GB∕T 39086-2020 電動汽車用電池管理系統(tǒng)功能安全要求及試驗方法

ICS43.040T35中華人民共和國國家標(biāo)準(zhǔn)電動汽車用電池管理系統(tǒng)功能安全要求及試驗方法F2020-09-29發(fā)布2021-04-01實施國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會GB／T39086—2020前言 2規(guī)范性引用文件 3術(shù)語和定義 4一般要求 5相關(guān)項定義 6危害分析和風(fēng)險評估 7功能安全要求 8功能安全驗證和確認(rèn) 附錄A（資料性附錄）以電池管理系統(tǒng)為相關(guān)項的危害分析和風(fēng)險評估(HARA)示例 附錄B（資料性附錄）以動力蓄電池系統(tǒng)為相關(guān)項的危害分析和風(fēng)險評估(HARA)示例 附錄C（資料性附錄）故障容錯時間間隔(FTTI)確定方法示例 ⅠⅢGB／T39086—2020本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由中華人民共和國工業(yè)和信息化部提出。本標(biāo)準(zhǔn)由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC114)歸口。本標(biāo)準(zhǔn)起草單位：中國汽車技術(shù)研究中心有限公司、寧德時代新能源科技股份有限公司、泛亞汽車技術(shù)中心有限公司、蜂巢能源科技有限公司、上海蔚來汽車有限公司、上海炙云新能源科技有限公司、惠州市億能電子有限公司、惠州市藍(lán)微新源技術(shù)有限公司、東軟睿馳汽車技術(shù)有限公司、華霆（合肥）動力技術(shù)有限公司、上海海拉電子有限公司南京研發(fā)分公司、萬向一二三股份公司、深圳市科列技術(shù)股份有限公司、比亞迪汽車工業(yè)有限公司、力高（山東）新能源技術(shù)有限公司、東莞鉅威動力技術(shù)有限公司、一汽-大眾汽車有限公司、廣州小鵬汽車科技有限公司、杭州華塑加達(dá)網(wǎng)絡(luò)科技有限公司、上海汽車集團(tuán)股份有限公司技術(shù)中心、上汽大眾汽車有限公司、浙江吉利汽車研究院有限公司、華為技術(shù)有限公司、北京新能源汽車股份有限公司、北京寶沃汽車股份有限公司、英飛凌科技（中國）有限公司、重慶長安汽車股份有限公司、本田技研工業(yè)（中國）投資有限公司。本標(biāo)準(zhǔn)主要起草人：李波、付越、趙金富、李珍珍、邵海賀、陳勇、袁永軍、樊耀國、阮旭松、郭曉冬、1GB／T39086—2020電動汽車用電池管理系統(tǒng)功能安全要求及試驗方法本標(biāo)準(zhǔn)規(guī)定了電動汽車用動力蓄電池管理系統(tǒng)（以下簡稱“電池管理系統(tǒng)”）的功能安全要求及試驗方法。本標(biāo)準(zhǔn)適用于電動乘用車用鋰離子動力蓄電池管理系統(tǒng)，其他類型動力蓄電池的管理系統(tǒng)及其他類型車輛的動力蓄電池管理系統(tǒng)可參照執(zhí)行。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB18384—2020電動汽車安全要求GB/T19596—2017電動汽車術(shù)語GB/T34590—2017（所有部分）道路車輛功能安全GB38031—2020電動汽車用動力蓄電池安全要求GB/T38661—2020電動汽車用電池管理系統(tǒng)技術(shù)條件3術(shù)語和定義GB/T19596—2017和GB/T34590.1—2017界定的以及下列術(shù)語和定義適用于本文件。為便于使用，以下重復(fù)列出了GB/T19596—2017中的一些術(shù)語和定義。3.1蓄電池管理系統(tǒng)監(jiān)視蓄電池的狀態(tài)（溫度、電壓、荷電狀態(tài)等可以為蓄電池提供通信、安全、電芯均衡及管理控制，并提供與應(yīng)用設(shè)備通信接口的系統(tǒng)。[GB/T19596—2017,定義3.3.2.1.10]3.2電池單體將化學(xué)能與電能進(jìn)行相互轉(zhuǎn)換的基本單元裝置，通常包括電極、隔膜、電解質(zhì)、外殼和端子，并被設(shè)計成可充電。[GB38031—2020,定義3.1]3.3高壓系統(tǒng)電動汽車內(nèi)部B級電壓以上與動力電池直流母線相連或由動力電池電源驅(qū)動的高壓驅(qū)動零部件系統(tǒng)，主要包括但不限于：動力電池系統(tǒng)和／或高壓配電系統(tǒng)（高壓繼電器、熔斷器、電阻器、主開關(guān)等電機(jī)及其控制系統(tǒng)、DC/DC變換器和車載充電機(jī)等。2GB／T39086—2020[GB/T19596—2017,定義3.1.2.1.11]3.4動力蓄電池系統(tǒng)一個或一個以上蓄電池包及相應(yīng)附件（蓄電池管理系統(tǒng)、高壓電路、低壓電路、熱管理設(shè)備以及機(jī)械總成）構(gòu)成的為電動汽車整車的行駛提供電能的能量存儲裝置。[GB/T19596—2017,定義3.1.2.1.9]3.5故障容錯時間間隔在安全機(jī)制未被激活情況下，從相關(guān)項內(nèi)部故障發(fā)生到可能發(fā)生危害事件的最短時間間隔。注1：安全相關(guān)的時間間隔參見圖1。注2：評估所有危害事件的最短時間間隔，其取決于危害的特征。注3:FTTI與相關(guān)項的功能異常表現(xiàn)而引起的危害有關(guān)。FTTI是安全目標(biāo)的屬性。注4：在容錯時間間隔內(nèi)，如果相關(guān)項保持在安全狀態(tài)或過渡到安全狀態(tài)或過渡到緊急運行，則表明安全機(jī)制及時對故障進(jìn)行了處理。注5：危害事件的發(fā)生取決于存在的故障并且車輛處于故障可影響車輛行為的場景中。示例注6：當(dāng)僅在相關(guān)項層面定義FTTI時，可在要素層面規(guī)定最長故障處理時間間隔和故障處理后達(dá)到的狀態(tài)，以支持功能安全概念。注7：故障探測時間間隔可包括多個診斷測試時間間隔，以允許在診斷測試時間間隔足夠小于故障探測時間間隔的情況下消除錯誤。圖1安全相關(guān)時間間隔3GB／T39086—20203.6熱失控電池單體放熱連鎖反應(yīng)引起電池溫度不可控上升的現(xiàn)象。[GB38031—2020,定義3.14]3.7熱擴(kuò)散電池包或系統(tǒng)內(nèi)由一個電池單體熱失控引發(fā)的其余電池單體接連發(fā)生熱失控的現(xiàn)象。[GB38031—2020,定義3.15]3.8爆炸突然釋放足量的能量產(chǎn)生壓力波或者噴射物，可能會對周邊區(qū)域造成結(jié)構(gòu)或物理上的破壞。