BMS（电池管理系统）第12课—动力电池系统安全设计

​

1. 系统安全定义

包含电子电气的功能安全还包含机械等其他防护部分

1. 机械安全需求

无锋利锐边/强度保证（碰撞/冲击/挤压/振动/承载等）

2. 化学安全需求

无有毒有害化学物质/材料的可燃性/冷却液兼容性

3. 电气安全需求

电气间隙/爬电距离/HVIL/Hi-Pot测试/对地绝缘电阻/接触器系统验证

4. 功能安全需求

ISO26262 ASIL C

5. 能量安全需求（爆炸）

排气通道，爆炸防护

6. 起火安全需求

耐火材料、 外部火烧实验

7. 热/温度安全需求

热管理温度控制、 防止热失控、冷却系统实验验证、电流过流密度

8. 辐射安全要求

电磁辐射、噪声

 

2. 系统安全需求来源

锂电子电池事故特点：

1. 现场安全性：随机性大，

诱发原因不明，根本原因是内短路和热失控；

2. 滥用安全性：可预测且可测试评估；

 

3个安全相关的标准( 均是强标)将会发布

1. 《电动汽车安全要求》

（替代原来的GB/T 18384.1/2/3-2015 电动汽车 安全要求第1/2/3部分）

2. 《电动汽车产品说明：应急救援》

说明产品情况，介绍系统及零部件参数和布置情况，用于支持救援

3. 《电动汽车灾害事故救援指南》

用于指导消防单位的事故救援

• 其他讨论内容为：《电动客车安全要求》 ，与乘用车企业无关

初步结论：

a) 该3项标准均为整车级标准，电池仅作为一个子系统要求；

b) 目前该3项标准， 2017/10会议作为最后一次面谈讨论征求意见；

c)下一步计划为网上公示征求意见，然后年底送审，计划2019年最终施；

• 分为国际标准、欧盟、美国及中国的相应要求进行分析

• 影响较为广泛的有FMVSS 305、 ECE R100(电池包) 、 ISO12405（电池包级）、 ISO 6469 （车级）及 IEC62660 （锂离子电芯滥用实验）

2015年我国新能源标准也在快速发表实施

 

    • GB/T 31484/31485/31486 对比 QC/T743-2006

    • GB/T 18384.1-2015 对比 GB/T 18384.1-2001 （ISO6469-1~3）

    • GB/T 31489 电动汽车碰撞后要求 对比 ISO6469-4

    • GB/T 31467-1/2/3 （ISO12405）

    • QC/T897 (BMS) 转变为新国标 GB/T xxx

锂离子电池的安全标准

•UL(美国保险商实验室)：UL1642（单体），UL2054(电池包1), UL2575(UL安全标准锂离子电池系统操作), UL2580(电动汽车电池安全标准or电池包2)

•IEEE(国际电气电子工程师协会)：IEEE1625（手机电池标准），IEEE1725 （手机电池安全）

• NEMA(美国电气制造商协会)：C18.2M

•SAE(美国汽车工程师协会)：SAE J2464（电池包滥用安全要求），SAE J1766（碰撞）, SAE J2990（高压安全信息）， SAEJ 2929（最新锂电池单体安全要求）

•IEC(国际电工委员会)：IEC62133，IEC62281， IEC60664（绝缘电阻），IEC 62660 (锂电芯性能可靠性实验&滥用实验，类似GBT31485)

• UN(联合国)：PtIII S38.3

• JIS(日本标准协会)：JIS-C8714

• BASTO(国际电池安全组织)：BATS-01

• GB/GBT(中国国标)：GB/T 31486(电芯模组)，GB/T 31467.3(电池包)

美国：汽车安全技术法规
• FMVSS-305: 电动汽车-电解液溢出及电击防护 对应 GB/T31498-2015 电动汽车碰撞后安全要求（碰撞后要求低电压、高阻抗、低能量和高IP，碰撞后10s内达到）
欧洲：EC/ECE标准
• ECE R100: 关于机动车型式批准中电驱系统特殊要求的统一规定

    • 电击防护：直接接触防护、间接接触防护、绝缘阻抗 [参见P40]
    • 可再充电储能系统：应具有于东保护装置，例如保险丝
    • 功能安全: ready 信号提醒等，充电车辆不能自行移动等；
    • 氢气排放判定

