GB/T39086-2020
电动汽车用电池管理系统功能安全要求及试验方法
Functionalsafetyrequirementsandtestingmethodsforbatterymanagementsystemofelectricvehicles
- 中国标准分类号(CCS)T35
- 国际标准分类号(ICS)43.040
- 实施日期2021-04-01
- 文件格式PDF
- 文本页数32页
- 文件大小3.11M
以图片形式预览电动汽车用电池管理系统功能安全要求及试验方法
电动汽车用电池管理系统功能安全要求及试验方法
国家标准 GB/T39086一2020 电动汽车用电池管理系统功能安全要求及 试验方法 Funetionalsafetyrequirementsandtestingmethodsforbatterymanagement Systemofelectricvehicles 2020-09-29发布 2021-04-01实施 国家市场监督管理总局 发布 国家标涯花管理委员会国家标准
GB/39086一2020 目 次 前言 范围 2 规范性引用文件 术语和定义 .中
.中 -般要求 相关项定义 危害分析和风险评估 功能安全要求 功能安全验证和确认 附录A(资料性附录以电池管理系统为相关项的危害分析和风险评估(HARA)示例 附录B(资料性附录》以动力蓄电池系统为相关项的危害分析和风险评估(HARA)示例 22 附录C资料性附录)故障容错时间间隔(FTT)确定方法示例
GB/39086一2020 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由工业和信息化部提出
本标准由全国汽车标准化技术委员会(SAC/TC1l4)归口
本标准起草单位:汽车技术研究中心有限公司、宁德时代新能源科技股份有限公司、泛亚汽车 技术中心有限公司、蜂巢能源科技有限公司、上海蔚来汽车有限公司、上海炙云新能源科技有限公司、惠 州市亿能电子有限公司、惠州市蓝微新源技术有限公司、东软睿驰汽车技术有限公司、华霆合肥)动力 技术有限公司、上海海拉电子有限公司南京研发分公司、万向 .三股份公司、深圳市科列技术股份有 限公司、比亚迪汽车工业有限公司力高山东)新能源技术有限公司、东莞钜威动力技术有限公司、 汽-大众汽车有限公司、广州小鹏汽车科技有限公司、杭州华塑加达网络科技有限公司、上海汽车集团股 份有限公司技术中心、上汽大众汽车有限公司、浙江吉利汽车研究院有限公司华为技术有限公司北京 新能源汽车股份有限公司、北京宝沃汽车股份有限公司、英飞凌科技()有限公司、重庆长安汽车股 份有限公司、本田技研工业()投资有限公司 本标准主要起草人;李放、付越.赵金高、李珍珍,都海贺.陈勇、袁永军,樊耀国,阮旭松.郭脱冬 罗欢,武占军、段艳晓、刘志茹、杨冬生、鲍伟,郑庆飞、王磊、苏泽文,谢卿,吴冠军、王超、王林、崔静 王斌、郭学建、尚世亮、樊彬、姜成龙、解坤、钟建伟、张骞慧、董佳熹、张笑林、周字、吴优、劳力、周岩 张祥、周宏伟、李一凡
GB/T39086一2020 电动汽车用电池管理系统功能安全要求及 试验方法 范围 本标准规定了电动汽车用动力蓄电池管理系统(以下简称“电池管理系统”)的功能安全要求及试验 方法
本标准适用于电动乘用车用锂离子动力蓄电池管理系统,其他类型动力蓄电池的管理系统及其他 类型车辆的动力蓄电池管理系统可参照执行
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB18384一2020电动汽车安全要求 GB/T19596一2017电动汽车术语 GB/T34590-2017(所有部分)道路车辆功能安全 GB38031一2020电动汽车用动力蓄电池安全要求 GB/T38661一2020电动汽车用电池管理系统技术条件 术语和定义 GB/T195962017和GB/T34590.l一2017界定的以及下列术语和定义适用于本文件
为便于 使用,以下重复列出了GB/T195962017中的一些术语和定义
3. 蓄电池管理系统batterymanagememtsystem;B\Is 监视蓄电池的状态(温度、电压、荷电状态等),可以为蓄电池提供通信、安全、电芯均衡及管理控制, 并提供与应用设备通信接口的系统
[[GB/T19596一2017,定义3.3.2.1.10] 3.2 电池单体seondarycel 将化学能与电能进行相互转换的基本单元装置,通常包括电极、隔膜、电解质、外壳和端子,并被设 计成可充电
[[GB38031一2020,定义3.1] 3.3 高压系统highvotagepowersstemm 电动汽车内部B级电压以上与动力电池直流母线相连或由动力电池电源驱动的高压驱动零部件 系统,主要包括但不限于;动力电池系统和/或高压配电系统(高压继电器、熔断器电阻器、主开关等) 电机及其控制系统、,Dc/DC变换器和车载充电机等
GB/T39086一2020 [GB/T19596一2017,定义3.1.2.1.11] 3.4 动力蓄电池系统powerbatterysystem 个或一个以上电池包及相应附件(蓄电池管理系统、高压电路、低压电路、热管理设备以及机械 总成)构成的为电动汽车整车的行驶提供电能的能量存储装置
[GB/T19596一2017,定义3.1.2.1.9] 3.5 故障容错时间间隔fattoleranttimmeinterval;TII 在安全机制未被激活情况下,从相关项内部故障发生到可能发生危害事件的最短时间间隔
注1:安全相关的时间间隔参见图1 注2;评估所有危害事件的最短时间间隔,其取决于危害的特征
注3:FTTI与相关项的功能异常表现而引起的危害有关
FTTI是安全目标的属性
注4;在容错时间间隔内,如果相关项保持在安全状态或过渡到安全状态或过渡到紧急运行,则表明安全机制及时 对故障进行了处理
注5:危害事件的发生取决于存在的故障并且车辆处于故障可影响车辆行为的场景中 示例;制动系统失效可能不会导致危害事件,直到实施制动
