?

1. 系統安全定義

包含電子電氣的功能安全還包含機械等其他防護部分

1. 機械安全需求

無鋒利銳邊/強度保證（碰撞/沖擊/擠壓/振動/承載等）

2. 化學安全需求

無有毒有害化學物質/材料的可燃性/冷卻液兼容性

3. 電氣安全需求

電氣間隙/爬電距離/HVIL/Hi-Pot測試/對地絕緣電阻/接觸器系統驗證

4. 功能安全需求

ISO26262 ASIL C

5. 能量安全需求（爆炸）

排氣通道，爆炸防護

6. 起火安全需求

耐火材料、 外部火燒實驗

7. 熱/溫度安全需求

熱管理溫度控制、 防止熱失控、冷卻系統實驗驗證、電流過流密度

8. 輻射安全要求

電磁輻射、噪聲

?

2. 系統安全需求來源

鋰電子電池事故特點：

1. 現場安全性：隨機性大，

誘發原因不明，根本原因是內短路和熱失控；

2. 濫用安全性：可預測且可測試評估；

?

3個安全相關的標準( 均是強標)將會發布

1. 《電動汽車安全要求》

（替代原來的GB/T 18384.1/2/3-2015 電動汽車 安全要求第1/2/3部分）

2. 《電動汽車產品說明：應急救援》

說明產品情況，介紹系統及零部件參數和布置情況，用于支持救援

3. 《電動汽車災害事故救援指南》

用于指導消防單位的事故救援

? 其他討論內容為：《電動客車安全要求》 ，與乘用車企業無關

初步結論：

a) 該3項標準均為整車級標準，電池僅作為一個子系統要求；

b) 目前該3項標準， 2017/10會議作為最后一次面談討論征求意見；

c)下一步計劃為網上公示征求意見，然后年底送審，計劃2019年最終施；

? 分為國際標準、歐盟、美國及中國的相應要求進行分析

? 影響較為廣泛的有FMVSS 305、 ECE R100(電池包) 、 ISO12405（電池包級）、 ISO 6469 （車級）及 IEC62660 （鋰離子電芯濫用實驗）

2015年我國新能源標準也在快速發表實施

?

? ? ? GB/T 31484/31485/31486 對比 QC/T743-2006

????? GB/T 18384.1-2015 對比 GB/T 18384.1-2001 （ISO6469-1~3）

????? GB/T 31489 電動汽車碰撞后要求 對比 ISO6469-4

????? GB/T 31467-1/2/3 （ISO12405）

????? QC/T897 (BMS) 轉變為新國標 GB/T xxx

鋰離子電池的安全標準

?UL(美國保險商實驗室)：UL1642（單體），UL2054(電池包1), UL2575(UL安全標準鋰離子電池系統操作), UL2580(電動汽車電池安全標準or電池包2)

?IEEE(國際電氣電子工程師協會)：IEEE1625（手機電池標準），IEEE1725 （手機電池安全）

? NEMA(美國電氣制造商協會)：C18.2M

?SAE(美國汽車工程師協會)：SAE J2464（電池包濫用安全要求），SAE J1766（碰撞）, SAE J2990（高壓安全信息）， SAEJ 2929（最新鋰電池單體安全要求）

?IEC(國際電工委員會)：IEC62133，IEC62281， IEC60664（絕緣電阻），IEC 62660 (鋰電芯性能可靠性實驗&濫用實驗，類似GBT31485)

? UN(聯合國)：PtIII S38.3

? JIS(日本標準協會)：JIS-C8714

? BASTO(國際電池安全組織)：BATS-01

? GB/GBT(中國國標)：GB/T 31486(電芯模組)，GB/T 31467.3(電池包)

美國：汽車安全技術法規
? FMVSS-305: 電動汽車-電解液溢出及電擊防護 對應 GB/T31498-2015 電動汽車碰撞后安全要求（碰撞后要求低電壓、高阻抗、低能量和高IP，碰撞后10s內達到）
歐洲：EC/ECE標準
? ECE R100: 關于機動車型式批準中電驅系統特殊要求的統一規定

????? 電擊防護：直接接觸防護、間接接觸防護、絕緣阻抗 [參見P40]
????? 可再充電儲能系統：應具有于東保護裝置，例如保險絲
????? 功能安全: ready 信號提醒等，充電車輛不能自行移動等；
????? 氫氣排放判定

