锂离子电池储能系统BMS 的功能安全分析与设计

近年来全球储能行业迅猛发展，由于具有放电倍率大、能量密度和体积密度高等优势，相较于其他种类的电化学储能技术，锂离子电池的累计装机规模最大，在全球电化学储能中的占比为86.3%。
然而，伴随着锂离子储能应用的爆发式增长，其暴露出的储能安全问题也日益突出，安全已成为行业发展最受关注的指标。
2018～2019 年期间，仅韩国就发生了23 起储能电站起火事件，根据韩国政府公布的事故调查结果，电池系统缺陷、针对电冲击的保护体系不周以及储能集成系统管理欠缺是造成事故的三个重要原因。
作为对电池进行监控和管理 的 电 子 装 置 ， 电 池 管 理 系 统 （battery management system， BMS） 被公认为是储能系统的核心部件之一，也与上述造成韩国储能电站火灾事故的三个原因息息相关，因此BMS 的功能安全设计对锂离子储能系统的安全至关重要。
IEC 61508 是出台最早、应用最广泛的功能安全国际标准，为电气/电子/可编程电子部件（E/E/ PE）构成的安全相关系统规定了功能安全周期和基础评价方法。
随后国际标准化组织基于IEC 61508 制定了道路车辆功能安全国际标准ISO 26262，目前已有不少厂家和国内外学者基于ISO 26262 标准充分研究了电动汽车BMS 中的功能安全概念设计、评估和验证，但由于汽车产品的运行环境和安全需求与储能电站领域的相差甚远，所以ISO 26262 国际标准以及上述相关研究成果并不适用于储能系统BMS 功能安全分析设计。
另外，国际储能标准IEC 62619 及 ANSI/CAN/UL-1973 均明确要求储能BMS 需参照进行功能安全评估，然而需要厂家根据产品自身特性从中选择合适的方法来实现功能安全设计与评估，所以上述标准在储能BMS 的应用仍有一定难度。
在储能系统功能安全领域，国外已 有 UL （Underwriter Laboratories Inc.）、 CSA（Canadian Standards Association） 、 TUV（Technischer überwachüngs Verein）等几家相关认证机构，哥伦比亚的Bureau Veritas 已对工业应用的电池进行功能安全认证工作，但罕有系统性研究成果报道。
而国内目前仍缺乏储能系统功能安全的认证机构，鉴于锂离子电池储能电站的消防安全风险也是最近几年才集中突现并受到关注，其研究工作更是相对落后。
针对锂离子电池储能系统BMS 产品特点，本文依照相关参考标准梳理了BMS 功能安全的分析与设计过程，为储能电站设计开发者提供参考。
1 BMS 功能安全要求简述根 据 IEC 61508-4 的 定 义 ， 功 能 安 全（functional safety） 是指整体安全中与受控设备（equipment under control，EUC） 和EUC 控制系统相关的部分，它取决于E/E/PE 安全相关系统和其他风险降低措施正确执行其功能。
要实现特定的安全相关系统， 就必须有相应的安全功能（safety function） 实现。
所谓安全功能，是指针对特定的危险事件，为实现或保持EUC 的安全状态，由E/E/ PE 安全相关系统或其他风险降低措施实现的功能。
对于储能电池系统， 充放电控制或保护设备是EUC，电池管理系统BMS 是E/E/PE 安全相关系统， 需要对电池系统进行安全保护。
IEC 61508 所规定的安全生命周期大致可分为分析、设计、实现和操作维护几个阶段。
本文主要研究储能BMS 安全相关系统的分析和设计，这两个阶段主要包括以下内容：（1） 系统分析，即确定系统的功能、结构和范围；（2） 危险识别和风险分析，即对每个可能出现的危险事件进行分析和评估；（3） 确定整体安全要求，并对必要的危险事件进行安全功能的分配； （4） 安全完整性实现并验证。
实现和操作维护两阶段具体包括整体安装调试、整体安全确认、整体运行维护和修理、退役或处置、整体修改和改型等过程，由于不是本文重点，下文将不再重点介绍。
2 系统分析尽管IEC 61508 并没有明确要求必须将安全相关系统的设计与非安全相关系统的设计分开，但出于独立性要求以及便于评估等方面考虑，在实施过程中一般尽量将上述两个过程分开。
图1 电池系统-BMS 监控的交互模块框图本阶段的目的是说明目标产品的控制功能、应用环境、可能出现的危害和危险以及需要遵守的安全法规。
本阶段可明确储能系统BMS 的控制范围、实际包含设备、外部事件、事件类型和其他相关设备系统等，可得出如图1 所示的电池系统BMS 的交互模块框图，其中HMI 是人机接口，EMS 是能量管理系统。
3 危险识别和风险分析系统分析工作完成后，可根据输出的系统分析文档和确定的系统范围，开展BMS 危险识别和风险评估工作。
在本阶段， 失效模式及影响分析（failure mode and effect analysis，FMEA）是一种较为有效和常用的风险分析方法。
另外，当需考虑BMS 对风险的侦查能力时，也可采用失效模式、影 响 及 其 诊 断 分 析 （failure modes effects and diagnostic analysis，FMEDA）方法完成对最终数据的整理分析。
FMEA 的基本步骤为：（1） 列出所有部件；（2） 对每个部件，列出所有已知失效模式；（3） 对每个部件/失效模式，列出对更高层面上的影响；（4） 对每个部件/失效模式，列出影响的严重性/危险程度。
IEC 60812 规定了FMEA 详细的设计过程，其附录Table F.9 提供了FMEA 在一个安全相关控制系统中的应用实例[14]。
需要注意的是，该方法可以分层分子系统进行套用，使用时需按照系统的复杂度对分层分子系统进行逐个自下而上地完成分析。
元器件的失效模式和失效率数据可以从器件手册、用户现场反馈可信数据、先验手册等