T-SPSTS 010-2019 锂离子电池储能系统的功能安全规范

ICS27.180FunctionsafetyspecificationforLi-ionbatteryen深圳市电源技术学会发布I I前言 12规范性引用文件 13术语与定义 14符号和缩略语 35出厂前和出厂后的功能安全目标 35.1风险等级水平和残余风险要求 35.2设置典型的安全目标 46出厂前功能安全设计验证 46.1设定分析验证流程 46.2验证电池单体和电池包安全测试项目 56.3补充典型的其他失效模式分析 56.4开展FTA计算残余风险 56.5补充安全措施再次核算残余风险 56.6设计验证试验且交叉审核 56.7验证测试及评审报告 66.8预测售后服务的测试和风险 66.9告知相关方安全运输存储使用 67出厂后功能安全保养验证 77.1签订售后服务协议 77.2开展售后服务检测 77.3计算残余风险 77.4修复更换升级措施 77.5计算维修后残余风险 77.6告知相关方使用和维护 7附录A（资料性附录）安全目标确定案例 9附录B（资料性附录）串联系统和并联系统 附录C（资料性附录）锂离子电池或电池组的安全测试类型 附录D（资料性附录）进行FTA分析的例子 附录E（资料性附录）锂离子电池消防风水法 本标准按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由深圳市电源技术学会提出并归口。本标准起草单位：东莞新能源科技有限公司、深圳市尚亿芯科技有限公司、华测检测认证集团股份有限公司、深圳石墨烯创新中心有限公司、清华大学深圳国际研究生院、深圳普瑞赛思检测技术有限公司、深圳市电源技术学会本标准主要起草人：陈朝阳、牛文斌、刘攀超、李宝华、罗丹、苏春华、张瑞芳、朱静、范亚飞、李康玉、蔡金、张美娟、王俪颖锂离子电池构成的储能系统有热失控风险，在安装环境内还能引起火灾蔓延、受限空间的气体爆炸风险。现有相关标准体系有两大类，第一类是锂离子电池储能系统出厂前的安全检测，都是锂离子电池或电池包的电气滥用测试、机械滥用测试、环境滥用测试；第二类标准是功能安全标准，但是没有针对储能系统技术的功能安全。此外，现有标准未考虑售后服务的检测保养风险，没有将功能安全计算残余风险是多少年一遇用于锂离子电池储能系统的安全。本标准用全生命周期的观点，在出厂前进行测试和风险计算，增加售后服务的测试和风险计算；完善阶段风险因素，除锂离子电池和电池包的三类安全滥用测试外，还增加电解液泄漏、冷凝水、泡水、电解金属膜短路、表面高温火焰蔓延、适用灭火装置和灭火效能等；增加售后服务检测维护和风险计算，增加功能安全到锂离子电池储能系统中。本标准纳入售后服务的检测、保养、风险降低计算，实现在十年或十五年保质期内定期检测保养，实际验证和更新安全知识，确保残余风险真正可控。改变思维和商业模式，将锂离子电池储能系统就标准只有出厂检测的消费电子概念（如手机），转变为有售后服务长期跟进的工业品概念（如汽车），实现售后服务可增值和持续发展。将飞机、汽车用到的功能安全技术，首次用于锂离子电池储能系统，综合使用当前已知的知识，量化风险分析，控制残余风险。1锂离子电池储能系统的功能安全规范本标准规定了锂离子电池储能系统的功能安全，包括出厂前和出厂后的功能安全目标、出厂前功能安全设计验证、出厂后功能安全保养验证、进行FTA分析的实施例、消防风水法等内容。本标准适用于家用储能、集装箱式移动储能、电网储能等锂离子电池储能系统。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T4888故障树名词术语和符号GB/T20438电气/电子/可编程电子安全相关系统的功能安全[IEC61508（所有部分）]GB/T34590.1—2017道路车辆功能安全第1部分：术语[ISO26262-1:2011,MOD]DB11/Z728电动汽车电能供给与保障技术规范充电站ISO13849（所有部分）Safetyofmachinery—Safety-relatedpartsofcontrolsystems—Part1:Generalprinciplesfordesign3术语与定义3.1锂离子电池单体lithiumioncell含有锂离子的能够直接将化学能转化为电能的基本单元装置，包括电极、隔膜、电解质、外壳和端子，并被设计成可充电。