? ECE R12: 關于就碰撞中防止轉向機構傷害駕駛員方面批準車輛的統一規定
? ECE R94: 關于車輛正面碰撞乘員保護認證的統一規定
? ECR R95: 關于車輛側面碰撞乘員保護認證的統一規定
? 2006/66/EC等

日本：《能源綜合利用法》 ---逐步向ECE（歐洲）靠攏
中國：主要參考ECE（歐洲）
標準化工作國際組織主要是2個，ISO(國際保準化組織,側重整車) 及 IEC(國際電工委員會，側重電氣部分)
? ISO 6469 （6469-1要求爬電距離）關注道路車輛，類似于 GBT 18384
? ISO 12405 關于電池包，類似于 GBT 31467

3.系統安全設計

系統安全總則

針對安全危險，主要有預防（設計前期）、 阻斷（事故發生過程中） 、降損（事故發生后初期）三種主要防范措施。

I. 針對電擊事故（預防為主，阻斷為輔）

II. 針對燃燒事故（預防、阻斷和降損有效的結合）

III. 針對爆炸事故（預防為主，降損為輔）

備注：
危險（Hazard）：事故發生前的一種狀態，當達到觸發條件是，危險就會變成事故。
事故（Mishap）：導致人員傷亡、財產損失或環境破壞的非預期時間（人們不希望發生的事件）。
安全（Safety）：阻止危險變成師傅的機制或措施，將事故發生的風險降低到可以接受的水平。

被動安全措施（事故發生后）：
1. 足夠的絕緣強度 ? ? ? ? ? ? ? ? ?
2. 隔熱材料
3. 防火阻燃材料
4. 防水防塵
5. 快速散熱設計
6. 壓力泄防裝置
7. 加強絕緣設計
8. 有效的接觸防護
9. ……

主動安全措施（事故發生前）：
1. 溫度、電壓、電流、氣體、液體、壓力監控
2. 過充電、過放電、過功率保護
3. 高溫/低溫保護
4. 絕緣狀態監控與保護
5. 高壓互鎖信號監控
6. 熱失控預警與主動滅火
7. 危險氣體、液體檢測
8. 各種危險狀態下切斷輸出
9. ……..

系統安全設計電氣安全

1. 警示標示： >60VDC 設置警示標簽

2. 接觸防護：

① 直接接觸防護（直接接觸帶電體）

a. 絕緣設計：電芯、模組、 Pack級

b. 屏蔽設計：滿足一定的IP等級要求

② 間接接觸防護（指接觸平時不帶電的導體或間接接觸帶電體）

a. 等電位設計 [0.2A測試電流，連接阻抗小于0.1Ω]

b. 電氣隔離：電氣間隙，爬電距離

3. 外短路防護[被動]：

① 加入保險絲，保險絲能保護繼電器和線束

② 發生故障后，首先繼電器能夠帶載切斷

③如果超出繼電器帶載切斷能力，保險絲應該能在繼電器爆炸（極限電流）之前熔斷

4. 過電流防護: 控制器做限流保護

5. 高壓互鎖檢測（US7586722）：高壓可拆裝部位須加入高壓互鎖檢測

6. 繼電器狀態監測：繼電器診斷（交叉電壓法）或12V線圈上電情況檢測

7. 絕緣監控：兩表法或交流注入法

8. 碰撞防護：檢測碰撞信號，并由控制器add硬線斷開繼電器， 30ms內完成

9. 預充電保護：上電前預充電回路， 100ms，與沖到額定電壓的95%

10. 所有產品須選用汽車級產品，保證壽命在5~8年以上

系統安全設計化學安全

1. 電芯安全

① 選用熱穩定性高的電極材料

a. 正極常用的改性方法為表面包覆和摻雜改性

b. 提高SEI膜性能(負極與電解液的固體電解質膜，類似于包覆)

② 改進鋰離子電解液，使用安全型電解液

a. 采用高閃點的氟代溶劑

b. 采用含氟阻燃添加劑或采用有機磷化物阻燃添加劑

c. 采用離子液體電解液

d. 采用固態電解液（避免枝晶刺破隔膜，有效避免泄露、著火或爆炸）

③ 添加特種添加劑，阻斷電池內部化學放熱反應

④ 選用高穩定粘結劑

⑤ 選用熱穩定性高的隔膜

2. 電池熱管理冷卻劑

① 常用的有：空氣、水、乙二醇水溶液、硅油、變壓器油、含氟化合物、蓖麻油

② 考慮結構、成本、可靠性、占用空間、冷卻效率等， IP65、 IP43

3. 熱失控預警與控制

1. 主要原因：外部高溫、外部短路、內部短路 [測試方法：過充、穿刺、火燒]

