1.電池管理系統(tǒng)主控模塊在充電過充中失效

2.車聯(lián)系統(tǒng)仍然上傳失效前數(shù)據(jù)

3.充電機沒有根據(jù)限值切斷，特別是沒有根據(jù)總電壓600V限值切斷

4.充電運營系統(tǒng)的數(shù)據(jù)收集沒有處理

5.車聯(lián)系統(tǒng)的數(shù)據(jù)平臺沒有處理

調查組總結：

1.電池管理系統(tǒng)控制策略存在缺陷

2.充電系統(tǒng)功能不完善

3.監(jiān)控數(shù)據(jù)不被重視

4.車--充電機--后臺監(jiān)控等缺乏系統(tǒng)的安全保護設計

調查組提議的改進措施：

1.電池企業(yè)：改進BMS設計

2.充電企業(yè)：充電設施增設限制過充的措施

3.整車企業(yè)

a.布置改進：對結構、內飾材料、高低壓電纜進行改進設計

b.布置改進：控制電池箱相對集中的車輛尾部電池艙的環(huán)境溫度

第二部分：相關的系統(tǒng)設計要素

大巴的結構布置示意圖，可以如圖1所示。

圖1 五洲龍大巴結構示意圖

根據(jù)參考文獻1，沃特瑪基于客車的系統(tǒng)是BMS整套電池管理系統(tǒng)，包括主機模塊、采集模塊、顯示屏模塊、絕緣檢測模塊、CAN盒等

電池管理主機模塊(BMS)：

BMS主模塊可接收BMU(電池單體信息采集模塊)部件上傳的電池組信息，

計算電池容量，健康狀態(tài)等，能隨時給出電池組整個系統(tǒng)的剩余容量。

CAN通信：在顯示屏模塊指定位置顯示，通過整車CAN通訊口上傳到汽車整車控制器和儀表總線。

控制電池放電功率：電池功率基于SOC,電壓和溫度等條件下，可允許的10s 放電功率

可配置的最大容量為1000AH，精度5%。

BMU：

采集單體電池的電壓、電流還有溫度等

單體電壓采樣范圍 0～5V，采樣精度達到±(0.3%RD+0.2%FS)

溫度采樣范圍-40℃ ～ 120℃

采樣精度±1℃

電池管理系統(tǒng)顯示屏

顯示系統(tǒng)運行信息、參數(shù)配置和采集信號顯示等。

絕緣檢測模塊：

對電池系統(tǒng)地絕緣狀態(tài)進行檢測，采用低頻信號注入法，能夠自動適應系統(tǒng)漏電容和絕緣電阻的大小。

充電管理CAN盒：

CAN盒承擔的是充電樁和BMS系統(tǒng)之間的信息溝通工作

當車輛開始充電，充電槍插入車輛充電座時，經(jīng)過一系列的溝通之后，進入正常的充電狀態(tài)，

CAN總線通信速率：250kBIT/s

根據(jù)這些描述，我們把真?zhèn)€系統(tǒng)重構出來大概是這么一個系統(tǒng)，車輛有三路基本的CAN，如圖2所示

CAN1：BMS與整車控制器的通信CAN

CAN2：BMS收集CAN線，同時將需要與充電機交互的CAN信息發(fā)送出去

CAN3：直流充電與整車通信的盒子，這個盒子就把單體信息，充電需要的信息整合出去

這里是推測的部分：

1.BMS是直接控制配電盒的，只有BMS才能切斷繼電器

圖2 大巴系統(tǒng)架構

[page]

根據(jù)以上的信息，大概可以做出這樣的推論：

1)BMS沒有采取更多的保護設計，BMS比較容易死機

1.1 如下圖3所示，理論上有個備份的系統(tǒng)比較合適

圖3 2oo2D的多個變種

1.2 節(jié)約的作法，遇到主MCU(承擔主要的算法工作)無法處理，采用備份MCU監(jiān)控重啟或者報警也行

圖4 主從MCU監(jiān)控系統(tǒng)

2)單體的信息通過內部一路CAN傳送，最遠的BMU與整個BMS的距離很長，電源的供給和抗干擾的回路設計起來也是比較費勁的

3)BMU本身也只有簡單的MCU+ASIC的方式，只有比較簡單的測量功能，由于考慮到大巴的長度問題，如果采用單體過壓或者欠壓報警，用單純的IO信號也可能存在較多問題

圖5 乘用車BMU基本架構

4)CAN盒的設計，是一個比較大的問題，由于與BMS沒有一個很好的通信機制，所以最好的辦法是進入BMS作為一部分監(jiān)控起來

對于電池管理系統(tǒng)的建議：

a)對于單體和模塊過壓這樣的故障，需要在BMU端做獨立的電路，加檢測芯片和獨立于MCU的反饋通路

b) 對于整車控制器的權限，不僅僅需要通過CAN來斷開繼電器，當BMS死機無法發(fā)送心跳報文的時候，整車控制器可采集直控方式切斷

接下來說說直流充電的事情，整個GB/T20234.3和GB/T27930，是由BMS主控，充電機輔助的。如果充電機在后期沒有BMS的信息的時候，不退出，這個系統(tǒng)穩(wěn)定性可想而知。