3.2锂离子电池模块lithiumionbatterymodule将一个以上锂离子电池按照串联、并联或串并联方式组合，且只有一对正负极输出端子，并作为电源使用的组合体。3.3锂离子电池包lithiumionbatterypack通常包括锂离子电池模块、电池管理模块、电池箱以及相应附件，具有从外部获得电能并可对外输出电能的单元。注：电池管理模块不包含蓄电池电子单元（3.6）。3.4锂离子电池系统lithiumionbatterysystem一个或一个以上锂离子电池包及相应附件（管理系统、高压电路、低压电路、热管理设备以及机械总成等）构成的能量存储装置。3.5电池储能系统batteryenergystoragesystem;BESS2用电池构成的电能存储系统，依照规模大小包括：大型电网用电池储能系统、集装箱式电池储能系统、企业用电池储能系统、家用小型电池储能系统。3.6蓄电池电子单元batterycontrolunit;BCU管理若干个电池充电、放电、监控保护功能的电路板，监控保护功能通常包括过充、过放、过流、过压、过热等功能。3.7蓄电池管理系统batterymanagementsystem;BMS管理若干个蓄电池电子单元（3.6）的电路板，在蓄电池电子单元（3.6）的监控保护功能上通常增加了绝缘检测、漏电检测、异常电池对比检测、充电循环寿命、放置日历寿命、容量估计等功能。3.8功能安全functionalsafety不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。[GB/T34590.1—2017，定义2.51]3.9安全完整性等级safetyintegratelevel;SIL在规定的条件下，规定的时间内，安全相关系统成功实现所要求的安全功能的概率。3.10残余风险residualrisk实施安全措施后剩余的风险。[GB/T34590.1—2017，定义2.97]。3.11两次故障间平均生存时间meantimebetweenfailure;MTBF指产品或系统在两相邻故障间隔期内正确工作的平均时间。3.12故障树faulttree故障树是一种特殊的倒立树装逻辑因果关系图，它用事件符号、逻辑门符号和转移符号描述系统中[修改GB/T4888—2009，定义5]3.13故障树分析法faulttreeanalysis;FTA在系统设计过程中，通过对可能造成系统失败的各种因素（包括硬件、软件、环境、认为因素）进行分析，画出故障树（3.12从而确定系统失败因素的各种组合可能方式或其发生概率，以计算系统失效概率，采用相应的措施，以提高系统可靠性的一种设计分析方法。3.14安全诊断safetydiagnoise在功能安全分析中写出发现失效的逻辑。3.15单点失效single-pointfailure;SPF由单点故障引起并直接导致违背安全目标的失效。注1：单点失效等同于诊断覆盖率为0%的要素的残余失效。注2：如果为一个硬件要素（例如，微控制器的看门狗）定义了至少一个安全机制，那么，所考虑的硬件要素的故障都不是单点故障。3[GB/T34590.1—2017，定义2.121]3.16多点失效multiple-pointfailure;MPF在系统中多个独立故障失效共同作用才能引起整体（系统）失效。4符号和缩略语SOC室温电池）荷电状态（StateofCharge）BESS：电池储能系统（BatteryEnergyStorageSystem）BCU：蓄电池电子单元（BatteryControlUnit）BMS：电池管理系统（BatteryManagementSystem）SIL：安全完整性等级（SafetyIntegrateLevel）MTBF：两次故障间平均生存时间（MeanTimeBetweenFailure）FTA：故障树分析（FaultTreeAnalysis）SPF：单点失效（Single-pointFailure）MPF：多点失效（Multiple-pointFailure）PL：安全水平（PerformanceLevel）5出厂前和出厂后的功能安全目标5.1风险等级水平和残余风险要求5.1.1书面确认依照GB/T20438—2017的规定或买卖双方确定的失效后果严重程度即SIL和残余风险进行。