2. 熱失控現有措施：阻燃材料、貧液電芯、阻燃電解液、熔斷絲、焊接連接方式、

成組方式優化等

3. 預警系統

a. 選用溫度傳感器、氣體探測器、煙霧探測器、火焰探測器

b. CAN總線及硬線通知BMS

系統安全設計機械安全

1. 接觸式受力防護（在擠壓、跌落、碰撞和底部沖擊等情況下，防護結構對產品進行防護）
① 防護結構的機械強度
② 連接結構的機械強度
a. 插銷、卡扣和焊接連接
b. 螺栓連接
2. 非接觸式受力防護
（非接觸受力防護主要表征為在振動、沖擊、翻轉和碰撞等工況下，間接力傳導）
① 在非接觸式受力防護中，連接結構承載的只有傳導力，沒有直接接觸的作用力
② 不需要計算連接結構自身的結構強度（以抗拉強度σb作為臨界值）
③ 只需要計算傳導力的結構強度（以屈服強度σs作為臨界值）
3. IP防護：動力電池一般要求IP67
① 密封面設計： a.動靜面結構； b.彈性元件選擇
② 氣壓平衡部件
4. 防呆設計：機械防呆（最有效）、顏色防呆和標識防呆
5. 防火、阻燃
① 被動防火與阻燃：電池系統零部件盡量選用阻燃等級較高或不燃燒的材料（UL94-V0）
② 主動防火與阻燃： a. 設計防火結構防止外部火焰侵入； b. RESS內部增加消防系統
6. 防腐蝕
① 防腐蝕可以用把不同的防腐等級來表達
② 例如使用壽命為8年（沿海地區），要求中性鹽霧時間480小時，其他要求360h、 192h、 720h等
③ 方法主要有：鍍鋅（>8μm）、鍍鎳（>6~8μm） 、電泳（>18μm） ， 能實現壽命為8年

3.功能安全設計

功能安全是指避免由E/E系統功能性故障導致的不可接受的對人產生的風險或者危害。

功能安全關注系統故障后的行為，而不是系統的原來功能或性能。

• 汽車電子電氣系統功能安全國際標準 ISO26262（2011年）

• 提供汽車電子電氣產品功能安全開發的過程和方法論

• 基于電子電氣和可編程器件功能安全基本標準 IEC61508

• 適用于質量不超過3500kg的量產乘用車電子電氣系統

功能安全設計流程

1.概念設計

• 定義分析Item范圍及系統功能（例如充電系統）

• 進行系統的HARA分析

  • HAZOP分析

  • 加入危害事件場景，定義危害等級

• 進行FSR過程

  • 確定安全目標及安全狀態

2.系統級設計

• 技術安全需求（TSR）：結合前期概念階段的分析，規范為滿足安全目標的技術安全需求（架構，完整性措施，安全機制），環境要求，與其他系統和接口要求。

• 系統設計：包含安全相關設計

• 安全評審：結合第三方部門或者企業進行安全評估

3.硬件級設計

?

• 硬件安全需求：通過TSR推導出硬件要求規范

• 硬件設計：包含安全相關設計

• 硬件量化要求：確定硬件結構指標（根據ASIL等級確定LPF,SPF） ;評估硬件隨機失效

4.軟件級設計

• 軟件安全需求：通過TSR推導出軟件要求規范

• 軟件設計：包含安全相關設計

• 驗證軟件安全需求

功能安全交付文檔

功能安全評審交付物：
① 相關的危害分析和風險評估
② 安全目標
③ 功能安全概念（FSR）
④ 技術安全要求規范（TSR）
⑤ 系統設計
⑥ 硬件安全需求
⑦ 硬件設計
⑧ 硬件架構評審結果
⑨ 硬件隨機失效率指標計算結果及對安全
目標的違背
⑩ 軟件安全需求及細化的軟硬件接口要求
? 軟件架構設計
? 軟件單元的設計和實現
? 軟件組件資質報告
? 硬件組件資質報告
? 安全分析

功能安全設計-概念階段

概念階段分析的兩種方法
1. 從系統到整車
2. 從整車到系統

功能安全設計-BMS應用

?