注6:当仅在相关项层面定义FTTI时,可在要素层面规定最长故障处理时间间隔和故障处理后达到的状态,以支 持功能安全概念
注7;故障探测时间间隔可包括多个诊断测试 ]间隔,以允许在诊断测试时间间隔足够小于故障探测时间间隔的 情况下消除错误
引起相关项功能异常 表现的故体 功能异常表现导致危害事件 无安全机制 功能异常表现 故障容错时间间隔 故障探测 实施安全机制 诊断测试时间间隔 过渡到安全状态 过渡到安全状态的时间 安全状态 故障探测时间 故障探测 故障响应时间间属" 时间间 故障处理时间间隔 故障探测 实施具有紧急运行的安全机制 诊断测试时间间隔 过渡到安全状态 故障探测时间 过渡到紧急运行的时间 紧急运行 安全状态 故障探测 紧色运行 故障响应时间间隔 时间间隔 时间间隔 故障处理时间间隔 图1安全相关时间间隔
GB/39086一2020 3.6 热失控thermalrumaway 电池单体放热连锁反应引起电池温度不可控上升的现象
[[GB380312020,定义3.14] 3.7 热扩散 thermalpropagatiom 电池包或系统内由一个电池单体热失控引发的其余电池单体接连发生热失控的现象
[GB380312020,定义3.15 3.8 爆炸explosion 突然释放足量的能量产生压力波或者喷射物,可能会对周边区域造成结构或物理上的破坏 [GB38031一2020,定义3.10叮] 3.9 漏液leakage 蓄电池内部电解液泄漏到电池壳体外部
[[GB/T195962017,定义3.3.3.13.7] 3.10 泄气ventins 单体电池或电池组中内部压力增加时,气体通过预先设计好的方式释放出来
[[GB/T195962017,定义3.3.3.13.8] 3.11 过充电oercharge 当电芯或电池完全充电后继续进行充电
[GB/T195962017,定义3.3.3.2.4们 3.12 过放电owerdischarge 当电芯或电池完全放电后继续进行放电
[GB/T19596一2017,定义3.3.3.1.8] 3.13 起火fire 电池单体、模块,电池包或系统任何部位发生持续燃烧(火焰持续时间大于1s). 注1:火焰持续时间大于1s指单次火焰持续时间,而非多次火焰的累计时间
注2:火花及拉弧不属于燃烧
[GB38031一2020,定义3.11] -般要求 除非特别说明,电池管理系统功能安全技术开发、流程开发等要求应按照GB/T345902017(所 有部分)执行
5 相关项定义 5.1总则 应按照GB/T34590.32017的要求进行相关项定义,相关项指实现车辆层面功能或部分功能的
GB/T39086一2020 系统或系统组
注:相关项及其范围可根据具体情况定义
附录A和附录B分别给出了以电池管理系统和动力蓄电池系统为相关 项的功能概念和相关项边界和接口示例
5.2功能概念 为满足车辆安全运行,确保车辆内部、外部人员以及车辆环境的安全,电池管理系统应对动力蓄电 池的安全运行进行监控和保护
电池管理系统的功能性要求还应满足GB18384一2020、GB38031 2020,GB/T38661一2020
注1,附录A给出了电池管理系统充电管理和放电管理的功能概念描述
附录B给出了动力蓄电池系统提供充电 和提供放电的功能概念描述
注2:充电状态包括外部充电、内部充电(例如,整车制动能量回收)等
放电状态包括行车放电、静置放电等 5.3运行条件和环境约束 为满足车辆安全运行,需要明确相关项的运行条件及环境约束,可包含(如适用): 外部环境,例如,温度、湿度、路况,天气等 a b) 运行模式,例如,动力蓄电池系统处于充电状态、放电状态、静置状态等,或者电池管理系统处 于工作状态或者非工作状态; 相关项与整车其他相关项的依赖关系、接口关系等
c o 危害分析和风险评估 6.1总则 根据第5章相关项定义,按照GB/T34590.3一2017,基于车辆使用场景,分析识别相关项中因故障 而引起的危害并对危害进行归类,定义相应的汽车安全完整性等级(AsIL),制定防止危害事件发生或 减轻危害程度的安全目标,以避免不合理的风险
注以电池管理系统和动力蓄电池系统为相关项进行危害分析和风险评估的示例分别参见附录A和附录B. 6.2安全目标 通过危害分析和风险评估确定的电池管理系统的安全目标及其属性,应至少包含表1所列的内容 表1安全目标 序号 安全目标 ASIL 安全状态 FTT 防止电池单体过充电导致热失控 断开高压回路 参见7.1.3 防止电池单体过放电后再充电导致热失控 断开充电回路 参见7.2.3 防止电池单体过温导致热失控 断开高压同路 参见7.3.3 参见7.4.3 断开高压回路 防止动力蓄电池系统过流导致热失控 注:充电回路指动力蓄电池从外部吸收能量的回路,包括外部充电及内部充电(例如整车制动能量回收). 如果出现与表1所列的要求不一致的情况,应具备相应的证据来证明动力蓄电池系统不会因过充 电,过放电后再充电、过温、过流导致热失控而引起起火、冒烟、爆炸等危害
应至少包括如下证据 动力蓄电池系统因过充电、过放电后再充电、过温、过流导致热失控而引起起火、冒烟,爆炸等 危害的失效模式及其组合的影响危害分析和风险评估
GB/39086一2020 b 列项a)中失效所对应的安全措施; 针对列项b)的有效且完整的试验验证方法及测试通过准则,且试验验证应涵盖全生命周期中 最严苛场景
功能安全要求 7.1防止电池单体过充电导致热失控 7.1.1一般要求 电池管理系统应监测电池单体电压,当电池单体电压值超过安全阂值时,使动力蓄电池系统在 FTI时间内进人安全状态,在电池单体过充电故障退出.消除条件未满足时,不应退出安全状态 故障探测、响应处理应在FTTI时间内完成
安全阂值应根据电池系统制造商过充电测试结果给出
7.1.2运行模式 电池管理系统应处于工作状态
7.1.3故障容错时间间隔 电池单体过充电故障容错时间间隔应根据电池系统制造商过充电测试结果给出
