当前位置: 首页 » 资讯 » 行业资讯 » 市场杂谈 » 正文

从深圳4•26电动大巴起火看系统安全方法

放大字体  缩小字体 发布日期:2015-08-12  来源: 第一电动
核心提示:根据参考文献1,沃特玛基于客车的系统是BMS整套电池管理系统,包括主机模块、采集模块、显示屏模块、绝缘检测模块、CAN盒等
  电动大巴的系统安全考虑,是非常重要的。我个人以为,相比乘用车而言,商用车、大巴其实有更高的安全要求,事实往往是倒挂的。这里写这篇文章,分三部分,第一是通过文章( 深圳4.26电动大巴起火调查结果公布:过充引发火灾)提炼一下事故发生的关键特性;第二是将三方的系统设计摆在台面上来复盘,第三是宣传一下系统安全的理念。
 
  第一部分: 事故关键要素
 
  事故结论:动力电池过充=>电解液泄漏及电池短路=>火灾
 
  事件牵涉方:
 
  1.充电运营单位是普天新能源(深圳)有限责任公司:运营管理直流充电机和充电管控系统
 
  2.车辆制造单位是深圳市五洲龙汽车有限公司:提供整车集成和整车控制和整车监控系统
 
  3.电池系统制造单位是深圳市沃特玛电池有限公司:提供电池包,BMS
 
  事故过程:
 
  1.14时13分,入场充电SOC62%
 
  2.15时42分,动力电池SOC已满
 
  3.17时,充电机检测到的电压超过充电机自身保护电压650V,充电机才强制中断充电过程
 
  关键要素提取:
 
  1.电池管理系统主控模块在充电过充中失效
 
  2.车联系统仍然上传失效前数据
 
  3.充电机没有根据限值切断,特别是没有根据总电压600V限值切断
 
  4.充电运营系统的数据收集没有处理
 
  5.车联系统的数据平台没有处理
 
  调查组总结:
 
  1.电池管理系统控制策略存在缺陷
 
  2.充电系统功能不完善
 
  3.监控数据不被重视
 
  4.车--充电机--后台监控等缺乏系统的安全保护设计
 
  调查组提议的改进措施:
 
  1.电池企业:改进BMS设计
 
  2.充电企业:充电设施增设限制过充的措施
 
  3.整车企业
 
  a.布置改进:对结构、内饰材料、高低压电缆进行改进设计
 
  b.布置改进:控制电池箱相对集中的车辆尾部电池舱的环境温度
 
  第二部分:相关的系统设计要素
 
  大巴的结构布置示意图,可以如图1所示。

 
 
  图1 五洲龙大巴结构示意图
 
  根据参考文献1,沃特玛基于客车的系统是BMS整套电池管理系统,包括主机模块、采集模块、显示屏模块、绝缘检测模块、CAN盒等
 
  电池管理主机模块(BMS):
 
  BMS主模块可接收BMU(电池单体信息采集模块)部件上传的电池组信息,
 
  计算电池容量,健康状态等,能随时给出电池组整个系统的剩余容量。
 
  CAN通信:在显示屏模块指定位置显示,通过整车CAN通讯口上传到汽车整车控制器和仪表总线。
 
  控制电池放电功率:电池功率基于SOC,电压和温度等条件下,可允许的10s 放电功率
 
  可配置的最大容量为1000AH,精度5%。
 
  BMU:
 
  采集单体电池的电压、电流还有温度等
 
  单体电压采样范围 0~5V,采样精度达到±(0.3%RD+0.2%FS)
 
  温度采样范围-40℃ ~ 120℃
 
  采样精度±1℃
 
  电池管理系统显示屏
 
  显示系统运行信息、参数配置和采集信号显示等。
 
  绝缘检测模块:
 
  对电池系统地绝缘状态进行检测,采用低频信号注入法,能够自动适应系统漏电容和绝缘电阻的大小。
 
  充电管理CAN盒:
 
  CAN盒承担的是充电桩和BMS系统之间的信息沟通工作
 
  当车辆开始充电,充电枪插入车辆充电座时,经过一系列的沟通之后,进入正常的充电状态,
 
  CAN总线通信速率:250kBIT/s
 
  根据这些描述,我们把真个系统重构出来大概是这么一个系统,车辆有三路基本的CAN,如图2所示
 
  CAN1:BMS与整车控制器的通信CAN
 
  CAN2:BMS收集CAN线,同时将需要与充电机交互的CAN信息发送出去
 
  CAN3:直流充电与整车通信的盒子,这个盒子就把单体信息,充电需要的信息整合出去
 
  这里是推测的部分:
 
  1.BMS是直接控制配电盒的,只有BMS才能切断继电器

 
 
  图2 大巴系统架构
 
  根据以上的信息,大概可以做出这样的推论:
 
  1)BMS没有采取更多的保护设计,BMS比较容易死机
 
  1.1 如下图3所示,理论上有个备份的系统比较合适

 
 
  图3 2oo2D的多个变种
 
  1.2 节约的作法,遇到主MCU(承担主要的算法工作)无法处理,采用备份MCU监控重启或者报警也行

 
 
  图4 主从MCU监控系统
 
  2)单体的信息通过内部一路CAN传送,最远的BMU与整个BMS的距离很长,电源的供给和抗干扰的回路设计起来也是比较费劲的
 
  3)BMU本身也只有简单的MCU+ASIC的方式,只有比较简单的测量功能,由于考虑到大巴的长度问题,如果采用单体过压或者欠压报警,用单纯的IO信号也可能存在较多问题

 
 
