近兩年，中國(guó)儲(chǔ)能產(chǎn)業(yè)迎來(lái)爆發(fā)式增長(zhǎng)。相較于其他儲(chǔ)能技術(shù)，由于生產(chǎn)技術(shù)的快速進(jìn)步、制造成本的逐步下降等因素，鋰離子電池具備更顯著的競(jìng)爭(zhēng)力，在儲(chǔ)能領(lǐng)域的市場(chǎng)滲透率越來(lái)越高。

作為對(duì)電池進(jìn)行監(jiān)控和管理的電子裝置，電池管理系統(tǒng)（batterymanagementsystem，BMS）是儲(chǔ)能系統(tǒng)的核心部件之一，其功能安全關(guān)系到整個(gè)鋰離子儲(chǔ)能電站的安全穩(wěn)定運(yùn)行。

為了正確高效地實(shí)現(xiàn)儲(chǔ)能系統(tǒng)的電池管理系統(tǒng)功能安全設(shè)計(jì)和驗(yàn)證，針對(duì)鋰電池儲(chǔ)能系統(tǒng)BMS的產(chǎn)品特點(diǎn)，本工作從系統(tǒng)的危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析、整體安全要求確定和安全功能分配、安全完整性實(shí)現(xiàn)及驗(yàn)證3個(gè)主要分析步驟，參照IEC61508、IEC60730-1等相關(guān)參考標(biāo)準(zhǔn)梳理了電池儲(chǔ)能系統(tǒng)BMS功能安全的分析與設(shè)計(jì)過(guò)程。

分析結(jié)果表明，選擇失效模式影響和診斷分析（FMEDA）以及風(fēng)險(xiǎn)矩陣法（RM），可靠性框圖法（RBD），適合于儲(chǔ)能系統(tǒng)電池管理系統(tǒng)BMS的功能安全分析和設(shè)計(jì)。

依照IEC61508、IEC60730-1等相關(guān)標(biāo)準(zhǔn)，結(jié)合儲(chǔ)能系統(tǒng)產(chǎn)品的特點(diǎn)，選擇正確的分析設(shè)計(jì)路徑，可以確保儲(chǔ)能系統(tǒng)BMS的功能安全完整性等級(jí)（SIL）有效達(dá)成，為儲(chǔ)能電站設(shè)計(jì)開(kāi)發(fā)者提供參考。

1BMS功能安全要求簡(jiǎn)述

根據(jù)IEC61508-4的定義，功能安全（functionalsafety）是指整體安全中與受控設(shè)備（equipmentundercontrol，EUC）和EUC控制系統(tǒng)相關(guān)的部分，它取決于E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施正確執(zhí)行其功能。

要實(shí)現(xiàn)特定的安全相關(guān)系統(tǒng)，就必須有相應(yīng)的安全功能（safetyfunction）實(shí)現(xiàn)。所謂安全功能，是指針對(duì)特定的危險(xiǎn)事件，為實(shí)現(xiàn)或保持EUC的安全狀態(tài)，由E/E/PE安全相關(guān)系統(tǒng)或其他風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)的功能。

對(duì)于儲(chǔ)能電池系統(tǒng)，充放電控制或保護(hù)設(shè)備是EUC，電池管理系統(tǒng)BMS是E/E/PE安全相關(guān)系統(tǒng)，需要對(duì)電池系統(tǒng)進(jìn)行安全保護(hù)。

IEC61508所規(guī)定的安全生命周期大致可分為分析、設(shè)計(jì)、實(shí)現(xiàn)和操作維護(hù)幾個(gè)階段。本文主要研究?jī)?chǔ)能BMS安全相關(guān)系統(tǒng)的分析和設(shè)計(jì)，這兩個(gè)階段主要包括以下內(nèi)容：

（1）系統(tǒng)分析，即確定系統(tǒng)的功能、結(jié)構(gòu)和范圍；

（2）危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析，即對(duì)每個(gè)可能出現(xiàn)的危險(xiǎn)事件進(jìn)行分析和評(píng)估；

（3）確定整體安全要求，并對(duì)必要的危險(xiǎn)事件進(jìn)行安全功能的分配；

（4）安全完整性實(shí)現(xiàn)并驗(yàn)證。實(shí)現(xiàn)和操作維護(hù)兩階段具體包括整體安裝調(diào)試、整體安全確認(rèn)、整體運(yùn)行維護(hù)和修理、退役或處置、整體修改和改型等過(guò)程，由于不是本文重點(diǎn)，下文將不再重點(diǎn)介紹。

