/ EN

如何定义和实施电动汽车和电池储能系统 (BESS) 中的电池功能安全?

发布日期:2025-01-21

锂离子电池可以储存大量能量,并且可以支持高功率传输率。它们是电动汽车和大型电池储能系统 (BESS) 的首选储能技术。但如果管理不当,它们也会带来安全隐患。这使得功能安全成为设计电动汽车和 BESS 等大型锂离子电池时的关键考虑因素。


本常见问题解答回顾了维持锂电池安全工作区 (SOA) 运行的重要性以及电池管理系统 (BMS) 的功能,然后简要介绍了 IEC 61508、ISO 26262 和 UL 1973 中定义的一些功能安全的基本概念,研究了危险与风险的定义以及功能安全评估的示例,并考虑了与使用组合框、多核处理器和 BMS 冗余系统架构相关的挑战。


影响锂离子电池安全性的主要因素包括电压、电流、温度和机械损坏。机械损坏通常与电池事故或误用有关。SOA 主要由 V、I 和 T 组成,具体值根据所使用的锂离子化学成分而有所不同(图 1)。如果锂离子电池在 SOA 之外运行,则可能开始发生二次反应,导致电池性能下降,甚至出现危险情况。从根本上讲,锂离子电池组包括 V、I 和 T 传感器,BMS 使用这些传感器来确保电池在 SOA 内正常运行。一些电池组还包括气体检测和其他传感器,以便对因机械损坏或 SOA 之外运行而引起的危险情况提供早期预警。

图 1.了解特定锂离子化学的 SOA 是满足功能安全要求的关键(图片:Lithium Balance A/S)。


虽然具体细节取决于电池化学性质,但电流是锂离子电池产生热量的最大因素。大电流也会加速电池老化。过高电压和过度充电也存在安全隐患,可能会导致电池损坏。如果电池过度充电,可能会发生副反应,产生气体和热量,从而导致电池排气,在极端情况下还会引起火灾。


精心设计的 BMS 和电源监控和断开装置 (PMDU) 对锂离子电池的安全运行和长寿命至关重要。大型电池组(如电动汽车和 BESS 中的电池组)由众多模块组成。除了 V、I 和 T 之外,还必须监控每个模块中的每个电池以进行电池平衡。由于制造工艺的差异,模块中的电池单元并不完全匹配,因此需要 BMS 来支持电池平衡。电池之间的不平衡会导致它们以不同的速率充电,并可能导致模块中的不安全状况。BMS 监控单个电池的充电并补偿不平衡。


除了一套传感器外,BMS 还包括几种参数估计算法。电池组的安全可靠运行取决于充电状态 (SoC),用于确定电池的剩余容量;健康状态 (SoH),用于估计电池组在多次充电和放电过程中经历的容量衰减;以及功率状态 (SoP),用于指示电池的功率输送能力。


受到保护

保护是 BMS 的主要功能。BMS 可保护电池免受过度充电或放电、过高温度和其他不良操作条件的影响,并保护人们免受电池燃烧或爆炸等危险的影响。不同的应用有不同的安全标准。IEC 61508 适用于包括 BESS 在内的大多数应用,并定义了安全完整性等级 (SIL)。ISO 26262 专门针对汽车行业,并定义了汽车安全完整性等级 (ASIL)。UL 1973 是一个混合包,适用于轻型电动轨道和固定应用中使用的电池组。


各种标准中定义的安全目标提供了 BMS 和整个电池系统的预期性能水平。它们是使用基于两个因素的安全分析得出的:


  • 危险识别:危险是任何可能造成伤害的事物,包括人身伤害或健康损害。

  • 风险分析和评估:风险分析量化一个人受到危险伤害的可能性,包括对伤害的严重程度的评估。


功能安全可以设计到电池组中,并使用各种管理方法确认其有效性。例如,产品开发团队应特别关注安全管理和安全规范的实施;质量保证团队可以执行安全评估,包括确认审查和流程审核,并可以实施专门的功能安全能力中心来支持对流程及其结果的技术审查和评估(图 2)。

图 2. 电池组的功能安全设计需要多个学科的协调(图片:瑞萨电子)。


组合盒挑战

所谓的组合盒可能带来额外的功能安全挑战。组合盒包括两个相关但独立的子系统,如车载充电器 (OBC) 与 DC/DC 转换器配对。子系统组合在一起以共享资源,由于组件较少而提高可靠性,并减少维护和成本。例如,冷却系统可以由 OBC 和 DC/DC 共享。这还可以提高功率/系统密度并减轻系统重量。


性能和成本优势当然很有吸引力,但事情并非那么简单。集成系统可能带来与可制造性、噪声水平、热管理和安全性相关的挑战。如果一个或多个集成系统是安全关键系统(如 BMS 或传动系统逆变器),则整个组合盒可能要满足严格的 ASIL 要求。安全关键系统的示例包括某些 DC/DC 转换器、传动系统逆变器和电机、电池充电控制器、OBC 和 BMS(图 3)。

图 3. 组合框在电动汽车动力系统中的使用日益增多,也增加了满足 ASIL 要求的挑战(图片:西门子)。


所需的 ASIL 认证适用于运行系统的软件和硬件。要实现 ASIL 功能安全,需要 MCU 和具有多核支持的 AUTOSAR(汽车开放系统架构)软件堆栈以及 AUTOSAR 基础软件 (BSW)。AUTOSAR 是软件的全球标准,它支持开放的 E/E 系统架构,适用于需要高可靠性(尤其是安全性和保密性)的智能移动平台(如电动汽车)。


多核符合 ASIL 要求

使用多核 MCU 是满足组合盒中 ASIL 要求的一个重要方面。AUTOSAR 开发环境支持多核环境中 ASIL 合规性所需的集成、测试和分析。在组合盒中,各种功能可以分布在不同的核心上。在 DC/DC 加 OBC 组合盒中,核心 0 可用于 DC/DC 功能,核心 1 可专用于 OBC。这种方法可以简化整个系统的 ASIL 合规性。


多核实现可通过减少单个 CPU 的负载并将通信等辅助功能整合到专用核心上来提高性能。此外,不同的子系统可能需要不同的 ASIL 合规方法,而使用专用核心可以更有效地解决这些问题。


冗余电池电压和温度传感器遍布整个 EV 电池组,是 BMS 用于监控电池健康状况和确保安全运行的关键组件。BMS 和传感器之间需要保持持续连接,因为电压和温度信息会被频繁读取,并被控制处理器用来确保电池保持在 SOA 内。对于 EV 和 BESS 中的高压电池组,多个监控 IC 以堆叠架构排列,每个 IC 监控一组电池单元。


如果由于开路或短路导致电池单元和 IC 之间的连接中断,则可能会出现问题。如果发生这种情况,可能会发生危险事件。一种解决方案是使用双向环形通信和冗余路径进行电池电压测量,以提供容错能力并通过确保持续监控来提高电池组安全性。如果其中一个冗余环形通信路径发生开路或短路故障,MCU 可以通过将通信方向切换到冗余路径来继续与电池监控 IC 通信,该冗余路径继续正常运行,不会丢失温度或电压信息,确保不间断的安全(图 4)。


图 4. 在 BMS 中使用冗余通信可以提高安全性能(图片:德州仪器)。



文章转载自微信公众号:汽车研究院auto