(1)能有效对电池系统的单体电压、电流、温度、绝缘阻值等参数进行测量,测量精度及频率应在常规工况及恶劣极端工况下均满足国家标准要求,同时采样电路具有保护机制,避免高压短路故障。
(2)能准确计算电池系统SOC、SOE、SOH,并结合当前电池电压、温度等状态计算安全的可用充放电功率区间,确保不会对电池造成单次或累积的安全影响。
(3)建议整车能较准确估算车辆剩余里程,防止电池系统在使用过程中因剩余里程错误导致动力系统异常中断。
(4)充电过程中,BMS 应同时监测电池系统及充电机状态,当电池系统或充电机发生故障时,应及时停止充电过程并进行报警。
(5)能够根据测量信息及电池使用条件,通过热管理系统对电池系统内部温度进行有效的调控,使电池充放电过程执行在合适的温度区间,避免因单次或累积的高低温操作引发的电池安全隐患。
(6)BMS 功能应通过必要的测试验证,包括:绝缘性能测试、电气适应性能测试、环境适应性能测试、电磁兼容性能测试,确保其在不同工况、环境下均能有效工作。
BMS 系统基本功能的设计与验证可参考GB/T《电动汽车用电池管理系统技术条件》。
(1)能有效及时判断电池单体或系统的故障,包括但不限于电池过压、欠压、过温、过流、绝缘降低等,并能以可靠的通讯方式通知整车,并采取相应的措施。
• 根据电池的使用环境、不同的生命周期调整合适的故障阈值和检测时间,确保系统安全。
(2)BMS 对电池故障的检测周期或消抖时间应满足安全需求,即在整个故障的检测、通讯、处理周期完成前电池系统不会发生对整车或乘员的危害。
(3)当发生故障的条件下,如非绝对必要,电池系统应先通知驾驶员采取必要措施后,如通知驾驶员减速靠边等,再进行断电保护处理。
(4)发生故障后,应在确认故障消失或足够的安全余量后,才能允许对电池系统继续操作。对于电池系统的永久性故障,如电池单体严重过放至1V 以下等,建议对故障进行锁存记录并防止对电池系统继续操作,避免后续的安全问题。
(5)BMS 建议具备故障存储功能,能够记录电池系统发生过的一段时间内的所有故障代码,并可在维护时通过外部操作清除;能够根据厂家需要记录第一次或最后一次发生故障时的详细数据,包括电池的单体电压、温度、电流等信息。
(1)阈值的设定通常由电芯企业及整车企业根据电芯特性及整车控制要求确定,不同电池系统的阈值不同。典型故障可参考《电动汽车用电池管理系统技术条件》,以下为参考处理策略:
• 电池温度大于设定阈值:建议采用降低充放电功率等保护措施;若保护措施无效,建议执行下电保护流程或中止充电。
• 电池温度小于设定阈值:建议启动加热功能,限制输入、输出功率。若需要进行充电流程,建议当电池温度加热至最低允许充电温度后再进行充电。
• 单体电压或总电压大于设定阈值:建议停止充电或禁止回馈;若电压持续升高或大于绝对安全阈值,建议执行下电保护流程。
• 单体电压或总电压低于设定阈值:根据放电深度程度不同可采取不同措施,如提示用户充电、禁止放电或执行下电保护流程等。
• 电芯一致性偏差大于设定条件:根据整车厂及电芯厂制定的判定条件可采取不同措施,如启动均衡、提示用户进店维护或执行下电保护流程等。
• 充电电流(功率)大于最大允许阈值:如在行驶过程中,建议降低或停止回馈;充电过程中建议进行降电流操作。若以上措施无效,建议执行下电保护流程。
• ·放电电流(功率)大于最大允许阈值:建议降低运行功率;若无效,建议执行下电保护流程。
• 绝缘电阻小于设定阈值:建议根据绝缘故障程度采取通知整车或执行下电流程等。
• 电池系统内部温差大于设定阈值:建议采用降低充放电功率等保护措施;若保护措施无效,建议执行下电保护流程或中止充电。
