李 波，付 越，周 榮

?

電動(dòng)汽車電池管理系統(tǒng)(BMS)功能安全標(biāo)準(zhǔn)研究

李 波，付 越，周 榮

(中國(guó)汽車技術(shù)研究中心有限公司，天津 300300)

電動(dòng)汽車三大核心之一是電池，而電池的核心在于電池管理系統(tǒng)(BMS)。BMS作為電池大腦，時(shí)刻對(duì)電池充電、放電狀態(tài)進(jìn)行管理，其功能安全技術(shù)水平?jīng)Q定了電池的安全性能，并直接影響整車安全。國(guó)家標(biāo)準(zhǔn)GB/T《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》將從電池管理系統(tǒng)(BMS)的正向設(shè)計(jì)、開發(fā)、驗(yàn)證、確認(rèn)的源頭規(guī)避安全風(fēng)險(xiǎn)，進(jìn)而規(guī)范BMS行業(yè)技術(shù)發(fā)展，提升電動(dòng)汽車整車安全水平。基于國(guó)家標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛功能安全》中給出的電控系統(tǒng)功能安全技術(shù)分析方法，結(jié)合典型的電動(dòng)汽車用電池管理系統(tǒng)(BMS)架構(gòu)，為國(guó)家標(biāo)準(zhǔn)GB/T《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》的制定以及規(guī)范和提升電池管理系統(tǒng)行業(yè)技術(shù)水平，促進(jìn)電動(dòng)汽車整車安全提供了參考借鑒。

電池管理系統(tǒng)；功能安全；標(biāo)準(zhǔn)；危害分析與風(fēng)險(xiǎn)評(píng)估；安全目標(biāo)；ASIL等級(jí)

0 引言

近年來，我國(guó)電動(dòng)汽車產(chǎn)業(yè)發(fā)展迅猛，市場(chǎng)份額位居世界前列。在市場(chǎng)形成規(guī)模的形勢(shì)下，各項(xiàng)技術(shù)發(fā)展迅速。動(dòng)力電池能量密度迅速提高，接近世界先進(jìn)水平；電機(jī)功率密度等指標(biāo)大幅提高，電動(dòng)空調(diào)、電動(dòng)助力轉(zhuǎn)向已形成規(guī)模市場(chǎng)，成本明顯下降；整車?yán)m(xù)駛里程顯著提高；充電基礎(chǔ)設(shè)施發(fā)展迅速，商業(yè)模式不斷創(chuàng)新。但是，伴隨而來的安全事故頻發(fā)、車企召回，安全問題已凸顯，并受到行業(yè)、消費(fèi)者、政府部門的高度關(guān)注，安全性已成為制約我國(guó)電動(dòng)汽車發(fā)展的短板。

電動(dòng)汽車三大核心之一是電池，而電池的核心在于電池管理系統(tǒng)(BMS)。電池管理系統(tǒng)作為實(shí)時(shí)監(jiān)控、自動(dòng)均衡、智能充放電的電子部件，也是動(dòng)力和儲(chǔ)能電池組中不可或缺的重要部件，起到保障充/放電安全、延長(zhǎng)壽命、估算剩余電量等重要功能，它通過一系列的管理和控制，從而保障電動(dòng)汽車的正常運(yùn)行，因此，沒有電池管理的電池包就是一枚炸彈。

電動(dòng)汽車用鋰離子電池單體、電池包或系統(tǒng)存在的風(fēng)險(xiǎn)包括其作為大質(zhì)量車載能源對(duì)整車結(jié)構(gòu)、乘員及第三方造成的機(jī)械危害、泄漏(如擠壓、短路，可能導(dǎo)致高壓安全、絕緣失效間接造成電擊、起火等危險(xiǎn))、起火(如短路，直接燒傷人體)、爆炸(如擠壓、短路，直接危害人體)、電擊(由于電流流過人體而引起的傷害)。

為了確保安全，相關(guān)國(guó)際和國(guó)內(nèi)的標(biāo)準(zhǔn)法規(guī)正在加快制定中，例如，國(guó)際上近期發(fā)布的由中國(guó)作為副主席國(guó)牽頭起草制定的全球技術(shù)法規(guī)GTR 20(電動(dòng)汽車安全EVS)、我國(guó)正在開展制定的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)GB《電動(dòng)汽車用鋰離子動(dòng)力蓄電池安全要求》提出了電動(dòng)汽車整車、車用鋰離子電池單體、電池包或系統(tǒng)最基本的安全要求以提供對(duì)人身的安全保護(hù)。標(biāo)準(zhǔn)中提到，基于行業(yè)共識(shí)，車企在確定電動(dòng)汽車用鋰離子電池單體、電池包或系統(tǒng)采用何種設(shè)計(jì)方案時(shí)，首先，如有可能，優(yōu)先選擇安全性高的材料，盡量避免使用容易出現(xiàn)絕緣失效、熱失控或燃燒起火的材料；同時(shí)，如果無法實(shí)行以上原則，那么需制定保護(hù)措施，減少或消除危險(xiǎn)發(fā)生的可能性。

