《電動汽車用電池管理系統(tǒng)功能安全要求及試驗方法》

目次

前言................................................................................Ⅱ

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4要求...............................................................................3

5相關(guān)項定義.........................................................................3

6危害分析和風(fēng)險評估.................................................................4

7功能安全要求.......................................................................5

8功能安全驗證和確認(rèn).................................................................9

附錄A（資料性附錄）以電池管理系統(tǒng)（BMS）為相關(guān)項的危害分析和風(fēng)險評估（HARA）示例....20

附錄B（資料性附錄）以動力蓄電池系統(tǒng)為相關(guān)項的危害分析和風(fēng)險評估（HARA）示例.........27

附錄C（資料性附錄）故障容錯時間間隔（FTTI）確定方法示例.............................32

Ⅰ

前言

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由中華人民共和國工業(yè)和信息化部提出。

本標(biāo)準(zhǔn)由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC114）歸口。

本標(biāo)準(zhǔn)起草單位：

本標(biāo)準(zhǔn)主要起草人：

Ⅱ

電動汽車用電池管理系統(tǒng)功能安全要求及試驗方法

1范圍

本標(biāo)準(zhǔn)規(guī)定了電動汽車用蓄電池管理系統(tǒng)（以下簡稱電池管理系統(tǒng)）的功能安全要求及試驗方法。

本標(biāo)準(zhǔn)適用于電動乘用車用鋰離子高壓動力蓄電池管理系統(tǒng)，其它類型車輛的蓄電池管理系統(tǒng)可參

照執(zhí)行。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GBXXXXX-XXXX電動汽車安全要求

GBXXXXX-XXXX電動汽車用鋰離子動力蓄電池安全要求

GB/T34590.1-2017，道路車輛功能安全第1部分：術(shù)語(ISO26262-1:2011,MOD)

GB/T34590.2-2017，道路車輛功能安全第2部分：功能安全管理(ISO26262-2:2011,MOD)

GB/T34590.3-2017，道路車輛功能安全第3部分：概念階段(ISO26262-3:2011,MOD)

GB/T34590.4-2017，道路車輛功能安全第4部分：產(chǎn)品開發(fā)：系統(tǒng)層面(ISO26262-4:2011,MOD)

GB/T34590.5-2017，道路車輛功能安全第5部分：產(chǎn)品開發(fā)：硬件層面(ISO26262-5:2011,MOD)

GB/T34590.6-2017，道路車輛功能安全第6部分：產(chǎn)品開發(fā)：軟件層面(ISO26262-6:2011,MOD)

GB/T34590.7-2017，道路車輛功能安全第7部分：生產(chǎn)和運(yùn)行(ISO26262-7:2011,MOD)

GB/T34590.8-2017，道路車輛功能安全第8部分：支持過程(ISO26262-8:2011,MOD)

GB/T34590.9-2017，道路車輛功能安全第9部分：以汽車安全完整性等級為導(dǎo)向和以安全為導(dǎo)向

的分析(ISO26262-9:2011,MOD)

GB/T34590.10-2017，道路車輛功能安全第10部分：指南(ISO26262-10:2012,MOD)

GB/TXXXXX-XXXX電動汽車用電池管理系統(tǒng)技術(shù)條件

3術(shù)語和定義

GB/T34590.1-2017界定的以及下列術(shù)語和定義適用于本文件。

3.1蓄電池管理系統(tǒng)batterymanagementsystem；BMS

監(jiān)視蓄電池的狀態(tài)(溫度、電壓、荷電狀態(tài)等)，可以為蓄電池提供通訊、安全、電芯均衡及管理控

制，并提供與應(yīng)用設(shè)備通訊接口的系統(tǒng)。

3.2電池單體secondarycell

將化學(xué)能與電能進(jìn)行相互轉(zhuǎn)換的基本單元裝置，通常包括電極、隔膜、電解質(zhì)、外殼和端子，并被

設(shè)計成可充電。

1

3.3高壓系統(tǒng)highvoltagepowersystem

電動汽車內(nèi)部B級電壓以上與動力電池直流母線相連或由動力電池電源驅(qū)動的高壓驅(qū)動零部件系

統(tǒng)，主要包括但不限于：動力電池系統(tǒng)和/或高壓配電系統(tǒng)（高壓繼電器、熔斷器、電阻器、主開關(guān)等），

電機(jī)及其控制系統(tǒng)、DC/DC變換器和車載充電機(jī)等。

3.4動力蓄電池系統(tǒng)powerbatterysystem

一個或一個以上蓄電池包及相應(yīng)附件（蓄電池管理系統(tǒng)、高壓電路、低壓電路、熱管理設(shè)備以及機(jī)

械總成）構(gòu)成的為電動汽車整車的行駛提供電能的能量存儲裝置。

3.5故障容錯時間間隔faulttoleranttimeinterval；FTTI

在安全機(jī)制未被激活情況下，從相關(guān)項內(nèi)部故障發(fā)生到可能發(fā)生危害事件的最短時間間隔。

注1：安全相關(guān)的時間間隔參見圖1。

注2：應(yīng)評估所有危害事件的最短時間間隔，其取決于危害的特征。

注3：FTTI與相關(guān)項的功能異常表現(xiàn)而引起的危害有關(guān)。FTTI是安全目標(biāo)的屬性。

注4：在容錯時間間隔內(nèi)，如果相關(guān)項保持在安全狀態(tài)或過渡到安全狀態(tài)或過渡到緊急運(yùn)行，則表明安全機(jī)制及時

對故障進(jìn)行了處理。

注5：危害事件的發(fā)生取決于存在的故障并且車輛處于故障可影響車輛行為的場景中。

示例：制動系統(tǒng)失效可能不會導(dǎo)致危害事件，直到實施制動。

注6：雖然僅在相關(guān)項層面定義FTTI，但在要素層面可規(guī)定最長故障處理時間間隔和故障處理后達(dá)到的狀態(tài)，以支

持功能安全概念。

注7：故障探測時間間隔可包括多個診斷測試時間間隔，以允許在診斷測試時間間隔足夠小于故障探測時間間隔的

情況下消除錯誤。

圖1安全相關(guān)時間間隔

2

3.6熱擴(kuò)散thermalpropagation

電池包或系統(tǒng)內(nèi)由一個電池單體熱失控引發(fā)的其余電池單體接連發(fā)生熱失控的現(xiàn)象。

3.7熱失控thermalrunaway

電池單體放熱連鎖反應(yīng)引起電池溫度不可控上升的現(xiàn)象。

3.8爆炸explosion

突然釋放足量的能量產(chǎn)生壓力波或者噴射物，可能會對周邊區(qū)域造成結(jié)構(gòu)或物理上的破壞。

3.9漏液leakage

蓄電池內(nèi)部電解液泄漏到電池殼體外部。

3.10泄氣venting

單體電池或電池組中內(nèi)部壓力增加時，氣體通過預(yù)先設(shè)計好的方式釋放出來。

3.11過充電overcharge

當(dāng)電芯或電池完全充電后繼續(xù)進(jìn)行充電。

3.12過放電overdischarge

當(dāng)電芯或電池完全放電后繼續(xù)進(jìn)行放電。

3.13起火fire

電池單體、模塊、電池包或系統(tǒng)任何部位發(fā)生持續(xù)燃燒（火焰持續(xù)時間大于1s）。火花及拉弧不

屬于燃燒。

注：火焰持續(xù)時間大于1s是指單次火焰持續(xù)時間，而非多次火焰的累計時間。

4一般要求

除非特別說明，電池管理系統(tǒng)（BMS）功能安全技術(shù)開發(fā)、流程開發(fā)等要求參照GB/T34590-2017《道

路車輛功能安全》。

5相關(guān)項定義

5.1總則

應(yīng)按照GB/T34590-2017《道路車輛功能安全》的要求進(jìn)行相關(guān)項定義，相關(guān)項指的是實現(xiàn)車輛層

面功能或部分功能的系統(tǒng)或系統(tǒng)組。

注：相關(guān)項及其范圍可根據(jù)具體情況定義。附錄A和附錄B分別給出了以電池管理系統(tǒng)（BMS）和動力蓄電池系統(tǒng)為

相關(guān)項的功能概念和相關(guān)項邊界和接口示例。

5.2功能概念

為滿足車輛安全運(yùn)行，確保車輛內(nèi)部、外部人員以及車輛環(huán)境的安全，電池管理系統(tǒng)對充電狀態(tài)及

放電狀態(tài)下的動力蓄電池狀態(tài)進(jìn)行監(jiān)控和保護(hù)。

3

注1：附錄A給出了電池管理系統(tǒng)（BMS）充電管理和放電管理的功能概念描述。附錄B給出了動力蓄電池系統(tǒng)提供充

電和提供放電的功能概念描述。

注2：充電狀態(tài)包括外部充電、內(nèi)部充電（例如整車制動能量回收）等。放電狀態(tài)包括行車放電、靜置放電等。

5.3運(yùn)行條件和環(huán)境約束

為滿足車輛安全運(yùn)行，需要明確相關(guān)項的運(yùn)行條件及環(huán)境約束，可包含（如適用）：

1)外部環(huán)境，例如，溫度、濕度、路況、天氣等；

2)運(yùn)行模式，例如，動力蓄電池系統(tǒng)處于充電狀態(tài)、放電狀態(tài)、靜置狀態(tài)等，或者電池管理系

統(tǒng)處于激活狀態(tài)或者休眠狀態(tài)；

3)相關(guān)項與整車其他相關(guān)項的依賴關(guān)系、接口關(guān)系等。

5.4標(biāo)準(zhǔn)和法規(guī)要求

電池管理系統(tǒng)（BMS）開發(fā)可參考如下標(biāo)準(zhǔn)和法規(guī)要求：

1)GBXXXXX-XXXX《電動汽車安全要求》；

2)GBXXXXX-XXXX《電動汽車用鋰離子動力蓄電池安全要求》；

3)GB/T34590-2017《道路車輛功能安全》；

4)GB/TXXXX《電動汽車用電池管理系統(tǒng)技術(shù)條件》。

6危害分析和風(fēng)險評估

6.1總則

根據(jù)第5章相關(guān)項的功能概念，按照GB/T34590-2017《道路車輛功能安全第3部分：概念階段》，

基于車輛使用場景，分析識別相關(guān)項中因故障而引起的危害并對危害進(jìn)行歸類，定義相應(yīng)的汽車安全完

整性等級(ASIL)，制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)，以避免不合理的風(fēng)險。

注：附錄A和附錄B分別給出了以電池管理系統(tǒng)（BMS）和動力蓄電池系統(tǒng)為相關(guān)項進(jìn)行危害分析和風(fēng)險評估的示例。

6.2安全目標(biāo)

通過危害分析和風(fēng)險評估確定的電池管理系統(tǒng)（BMS）安全目標(biāo)，如表1所示，包括安全目標(biāo)、ASIL

等級、安全狀態(tài)和FTTI。

表1安全目標(biāo)

序號安全目標(biāo)ASIL安全狀態(tài)FTTI

1防止電池單體過充導(dǎo)致熱失控。C斷開高壓回路。參見7.1.3

2防止電池單體過放后再充電導(dǎo)致熱失控。C斷開充電回路。參見7.2.3

3防止電池單體過溫導(dǎo)致熱失控。C斷開高壓回路。參見7.3.3

4

4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控。C斷開高壓回路。參見7.4.3

注：充電回路指動力蓄電池從外部吸收能量的回路，包括外部充電及內(nèi)部充電（例如整車制動能量回收）。

7功能安全要求

7.1防止電池單體過充導(dǎo)致熱失控

7.1.1一般要求

電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值超過安全閾值時，使動力蓄電池系統(tǒng)在FTTI

時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過充故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

注1：故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。

注2：安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過充測試結(jié)果給出。

7.1.2運(yùn)行模式

電池管理系統(tǒng)應(yīng)處于激活狀態(tài)。

7.1.3故障容錯時間間隔（FTTI）

電池單體過充故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過充測試結(jié)果給出。

注：電池單體過充故障容錯時間間隔（FTTI）的確定方法參考附錄C，示意圖參見圖2。

電壓超過安全閾值探測到過充

正常運(yùn)行安全狀態(tài)

時間

診斷測試時間間隔故障響應(yīng)時間

故障容錯時間間隔

圖2電池單體過充故障容錯時間間隔（FTTI）

7.1.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)電池單體電壓值超過安全閾值時，電池管理系統(tǒng)應(yīng)斷開高壓回路進(jìn)入安全狀態(tài)，在電池單體

過充故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

注：故障退出、消除條件由相關(guān)方協(xié)商確定。

7.1.5報警和降級概念

在電池管理系統(tǒng)檢測到電池單體過充故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。

5

如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充電功率）

讓整車進(jìn)入緊急運(yùn)行模式。

7.2防止電池單體過放后再充電導(dǎo)致熱失控

7.2.1一般要求

電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值低于安全閾值時，使動力蓄電池系統(tǒng)在FTTI

時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過放故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

