ChinaAutoRegs|GB/T 39086-2020 英文版/English/翻译/电动汽车用电池管理系统功能安全要求及试验方法
Functional safety requirements and testing methods for battery management system of electric vehicles
CONTENTS
Foreword
1 Scope
2 Normative References
3 Terms and Definitions
4 General Requirements
5 Item Definition
6 Hazard Analysis and Risk Assessment (HARA)
7 Functional Safety Requirements
8 Verification and Validation of Functional Safety
Annex A (Informative) Example of Hazard Analysis and Risk Assessment (HARA) by Taking the Battery Management System as the Item
Annex B (Informative) Example of Hazard Analysis and Risk Assessment (HARA) by Taking the Power Battery System as the Item
Annex C (Informative) Example of Procedure for Determining the Fault Tolerant Time Interval (FTTI)
1 范围
本标准规定了电动汽车用动力蓄电池管理系统(以下简称“电池管理系统”)的功能安全要求及试验 方法。
本标准适用于电动乘用车用锂离子动力蓄电池管理系统,其 他类型动力蓄电池的管理系统及其他 类型车辆的动力蓄电池管理系统可参照执行。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅 注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB18384—2020 电动汽车安全要求 GB/T19596—2017 电动汽车术语 GB/T34590—2017(所有部分) 道路车辆 功能安全 GB38031—2020 电动汽车用动力蓄电池安全要求 GB/T38661—2020 电动汽车用电池管理系统技术条件
3 术语和定义
GB/T19596—2017和 GB/T34590.1—2017界定的 以及下列术语和定义适用于本文件。 为便于 使用,以下重复列出了 GB/T19596—2017中的一些术语和定义。
3.1
蓄电池管理系统 batterymanagementsystem;BMS
监视蓄电池的状态(温度、电压、荷电状态等),可以为蓄电池提供通信、安全、电芯均衡及管理控制, 并提供与应用设备通信接口的系统。
[GB/T19596—2017,定义3.3.2.1.10]
3.2
电池单体 secondarycell
将化学能与电能进行相互转换的基本单元装置,通 常包括电极、隔 膜、电 解质、外 壳和端子,并 被设
计成可充电。
[GB38031—2020,定义3.1]
3.3
高压系统 highvoltagepowersystem
电动汽车内部 B级电压以上与动力电池直流母线相连或由动力电池电源驱动的高压驱动零部件
系统,主要包括但不限于:动力电池系统和/或高压 配电系统(高 压继电器、熔 断器、电 阻器、主 开关等), 电机及其控制系统、DC/DC 变换器和车载充电机等。
[GB/T19596—2017,定义3.1.2.1.11]
3.4
动力蓄电池系统 powerbatterysystem
一个或一个以上蓄电池包及相应附件(蓄电池管理系统、高压电路、低压电路、热管理设备以及机械
总成)构成的为电动汽车整车的行驶提供电能的能量存储装置。 [GB/T19596—2017,定义3.1.2.1.9]
3.5
故障容错时间间隔 faulttoleranttimeinterval;FTTI
在安全机制未被激活情况下,从相关项内部故障发生到可能发生危害事件的最短时间间隔。
注 1:安 全相关的时间间隔参见图 1。 注 2:评 估所有危害事件的最短时间间隔 ,其 取决于危害的特征。 注 3:FTTI与 相关项的功能异常表现而引起的危害有关 。FTTI是 安全目标的属性。
注 4:在 容错时间间隔内 ,如 果相关项保持在安全状态或过渡到安全状态或过渡到紧急运行 ,则 表明安全 机 制 及 时 对故障进行了处理。
