近年来全球储能行业迅猛发展，由于具有放电倍率大、能量密度和体积密度高等优势，相较于其他种类的电化学储能技术，锂离子电池的累计装机规模最大，在全球电化学储能中的占比为86.3%^[1]。然而，伴随着锂离子储能应用的爆发式增长，其暴露出的储能安全问题也日益突出，安全已成为行业发展最受关注的指标。2018～2019年期间，仅韩国就发生了23起储能电站起火事件，根据韩国政府公布的事故调查结果，电池系统缺陷、针对电冲击的保护体系不周以及储能集成系统管理欠缺是造成事故的三个重要原因^[2]。作为对电池进行监控和管理的电子装置，电池管理系统（battery management system，BMS）被公认为是储能系统的核心部件之一，也与上述造成韩国储能电站火灾事故的三个原因息息相关，因此BMS的功能安全设计对锂离子储能系统的安全至关重要。

IEC 61508是出台最早、应用最广泛的功能安全国际标准，为电气/电子/可编程电子部件（E/E/PE）构成的安全相关系统规定了功能安全周期和基础评价方法。随后国际标准化组织基于IEC 61508制定了道路车辆功能安全国际标准ISO 26262，目前已有不少厂家和国内外学者基于ISO 26262标准充分研究了电动汽车BMS中的功能安全概念设计、评估和验证^{[3,4,5,6,7,8]}，但由于汽车产品的运行环境和安全需求与储能电站领域的相差甚远，所以ISO 26262国际标准以及上述相关研究成果并不适用于储能系统BMS功能安全分析设计。另外，国际储能标准IEC 62619及ANSI/CAN/UL-1973均明确要求储能BMS需参照进行功能安全评估^[9,10]，然而需要厂家根据产品自身特性从中选择合适的方法来实现功能安全设计与评估，所以上述标准在储能BMS的应用仍有一定难度。在储能系统功能安全领域，国外已有UL（Underwriter Laboratories Inc.）、CSA（Canadian Standards Association）、TUV（Technischer überwachüngs Verein）等几家相关认证机构，哥伦比亚的Bureau Veritas已对工业应用的电池进行功能安全认证工作^[11]，但罕有系统性研究成果报道。而国内目前仍缺乏储能系统功能安全的认证机构，鉴于锂离子电池储能电站的消防安全风险也是最近几年才集中突现并受到关注，其研究工作更是相对落后。

针对锂离子电池储能系统BMS产品特点，本文依照相关参考标准梳理了BMS功能安全的分析与设计过程，为储能电站设计开发者提供参考。

根据IEC 61508-4的定义，功能安全（functional safety）是指整体安全中与受控设备（equipment under control，EUC）和EUC控制系统相关的部分，它取决于E/E/PE安全相关系统和其他风险降低措施正确执行其功能^[12]。要实现特定的安全相关系统，就必须有相应的安全功能（safety function）实现。所谓安全功能，是指针对特定的危险事件，为实现或保持EUC的安全状态，由E/E/PE安全相关系统或其他风险降低措施实现的功能。对于储能电池系统，充放电控制或保护设备是EUC，电池管理系统BMS是E/E/PE安全相关系统，需要对电池系统进行安全保护。

IEC 61508所规定的安全生命周期大致可分为分析、设计、实现和操作维护几个阶段^[13]。本文主要研究储能BMS安全相关系统的分析和设计，这两个阶段主要包括以下内容：

（1） 系统分析，即确定系统的功能、结构和范围；

（2） 危险识别和风险分析，即对每个可能出现的危险事件进行分析和评估；

（3） 确定整体安全要求，并对必要的危险事件进行安全功能的分配；

（4） 安全完整性实现并验证。

实现和操作维护两阶段具体包括整体安装调试、整体安全确认、整体运行维护和修理、退役或处置、整体修改和改型等过程，由于不是本文重点，下文将不再重点介绍。

尽管IEC 61508并没有明确要求必须将安全相关系统的设计与非安全相关系统的设计分开，但出于独立性要求以及便于评估等方面考虑，在实施过程中一般尽量将上述两个过程分开。

本阶段的目的是说明目标产品的控制功能、应用环境、可能出现的危害和危险以及需要遵守的安全法规。本阶段可明确储能系统BMS的控制范围、实际包含设备、外部事件、事件类型和其他相关设备系统等，可得出如图1所示的电池系统BMS的交互模块框图，其中HMI是人机接口，EMS是能量管理系统。

系统分析工作完成后，可根据输出的系统分析文档和确定的系统范围，开展BMS危险识别和风险评估工作。在本阶段，失效模式及影响分析（failure mode and effect analysis，FMEA）是一种较为有效和常用的风险分析方法。另外，当需考虑BMS对风险的侦查能力时，也可采用失效模式、影响及其诊断分析（failure modes effects and diagnostic analysis，FMEDA）方法完成对最终数据的整理分析。