• BMS 采样、处理器及执行器相关故障(例如: 电压采样故障、温度采样故障、电流采样故障、MCU 故障、供电故障、存储故障、执行器故障、碰撞事件,等)检测、判定及处理方式,建议结合功能安全需求进行综合设计,以满足相关安全需求。
(2)应根据故障特点,细化故障处理策略,对故障进行分级管理,不同级别的故障采用不同的对应策略,例如:告警、限功率、下高压、提醒用户远离车辆,等,尽量避免行驶过程中的直接高压下电。
(3)故障阈值设置、判断时间、恢复时间应充分考虑电池系统的能力及车辆运行需求,避免漏报和误报。
(1)充电、运行工况下,许用电流/功率控制限制表应充分结合电池系统的能力(结合电芯厂提供的许用电流/功率限制表)及车辆使用需求综合设定,考虑充电及运行工况(制动回馈、放电)对电流持续时间的需求,通常设定峰值电流/功率表(例如:2s,5s,10s,30s)、持续电流/功率表(例如:60s,3min,持续等)。
(2)因温度、SOC 变化而导致的峰值电流/功率及持续电流/功率切换时,BMS 应确保许用电流/功率平滑过渡。
(3)BMS 应充分考虑电池系统的许用能力,结合电池系统寿命终止时的可用电量、许用功率衰减,综合确定全寿命周期内的许用电流/功率限制值。
(4)功率限制值应考虑系统元器件最大承受能力,应根据系统各元器件可承受最大载流量值的最小值确定。
(5)BMS 实时监控电流及电压,如果实时充放电电流/功率超过许用电流/功率,BMS记录DTC,通知整车。
(6)当充放电电流/功率超过许用电流/功率,BMS 应执行多级控制策略,分阶段主动降低功率,避免电池系统起火、爆炸。
直流充电应遵循《GB/T 27930 电动汽车非车载传导式充电机与电池管理系统之间的通信协议》、《GB/T 18487.1-2011 电动汽车传导充电系统第1 部分:通用要求》、《GB/T20234.1-2015 电动汽车传导充电用连接装置通用要求》等标准要求。
充电过程中,BMS 监控各种参数的变化,包括异常参数(如:过压、过温、过流等),当达到充满电的要求、或者故障发生时,向充电机发送充电中止指令,主动停止充电过程。
通常,BMS 向OBC 发送电流需求及电压需求,通过OBC 控制充电过程。充电过程中,BMS 监控各种参数的变化,包括异常参数(如:过压、过温、过流等),当达到充满电的要求、或者故障发生时,向OBC 发送充电中止指令,主动停止充电过程。
(1)电池供应商应充分执行大功率充电测试,提供规定时间内(例如:10min、15min、20min、30min)允许的最大电流值,该数值需要考虑温度、SOC 及SOH 的影响。
(2)温度测量应尽量覆盖充电回路中可能的高温点,包括:电池模组的最高/最低温度点、车辆与充电桩的连接器、充电线缆、分流器形式电流传感器;同时应关注模组间连接铜排、电池包充电连接器的温度。
(3)BMS 应监控充电功率、温控点温度,当充电功率、测量点温度超出限制阈值,应及时向充电机通报故障。
(4)当发生故障需要停止大功率充电时,BMS 首先申请充电桩降低输出功率,由充电桩控制结束充电过程。如充电桩故障致使无法停止充电,BMS 应紧急断开充电继电器,停止大功率充电。
(5)针对大功率充电可能持续产生的大量热量,应优化热管理策略,适当降低启动制冷功能的温度阈值。充电结束后,如果电池包温度仍然偏高,需要继续维持制冷功能,使电池系统温度回到合理范围。
(6)应监控大功率充电的使用频率,避免频繁执行大功率充电可能导致的电池性能下降或安全隐患。
BMS 功能安全的主要目的是避免BMS 系统电子/电气功能异常引发的危害而导致严重人身伤害事件(起火、爆炸、排气、电击)的风险。
BMS 功能安全活动重点关注以下方面:确定功能安全目标与安全需求、功能安全产品开发、功能安全目标验证与确认。
应在整车级别执行电池系统的危害分析与风险评估,明确功能安全目标、ASIL 等级、安全状态及FTTI,定义功能安全需求及控制策略。