因此，除了需要解決電池單體、電池包在設(shè)計(jì)過程中的結(jié)構(gòu)工藝安全、化學(xué)安全、機(jī)械安全外，電池管理系統(tǒng)(BMS)，作為電池大腦，時(shí)刻對(duì)電池充電、放電狀態(tài)進(jìn)行管理，其決定了電池性能，并影響整車系統(tǒng)，其安全可靠的設(shè)計(jì)、運(yùn)行是避免事故隱患發(fā)生的關(guān)鍵因素。

鋰離子電池管理系統(tǒng)(BMS)發(fā)生故障、功能失效將會(huì)引起電池發(fā)生過充、過放、過流、過溫的風(fēng)險(xiǎn)，進(jìn)而使電池內(nèi)部出現(xiàn)放熱連鎖反應(yīng)，引起電池溫升速率急劇變化的過熱現(xiàn)象，即熱失控，導(dǎo)致電動(dòng)汽車的自燃或爆炸，對(duì)車內(nèi)外人員造成傷害，屬于電控系統(tǒng)功能安全領(lǐng)域范疇，應(yīng)遵循GB/T 34590《道路車輛功能安全》給出的方法，制定相應(yīng)的安全措施以避免危害的發(fā)生。

在國(guó)內(nèi)，BMS廠商眾多，呈現(xiàn)出激烈的競(jìng)爭(zhēng)態(tài)勢(shì)。在技術(shù)層面上，由于生產(chǎn)企業(yè)流程開發(fā)體系、技術(shù)積累經(jīng)驗(yàn)不同，存在嚴(yán)重的兩極分化和良莠不齊，在當(dāng)前電池系統(tǒng)安全隱患越來越突出的情況下，對(duì)于電動(dòng)汽車整車安全已構(gòu)成嚴(yán)重威脅。

為提升我國(guó)電池管理系統(tǒng)產(chǎn)業(yè)的安全技術(shù)水平，增強(qiáng)新能源汽車產(chǎn)品的核心競(jìng)爭(zhēng)力和安全性能，遵循升級(jí)一批、規(guī)范一批、淘汰一批的原則，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2017年下達(dá)了國(guó)家標(biāo)準(zhǔn)GB/T《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》的制定計(jì)劃，旨在從電池管理系統(tǒng)(BMS)的正向設(shè)計(jì)、開發(fā)、驗(yàn)證、確認(rèn)的源頭規(guī)避安全風(fēng)險(xiǎn)，提升整車安全水平。

1 電池管理系統(tǒng)(BMS)的功能

按照國(guó)家標(biāo)準(zhǔn)GB/T 34590《道路車輛 功能安全》給出的方法論，從整車層面出發(fā)，電池管理系統(tǒng)指的是實(shí)現(xiàn)車輛層面功能的系統(tǒng)，這里重點(diǎn)強(qiáng)調(diào)的是功能，即該功能可以由電池管理系統(tǒng)BMS實(shí)現(xiàn)，也可以由整車控制系統(tǒng)實(shí)現(xiàn)。GB/T《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》將給出兩種方法描述電池管理系統(tǒng)的功能。舉例來說，電池管理系統(tǒng)實(shí)現(xiàn)整車層面的功能包括充電管理和放電管理。

充電管理指的是該功能旨在通過BMS的控制管理，使得動(dòng)力電池在充電過程中處于安全狀態(tài)。BMS在電池充電過程中對(duì)充電電壓、充電電流、可檢測(cè)到的電池溫度等進(jìn)行控制優(yōu)化，確保電池在放電過程中的安全。充電管理包括正常充電管理和能量回收管理。

放電管理指的是該功能旨在通過BMS的控制管理，使得動(dòng)力電池在放電過程中處于安全狀態(tài)。BMS在電池放電過程中對(duì)電池的放電電壓、放電電流、可檢測(cè)到的電池溫度等參數(shù)進(jìn)行控制優(yōu)化，確保電池在放電過程中的安全。

基于典型的電動(dòng)汽車用電池管理系統(tǒng)(BMS)架構(gòu)，利用HAZOP分析方法以及國(guó)家標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛功能安全》給出的方法論，開展電池管理系統(tǒng)危害分析與風(fēng)險(xiǎn)評(píng)估，提出電池管理系統(tǒng)的功能安全目標(biāo)和功能安全要求。

2 電池管理系統(tǒng)的危害分析與風(fēng)險(xiǎn)評(píng)估

2.1 電池管理系統(tǒng)典型架構(gòu)

鋰離子動(dòng)力蓄電池由于其能量密度和功率密度高的優(yōu)點(diǎn)成為電動(dòng)汽車主流，但隨之而來的是顯著的安全問題。由上節(jié)的功能定義，鋰離子動(dòng)力蓄電池在使用的過程中可能會(huì)產(chǎn)生起火、爆炸、冒煙、高壓觸電等危害，對(duì)于導(dǎo)致這些危害的原因有很多，主要有電芯過充、過流、過溫等引發(fā)鋰枝晶或者產(chǎn)生大量熱，使得SEI膜刺破或者分解，進(jìn)而發(fā)生一系列負(fù)反應(yīng)，即電芯內(nèi)短路。其他電芯本身的設(shè)計(jì)也會(huì)是影響鋰離子動(dòng)力蓄電池系統(tǒng)安全的重要因素，如雜質(zhì)的影響。

這些失效主要分為電化學(xué)、機(jī)械結(jié)構(gòu)、電力電子、制造工藝類等，都是電動(dòng)汽車動(dòng)力蓄電池系統(tǒng)的開發(fā)設(shè)計(jì)過程中應(yīng)認(rèn)真考慮的，并在整個(gè)開發(fā)流程中，根據(jù)相應(yīng)安全分析制定相應(yīng)的安全要求，落實(shí)安全要求，最終在零部件級(jí)、系統(tǒng)級(jí)和整車級(jí)測(cè)試驗(yàn)證這些安全要求的正確實(shí)現(xiàn)。

除了動(dòng)力蓄電池系統(tǒng)本身的機(jī)械結(jié)構(gòu)設(shè)計(jì)、電化學(xué)性能、制造質(zhì)量，電池管理系統(tǒng)(BMS)可以通過合理的控制策略，避免動(dòng)力蓄電池系統(tǒng)產(chǎn)生過壓、過放后再充電、過流以及過溫。假設(shè)不考慮動(dòng)力蓄電池系統(tǒng)本身在防止過充、過溫、過流失效上面的機(jī)械結(jié)構(gòu)類措施，重點(diǎn)討論電池管理系統(tǒng)的功能安全設(shè)計(jì)，即關(guān)注電子電氣類故障導(dǎo)致的動(dòng)力蓄電池在整車系統(tǒng)中產(chǎn)生的危害。

在進(jìn)行安全分析的初期，需要定義相關(guān)項(xiàng)與其他相關(guān)項(xiàng)的功能邊界及相互接口。在現(xiàn)有的電動(dòng)汽車和混動(dòng)汽車中，各企業(yè)有不同的高壓架構(gòu)和控制架構(gòu)，導(dǎo)致電池管理系統(tǒng)功能具有多樣性以及功能實(shí)現(xiàn)方式有很多途徑。

圖1為BMS相關(guān)項(xiàng)的邊界和接口參考示例。其他相關(guān)項(xiàng)如：可充電儲(chǔ)能系統(tǒng)(REESS)、整車低壓蓄電池、整車動(dòng)力控制系統(tǒng)(整車控制器、電機(jī)控制器等)、高壓部件(服務(wù)開關(guān)等)、充電接口(對(duì)于具有可外接充電功能的電動(dòng)汽車)。

圖1 典型電池管理系統(tǒng)BMS的邊界和接口

2.2 電池管理系統(tǒng)危害識(shí)別

常用的安全分析方法主要分為三大類：

1) 推論型，如故障樹分析FTA，開始于已知的影響，推導(dǎo)可能的原因。

2) 誘導(dǎo)型，如失效模式與影響分析FMEA，故障注入分析等，開始于已知的原因，分析可能的影響。

3) 探索型，例如HAZOP分析。它是一種利用引導(dǎo)詞進(jìn)行失效原因以及風(fēng)險(xiǎn)影響的分析。

這些分析方法都是分析失效原因和影響的有效手段，幫助我們進(jìn)行系統(tǒng)化、條理化的研究，避免遺漏、重復(fù)。本文將電池管理系統(tǒng)的本質(zhì)功能進(jìn)行抽象，即分為充電管理和放電管理，并以動(dòng)力蓄電池的充電管理為例進(jìn)行HAZOP分析，HAZOP的引導(dǎo)詞主要分為四類，即功能喪失、在有需求時(shí)，提供錯(cuò)誤的功能、非預(yù)期的功能以及功能卡滯。