• ECE R12: 关于就碰撞中防止转向机构伤害驾驶员方面批准车辆的统一规定
• ECE R94: 关于车辆正面碰撞乘员保护认证的统一规定
• ECR R95: 关于车辆侧面碰撞乘员保护认证的统一规定
• 2006/66/EC等

日本：《能源综合利用法》 ---逐步向ECE（欧洲）靠拢
中国：主要参考ECE（欧洲）
标准化工作国际组织主要是2个，ISO(国际保准化组织,侧重整车) 及 IEC(国际电工委员会，侧重电气部分)
• ISO 6469 （6469-1要求爬电距离）关注道路车辆，类似于 GBT 18384
• ISO 12405 关于电池包，类似于 GBT 31467

3.系统安全设计

系统安全总则

针对安全危险，主要有预防（设计前期）、 阻断（事故发生过程中） 、降损（事故发生后初期）三种主要防范措施。

I. 针对电击事故（预防为主，阻断为辅）

II. 针对燃烧事故（预防、阻断和降损有效的结合）

III. 针对爆炸事故（预防为主，降损为辅）

备注：
危险（Hazard）：事故发生前的一种状态，当达到触发条件是，危险就会变成事故。
事故（Mishap）：导致人员伤亡、财产损失或环境破坏的非预期时间（人们不希望发生的事件）。
安全（Safety）：阻止危险变成师傅的机制或措施，将事故发生的风险降低到可以接受的水平。

被动安全措施（事故发生后）：
1. 足够的绝缘强度                  
2. 隔热材料
3. 防火阻燃材料
4. 防水防尘
5. 快速散热设计
6. 压力泄防装置
7. 加强绝缘设计
8. 有效的接触防护
9. ……

主动安全措施（事故发生前）：
1. 温度、电压、电流、气体、液体、压力监控
2. 过充电、过放电、过功率保护
3. 高温/低温保护
4. 绝缘状态监控与保护
5. 高压互锁信号监控
6. 热失控预警与主动灭火
7. 危险气体、液体检测
8. 各种危险状态下切断输出
9. ……..

系统安全设计电气安全

1. 警示标示： >60VDC 设置警示标签

2. 接触防护：

① 直接接触防护（直接接触带电体）

a. 绝缘设计：电芯、模组、 Pack级

b. 屏蔽设计：满足一定的IP等级要求

② 间接接触防护（指接触平时不带电的导体或间接接触带电体）

a. 等电位设计 [0.2A测试电流，连接阻抗小于0.1Ω]

b. 电气隔离：电气间隙，爬电距离

3. 外短路防护[被动]：

① 加入保险丝，保险丝能保护继电器和线束

② 发生故障后，首先继电器能够带载切断

③如果超出继电器带载切断能力，保险丝应该能在继电器爆炸（极限电流）之前熔断

4. 过电流防护: 控制器做限流保护

5. 高压互锁检测（US7586722）：高压可拆装部位须加入高压互锁检测

6. 继电器状态监测：继电器诊断（交叉电压法）或12V线圈上电情况检测

7. 绝缘监控：两表法或交流注入法

8. 碰撞防护：检测碰撞信号，并由控制器add硬线断开继电器， 30ms内完成

9. 预充电保护：上电前预充电回路， 100ms，与冲到额定电压的95%

10. 所有产品须选用汽车级产品，保证寿命在5~8年以上

系统安全设计化学安全

1. 电芯安全

① 选用热稳定性高的电极材料

a. 正极常用的改性方法为表面包覆和掺杂改性

b. 提高SEI膜性能(负极与电解液的固体电解质膜，类似于包覆)

② 改进锂离子电解液，使用安全型电解液

a. 采用高闪点的氟代溶剂

b. 采用含氟阻燃添加剂或采用有机磷化物阻燃添加剂

c. 采用离子液体电解液

d. 采用固态电解液（避免枝晶刺破隔膜，有效避免泄露、着火或爆炸）

③ 添加特种添加剂，阻断电池内部化学放热反应

④ 选用高稳定粘结剂

⑤ 选用热稳定性高的隔膜

2. 电池热管理冷却剂

① 常用的有：空气、水、乙二醇水溶液、硅油、变压器油、含氟化合物、蓖麻油

② 考虑结构、成本、可靠性、占用空间、冷却效率等， IP65、 IP43

3. 热失控预警与控制

1. 主要原因：外部高温、外部短路、内部短路 [测试方法：过充、穿刺、火烧]