2系統(tǒng)分析

盡管IEC61508并沒(méi)有明確要求必須將安全相關(guān)系統(tǒng)的設(shè)計(jì)與非安全相關(guān)系統(tǒng)的設(shè)計(jì)分開(kāi)，但出于獨(dú)立性要求以及便于評(píng)估等方面考慮，在實(shí)施過(guò)程中一般盡量將上述兩個(gè)過(guò)程分開(kāi)。

本階段的目的是說(shuō)明目標(biāo)產(chǎn)品的控制功能、應(yīng)用環(huán)境、可能出現(xiàn)的危害和危險(xiǎn)以及需要遵守的安全法規(guī)。本階段可明確儲(chǔ)能系統(tǒng)BMS的控制范圍、實(shí)際包含設(shè)備、外部事件、事件類型和其他相關(guān)設(shè)備系統(tǒng)等，可得出如圖1所示的電池系統(tǒng)BMS的交互模塊框圖，其中HMI是人機(jī)接口，EMS是能量管理系統(tǒng)。

3危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析

系統(tǒng)分析工作完成后，可根據(jù)輸出的系統(tǒng)分析文檔和確定的系統(tǒng)范圍，開(kāi)展BMS危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估工作。

在本階段，失效模式及影響分析（failuremodeandeffectanalysis，F(xiàn)MEA）是一種較為有效和常用的風(fēng)險(xiǎn)分析方法。另外，當(dāng)需考慮BMS對(duì)風(fēng)險(xiǎn)的偵查能力時(shí)，也可采用失效模式、影響及其診斷分析（failuremodeseffectsanddiagnosticanalysis，F(xiàn)MEDA）方法完成對(duì)最終數(shù)據(jù)的整理分析

FMEA的基本步驟為：

（1）列出所有部件；

（2）對(duì)每個(gè)部件，列出所有已知失效模式；

（3）對(duì)每個(gè)部件/失效模式，列出對(duì)更高層面上的影響；

（4）對(duì)每個(gè)部件/失效模式，列出影響的嚴(yán)重性/危險(xiǎn)程度。IEC60812規(guī)定了FMEA詳細(xì)的設(shè)計(jì)過(guò)程，其附錄TableF.9提供了FMEA在一個(gè)安全相關(guān)控制系統(tǒng)中的應(yīng)用實(shí)例。

需要注意的是，該方法可以分層分子系統(tǒng)進(jìn)行套用，使用時(shí)需按照系統(tǒng)的復(fù)雜度對(duì)分層分子系統(tǒng)進(jìn)行逐個(gè)自下而上地完成分析。元器件的失效模式和失效率數(shù)據(jù)可以從器件手冊(cè)、用戶現(xiàn)場(chǎng)反饋可信數(shù)據(jù)、先驗(yàn)手冊(cè)等來(lái)源獲取，本文更加推薦前兩種數(shù)據(jù)來(lái)源。

此外，目前較常見(jiàn)的先驗(yàn)手冊(cè)有以下幾種：

（1）MIL-HDBK-217F：美軍電子設(shè)備可靠性預(yù)計(jì)手冊(cè)，由美國(guó)國(guó)防部發(fā)布，主要針對(duì)軍用等級(jí)元器件[15]；

（2）TelcordiaBellcoreSR-332：可靠性測(cè)試標(biāo)準(zhǔn)，由TelcordiaTechnologies的Bellcore（貝爾通信實(shí)驗(yàn)室）發(fā)布，在電信設(shè)備、醫(yī)療設(shè)備、電源燈商用電子產(chǎn)品中廣泛應(yīng)用[16]；

（3）IEC61709：該標(biāo)準(zhǔn)提供了電子元器件可靠性預(yù)計(jì)的公式方法、失效模式及其分配比例等；

（4）SiemensSN29500：由Siemens發(fā)布的電子和機(jī)電元件可靠性預(yù)測(cè)的標(biāo)準(zhǔn)，可視為對(duì)IEC61709的補(bǔ)充。針對(duì)固定式儲(chǔ)能系統(tǒng)，本文給出如表1所示的電池系統(tǒng)可能發(fā)生的危險(xiǎn)事件列表。針對(duì)識(shí)別的風(fēng)險(xiǎn)對(duì)每個(gè)功能安全相關(guān)部件進(jìn)行FMEA分析，輸出分析結(jié)果，見(jiàn)表2。

4整體安全要求確定及安全功能分配

整體安全要求確定環(huán)節(jié)是指為達(dá)到所要求的功能安全，根據(jù)整體安全功能要求和整體安全完整性要求，為每一個(gè)危險(xiǎn)件建立起對(duì)應(yīng)的安全功能，并對(duì)每個(gè)安全功能規(guī)定安全完整性等級(jí)要求SIL，形成整體安全要求規(guī)范。