注 5:危 害事件的发生取决于存在的故障并且车辆处于故障可影响车辆行为的场景中。 示例 :制 动系统失效可能不会导致危害事件 ,直 到实施制动。
注 6:当 仅在相关项层面定义 FTTI时 ,可 在要素层面规定最长故障处理时间间隔和故障处理后达到 的 状 态 ,以 支 持功能安全概念。
注7:故 障探测时间间隔可包括多个诊断测试时间间隔 ,以 允许在诊断测试时间间隔足够小于故障探测时间间隔的 情况下消除错误。
图 1 安全相关时间间隔
3.6
热失控 thermalrunaway 电池单体放热连锁反应引起电池温度不可控上升的现象。 [GB38031—2020,定义3.14]
3.7
热扩散 thermalpropagation 电池包或系统内由一个电池单体热失控引发的其余电池单体接连发生热失控的现象。 [GB38031—2020,定义3.15]
3.8
爆炸 explosion 突然释放足量的能量产生压力波或者喷射物,可能会对周边区域造成结构或物理上的破坏。 [GB38031—2020,定义3.10]
3.9
漏液 leakage 蓄电池内部电解液泄漏到电池壳体外部。 [GB/T19596—2017,定义3.3.3.13.7]
3.10
泄气 venting
单体电池或电池组中内部压力增加时,气体通过预先设计好的方式释放出来。
[GB/T19596—2017,定义3.3.3.13.8]
3.11
过充电 overcharge 当电芯或电池完全充电后继续进行充电。 [GB/T19596—2017,定义3.3.3.2.4]
3.12
过放电 overdischarge 当电芯或电池完全放电后继续进行放电。 [GB/T19596—2017,定义3.3.3.1.8]
3.13
起火 fire 电池单体、模块、电池包或系统任何部位发生持续燃烧(火焰持续时间大于1s)。 注 1:火 焰持续时间大于 1s指单次火焰持续时间 ,而 非多次火焰的累计时间。 注 2:火 花及拉弧不属于燃烧。
[GB38031—2020,定义3.11]
4 一般要求
除非特别说明,电池管理系统 功能安全技术开发、流 程开发等要求应按照 GB/T34590—2017(所 有部分)执行。
5 相关项定义
5.1 总则
应按照 GB/T34590.3—2017的要求进行相 关项定义,相 关项指实现车辆层面功能或部分功能的系统或系统组。
注:相关项及其范围可根据具体情况定义。附录 A 和附录 B分别给出了以电池管理系统和动力蓄电池系统为相关 项的功能概念和相关项边界和接口示例。
5.2 功能概念
为满足车辆安全运行,确保车辆内部、外部人员以 及车辆环境的安全,电 池管理系统应对动力蓄电 池的安全运行进行监控和保护。 电池管理系统的功能性要求还应满足 GB18384—2020、GB38031— 2020、GB/T38661—2020。
注 1:附 录 A 给出了电池管理系统充电管理和放电管理的功能概念描述。附录 B给出了动力蓄电池系统提供充电 和提供放电的功能概念描述。
注 2:充 电状态包括外部充电 、内 部充电(例 如 ,整 车制动能量回收)等 。放电状态包括行车放电 、静 置放电等。
5.3 运行条件和环境约束
为满足车辆安全运行,需要明确相关项的运行条件及环境约束,可包含(如适用): a) 外部环境,例如,温度、湿度、路况、天气等;
b) 运行模式,例如,动力蓄电池系统处于充电 状态、放 电状态、静 置状态等,或 者电池管理系统处
于工作状态或者非工作状态;
c) 相关项与整车其他相关项的依赖关系、接口关系等。
6 危害分析和风险评估
6.1 总则
根据第5章相关项定义,按照 GB/T34590.3—2017,基于车辆使用场景,分析识别相关项中因 故障 而引起的危害并对危害进行归类,定义相应 的汽车安全完整性等级 (ASIL),制 定防止危害事件发生或 减轻危害程度的安全目标,以避免不合理的风险。
注:以电池管理系统和动力蓄电池系统为相关项进行危害分析和风险评估的示例分别参见附录 A 和附录 B。
6.2 安全目标
通过危害分析和风险评估确定的电池管理系统的安全目标及其属性,应至少包含表1所列的内容。
表 1 安全目标
序号 安全目标 ASIL 安全状态 FTTI
1 防止电池单体过充电导致热失控 C 断开高压回路 参见 7.1.3
2 防止电池单体过放电后再充电导致热失控 C 断开充电回路 参见 7.2.3
3 防止电池单体过温导致热失控 C 断开高压回路 参见 7.3.3
4 防止动力蓄电池系统过流导致热失控 C 断开高压回路 参见 7.4.3
注:充电回路指动力蓄电池从外部吸收能量的回路 ,包 括外部充电及内部充电(例 如整车制动能量回收)。
如果出现与表1所列的要求不一致的情况,应具 备相应的证据来证明动力蓄电池系统不会因过充 电、过放电后再充电、过温、过流导致热失控而引起起火、冒烟、爆炸等危害。应至少包括如下证据:
a) 动力蓄电池系统因过充电、过放电后再充 电、过 温、过 流导致热失控而引起起火、冒 烟、爆 炸等 危害的失效模式及其组合的影响、危害分析和风险评估;
b) 列项a)中失效所对应的安全措施;
c) 针对列项 b)的有效且完整的试验验证方法及测试通过准 则,且 试验验证应涵盖全生命周期中 最严苛场景。
7 功能安全要求
7.1 防止电池单体过充电导致热失控
7.1.1 一般要求
电池管理系统应监 测 电 池 单 体 电 压,当 电 池 单 体 电 压 值 超 过 安 全 阈 值 时,使 动 力 蓄 电 池 系 统 在
FTTI时间内进入安全状态,在电池单体过充电故障退出、消除条件未满足时,不应退出安全状态。 故障探测、响应、处理应在 FTTI时间内完成。 安全阈值应根据电池系统制造商过充电测试结果给出。
7.1.2 运行模式
电池管理系统应处于工作状态。
7.1.3 故障容错时间间隔
电池单体过充电故障容错时间间隔应根据电池系统制造商过充电测试结果给出。
注:电池单体过充电故障容错时间间隔的确定方法参考附录 C,示 意图见图 2。
图 2 电池单体过充电故障容错时间间隔
7.1.4 安全状态的进入和退出
当确认电池单体电压值超过安全阈值时,电池管理系统应断开高压回路进入安全状态,在电池单体 过充电故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出 、消 除条件由相关方协商确定。
7.1.5 报警和降级概念
在电池管理系统探测到电池单体过充电故障后,应通过警告信号或提示信息等方式警告驾驶员。 如果动力蓄电池存在无法立即进入或保持安全状态的场景,应 设计降级功能 (例 如限制充电功率)
使整车进入紧急运行模式。
7.2 防止电池单体过放电后再充电导致热失控
7.2.1 一般要求
电池管理系统应监 测 电 池 单 体 电 压,当 电 池 单 体 电 压 值 低 于 安 全 阈 值 时,使 动 力 蓄 电 池 系 统 在FTTI时间内进入安全状态,在电池单体过放电故障退出、消除条件未满足时,不应退出安全状态。 故障探测、响应、处理应在 FTTI时间内完成。 安全阈值应根据电池系统制造商过放电测试结果给出。
7.2.2 运行模式
电池管理系统应处于工作状态。
7.2.3 故障容错时间间隔
电池单体过放电后再充电故障容错时间间隔应根据电池系统制造商过放电后再充电的测试结果 给出。
注:电池单体过放电后再充电故障容错时间间隔的确定方法参考附录 C,示 意图见图 3。
图 3 电池单体过放电后再充电故障容错时间间隔
7.2.4 安全状态的进入和退出
当确认电池单体电压值低于安全阈值时,电池管理系统应断开充电回路进入安全状态,在电池单体 过放电故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出 、消 除条件由相关方协商确定。
7.2.5 报警和降级概念
在电池管理系统探测到电池单体过放电故障后,应通过警告信号或提示信息等方式警告驾驶员。 如果动力蓄电池存在无法立即进入或保持安全状态的场景,应 设计降级功能 (例 如限制充电功率、
禁止制动能量回收功能的使用)使整车进入紧急运行模式。
7.3 防止电池单体过温导致热失控
7.3.1 一般要求
电池管理系统应监 测 电 池 单 体 温 度,当 电 池 单 体 温 度 值 高 于 安 全 阈 值 时,使 动 力 蓄 电 池 系 统 在
FTTI时间内进入安全状态,在电池单体过温故障退出、消除条件未满足时,不应退出安全状态。 故障探测故障探测、响应、处理应在 FTTI时间内完成。 安全阈值应根据电池系统制造商过温测试结果给出。 电池系统内温度测量点的温度应能代表电池系统中电池单体的最高温度。
7.3.2 运行模式
电池管理系统应处于工作状态。
7.3.3 故障容错时间间隔
电池单体过温故障容错时间间隔应根据电池系统制造商过温的测试结果给出。
注:电池单体过温故障容错时间间隔的确定方法参考附录 C,示 意图见图 4。
图 4 电池单体过温故障容错时间间隔
7.3.4 安全状态的进入和退出
当确认电池单体温度值高于安全阈值时,电池管理系统应断开高压回路进入安全状态,在电池单体 过温故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出 、消 除条件由相关方协商确定。
7.3.5 报警和降级概念
在电池管理系统探测到电池单体过温故障后,应通过警告信号或提示信息等方式警告驾驶员。 如果动力蓄电池存在无法立即进入或保持安全状态的场景,应 设计降级功能 (例 如限制充放电功
率,禁止某些非安全运行相关功能的运行)使整车进入紧急运行模式。
7.4 防止动力蓄电池系统过流导致热失控
7.4.1 一般要求
