标准搜索结果: 'GB/T 39086-2020'
标准编号 | GB/T 39086-2020 (GB/T39086-2020) | 中文名称 | 电动汽车用电池管理系统功能安全要求及试验方法 | 英文名称 | Functional safety requirements and testing methods for battery management system of electric vehicles | 行业 | 国家标准 (推荐) | 中标分类 | T35 | 国际标准分类 | 43.040 | 字数估计 | 34,328 | 发布日期 | 2020-09-29 | 实施日期 | 2021-04-01 | 起草单位 | 中国汽车技术研究中心有限公司、宁德时代新能源科技股份有限公司、泛亚汽车技术中心有限公司、蜂巢能源科技有限公司、上海蔚来汽车有限公司、上海炙云新能源科技有限公司、惠州市亿能电子有限公司、惠州市蓝微新源技术有限公司、东软睿驰汽车技术有限公司、华霆(合肥)动力技术有限公司、上海海拉电子有限公司南京研发分公司、万向一二三股份公司、深圳市科列技术股份有限公司、比亚迪汽车工业有限公司、力高(山东)新能源技术有限公司、东莞钜威动力技术有限公司、一汽大众汽车有限公司、广州小鹏汽车科技有限公司、杭州华塑加达网络科技有限公司 | 归口单位 | 全国汽车标准化技术委员会(SAC/TC 114) | 提出机构 | 中华人民共和国工业和信息化部 | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 |
GB/T 39086-2020
电动汽车用电池管理系统功能安全要求及试验方法
Functional safety requirements and testing methods for battery management system of electric vehicles
1 范围
本标准规定了电动汽车用动力蓄电池管理系统(以下简称“电池管理系统”)的功能安全要求及试验
方法。
本标准适用于电动乘用车用锂离子动力蓄电池管理系统,其他类型动力蓄电池的管理系统及其他
类型车辆的动力蓄电池管理系统可参照执行。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 18384-2020 电动汽车安全要求
GB/T 19596-2017 电动汽车术语
GB/T 34590-2017(所有部分) 道路车辆 功能安全
GB 38031-2020 电动汽车用动力蓄电池安全要求
GB/T 38661-2020 电动汽车用电池管理系统技术条件
3 术语和定义
GB/T 19596-2017和GB/T 34590.1-2017界定的以及下列术语和定义适用于本文件。为便于
使用,以下重复列出了GB/T 19596-2017中的一些术语和定义。
3.1
蓄电池管理系统
监视蓄电池的状态(温度、电压、荷电状态等),可以为蓄电池提供通信、安全、电芯均衡及管理控制,
并提供与应用设备通信接口的系统。
[GB/T 19596-2017,定义3.3.2.1.10]
3.2
电池单体
将化学能与电能进行相互转换的基本单元装置,通常包括电极、隔膜、电解质、外壳和端子,并被设
计成可充电。
[GB 38031-2020,定义3.1]
3.3
高压系统
电动汽车内部B级电压以上与动力电池直流母线相连或由动力电池电源驱动的高压驱动零部件系统,主要包括但不限于:动力电池系统和/或高压配电系统(高压继电器、熔断器、电阻器、主开关等),电机及其控制系统、DC/DC变换器和车载充电机等。
[GB/T 19596-2017,定义3.1.2.1.11]
3.4
动力蓄电池系统
一个或一个以上蓄电池包及相应附件(蓄电池管理系统、高压电路、低压电路、热管理设备以及机械
总成)构成的为电动汽车整车的行驶提供电能的能量存储装置。
[GB/T 19596-2017,定义3.1.2.1.9]
3.5
故障容错时间间隔
在安全机制未被激活情况下,从相关项内部故障发生到可能发生危害事件的最短时间间隔。
注1:安全相关的时间间隔参见图1。
注2:评估所有危害事件的最短时间间隔,其取决于危害的特征。
注3:FTTI与相关项的功能异常表现而引起的危害有关。FTTI是安全目标的属性。
注4:在容错时间间隔内,如果相关项保持在安全状态或过渡到安全状态或过渡到紧急运行,则表明安全机制及时对故障进行了处理。
注5:危害事件的发生取决于存在的故障并且车辆处于故障可影响车辆行为的场景中。
示例:制动系统失效可能不会导致危害事件,直到实施制动。
注6:当仅在相关项层面定义FTTI时,可在要素层面规定最长故障处理时间间隔和故障处理后达到的状态,以支持功能安全概念。
注7:故障探测时间间隔可包括多个诊断测试时间间隔,以允许在诊断测试时间间隔足够小于故障探测时间间隔的情况下消除错误。
3.6
热失控
电池单体放热连锁反应引起电池温度不可控上升的现象。
[GB 38031-2020,定义3.14]
3.7
热扩散
电池包或系统内由一个电池单体热失控引发的其余电池单体接连发生热失控的现象。
[GB 38031-2020,定义3.15]
3.8
爆炸
突然释放足量的能量产生压力波或者喷射物,可能会对周边区域造成结构或物理上的破坏。
[GB 38031-2020,定义3.10]
3.9
漏液
蓄电池内部电解液泄漏到电池壳体外部。
[GB/T 19596-2017,定义3.3.3.13.7]
3.10