表1為應(yīng)用HAZOP方法識(shí)別出充電管理、放電管理功能的異常表現(xiàn)。

表1 充電管理、放電管理功能的HAZOP分析-識(shí)別功能的異常表現(xiàn)

表2 功能異常表現(xiàn)導(dǎo)致的整車層面的危害

2.3 電池管理系統(tǒng)危害分析和風(fēng)險(xiǎn)評(píng)估

危害是針對(duì)整車層面來說的，危害需要結(jié)合特定的場(chǎng)景才能形成危害事件。電動(dòng)汽車車輛典型的使用場(chǎng)景有正常行駛(高速行駛，城市路況，轉(zhuǎn)彎)、車輛靜止無人看管充電、車輛靜止無人看管放電、車輛長(zhǎng)期靜置、碰撞(發(fā)生碰撞，碰撞之后)、維修。在不同場(chǎng)景下進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，例如，車輛在行駛過程、慢充和快充甚至發(fā)生碰撞后，都有可能由于控制系統(tǒng)失效導(dǎo)致電池系統(tǒng)過充、過溫、過流，造成電池包產(chǎn)生熱失控或者熱擴(kuò)散，引發(fā)起火的危害。但在不同場(chǎng)景下，危害發(fā)生的嚴(yán)重度S、駕駛員對(duì)于危害的可控性C以及場(chǎng)景的暴露概率E都是不同的，需要逐條分析討論。

這里以非預(yù)期的釋放熱能導(dǎo)致燃燒或明火為例，進(jìn)行電池管理系統(tǒng)的危害分析與風(fēng)險(xiǎn)評(píng)估，需要指出的是該示例僅作為參考，具體安全要求應(yīng)根據(jù)企業(yè)在開發(fā)過程中的實(shí)際情況而定。

如果電動(dòng)汽車發(fā)生起火的危害，會(huì)危及駕駛員以及乘員的生命，因此，嚴(yán)重度定義為S3。對(duì)于暴露概率E，不是指發(fā)生功能失效的概率，而是對(duì)于危害事件，每個(gè)運(yùn)行場(chǎng)景在駕駛過程中出現(xiàn)的暴露概率。車輛正常行駛在高速路況或者城市路況以及進(jìn)行車輛充電(包括慢充和快充)，對(duì)于一般的駕駛員來說，是幾乎每次駕駛都會(huì)發(fā)生的，所以將正常行駛和車輛充電的暴露概率定義為E4。對(duì)于碰撞和維修場(chǎng)景，可保守定義為E2。暴露概率的評(píng)定，不同國(guó)家和不同的駕駛員習(xí)慣有很大的不同，需要按照實(shí)際情況進(jìn)行分析與判斷。

車輛在高速公路上正常行駛的場(chǎng)景在生活中很常見，如果在該場(chǎng)景中電池系統(tǒng)起火對(duì)于駕駛員以及乘客有致命的威脅，但是駕駛員或者乘客聞到燃燒的氣味或者看到冒煙，及時(shí)將車輛停靠旁邊，離開車輛，是可以避免人身傷害的，所以在該場(chǎng)景中駕駛者對(duì)于此危害有一定的可控性。嚴(yán)重度、暴露度和可控性的判斷如表3所示。

表3 電池管理系統(tǒng)危害分析與風(fēng)險(xiǎn)評(píng)估示例

對(duì)于純電動(dòng)汽車晚上在住所或者住所附近進(jìn)行無人看管的充電是經(jīng)常會(huì)發(fā)生的情形，此時(shí)如果在 住所或者附近充電導(dǎo)致起火，人員在熟睡的過程中，可能無法對(duì)該危害進(jìn)行回避，即評(píng)判為ASIL D，但是考慮到中國(guó)國(guó)情，車庫(kù)與住所連在一起的住房情況并不多見，城市中大多位于地下車庫(kù)或者路面停車位，即整車級(jí)危害起火最高等級(jí)可定義為ASIL C。

2.4 電池管理系統(tǒng)安全目標(biāo)