注电池单体过充电故障容错时间间隔的确定方法参考附录C,示意图见图2. 电压超过安全阂值 探测到过充 正常运行 安全状态 时间 诊斯测试时间间隔 故障响应时间 故障容错时间间隔 图2电池单体过充电故障容错时间间隔 7.1.4安全状态的进入和退出 当确认电池单体电压值超过安全阔值时,电池管理系统应断开高压回路进人安全状态,在电池单体 过充电故障退出、消除条件未满足时,不应退出安全状态
注故障退出,消除条件由相关方协商确定
7.1.5报警和降级概念 在电池管理系统探测到电池单体过充电故障后,应通过警告信号或提示信息等方式警告驾驶员
如果动力蓄电池存在无法立即进人或保持安全状态的场景,应设计降级功能(例如限制充电功率) 使整车进人紧急运行模式
7.2防止电池单体过放电后再充电导致热失控 7.2.1一般要求 电池管理系统应监测电池单体电压,当电池单体电压值低于安全闵值时,使动力蓄电池系统在
GB/T39086一2020 FTT时间内进人安全状态,在电池单体过放电故障退出、消除条件未满足时,不应退出安全状态
故障探测、响应,处理应在FTT时间内完成
安全值应根据电池系统制造商过放电测试结果给出
7.2.2运行模式 电池管理系统应处于工作状态
7.2.3故障容错时间间隔 电池单体过放电后再充电故障容错时间间隔应根据电池系统制造商过放电后再充电的测试结果 给出
注电池单体过放电后再充电故障容错时间间隔的确定方法参考附录c,示意图见图3
探测到过放 电压低于安全网值 充电回路处 于断开状态 正常运行 安全状态 时间 诊断测试时间间隔 故障响应时间 故障容错时间间隔 图3电池单体过放电后再充电故障容错时间间隔 7.2.4安全状态的进入和退出 当确认电池单体电压值低于安全闵值时,电池管理系统应断开充电回路进人安全状态,在电池单体 过放电故障退出、消除条件未满足时,不应退出安全状态
注:故障退出、消除条件由相关方协商确定
7.2.5报警和降级概念 在电池管理系统探测到电池单体过放电故障后,应通过警告信号或提示信息等方式警告驾驰员
如果动力蓄电池存在无法立即进人或保持安全状态的场景,应设计降级功能例如限制充电功率、 禁止制动能量回收功能的使用)使整车进人紧急运行模式
7.3防止电池单体过温导致热失控 7.3.1 -般要求 电池管理系统应监测电池单体温度,当电池单体温度值高于安全值时,使动力蓄电池系统在 FTTI时间内进人安全状态,在电池单体过温故障退出、消除条件未满足时,不应退出安全状态 故障探测故障探测、响应、处理应在FTTI时间内完成
安全阂值应根据电池系统制造商过温测试结果给出
电池系统内温度测量点的温度应能代表电池系统中电池单体的最高温度
GB/39086一2020 7.3.2运行模式 电池管理系统应处于工作状态
7.3.3故障容错时间间隔 电池单体过温故障容错时间间隔应根据电池系统制造商过温的测试结果给出
注:电池单体过温故障容错时间间隔的确定方法参考附录C,示意图见图4
温度超过安全闭值 探测到过温 正常运行 安全状态 时间 诊断测试时间间隔 故障响应时间 故障容错时间间隔 图4电池单体过温故障容错时间间隔 7.3.4安全状态的进入和退出 当确认电池单体温度值高于安全阂值时,电池管理系统应断开高压回路进人安全状态,在电池单体 过温故障退出、消除条件未满足时,不应退出安全状态
注:故障退出、消除条件由相关方协商确定
7.3.5报警和降级概念 在电池管理系统探测到电池单体过温故障后,应通过警告信号或提示信息等方式警告驾驶员
如果动力蓄电池存在无法立即进人或保持安全状态的场景,应设计降级功能(例如限制充放电功 率,禁止某些非安全运行相关功能的运行)使整车进人紧急运行模式
7.4防止动力蓄电池系统过流导致热失控 一般要求 7.4.1 电池管理系统应监测动力蓄电池系统电流,当动力蓄电池系统电流值高于安全阔值时,使动力蓄电 池系统在FTTI时间内进人安全状态
在蓄电池系统过流故障退出、消除条件未满足时,不应退出安全 状态
故障探测、响应、处理应在FTTI时间内完成
安全阂值应根据电池系统制造商过流测试结果给出,并考虑到电池单体温度的影响
7.4.2运行模式 电池管理系统应处于工作状态
7.4.3故障容错时间间隔 动力蓄电池系统过流故障容错时间间隔应根据电池系统制造商过流测试结果给出
注动力蓄电池系统过流故障容错时间间隔的确定方法参考附录c,示意图见图5
GB/T39086一2020 电流超过安全闭位 找渊测到过流 正常运行 安全状态 时间 诊断测试时间间隔 故障响应时间 故碎存错时间间 图5动力蓄电池系统过流故障容错时间间隔 7.4.4安全状态的进入和退出 当确认动力蓄电池系统电流值高于安全阔值时,电池管理系统应断开高压回路进人安全状态,在动 力蓄电池系统过流故障退出、消除条件未满足时,不应退出安全状态
注故障退出.消除条件由相关协商确定 7.4.5报警和降级概念 在电池管理系统探测到电池单体过流故障后,应通过警告信号或提示信息等方式警告驾驶员
如果动力蓄电池存在无法立即进人或保持安全状态的场景,应设计降级功能(例如限制充放电功 率、,禁止某些非安全相关功能的运行)使整车进人紧急运行模式
8 功能安全验证和确认 8.1总则 功能安全验证是确定功能安全要求的完整性和正确性,功能安全确认是确认安全目标得到充分实 现且在系统及整车层面能够减轻或避免危害事件的发生
功能安全验证应在电池管理系统层面对功能安全要求与设计进行验证,验证方法包括评审,走查、 检查、模型检查、模拟、工程分析、证明和测试,验证的目的是证明功能安全要求 a 与验证活动的结果的一致性与符合性; b)实现的正确性
本标准中主要给出基于测试的功能安全验证方法,测试可在模拟环境或真实环境下进行
功能安全确认需要在动力蓄电池系统或整车层面对功能安全目标的实现进行确认,确认方法包含 检查和测试,目的包括 证明安全目标在整车层面的实现是正确的、完整的并得到完全实现 a b)安全目标能够预防或减轻危害分析和风险评估中识别的危害事件及风险
本标准中主要给出基于测试的功能安全确认方法
8.2功能安全验证 8.2.1防止电池单体过充电导致热失控 8.2.1.1测试目的 电池管理系统应监测电池单体电压,当电池单体电压值超过安全囤值时,使动力蓄电池系统在
