 차량 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |