电动汽车以电池管理系统(BMS)、动力蓄电池系统为相关项的危害分析和风险评估(HARA)示例

1、GB/T XXXXX XXXX附录 A（资料性附录）以电池管理系统（BMS）为相关项的危害分析和风险评估（HARA）示例A.1相关项定义功能概念充电管理该功能旨在通过电池管理系统（ BMS）的控制管理，使得动力蓄电池在充电过程中处于安全状态。电池管理系统（ BMS）在动力蓄电池充电过程中对充电电压、充电电流、可检测到的电池温度等参数进行控制优化， 确保动力蓄电池在充电过程中的安全。 充电管理包括正常充电管理和能量回收管理。放电管理该功能旨在通过电池管理系统（ BMS）的控制管理，使得动力蓄电池在放电过程中处于安全状态。电池管理系统（ BMS）在动力蓄电池放电过程中对放电电压、放电电流、可检测到

2、的电池温度等参数进行控制优化，确保动力蓄电池在放电过程中的安全。蓄电池管理系统（BMS）的边界和接口按照 GB/T 34590.3 的的要求，定义电池管理系统（ BMS）相关项与其它相关项的边界和接口。示例：图 A.1 为BMS相关项的边界和接口参考示例。其他相关项如：动力蓄电池系统、整车低压蓄电池、整车动力控制系统（整车控制器、电机控制器等）、高压部件（服务开关等）、充电接口（对于具有可外接充电功能的电动汽车）。图 A.1 BMS相关项的边界和接口参考示例A.2相关项在整车层面上的危害识别20GB/T XXXXX XXXX识别电池管理系统（BMS）的功能异常表现按照 GB/T 34590.3

3、 第 6章的要求，应用危害与可操作性分析（HAZOP）方法识别电池管理系统（ BMS）的功能异常表现，参见表A.1 。表 A.1 HAZOP分析示例引导词在有需求时，提供错误的功能输出卡滞在非预期的功能固定值上功能丧失错误的功错误的功能错误的功（在无需求（功能不能能（多于（少于预能（方向相时，提供功能）按照需求更功能预期）期）反）新）充电电充电电压充电过压充电电压不卡滞在固定(过充管理N/A非预期充电压管理管理失效足单体电压失效 )充充电过流电 充电电充电电流充电电流不卡滞在固定(过流管理N/A非预期充电管流管理管理失效足电流失效 )理充电温充电温度充电过温卡滞在固定(过温管N/AN/AN/A

4、度管理管理失效温度值理失效 )放电电放电管理放电过放放电电压不卡滞在固定(过放管理N/A非预期放电压管理失效足单体电压失效 )放放电过流电放电电放电管理放电电流不卡滞在固定(过流管理N/A非预期放电管流管理失效足电流失效 )理放电温放电管理放电过温卡滞在固定(过温管理N/AN/AN/A度管理失效温度值失效 )分析电池管理系统（BMS）的功能异常表现导致的整车层面危害按照 GB/T 34590.3 第 6章的要求，根据中电池管理系统（BMS）的功能异常表现，分析可能导致的整车层面危害（最严重的情况），参见表A.2 。表 A.2 整车层面危害（最严重的情况）21GB/T XXXXX XXXX电池管

5、理系统（ BMS）功能异常表现的影响整车层面危害（最严重的情况）充电时充电电压超出预期，造成电池过充时无保车辆冒烟、起火、爆炸、释放有害物质护或保护不及时，引发热失控充电时电流超出预期， 造成电池过流时无保护或车辆冒烟、起火、爆炸、释放有害物质保护不及时，引发热失控充电时电池温度超出预期，造成电池过温时无保车辆冒烟、起火、爆炸、释放有害物质护或保护不及时，引发热失控放电时放电电压超出预期，造成电池过放时无保动力电池损坏报废，车辆动力丧失护或保护不及时放电时放电电流超出预期，造成电池过流时无保车辆冒烟、起火、爆炸、释放有害物质护或保护不及时，引发热失控放电时电池温度超出预期，造成电池过温时无保车

6、辆冒烟、起火、爆炸、释放有害物质护或者保护不及时，引发热失控A.3场景分析根据第 5章运行条件和环境约束要求，分析典型的车辆运行场景，参见表A.3 。表 A.3典型的车辆运行场景示例场 景 编典型场景号1正常行驶（高速行驶， 城市路况， 转弯等）2车辆静止无人看管充电3车辆静止无人看管放电车 辆 状态4车辆长期静置5碰撞（发生碰撞，碰撞之后）6维修A.4ASIL 等级的导出以电池管理系统（BMS）为相关项开展典型危害的危害分析和风险评估（HARA），并确定危害事件的 ASIL 等级。分析过程参见表A.4 ：表 A.4危害分析和风险评估示例22危害功能异整车层面功能常表现假设编的危害号GB/T