[GB38031—2020,定義3.10]3.9漏液蓄電池內(nèi)部電解液泄漏到電池殼體外部。[GB/T19596—2017,定義3.3.3.13.7]泄氣單體電池或電池組中內(nèi)部壓力增加時，氣體通過預(yù)先設(shè)計好的方式釋放出來。[GB/T19596—2017,定義3.3.3.13.8]過充電當(dāng)電芯或電池完全充電后繼續(xù)進(jìn)行充電。[GB/T19596—2017,定義3.3.3.2.4]過放電當(dāng)電芯或電池完全放電后繼續(xù)進(jìn)行放電。[GB/T19596—2017,定義3.3.3.1.8]電池單體、模塊、電池包或系統(tǒng)任何部位發(fā)生持續(xù)燃燒（火焰持續(xù)時間大于1s)。注1：火焰持續(xù)時間大于1s指單次火焰持續(xù)時間，而非多次火焰的累計時間。注2：火花及拉弧不屬于燃燒。[GB38031—2020,定義3.11]4一般要求除非特別說明，電池管理系統(tǒng)功能安全技術(shù)開發(fā)、流程開發(fā)等要求應(yīng)按照GB/T34590—2017（所5相關(guān)項定義應(yīng)按照GB/T34590.3—2017的要求進(jìn)行相關(guān)項定義，相關(guān)項指實現(xiàn)車輛層面功能或部分功能的4GB／T39086—2020系統(tǒng)或系統(tǒng)組。注：相關(guān)項及其范圍可根據(jù)具體情況定義。附錄A和附錄B分別給出了以電池管理系統(tǒng)和動力蓄電池系統(tǒng)為相關(guān)項的功能概念和相關(guān)項邊界和接口示例。為滿足車輛安全運行，確保車輛內(nèi)部、外部人員以及車輛環(huán)境的安全，電池管理系統(tǒng)應(yīng)對動力蓄電池的安全運行進(jìn)行監(jiān)控和保護(hù)。電池管理系統(tǒng)的功能性要求還應(yīng)滿足GB18384—2020、GB38031—2020、GB/T38661—2020。注1：附錄A給出了電池管理系統(tǒng)充電管理和放電管理的功能概念描述。附錄B給出了動力蓄電池系統(tǒng)提供充電和提供放電的功能概念描述。注2：充電狀態(tài)包括外部充電、內(nèi)部充電（例如，整車制動能量回收）等。放電狀態(tài)包括行車放電、靜置放電等。5.3運行條件和環(huán)境約束為滿足車輛安全運行，需要明確相關(guān)項的運行條件及環(huán)境約束，可包含（如適用b)運行模式，例如，動力蓄電池系統(tǒng)處于充電狀態(tài)、放電狀態(tài)、靜置狀態(tài)等，或者電池管理系統(tǒng)處于工作狀態(tài)或者非工作狀態(tài)；c)相關(guān)項與整車其他相關(guān)項的依賴關(guān)系、接口關(guān)系等。6危害分析和風(fēng)險評估根據(jù)第5章相關(guān)項定義，按照GB/T34590.3—2017,基于車輛使用場景，分析識別相關(guān)項中因故障而引起的危害并對危害進(jìn)行歸類，定義相應(yīng)的汽車安全完整性等級(ASIL),制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)，以避免不合理的風(fēng)險。注：以電池管理系統(tǒng)和動力蓄電池系統(tǒng)為相關(guān)項進(jìn)行危害分析和風(fēng)險評估的示例分別參見附錄A和附錄B。通過危害分析和風(fēng)險評估確定的電池管理系統(tǒng)的安全目標(biāo)及其屬性，應(yīng)至少包含表1所列的內(nèi)容。序號安全目標(biāo)ASIL安全狀態(tài)FTTI1防止電池單體過充電導(dǎo)致熱失控C斷開高壓回路2防止電池單體過放電后再充電導(dǎo)致熱失控C斷開充電回路3防止電池單體過溫導(dǎo)致熱失控C斷開高壓回路4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控C斷開高壓回路注：充電回路指動力蓄電池從外部吸收能量的回路，包括外部充電及內(nèi)部充電（例如整車制動能量回收）。如果出現(xiàn)與表1所列的要求不一致的情況，應(yīng)具備相應(yīng)的證據(jù)來證明動力蓄電池系統(tǒng)不會因過充電、過放電后再充電、過溫、過流導(dǎo)致熱失控而引起起火、冒煙、爆炸等危害。應(yīng)至少包括如下證據(jù)：a)動力蓄電池系統(tǒng)因過充電、過放電后再充電、過溫、過流導(dǎo)致熱失控而引起起火、冒煙、爆炸等危害的失效模式及其組合的影響、危害分析和風(fēng)險評估；5GB／T39086—2020列項a)中失效所對應(yīng)的安全措施；針對列項b)的有效且完整的試驗驗證方法及測試通過準(zhǔn)則，且試驗驗證應(yīng)涵蓋全生命周期中最嚴(yán)苛場景。7功能安全要求7.1防止電池單體過充電導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值超過安全閾值時，使動力蓄電池系統(tǒng)在FTTI時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過充電故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過充電測試結(jié)果給出。電池管理系統(tǒng)應(yīng)處于工作狀態(tài)。電池單體過充電故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過充電測試結(jié)果給出。注：電池單體過充電故障容錯時間間隔的確定方法參考附錄C,示意圖見圖2。圖2電池單體過充電故障容錯時間間隔7.1.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)電池單體電壓值超過安全閾值時，電池管理系統(tǒng)應(yīng)斷開高壓回路進(jìn)入安全狀態(tài)，在電池單體過充電故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出、消除條件由相關(guān)方協(xié)商確定。在電池管理系統(tǒng)探測到電池單體過充電故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充電功率）使整車進(jìn)入緊急運行模式。7.2防止電池單體過放電后再充電導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值低于安全閾值時，使動力蓄電池系統(tǒng)在6GB／T39086—2020FTTI時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過放電故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過放電測試結(jié)果給出。電池管理系統(tǒng)應(yīng)處于工作狀態(tài)。7.2.3故障容錯時間間隔電池單體過放電后再充電故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過放電后再充電的測試結(jié)果給出。注：電池單體過放電后再充電故障容錯時間間隔的確定方法參考附錄C,示意圖見圖3。圖3電池單體過放電后再充電故障容錯時間間隔7.2.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)電池單體電壓值低于安全閾值時，電池管理系統(tǒng)應(yīng)斷開充電回路進(jìn)入安全狀態(tài)，在電池單體過放電故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出、消除條件由相關(guān)方協(xié)商確定。7.2.5報警和降級概念在電池管理系統(tǒng)探測到電池單體過放電故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充電功率、禁止制動能量回收功能的使用）使整車進(jìn)入緊急運行模式。7.3防止電池單體過溫導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測電池單體溫度，當(dāng)電池單體溫度值高于安全閾值時，使動力蓄電池系統(tǒng)在FTTI時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過溫故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。故障探測故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過溫測試結(jié)果給出。電池系統(tǒng)內(nèi)溫度測量點的溫度應(yīng)能代表電池系統(tǒng)中電池單體的最高溫度。GB／T39086—2020電池管理系統(tǒng)應(yīng)處于工作狀態(tài)。7.3.3故障容錯時間間隔電池單體過溫故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過溫的測試結(jié)果給出。注：電池單體過溫故障容錯時間間隔的確定方法參考附錄C,示意圖見圖4。圖4電池單體過溫故障容錯時間間隔7.3.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)電池單體溫度值高于安全閾值時，電池管理系統(tǒng)應(yīng)斷開高壓回路進(jìn)入安全狀態(tài)，在電池單體過溫故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出、消除條件由相關(guān)方協(xié)商確定。7.3.5報警和降級概念在電池管理系統(tǒng)探測到電池單體過溫故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充放電功率，禁止某些非安全運行相關(guān)功能的運行）使整車進(jìn)入緊急運行模式。7.4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測動力蓄電池系統(tǒng)電流，當(dāng)動力蓄電池系統(tǒng)電流值高于安全閾值時，使動力蓄電池系統(tǒng)在FTTI時間內(nèi)進(jìn)入安全狀態(tài)。在蓄電池系統(tǒng)過流故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。安全閾值應(yīng)根據(jù)電池系統(tǒng)制造商過流測試結(jié)果給出，并考慮到電池單體溫度的影響。電池管理系統(tǒng)應(yīng)處于工作狀態(tài)。7.4.3故障容錯時間間隔動力蓄電池系統(tǒng)過流故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過流測試結(jié)果給出。注：動力蓄電池系統(tǒng)過流故障容錯時間間隔的確定方法參考附錄C,示意圖見圖5。78GB／T39086—2020圖5動力蓄電池系統(tǒng)過流故障容錯時間間隔7.4.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)動力蓄電池系統(tǒng)電流值高于安全閾值時，電池管理系統(tǒng)應(yīng)斷開高壓回路進(jìn)入安全狀態(tài)，在動力蓄電池系統(tǒng)過流故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出、消除條件由相關(guān)協(xié)商確定。7.4.5報警和降級概念在電池管理系統(tǒng)探測到電池單體過流故障后，應(yīng)通過警告信號或提示信息等方式警告駕駛員。如果動力蓄電池存在無法立即進(jìn)入或保持安全狀態(tài)的場景，應(yīng)設(shè)計降級功能（例如限制充放電功率、禁止某些非安全相關(guān)功能的運行）使整車進(jìn)入緊急運行模式。8功能安全驗證和確認(rèn)功能安全驗證是確定功能安全要求的完整性和正確性，功能安全確認(rèn)是確認(rèn)安全目標(biāo)得到充分實現(xiàn)且在系統(tǒng)及整車層面能夠減輕或避免危害事件的發(fā)生。功能安全驗證應(yīng)在電池管理系統(tǒng)層面對功能安全要求與設(shè)計進(jìn)行驗證，驗證方法包括評審、走查、檢查、模型檢查、模擬、工程分析、證明和測試，驗證的目的是證明功能安全要求：a)與驗證活動的結(jié)果的一致性與符合性；本標(biāo)準(zhǔn)中主要給出基于測試的功能安全驗證方法，測試可在模擬環(huán)境或真實環(huán)境下進(jìn)行。功能安全確認(rèn)需要在動力蓄電池系統(tǒng)或整車層面對功能安全目標(biāo)的實現(xiàn)進(jìn)行確認(rèn)，確認(rèn)方法包含檢查和測試，目的包括：a)證明安全目標(biāo)在整車層面的實現(xiàn)是正確的、完整的并得到完全實現(xiàn)；b)安全目標(biāo)能夠預(yù)防或減輕危害分析和風(fēng)險評估中識別的危害事件及風(fēng)險。本標(biāo)準(zhǔn)中主要給出基于測試的功能安全確認(rèn)方法。8.2功能安全驗證8.2.1防止電池單體過充電導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值超過安全閾值時，使動力蓄電池系統(tǒng)在9GB／T39086—2020FTTI時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過充電故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為電池管理系統(tǒng)。