從系統出發

HARA/HAZOP分析

? 定義分析Item范圍及系統功能（例如充電系統）
? 進行系統的HARA分析
? HAZOP分析
? 加入危害事件場景，定義危害等級
? 進行FSC過程
? 確定安全目標及安全狀態

在風險評估過程中，假設相關項的功能異常表現會引起某個危害。根據危害的定義，其作為傷害的潛在來源，極大依賴于功能異常發生時所處的駕駛場景。

FSC過程

1. 加入場景，形成危害事件分析
2. 定義S/E/C導出最終的ASIL等級
3. 設定安全目標
4. 設計安全狀態
5. 規定功能安全需求 FSR

各個廠家定義很可能不一致

3.5案例分析

MSD的全稱為Manuel Service Disconnect
1. 該零件主要用于車輛維護時，物理切斷車輛的高壓回路，確保用電安全；
2. MSD內部結構一般包含保險絲，用于高壓回路的短路保護，且便于維護；
3. MSD內部一般還設有HVIL高壓互鎖回路，用于高壓用電安全保護，也即保證在MSD移除人員有可能接觸高壓之前，確保高壓繼電器必須斷開；
4. MSD同時應該設置密封圈，確?？偝膳c電池包外殼配合后的IP等級要求，一般為IP67；
5. MSD的ICD應包含機械安裝接口、高壓連接接口、低壓HVIL互鎖回路接口；
6. MSD設計應保證500VDC的高壓安全使用等級，確保零件的使用安全；
7. 國標GB/T 17951-4.2.3明確要求新能源汽車必須配備MSD或其他類似的能夠物理切斷高壓回路的零部件

危害：無意識的起火

電池系統級危害：電池過充、短路等

最危險的場景1：車輛在車庫充電，車庫與住所在一起

該場景下如果發生起火對室內熟睡的人傷害是致命的且難以控制的。S3， E4/E3， C3

電池管理系統，電池包為載體，主要功能有充電、放電、能量儲存。以充電為例：

一、概念階段

1.1 相關項定義

a) 功能定義

b) 非功能定義（法規）

c) 接口定義（例）

備注：
1. 充電機為充電接口
2. 顯示屏出現時充電啊的狀體和報警信息

以充電為例：
一、概念階段
1.1 相關項定義
1.2. 危害分析和風險評估（HARA）HAZOP故障類型分析

以充電為例：
一、概念階段
1.2. 危害分析和風險評估（HARA）
a) 場景分析
b) 危害類型識別
c) 危害事件
d) ASIL等級定義

以充電為例：
一、概念階段
1.2. 危害分析和風險評估（HARA）
a) 場景分析
b) 危害類型識別
c) 危害事件
d) ASIL等級定義
e) 定義安全目標：防止過充
F) 定義安全狀態：切斷繼電器

備注：這里暴露的概率，不是指故障（過充）的概率，而是指功能使用的概率。

以充電為例：
一、概念階段
1.3. 功能安全概念(FSC)
基于安全目標，得出安全需求(FSR)

以充電為例：
一、概念階段
1.3. 功能安全概念(FSC)
基于安全目標，得出安全需求(FSR)

以充電為例：
二、 系統階段
主要任務：制定技術安全需求TSR，進行系統級安全設計
2.1. 技術安全需求
同時考慮功能概念和初步的架構設想，制定技術安全需求TSR)
首先定義系統架構如下：

以充電為例：
二、 系統階段
主要任務：制定技術安全需求TSR，進行系統級安全設計
2.1. 技術安全需求
同時考慮功能概念和初步的架構設想，制定技術安全需求TSR)初步的TSR如下：

以充電為例：
一、概念階段
二、 系統階段
主要任務：制定技術安全需求TSR，進行系統級安全設計
2.1. 技術安全需求
同時考慮功能概念和初步的架構設想，制定技術安全需求TSR)
2. 2 系統安全設計
系統安全設計目的是開發系統設計和和技術安全概念，以滿足功能要求和技術安全需求規范；
三、硬件設計
設計硬件方案，計算相應指標，滿足硬件安全目標；
四、軟件設計
設計軟件方案，通過相關測試，滿足軟件安全目標；
五、相關驗證
a) 根據設計的安全目標，反正/臺架/實車驗證
b) 必要的時候需要故障注入

?

?

總結

以上是生活随笔為你收集整理的BMS（电池管理系统）第12课—动力电池系统安全设计的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。