2. 热失控现有措施：阻燃材料、贫液电芯、阻燃电解液、熔断丝、焊接连接方式、

成组方式优化等

3. 预警系统

a. 选用温度传感器、气体探测器、烟雾探测器、火焰探测器

b. CAN总线及硬线通知BMS

系统安全设计机械安全

1. 接触式受力防护（在挤压、跌落、碰撞和底部冲击等情况下，防护结构对产品进行防护）
① 防护结构的机械强度
② 连接结构的机械强度
a. 插销、卡扣和焊接连接
b. 螺栓连接
2. 非接触式受力防护
（非接触受力防护主要表征为在振动、冲击、翻转和碰撞等工况下，间接力传导）
① 在非接触式受力防护中，连接结构承载的只有传导力，没有直接接触的作用力
② 不需要计算连接结构自身的结构强度（以抗拉强度σb作为临界值）
③ 只需要计算传导力的结构强度（以屈服强度σs作为临界值）
3. IP防护：动力电池一般要求IP67
① 密封面设计： a.动静面结构； b.弹性元件选择
② 气压平衡部件
4. 防呆设计：机械防呆（最有效）、颜色防呆和标识防呆
5. 防火、阻燃
① 被动防火与阻燃：电池系统零部件尽量选用阻燃等级较高或不燃烧的材料（UL94-V0）
② 主动防火与阻燃： a. 设计防火结构防止外部火焰侵入； b. RESS内部增加消防系统
6. 防腐蚀
① 防腐蚀可以用把不同的防腐等级来表达
② 例如使用寿命为8年（沿海地区），要求中性盐雾时间480小时，其他要求360h、 192h、 720h等
③ 方法主要有：镀锌（>8μm）、镀镍（>6~8μm） 、电泳（>18μm） ， 能实现寿命为8年

3.功能安全设计

功能安全是指避免由E/E系统功能性故障导致的不可接受的对人产生的风险或者危害。

功能安全关注系统故障后的行为，而不是系统的原来功能或性能。

• 汽车电子电气系统功能安全国际标准 ISO26262（2011年）

• 提供汽车电子电气产品功能安全开发的过程和方法论

• 基于电子电气和可编程器件功能安全基本标准 IEC61508

• 适用于质量不超过3500kg的量产乘用车电子电气系统

功能安全设计流程

1.概念设计

• 定义分析Item范围及系统功能（例如充电系统）

• 进行系统的HARA分析

  • HAZOP分析

  • 加入危害事件场景，定义危害等级

• 进行FSR过程

  • 确定安全目标及安全状态

2.系统级设计

• 技术安全需求（TSR）：结合前期概念阶段的分析，规范为满足安全目标的技术安全需求（架构，完整性措施，安全机制），环境要求，与其他系统和接口要求。

• 系统设计：包含安全相关设计

• 安全评审：结合第三方部门或者企业进行安全评估

3.硬件级设计

 

• 硬件安全需求：通过TSR推导出硬件要求规范

• 硬件设计：包含安全相关设计

• 硬件量化要求：确定硬件结构指标（根据ASIL等级确定LPF,SPF） ;评估硬件随机失效

4.软件级设计

• 软件安全需求：通过TSR推导出软件要求规范

• 软件设计：包含安全相关设计

• 验证软件安全需求

功能安全交付文档

功能安全评审交付物：
① 相关的危害分析和风险评估
② 安全目标
③ 功能安全概念（FSR）
④ 技术安全要求规范（TSR）
⑤ 系统设计
⑥ 硬件安全需求
⑦ 硬件设计
⑧ 硬件架构评审结果
⑨ 硬件随机失效率指标计算结果及对安全
目标的违背
⑩ 软件安全需求及细化的软硬件接口要求
⑪ 软件架构设计
⑫ 软件单元的设计和实现
⑬ 软件组件资质报告
⑭ 硬件组件资质报告
⑮ 安全分析

功能安全设计-概念阶段

概念阶段分析的两种方法
1. 从系统到整车
2. 从整车到系统

功能安全设计-BMS应用

 