电池管理系统应监测动力蓄电池系统电流,当动力蓄电池系统电流值高于安全阈值时,使动力蓄电 池系统在 FTTI时间内进入安全状态。在蓄电池系统过流故障退出、消除条件未满足时,不应退出安全 状态。
故障探测、响应、处理应在 FTTI时间内完成。 安全阈值应根据电池系统制造商过流测试结果给出,并考虑到电池单体温度的影响。
7.4.2 运行模式
电池管理系统应处于工作状态。
7.4.3 故障容错时间间隔
动力蓄电池系统过流故障容错时间间隔应根据电池系统制造商过流测试结果给出。
注:动力蓄电池系统过流故障容错时间间隔的确定方法参考附录 C,示 意图见图 5。
图 5 动力蓄电池系统过流故障容错时间间隔
7.4.4 安全状态的进入和退出
当确认动力蓄电池系统电流值高于安全阈值时,电池管理系统应断开高压回路进入安全状态,在动 力蓄电池系统过流故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出 、消 除条件由相关协商确定。
7.4.5 报警和降级概念
在电池管理系统探测到电池单体过流故障后,应通过警告信号或提示信息等方式警告驾驶员。 如果动力蓄电池存在无法立即进入或保持安全状态的场景,应 设计降级功能 (例 如限制充放电功
率、禁止某些非安全相关功能的运行)使整车进入紧急运行模式。
8 功能安全验证和确认
8.1 总则
功能安全验证是确定功能安全要求的完整性和正确性,功 能安全确认是确认安全目标得到充分实 现且在系统及整车层面能够减轻或避免危害事件的发生。
功能安全验证应在电池管理系统层面对功能安全要求与设计进行验证,验 证方法包括评审、走 查、 检查、模型检查、模拟、工程分析、证明和测试,验证的目的是证明功能安全要求:
a) 与验证活动的结果的一致性与符合性; b) 实现的正确性。
本标准中主要给出基于测试的功能安全验证方法,测试可在模拟环境或真实环境下进行。 功能安全确认需要在动力蓄电池系统或整车层面对功能安全目标的实现进行确认,确 认方法包含
检查和测试,目的包括:
a) 证明安全目标在整车层面的实现是正确的、完整的并得到完全实现; b) 安全目标能够预防或减轻危害分析和风险评估中识别的危害事件及风险。 本标准中主要给出基于测试的功能安全确认方法。
8.2 功能安全验证
8.2.1 防止电池单体过充电导致热失控
8.2.1.1 测试目的
电池管理系统应监 测 电 池 单 体 电 压,当 电 池 单 体 电 压 值 超 过 安 全 阈 值 时,使 动 力 蓄 电 池 系 统 在FTTI时间内进入安全状态,在电池单体过充电故障退出、消除条件未满足时,不应退出安全状态。
8.2.1.2 测试对象
测试对象为电池管理系统。
8.2.1.3 测试要求
8.2.1.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; b) 测试应针对7.1.2规定的运行模式;
c) 模拟电池单体电压信号进行测试;
d) 调节模拟的电池单体电压信号,电池单体电压应至少包含低于安全阈值、达到安全阈值 及高于 安全阈值三个电压取值;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控; f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.1.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; b) 测试应针对7.1.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的充电倍率进行充电,直到高于安全阈值; d) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控; e) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.1.4 测试结束条件
8.2.1.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态; b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.1.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态; b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.1.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.2.2 防止电池单体过放电后再充电导致热失控
8.2.2.1 测试目的