在整個充電階段，BMS實時向充電機發(fā)送電池充電需求，充電機根據(jù)電池充電需求來調整充電電壓和充電電流以保證充電過程正常進行。在充電過程中，充電機和BMS相互發(fā)送各自的充電狀態(tài)。

BMS根據(jù)要求向充電機發(fā)送動力蓄電池具體狀態(tài)信息及電壓、溫度等信息

BMS充電終止條件

根據(jù)充電過程是否正常：BMS診斷充電的需求和實際的情況

電池狀態(tài)是否達到BMS自身設定的充電結束條件：電池的SOC核算情況

是否收到充電機中止充電報文來判斷是否結束充電：這條表征充電樁的自身狀態(tài)

充電機終止條件為

停止充電指令：BMS的充電需求

充電過程是否正常：充電機診斷充電情況

是否達到人為設定的充電參數(shù)值：充電機本身的保護

是否收到BMS中止充電報文來判斷是否結束充電：BMS的充電需求

圖6 GB/T 27930 充電流程

對比Combo或者Chademo系統(tǒng)(編者：指歐盟和日本采用的充電標準)的充電過程，在充電過程中的失效，BMS整體失效一般不會發(fā)生，而且本身采取了PWM+PLC通信兩種不同形式交互整個充電過程。前者用幅度表征充電過程，PLC通信交互控制信息。我個人對于修訂后的GB27930一系列在系統(tǒng)安全上的缺陷，覺得后續(xù)真的要在互通性、誤報錯和安全幾項內容進行系統(tǒng)折中才行。短期內來看，一下子給乘用車私人客戶的純電動汽車來用，問題更多一些。

圖7 充電失效保護概念

[page]

第三部分 系統(tǒng)安全

對于整個車輛的安全性，我接受的一個概念是用系統(tǒng)安全(System Safety)的方法來進行處理。以下圖是我根據(jù)參考文獻3，整理的導圖。系統(tǒng)安全流程主要分以下的幾個階段：

1)概念階段

在概念設計階段，所有系統(tǒng)能夠識別出來的風險被整理成一個個安全概念或者策略。使用的辦法是使用初步危害分析(PHA) 的方法，用這樣一個電子表格的方法來識別潛在危害。這里需要列舉所有系統(tǒng)潛在危害，找出其可能起因和相應的最壞情況場景的描述，通過分析來確認消除條件。

在這個階段，可以使用ISO26262里面的風險分類方法，引入ASIL ，確定S、C、E。

這個就階段的成果是用安全概念文檔來衡量，這個階段做完以后，需要做系統(tǒng)安全和電池系統(tǒng)還有整車專家來進行階段性評審。

2)需求階段

這里就需要對所有的系統(tǒng)進行安全要求的歸檔和整理，將相關的輸入信息，包括PHA、安全目標、客戶期望、危害認定、國家安全法規(guī)整合到系統(tǒng)規(guī)范里面去，要確保這些安全要求分解至子系統(tǒng)，這里包括軟件控制的功能要求比如繼電器控制和高壓管理，也包括部件要求，如電池單體、電子部件、電氣部件、外殼結構。注意一般我們應用原有測試方法如電池的濫用實驗的結果來界定需求定義的合理性和相應的閾值。

3)設計階段

這個階段，最主要是的是對所有系統(tǒng)和部件，進行FTA和FMEA方面的細致工作。

4) 驗證階段

驗證階段主要是對系統(tǒng)的安全性需要進行獨立的安全性試驗，以確認子系統(tǒng)驗證結果證實設計的技術要求滿足安全需求；在系統(tǒng)一級完成以后，在車輛測試一級在保證整個情況的。

最后一個階段，文件評審和追蹤也是在臺面上需要完成的，主要包括PHA&安全概念、系統(tǒng)安全要求、功能子系統(tǒng)要求和物理子系統(tǒng)要求。

其實這一套東西是從參考文件4演化而來，學好系統(tǒng)工程中的系統(tǒng)安全，是未來做好安全的關鍵，如圖12所示。

圖8 概念階段的工作

圖9 需求階段工作

圖10 設計階段

圖11 驗證階段

圖 12 系統(tǒng)安全框架

參考文件

1.沃特瑪研究院簡介 http://gb.optimumnanoenergy.com/index.php?c=article&a=detail&id=77

2.CN 204012779 高壓電池組的安全保護電路

3.Application of System Safety Engineering Processes to Advanced Battery Safety Galen Ressler

4.NASA System Safety Handbook

第一電動網(wǎng)將繼續(xù)追蹤深圳“4·26”電動大巴起火事件的正式調查報告結果，同時我們也想知道您對此次事件的分析和見解，請在下面的評論區(qū)寫出您的看法，或撰文發(fā)送至content@d1ev.com。

返回第一電動網(wǎng)首頁 >