8.2.1.3.1模擬環(huán)境下測a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.1.2規(guī)定的運行模式；c)模擬電池單體電壓信號進(jìn)行測試；d)調(diào)節(jié)模擬的電池單體電壓信號，電池單體電壓應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全閾值三個電壓取值；e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.1.3.2真實環(huán)境下測試應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.1.2規(guī)定的運行模式；c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的充電倍率進(jìn)行充電，直到高于安全閾值；d)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；e)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.1.4.1當(dāng)符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。8.2.1.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣、起火或爆炸。測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。8.2.2防止電池單體過放電后再充電導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測電池單體電壓，當(dāng)電池單體電壓值低于安全閾值時，使動力蓄電池系統(tǒng)在FTTI時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過放電故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為電池管理系統(tǒng)。GB／T39086—20208.2.2.3.1模擬環(huán)境下測試應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.2.2規(guī)定的運行模式；c)模擬電池單體電壓信號，進(jìn)行測試；d)調(diào)節(jié)模擬的電池單體電壓信號，電池單體電壓應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全閾值三個電壓取值；e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.2.3.2真實環(huán)境下測試應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.2.2規(guī)定的運行模式；c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的放電倍率進(jìn)行放電，直到低于安全閾值；d)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；e)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.2.4.1當(dāng)符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。8.2.2.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣、起火或爆炸。測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。8.2.3防止電池單體過溫導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測電池單體溫度，當(dāng)電池單體溫度值高于安全閾值時，使動力蓄電池系統(tǒng)在FTTI時間內(nèi)進(jìn)入安全狀態(tài)，在電池單體過溫故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為電池管理系統(tǒng)。8.2.3.3.1模擬環(huán)境下測試應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.3.2規(guī)定的運行模式；GB／T39086—2020c)模擬電池單體溫度信號，進(jìn)行測試；d)模擬的電池單體溫度信號，電池單體溫度應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全閾值3個溫度取值；e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.3.3.2真實環(huán)境下測試應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.3.2規(guī)定的運行模式；c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的充放電倍率進(jìn)行充放電或者其他電池系統(tǒng)制造商推薦的電池單體加熱方法，直到電池單體溫度高于安全閾值；d)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；e)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.3.4.1當(dāng)符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。8.2.3.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣、起火或爆炸。測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。8.2.4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控電池管理系統(tǒng)應(yīng)監(jiān)測蓄電池系統(tǒng)電流，當(dāng)動力蓄電池系統(tǒng)電流值高于安全閾值時，使動力蓄電池系統(tǒng)在時間內(nèi)進(jìn)入安全狀態(tài)。在蓄電池系統(tǒng)過流故障退出、消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為電池管理系統(tǒng)。