电池管理系统应监 测 电 池 单 体 电 压,当 电 池 单 体 电 压 值 低 于 安 全 阈 值 时,使 动 力 蓄 电 池 系 统 在FTTI时间内进入安全状态,在电池单体过放电故障退出、消除条件未满足时,不应退出安全状态。
8.2.2.2 测试对象
测试对象为电池管理系统。
8.2.2.3 测试要求
8.2.2.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; b) 测试应针对7.2.2规定的运行模式;
c) 模拟电池单体电压信号,进行测试;
d) 调节模拟的电池单体电压信号,电池单体电压应至少包含低于安全阈值、达到安全阈值 及高于 安全阈值三个电压取值;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控; f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.2.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态; b) 测试应针对7.2.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的放电倍率进行放电,直到低于安全阈值; d) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控; e) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.2.4 测试结束条件
8.2.2.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态; b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.2.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态; b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.2.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.2.3 防止电池单体过温导致热失控
8.2.3.1 测试目的
电池管理系统应监 测 电 池 单 体 温 度,当 电 池 单 体 温 度 值 高 于 安 全 阈 值 时,使 动 力 蓄 电 池 系 统 在FTTI时间内进入安全状态,在电池单体过温故障退出、消除条件未满足时,不应退出安全状态。
8.2.3.2 测试对象
测试对象为电池管理系统。
8.2.3.3 测试要求
8.2.3.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.3.2规定的运行模式;
c) 模拟电池单体温度信号,进行测试;
d) 模拟的电池单体温度信号,电池单体温度应至少包含低于安全阈值、达到安全阈值及高 于安全 阈值3个温度取值;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.3.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.3.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的充放电倍率进行充放电或者其他电池系统制造商推荐的电池单体加热方法,直到电池单体温度高于安全阈值;
d) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
e) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.3.4 测试结束条件
8.2.3.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.3.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.3.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.2.4 防止动力蓄电池系统过流导致热失控
8.2.4.1 测试目的
电池管理系统应监测蓄电池系统电流,当动力蓄电池系统电流值高于安全阈值时,使动力蓄电池系 统在 FTTI时间内进 入 安 全 状 态。 在 蓄 电 池 系 统 过 流 故 障 退 出、消 除 条 件 未 满 足 时,不 应 退 出 安 全 状态。
8.2.4.2 测试对象
测试对象为电池管理系统。
8.2.4.3 测试要求
8.2.4.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.4.2规定的运行模式;
c) 模拟动力蓄电池系统电流信号,进行测试;