GB/39086一2020 FTTI时间内进人安全状态,在电池单体过充电故障退出、消除条件未满足时,不应退出安全状态
8.2.1.2测试对象 测试对象为电池管理系统
8.2.1.3测试要求 8.2.1.3.1模拟环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态 a b 测试应针对7.1.2规定的运行模式; 模拟电池单体电压信号进行测试 c 调节模拟的电池单体电压信号,电池单体电压应至少包含低于安全闯值、达到安全闯值及高于 d 安全阂值三个电压取值; 测试应对电池管理系统进人安全状态的过程例如,安全阔值、时间、状态切换)进行监控; e f 测试应对电池管理系统退出安全状态的条件进行监控
8.2.1.3.2真实环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; a b 测试应针对7.1.2规定的运行模式; 测试对象所在的电池系统应由电池系统制造商许可的充电倍率进行充电,直到高于安全闵值 c d 测试应对电池管理系统进人安全状态的过程(例如,安全阀值、时间、状态切换)进行监控 测试应对电池管理系统退出安全状态的条件进行监控
8.2.1.4测试结束条件 8.2.1.4.1当符合以下任一条件时,结束模拟环境下测试: 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态; aa b) 测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态; 测试对象在故障容错时间间隔内未进人安全状态
c 8.2.1.4.2当符合以下任一条件时,结束真实环境下测试
测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态; a b)测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态; 测试对象在故障容错时间间隔内未进人安全状态; c 测试对象所在电池系统发生漏液、泄气、起火或爆炸
d 8.2.1.5测试通过准则 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态
8.2.2防止电池单体过放电后再充电导致热失控 8.2.2.1 测试目的 电池管理系统应监测电池单体电压,当电池单体电压值低于安全闵值时,使动力蓄电池系统在 FTT时间内进人安全状态,在电池单体过放电故障退出、消除条件未满足时,不应退出安全状态
8.2.2.2 测试对象 测试对象为电池管理系统
GB/T39086一2020 8.2.2.3测试要求 8.2.2.3.1模拟环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; a b 测试应针对7.2.2规定的运行模式 模拟电池单体电压信号,进行测试; c d 调节模拟的电池单体电压信号,电池单体电压应至少包含低于安全阔值、达到安全阔值及高于 安全闵值三个电压取值; 测试应对电池管理系统进人安全状态的过程(例如,安全阔值,时间、状态切换)进行监控 e 测试应对电池管理系统退出安全状态的条件进行监控
f) 8.2.2.3.2真实环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; a b 测试应针对7.2.2规定的运行模式: 测试对象所在的电池系统应由电池系统制造商许可的放电倍率进行放电,直到低于安全值; c d 测试应对电池管理系统进人安全状态的过程例如,安全阔值、时间、状态切换)进行监控; 测试应对电池管理系统退出安全状态的条件进行监控
8.2.2.4测试结束条件 8.2.2.4.1当符合以下任一条件时,结束模拟环境下测试: aa 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态 b 测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态 测试对象在故障容错时间间隔内未进人安全状态 c 8.2.2.4.2当符合以下任一条件时,结束真实环境下测试 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态; a 测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态; b 测试对象在故障容错时间间隔内未进人安全状态 c 测试对象所在电池系统发生漏液、泄气、起火或爆炸
d) 8.2.2.5测试通过准则 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态
8.2.3防止电池单体过温导致热失控 8.2.3.1测试目的 电池管理系统应监测电池单体温度,当电池单体温度值高于安全园值时,使动力蓄电池系统在 FTTI时间内进人安全状态.在电池单体过温故障退出、消除条件未满足时,不应退出安全状态
8.2.3.2测试对象 测试对象为电池管理系统
8.2.3.3测试要求 8.2.3.3.1模拟环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态 a 测试应针对7.3.2规定的运行模式; b 10
GB/39086一2020 模拟电池单体温度信号,进行测试 c 8 模拟的电池单体温度信号,电池单体温度应至少包含低于安全闵值,达到安全值及高于安全 值3个温度取值; 测试应对电池管理系统进人安全状态的过程(例如,安全阀值,时间、状态切换)进行监控 e 测试应对电池管理系统退出安全状态的条件进行监控
f 8.2.3.3.2真实环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态 a 测试应针对7.3.2规定的运行模式: b 测试对象所在的电池系统应由电池系统制造商许可的充放电倍率进行充放电或者其他电池系 统制造商推荐的电池单体加热方法,直到电池单体温度高于安全阔值; 测试应对电池管理系统进人安全状态的过程(例如,安全值、时间、状态切换)进行监控 d 测试应对电池管理系统退出安全状态的条件进行监控