8.2.4.3.1模擬環(huán)境下測試應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.4.2規(guī)定的運行模式；c)模擬動力蓄電池系統(tǒng)電流信號，進(jìn)行測試；d)測試需要考慮影響電流安全閾值的參數(shù)，例如溫度等；GB／T39086—2020e)調(diào)節(jié)模擬的動力蓄電池系統(tǒng)電流信號，動力蓄電池系統(tǒng)電流應(yīng)至少包含低于安全閾值、達(dá)到安全閾值及高于安全閾值三個電流取值；f)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；g)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.4.3.2真實環(huán)境下測試應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；測試應(yīng)針對7.4.2規(guī)定的運行模式；c)測試對象所在的電池系統(tǒng)應(yīng)由電池系統(tǒng)制造商許可的充放電倍率的變化速率逐步提高充放電電流進(jìn)行充放電，直到電流超過安全閾值；d)測試需要考慮影響電流安全閾值的參數(shù)，例如溫度等；e)測試應(yīng)對電池管理系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間、狀態(tài)切換）進(jìn)行監(jiān)控；f)測試應(yīng)對電池管理系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.2.4.4.1當(dāng)符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)。8.2.4.4.2當(dāng)符合以下任一條件時，結(jié)束真實環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)測試對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；d)測試對象所在電池系統(tǒng)發(fā)生漏液、泄氣、起火或爆炸。測試對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)。8.3功能安全確認(rèn)8.3.1防止電池單體過充電導(dǎo)致熱失控確認(rèn)安全目標(biāo)“防止電池單體過充電導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于電池單體過充電導(dǎo)致熱失控的發(fā)生。確認(rèn)對象為動力蓄電池系統(tǒng)。確認(rèn)應(yīng)滿足如下要求：a)影響確認(rèn)對象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注1：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。GB／T39086—2020c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注2：典型失效模式包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如非預(yù)期的充電。d)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控；當(dāng)符合以下任一條件時，結(jié)束試驗：a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏8.3.2防止電池單體過放電后再充電導(dǎo)致熱失控確認(rèn)安全目標(biāo)“防止電池單體過放電后再充電導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于電池單體過放電后再充電導(dǎo)致熱失控的發(fā)生。確認(rèn)對象為動力蓄電池系統(tǒng)。確認(rèn)應(yīng)滿足如下要求：a)影響確認(rèn)對象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，車輛的實際工況或者模擬車輛使用的工況；注1：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注2：典型失效模式包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如非預(yù)期的放電。d)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控；當(dāng)符合以下任一條件時，結(jié)束確認(rèn)：a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏GB／T39086—2020b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏8.3.3防止電池單體過溫導(dǎo)致熱失控確認(rèn)安全目標(biāo)“防止電池單體過溫導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于電池單體過溫導(dǎo)致熱失控的發(fā)生。確認(rèn)對象為動力蓄電池系統(tǒng)。確認(rèn)應(yīng)滿足如下要求：a)影響測試對象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，車輛的實際工況或者模擬車輛使用的工況；注1：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注2：典型失效模式包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如高溫下充電。d)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控；當(dāng)符合以下任一條件時，結(jié)束確認(rèn)：a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏GB／T39086—20208.3.4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控確認(rèn)安全目標(biāo)“防止蓄電池系統(tǒng)過流導(dǎo)致熱失控”得到正確實現(xiàn)，并能夠有效預(yù)防由于蓄電池系統(tǒng)過流導(dǎo)致熱失控的發(fā)生。確認(rèn)對象為動力蓄電池系統(tǒng)。