|
本帖最后由 qwqwqw2088 于 2024-5-6 08:32 编辑
锂电池的使用越来越多,电池管理系统(BMS)的必要集成导致国际标准对电动汽车应用的功能安全提出了要求,尤其是电动汽车。这项工作涵盖了从概念阶段到验证活动的功能安全增强型汽车BMS的完整设计。首先,对锂电池的内在危害进行了详细分析。其次,对汽车锂基电池进行危害和风险评估,以解决由汽车应用产生的特定风险,并确定要实现的安全目标。安全目标导致BMS从设备的下一个硬件设计和原型设计的技术安全要求。最后,评估BMS从设备的失效率,以验证所开发的增强型BMS从设备是否符合功能安全汽车安全完整性等级(ASIL)C。本文提供了符合ISO 26262汽车锂电池功能安全标准要求的BMS的设计方法。
原文作者:David Marcos,Maitane Garmendia,Jon Crego,José Antonio Cortajarena
01. 简介
近年来,电动汽车市场不断增长,电动汽车保有量每两年翻一番。这种增长也推动了锂电池市场的增长,因为锂已成为汽车应用中存储能量的首选技术之一。随着这种增长,对锂电池的研究重点是提高其功率/能量密度和能力,以及其可靠性和安全性,以满足市场需求。
事实上,锂电池在其整个生命周期中可能会发生多种失效机制。因此,在电池组的设计、制造、调试、运行和退役过程中应执行特殊规定,以确保安全。其中,电池管理系统(BMS)是电子控制单元,负责在运行过程中对电池进行持续监控和保护,以避免任何电气和热管理的误操作。BMS必须可靠且安全,尽管情况并非总是如此。因此,市场和国际标准最近要求增强BMS设计,以支持更高的电池安全性。目前,最先进的BMS设计必须进行升级,以有助于提高电池安全性并走向更值得信赖的技术。
电池管理系统属于保护系统,因此应遵循以安全为导向的设计。在此框架中,提出了对BMS设计中应用的安全要求和方法的审查,并得到功能安全标准和电池安全标准的支持。本文提出了一种符合汽车锂电池功能安全要求的增强型BMS的V型设计方法(图 1)。
图1. 以安全为导向的设计方法
在多种设计和开发方法中,安全相关系统遵循的方法将完整性和安全性置于开发时间和成本之上。V型方法以及瀑布模型是一个顺序过程,需要完成每个活动才能进入下一个任务。然而,与瀑布模型不同的是,V型方法是一个迭代过程,这是确保设计过程中不犯错误所必需的。V型方法由五个阶段组成:概念阶段、规范、开发、验证以及生产和运营。虽然不被视为一个阶段,但安全管理活动必须存在于各个阶段,其中对产品生命周期的监管至关重要。此外,开发阶段被分解为硬件和软件开发,每个阶段都有自己的 V 形方法,包括规范、开发和验证。在V型的最下端,原型或版本得以实现。V型方法是迭代的,因为如果在验证、确认或生产阶段出现任何故障,项目可以分别返回到硬件/软件规范、系统级规范或概念阶段,以修正故障。所提出方法的目标是弥补最先进BMS设计中的空白,同时考虑各个方面的安全性。
作为该方法的第一步,第2节包括概念阶段,并介绍了汽车电池组中锂基电池的安全评估,从而分配BMS要实现的安全目标。作为该方法的第二步和第三步,第3节收集了源自这些安全目标的技术安全要求以及增强型BMS从设备(作为整体BMS的一部分)的最终设计。作为该方法的第四步也是最后一步,第4节描述了通过失效模式、影响和诊断分析对增强型BMS从设备的验证。最后,第5节总结了获得的结论。
02. 概念阶段:危害和风险评估以及安全目标分配
作为一般定义,安全目标是BMS必须实现的顶级目标,以确保锂电池的安全。它们源自对特定汽车应用研究的危害分析和风险评估,并且必须保持一致,以将风险控制在可接受的水平。汽车安全完整性等级 (ASIL) 是ISO 26262标准(汽车行业功能安全标准)定义的风险分类。它是IEC 61508标准(一般应用的功能安全标准)中使用的安全完整性等级 (SIL) 的衍生版。这种分类有助于定义前面提到的必要的风险降低。ASIL是通过在危害和风险评估中查看危害的可能性和后果来建立的。
该标准将必要的风险降低分为:ASIL A、ASIL B、ASIL C、ASIL D和QM(质量管理)。ASIL D规定了功能集成的最高安全要求,可以最大程度地降低风险,而ASIL A最低。归类为质量管理的风险必须经过定期的质量管理设计流程。
在接下来的子章节中,将对汽车应用的锂电池进行危害分析和风险评估。为此,对应用场景进行了简要描述,并考虑了锂电池的安全问题。该评估对已识别的风险进行分类并推断所需的ASIL。最后推导并分配安全目标。
2.1. 危害分析
锂基电池是纯电动汽车的主要能源。它是车辆牵引系统的一部分,有多个设备与其连接,包括负责控制它的BMS。图2描绘了电池电动汽车牵引系统的框图,该系统集成了高压 (HV) 锂基电池和低压 (LV) 铅酸电池。
图2.应用场景描述
BMS同时由BMS从设备(每个模块一个)、BMS主控制器和电源监控和断开单元 (PMDU) 组成。BMS从设备从电池收集监测数据并将其传输至 BMS主控制器。此外,BMS从设备还包括电池平衡电路。如果电池中的电池充电不均匀、它们的最大容量彼此不同、或者它们的电池内部或外部电路漏电流的差异都会导致电池不平衡。电池不平衡会导致电池过度充电和过度放电,并且还会阻止应用程序充分利用电池容量。因此,需要给BMS分配电池平衡电路和平衡算法来克服这个问题。BMS主控器处理BMS从控器发送的数据,并控制它们协调测量和执行平衡算法。BMS主控器还控制PMDU,PMDU用于保持与应用程序的电池连接和断开接触器以及保险丝和预充电电路。在蓄电池工作期间,BMS将蓄电池连接到牵引系统,并传输与蓄电池相关的数据。如果存在任何安全问题,BMS必须中断蓄电池电流。此外,BMS必须包括相关的电池参数估计算法,例如用于确定电池中剩余容量的电荷状态(SoC)、用于估计从寿命开始的容量衰减的健康状态(SoH)以及用于精确功率容量估计的功率状态(SoP)。这些先进的估计算法对于操作电池是必要的,并且有助于电池安全。
锂基电池存在本质安全问题。影响其安全性的主要参数是温度、电压、电流、机械损伤、制造污染,甚至串联电池的数量。这些参数界定了所谓的安全操作区域 (SOA),其阈值因电池成分而异。当电池在SOA之外运行时,会发生二次反应,这会导致电池快速退化甚至引发火灾。
电池的电气和化学行为受温度影响很大。当电池暴露在60℃以上的温度下时,就会开始发生危险的二次反应。当电池温度升高到最高温度以上并且散热速率足以将其冷却时,它可以承受过热事件。然而,如果温度持续升高,可能会引发热失控。
热失控是放热反应产生的热量加速反应速率,进而增加热量产生速率的过程。热失控是一种导致电池塌陷的温度正反馈。首先分解固体电解质界面层。然后,阳极与电解质发生反应,隔膜熔化,电极分解,最后电解质分解。在热失控过程中,产生的气体会增加电池的内部压力。内部压力会导致电池破裂,释放出有毒气体、火灾和爆燃。当多个电池组合在一个模块中时,热失控可以通过热传递传播。此外,热失控还会在受影响的电池中产生内部短路,因此,它也可能传播到并联电池。当电池电压较高时以及电池阳极中存在锂沉积物时,热失控的起始温度会降低。当反应成分被消耗时,热失控事件结束。
另一方面,锂基电池的化学反应动力学在低温下会降低。在电池充电过程中,阳极中缓慢的锂插层和扩散会导致锂沉积。当电池在较低温度端进一步误用时,它们会以枝晶的形式生长锂沉积物,最终穿透隔膜并使电极内部短路(钛酸锂(LTO)型电池除外)。内部短路会大大增加电池的发热并导致受影响的电池热失控。低温下电池的功率能力会下降,最低温度限制是电解质冻结温度,通常低于-20℃,在该温度下电池无法循环。
锂电池发热的最大贡献者是电流。此外,电流也是电池老化的第二大因素。外部短路是电池过流的最大指数。此外,对于由锂金属阳极制成的电池,如Li-O2和Li-Sulfur电池,在高电流率下,在阳极中产生锂镀层。
关于电压,如果锂电池的端电压高于电池的最大电压,则锂电池会被过度充电。电池过度充电可能是由于电池内部存在过度充电或充电电流过大造成的。当电池充电时,锂离子和电子从阴极移动到阳极。当阴极的锂离子耗尽时就会发生过度充电。高氧化电位引起永久晶体变化后,阴极变得不稳定,导致阴极释放氧气,分解电解质。此外,阳极中锂离子的过度嵌入会导致锂镀层。在过度充电过程中,副反应会释放气体和热量,从而促进电池排气和起火。电池对过充的响应与过充电压、电流以及环境条件和电池成分有关,其中阴极是影响最大的成分。当由于电池过度充电而发生热失控时,由于存储了额外的能量,该事件变得更加危险。另一方面,低充电率下的小幅过度充电可以在不发生火灾的情况下克服,但对电池进行轻微且反复的过度充电最终将引发热失控。
在锂电池的过放电过程中,石墨阳极会脱锂,这会分解固体电解质中间层并释放CO和CO2气体。此外,铜集电器变得与高阳极电势不兼容,导致铜溶解。溶解的铜沉积在阳极表面,形成枝晶,有时会使电池短路。当电池过度放电时,由于电池能量较低,内部短路并不是很危险。然而,当电池充电时,内部短路的行为就像一个低值电阻器,会增加电池的温度,这可能导致热失控。如果过度放电期间没有发生短路,电池仍然可以工作并且可以充电。对电池进一步放电或连续过度放电会增加内部短路的可能性。过放电后,如果电池再充电,固体电解质界面可能会再生,但阳极电阻也会增加。此外,锂离子在固体电解质中间层的再生过程中被消耗,从而永久降低电池容量。