从系统出发

HARA/HAZOP分析

• 定义分析Item范围及系统功能（例如充电系统）
• 进行系统的HARA分析
• HAZOP分析
• 加入危害事件场景，定义危害等级
• 进行FSC过程
• 确定安全目标及安全状态

在风险评估过程中，假设相关项的功能异常表现会引起某个危害。根据危害的定义，其作为伤害的潜在来源，极大依赖于功能异常发生时所处的驾驶场景。

FSC过程

1. 加入场景，形成危害事件分析
2. 定义S/E/C导出最终的ASIL等级
3. 设定安全目标
4. 设计安全状态
5. 规定功能安全需求 FSR

各个厂家定义很可能不一致

3.5案例分析

MSD的全称为Manuel Service Disconnect
1. 该零件主要用于车辆维护时，物理切断车辆的高压回路，确保用电安全；
2. MSD内部结构一般包含保险丝，用于高压回路的短路保护，且便于维护；
3. MSD内部一般还设有HVIL高压互锁回路，用于高压用电安全保护，也即保证在MSD移除人员有可能接触高压之前，确保高压继电器必须断开；
4. MSD同时应该设置密封圈，确保总成与电池包外壳配合后的IP等级要求，一般为IP67；
5. MSD的ICD应包含机械安装接口、高压连接接口、低压HVIL互锁回路接口；
6. MSD设计应保证500VDC的高压安全使用等级，确保零件的使用安全；
7. 国标GB/T 17951-4.2.3明确要求新能源汽车必须配备MSD或其他类似的能够物理切断高压回路的零部件

危害：无意识的起火

电池系统级危害：电池过充、短路等

最危险的场景1：车辆在车库充电，车库与住所在一起

该场景下如果发生起火对室内熟睡的人伤害是致命的且难以控制的。S3， E4/E3， C3

电池管理系统，电池包为载体，主要功能有充电、放电、能量储存。以充电为例：

一、概念阶段

1.1 相关项定义

a) 功能定义

b) 非功能定义（法规）

c) 接口定义（例）

备注：
1. 充电机为充电接口
2. 显示屏出现时充电啊的状体和报警信息

以充电为例：
一、概念阶段
1.1 相关项定义
1.2. 危害分析和风险评估（HARA）HAZOP故障类型分析

以充电为例：
一、概念阶段
1.2. 危害分析和风险评估（HARA）
a) 场景分析
b) 危害类型识别
c) 危害事件
d) ASIL等级定义

以充电为例：
一、概念阶段
1.2. 危害分析和风险评估（HARA）
a) 场景分析
b) 危害类型识别
c) 危害事件
d) ASIL等级定义
e) 定义安全目标：防止过充
F) 定义安全状态：切断继电器

备注：这里暴露的概率，不是指故障（过充）的概率，而是指功能使用的概率。

以充电为例：
一、概念阶段
1.3. 功能安全概念(FSC)
基于安全目标，得出安全需求(FSR)

以充电为例：
一、概念阶段
1.3. 功能安全概念(FSC)
基于安全目标，得出安全需求(FSR)

以充电为例：
二、 系统阶段
主要任务：制定技术安全需求TSR，进行系统级安全设计
2.1. 技术安全需求
同时考虑功能概念和初步的架构设想，制定技术安全需求TSR)
首先定义系统架构如下：

以充电为例：
二、 系统阶段
主要任务：制定技术安全需求TSR，进行系统级安全设计
2.1. 技术安全需求
同时考虑功能概念和初步的架构设想，制定技术安全需求TSR)初步的TSR如下：

以充电为例：
一、概念阶段
二、 系统阶段
主要任务：制定技术安全需求TSR，进行系统级安全设计
2.1. 技术安全需求
同时考虑功能概念和初步的架构设想，制定技术安全需求TSR)
2. 2 系统安全设计
系统安全设计目的是开发系统设计和和技术安全概念，以满足功能要求和技术安全需求规范；
三、硬件设计
设计硬件方案，计算相应指标，满足硬件安全目标；
四、软件设计
设计软件方案，通过相关测试，满足软件安全目标；
五、相关验证
a) 根据设计的安全目标，反正/台架/实车验证
b) 必要的时候需要故障注入