d) 测试需要考虑影响电流安全阈值的参数,例如温度等;
e) 调节模拟的动力蓄电池系统电流信号,动力蓄电池系统电流应至少包含低于安全阈值、达 到安 全阈值及高于安全阈值三个电流取值;
f) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
g) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.4.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.4.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的充放电倍率的变化速率逐步提高充放电 电流进行充放电,直到电流超过安全阈值;
d) 测试需要考虑影响电流安全阈值的参数,例如温度等;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.4.4 测试结束条件
8.2.4.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.4.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.4.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.3 功能安全确认
8.3.1 防止电池单体过充电导致热失控
8.3.1.1 目的
确认安全目标“防止电池单体过充电导致热失控”得 到正确实现,并 能够有效预防由于电池单体过 充电导致热失控的发生。
8.3.1.2 确认对象
确认对象为动力蓄电池系统。
8.3.1.3 确认要求
确认应满足如下要求:
a) 影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b) 确认应在整车层面进行,至少包含真实的电池系统,基于车辆的实际工况或者模拟的车 辆实际 工况;
注 1:车 辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c) 确认应包含违背安全目标的典型失效模式;
注 2:典 型失效模式包含危害分析和风险评估中导出该安全目标的功能异常 ,如 非预期的充电。
d) 确认应对动力蓄电池系统进入安全状态的过程(例如,安全阈值、时间和状态切换)进行监控; e) 确认应对动力蓄电池系统的状态进行监控;
f) 确认应对动力蓄电池系统退出安全状态的条件进行监控; g) 确认结束后,应在确认环境温度下观察1h。
8.3.1.4 确认结束条件
当符合以下任一条件时,结束试验:
a) 确认对象在故障容错时间间隔内进入安全状态,并 无意外退出安全状态,并 且电池未发生漏 液、泄气、起火或爆炸;
b) 确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 确认对象在故障容错时间间隔内未进入安全状态;
d) 确认对象发生漏液、泄气、起火或爆炸。
8.3.1.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气、起火或爆炸。
8.3.2 防止电池单体过放电后再充电导致热失控
8.3.2.1 目的
确认安全目标“防止电池单体过放电后再充电导 致热失控”得 到正确实现,并 能够有效预防由于电 池单体过放电后再充电导致热失控的发生。
8.3.2.2 确认对象
确认对象为动力蓄电池系统。
8.3.2.3 确认要求
确认应满足如下要求:
a) 影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b) 确认应在整 车 层 面 进 行,至 少 包 含 真 实 的 电 池 系 统,车 辆 的 实 际 工 况 或 者 模 拟 车 辆 使 用 的 工况;
注 1:车 辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c) 确认应包含违背安全目标的典型失效模式;
注 2:典 型失效模式包含危害分析和风险评估中导出该安全目标的功能异常 ,如 非预期的放电。
d) 确认应对动力蓄电池系统进入安全状态的过程(例如,安全阈值、时间和状态切换)进行监控; e) 确认应对动力蓄电池系统的状态进行监控;
f) 确认应对动力蓄电池系统退出安全状态的条件进行监控; g) 确认结束后,应在确认环境温度下观察1h。
8.3.2.4 确认结束条件
当符合以下任一条件时,结束确认:
a) 确认对象在故障容错时间间隔内进入安全状态,并 无意外退出安全状态,并 且电池未发生漏液、泄气、起火或爆炸;