注1：故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。

注2：安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過放測試結(jié)果給出。

7.2.2運(yùn)行模式

電池管理系統(tǒng)應(yīng)處于激活狀態(tài)。

7.2.3故障容錯時間間隔（FTTI）

電池單體過放后再充電故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過放后再充電的測試結(jié)果給出。

注：電池單體過放后再充電故障容錯時間間隔（FTTI）的確定方法參考附錄C，示意圖參見圖3。

電壓低于安全閾值探測到過放

充電回路處

于斷開狀態(tài)

正常運(yùn)行安全狀態(tài)

時間

診斷測試時間間隔故障響應(yīng)時間

故障容錯時間間隔

圖3電池單體過放后再充電故障容錯時間間隔（FTTI）

7.2.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)電池單體電壓值低于安全閾值時，電池管理系統(tǒng)應(yīng)斷開充電回路進(jìn)入安全狀態(tài)，在電池單體

過放故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

注：故障退出、消除條件由相關(guān)方協(xié)商確定。

7.2.5報警和降級概念

在電池管理系統(tǒng)檢測到電池單體過充故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。

6

如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充電功率、

禁止制動能量回收功能的使用）讓整車進(jìn)入緊急運(yùn)行模式。

7.3防止電池單體過溫導(dǎo)致熱失控

7.3.1一般要求

電池管理系統(tǒng)應(yīng)監(jiān)測電池單體溫度，當(dāng)電池單體溫度值高于安全閾值時，使動力蓄電池系統(tǒng)在FTTI

時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過溫故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

注1：故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。

注2：安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過溫測試結(jié)果給出。

注3：電池系統(tǒng)內(nèi)溫度測量點的分布應(yīng)能保證代表電池系統(tǒng)中單體電池的最高溫度。

7.3.2運(yùn)行模式

電池管理系統(tǒng)應(yīng)處于激活狀態(tài)。

7.3.3故障容錯時間間隔（FTTI）

電池單體過溫故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過溫的測試結(jié)果給出。

注：電池單體過溫故障容錯時間間隔（FTTI）的確定方法參考附錄C，示意圖參見圖4。

溫度超過安全閾值探測到過溫

正常運(yùn)行安全狀態(tài)

時間

診斷測試時間間隔故障響應(yīng)時間

故障容錯時間間隔

圖4電池單體過溫故障容錯時間間隔（FTTI）

7.3.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)電池單體溫度值高于安全閾值時，電池管理系統(tǒng)應(yīng)斷開高壓回路進(jìn)入安全狀態(tài)，在電池單體

過溫故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

注：故障退出、消除條件由相關(guān)方協(xié)商確定。

7.3.5報警和降級概念

在電池管理系統(tǒng)檢測到電池單體過充故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。

7

如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充放電功率，

禁止某些非安全運(yùn)行相關(guān)功能的運(yùn)行）讓整車進(jìn)入緊急運(yùn)行模式。

7.4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控

7.4.1一般要求

電池管理系統(tǒng)應(yīng)監(jiān)測動力蓄電池系統(tǒng)電流，當(dāng)動力蓄電池系統(tǒng)電流值高于安全閾值時，使動力蓄電

池系統(tǒng)在FTTI時間內(nèi)進(jìn)入安全狀態(tài)。在蓄電池系統(tǒng)過流故障退出、消除條件未滿足時，不應(yīng)退出安全狀

態(tài)。

注1：故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。

注2：安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過流測試結(jié)果給出，并考慮到電池單體溫度的影響。

7.4.2運(yùn)行模式

電池管理系統(tǒng)應(yīng)處于激活狀態(tài)。

7.4.3故障容錯間隔（FTTI）

動力蓄電池系統(tǒng)過流故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過流測試結(jié)果給出。

注：動力蓄電池系統(tǒng)過流故障容錯時間間隔（FTTI）的確定方法參考附錄C，示意圖參見圖5。

電流超過安全閾值探測到過流

正常運(yùn)行安全狀態(tài)

時間

診斷測試時間間隔故障響應(yīng)時間

故障容錯時間間隔

圖5動力蓄電池系統(tǒng)過流故障容錯時間間隔（FTTI）

7.4.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)蓄電池系統(tǒng)電流值高于安全閾值時，電池管理系統(tǒng)應(yīng)斷開高壓回路進(jìn)入安全狀態(tài)，在蓄電池

系統(tǒng)過流故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

注：故障退出、消除條件由相關(guān)方協(xié)商確定。

7.4.5報警和降級概念

在電池管理系統(tǒng)檢測到電池單體過充故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。

8

如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充放電功率、

禁止某些非安全相關(guān)功能的運(yùn)行）讓整車進(jìn)入緊急運(yùn)行模式。

8功能安全驗證和確認(rèn)