泄气
单体电池或电池组中内部压力增加时,气体通过预先设计好的方式释放出来。
[GB/T 19596-2017,定义3.3.3.13.8]
3.11
过充电
当电芯或电池完全充电后继续进行充电。
[GB/T 19596-2017,定义3.3.3.2.4]
3.12
过放电
当电芯或电池完全放电后继续进行放电。
[GB/T 19596-2017,定义3.3.3.1.8]
3.13
起火
电池单体、模块、电池包或系统任何部位发生持续燃烧(火焰持续时间大于1s)。
注1:火焰持续时间大于1s指单次火焰持续时间,而非多次火焰的累计时间。
注2:火花及拉弧不属于燃烧。
[GB 38031-2020,定义3.11]
4 一般要求
除非特别说明,电池管理系统功能安全技术开发、流程开发等要求应按照GB/T 34590-2017(所
有部分)执行。
5 相关项定义
5.1 总则
应按照GB/T 34590.3-2017的要求进行相关项定义,相关项指实现车辆层面功能或部分功能的
系统或系统组。
注:相关项及其范围可根据具体情况定义。附录A和附录B分别给出了以电池管理系统和动力蓄电池系统为相关项的功能概念和相关项边界和接口示例。
5.2 功能概念
为满足车辆安全运行,确保车辆内部、外部人员以及车辆环境的安全,电池管理系统应对动力蓄电
池的安全运行进行监控和保护。电池管理系统的功能性要求还应满足GB 18384-2020、GB 38031-
2020、GB/T 38661-2020。
注1:附录A给出了电池管理系统充电管理和放电管理的功能概念描述。附录B给出了动力蓄电池系统提供充电和提供放电的功能概念描述。
注2:充电状态包括外部充电、内部充电(例如,整车制动能量回收)等。放电状态包括行车放电、静置放电等。
5.3 运行条件和环境约束
为满足车辆安全运行,需要明确相关项的运行条件及环境约束,可包含(如适用):
a) 外部环境,例如,温度、湿度、路况、天气等;
b) 运行模式,例如,动力蓄电池系统处于充电状态、放电状态、静置状态等,或者电池管理系统处
于工作状态或者非工作状态;
c) 相关项与整车其他相关项的依赖关系、接口关系等。
6 危害分析和风险评估
6.1 总则
根据第5章相关项定义,按照GB/T 34590.3-2017,基于车辆使用场景,分析识别相关项中因故障
而引起的危害并对危害进行归类,定义相应的汽车安全完整性等级(ASIL),制定防止危害事件发生
或减轻危害程度的安全目标,以避免不合理的风险。
注:以电池管理系统和动力蓄电池系统为相关项进行危害分析和风险评估的示例分别参见附录A
和附录B。
6.2 安全目标
通过危害分析和风险评估确定的电池管理系统的安全目标及其属性,应至少包含表1所列的内容。
7 功能安全要求
7.1 防止电池单体过充电导致热失控
7.1.1 一般要求
电池管理系统应监测电池单体电压,当电池单体电压值超过安全阈值时,使动力蓄电池系统在
FTTI时间内进入安全状态,在电池单体过充电故障退出、消除条件未满足时,不应退出安全状态。
故障探测、响应、处理应在FTTI时间内完成。
安全阈值应根据电池系统制造商过充电测试结果给出。
7.1.2 运行模式
电池管理系统应处于工作状态。
7.1.3 故障容错时间间隔
电池单体过充电故障容错时间间隔应根据电池系统制造商过充电测试结果给出。
7.1.4 安全状态的进入和退出
当确认电池单体电压值超过安全阈值时,电池管理系统应断开高压回路进入安全状态,在电池单体
过充电故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出、消除条件由相关方协商确定。
7.1.5 报警和降级概念
在电池管理系统探测到电池单体过充电故障后,应通过警告信号或提示信息等方式警告驾驶员。
如果动力蓄电池存在无法立即进入或保持安全状态的场景,应设计降级功能(例如限制充电功率)
使整车进入紧急运行模式。
7.2 防止电池单体过放电后再充电导致热失控
7.2.1 一般要求
电池管理系统应监测电池单体电压,当电池单体电压值低于安全阈值时,使动力蓄电池系统在
FTTI时间内进入安全状态,在电池单体过放电故障退出、消除条件未满足时,不应退出安全状态。
故障探测、响应、处理应在FTTI时间内完成。
安全阈值应根据电池系统制造商过放电测试结果给出。
7.2.2 运行模式
电池管理系统应处于工作状态。
7.2.3 故障容错时间间隔
电池单体过放电后再充电故障容错时间间隔应根据电池系统制造商过放电后再充电的测试结果
给出。
注:电池单体过放电后再充电故障容错时间间隔的确定方法参考附录C,示意图见图3。
7.2.4 安全状态的进入和退出
当确认电池单体电压值低于安全阈值时,电池管理系统应断开充电回路进入安全状态,在电池单体
过放电故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出、消除条件由相关方协商确定。
7.2.5 报警和降级概念
在电池管理系统探测到电池单体过放电故障后,应通过警告信号或提示信息等方式警告驾驶员。
如果动力蓄电池存在无法立即进入或保持安全状态的场景,应设计降级功能(例如限制充电功率、
禁止制动能量回收功能的使用)使整车进入紧急运行模式。
7.3 防止电池单体过温导致热失控
7.3.1 一般要求
电池管理系统应监测电池单体温度,当电池单体温度值高于安全阈值时,使动力蓄电池系统在
FTTI时间内进入安全状态,在电池单体过温故障退出、消除条件未满足时,不应退出安全状态。