b) 确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 确认对象在故障容错时间间隔内未进入安全状态;
d) 确认对象发生漏液、泄气、起火或爆炸。
8.3.2.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气、起火或爆炸。
8.3.3 防止电池单体过温导致热失控
8.3.3.1 目的
确认安全目标“防止电池单体过温导致热失控”得 到正确实现,并 能够有效预防由于电池单体过温 导致热失控的发生。
8.3.3.2 确认对象
确认对象为动力蓄电池系统。
8.3.3.3 确认要求
确认应满足如下要求:
a) 影响测试对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b) 确认应在整 车 层 面 进 行,至 少 包 含 真 实 的 电 池 系 统,车 辆 的 实 际 工 况 或 者 模 拟 车 辆 使 用 的 工况;
注 1:车 辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c) 确认应包含违背安全目标的典型失效模式;
注 2:典 型失效模式包含危害分析和风险评估中导出该安全目标的功能异常 ,如 高温下充电。
d) 确认应对动力蓄电池系统进入安全状态的过程(例如,安全阈值、时间和状态切换)进行监控; e) 确认应对动力蓄电池系统的状态进行监控;
f) 确认应对动力蓄电池系统退出安全状态的条件进行监控; g) 确认结束后,应在确认环境温度下观察1h。
8.3.3.4 确认结束条件
当符合以下任一条件时,结束确认:
a) 确认对象在故障容错时间间隔内进入安全状态,并 无意外退出安全状态,并 且电池未发生漏 液、泄气、起火或爆炸;
b) 确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 确认对象在故障容错时间间隔内未进入安全状态;
d) 确认对象发生漏液、泄气、起火或爆炸。
8.3.3.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气、起火或爆炸。
8.3.4 防止动力蓄电池系统过流导致热失控
8.3.4.1 目的
确认安全目标“防止蓄电池系统过流导致热失控”得 到正确实现,并 能够有效预防由于蓄电池系统 过流导致热失控的发生。
8.3.4.2 确认对象
确认对象为动力蓄电池系统。
8.3.4.3 确认要求
确认应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 确认应在整 车 层 面 进 行,至 少 包 含 真 实 的 电 池 系 统,车 辆 的 实 际 工 况 或 者 模 拟 车 辆 使 用 的 工况;
注 1:车 辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c) 确认应包含违背安全目标的典型失效模式;
注 2:典 型失效模式包含危害分析和风险评估中导出该安全目标的功能异常 ,如 超过预期电流充电。
d) 确认需要考虑影响电流安全阈值的参数,例如温度等;
e) 确认应对动力蓄电池系统进入安全状态的过程(例如,安全阈值、时间和状态切换)进行监控; f) 确认应对动力蓄电池系统的状态进行监控;
g) 确认应对动力蓄电池系统退出安全状态的条件进行监控; h) 确认结束后,应在确认环境温度下观察1h。
8.3.4.4 确认结束条件
当符合以下任一条件时,结束确认:
a) 确认对象在故障容错时间间隔内进入安全状态,并 无意外退出安全状态,并 且电池未发生漏 液、泄气、起火或爆炸;
b) 确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态; c) 确认对象在故障容错时间间隔内未进入安全状态;
d) 确认对象发生漏液、泄气、起火或爆炸。
8.3.4.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且在观察时间内未发生漏 液、泄气、起火或爆炸。
附录 A
(资料性附录)
以电池管理系统为相关项的危害分析和风险评估(HARA)示例
A.1 相关项定义
A.1.1 功能概念
A.1.1.1 充电管理
该功能旨在通过电池管理系统的控制管理,使得 动力蓄电池在充电过程中处于安全状态。 电池管 理系统在动力蓄电池充电过程中对充电电压、充电 电流、可 检测到的电池温度等参数进行控制优化,确 保动力蓄电池在充电过程中的安全。
A.1.1.2 放电管理
该功能旨在通过电池管理系统的控制管理,使得 动力蓄电池在放电过程中处于安全状态。 电池管 理系统在动力蓄电池放电过程中对放电电压、放电 电流、可 检测到的电池温度等参数进行控制优化,确 保动力蓄电池在放电过程中的安全。