FMEA的基本步骤为：

（1） 列出所有部件；

（2） 对每个部件，列出所有已知失效模式；

（3） 对每个部件/失效模式，列出对更高层面上的影响；

续表

续表

（4） 对每个部件/失效模式，列出影响的严重性/危险程度。

IEC 60812规定了FMEA详细的设计过程，其附录Table F.9提供了FMEA在一个安全相关控制系统中的应用实例^[14]。需要注意的是，该方法可以分层分子系统进行套用，使用时需按照系统的复杂度对分层分子系统进行逐个自下而上地完成分析。

元器件的失效模式和失效率数据可以从器件手册、用户现场反馈可信数据、先验手册等来源获取，本文更加推荐前两种数据来源。此外，目前较常见的先验手册有以下几种：

（1） MIL-HDBK-217F：美军电子设备可靠性预计手册，由美国国防部发布，主要针对军用等级元器件^[15]；

（2） Telcordia Bellcore SR-332：可靠性测试标准，由Telcordia Technologies的Bellcore（贝尔通信实验室）发布，在电信设备、医疗设备、电源灯商用电子产品中广泛应用^[16]；

（3） IEC 61709：该标准提供了电子元器件可靠性预计的公式方法、失效模式及其分配比例等^[17]；

（4） Siemens SN 29500：由Siemens发布的电子和机电元件可靠性预测的标准，可视为对IEC 61709的补充。

针对固定式储能系统，本文给出如表1所示的电池系统可能发生的危险事件列表。

针对识别的风险对每个功能安全相关部件进行FMEA分析，输出分析结果，见表2。

整体安全要求确定环节是指为达到所要求的功能安全，根据整体安全功能要求和整体安全完整性要求，为每一个危险件建立起对应的安全功能，并对每个安全功能规定安全完整性等级要求SIL，形成整体安全要求规范。安全功能分配环节是指将整体安全要求规范中的安全功能分配至E/E/PE安全相关系统和其他风险降低措施中。IEC 61508-1的7.5和7.6章节提供了整体安全要求和分配的详细执行要求^[13]。

对各个安全功能进行安全完整性等级SIL目标确定是本阶段的一个核心工作。IEC 61508-5附录B提供多种危害分析方法，如常用的有风险图法、危险事件严重性矩阵、保护层分析（layer of protection analysis，LOPA）等^[18]。下文以防电击安全功能为例，采用危险事件严重性矩阵，说明如何进行安全完整性等级SIL的确定。由表1可知，防电击安全系统由两部分：①BMS安全功能部分，具体分为绝缘故障监测和报警两个子功能，分别记为SF1-1、SF1-2；②电气安全措施部分，将电池包外壳进行接地保护。由于上述两部分安全措施是相对独立的，互不影响其功能的执行结果，因此独立的安全功能数量为2。假设项目团队对此危险事件的出现概率评估为中等可能性，严重性等级评估为严重的，则根据图2所示的危险事件严重性矩阵（摘自IEC 61508-5附录G）^[18]，BMS安全功能SF1的安全完整性等级SIL应是SIL1。

根据IEC 61508规定，安全系统的运行模式分为低要求模式、高要求模式和连续模式三种。储能系统中的BMS执行安全功能的次数每年超过一次，属于高要求模式，因此其安全功能的需求失效概率应采用每小时危险失效平均频率PFH指标，可根据表3（摘自IEC 61508-1）确认BMS各安全功能的安全完整性等级及要求指标^[13]。

对BMS中的各个针对危险事件的安全功能进行逐个评估后，综合得出BMS的安全完整性等级目标。

通过本阶段，项目团队可形成整体功能安全要求说明书，以及系统、软件、硬件安全功能分配说明书。

IEC 61508-3针对软件安全完整性有详细的规定要求，包括软件安全要求规范、系统安全软件方面的确认计划、软件设计和开发、可编程电子集成、软件操作和修改规程、软件相关的系统安全确认、软件修改、软件验证以及软件安全功能评估等内容^[19]。考虑到IEC 61508是针对电气/电子/可编程设备的通用安全标准，实际BMS研发过程中软件功能安全等相关内容多是参考标准IEC 60730-1附录H进行。

IEC 60730-1附录H提供了电子控制的软件架构要求^[20]。根据分类要求，储能电站BMS应属于B类软件，此类软件控制功能具有以下架构之一：

（1） 带功能测试的单通道；

（2） 带周期性自测的单通道；

（3） 不带比较的双通道。

软件设计过程中，对于有功能安全要求的软件模块需注意选择合适的架构。

IEC 60730-1附录H表H.1针对不同的软件故障提供了相应的可接受应对措施，需要软件设计人员注意区别应用^[16]。例如，针对变量存储故障，B类软件可采取的措施有周期性静态存储测试、带单比特位冗余的字保护、CPUs冗余比较、带比较的冗余存储或周期性自检以及带多比特位冗余的字保护等。