8.1總則

功能安全驗證是確定功能安全要求的完整性和正確性，功能安全確認(rèn)是確認(rèn)安全目標(biāo)得到充分實現(xiàn)

且在系統(tǒng)及整車層面能夠減輕或避免危害事件的發(fā)生。

8.2功能安全驗證

功能安全驗證應(yīng)在電池管理系統(tǒng)層面對功能安全要求與設(shè)計進(jìn)行驗證，驗證方法包括評審、走查、

檢查、模型檢查、模擬、工程分析、證明和測試，驗證的目的是證明功能安全要求：

a)與驗證活動的結(jié)果的一致性與符合性；

b)實現(xiàn)的正確性。

本標(biāo)準(zhǔn)中主要給出基于測試的功能安全驗證方法，測試可在仿真環(huán)境或真實環(huán)境下進(jìn)行。

8.2.1防止電池單體過充導(dǎo)致熱失控

8.2.1.1測試目的

電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值超過安全閾值時，使動力蓄電池系統(tǒng)在FTTI

時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過充故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

8.2.1.2測試對象

測試對象為電池管理系統(tǒng)。

8.2.1.3測試要求

8.2.1.3.1仿真環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.1.2章節(jié)規(guī)定的運(yùn)行模式。

c)模擬電池單體電壓信號進(jìn)行測試。

d)調(diào)節(jié)模擬的電池單體電壓信號，應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全閾值三

個電壓取值。

e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.1.3.2真實環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.1.2章節(jié)規(guī)定的運(yùn)行模式。

9

c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的充電倍率進(jìn)行充電，直到高于安全閾值。

d)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

e)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.1.4測試結(jié)束條件

8.2.1.4.1當(dāng)符合以下任一條件時，結(jié)束仿真環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.2.1.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣或起火爆炸。

8.2.1.5測試通過準(zhǔn)則

測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。

8.2.2防止電池單體過放后再充電導(dǎo)致熱失控

8.2.2.1測試目的

電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值低于安全閾值時，使動力蓄電池系統(tǒng)在FTTI

時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過放故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

8.2.2.2測試對象

測試對象為電池管理系統(tǒng)。

8.2.2.3測試要求

8.2.2.3.1仿真環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.2.2章節(jié)規(guī)定的運(yùn)行模式。

c)模擬電池單體電壓信號，進(jìn)行測試。

d)調(diào)節(jié)模擬的電池單體電壓信號，應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全閾值三

個電壓取值。

e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

10

f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.2.3.2真實環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.2.2章節(jié)規(guī)定的運(yùn)行模式。

c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的放電倍率進(jìn)行放電，直到低于安全閾值。

d)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

e)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.2.4測試結(jié)束條件

8.2.2.4.1當(dāng)符合以下任一條件時，結(jié)束仿真環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.2.2.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣或起火爆炸。

8.2.2.5測試通過準(zhǔn)則

測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。

8.2.3防止電池單體過溫導(dǎo)致熱失控

8.2.3.1測試目的

電池管理系統(tǒng)應(yīng)監(jiān)測電池單體溫度，當(dāng)電池單體溫度值高于安全閾值時，使動力蓄電池系統(tǒng)在FTTI

時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過溫故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

8.2.3.2測試對象

測試對象為電池管理系統(tǒng)。

8.2.3.3測試要求

8.2.3.3.1仿真環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.3.2章節(jié)規(guī)定的運(yùn)行模式。

11

c)模擬電池單體溫度信號，進(jìn)行測試。

d)模擬的電池單體溫度信號，應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全閾值三個溫

度取值。

e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.3.3.2真實環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.3.2章節(jié)規(guī)定的運(yùn)行模式。

c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的充放電倍率進(jìn)行充放電或者其它電池系

統(tǒng)制造商推薦的電池單體加熱方法，直到電池單體溫度高于安全閾值。

d)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

e)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.3.4測試結(jié)束條件

8.2.3.4.1當(dāng)符合以下任一條件時，結(jié)束仿真環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.2.3.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣或起火爆炸。

8.2.3.5測試通過準(zhǔn)則：

測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。

8.2.4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控

8.2.4.1測試目的

電池管理系統(tǒng)應(yīng)監(jiān)測蓄電池系統(tǒng)電流，當(dāng)動力蓄電池系統(tǒng)電流值高于安全閾值時，使動力蓄電池系

統(tǒng)在FTTI時間內(nèi)進(jìn)入安全狀態(tài)。在蓄電池系統(tǒng)過流故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。