根據(jù)上述電池管理系統(tǒng)危害分析與風(fēng)險(xiǎn)評(píng)估，電池管理系統(tǒng)應(yīng)該在車輛正常行駛、充電時(shí)、發(fā)生車輛碰撞和維修時(shí)都應(yīng)該對(duì)電池系統(tǒng)進(jìn)行合理的充電管理，以避免出現(xiàn)電池過充、過流和過溫，導(dǎo)致起火的危害。根據(jù)不同場(chǎng)景，歸納電池管理系統(tǒng)的安全目標(biāo)如下，其中ASIL等級(jí)取分析的危害事件中最高的ASIL等級(jí)，表4給出了電池管理系統(tǒng)安全目標(biāo)的示例。

表4 電池管理系統(tǒng)安全目標(biāo)示例

Table 4 Security objectives example of BMS

3 電池管理系統(tǒng)功能安全要求

根據(jù)上節(jié)中電池管理系統(tǒng)安全目標(biāo)得出BMS功能安全要求，并且將這些安全要求分配給BMS初始架構(gòu)中不同要素。

3.1 電池管理系統(tǒng)安全要求

對(duì)于電池管理系統(tǒng)來說，為了避免電池系統(tǒng)過充、過放后再充電、過流、過溫，對(duì)動(dòng)力蓄電池進(jìn)行合理的充放電管理是主要的安全要求，針對(duì)電池系統(tǒng)安全目標(biāo)，不考慮控制系統(tǒng)以外的獨(dú)立的保護(hù)措施。

根據(jù)電池管理系統(tǒng)架構(gòu)，提出電池管理系統(tǒng)功能安全要求。對(duì)于電池管理系統(tǒng)的功能安全要求考慮如下幾個(gè)要素：故障探測(cè)或者失效減輕；故障或者失效的仲裁邏輯；系統(tǒng)的安全狀態(tài)；系統(tǒng)故障容錯(cuò)時(shí)間。表5給出了電池管理系統(tǒng)安全要求的示例。

表5 電池管理系統(tǒng)功能安全要求示例

4 總結(jié)與展望

電動(dòng)汽車保有量快速增長(zhǎng)所帶來的電動(dòng)汽車安全事故受到了國(guó)內(nèi)外廣泛關(guān)注，為確保安全，國(guó)際和國(guó)內(nèi)分別從標(biāo)準(zhǔn)和法規(guī)角度針對(duì)車輛電控系統(tǒng)提出了功能安全要求。本文基于典型的電動(dòng)汽車用電池管理系統(tǒng)(BMS)架構(gòu)，利用HAZOP分析方法以及國(guó)家標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛 功能安全》給出的方法論，開展電池管理系統(tǒng)危害分析與風(fēng)險(xiǎn)評(píng)估，提出了電池管理系統(tǒng)的功能安全目標(biāo)和功能安全要求，為國(guó)家標(biāo)準(zhǔn)GB/T《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》的制定以及規(guī)范和提升電池管理系統(tǒng)行業(yè)技術(shù)水平，促進(jìn)電動(dòng)汽車整車安全提供了參考借鑒。

[1] GB/T 34590-2017《道路車輛功能安全》[S].

Research on functional safety standard for battery management system (BMS) of electric vehicles

LI Bo, FU Yue, ZHOU Rong

(China Automotive Technology and Research Center Co., Ltd, Tianjin 300300, China)

The battery is one of three most important components in electric vehicle, and the core of the battery is the Battery Management System (BMS). As the brain of battery, BMS manages the charging and discharge state of the battery all the time. Its functional safety technology determines the safety performance of the battery, and affects the safety of the vehicle. The national standard of GB/T "Functional safety requirements and testing methodsfor battery management system of electric vehicles" aims to avoid the safety risks from the design, development, verification and validation of BMS, standardize the development of BMS industry technology, and improve the safety level of electric vehicles. This paper is based on the analysis method of functional safety given in the national standard GB/T 34590-2017 "Road Vehicles-Functional Safety" and combined with the typical BMS architecture of electric vehicles. It provides reference for developing the national standard GB/T "Functional safety requirements and testing methodsfor battery management system of electric vehicles", as well as standardizing and improving the technology of BMS industry, and promoting the safety of electric vehicles.

battery management system (BMS); functional safety; hazard analysis and risk assessment; safety goal; ASIL

2018-11-21

李 波，男，博士，高級(jí)工程師，研究方向?yàn)槠囯娮訕?biāo)準(zhǔn)化；

付 越，男，碩士，工程師，研究方向?yàn)槠囯娮訕?biāo)準(zhǔn)化；

周 榮，男，碩士，教授級(jí)高級(jí)工程師，研究方向?yàn)殡妱?dòng)汽車標(biāo)準(zhǔn)化。