建议BMS 包含以下功能安全目标,以避免电池系统的热失控风险:
建议BMS 包括以下功能安全目标,以避免电池系统的电击风险:
建议BMS 包含以下功能安全目标,以避免系统动力异常中断:
电池系统危害分析与风险评估及功能安全需求定义建议参考《GB/T 39086-2020 电动汽车用电池管理系统功能安全要求及试验方法》
BMS 功能安全设计与开发应遵循严格的流程规范,应关注以下活动:
(1)使用DIA 规范整车厂和供应商间的职责划分。
(2)执行汽车安全生命周期中的各级设计活动。针对不同设计阶段,实施相应的验证活动(评审/测试),使用适当的测试方法(例如:缺陷注入方法)验证安全机制的有效性,确保测试用例的完备性和测试覆盖度。
(3)在系统设计、软件设计、硬件设计阶段执行功能安全分析(FMEA、FTA、DFA、FMEDA),满足ASIL 等级相关要求。
• 执行系统安全分析,识别违反功能安全目标的失效模式,通过系统设计确保故障发生时,整车能在FTTI 时间内进入安全状态
• 执行软件安全分析,针对软件失效模式,确定软件安全机制
• 执行硬件安全分析,基于硬件器件的失效率、失效模式、失效分布,对硬件架构进行评估(SPFM、LFM、PMHF),完善硬件安全机制,确保满足安全等级要求
• 安全分析应持续、迭代执行,针对安全分析中发现的问题,需不断优化更新安全机制。
(4)软件设计建议采用标准化软件架构(例如:AUTOSAR),软件开发应遵循符合功能安全要求的建模规范和代码规范,使用多种模型/代码测试方法(例如:MIL、SIL、PIL、HIL)进行软件集成和测试,确保满足软件覆盖度要求。
(5)关注需求、设计、验证之间的双向追溯和一致性,确保需求变更、缺陷修正的可跟踪性。
(6)执行软件/硬件组件鉴定和再用证明相关活动,确保软件/硬件组件使用的合适性。实施工具链置信度评估,确保工具置信度水平(TCL)满足要求。
(7)执行与安全目前等级相适应的认可措施,包括:认可评审、安全审核和安全评估。
功能安全产品开发活动建议参考《GB/T34590-2017 道路车辆功能安全》。
应在系统级、整车级对BMS 功能安全需求及功能安全目标执行验证与确认,确保达成整车功能安全目标。
如果除BMS 功能安全保护机制外,整车还设计了其它安全机制(如:机械、化学等),功能安全目标的验证与确认也应覆盖这些安全机制。
电池系统的功能安全目标验证与确认活动建议参考《GB/T 39086-2020 电动汽车用电池管理系统功能安全要求及试验方法》。
电池包应具有热失控防护措施,保证热失控发生后,可以在一定时间内确保电池包不发生导致人生伤害的事件发生(起火、爆炸等)。
BMS 可考虑监控导致热失控的事件(如电压、电流、温度超过安全使用范围、内短路等),在热失控发生前采取紧急应对措施(如报警、限制功率、切断高压回路等),同时提醒乘员采取避险措施。
(1)电池发生热失控及热扩散时,电池系统内部温度、气体成份、压力等参数会发生变化,应对热失控及热扩散进行试验研究,通过理论分析和实验验证,确定适合的热失控和热扩散探测手段(例如:温度、气体、压力等),并确保探测器的检测精度满足需求。
(2)当BMS 确认发生电池热失控时,应把热失控信号传递给整车,整车应通过指示装置(仪表或其他装置)提供一个明显的热失控报警信号以及警示声,提醒驾驶员和乘客疏散;同时,BMS 请求下高压,整车根据当时工况进入紧急下电流程。
(3)建议BMS 应准确监测电池系统及其部件的异常温度升高,对电池系统的热失控要尽可能早地发出预警信号。
(4)热失控探测及报警功能应在运行模式下执行,其有效性应通过整车级测试,避免漏报、误报。
(5)热失控探测及预警功能应满足整车功能安全要求。