故障探测故障探测、响应、处理应在FTTI时间内完成。
安全阈值应根据电池系统制造商过温测试结果给出。
电池系统内温度测量点的温度应能代表电池系统中电池单体的最高温度。
7.3.2 运行模式
电池管理系统应处于工作状态。
7.3.3 故障容错时间间隔
电池单体过温故障容错时间间隔应根据电池系统制造商过温的测试结果给出。
注:电池单体过温故障容错时间间隔的确定方法参考附录C,示意图见图4。
7.3.4 安全状态的进入和退出
当确认电池单体温度值高于安全阈值时,电池管理系统应断开高压回路进入安全状态,在电池单体
过温故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出、消除条件由相关方协商确定。
7.3.5 报警和降级概念
在电池管理系统探测到电池单体过温故障后,应通过警告信号或提示信息等方式警告驾驶员。
如果动力蓄电池存在无法立即进入或保持安全状态的场景,应设计降级功能(例如限制充放电功
率,禁止某些非安全运行相关功能的运行)使整车进入紧急运行模式。
7.4 防止动力蓄电池系统过流导致热失控
7.4.1 一般要求
电池管理系统应监测动力蓄电池系统电流,当动力蓄电池系统电流值高于安全阈值时,使动力蓄电
池系统在FTTI时间内进入安全状态。在蓄电池系统过流故障退出、消除条件未满足时,不应退出安
全状态。故障探测、响应、处理应在FTTI时间内完成。
安全阈值应根据电池系统制造商过流测试结果给出,并考虑到电池单体温度的影响。
7.4.2 运行模式
电池管理系统应处于工作状态。
7.4.3 故障容错时间间隔
动力蓄电池系统过流故障容错时间间隔应根据电池系统制造商过流测试结果给出。
注:动力蓄电池系统过流故障容错时间间隔的确定方法参考附录C,示意图见图5。
7.4.4 安全状态的进入和退出
当确认动力蓄电池系统电流值高于安全阈值时,电池管理系统应断开高压回路进入安全状态,在动
力蓄电池系统过流故障退出、消除条件未满足时,不应退出安全状态。
注:故障退出、消除条件由相关协商确定。
7.4.5 报警和降级概念
在电池管理系统探测到电池单体过流故障后,应通过警告信号或提示信息等方式警告驾驶员。
如果动力蓄电池存在无法立即进入或保持安全状态的场景,应设计降级功能(例如限制充放电功
率、禁止某些非安全相关功能的运行)使整车进入紧急运行模式。
8 功能安全验证和确认
8.1 总则
功能安全验证是确定功能安全要求的完整性和正确性,功能安全确认是确认安全目标得到充分实
现且在系统及整车层面能够减轻或避免危害事件的发生。
功能安全验证应在电池管理系统层面对功能安全要求与设计进行验证,验证方法包括评审、走查、
检查、模型检查、模拟、工程分析、证明和测试,验证的目的是证明功能安全要求:
a) 与验证活动的结果的一致性与符合性;
b) 实现的正确性。
本标准中主要给出基于测试的功能安全验证方法,测试可在模拟环境或真实环境下进行。
功能安全确认需要在动力蓄电池系统或整车层面对功能安全目标的实现进行确认,确认方法包含
检查和测试,目的包括:
a) 证明安全目标在整车层面的实现是正确的、完整的并得到完全实现;
b) 安全目标能够预防或减轻危害分析和风险评估中识别的危害事件及风险。
本标准中主要给出基于测试的功能安全确认方法。
8.2 功能安全验证
8.2.1 防止电池单体过充电导致热失控
8.2.1.1 测试目的
电池管理系统应监测电池单体电压,当电池单体电压值超过安全阈值时,使动力蓄电池系统在
FTTI时间内进入安全状态,在电池单体过充电故障退出、消除条件未满足时,不应退出安全状态。
8.2.1.2 测试对象
测试对象为电池管理系统。
8.2.1.3 测试要求
8.2.1.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.1.2规定的运行模式;
c) 模拟电池单体电压信号进行测试;
d) 调节模拟的电池单体电压信号,电池单体电压应至少包含低于安全阈值、达到安全阈值及高于
安全阈值三个电压取值;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.1.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.1.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的充电倍率进行充电,直到高于安全阈值;
d) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
e) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.1.4 测试结束条件
8.2.1.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.1.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.1.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.2.2 防止电池单体过放电后再充电导致热失控
8.2.2.1 测试目的
电池管理系统应监测电池单体电压,当电池单体电压值低于安全阈值时,使动力蓄电池系统在
FTTI时间内进入安全状态,在电池单体过放电故障退出、消除条件未满足时,不应退出安全状态。
8.2.2.2 测试对象
测试对象为电池管理系统。
8.2.2.3 测试要求