厂家或买卖双方约定合理的SIL等级和要求残余风险见表1。表1SIL对应残余风险表GB/T20438.1的SIL安全完整性等级（严重性）ISO13849的PL性能等级（严重性）最小残余风险最小失效率（F/h）最大残余风险最大失效率（F/h）无a无1b,c2d3e4无5.1.2厂家或买卖双方应依据销量、保质期来确定整批货物的SIL水平对应的残余风险的合理程度。5.1.3选择合理的串联电路和并联电路模型（见图1）来计算可靠性和失效率，选择合理的安全冗余,转变SPF为MPF，满足需要的低风险。R1R1R2R245.1.4应使用交叉审核方式担当安全冗余，典型的交叉审核包括：有设计方案就有验证方案，有测试计划就有验证计划，有设计人员思路就有验证人员思路，有设计测试结果就有审查人员核实。5.1.5应在出厂前的各个设计制造、测试，出厂后的售后服务各个阶段开展分析验证，实现多个阶段的交叉审查。5.2设置典型的安全目标厂家或买卖双方应设置合理的安全目标，安全目标应不低于以下行业典型值：a）SIL2级目标：移动使用的BESS遇到撞车等异常断电时间小于0.1s；b）SIL3级目标：BESS表面温度不超过100℃;c）SIL4级目标：BESS释放到环境蒸气不超过爆炸下限LEL的10%。6出厂前功能安全设计验证6.1设定分析验证流程6.1.1工作流程宜分解为设计阶段、制造阶段、售后服务阶段，依据产品规模可适当合并阶段。6.1.2宜在设计阶段进行的工作，包括：a）收集当前法规、标准清单并汇总要点；b）确定安全目标；注：安全目标的类型主要有：按运动类型区分，有移动型、固定型；按规模区分，有家c）修订安全目标，考虑预售数量、质保期；d）确定产品系统级别的FTA，确定机械结构、电池布置、电路板设置，在FTA中的顶上事件（起火、爆炸等）分解的主要失效原因和大致概率，增加安全冗余来达到安全目标，对应有安全设计在硬件、软件；e）确定产品售后服务阶段的FTA，通过开展检测、保养、更换服务，实现保质期内的安全目标和售后服务清单（项目、频次、价格）；f）对6.1.2a)~e)设计开展交叉评审，验证试验数据开展交叉稽核；g）平衡商业秘密和产品品质安全，在产品规格说明书、售后服务说明书中增加功能安全内容；h）对电网用储能系统、公共交通工具的储能系统，应设置远程监控系统来监测和预警；小型储能系统自愿选择远程监控系统。6.1.3宜在制造阶段进行的工作，包括：a）原型验证和修改，更新FTA，更新验证测试报告；b）组织内审或客户沟通评审，形成冻结的设计结果；c）开展量产首批产品验证FTA，包括出厂前的FTA满足，未来售后服务阶段的FTA项目可实现性；d）交叉审核FTA和对应验证测试；e）持续监督量产品质波动，变更管理，如果出现影响功能安全的情形，更新FTA和配套验证测试；f）如果出现严重背离了安全目标，FTA分析可中止生产，重新优化设计，必要时可以对产品召回；g）完成产品出货前的安全检验报告、强制检验报告；h）发布功能安全报告、产品说明书，产品说明书中应包含售后服务内容，开展用户安全沟通。6.1.4宜在售后服务阶段进行的工作，包括：a）宣传沟通售后服务内容，列明项目频次和费用；b）执行售后服务，进行检测、保养、更换服务；c）已经安装远程监控系统的储能系统，应利用监控数据提供安全服务；5d）收集售后服务信息，综合最新技术进步的认识、行业案例的借鉴，判断是否进行变更；再次做FTA，验证是否符合安全目标，开展交叉审核，确定分析到位；e）必要时，可决策和执行召回行动，对召回产品进行部件更换达到重新安全使用的目标。6.2验证电池单体和电池包安全测试项目6.2.1应依照强制标准完成电池单体、电池包、电池储能系统的安全测试项目。6.2.2应进行功能安全分析列出的安全测试项目，将数据用于模型分析，计算残余风险。6.2.3宜选择推荐测试项目，用于预计使用场景的安全测试。6.3补充典型的其他失效模式分析应依照功能安全的方法，辨识产品应用环境的起火、爆炸、触电等失效，依据收集的标准、行业案例、经验数据，结合FTA，补充其他失效模式。典型要补充的失效模式包括：a)电池火焰或高温气体喷射出来，点燃环境可燃物；b)热失控电池释放的气体在设备密封容器或密封房间堆积发生气体爆炸；c)泡水后，残留水引发电极电解金属膜，短路逆变器的交流电引发触电；d)温度剧烈变化引起冷凝水或电池本身有泄漏电解液缺陷，在电池内部电解金属膜短路、搭接电池外壳和极柱形成电池电解破损泄漏电解液或产生气体；e)电网谐波造成电路板控制逻辑失效错误动作，造成MOS管导通不关闭等失效。6.4开展FTA计算残余风险6.4.1应使用FTA工具来分析安全目标达到程度，必要时可以进行第三方专家认证。6.4.2宜在FTA工具的顶上事件用确定的安全目标。6.4.3宜在FTA工具的顶上事件下，依照逻辑列举中间事件，宜分为出厂验证阶段事件和售后服务阶段事件，宜在中间事件再分解为某事件发生事件、诊断连锁抑制事件、扑灭事件等至少三方面的安全冗余，再依次向下分解中间事件直到基础事件。6.4.4宜用FTA的工具符号来画图且可以转化为表格计算概率。与运算为“*”号（AND单词在文本框里面加概率6.4.5宜依照概率，及时简化FTA图的绘制，分析失效率大的事件，补充安全诊断，降低失效率。FTA分析实施例见附录A。6.5补充安全措施再次核算残余风险6.5.1设计制造中多次刷新FTA和配套验证测试，补充安全措施后再次刷新FTA。6.5.2聚焦在FTA工具中风险概率高的事件，开展分析，核实调整失效率，增加安全诊断。6.5.3宜优先使用软件逻辑控制来担当安全措施。6.5.4宜多角度思考和转化问题，用跨学科的技术解决问题。6.5.5宜选择适宜的消防方法来降低火灾蔓延的风险。6.6设计验证试验且交叉审核6.6.1在冻结设计前的各个阶段的节点，应开展交叉审核，保存变更记录。6.6.2在小试、中试、首批量产阶段，应开展足够的验证测试、交叉审核，符合安全目标。66.7验证测试及评审报告6.7.1在各个阶段的事件节点，应开展验证测试，记录结果，针对结果开展交叉审核。6.7.2多次交叉审核判断满足安全目标，必要时和客户达成一致、冻结设计和确定量产。6.7.3执行验证测试，包括强制标准要求的产品安全滥用测试，用FTA分析需要配套的测试方案。6.7.4汇总功能安全分析资料，申请备案或公证，申明已经使用了可识别的知识，辨识完毕安全风险，采取足够安全措施，控制风险到可接受水平。6.7.5使用合理的公证方式，如用公证证书的方式进行确认。注：合理的公证方式包括：制造厂和客户达成的交叉审核确认，或制造厂聘用6.8预测售后服务的测试和风险6.8.1在设计制造阶段，应考虑以下服务：a)应考虑售后服务，让产品具备可检测、可维修、可更换部件非整体报废。b)应列出预设的售后服务计划，包括检测、保养、更换的易耗品部件频次和价格等。c)应模拟验证售后服务，调整不适宜项目，优化拆装点、检测点。d)应考虑低寿命部件的更换方式，必要时纳入易耗品清单。6.8.2在持续量产出货期间，应分析品质表现、售后服务内容，优化售后服务计划。6.9告知相关方安全运输存储使用6.9.1在冻结设计中，应形成产品说明书，包括产品介绍、使用、存储、安全环保警示、需要的培训、售后服务内容等。6.9.2应评估选择重要安全内容，对经销商、运输商、最终用户开展配套的说明、培训。6.9.3应依照FTA分析运输中存储风险和安全措施，使用合规包装方式。典型电池单体包装方式有三类：a)几个电池用结实的木箱或胶箱运输；b)几个堆垛不够专车运输，要在堆垛上方增加固定的空纸箱到接近车顶高度，杜绝再放其他货物到堆垛上，堆垛周围增加一层纸箱皮加固耐撞；c)专车运输，应设置海关锁，核对海关锁在运输中未私自打开，超过800km的长途运输宜在堆垛间加气袋加固。6.9.4典型BESS包装方式是纸箱或木箱，依靠BESS结实的外壳加缓冲材料；非专车运输的少量堆垛用纸箱外壳，则在堆垛顶部加空纸箱到接近车厢顶部，杜绝再放其他货物到堆垛上，堆垛周围增加一层纸箱皮加固耐撞。6.9.5应使用厢式车辆运输，禁止使用平板车、敞篷车运输。6.9.6应在出货传递资料中增加安全培训内容，货物有安全提示，可用二维码扫描实现在线学习和在线考试。6.9.7应在运输车辆出发前，完成培训灭火器使用技能，宜携带水桶、喷雾器、水基灭火器。6.9.8应在沟通同意情况下，用重量比例为5%的盐水浸泡电池4h、锂离子电池储能系统24h放电。应尽可能依次刺破电池让水进入电池内部惰化；验电放电完毕，沥干，交由专业回收单位处理。6.9.9应使用合理的低SOC状态保存锂离子电池和BESS,宜使用实验室安全滥用测试不易起火的SOC值，参考典型值有航空运输存储用30%*SOC,一般存储运输用70%*SOC。6.9.10仓库存放锂离子电池、锂离子电池储能系统，不和其他危险化学品混放。注：应在丙类仓库存放正常的锂离子电池、锂离子电池储能系统。应在甲类仓库6.9.11应用三防灯检查仓库的电气穿管，无乱拉电线，无超负荷使用排插，具备防鼠措施。76.9.12应在仓库使用消防风水法开展安全设计和验证，安装抽风排烟措施,测试作用区域的风速不低于0.5m/s的捕获风速。6.9.13应计算燃烧电池的产烟量、需要的抽风量、爆炸半径，来配置、核算风机的风量、房间间隔距离，样本存储容器尺寸等。6.9.14应保持足够的通风量和适当的抽风排烟距离，计算通风稀释能力，足够减低释放燃气浓度，燃气浓度不超过气体爆炸下限的5%的区域为安全区域，可选择普通风机排烟。6.9.15应配置以水为主的灭火剂，包括泡水桶和坩埚钳、泡水池、喷雾器、洗车器、橡胶水管、消防盘管、消防水带、水基灭火器，配置比例符合DB11/Z728，即每5万AH配9L水或每500m2配60L水。6.9.16非正在装卸的车辆，宜保持仓库至少6m的安全间距。6.9.17应培训叉车司机不得机械伤害电池，掌握水灭锂离子电池火灾的技能。6.9.18对长期合做的物流供应商，应开展定期现场评审，培训人员应掌握使用消防风水法（参见附录B），定期演练。7出厂后功能安全保养验证7.1签订售后服务协议7.1.1应和经销商、用户签订售后服务协议，递交产品说明书，必要时可讲解售后服务内容。7.1.2应定期回顾、更新产品说明书或其中的售后服务文档，宜网页展示非商业秘密的重要安全内容。7.2开展售后服务检测7.2.1应依照售后服务计划，对签约的经销商、客户开展售后服务。7.2.2应收集售后服务信息，检测产品安全状态，反馈制造厂家考虑验证FTA的安全目标。7.2.3应在发生重大变更时主动通知经销商、客户开展应急售后服务；重大变化包括：产品召回、发现重大安全隐患等。7.3计算残余风险7.3.1应使用售后服务数据、量产产品安全数据、行业安全案例等，更新FTA来验证满足安全目标。7.3.2应使用类似出厂前安全验证的工具来计算残余风险；选择工具包括：FTA、交叉审核等。7.4修复更换升级措施7.4.1应依据售后服务的检测结果，更新的FTA报告，开展必要的修复、更换升级措施。7.4.2应依据售后服务协议、产品质量承诺来判断费用归属，收取合理服务费用。7.4.3应对更换部件等措施，在制造厂家或第三方进行了FTA分析、验证、交叉审核，形成书面记录。7.5计算维修后残余风险7.5.1应计算维修后的残余风险，满足安全目标。7.5.2应使用安全验证、交叉审核，最终确定文档正确性后，书面存档。7.6告知相关方使用和维护7.6.1应向经销商、用户递交产品说明书，包括使用和维护内容。7.6.2应向物流运输、存储的人员传递简易版的安全信息，宜用二维码扫描开展在线培训、在线考试。7.6.3应在产品说明书中写明用户应该做什么、不能做什么、哪些是专业售后服务团队进行的工作。87.6.4应用多种沟通途径如说明书、网页、微信、在线培训考试、现场培训考试等，向相关方传递使用、维护信息。9（资料性附录）安全目标确定案例A.1失效率F/H和多少年一遇的关系案例一年一遇，对应失效率＝1.1E-4次/小时。计算方法为1次/年=1次/(每年365天*每天24小时)=1.1E-4次/小时。十年一遇即1.1E-5次/小时；百年一遇即1.1E-6次/小时;千年一遇即1.1E-7次/小时。万年一遇即1.1E-8次/小时；十万年一遇即1.1E-9次/小时；百万年一遇即1.1E-10次/小时。A.2买卖双方商量安全目标案例A.2.1销售20万台BESS，合同保质期为十年不出现起火事故，不考虑中途加速损坏阶段，计算出厂前每台BESS的失效率＝1次/(20万台*10年*每年365天*每天24小时)＝5.7E-10次/小时。保险起见希望这些产品在全生命周期发生0.1次失效,则计算的失效率=5.7E-11次/小时。A.2.2销售40万台BESS，合同保质期为十五年不出现起火事故，不考虑中途加速损坏阶段，计算出厂前每台BESS的失效率＝1次/(40万台*15年*每年365天*每天24小时)＝1.9E-11次/小时。保险起见希望这些产品在全生命周期发生0.1次失效,则计算的失效率=1.9E-12次/小时。A.3行业安全目标案例A.3.1正确理解BESS表面温度不超过100℃为SIL3级别目标的含意，包括a）任何导致BESS热失控的现象，归纳简化为表面温度不超过100摄氏度，热失控即起火等现象,引起热失控的原因有机械滥用、电气滥用、环境滥用等因素。(b)表面温度不超过100℃即不能点燃周边物质（临近电池、桌椅、布匹、纸张等不引起蔓延；有些不当设计造成喷射火焰冲出BESS而间距不足就可能点燃周边物品。在豪华电动汽车就使用该目标，在UL9750标准要求表面温度不超过97摄氏度也类似，UL用华式温度整数转换就产生了97摄氏度数值。（c）SIL3级别目标即残余风险的失效率在1e-8次/小时(万年一遇)到1E-7次/小时（千年一遇）。A.3.2正确理解BESS释放到环境蒸气不超过爆炸下限LEL的10%为SIL4级目标的含意，包括：（a）当BESS泄露或破损，释放电解液蒸气和电解液(分子式CxHyOz)，热分解的烃类气体（分子式CxHy）、CO、H2燃气，可能在环境积累形成气体爆炸。(b)用释放燃气浓度不超过爆炸下限LEL的10%就实现了石油化工领域的不燃安全浓度，从爆炸分区角度可以划分为安全区域。（c）SIL4级别目标即残余风险的失效率在1e-9次/小时(十万年一遇)到1E-8次/小时（万年一遇）。A.3.3正确理解移动使用的BESS遇到撞车等异常断电时间小于0.1秒为SIL2级目标的含意，包括：（a）移动使用即车载BESS等需要边移动边充放电的型号，只移动不使用即将BESS作为货物包装好运输则无需考虑此条件。（b）移动使用的BESS碰到撞车，接受到撞车传感器硬件连接到BMS的供电部分实现硬件断电，实现在0.1秒内断电。一些豪华电动汽车就用此目标。（c）SIL2级别目标即残余风险的失效率在1e-7次/小时(千年一遇)到1E-6次/小时（百年一遇）。（资料性附录）串联系统和并联系统R2R1R2B.1安全冗余的串联电路和并联电路模型R2R1R21R1（a）串联电路模型（b）并联电路模型（类似多点失效）B.1.1串联、并联电路模型是用来理解可靠性的方法，口诀是“串联系统是都成功才成功”即可靠度相乘造成系统可靠性下降，“并联系统是都失败才失败”即失效率相乘造成系统失效率下降。B.1.2图B.1两个电路元件，每个元件可靠度R1=R2=0.9,则每个元件失效率F1=F2=1-0.9=0.1;两个部件串联，依照口诀“串联系统都成功才成功”是可靠度相乘,系统可靠度Rs=R1*R2=0.81,系统失效率Fs=1-Rs＝0.19；两个部件构成并联系统，依照口诀“并联系统都失败才失败”是失效率相乘，系统失效率Fs=F1*F2=0.01,系统可靠度Rs=1-Fs＝0.99；计算看出并联系统显著改善可靠性，降低失效率。B.1.3并联系统改善系统可靠性的优点，被经常使用，有时称为安全冗余。B.1.4构造安全冗余的元素，有硬件、软件（或逻辑通常乐意选择用软件或逻辑的原因一是软件和逻辑如果没错则寿命非常长，而硬件寿命有限；原因之二是在已有软件上修改程序相对节约空间和硬件成本。有时将软件或者逻辑作为并联系统的元素，称为安全诊断。B.1.5SPF发生概率高，MPF发生概率低，因为多点失效等于多个单点失效的概率相乘，多点失效通常比单点失效低几个数量级。B.2交叉审查的安全冗余B.2.1交叉审查在基础功能安全IEC61508或汽车功能安全ISO26262有时称为V模型，V的左边是设计则右边是审核，V模型还包括各个阶段的小V模型，在汇总到整体的大V模型。