8.2.4.2測試對象

測試對象為電池管理系統(tǒng)。

12

8.2.4.3測試要求

8.2.4.3.1仿真環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.4.2章節(jié)規(guī)定的運(yùn)行模式。

c)模擬動力蓄電池系統(tǒng)電流信號，進(jìn)行測試。

d)測試需要考慮影響電流安全閾值的參數(shù)，例如溫度等。

e)調(diào)節(jié)模擬的動力蓄電池系統(tǒng)電流信號，應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全

閾值三個電流取值。

f)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

g)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.4.3.2真實環(huán)境測試應(yīng)滿足如下要求：

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)。

b)測試應(yīng)針對7.4.2章節(jié)規(guī)定的運(yùn)行模式。

c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的充放電倍率變化速率逐步提高充放電電

流進(jìn)行充放電，直到電流超過安全閾值。

d)測試需要考慮影響電流安全閾值的參數(shù)，例如溫度等。

e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控。

f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.4.4測試結(jié)束條件

8.2.4.4.1當(dāng)符合以下任一條件時，結(jié)束仿真環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.2.4.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境測試：

a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；

b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣或起火爆炸。

8.2.4.5測試通過準(zhǔn)則

13

測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。

8.3功能安全確認(rèn)

功能安全確認(rèn)需要在蓄電池或整車層面對功能安全目標(biāo)的實現(xiàn)進(jìn)行確認(rèn)，確認(rèn)方法包含檢查和測

試，目的包括：

a)證明安全目標(biāo)在整車層面的實現(xiàn)是正確的、完整的并得到完全實現(xiàn)；

b)安全目標(biāo)能夠預(yù)防或減輕危害分析和風(fēng)險評估中識別的危害事件及風(fēng)險。

本標(biāo)準(zhǔn)中主要給出基于測試的功能安全確認(rèn)方法。

8.3.1防止電池單體過充導(dǎo)致熱失控

8.3.1.1目的

確認(rèn)安全目標(biāo)“防止電池單體過充導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于電池單體過充

導(dǎo)致熱失控的發(fā)生。

8.3.1.2確認(rèn)對象

確認(rèn)對象為動力蓄電池系統(tǒng)。

8.3.1.3確認(rèn)要求

a)影響確認(rèn)對象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；

b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，基于車輛的實際工況或者模擬的車輛實

際工況；

注：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式。

注：典型失效模式應(yīng)至少包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如非預(yù)期的充電。

d)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)

控。

e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控。

f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

g)確認(rèn)結(jié)束后，應(yīng)在確認(rèn)環(huán)境溫度下觀察1小時。

8.3.1.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時，結(jié)束試驗：

a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏

液、泄氣或起火爆炸。

b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

14

c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)確認(rèn)對象發(fā)生漏液、泄氣或起火爆炸。

8.3.1.5確認(rèn)通過準(zhǔn)則

確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏

液、泄氣或起火爆炸。

8.3.2防止電池單體過放后再充電導(dǎo)致熱失控

8.3.2.1目的

確認(rèn)安全目標(biāo)“防止電池單體過放后再充電導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于電池

單體過放后再充電導(dǎo)致熱失控的發(fā)生。

8.3.2.2確認(rèn)對象

確認(rèn)對象為動力蓄電池系統(tǒng)。

8.3.2.3確認(rèn)要求

a)影響確認(rèn)對象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；

b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，車輛的實際工況或者模擬車輛使用的工

況；

注：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式。

注：典型失效模式應(yīng)至少包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如非預(yù)期的放電。

d)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)

控。

e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控。

f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

g)確認(rèn)結(jié)束后，應(yīng)在確認(rèn)環(huán)境溫度下觀察1小時。

8.3.2.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時，結(jié)束確認(rèn)：

a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏

液、泄氣或起火爆炸。

b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)確認(rèn)對象發(fā)生漏液、泄氣或起火爆炸。

15

8.3.2.5確認(rèn)通過準(zhǔn)則

確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏

液、泄氣或起火爆炸。

8.3.3防止電池單體過溫導(dǎo)致熱失控

8.3.3.1目的

確認(rèn)安全目標(biāo)“防止電池單體過溫導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于電池單體過溫