7、XXXXX XXXXASIL备危害事件注危害的详细（潜在的事故场A描述景考虑最差情S理由E 理由S况）C 理由ILH 充 电 充电电压Z 管理超出预D-充期，导致_电电电池过0 压 管 充，引发1理热失控H 充 电 充电电压Z 管理超出预D-充期，导致_电电电池过0 压 管 充，引发2理热失控H 充 电 充电电流Z 管理超出预D 充 期，导致_电电电池过0 流 管 流，引发3理热失控H 充 电 充电时电Z 管 理 池温度超D 电 出预期，_池温导致电池0 度 管 过温，引4理发热失控H放电放电时放Z管理 -电电压超D放电出预期，_电压导致电池0管理过放5冒烟、起火、爆炸、释放 N/A 有害物质

8、冒烟、起火、爆炸、释放 N/A 有害物质冒烟、起火、爆炸、释放 N/A 有害物质冒烟、起火、爆炸、释放 N/A 有害物质冒烟、起火、爆炸、释放 N/A 有害物质电池过充，析车辆静止无人看管3热失控起42有泄C充电，电池过充导火，爆炸平 均 运气 、 冒锂，引起电池内致热失控，车辆冒或产生有行时烟 等 预短路，导致热失烟、起火、爆炸、害物质造间 >10兆 ， 人控，车辆起火、释放有害物质，伤成人员伤可逃离爆炸%及行人亡车辆正常行驶（高3热失控起42有泄C电池过充，析速行驶，城市路况，火，爆炸平 均 运气 、 冒锂，引起电池内转弯），电池过充或产生有行时烟 等 预短路，导致热失导致热失控，车

9、辆害物质造间 >10兆 ， 人控，车辆起火、冒烟、起火、爆炸、成人员伤可逃离爆炸释放有害物质，伤%亡及乘员及行人车辆静止无人看管3热失控起42有泄C充电电流超出充电，充电电流过火，爆炸平 均 运气 、 冒电池允许的最大，导致电池过流，或产生有行时烟 等 预大充电电流， 导引发热失控，车辆害物质造间 >10兆 ， 人致电池热失控，冒烟、起火、爆炸、成人员伤%可逃离车辆起火、爆炸释放有害物质，伤亡及行人。充电时能检测车辆静止无人看管3热失控起42有泄C到的电池包温充电，高温环境下，火，爆炸平 均 运气 、 冒度超出预期， 造电池过温导致热失或产生有行时烟 等 预成电池过温， 引控，车辆

10、冒烟、起害物质造间 >10兆 ， 人发热失控，车辆火、爆炸、释放有成人员伤%可逃离起火、爆炸害物质，伤及行人。亡电池过放后再车辆静止无人看管3热失控起42有泄C放电，电池过放后火，爆炸平 均 运气 、 冒充电、析锂，引再充电，导致热失或产生有行时烟 等 预起电池内短路，控，车辆冒烟、起害物质造间 >10兆 ， 人导致热失控， 车火、爆炸、释放有成人员伤%可逃离辆起火、爆炸害物质，伤及行人。亡23H 放 电 放电电流Z管 理超 出 预D 放冒烟、起火、期，导致_爆炸、释放电 电电 池 过有害物质0 流 管 流，引发6理热失控H 放 电 放电时电Z管 理池温度超D冒烟、起火、 电出预期

11、，_爆炸、释放池 温导致电池有害物质0 度 管 过温，引7理发热失控N/AN/AGB/T XXXXX XXXX车辆正常行驶（高342C速行驶，城市路况，热失控起有泄放电电流超出转弯），放电电流火，爆炸平 均 运气 、 冒电池允许的最过大，导致电池过或产生有行时烟 等 预大放电电流， 导流，引发电池热失害物质造间 >10兆 ， 人致电池热失控，控，车辆冒烟、起成人员伤可逃离车辆起火、爆炸火、爆炸、释放有%亡害物质，伤及乘客和行人。车辆正常行驶（高342C电池包温度超速行驶，城市路况，热失控起有泄转弯），高温环境火，爆炸平 均 运气 、 冒出预期，造成电下，电池过温导致或产生有行时烟 等 预