A.1.2 电池管理系统的边界和接口
按照 GB/T34590.3—2017中5.4.2的要求,定义电池管理系统相关项与其他相关项的边界和接口。
示例 :图 A.1为 BMS相 关项的边界和接口参考示例。其他相关项如 :动 力蓄电池系统 、整 车低 压 蓄 电 池 、整 车 动 力 控制系统(整 车控制器 、电 机控制器等)、高 压部件(服 务开关等)、充 电接口(对 于具有可外接充电功能的电动汽车)。
图 A.1 BMS相关项的边界和接口参考示例
A.2 相关项在整车层面上的危害识别
A.2.1 识别电池管理系统的功能异常表现
按照 GB/T34590.3—2017第6章的要求,应用危害与可操作性分析(HAZOP)方 法识别电池管理 系统的功能异常表现,参见表 A.1。
表 A.1 HAZOP 分析示例
A.2.2 分析电池管理系统的功能异常表现导致的整车层面危害
按照 GB/T34590.3—2017第6章的要求,根据 A.2.1中 电池管理系统的功能异常表现,分 析可能 导致的整车层面危害(最严重的情况),参见表 A.2。
表 A.2 整车层面危害(最严重的情况)
电池管理系统功能异常表现的影响 整车层面危害(最 严重的情况)
充电时充电电压超出预期,造成电池过充电时无保护或保护不及时,引发热失控 车辆冒烟 、起 火 、爆 炸 、释 放有害物质
充电时电流超出预期 ,造 成电池过流时无保护或保护不及时 ,引 发热失控 车辆冒烟 、起 火 、爆 炸 、释 放有害物质
充电时电池温度超出预期 ,造 成电池过温时无保护或保护不及时 ,引 发热失控 车辆冒烟 、起 火 、爆 炸 、释 放有害物质
放电时放电电压超出预期 ,造 成电池过放电时无保护或保护不及时 动力电池损坏报废 ,车 辆动力丧失
放电时放电电压超出预期 ,造 成电池过 放 电 时 无 保 护 或 保 护 不 及 时 ,电 池 过 放 电后再充电 ,引 发热失控
车辆冒烟 、起 火 、爆 炸 、释 放有害物质
放电时放电电流超出预期 ,造 成电池过流时无保护或保护不及时 ,引 发热失控 车辆冒烟 、起 火 、爆 炸 、释 放有害物质
放电时电池温度超出预期,造成电池过温时无保护或者保护不及时,引发热失控 车辆冒烟 、起 火 、爆 炸 、释 放有害物质
A.3 场景分析
根据第5章运行条件和环境约束要求,分析典型的车辆运行场景,参见表 A.3。
表 A.3 典型的车辆运行场景示例
场景编号 典型场景
1 正常行驶(高 速行驶 ,城 市路况 ,转 弯等)
2 车辆静止无人看管充电
3 车辆静止无人看管放电
4 车辆长期静置
5 碰撞(发 生碰撞 ,碰 撞之后)
6 维修
A.4 ASIL 等级的导出
以电池管理 系 统 为 相 关 项 开 展 典 型 危 害 的 危 害 分 析 和 风 险 评 估 (HARA),并 确 定 危 害 事 件 的ASIL 等级。分析过程参见表 A.4。
1、现成译文,到款即发。
2、下单前可任取样页验证译文质量。
3、免费提供正规普通增值税数电发票。
4、请联系手机/微信: 13306496964/Email: standardtrans@foxmail.com 获取完整译文。
5、本英文译本为纯人工专业精翻版本,保证语法术语准确率和专业度!
6、专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!
7、「中国汽车标准译文库」已收录上千个现行汽车国家标准和行业标准的英文版译本,涵盖传统燃油车、新能源汽车和摩托车标准化体系!独家打造千万级汽车专业术语库和记忆库。
1. The English Translation of this document is readily available, and delivered immediately upon payment.
2. You may request for sample pages to your preference before placing an order.
3. Please contact standardtrans@foxmail.com for the complete PDF version in English.
4. Almost all of Chinese automotive/automobile standards, regulations and norms (GB, GB/T, QC/T, CNCA, CQC, CAV, etc.) in effect have been included in our well-established database, providing one-stop, up-to-date, efficient and professional solution.