测试结束条件 8.2.3.4 当符合以下任一条件时,结束模拟环境下测试 8.2.3.4.1 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态 a b)测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态 测试对象在故障容错时间间隔内未进人安全状态
c 8.2.3.4.2当符合以下任一条件时,结束真实环境下测试: 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态 a b 测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态 测试对象在故障容错时间间隔内未进人安全状态 c d 测试对象所在电池系统发生漏液、泄气,起火或爆炸
8.2.3.5测试通过准则 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态
8.2.4防止动力蓄电池系统过流导致热失控 8.2.4.1测试目的 电池管理系统应监测蓄电池系统电流,当动力蓄电池系统电流值高于安全阀值时,使动力蓄电池系 统在F:TTI时间内进人安全状态
在蓄电池系统过流故障退出、消除条件未满足时,不应退出安全 状态
8.2.4.2测试对象 测试对象为电池管理系统
8.2.4.3测试要求 8.2.4.3.1模拟环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; a b 测试应针对7.4.2规定的运行模式 模拟动力蓄电池系统电流信号,进行测试; c d 测试需要考虑影响电流安全阔值的参数,例如温度等; 11
GB/T39086一2020 调节模拟的动力蓄电池系统电流信号,动力蓄电池系统电流应至少包含低于安全阀值,达到安 全阂值及高于安全阔值三个电流取值; fD 测试应对电池管理系统进人安全状态的过程例如,安全囤值、时间、状态切换)进行监控; 测试应对电池管理系统退出安全状态的条件进行监控
8 8.2.43.2真实环境下测试应满足如下要求 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态 a b 测试应针对7.4.2规定的运行模式;
测试对象所在的电池系统应由电池系统制造商许可的充放电倍率的变化速率逐步提高充放电 电流进行充放电,直到电流超过安全阀值; 测试需要考虑影响电流安全闵值的参数,例如温度等; d e 测试应对电池管理系统进人安全状态的过程(例如,安全闵值、时间、状态切换)进行监控; 测试应对电池管理系统退出安全状态的条件进行监控
8.2.4.4测试结束条件 8.2.4.4.1当符合以下任一条件时,结束模拟环境下测试: a 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态 b 测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态 c 测试对象在故障容错时间间隔内未进人安全状态
8.2.4.4.2当符合以下任一条件时,结束真实环境下测试: 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态 a b 测试对象在故障容错时间间隔内进人安全状态,意外退出安全状态; c 测试对象在故障容错时间间隔内未进人安全状态 d 测试对象所在电池系统发生漏液、泄气、起火或爆炸
8.2.4.5测试通过准则 测试对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态
8.3功能安全确认 8.3.1防止电池单体过充电导致热失控 8.3.1.1 目的 确认安全目标“防止电池单体过充电导致热失控”得到正确实现,并能够有效预防由于电池单体过 充电导致热失控的发生 8.3.1.2确认对象 确认对象为动力蓄电池系统 8.3.1.3确认要求 确认应满足如下要求 影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态; a) b)确认应在整车层面进行,至少包含真实的电池系统,基于车辆的实际工况或者模拟的车辆实际 工况 注1;车辆的实际工况至少包含危害分析和风险评估中最严苛工况 12
GB/39086一2020 确认应包含违背安全目标的典型失效模式 注2:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如非预期的充电
确认应对动力蓄电池系统进人安全状态的过程(例如,安全值、时间和状态切换)进行监控 d 确认应对动力蓄电池系统的状态进行监控 e 确认应对动力蓄电池系统退出安全状态的条件进行监控; fD 确认结束后,应在确认环境温度下观察1h g 8.3.1.4确认结束条件 当符合以下任一条件时,结束试验 确认对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态,并且电池未发生漏 a 液、泄气、起火或爆炸; b)确认对象在故障容错时间间隔内进人安全状态,意外退出安全状态 c 确认对象在故障容错时间间隔内未进人安全状态; d)确认对象发生漏液、泄气、起火或爆炸
8.3.1.5确认通过准则 确认对象在故障容错时间间隔内进人安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气、起火或爆炸
8.3.2防止电池单体过放电后再充电导致热失控 8.3.2.1目的 确认安全目标“防止电池单体过放电后再充电导致热失控”得到正确实现,并能够有效预防由于电 池单体过放电后再充电导致热失控的发生
8.3.2.2确认对象 确认对象为动力蓄电池系统