確認(rèn)應(yīng)滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實的電池系統(tǒng)，車輛的實際工況或者模擬車輛使用的工況；注1：車輛的實際工況至少包含危害分析和風(fēng)險評估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注2：典型失效模式包含危害分析和風(fēng)險評估中導(dǎo)出該安全目標(biāo)的功能異常，如超過預(yù)期電流充電。d)確認(rèn)需要考慮影響電流安全閾值的參數(shù)，例如溫度等；e)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)進(jìn)入安全狀態(tài)的過程（例如，安全閾值、時間和狀態(tài)切換）進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；g)確認(rèn)應(yīng)對動力蓄電池系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控；當(dāng)符合以下任一條件時，結(jié)束確認(rèn)：a)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且電池未發(fā)生漏b)確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對象在故障容錯時間間隔內(nèi)未進(jìn)入安全狀態(tài)；確認(rèn)對象在故障容錯時間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且在觀察時間內(nèi)未發(fā)生漏GB／T39086—2020附錄A（資料性附錄）以電池管理系統(tǒng)為相關(guān)項的危害分析和風(fēng)險評估（HARA）示例A.1相關(guān)項定義該功能旨在通過電池管理系統(tǒng)的控制管理，使得動力蓄電池在充電過程中處于安全狀態(tài)。電池管理系統(tǒng)在動力蓄電池充電過程中對充電電壓、充電電流、可檢測到的電池溫度等參數(shù)進(jìn)行控制優(yōu)化，確保動力蓄電池在充電過程中的安全。該功能旨在通過電池管理系統(tǒng)的控制管理，使得動力蓄電池在放電過程中處于安全狀態(tài)。電池管理系統(tǒng)在動力蓄電池放電過程中對放電電壓、放電電流、可檢測到的電池溫度等參數(shù)進(jìn)行控制優(yōu)化，確保動力蓄電池在放電過程中的安全。A.1.2電池管理系統(tǒng)的邊界和接口按照GB/T34590.3—2017中5.4.2的要求，定義電池管理系統(tǒng)相關(guān)項與其他相關(guān)項的邊界和接口。示例：圖A.1為BMS相關(guān)項的邊界和接口參考示例。其他相關(guān)項如：動力蓄電池系統(tǒng)、整車低壓蓄電池、整車動力控制系統(tǒng)（整車控制器、電機(jī)控制器等）、高壓部件（服務(wù)開關(guān)等）、充電接口（對于具有可外接充電功能的電動汽車）。圖A.1BMS相關(guān)項的邊界和接口參考示例GB／T39086—2020A.2相關(guān)項在整車層面上的危害識別A.2.1識別電池管理系統(tǒng)的功能異常表現(xiàn)按照GB/T34590.3—2017第6章的要求，應(yīng)用危害與可操作性分析(HAZOP)方法識別電池管理系統(tǒng)的功能異常表現(xiàn)，參見表A.1。表A.1HAZOP分析示例功能引導(dǎo)詞功能喪失在有需求時，提供錯誤的功能非預(yù)期的功能（在無需求時，提供功能）輸出卡滯在固定值上（功能不能按照需求更新）錯誤的功能（多于預(yù)期）錯誤的功能（少于預(yù)期）錯誤的功能（方向相反）充電管理充電電壓管理充電電壓管理失效充電過壓（過充電管理失效）充電電壓不足N/A非預(yù)期充電卡滯在固定單體電壓充電電流管理充電電流管理失效充電過流（過流管理失效）充電電流不足N/A非預(yù)期充電卡滯在固定電流充電溫度管理充電溫度管理失效充電過溫（過溫管理失效）N/AN/AN/A度值放電管理放電電壓管理放電電壓管理失效放電過放電（過放電管理失效）放電電壓不足N/A非預(yù)期放電卡滯在固定單體電壓放電電流管理放電電流管理失效放電過流（過流管理失效）放電電流不足N/A非預(yù)期放電卡滯在固定電流放電溫度管理放電溫度管理失效放電過溫（過溫管理失效）N/AN/AN/A度值注：N/A表示此引導(dǎo)詞不適用。A.2.2分析電池管理系統(tǒng)的功能異常表現(xiàn)導(dǎo)致的整車層面危害按照GB/T34590.3—2017第6章的要求，根據(jù)A.2.1中電池管理系統(tǒng)的功能異常表現(xiàn)，分析可能導(dǎo)致的整車層面危害（最嚴(yán)重的情況參見表A.2。表A.2整車層面危害（最嚴(yán)重的情況）電池管理系統(tǒng)功能異常表現(xiàn)的影響整車層面危害（最嚴(yán)重的情況）充電時充電電壓超出預(yù)期，造成電池過充電時無保護(hù)或保護(hù)不及時，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)充電時電流超出預(yù)期，造成電池過流時無保護(hù)或保護(hù)不及時，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)充電時電池溫度超出預(yù)期，造成電池過溫時無保護(hù)或保護(hù)不及時，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)放電時放電電壓超出預(yù)期，造成電池過放電時無保護(hù)或保護(hù)不及時動力電池?fù)p壞報廢，車輛動力喪失放電時放電電壓超出預(yù)期，造成電池過放電時無保護(hù)或保護(hù)不及時，電池過放電后再充電，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)放電時放電電流超出預(yù)期，造成電池過流時無保護(hù)或保護(hù)不及時，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)放電時電池溫度超出預(yù)期，造成電池過溫時無保護(hù)或者保護(hù)不及時，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)GB／T39086—2020A.3場景分析根據(jù)第5章運行條件和環(huán)境約束要求，分析典型的車輛運行場景，參見表A.3。表A.3典型的車輛運行場景示例場景編號典型場景1正常行駛（高速行駛，城市路況，轉(zhuǎn)彎等）2車輛靜止無人看管充電3車輛靜止無人看管放電4車輛長期靜置5碰撞（發(fā)生碰撞，碰撞之后）6維修等級的導(dǎo)出以電池管理系統(tǒng)為相關(guān)項開展典型危害的危害分析和風(fēng)險評估(HARA),并確定危害事件的ASIL等級。