12、池过温，引发热热失控，车辆冒烟、害物质造间 >10兆 ， 人失控，车辆起起火、爆炸、释放成人员伤可逃离火、爆炸%有害物质，伤及乘亡客和行人。A.5安全目标和安全状态对于表 A.4 中具有 ASIL等级的危害事件确定安全目标和安全状态，参见表A.5 。表 A.5 安全目标和安全状态序号安全目标安全状态FTTI1防止电池单体过断开高压回路。电池单体过充故障容错时间间隔应根据充导致热失控 。电池系统制造商过充测试结果给出。注：故障容错时间间隔（ FTTI ）的确定方法参考附录 C。2防止电池单体过断开充电回路。电池单体过放后再充电故障容错时间间放后再充电导致隔应根据电池系统制造商过放后再充电热

13、失控。的测试结果给出。注：故障容错时间间隔（ FTTI ）的确定方法参考附录 C。3防止电池单体过断开高压回路。电池单体过温故障容错时间间隔应根据温导致热失控。电池系统制造商过温的测试结果给出。注：故障容错时间间隔（FTTI ）的确定方法参考附录 C。24GB/T XXXXX XXXX4防止动力蓄电池断开高压回路。动力蓄电池系统过流故障容错时间间隔系统过流导致热应根据电池系统制造商过流测试结果给失控。出。注：故障容错时间间隔（FTTI ）的确定方法参考附录 C。25GB/T XXXXX XXXX附录 B（资料性附录）以动力蓄电池系统为相关项的危害分析和风险评估（HARA）示例B.1 相关项定义

14、功能概念提供放电动力蓄电池系统向整车设备及外部设施提供能量。提供充电动力蓄电池系统从整车或整车外部吸收能量， 包括从充电机吸收能量及整车制动能量回收等。动力蓄电池系统的边界和接口按照 GB/T 34590.3 的的要求，定义动力蓄电池系统相关项与其他相关项的功能边界及相互接口。示例：图 B.1 为动力蓄电池系统相关项的边界和接口示例，动力蓄电池系统为高压系统（>60V），包括电池、继电器及电池管理系统等元素，并与外部充电装置与驱动装置进行交互。动力蓄电池系统接口包括了两个高压接口与唤醒信号、整车通信、充电通信以及电源等低压接口。.相关项 : 动力蓄电池系统高压充电装置接继电器口高压驱动装

15、置接口继电器控高压线束制控制及信号电源电池系统边界电压唤醒低外部部件电池管理系统压电流整车通信接口充电通信相关项部件温度高压接口低压接口图 B.1动力蓄电池系统相关项的边界和接口参考示例B.2 相关项在整车层面上的危害识别识别动力蓄电池系统的功能异常表现按照 GB/T 34590.3 第 6章的要求，应用危害与可操作性分析（HAZOP）方法识别动力蓄电池系统的功能异常表现，参见表B.1 。表 B.1 HAZOP 分析示例26GB/T XXXXX XXXX在有需求时，提供错误的功能非 预 期引导词的 功 能输出卡滞在固定功 能（ 在 无错 误 的值上（功能不能丧失错误的功 能（ 多于预错误的功能

16、（少于预需求时，功能（方按照需求更新）功能期）期）提 供 功向相反）能）提供放电放 电放电量大于预期；放电量小于预期；NA非 预 期放电电流卡滞在（温度、电功 能电池放电 时温 度大于电池放电时温度小于放电较高值；丧失压、电流）预期；预期；放电电流卡滞在放电电流大于预期。放电电流小于预期。较低值。提供充电充 电充电量大于预期；充电量小于预期；NA非 预 期充电电流卡滞在（温度、电功 能电池充电 时温 度大于电池充电时温度小于充电较高值；丧失压、电流）预期；预期；充电电流卡滞在充电电流大于预期。充电电流小于预期；较低值。电池电压小于预期时充电。分析动力蓄电池系统的功能异常表现导致的整车层面危害按

17、照 GB/T 34590.3 第 6章的要求，根据中动力蓄电池系统的功能异常表现，分析可能导致的整车层面危害（最严重的情况），参见表B.2。表 B.2整车层面危害（最严重的情况）动力蓄电池系统功能异常表现的影响整车层面的危害（最严重的情况）放电量大于预期， 造成动力蓄电池系统过放动力电池损坏报废，车辆丧失动力并损坏。电池放电时温度大于预期， 造成动力蓄电池车辆冒烟、起火、爆炸、释放有害物质系统过温，引发热失控放电电流大于预期， 造成动力蓄电池系统过车辆冒烟、起火、爆炸、释放有害物质流，引发热失控充电量大于预期，造成动力蓄电池系统过车辆冒烟、起火、爆炸、释放有害物质充，引发热失控27GB/T X