  图5 乘用车BMU基本架构
 
  4)CAN盒的设计,是一个比较大的问题,由于与BMS没有一个很好的通信机制,所以最好的办法是进入BMS作为一部分监控起来
 
  对于电池管理系统的建议:
 
  a)对于单体和模块过压这样的故障,需要在BMU端做独立的电路,加检测芯片和独立于MCU的反馈通路
 
  b) 对于整车控制器的权限,不仅仅需要通过CAN来断开继电器,当BMS死机无法发送心跳报文的时候,整车控制器可采集直控方式切断
 
  接下来说说直流充电的事情,整个GB/T20234.3和GB/T27930,是由BMS主控,充电机辅助的。如果充电机在后期没有BMS的信息的时候,不退出,这个系统稳定性可想而知。
 
  在整个充电阶段,BMS实时向充电机发送电池充电需求,充电机根据电池充电需求来调整充电电压和充电电流以保证充电过程正常进行。在充电过程中,充电机和BMS相互发送各自的充电状态。
 
  BMS根据要求向充电机发送动力蓄电池具体状态信息及电压、温度等信息
 
  BMS充电终止条件
 
  根据充电过程是否正常:BMS诊断充电的需求和实际的情况
 
  电池状态是否达到BMS自身设定的充电结束条件:电池的SOC核算情况
 
  是否收到充电机中止充电报文来判断是否结束充电:这条表征充电桩的自身状态
 
  充电机终止条件为
 
  停止充电指令:BMS的充电需求
 
  充电过程是否正常:充电机诊断充电情况
 
  是否达到人为设定的充电参数值:充电机本身的保护
 
  是否收到BMS中止充电报文来判断是否结束充电:BMS的充电需求
 
 
  图6 GB/T 27930 充电流程
 
  对比Combo或者Chademo系统(编者:指欧盟和日本采用的充电标准)的充电过程,在充电过程中的失效,BMS整体失效一般不会发生,而且本身采取了PWM+PLC通信两种不同形式交互整个充电过程。前者用幅度表征充电过程,PLC通信交互控制信息。我个人对于修订后的GB27930一系列在系统安全上的缺陷,觉得后续真的要在互通性、误报错和安全几项内容进行系统折中才行。短期内来看,一下子给乘用车私人客户的纯电动汽车来用,问题更多一些。
 
 
 
  图7 充电失效保护概念
 
  第三部分 系统安全
 
  对于整个车辆的安全性,我接受的一个概念是用系统安全(System Safety)的方法来进行处理。以下图是我根据参考文献3,整理的导图。系统安全流程主要分以下的几个阶段:
 
  1)概念阶段
 
  在概念设计阶段,所有系统能够识别出来的风险被整理成一个个安全概念或者策略。使用的办法是使用初步危害分析(PHA) 的方法,用这样一个电子表格的方法来识别潜在危害。这里需要列举所有系统潜在危害,找出其可能起因和相应的最坏情况场景的描述,通过分析来确认消除条件。
 
  在这个阶段,可以使用ISO26262里面的风险分类方法,引入ASIL ,确定S、C、E。
 
  这个就阶段的成果是用安全概念文档来衡量,这个阶段做完以后,需要做系统安全和电池系统还有整车专家来进行阶段性评审。
 
  2)需求阶段
 
  这里就需要对所有的系统进行安全要求的归档和整理,将相关的输入信息,包括PHA、安全目标、客户期望、危害认定、国家安全法规整合到系统规范里面去,要确保这些安全要求分解至子系统,这里包括软件控制的功能要求比如继电器控制和高压管理,也包括部件要求,如电池单体、电子部件、电气部件、外壳结构。注意一般我们应用原有测试方法如电池的滥用实验的结果来界定需求定义的合理性和相应的阈值。
 
  3)设计阶段
 
  这个阶段,最主要是的是对所有系统和部件,进行FTA和FMEA方面的细致工作。
 
  4) 验证阶段
 
  验证阶段主要是对系统的安全性需要进行独立的安全性试验,以确认子系统验证结果证实设计的技术要求满足安全需求;在系统一级完成以后,在车辆测试一级在保证整个情况的。
 
  最后一个阶段,文件评审和追踪也是在台面上需要完成的,主要包括PHA&安全概念、系统安全要求、功能子系统要求和物理子系统要求。
 
  其实这一套东西是从参考文件4演化而来,学好系统工程中的系统安全,是未来做好安全的关键,如图12所示。
 
 
  图8 概念阶段的工作
 
 
  图9 需求阶段工作
 
  
 
  图10 设计阶段
 
 
 
  图11 验证阶段
 
 
  图 12 系统安全框架
 
  参考文件
 
  1.沃特玛研究院简介 http://gb.optimumnanoenergy.com/index.php?c=article&a=detail&id=77
 
  2.CN 204012779 高压电池组的安全保护电路
 
  3.Application of System Safety Engineering Processes to Advanced Battery Safety Galen Ressler
 
  4.NASA System Safety Handbook
 
关于我们:中国化学与物理电源行业协会(China Industrial Association of Power Sources,缩写:CIAPS) 是由电池行业企(事)业单位自愿组成的全国性、行业性、非营利性的社会组织。协会成立于1989年12月,现有550多家会员单位,下设碱性蓄电池与新型化学电源分会、酸性蓄电池分会、锂电池分会、太阳能光伏分会、干电池工作委员会、电源配件分会、移动电源分会、储能应用分会、动力电池应用分会和电池隔膜分会等十个分支机构。
本会专业范围包括:铅酸蓄电池、镉镍蓄电池、氢镍蓄电池、锌锰碱锰电池、锂一次电池、锂离子电池、太阳电池、燃料电池、锌银电池、热电池、超级电容器、温差发电器及其他各种新型电池、电池系统解决方案,以及各类电池用原材料、零配件、生产设备、测试仪器和电池管理系统等。

[ 资讯搜索 ]  [ 加入收藏 ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]

 

 
资讯浏览
 
网站首页