分析過程參見表A.4。危害編號功能功能異常表現(xiàn)整車層面的危害危害的詳細(xì)描述危害事件（潛在的事故場景—考慮最嚴(yán)苛場景）嚴(yán)重度(S)及理由暴露概率(E)及理由可控性(C)及理由ASILHZD_01充電電壓管理充電電壓超出預(yù)期，導(dǎo)致電池過充電，引發(fā)熱失控釋放有害物質(zhì)無電池過充電，導(dǎo)致熱失車輛靜止無人看管充電，電池過充電導(dǎo)致熱失控，車輛冒煙、起行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行2煙等預(yù)兆，人可逃離CHZD_02充電電壓管理充電電壓超出預(yù)期，導(dǎo)致電池過充電，引發(fā)熱失控釋放有害物質(zhì)無電池過充電，導(dǎo)致熱失車輛正常行駛（高速行駛，城市路況，轉(zhuǎn)彎電池過充電導(dǎo)致熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及乘員及行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_03充電電流管理充電電流超出預(yù)期，導(dǎo)致電池過流，引發(fā)熱失控釋放有害物質(zhì)無充電電流超出電池允許的最大充電電流，導(dǎo)致電池?zé)崾Э?，車輛起火、爆炸車輛靜止無人看管充電，充電電流過大，導(dǎo)致電池過流，引發(fā)熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_04電池溫度管理充電時電池溫度超出預(yù)期，導(dǎo)致電池過溫，引發(fā)熱失控釋放有害物質(zhì)無充電時能檢測到的電池包溫度超出預(yù)期，造成電池過溫，引發(fā)熱失控，車輛起火、爆炸車輛靜止無人看管充電，高溫環(huán)境下，電池過溫導(dǎo)致熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_05放電電壓管理放電時放電電壓超出預(yù)期，導(dǎo)致電池過放電釋放有害物質(zhì)無電池過放電后再充電，導(dǎo)致熱失控，車輛起火、爆炸車輛靜止無人看管放電，電池過放電后再充電，導(dǎo)致熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_05放電電壓管理放電時放電電壓超出預(yù)期，導(dǎo)致電池過放電釋放有害物質(zhì)無電池過放電后再充電，導(dǎo)致熱失控，車輛起火、爆炸車輛靜止無人看管放電，電池過放電后再充電，導(dǎo)致熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離C危害編號功能功能異常表現(xiàn)整車層面的危害危害的詳細(xì)描述危害事件（潛在的事故場景—考慮最嚴(yán)苛場景）嚴(yán)重度(S)及理由暴露概率(E)及理由可控性(C)及理由ASILHZD_06放電電流管理放電電流超出預(yù)期，導(dǎo)致電池過流，引發(fā)熱失控釋放有害物質(zhì)無放電電流超出電池允許的最大放電電流，導(dǎo)致電池?zé)崾Э兀囕v起火、爆炸車輛正常行駛（高速行駛，城市路況，轉(zhuǎn)彎放電電流過大，導(dǎo)致電池過流，引發(fā)電池?zé)崾Э兀囕v冒煙、起火、爆炸、釋放有害物質(zhì)，傷及乘客和行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_07電池溫度管理放電時電池溫度超出預(yù)期，導(dǎo)致電池過溫，引發(fā)熱失控釋放有害物質(zhì)無電池包溫度超出預(yù)期，造成電池過溫，引發(fā)熱失控，車輛起火、爆炸車輛正常行駛（高速行駛，城市路況，轉(zhuǎn)彎高溫環(huán)境下，電池過溫導(dǎo)致熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及乘客和行人3熱失控起火、爆炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CGB／T39086—2020A.5安全目標(biāo)和安全狀態(tài)對于表A.4中具有ASIL等級的危害事件確定安全目標(biāo)和安全狀態(tài)，參見表A.5。表A.5安全目標(biāo)和安全狀態(tài)序號安全目標(biāo)安全狀態(tài)FTTI1防止電池單體過充電導(dǎo)致熱失控斷開高壓回路電池單體過充電故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過充電測試結(jié)果給出2防止電池單體過放電后再充電導(dǎo)致熱失控斷開充電回路電池單體過放電后再充電故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過放電后再充電的測試結(jié)果給出3防止電池單體過溫導(dǎo)致熱失控斷開高壓回路電池單體過溫故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過溫的測試結(jié)果給出4防止動力蓄電池系統(tǒng)過流導(dǎo)致熱失控斷開高壓回路動力蓄電池系統(tǒng)過流故障容錯時間間隔應(yīng)根據(jù)電池系統(tǒng)制造商過流測試結(jié)果給出注：FTTI的確定方法參考附錄C。GB／T39086—2020附錄B（資料性附錄）以動力蓄電池系統(tǒng)為相關(guān)項的危害分析和風(fēng)險評估（HARA）示例B.1相關(guān)項定義動力蓄電池系統(tǒng)向整車設(shè)備及外部設(shè)施提供能量。動力蓄電池系統(tǒng)從整車或整車外部吸收能量。B.1.2動力蓄電池系統(tǒng)的邊界和接口按照GB/T34590.3—2017中5.4.2的要求，定義動力蓄電池系統(tǒng)相關(guān)項與其他相關(guān)項的功能邊界及相互接口。示例：圖B.1為動力蓄電池系統(tǒng)相關(guān)項的邊界和接口示例，動力蓄電池系統(tǒng)為高壓系統(tǒng)(>60V),包括電池、繼電器及電池管理系統(tǒng)等元素，并與外部充電裝置與驅(qū)動裝置進(jìn)行交互。動力蓄電池系統(tǒng)接口包括了兩個高壓接口與喚醒信號、整車通信、充電通信以及電源等低壓接口。圖B.1動力蓄電池系統(tǒng)相關(guān)項的邊界和接口參考示例B.2相關(guān)項在整車層面上的危害識別B.2.1識別動力蓄電池系統(tǒng)的功能異常表現(xiàn)按照GB/T34590.3—2017第6章的要求，應(yīng)用危害與可操作性分析(HAZOP)方法識別動力蓄電池系統(tǒng)的功能異常表現(xiàn)，參見表B.1。