18、XXXX XXXX电池充电时温度大于预期， 造成动力蓄电池 车辆冒烟、起火、爆炸、释放有害物质系统过温，引发热失控充电电流大于预期， 造成动力蓄电池系统过 车辆冒烟、起火、爆炸、释放有害物质流，引发热失控电池电压小于预期时充电，引发热失控车辆冒烟、起火、爆炸、释放有害物质B.3 场景分析根据第 5章运行条件和环境约束要求，分析典型的车辆运行场景，参见表B.3 。表 B.3典型的车辆运行场景示例场景编号典型场景1 正常行驶（高速行驶， 城市路况， 转弯等）2 车辆静止无人看管充电3 车辆静止无人看管放电车辆状态4 车辆长期静置5 碰撞（发生碰撞，碰撞之后）6 维修B.4 ASIL 等级的导出以动

19、力蓄电池系统为相关项开展典型危害的危害分析和风险评估（HARA），并确定危害事件的 ASIL等级。分析过程参见表 B.4 ：表 B.4危害分析和风险评估示例危功功 能 异整车层面的假危害的详细描危害事件备ASIL害能常表现危害设述注（潜在的事故场景考28HZD提放 电 量动力电池损_01供大 于 预坏报废，车放期辆动力丧失电功能无 电池过放，造成动力电池损坏报废，车辆动力丧失GB/T XXXXX XXXXAS理由E理由C理由SIL车辆正常行驶（高速行1车 辆 动4平 均 运1无危害，Q驶，城市路况，转弯），力 丧 失行时人 员 较M放电量大于预期， 导致电导 致 的间 >10%大 可 能

20、池损坏报废， 车辆动力丧追尾，引逃离失，与后车发生追尾碰起 驾 驶撞。员 轻 度或 者 中度 的 伤害HZD提电 池 系车辆冒烟、无电池放电过温 -_02供统 放 电起火、爆炸、热失控冒烟、放时 温 度释放有害物起火、爆炸、释电大 于 预质放有害物质功期人员伤亡能车辆正常行驶（高速行3 热失控4 平均运2 有泄气， C驶，城市路况，转弯），起火，爆行时冒 烟 等放电时温度大于预期，导炸 或 产间 >10%预兆，人致电池过温，引发热失生 有 害可逃离控，车辆冒烟、起火、爆物 质 造炸、释放有害物质，伤及成 人 员乘客和行人。伤亡HZD提放 电 电车辆冒烟、_03供流 大 于起火、爆炸、放预

21、期释放有害物电质功能无 电池充电过流 - 热失控冒烟、起火、爆炸、释放有害物质人员伤亡车辆正常行驶（高速行3 热失控4 平均运2 有泄气， C驶，城市路况，转弯），起火，爆行时冒 烟 等放电时温度大于预期，导炸 或 产间 >10%预兆，人致电池过温，引发热失生 有 害可逃离控，车辆冒烟、起火、爆物 质 造炸、释放有害物质，伤及成 人 员乘客和行人。伤亡HZD提充 电 量车辆冒烟、无电池过充 - 热失车辆静止无人看管充电，3 热失控4 平均运2一般无C_04供大 于 预起火、爆炸、控冒烟、起充电时充电量大于预期，起火，爆行时严 重 后充期释放有害物火、爆炸、释放导致电池过充， 引发热失炸

22、或 产间 >10%果，人员电质有害物质 人控，车辆冒烟、起火、爆生 有 害可逃生功员伤亡炸、释放有害物质，伤及物 质 造能行人。成 人 员伤亡29GB/T XXXXX XXXXHZD提电 池 充车辆冒烟、无电池充电过温 -_05供电 时 温起火、爆炸、热失控冒烟、充度 大 于释放有害物起火、爆炸、释电预期质放有害物质功人员伤亡能车辆静止无人看管充电，3 热失控4 平均运2 有泄气， C充电时电池温度大于预起火，爆行时冒 烟 等期，导致电池过温，引发炸 或 产间 >10%预兆，人热失控，车辆冒烟、起火、生 有 害可逃离爆炸、释放有害物质，伤物 质 造及行人。成 人 员伤亡HZD提充 电 电车辆冒烟、无电池充电过流 -_06供流 大 于起火、爆炸、热失控冒烟、充预期释放有害物起火、爆炸、释电质放有害物质功人员伤亡能车辆静止无人看管充电，3 热失控4 平均运2 有泄气， C充电时电池电流大于预