8.3.2.3确认要求 确认应满足如下要求: 影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态; a b 确认应在整车层面进行,至少包含真实的电池系统,车辆的实际工况或者模拟车辆使用的 工况; 注1;车辆的实际工况至少包含危害分析和风险评估中最严背工况
确认应包含违背安全目标的典型失效模式 注2:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如非预期的放电
确认应对动力蓄电池系统进人安全状态的过程(例如,安全闵值,时间和状态切换)进行监控 d 确认应对动力蓄电池系统的状态进行监控; e 确认应对动力蓄电池系统退出安全状态的条件进行监控; fD 确认结束后,应在确认环境温度下观察1h g 8.3.2.4确认结束条件 当符合以下任一条件时,结束确认 确认对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态,并且电池未发生漏 13
GB/T39086一2020 液、泄气、起火或爆炸; b)确认对象在故障容错时间间隔内进人安全状态,意外退出安全状态 确认对象在故障容错时间间隔内未进人安全状态; c d 确认对象发生漏液、泄气、起火或爆炸
8.3.2.5确认通过准则 确认对象在故障容错时间间隔内进人安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气、起火或爆炸
8.3.3防止电池单体过温导致热失控 8.3.3.1目的 确认安全目标“防止电池单体过温导致热失控”得到正确实现,并能够有效预防由于电池单体过温 导致热失控的发生 8.3.3.2确认对象 确认对象为动力蓄电池系统
8.3.3.3确认要求 确认应满足如下要求 a 影响测试对象功能并与确认结果相关的所有设备都应处于正常运行状态 b) 确认应在整车层面进行,至少包含真实的电池系统,车辆的实际工况或者模拟车辆使用的 工况 注1:车辆的实际工况至少包含危害分析和风险评估中最严苛工况
确认应包含违背安全目标的典型失效模式; 注2:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如高温下充电
确认应对动力蓄电池系统进人安全状态的过程(例如,安全闵值、时间和状态切换)进行监控 d 确认应对动力蓄电池系统的状态进行监控; e 确认应对动力蓄电池系统退出安全状态的条件进行监控; 确认结束后,应在确认环境温度下观察1h
g 8.3.3.4确认结束条件 当符合以下任一条件时,结束确认: 确认对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态,并且电池未发生漏 a 液、泄气、起火或爆炸; b确认对象在故障容错时间间隔内进人安全状态,意外退出安全状态; c 确认对象在故障容错时间间隔内未进人安全状态: 确认对象发生漏液、泄气、起火或爆炸
d) 8.3.3.5确认通过准则 确认对象在故障容错时间间隔内进人安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气,起火或爆炸
14
GB/39086一2020 8.3.4防止动力蓄电池系统过流导致热失控 8.3.4.1 目的 确认安全目标“防止蓄电池系统过流导致热失控”得到正确实现,并能够有效预防由于蓄电池系统 过流导致热失控的发生
8.3.4.2确认对象 确认对象为动力蓄电池系统
8.3.43确认要求 确认应满足如下要求: 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; b 确认应在整车层面进行,至少包含真实的电池系统,车辆的实际工况或者模拟车辆使用的 工况; 注1:车辆的实际工况至少包含危害分析和风险评估中最严苛工况
确认应包含违背安全目标的典型失效模式; 注2:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如超过预期电流充电
确认需要考虑影响电流安全闯值的参数,例如温度等; d 确认应对动力蓄电池系统进人安全状态的过程(例如,安全闵值、,时间和状态切换)进行监控 e 确认应对动力蓄电池系统的状态进行监控; 确认应对动力蓄电池系统退出安全状态的条件进行监控 g h)确认结束后,应在确认环境温度下观察1h
8.3.4.4确认结束条件 当符合以下任一条件时,结束确认 确认对象在故障容错时间间隔内进人安全状态,并无意外退出安全状态,并且电池未发生漏 a 液、泄气、起火或爆炸; b)确认对象在故障容错时间间隔内进人安全状态,意外退出安全状态 确认对象在故障容错时间间隔内未进人安全状态 c d)确认对象发生漏液、泄气、起火或爆炸
8.3.4.5确认通过准则 确认对象在故障容错时间间隔内进人安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气,起火或爆炸
15
GB/T39086一2020 附录 A 资料性附录 以电池管理系统为相关项的危害分析和风险评估(lHARA)示例 A.1相关项定义 A.1.1功能概念 A.1.1.1充电管理 该功能旨在通过电池管理系统的控制管理,使得动力蓄电池在充电过程中处于安全状态
电池管 理系统在动力蓄电池充电过程中对充电电压,充电电流,可检测到的电池温度等参数进行控制优化,确 保动力蓄电池在充电过程中的安全 A.1.1.2放电管理 该功能旨在通过电池管理系统的控制管理,使得动力蓄电池在放电过程中处于安全状态
电池管 理系统在动力蓄电池放电过程中对放电电压、放电电流、可检测到的电池温度等参数进行控制优化,确 保动力蓄电池在放电过程中的安全
A.1.2电池管理系统的边界和接口 按照GBT34590.3一2017中5.4.2的要求,定义电池管理系统相关项与其他相关项的边界和接口
示例:图A.1为BMS相关项的边界和接口参考示例
其他相关项如:动力蓄电池系统、整车低压蓄电池、整车动力 控制系统整车控制器、电机控制器等)、高压部件(服务开关等)、充电接口(对于具有可外接充电功能的电动汽车)