电池上的机械应力也可能导致内部短路,这可能是由于电池外壳的穿透或以振动或冲击的形式施加在电池上的重力。在这两种情况下,电极都是电连接的,使电池短路并在短时间内释放大量能量。此外,电极在电池工作期间不断膨胀和收缩。经过几次电和热循环后,电极可能会发生位移,如果设计和制造不当,可能会导致它们接触并短路。此外,在电池制造过程中,任何污染物都会污染电池。污染物可能沉积在电极中并以枝晶的形式生长,导致内部短路。
总之,“火灾、爆燃和气体”是与锂电池相关的固有危害。除此之外,“触电”和“功能丧失导致的车辆事故”也是高压电池应用于电动汽车时的其他潜在危害。
大多数与SOA之外的电池操作相关的误用事件都会导致与火灾、爆燃和气体排放相关的危害。电缆或PCB等局部组件过热也可能导致其着火。此外,锂基电池中通常使用的液体电解质含有有机溶剂(例如碳酸乙烯酯、二甲基碳酸酯、乙基甲基碳酸酯等)和锂盐(例如LiPF6、LiBF4或LiClO4)的混合物。如果电池泄漏电解质,它会与环境水分发生反应并生成具有高度刺激性的氢氟酸(HF)。电解质气体与空气混合时也会形成爆炸性混合物。
串联电池会增加最终电池的电压。高压电池存在电气风险,其带电部件和可触及部件之间的任何绝缘故障都可能导致触电和电弧形成。
最后,电池组实现电动汽车的基本功能。在关键情况下(例如在高速公路上高速行驶),任何电池组功能的丧失都可能导致事故。电池所实现的基本功能不仅限于供电和存储,还包括数据通信以及与连接设备的协调,因此必须确保这些功能。
2.2. 风险评估
风险评估包括列出已识别的危害及其原因、规划可用于预防或减轻危害的措施,以及评估风险以确定必要的风险降低措施。根据ISO 26262标准中建议的三个单独参数来评估风险:严重度 (S)、暴露度(E) 和可控度 (C)。每个参数都有不同的级别,以对其对评估的危害原因的风险的贡献进行定性分类。危害的严重程度分为四个级别,从S0(无伤害)到 S3(危及生命的伤害)。危害暴露度分为五个级别,从E0(不可信)到E4(非常有可能)。最后,危害的可控性也分为四个等级,从C0(一般可控)到C3(难以控制或不可控)。
通过表1中的风险图矩阵,从严重度、暴露和可控度参数推断出风险水平。风险图矩阵将可容忍风险和必要的风险降低联系起来,结果是适用于所评估原因的ASIL。S0、E0和C0的任何组合都会产生QM要求。当QM的要求适用时,风险通常很低,但决不能忽视。预防或控制风险原因的功能的设计和开发必须至少符合质量管理体系,如从ISO 9001或ISO/TS 16949标准指南中获得的质量管理体系。质量管理体系有助于防止错误和控制设计过程。至于ASIL A至D要求,除了质量管理体系外,ISO 26262还要求包括广泛的分析、流程和文件,以证明设计的功能具有适当的措施,可以在要求的范围内降低风险。
表1. ISO 26262 的风险图表矩
关于汽车锂基电池的风险评估,表2列出了所有已识别的危害及其部分原因。主要原因被分解为组件级别的原因,包括尽可能多的详细信息,以正确识别危害的根源。可以通过归纳或演绎得出所有原因和细节。归纳方法需要识别每种可能的失效原因并评估它是否会导致给定的危害。反过来,演绎方法是通过思考给定的危害如何产生并将原因分解为失效模式来实现的。然后,规划与E/E/PE系统无关的预防和缓解措施。预防措施旨在减少危害暴露,而缓解措施则试图在危害发生时降低其严重程度。
表2. 危害和风险分析(各个传播行的提取样本)
经过危害和风险分析后,表 3 评估了每个危害原因的风险。考虑到已计划的预防和缓解措施,分配严重度、暴露度和可控度参数及其基本原理。该分配是定性的,符合作者的判断以及给定的理由,前提是没有公开的定量数据来计算必要的风险降低。
表3. 风险评估
2.3. 安全目标定义
如果分配的非E/E/PE预防和缓解措施不充分,则为E/E/PE安全相关系统(即本例中的BMS)规划安全目标。安全目标 (SG) 列于表 4 中,并按表 3 中的原因进行分配。
表4. 安全目标定义
然后导出安全目标以满足安全要求、安全架构和诊断。规范和诊断的范围取决于指定的ASIL,例如,如果安全目标的ASIL被低估,则无法满足真正必要的风险降低,而高估ASIL可能会大大增加开发成本。
| 
提升卡
变色卡
千斤顶
1/7 
京公网安备 11010802033920号
Copyright © 2005-2025 EEWORLD.com.cn, Inc. All rights reserved
