ICS27.180F19团体标准T/SPSTS010—2019锂离子电池储能系统的功能安全规范FunctionsafetyspecificationforLi-ionbatteryenergystoragesystem点击此处添加与国际标准一致性程度的标识2019-12-30发布2019-12-30实施深圳市电源技术学会发布全国团体标准信息平台全国团体标准信息平台T/SPSTS010—2019I目次目次.......................................................................................................................................................................I前言.....................................................................................................................................................................II引言...................................................................................................................................................................III1范围...................................................................................................................................................................12规范性引用文件...............................................................................................................................................13术语与定义.......................................................................................................................................................14符号和缩略语...................................................................................................................................................35出厂前和出厂后的功能安全目标...................................................................................................................35.1风险等级水平和残余风险要求...............................................................................................................35.2设置典型的安全目标...............................................................................................................................46出厂前功能安全设计验证...............................................................................................................................46.1设定分析验证流程...................................................................................................................................46.2验证电池单体和电池包安全测试项目..................................................................................................56.3补充典型的其他失效模式分析...............................................................................................................56.4开展FTA计算残余风险...........................................................................................................................56.5补充安全措施再次核算残余风险...........................................................................................................56.6设计验证试验且交叉审核.......................................................................................................................56.7验证测试及评审报告...............................................................................................................................66.8预测售后服务的测试和风险...................................................................................................................66.9告知相关方安全运输存储使用...............................................................................................................67出厂后功能安全保养验证...............................................................................................................................77.1签订售后服务协议...................................................................................................................................77.2开展售后服务检测...................................................................................................................................77.3计算残余风险...........................................................................................................................................77.4修复更换升级措施...................................................................................................................................77.5计算维修后残余风险...............................................................................................................................77.6告知相关方使用和维护...........................................................................................................................7附录A（资料性附录）安全目标确定案例............................................................................................9附录B（资料性附录）串联系统和并联系统......................................................................................10附录C（资料性附录）锂离子电池或电池组的安全测试类型..........................................................11附录D（资料性附录）进行FTA分析的例子......................................................................................12附录E（资料性附录）锂离子电池消防风水法..................................................................................16全国团体标准信息平台T/SPSTS010—2019II前言本标准按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由深圳市电源技术学会提出并归口。