導(dǎo)致熱失控的發(fā)生。

8.3.3.2確認(rèn)對象

確認(rèn)對象為動力蓄電池系統(tǒng)。

8.3.3.3確認(rèn)要求

a)影響測試對象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)

b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，車輛的實際工況或者模擬車輛使用的工

況；

注：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式。

注：典型失效模式應(yīng)至少包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如高溫下充電。

d)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)

控。

e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控。

f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

g)確認(rèn)結(jié)束后，應(yīng)在確認(rèn)環(huán)境溫度下觀察1小時。

8.3.3.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時，結(jié)束確認(rèn)：

a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏

液、泄氣或起火爆炸。

b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)確認(rèn)對象發(fā)生漏液、泄氣或起火爆炸。

8.3.3.5確認(rèn)通過準(zhǔn)則

確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏

液、泄氣或起火爆炸。

16

8.3.4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控

8.3.4.1目的

確認(rèn)安全目標(biāo)“防止蓄電池系統(tǒng)過流導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于蓄電池系統(tǒng)

過流導(dǎo)致熱失控的發(fā)生。

8.3.4.2確認(rèn)對象

確認(rèn)對象為動力蓄電池系統(tǒng)。

8.3.4.3確認(rèn)要求

a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)

b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，車輛的實際工況或者模擬車輛使用的工

況；

注：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式。

注：典型失效模式應(yīng)至少包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如超過預(yù)期電流充電。

d)確認(rèn)需要考慮影響電流安全閾值的參數(shù)，例如溫度等。

e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)

控。

f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控。

g)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

h)確認(rèn)結(jié)束后，應(yīng)在確認(rèn)環(huán)境溫度下觀察1小時。

8.3.4.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時，結(jié)束確認(rèn)：

a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏

液、泄氣或起火爆炸。

b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。

c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。

d)確認(rèn)對象發(fā)生漏液、泄氣或起火爆炸。

8.3.4.5確認(rèn)通過準(zhǔn)則

確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏

液、泄氣或起火爆炸。

17

GB/TXXXXX—XXXX

附錄A

（資料性附錄）

以電池管理系統(tǒng)（BMS）為相關(guān)項的危害分析和風(fēng)險評估（HARA）示例

A.1相關(guān)項定義

A.1.1功能概念

A.1.1.1充電管理

該功能旨在通過電池管理系統(tǒng)（BMS）的控制管理，使得動力蓄電池在充電過程中處于

安全狀態(tài)。電池管理系統(tǒng)（BMS）在動力蓄電池充電過程中對充電電壓、充電電流、可檢測

到的電池溫度等參數(shù)進(jìn)行控制優(yōu)化，確保動力蓄電池在充電過程中的安全。充電管理包括正

常充電管理和能量回收管理。

A.1.1.2放電管理

該功能旨在通過電池管理系統(tǒng)（BMS）的控制管理，使得動力蓄電池在放電過程中處于

安全狀態(tài)。電池管理系統(tǒng)（BMS）在動力蓄電池放電過程中對放電電壓、放電電流、可檢測

到的電池溫度等參數(shù)進(jìn)行控制優(yōu)化，確保動力蓄電池在放電過程中的安全。

A.1.2蓄電池管理系統(tǒng)（BMS）的邊界和接口

按照GB/T34590.3的5.4.2的要求，定義電池管理系統(tǒng)（BMS）相關(guān)項與其它相關(guān)項的邊

界和接口。

示例：圖A.1為BMS相關(guān)項的邊界和接口參考示例。其他相關(guān)項如：動力蓄電池系統(tǒng)、整車低壓蓄電池、

整車動力控制系統(tǒng)（整車控制器、電機(jī)控制器等）、高壓部件（服務(wù)開關(guān)等）、充電接口（對

于具有可外接充電功能的電動汽車）。

圖A.1BMS相關(guān)項的邊界和接口參考示例

A.2相關(guān)項在整車層面上的危害識別

20

GB/TXXXXX—XXXX

A.2.1識別電池管理系統(tǒng)（BMS）的功能異常表現(xiàn)

按照GB/T34590.3第6章的要求，應(yīng)用危害與可操作性分析（HAZOP）方法識別電池管理

系統(tǒng)（BMS）的功能異常表現(xiàn)，參見表A.1。

表A.1HAZOP分析示例

引導(dǎo)詞在有需求時，提供錯誤的功能輸出卡滯在

固定值上

非預(yù)期的功能

功能喪失錯誤的功錯誤的功能錯誤的功（在無需求（功能不能

能（多于（少于預(yù)能（方向相時，提供功能）按照需求更

功能預(yù)期）期）反）新）

充電過壓

充電電充電電壓充電電壓不卡滯在固定

(過充管理N/A非預(yù)期充電

壓管理管理失效足單體電壓

失效)