请参考IEC 60730-1附录H推荐的V型模型进行软件开发流程管理^[20]。

硬件安全完整性架构约束可以通过以下两条路线进行验证：

路线1：基于硬件故障裕度和安全失效分数的概念；

路线2：基于由最终用户反馈的元器件可靠性数据、对指定的安全完整性等级增强的置信度和硬件故障裕度。

由于最终用户反馈的元器件可靠性数据比较难以收集，目前普遍常用路线1进行验证。完成危险识别和风险分析，得出FMEDA报告后，需要对各组件的硬件安全失效分数SFF进行计算，如果失效率λ为常数，则计算的公式为

SFF=（Σλ_S+Σλ_Dd）/（Σλ_S+Σλ_Dd+Σλ_Du）

式中，λ_S为安全失效率，λ_Dd为可侦测的危险失效率，λ_Du为不可侦测的危险失效率。关于硬件组件的诊断覆盖率和安全失效分数SFF的计算，可参考IEC 61508-2附录C，诊断覆盖率约束参考附录A表A.2-A.14^[21]。

IEC 61508标准按硬件复杂性将硬件分为以下两类：①A类，为复杂度低的类型，所有元器件组件的失效率数据都具有较为可信的数据；②B类，为复杂度高的类型，只要一个器件不具备可信的失效率数据都归属B类^[12]。具有复杂逻辑运算单元的组件，例如DSP、MCU等一般归为B类。储能电站BMS一般都有一个或多个MCU，因此应按B类进行评估分析。需要说明的是，若采用的MCU符合IEC 61508认证的SIL2、SIL3等级，而剩余部件是低复杂度的电路，即符合IEC 61508-2的7.4.4.1.2，则可以按A类对剩余部件子系统完成评估后再与MCU子系统的SIL等级进行合并。

表4（摘自IEC 61508-2）所示为IEC 61508-2所提供的B类硬件安全完整性结构约束的计算数据^[21]。根据FMEDA表格计算出组件的安全失效分数SFF，并通过风险分析得出SIL等级后，便可以通过表4确定需要的硬件故障裕度。

同样，若对已确定硬件故障裕度的组件，也可以通过表4核查是否符合需要的SIL等级。当各个子系统的SIL等级均确定后，按子系统的组合结构进行计算整体系统的SIL等级。IEC 61508-2附录C提供了相关示例，本文不再赘述。

IEC 61508-6附录B提供了硬件失效率评估技术示例^[22]。每个安全功能需要单独计算E/E/PE安全相关系统的可靠性。分析方法要分为以下两类：

静态（布尔）和动态（状态/转移）模型，常见模型有可靠性框图、故障树、马尔科夫模型等；分析和蒙特卡洛仿真计算。

可靠性框图是较为简单可行的常见方法，下文将简述基于可靠性框图的量化硬件随机失效影响计算步骤，以供参考。

（1） 作出如图3所示的安全系统的可靠性框图。

（2） 根据图3所示的可靠性框图确定安全回路中的各子系统的结构类型（如1oo1、1oo2、2oo2等），确定共因失效模块CCFx及其共因因子β值。

（3） 通过FEMDA表格分析各子系统中元件的失效率、失效模式、失效模式占比以及失效影响，得出个元件的失效类型（S、D）和诊断覆盖率DC，计算各子系统A～F的失效率λ_DU、λ_DD、λ_SD；

（4） 按照IEC 61508-6附录B.3.3.2所提供的公式计算各个部分的PFH值^[22]：①1oo1结构：PFH_G=λ_DU②1oo2结构：PFH_G=2[（1-β_D）λ_DD+（1-β）λ_DU]（1-β）λ_DUt_CE+βλ_DU③2oo2结构：PFH_G=2λ_DU

对于组件结构较为简单的应用，可以运用手工计算，而对于复杂结构的应用，需要采用专门的可靠性计算软件进行分析计算。计算结果若出现不符合SIL等级要求的组件，应采取相应的技术或管理措施进行风险降低。此过程需要根据现场反馈、用户需求多次反复各个步骤，进行循环改进。

BMS是锂电池储能系统的核心部件之一，其可靠性和安全性是储能系统推广应用过程中关键性技术难题。基于国内外相关技术标准梳理以及实际工程经验，本文详细总结了BMS功能安全分析设计的具体过程和实用方法，具体包括系统分析、危险识别和风险分析、整体安全要求确定及安全功能分配、安全完整性实现及验证等环节。本文研究成果填补了国内关于储能系统锂电池BMS功能安全设计研究方面的空白，为电池系统的安全设计、安全验证、安全评估工程师提供参考，对我国储能电池系统的功能安全标准规范的研究和制定也有参考借鉴意义。本文所提供仅是其中一种可行方案，从业工程师需要根据储能系统的实际应用场景和各公司的能力进行合理选择。