8.2.2.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.2.2规定的运行模式;
c) 模拟电池单体电压信号,进行测试;
d) 调节模拟的电池单体电压信号,电池单体电压应至少包含低于安全阈值、达到安全阈值及高于
安全阈值三个电压取值;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.2.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.2.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的放电倍率进行放电,直到低于安全阈值;
d) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
e) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.2.4 测试结束条件
8.2.2.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.2.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.2.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.2.3 防止电池单体过温导致热失控
8.2.3.1 测试目的
电池管理系统应监测电池单体温度,当电池单体温度值高于安全阈值时,使动力蓄电池系统在
FTTI时间内进入安全状态,在电池单体过温故障退出、消除条件未满足时,不应退出安全状态。
8.2.3.2 测试对象
测试对象为电池管理系统。
8.2.3.3 测试要求
8.2.3.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.3.2规定的运行模式;
c) 模拟电池单体温度信号,进行测试;
d) 模拟的电池单体温度信号,电池单体温度应至少包含低于安全阈值、达到安全阈值及高于安全
阈值3个温度取值;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.3.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.3.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的充放电倍率进行充放电或者其他电池系
统制造商推荐的电池单体加热方法,直到电池单体温度高于安全阈值;
d) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
e) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.3.4 测试结束条件
8.2.3.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.3.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.3.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.2.4 防止动力蓄电池系统过流导致热失控
8.2.4.1 测试目的
电池管理系统应监测蓄电池系统电流,当动力蓄电池系统电流值高于安全阈值时,使动力蓄电池系
统在FTTI时间内进入安全状态。在蓄电池系统过流故障退出、消除条件未满足时,不应退出安全
状态。
8.2.4.2 测试对象
测试对象为电池管理系统。
8.2.4.3 测试要求
8.2.4.3.1 模拟环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.4.2规定的运行模式;
c) 模拟动力蓄电池系统电流信号,进行测试;
d) 测试需要考虑影响电流安全阈值的参数,例如温度等;
e) 调节模拟的动力蓄电池系统电流信号,动力蓄电池系统电流应至少包含低于安全阈值、达到安
全阈值及高于安全阈值三个电流取值;
f) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
g) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.4.3.2 真实环境下测试应满足如下要求:
a) 影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b) 测试应针对7.4.2规定的运行模式;
c) 测试对象所在的电池系统应由电池系统制造商许可的充放电倍率的变化速率逐步提高充放电
电流进行充放电,直到电流超过安全阈值;
d) 测试需要考虑影响电流安全阈值的参数,例如温度等;
e) 测试应对电池管理系统进入安全状态的过程(例如,安全阈值、时间、状态切换)进行监控;
f) 测试应对电池管理系统退出安全状态的条件进行监控。
8.2.4.4 测试结束条件
8.2.4.4.1 当符合以下任一条件时,结束模拟环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态。
8.2.4.4.2 当符合以下任一条件时,结束真实环境下测试:
a) 测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b) 测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 测试对象在故障容错时间间隔内未进入安全状态;
d) 测试对象所在电池系统发生漏液、泄气、起火或爆炸。
8.2.4.5 测试通过准则
测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态。
8.3 功能安全确认
8.3.1 防止电池单体过充电导致热失控
8.3.1.1 目的
确认安全目标“防止电池单体过充电导致热失控”得到正确实现,并能够有效预防由于电池单体过
充电导致热失控的发生。
8.3.1.2 确认对象
确认对象为动力蓄电池系统。
8.3.1.3 确认要求
确认应满足如下要求:
a) 影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b) 确认应在整车层面进行,至少包含真实的电池系统,基于车辆的实际工况或者模拟的车辆实际
工况;
注1:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c) 确认应包含违背安全目标的典型失效模式;
注2:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如非预期的充电。
d) 确认应对动力蓄电池系统进入安全状态的过程(例如,安全阈值、时间和状态切换)进行监控;
e) 确认应对动力蓄电池系统的状态进行监控;
f) 确认应对动力蓄电池系统退出安全状态的条件进行监控;
g) 确认结束后,应在确认环境温度下观察1h。
8.3.1.4 确认结束条件
当符合以下任一条件时,结束试验:
a) 确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且电池未发生漏
液、泄气、起火或爆炸;
b) 确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 确认对象在故障容错时间间隔内未进入安全状态;
d) 确认对象发生漏液、泄气、起火或爆炸。
8.3.1.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且在观察时间内未发生漏
液、泄气、起火或爆炸。
8.3.2 防止电池单体过放电后再充电导致热失控
8.3.2.1 目的
确认安全目标“防止电池单体过放电后再充电导致热失控”得到正确实现,并能够有效预防由于电
池单体过放电后再充电导致热失控的发生。
8.3.2.2 确认对象
确认对象为动力蓄电池系统。
8.3.2.3 确认要求
确认应满足如下要求:
a) 影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b) 确认应在整车层面进行,至少包含真实的电池系统,车辆的实际工况或者模拟车辆使用的
工况;
注1:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c) 确认应包含违背安全目标的典型失效模式;
注2:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如非预期的放电。
d) 确认应对动力蓄电池系统进入安全状态的过程(例如,安全阈值、时间和状态切换)进行监控;
e) 确认应对动力蓄电池系统的状态进行监控;
f) 确认应对动力蓄电池系统退出安全状态的条件进行监控;
g) 确认结束后,应在确认环境温度下观察1h。
8.3.2.4 确认结束条件
当符合以下任一条件时,结束确认:
a) 确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且电池未发生漏
液、泄气、起火或爆炸;
b) 确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c) 确认对象在故障容错时间间隔内未进入安全状态;
d) 确认对象发生漏液、泄气、起火或爆炸。
8.3.2.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且在观察时间内未发生漏
液、泄气、起火或爆炸。
8.3.3 防止电池单体过温导致热失控
8.3.3.1 目的
确认安全目标“防止电池单体过温导致热失控”得到正确实现,并能够有效预防由于电池单体过温
导致热失控的发生。
8.3.3.2 确认对象
确认对象为动力蓄电池系统。
8.3.3.3 确认要求
确认应满足如下要求:
a) 影响测试对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b) 确认应在整车层面进行,至少包含真实的电池系统,车辆的实际工况或者模拟车辆使用的
工况;
注1:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c) 确认应包含违背安全目标的典型失效模式;
注2:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如高温下充电。
d) 确认应对动力蓄电池系统进入安全状态的过程(例如,安全阈值、时间和状态切换)进行监控;
e) 确认应对动力蓄电池系统的状态进行监控;
f) 确认应对动力蓄电池系统退出安全状态的条件进行监控;
g) 确认结束后,应在确认环境温度下观察1h。
8.3.3.4......
|