安全功能分配環(huán)節(jié)是指將整體安全要求規(guī)范中的安全功能分配至E/E/PE安全相關(guān)系統(tǒng)和其他風(fēng)險(xiǎn)降低措施中。IEC61508-1的7.5和7.6章節(jié)提供了整體安全要求和分配的詳細(xì)執(zhí)行要求。對(duì)各個(gè)安全功能進(jìn)行安全完整性等級(jí)SIL目標(biāo)確定是本階段的一個(gè)核心工作。

IEC61508-5附錄B提供多種危害分析方法，如常用的有風(fēng)險(xiǎn)圖法、危險(xiǎn)事件嚴(yán)重性矩陣、保護(hù)層分析（layerofprotectionanalysis，LOPA）等。

下文以防電擊安全功能為例，采用危險(xiǎn)事件嚴(yán)重性矩陣，說(shuō)明如何進(jìn)行安全完整性等級(jí)SIL的確定。

由表1可知，防電擊安全系統(tǒng)由兩部分：

①BMS安全功能部分，具體分為絕緣故障監(jiān)測(cè)和報(bào)警兩個(gè)子功能，分別記為SF1-1、SF1-2；

②電氣安全措施部分，將電池包外殼進(jìn)行接地保護(hù)。由于上述兩部分安全措施是相對(duì)獨(dú)立的，互不影響其功能的執(zhí)行結(jié)果，因此獨(dú)立的安全功能數(shù)量為2。

假設(shè)項(xiàng)目團(tuán)隊(duì)對(duì)此危險(xiǎn)事件的出現(xiàn)概率評(píng)估為中等可能性，嚴(yán)重性等級(jí)評(píng)估為嚴(yán)重的，則根據(jù)圖2所示的危險(xiǎn)事件嚴(yán)重性矩陣（摘自IEC61508-5附錄G），BMS安全功能SF1的安全完整性等級(jí)SIL應(yīng)是SIL1。

根據(jù)IEC61508規(guī)定，安全系統(tǒng)的運(yùn)行模式分為低要求模式、高要求模式和連續(xù)模式三種。

儲(chǔ)能系統(tǒng)中的BMS執(zhí)行安全功能的次數(shù)每年超過(guò)一次，屬于高要求模式，因此其安全功能的需求失效概率應(yīng)采用每小時(shí)危險(xiǎn)失效平均頻率PFH指標(biāo)，可根據(jù)表3（摘自IEC61508-1）確認(rèn)BMS各安全功能的安全完整性等級(jí)及要求指標(biāo)。

對(duì)BMS中的各個(gè)針對(duì)危險(xiǎn)事件的安全功能進(jìn)行逐個(gè)評(píng)估后，綜合得出BMS的安全完整性等級(jí)目標(biāo)。通過(guò)本階段，項(xiàng)目團(tuán)隊(duì)可形成整體功能安全要求說(shuō)明書(shū)，以及系統(tǒng)、軟件、硬件安全功能分配說(shuō)明書(shū)。

5結(jié)語(yǔ)

BMS是鋰電池儲(chǔ)能系統(tǒng)的核心部件之一，其可靠性和安全性是儲(chǔ)能系統(tǒng)推廣應(yīng)用過(guò)程中關(guān)鍵性技術(shù)難題。

基于國(guó)內(nèi)外相關(guān)技術(shù)標(biāo)準(zhǔn)梳理以及實(shí)際工程經(jīng)驗(yàn)，本文詳細(xì)總結(jié)了BMS功能安全分析設(shè)計(jì)的具體過(guò)程和實(shí)用方法，具體包括系統(tǒng)分析、危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析、整體安全要求確定及安全功能分配、安全完整性實(shí)現(xiàn)及驗(yàn)證等環(huán)節(jié)。

本文研究成果填補(bǔ)了國(guó)內(nèi)關(guān)于儲(chǔ)能系統(tǒng)鋰電池BMS功能安全設(shè)計(jì)研究方面的空白，為電池系統(tǒng)的安全設(shè)計(jì)、安全驗(yàn)證、安全評(píng)估工程師提供參考，對(duì)我國(guó)儲(chǔ)能電池系統(tǒng)的功能安全標(biāo)準(zhǔn)規(guī)范的研究和制定也有參考借鑒意義。本文所提供僅是其中一種可行方案，從業(yè)工程師需要根據(jù)儲(chǔ)能系統(tǒng)的實(shí)際應(yīng)用場(chǎng)景和各公司的能力進(jìn)行合理選擇。

審核編輯：湯梓紅