车辆边界 相关项边界 整车低压 整车动力控制系统 高压部件 充电接口 整车教制器、电机控制器等 蒂电池 低压供电 控制指令 电池系统状态信息采集 整制指会 充电交互 交互信息 电池管理系统BMS 电气附件要素 传感器要素 控制器要素 执行器要素 电池模块n 电池组系统 电池模块1 图A.1BMS相关项的边界和接口参考示例 16
GB/39086一2020 A.2相关项在整车层面上的危害识别 A.2.1识别电池管理系统的功能异常表现 按照GB/T34590.3一2017第6章的要求,应用危害与可操作性分析HAZOP)方法识别电池管理 系统的功能异常表现,参见表A.1
表A.1IHAZoP分析示例 引导词 在有需求时,提供错误的功能 非预期的功能输出卡滞在固定 功能 功能丧失 在无需求时, 值上(功能不能 错误的功能 错误的功能 错误的功能 提供功能)按照需求更新) 多于预期 少于预期 方向相反 充电电压充电电压管理充电过压(过充 卡滞在固定单体 充电电压不足N/A 非预期充电 管理 失效 电管理失效 电压 充电电流充电电流管理充电过流(过流 充电电流不足N/A 非预期充电 卡滞在固定电流 管理 失效 管理失效 充电温度充电温度管理充电过温(过温 卡滞在固定温 N/A N/A N/A 管理 失效 管理失效 度值 放电电 放电电压管理放电过放电(过 卡滞在固定单体 压 放电电压不足N/A 非预期放电 管理 失效 放电管理失效 电压 放 放电电流放电电流管理放电过流(过流 放电电流不足N/A 非预期放电 卡滞在固定电流 管理 失效 管理失效 放电温度放电温度管理放电过温(过温 卡滞在固定温 N/A N/A N/A 管理 失效 管理失效 度值 注:N/A表示此引导词不适用
A.2.2分析电池管理系统的功能异常表现导致的整车层面危害 按照GB/T34590.3一2017第6章的要求,根据A.2.1中电池管理系统的功能异常表现,分析可能 导致的整车层面危害(最严重的情况),参见表A.2
表A.2整车层面危害(最严重的情况 电池管理系统功能异常表现的影响 整车层面危害最严重的情况 充电时充电电压超出 简期造成电池过充电时无保护或保护不及时发热失控车辆冒橱、起火爆炸释故有害物 质 流超出预期,造成电池过流时无保护或保护不及时,引发热失控 车辆冒烟,起火,爆炸、释放有害物质 充电时电 充电时电池温度超出预期 造成电池过温时无保护或保护不及时引发热失控车辆冒烟、起火、爆炸释放有害物质 放电时放电电压超出预期,造成电池过放电时无保护或保护不及时 动力电池损坏报废,车辆动力丧失 放电时放电电压超出预期,造成电池过放电时无保护或保护不及时,电池过放 车辆冒烟,起火,爆炸、释放有害物质 电后再充电,引发热失控 电时放电电流超出预期,造成电池过流时无保护或保护不及时,引发热失控车辆冒烟,起火,爆炸、释放有害物质 放电时电池温度超出预期,造成电池过温时无保护或者保护不及时,引发热失控车辆冒烟,起火,爆炸、释放有害物质 17
GB/T39086一2020 A.3场景分析 根据第5章运行条件和环境约束要求,分析典型的车辆运行场景,参见表A.3
表A.3典型的车辆运行场景示例 场景编号 典型场景 正常行驶(高速行驶,城市路况,转弯等 车辆静止无人看管充电 车辆静止无人看管放电 车辆长期静置 碰撞(发生碰撞,碰撞之后 维修 A.4ASl等级的导出 以电池管理系统为相关项开展典型危害的危害分析和风险评估(HARA),并确定危害事件的 ASIL等级
分析过程参见表A.4
18
GB/T39086?2020 E r ? # * ? ? K R 5 ? E ? ? ? ? ? ? 19
GB/T39086一2020 E 花 米 H 一 要 E 丽 誉 册蜘 中 " 20
GB/39086一2020 A.5安全目标和安全状态 对于表A.4中具有AsIL.等级的危害事件确定安全目标和安全状态,参见表A.5
表A.5安全目标和安全状态 序号 安全目标 安全状态 FTT 电池单体过充电故障容错时间间隔应根据电池系统 防止电池单体过充电导致热失控 断开高压回路 制造商过充电测试结果给出 防止电池单体过放电后再充电导 电池单体过放电后再充电故障容错时间间隔应根据 断开充电回路 致热失控 电池系统制造商过放电后再充电的测试结果给出 电池单体过温故障容错时间间隔应根据电池系统制 防止电池单体过温导致热失控 断开高压回路 造商过温的测试结果给出 防止动力蓄电池系统过流导致热 动力蓄电池系统过流故障容错时间间隔应根据电池 断开高压回路 失控 系统制造商过流测试结果给出 注,FTI的确定方法参考附录c 21
GB/T39086一2020 附录 B 资料性附录) 以动力蓄电池系统为相关项的危害分析和风险评估(HARA)示例 B.1相关项定义 B.1.1功能概念 B.1.1.1提供放电 动力蓄电池系统向整车设备及外部设施提供能量
B.1.1.2提供充电 动力蓄电池系统从整车或整车外部吸收能量
B.1.2动力蓄电池系统的边界和接口 按照GB/T34590.32017中5.4.2的要求,定义动力蓄电池系统相关项与其他相关项的功能边界 及相互接口
示例:图B.1为动力蓄电池系统相关项的边界和接口示例,动力蓄电池系统为高压系统(>60V),包括电池、继电器 及电池管理系统等元素,并与外部充电装置与驱动装置进行交互
动力蓄电池系统接口包括了两个高压接口与唤醒信 号、整车通信、充电通信以及电源等低压接口 相关项,动力蓄电池系统 充电置 继电器 驱动装置 高压线束 控制及信号 电源 电池系统边界 电压 唤N 外部部件 电池管理系统 整车通信 电流 相关项部件 充电通信 温度 高压接口 低压接口 图B.1动力蓄电池系统相关项的边界和接口参考示例 B.2相关项在整车层面上的危害识别 B.2.1识别动力蓄电池系统的功能异常表现 按照GB/T34590.3一2017第6章的要求,应用危害与可操作性分析(HAZOP)方法识别动力蓄电 池系统的功能异常表现,参见表B.1
22