B.2.2交叉审查即有时称为V模型，通常包括系统级别（硬件和软件相互结合构成系统）、硬件级别（电路硬件、机械硬件）、软件级别的交叉审核。（资料性附录）锂离子电池或电池组的安全测试类型C.1现有标准包括的电池安全滥用测试标准类型C.1.1强制标准对预设的使用场景会遇到的滥用进行三类安全滥用测试，包括机械、环境、电气安全滥用测试：——机械安全滥用测试项目，通常包括碰撞、挤压、跌落、翻滚、振动、个别有穿刺等测试。——环境安全滥用测试项目，通常包括高温、低温、高低温、高温高湿、盐雾、泡水、火烧等测试。 ——电气安全滥用测试项目，通常包括短路、过充电、过放电、电路板抗静电或者电磁干扰等测试。C.1.2三综合安全滥用测试项目通常包括将以上因素组合测试，如高低温环境振动台上的充放电测试C.2现有标准未辨识，应用场景要补充的失效模式和安全铠装C.2.1锂离子电池外壳局部和极柱之间有电压，有些设计是外壳和负极等电位，有些如软包装电池的尼龙层里面的铝箔和正极、负极电压分别为3.9伏和0.8伏,则沾染导电液体如泄露的电解液、冷凝水（经验在剧烈变化温度超过5℃可能形成冷凝水）搭接电压形成电解金属膜现象，正极溶解、负极形成金属膜向正极靠拢，一段时间后金属膜足够长搭接到正极形成短路起火。C.2.2溶剂的电导率从高到低依次为：泥浆水或化雪盐水、海水（典型类似5%的盐水）、电解液、清澈地表水、雨水、自来水，电导率通常现场若干个数量级。电导率低的自来水、雨水、清澈的地表水接触电池造成很低的电流，毫安级别，通常数月才造成明显损伤，因此通常用自来水灭锂离子电池火灾。但是高电导率的液体会在几小时到几天之内造成剧烈电解和局部破损、几十安培的大电流放电、电池迅速膨胀或破损、搭接电池之间的导电排电解松动大电阻通电发热，容易引起起火。（资料性附录）进行FTA分析的例子D.1FTA图例家用家用BESS表面温度不超过100℃目标说明：40万台BESS，质保期15年，全生命周期出现失效0.1次。则失效率=0.1次/(40万台*15年*每年365天*每天24小时)＝1.9E-12次/h↓P2↓P2页P2页'*BESS内部热失控F11=4E-100F/hP2页'*BESS内部热失控F11=4E-100F/hBESS外部隔热灭火F13=BESSBESS外部侦测抑制F12=机械因素导致起火F113=2E-100F/h机械因素导致起火F113=2E-100F/h电气因素导致起火F111=2E-100F/h环境因素导致起火(液体电解金属膜)F112=1E-104F/h环境因素导致起火(液体电解金属膜)F112=1E-104F/h自放电侦测F1122=1E-100测量不准起火F1111=1E-100存放机械损伤自放电侦测F1122=1E-100测量不准起火F1111=1E-100存放机械损伤F1132=1E-100运输机械损伤F1131=1E-100电气故障侦测F1112=1E-100泄露电解液、冷凝水电解膜F1121=1E-4次/h测试方案01测试方案02测试方案03测试方案04测试方案05测试方案06D.2测量不准导致的起火失效分析例子测试方案01,测量不准导致起火。从原理分析，锂离子电池工作电压最大值设置在4.2V,通常要过充电到4.6伏才起火，那么假定4.5伏为起火电压，则测量误差最大值USL=4.5V-4.2V=0.3V=300mV;电路板测量电压误差平均值Mean为5mV,假定测量误差的标准差Sigma＝Mean，那么工序能力系数Cpk=(USL-Mean)/(3*Sigma)≈(USL-Mean)/(3*Mean)=20，对应残余风险Risk=1-Normsdist(3*Cpk)=1E-100，极低风险。D.3电气故障侦测错误导致的起火失效分析例子测试方案02为电气故障侦测错误导致起火。电气故障包括：接头松动大电阻发热点燃、电压信号线松动导致过充电、电路板导电开关部件（如CMOS管）故障不关断过充电起火、电网谐波干扰导致CMOS管故障不关断过充电、电路板老化腐蚀不能工作等。电路板都没过电池的电压检测、整个电池中电压检测（高压检测）、整体的电流检测、电池包有几个温度检测，使用这些电压信号在软件里面构造检测逻辑来侦测以上电气故障，发出报警且停止充放电。