充

充電過流

電充電電充電電流充電電流不卡滯在固定

(過流管理N/A非預(yù)期充電

管流管理管理失效足電流

失效)

理

充電過溫

充電溫充電溫度卡滯在固定

(過溫管N/AN/AN/A

度管理管理失效溫度值

理失效)

放電過放

放電電放電管理放電電壓不卡滯在固定

(過放管理N/A非預(yù)期放電

壓管理失效足單體電壓

失效)

放

放電過流

電放電電放電管理放電電流不卡滯在固定

(過流管理N/A非預(yù)期放電

管流管理失效足電流

失效)

理

放電過溫

放電溫放電管理卡滯在固定

(過溫管理N/AN/AN/A

度管理失效溫度值

失效)

A.2.2分析電池管理系統(tǒng)（BMS）的功能異常表現(xiàn)導(dǎo)致的整車層面危害

按照GB/T34590.3第6章的要求，根據(jù)A.2.1中電池管理系統(tǒng)（BMS）的功能異常表現(xiàn)，

分析可能導(dǎo)致的整車層面危害（最嚴(yán)重的情況），參見表A.2。

表A.2整車層面危害（最嚴(yán)重的情況）

21

GB/TXXXXX—XXXX

電池管理系統(tǒng)（BMS）功能異常表現(xiàn)的影響整車層面危害（最嚴(yán)重的情況）

充電時充電電壓超出預(yù)期，造成電池過充時無保

車輛冒煙、起火、爆炸、釋放有害物質(zhì)

護(hù)或保護(hù)不及時，引發(fā)熱失控

充電時電流超出預(yù)期，造成電池過流時無保護(hù)或

車輛冒煙、起火、爆炸、釋放有害物質(zhì)

保護(hù)不及時，引發(fā)熱失控

充電時電池溫度超出預(yù)期，造成電池過溫時無保

車輛冒煙、起火、爆炸、釋放有害物質(zhì)

護(hù)或保護(hù)不及時，引發(fā)熱失控

放電時放電電壓超出預(yù)期，造成電池過放時無保

動力電池?fù)p壞報廢，車輛動力喪失

護(hù)或保護(hù)不及時

放電時放電電流超出預(yù)期，造成電池過流時無保

車輛冒煙、起火、爆炸、釋放有害物質(zhì)

護(hù)或保護(hù)不及時，引發(fā)熱失控

放電時電池溫度超出預(yù)期，造成電池過溫時無保

車輛冒煙、起火、爆炸、釋放有害物質(zhì)

護(hù)或者保護(hù)不及時，引發(fā)熱失控

A.3場景分析

根據(jù)第5章運(yùn)行條件和環(huán)境約束要求，分析典型的車輛運(yùn)行場景，參見表A.3。

表A.3典型的車輛運(yùn)行場景示例

場景編典型場景

號

1正常行駛（高速行駛，城市路況，轉(zhuǎn)彎等）

2車輛靜止無人看管充電

3車輛靜止無人看管放電

車輛狀

態(tài)

4車輛長期靜置

5碰撞（發(fā)生碰撞，碰撞之后）

6維修

A.4ASIL等級的導(dǎo)出

以電池管理系統(tǒng)（BMS）為相關(guān)項開展典型危害的危害分析和風(fēng)險評估（HARA），并確

定危害事件的ASIL等級。分析過程參見表A.4：

表A.4危害分析和風(fēng)險評估示例

22

GB/TXXXXX—XXXX

備

ASIL

危危害事件注

害功能異整車層面危害的詳細(xì)（潛在的事故場

功能假設(shè)A

編常表現(xiàn)的危害描述景–考慮最差情S

S理由E理由C理由

號況）I

L

H充電充電電壓車輛靜止無人看管3熱失控起42有泄C

電池過充，析

Z管理超出預(yù)充電，電池過充導(dǎo)火，爆炸平均運(yùn)氣、冒

冒煙、起火、鋰，引起電池內(nèi)

D--充期，導(dǎo)致致熱失控，車輛冒或產(chǎn)生有行時煙等預(yù)

爆炸、釋放N/A短路，導(dǎo)致熱失

_電電電池過煙、起火、爆炸、害物質(zhì)造間>10兆，人

有害物質(zhì)