GB/39086一2020 表B.1HAzoP分析示例 引导词 非预期的 在有需求时,提供错误的功能 输出卡滞在固定 功能 功能 功能(在无 值上(功能不能 错误的功能 错误的功能 误的功能 丧失 需求时,提 按照需求更新 多于预期 少于预期 方向相反 供功能 放电电流卡滞在 提供放电放电放电量大于预期; 放电量小于预期; 非预期较高值: 温度、电功能电池放电时温度大于预期;电池放电时温度小于预期 N/A 放电电流卡滞在 放电 压、电流丧失放电电流大于预期 放电电流小于预期 较低值 充电量小于预期; 充电电流卡滞在 提供充电充电充电量大于预期 电池充电时温度小于预期 非预期 较高值 N/A 温度、电功能电池充电时温度大于预期; 充电电流小于预期 充电 充电电流卡滞在 压,电流丧失充电电流大于预期 电池电压小于预期时充电 较低值 注:N/A表示此引导词不适用
B.2.2分析动力蓄电池系统的功能异常表现导致的整车层面危害 按照GB/T34590.32017第6章的要求,根据B.2.1中动力蓄电池系统的功能异常表现,分析可 能导致的整车层面危害(最严重的情况),参见表B.2. 表B.2整车层面危害(最严重的情况) 动力蓄电池系统功能异常表现的影明 整车层面的危害(最严重的情况 放电量大于预期,造成动力蓄电池系统过放电并损坏 动力电池损坏报废,车辆丧失动力 电池放电时温度大于预期,造成动力蓄电池系统过温,引发热失控 车辆冒烟,起火、爆炸、释放有害物质 控 烟、起火、爆炸 释放有害物质 放电电流大于预期,造成动力蓄电池系统过 ,引发热失 车辆冒 充电量大于预期,造成动力蓄电池系统过充电,引发热失控 车辆冒烟,起火、爆炸、释放有害物质 电池充电时温度大于预期,造成动力蓄电池系统过温,引发热失控 车辆冒烟,起火、爆炸、释放有害物质 充电电流大于预期,造成动力蓄电池系统过流,引发热失控 车辆冒烟,起火、爆炸、释放有害物质 电池电小T时充电发热失粉 车辆冒烟,起火、爆炸、释放有害物质 B.3 场景分析 根据第5章运行条件和环境约束要求,分析典型的车辆运行场景,参见表B.3
表B.3典型的车辆运行场景示例 场景编号 典型场景 正常行(高速行驶,城市路况,转弯等 车辆静止无人看管充电 车辆静止无人看管放电 车辆长期静置 碰撞(发生碰撞,碰撞之后 维修 23
GB/T39086一2020 日 s 了 怔 r 奶 餐 意 要 致 m 司 足 母 定 米 幸 米 蚓 聪 容 州 说 5 敬 e 烟 把 刘 × 芒 进 出 姿 的 迫 需 24
GB/39086一2020 管 营 管 进 册 " " E 怅 嘉 数 鸣 的 [ 3 些 生 要 盗 纠 容 H R R 说 迎 闷 迎 衫 芒 × 出 进 出 十 K 泽 赵 黑 中 黑 25
GB/T39086一2020 B.5安全目标及安全状态 对于表B.4中具有ASIL等级的危害事件确定安全目标和安全状态,参见表B.5 表B.5安全目标及安全状态 序号 安全目标 安全状态 FT 电池单体过充电故障容错时间间隔应根据电池系统 防止电池单体过充电导致热失控 断开高压回路 制造商过充电测试结果给出 防止电池单体过放电后再充电导 电池单体过放电后再充电故障容错时间间隔应根据 断开充电回路 致热失控 电池系统制造商过放电后再充电的测试结果给出 电池单体过温故障容错时间间隔应根据电池系统制 防止电池单体过温导致热失控 断开高压回路 造商过温的测试结果给出 防止动力蓄电池系统过流导致热 动力蓄电池系统过流故障容错时间间隔应根据电池 断开高压回路 失控 系统制造商过流测试结果给出 注FTI的确定方法参见附录c. 26
GB/39086一2020 录 附 C 资料性附录 故障容错时间间隔()确定方法示例 C.1定义故障容错时间间隔的一般说明 对于动力蓄电池系统,故障容错时间间隔(以下简称FTTI)为从故障发生到动力蓄电池系统可能 发生危害事件的最短时间间隔,如图C.1所示
例如,电池单体从过充电故障发生到电池单体发生热失 控的最短时间间隔
探测到动力荞 动力蓄电池系统故障 电池系统故障 可能的危害 正常运行 安全状态 时间 诊断测试时间间隔 故障响应时间 故障容错时间间隔 图c.1故障容错时间间隔 如图C.1所示,在定义蓄电池系统的FTTI时,需要明确以下几点 FTTI需要在动力蓄电池系统层面来定义; a FTT与故障判定囤值紧密相关,应综合考虑FTTI与故障判定值之间的关系; b 故障指违背安全囤值,例如,过充电故障发生意味着过充电安全囤值被违背 c d 可能的危害是不能接受的动力蓄电池系统危害,危害是明确的且可识别的,可由整车厂和制 造商协商确定,如泄气、漏液等; 从故障发生到产生危害的时间之内,蓄电池系统应以最严苛情况或整车厂和制造商确认的工 况运行
C.2定义过充电故障FII的示例 C.2.1 总则 本附录给出电池单体过充电故障FTTI的确定方法及过程示例,示意图如图C.2所示
27
电动汽车用电池管理系统功能安全要求及试验方法GB/T39086-2020
随着全球对环境保护意识的日益增强,电动汽车已经成为了未来交通发展的趋势,并且在近年来得到了快速发展。电池作为电动汽车的关键部件之一,其管理系统的设计和实现也变得至关重要。 GB/T39086-2020《电动汽车用电池管理系统功能安全要求及试验方法》是我国针对电动汽车用电池管理系统所制定的标准,旨在规范电池管理系统的设计和实现,确保其在使用过程中的安全性、可靠性和稳定性。 该标准主要包括以下要求: 一、系统架构:电池管理系统应包括能量储存单元、电气子系统、通信子系统和控制子系统等四个模块,并且需要满足各模块之间的功能安全要求。 二、安全要求:电池管理系统应能够实现故障检测、隔离和限制,以保证其在故障状态下的安全性。同时,还需要具备过压、欠压、过流等多种保护措施,确保系统在正常工作范围内。 三、试验方法:针对电池管理系统的功能安全性能,应该进行严格的试验验证,包括环境适应性、电气安全性、机械安全性、防护等多个方面。 通过遵循GB/T39086-2020标准中所规定的要求和试验方法,可以有效地提高电动汽车用电池管理系统的安全性、可靠性和稳定性,并且能够为电动汽车行业的发展提供更加坚实的技术保障。