设计有硬件电路在只有电路板正常工作拆接通外部电源的功能，用于电路板老化腐蚀不工作的保护。如果没有有效的电气故障侦测功能，只靠电路板可靠性来维持，则风险非常高，需要改进。D.4泄漏电解液、冷凝水、外壳破损进水形成电解金属膜导致的短路起火失效分析案例测试方案03为泄漏电解液、冷凝水、外壳破损进水，形成电解金属膜导致短路起火。机械上可以强化电池封装强度，如加大封装边、焊接代替螺丝连接/铆接、增加耐火层隔热保温，避免剧烈温度变化以免形成冷凝水，设计IP等级外壳防水等来降低风险。用假定一年一遇的高失效率为例，靠自放电侦测技术来发现而降低了风险。推荐设计是：电路板在上方，喷涂覆盖绝缘漆防潮，快关管，如CMOS管或继电器的管脚加胶绝缘保护等。D.5自放电侦测安全措施例子测试方案04为自放电侦测。电池泄漏电解液导致该电池容量降低，内阻增加；如果泄漏电解液搭接了电池外壳和正极极柱、负极极柱，造成自放电率过大，则在软件设置检测功能判断某个电池容量过低可能是电池老化或单纯泄漏，还没有电解金属膜短路放电；软件侦测发现，某电池充电容量过大，放电容量很小，静置时电压下降快，就能判断是泄漏电解液，形成电解金属膜造成短路，发出报警。冷凝水的侦测可以综合充电容量大，放电容量小，静置时电压下降快，温度变化快来判断形成了冷凝水。冷凝水的电导率比泄漏的电解液低2个数量级以上，自放电电流相差大，软件可侦测区分。可以根据自放电程度不同，软件发出不同等级的报警。成本接受的情况下，可设计绝缘电阻检测电路来判断泄漏电解液、冷凝水造成绝缘电阻下降，可以设置不同的电阻值等级来发出不同等级的报警。D.6运动机械损伤导致的失火失效分析例子测试方案05为运动机械损伤侦测。失效模式为在车载运动或搬运运动中，不当的机械损伤包括1）普通车载振动带来摩擦信号线、电路线路松动大电阻发热点燃、或短路起火、或信号异常的过充电起火；（2）撞车带来挤压测试级别的挤压短路起火3）搬运的物品跌落撞击机械损伤起火等。对应的安全措施为:(1)合理设计信号线路、主干路的电线和导电铜巴的紧固方式，撞车变形缓冲位置不伤害电池包位置仿真等2）再使用满足机械滥用的振动、跌落、挤压、撞击测试验证不起火，满足运输安全测试UN38.3，满足运输可靠性测试SAE标准3）在软件设置安全诊断功能，包括a）侦测电池信号线短路或断开功能，安全诊断逻辑为信号线对应的两个电池同时异常，电压值和其他电压值不一样、或充电不增加电压、或放电不减少电压、或高电压值和每个电池电压累加值差异过大、电池容量异常、个别还能带来电池包温度异常等，通过这些软件诊断提前侦测异常，不恶化为燃烧事故。例如针对信号电路的因为振动或导电液体电解腐蚀松动异常，其失效率的计算方式为1）采取了振动仿真和测试后验证失效率不超过1E-5次/小时（十年一遇），导电液体电解腐蚀造成松动的失效率不超过1E-5次/小时（十年一遇）,两者相加为2E-5次/小时（十年二遇2）两个电池共用一根信号线，软件侦测共用信号线路的两个电池同时出现类似测试值与众不同的异常，该软件诊断逻辑的失效率为1E-100秒计算方法类似信号测量误差风险计算，满充电平均值Mean=4.2V,过充电上限值USL=4.6V,标准差Sigma=mv，则Cpk=（USL-Mean）/(3*Sigam)=2.67,Risk=1-Normsdist(3*Cpk)≤1E-100）;那么该失效经过软件诊断后失效率=2E-400次/小时为可忽略风险。其他失效可以类似分享，量化风险计算。D.7存放机械损伤导致的失火失效分析例子测试方案06为存放机械损伤侦测。失效模式为存储场景中，不当的机械损伤包括室内静置的物品跌落撞击机械损伤起火等。对应的安全措施为:(1)设计合理硬度和外形的强度保护减少撞击伤害2）说明书约定安装条件减少被物品掉落、家具倾倒撞击伤害3）例行保养等售后服务的检查维护安全环境4）侦测到机械伤害带来电路异常（如电路信号线、导电端子、电池外壳）的及时保护如发出告警、停止充放电等。计算失效率的例子之一如从材料硬度或抗剪切强度来判断保护效果。如抗剪切强度（单位kgf/mm2）外壳框架碳钢（1%的C含量）为80，外壳蒙皮的结构钢板SS400为38,导电铜巴即软铜为20,铝壳电池