近两年,中国储能产业迎来爆发式增长。相较于其他储能技术,由于生产技术的快速进步、制造成本的逐步下降等因素,锂离子电池具备更显著的竞争力,在储能领域的市场渗透率越来越高。
作为对电池进行监控和管理的电子装置,电池管理系统(batterymanagementsystem,BMS)是储能系统的核心部件之一,其功能安全关系到整个锂离子储能电站的安全稳定运行。
为了正确高效地实现储能系统的电池管理系统功能安全设计和验证,针对锂电池储能系统BMS的产品特点,本工作从系统的危险识别和风险分析、整体安全要求确定和安全功能分配、安全完整性实现及验证3个主要分析步骤,参照IEC61508、IEC60730-1等相关参考标准梳理了电池储能系统BMS功能安全的分析与设计过程。
分析结果表明,选择失效模式影响和诊断分析(FMEDA)以及风险矩阵法(RM),可靠性框图法(RBD),适合于储能系统电池管理系统BMS的功能安全分析和设计。
依照IEC61508、IEC60730-1等相关标准,结合储能系统产品的特点,选择正确的分析设计路径,可以确保储能系统BMS的功能安全完整性等级(SIL)有效达成,为储能电站设计开发者提供参考。
1 BMS功能安全要求简述
根据IEC61508-4的定义,功能安全(functionalsafety)是指整体安全中与受控设备(equipmentundercontrol,EUC)和EUC控制系统相关的部分,它取决于E/E/PE安全相关系统和其他风险降低措施正确执行其功能。
要实现特定的安全相关系统,就必须有相应的安全功能(safetyfunction)实现。所谓安全功能,是指针对特定的危险事件,为实现或保持EUC的安全状态,由E/E/PE安全相关系统或其他风险降低措施实现的功能。
对于储能电池系统,充放电控制或保护设备是EUC,电池管理系统BMS是E/E/PE安全相关系统,需要对电池系统进行安全保护。
(4)安全完整性实现并验证。实现和操作维护两阶段具体包括整体安装调试、整体安全确认、整体运行维护和修理、退役或处置、整体修改和改型等过程,由于不是本文重点,下文将不再重点介绍。
2 系统分析
尽管IEC61508并没有明确要求必须将安全相关系统的设计与非安全相关系统的设计分开,但出于独立性要求以及便于评估等方面考虑,在实施过程中一般尽量将上述两个过程分开。
本阶段的目的是说明目标产品的控制功能、应用环境、可能出现的危害和危险以及需要遵守的安全法规。本阶段可明确储能系统BMS的控制范围、实际包含设备、外部事件、事件类型和其他相关设备系统等,可得出如图1所示的电池系统BMS的交互模块框图,其中HMI是人机接口,EMS是能量管理系统。
3 危险识别和风险分析
系统分析工作完成后,可根据输出的系统分析文档和确定的系统范围,开展BMS危险识别和风险评估工作。
在本阶段,失效模式及影响分析(failuremodeandeffectanalysis,FMEA)是一种较为有效和常用的风险分析方法。另外,当需考虑BMS对风险的侦查能力时,也可采用失效模式、影响及其诊断分析(failuremodeseffectsanddiagnosticanalysis,FMEDA)方法完成对最终数据的整理分析
(4)对每个部件/失效模式,列出影响的严重性/危险程度。IEC60812规定了FMEA详细的设计过程,其附录TableF.9提供了FMEA在一个安全相关控制系统中的应用实例。
需要注意的是,该方法可以分层分子系统进行套用,使用时需按照系统的复杂度对分层分子系统进行逐个自下而上地完成分析。元器件的失效模式和失效率数据可以从器件手册、用户现场反馈可信数据、先验手册等来源获取,本文更加推荐前两种数据来源。
(4)SiemensSN29500:由Siemens发布的电子和机电元件可靠性预测的标准,可视为对IEC61709的补充。针对固定式储能系统,本文给出如表1所示的电池系统可能发生的危险事件列表。针对识别的风险对每个功能安全相关部件进行FMEA分析,输出分析结果,见表2。
4 整体安全要求确定及安全功能分配
整体安全要求确定环节是指为达到所要求的功能安全,根据整体安全功能要求和整体安全完整性要求,为每一个危险件建立起对应的安全功能,并对每个安全功能规定安全完整性等级要求SIL,形成整体安全要求规范。
安全功能分配环节是指将整体安全要求规范中的安全功能分配至E/E/PE安全相关系统和其他风险降低措施中。IEC61508-1的7.5和7.6章节提供了整体安全要求和分配的详细执行要求。对各个安全功能进行安全完整性等级SIL目标确定是本阶段的一个核心工作。
IEC61508-5附录B提供多种危害分析方法,如常用的有风险图法、危险事件严重性矩阵、保护层分析(layerofprotectionanalysis,LOPA)等。
下文以防电击安全功能为例,采用危险事件严重性矩阵,说明如何进行安全完整性等级SIL的确定。
②电气安全措施部分,将电池包外壳进行接地保护。由于上述两部分安全措施是相对独立的,互不影响其功能的执行结果,因此独立的安全功能数量为2。
假设项目团队对此危险事件的出现概率评估为中等可能性,严重性等级评估为严重的,则根据图2所示的危险事件严重性矩阵(摘自IEC61508-5附录G),BMS安全功能SF1的安全完整性等级SIL应是SIL1。
根据IEC61508规定,安全系统的运行模式分为低要求模式、高要求模式和连续模式三种。
储能系统中的BMS执行安全功能的次数每年超过一次,属于高要求模式,因此其安全功能的需求失效概率应采用每小时危险失效平均频率PFH指标,可根据表3(摘自IEC61508-1)确认BMS各安全功能的安全完整性等级及要求指标。
对BMS中的各个针对危险事件的安全功能进行逐个评估后,综合得出BMS的安全完整性等级目标。通过本阶段,项目团队可形成整体功能安全要求说明书,以及系统、软件、硬件安全功能分配说明书。
5 结语
BMS是锂电池储能系统的核心部件之一,其可靠性和安全性是储能系统推广应用过程中关键性技术难题。
基于国内外相关技术标准梳理以及实际工程经验,本文详细总结了BMS功能安全分析设计的具体过程和实用方法,具体包括系统分析、危险识别和风险分析、整体安全要求确定及安全功能分配、安全完整性实现及验证等环节。
本文研究成果填补了国内关于储能系统锂电池BMS功能安全设计研究方面的空白,为电池系统的安全设计、安全验证、安全评估工程师提供参考,对我国储能电池系统的功能安全标准规范的研究和制定也有参考借鉴意义。本文所提供仅是其中一种可行方案,从业工程师需要根据储能系统的实际应用场景和各公司的能力进行合理选择。
我们登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,其原创性以及文中陈述文字和内容未经证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,文章内容仅供参考! 因内容为机器人自动从互联网自动抓取,如您不希望您的作品出现在我们的平台,请和我们联系处理邮箱[email protected],电话:18626060360,谢谢!