GB／T39086—2020表B.1HAZOP分析示例功能引導(dǎo)詞功能喪失在有需求時，提供錯誤的功能非預(yù)期的供功能）輸出卡滯在固定值上（功能不能按照需求更新）錯誤的功能（多于預(yù)期）錯誤的功能（少于預(yù)期）錯誤的功能（方向相反）提供放電壓、電流）放電功能喪失放電量大于預(yù)期；電池放電時溫度大于預(yù)期；放電電流大于預(yù)期放電量小于預(yù)期；電池放電時溫度小于預(yù)期；放電電流小于預(yù)期N/A非預(yù)期放電放電電流卡滯在較高值；放電電流卡滯在較低值提供充電壓、電流）充電功能喪失充電量大于預(yù)期；電池充電時溫度大于預(yù)期；充電電流大于預(yù)期充電量小于預(yù)期；電池充電時溫度小于預(yù)期；充電電流小于預(yù)期；電池電壓小于預(yù)期時充電N/A非預(yù)期充電充電電流卡滯在較高值；充電電流卡滯在較低值注：N/A表示此引導(dǎo)詞不適用。B.2.2分析動力蓄電池系統(tǒng)的功能異常表現(xiàn)導(dǎo)致的整車層面危害按照GB/T34590.3—2017第6章的要求，根據(jù)B.2.1中動力蓄電池系統(tǒng)的功能異常表現(xiàn)，分析可能導(dǎo)致的整車層面危害（最嚴(yán)重的情況參見表B.2。表B.2整車層面危害（最嚴(yán)重的情況）動力蓄電池系統(tǒng)功能異常表現(xiàn)的影響整車層面的危害（最嚴(yán)重的情況）放電量大于預(yù)期，造成動力蓄電池系統(tǒng)過放電并損壞動力電池?fù)p壞報廢，車輛喪失動力電池放電時溫度大于預(yù)期，造成動力蓄電池系統(tǒng)過溫，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)放電電流大于預(yù)期，造成動力蓄電池系統(tǒng)過流，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)充電量大于預(yù)期，造成動力蓄電池系統(tǒng)過充電，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)電池充電時溫度大于預(yù)期，造成動力蓄電池系統(tǒng)過溫，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)充電電流大于預(yù)期，造成動力蓄電池系統(tǒng)過流，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)電池電壓小于預(yù)期時充電，引發(fā)熱失控車輛冒煙、起火、爆炸、釋放有害物質(zhì)B.3場景分析根據(jù)第5章運行條件和環(huán)境約束要求，分析典型的車輛運行場景，參見表B.3。表B.3典型的車輛運行場景示例場景編號典型場景1正常行駛（高速行駛，城市路況，轉(zhuǎn)彎等）2車輛靜止無人看管充電3車輛靜止無人看管放電4車輛長期靜置5碰撞（發(fā)生碰撞，碰撞之后）6維修等級的導(dǎo)出以動力蓄電池系統(tǒng)為相關(guān)項開展典型危害的危害分析和風(fēng)險評估(HARA),并確定危害事件的ASIL等級。分析過程參見表B.4。表B.4危害分析和風(fēng)險評估示例危害編號功能功能異常表現(xiàn)整車層面的危害危害的詳細(xì)描述危害事件（潛在的事故場景—考慮最嚴(yán)苛場景）嚴(yán)重度(S)及理由暴露概率(E)及理由可控性(C)及理由ASILHZD_01提供放電功能放電量大于預(yù)期動力電池?fù)p輛動力喪失無電池過放電，造成動力電池?fù)p壞報廢，車輛動力喪失車輛正常行駛（高速行駛，城市路況，轉(zhuǎn)彎放電量大于預(yù)期，導(dǎo)致電池?fù)p壞報廢，車輛動力喪失，與后車發(fā)生追尾碰撞1車輛動力喪失導(dǎo)致的追尾，引起駕駛員輕度或者中度的傷害4平均運行時間＞10%1員較大可能逃離QMHZD_02提供放電功能電池系統(tǒng)放電時溫度大于預(yù)期釋放有害物質(zhì)無電池放電過溫—熱失釋放有害物質(zhì)—人員傷亡車輛正常行駛（高速行駛，城市路況，轉(zhuǎn)彎放電時溫度大于預(yù)期，導(dǎo)致電池過溫，引發(fā)熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及乘客和行人3炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_03提供放電功能放電電流大于預(yù)期釋放有害物質(zhì)無電池放電過流—熱失釋放有害物質(zhì)—人員傷亡車輛正常行駛（高速行駛，城市路況，轉(zhuǎn)彎放電時溫度大于預(yù)期，導(dǎo)致電池過溫，引發(fā)熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及乘客和行人3炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_04提供充電功能充電量大于預(yù)期釋放有害物質(zhì)無電池過充電—熱失控—有害物質(zhì)—人員傷亡車輛靜止無人看管充電，充電時充電量大于預(yù)期，導(dǎo)致電池過充電，引發(fā)熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及行人3炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2一般無嚴(yán)員可逃生C危害編號功能功能異常表現(xiàn)整車層面的危害危害的詳細(xì)描述危害事件（潛在的事故場景—考慮最嚴(yán)苛場景）嚴(yán)重度(S)及理由暴露概率(E)及理由可控性(C)及理由ASILHZD_05提供充電功能電池充電時預(yù)期釋放有害物質(zhì)無電池充電過溫—熱失釋放有害物質(zhì)—人員傷亡車輛靜止無人看管充電，充電時電池溫度大于預(yù)期，導(dǎo)致電池過溫，引發(fā)熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及行人3炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_06提供充電功能充電電流大于預(yù)期釋放有害物質(zhì)無電池充電過流—熱失釋放有害物質(zhì)—人員傷亡車輛靜止無人看管充電，充電時電池電流大于預(yù)期，導(dǎo)致電池過流，引發(fā)熱失控，車輛冒煙、起火、爆炸、釋放有害物質(zhì)，傷及行人3炸或產(chǎn)生有害物質(zhì)造成人員傷亡4平均運行時間＞10%2煙等預(yù)兆，人可逃離CHZD_07提供充電功能電池電壓小充電釋放有害物質(zhì)無電池過放電后充電—熱員傷亡車輛靜止