本标准起草单位：东莞新能源科技有限公司、深圳市尚亿芯科技有限公司、华测检测认证集团股份有限公司、深圳石墨烯创新中心有限公司、清华大学深圳国际研究生院、深圳普瑞赛思检测技术有限公司、深圳市电源技术学会本标准主要起草人：陈朝阳、牛文斌、刘攀超、李宝华、罗丹、苏春华、张瑞芳、朱静、范亚飞、李康玉、蔡金、张美娟、王俪颖全国团体标准信息平台T/SPSTS010—2019III引言锂离子电池构成的储能系统有热失控风险，在安装环境内还能引起火灾蔓延、受限空间的气体爆炸风险。现有相关标准体系有两大类，第一类是锂离子电池储能系统出厂前的安全检测，都是锂离子电池或电池包的电气滥用测试、机械滥用测试、环境滥用测试；第二类标准是功能安全标准，但是没有针对储能系统技术的功能安全。此外，现有标准未考虑售后服务的检测保养风险，没有将功能安全计算残余风险是多少年一遇用于锂离子电池储能系统的安全。本标准用全生命周期的观点，在出厂前进行测试和风险计算，增加售后服务的测试和风险计算；完善阶段风险因素，除锂离子电池和电池包的三类安全滥用测试外，还增加电解液泄漏、冷凝水、泡水、电解金属膜短路、表面高温火焰蔓延、适用灭火装置和灭火效能等；增加售后服务检测维护和风险计算，增加功能安全到锂离子电池储能系统中。本标准纳入售后服务的检测、保养、风险降低计算，实现在十年或十五年保质期内定期检测保养，实际验证和更新安全知识，确保残余风险真正可控。改变思维和商业模式，将锂离子电池储能系统就标准只有出厂检测的消费电子概念（如手机），转变为有售后服务长期跟进的工业品概念（如汽车），实现售后服务可增值和持续发展。将飞机、汽车用到的功能安全技术，首次用于锂离子电池储能系统，综合使用当前已知的知识，量化风险分析，控制残余风险。全国团体标准信息平台全国团体标准信息平台T/SPSTS010—20191锂离子电池储能系统的功能安全规范1范围本标准规定了锂离子电池储能系统的功能安全，包括出厂前和出厂后的功能安全目标、出厂前功能安全设计验证、出厂后功能安全保养验证、进行FTA分析的实施例、消防风水法等内容。本标准适用于家用储能、集装箱式移动储能、电网储能等锂离子电池储能系统。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T4888故障树名词术语和符号GB/T20438电气/电子/可编程电子安全相关系统的功能安全[IEC61508（所有部分）]GB/T34590.1—2017道路车辆功能安全第1部分：术语[ISO26262-1:2011,MOD]DB11/Z728电动汽车电能供给与保障技术规范充电站ISO13849（所有部分）Safetyofmachinery—Safety-relatedpartsofcontrolsystems—Part1:Generalprinciplesfordesign3术语与定义3.1锂离子电池单体lithiumioncell含有锂离子的能够直接将化学能转化为电能的基本单元装置，包括电极、隔膜、电解质、外壳和端子，并被设计成可充电。3.2锂离子电池模块lithiumionbatterymodule将一个以上锂离子电池按照串联、并联或串并联方式组合，且只有一对正负极输出端子，并作为电源使用的组合体。3.3锂离子电池包lithiumionbatterypack通常包括锂离子电池模块、电池管理模块、电池箱以及相应附件，具有从外部获得电能并可对外输出电能的单元。注：电池管理模块不包含蓄电池电子单元（3.6）。3.4锂离子电池系统lithiumionbatterysystem一个或一个以上锂离子电池包及相应附件（管理系统、高压电路、低压电路、热管理设备以及机械总成等）构成的能量存储装置。3.5电池储能系统batteryenergystoragesystem;BESS全国团体标准信息平台T/SPSTS010—20192用电池构成的电能存储系统，依照规模大小包括：大型电网用电池储能系统、集装箱式电池储能系统、企业用电池储能系统、家用小型电池储能系统。3.6蓄电池电子单元batterycontrolunit;BCU管理若干个电池充电、放电、监控保护功能的电路板，监控保护功能通常包括过充、过放、过流、过压、过热等功能。3.7蓄电池管理系统batterymanagementsystem;BMS管理若干个蓄电池电子单元（3.6）的电路板，在蓄电池电子单元（3.6）的监控保护功能上通常增加了绝缘检测、漏电检测、异常电池对比检测、充电循环寿命、放置日历寿命、容量估计等功能。3.8功能安全functionalsafety不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。[GB/T34590.1—2017，定义2.51]3.9安全完整性等级safetyintegratelevel;SIL在规定的条件下，规定的时间内，安全相关系统成功实现所要求的安全功能的概率。3.10残余风险residualrisk实施安全措施后剩余的风险。[GB/T34590.1—2017，定义2.97]。3.11两次故障间平均生存时间meantimebetweenfailure;MTBF指产品或系统在两相邻故障间隔期内正确工作的平均时间。3.12故障树faulttree故障树是一种特殊的倒立树装逻辑因果关系图，它用事件符号、逻辑门符号和转移符号描述系统中各种事件之间的因果关系。逻辑门的输入事件是输出事件的“因”，逻辑门的输出事件是输入事件的“果”。[修改GB/T4888—2009，定义5]3.13故障树分析法faulttreeanalysis;FTA在系统设计过程中，通过对可能造成系统失败的各种因素（包括硬件、软件、环境、认为因素）进行分析，画出故障树（3.12），从而确定系统失败因素的各种组合可能方式或其发生概率，以计算系统失效概率，采用相应的措施，以提高系统可靠性的一种设计分析方法。3.14安全诊断safetydiagnoise在功能安全分析中写出发现失效的逻辑。3.15单点失效single-pointfailure;SPF由单点故障引起并直接导致违背安全目标的失效。注1：单点失效等同于诊断覆盖率为0%的要素的残余失效。注2：如果为一个硬件要素（例如，微控制器的看门狗）定义了至少一个安全机制，那么，所考虑的硬件要素的故障都不是单点故障。全国团体标准信息平台T/SPSTS010—20193[GB/T34590.1—2017，定义2.121]3.16多点失效multiple-pointfailure;MPF在系统中多个独立故障失效共同作用才能引起整体（系统）失效。4符号和缩略语SOC：（室温电池）荷电状态（StateofCharge）BESS：电池储能系统（BatteryEnergyStorageSystem）BCU：蓄电池电子单元（BatteryControlUnit）BMS：电池管理系统（BatteryManagementSystem）SIL：安全完整性等级（SafetyIntegrateLevel）MTBF：两次故障间平均生存时间（MeanTimeBetweenFailure）FTA：故障树分析（FaultTreeAnalysis）SPF：单点失效（Single-pointFailure）MPF：多点失效（Multiple-pointFailure）PL：安全水平（PerformanceLevel）5出厂前和出厂后的功能安全目标5.1风险等级水平和残余风险要求5.1.1书面确认依照GB/T20438—2017的规定或买卖双方确定的失效后果严重程度即SIL和残余风险进行。厂家或买卖双方约定合理的SIL等级和要求残余风险见表1。表1SIL对应残余风险表GB/T20438.1的SIL安全完整性等级（严重性）ISO13849的PL性能等级（严重性）最小残余风险最小失效率（F/h）最大残余风险最大失效率（F/h）无a无1E-51b,c1E-61E-52d1E-71E-63e1E-81E-74无1E-91E-85.1.2厂家或买卖双方应依据销量、保质期来确定整批货物的SIL水平对应的残余风险的合理程度。5.1.3选择合理的串联电路和并联电路模型（见图1）来计算可靠性和失效率，选择合理的安全冗余,转变SPF为MPF，满足需要的低风险。R1R2R1R2（a）串联电路模型（b）并联电路模型（类似多点失效）全国团体标准信息平台T/SPSTS010—20194图1串联电路和并联电路可靠性模型5.1.4应使用交叉审核方式担当安全冗余，典型的交叉审核包括：有设计方案就有验证方案，有测试计划就有验证计划，有设计人员思路就有验证人员思路，有设计测试结果就有审查人员核实。5.1.5应在出厂前的各个设计制造、测试，出厂后的售后服务各个阶段开展分析验证，实现多个阶段的交叉审查。5.2设置典型的安全目标厂家或买卖双方应设置合理的安全目标，安全目标应不低于以下行业典型值：a）SIL2级目标：移动使用的BESS遇到撞车等异常断电时间小于0.1s；b）SIL3级目标：BESS表面温度不超过100℃；c）SIL4级目标：BESS释放到环境蒸气不超过爆炸下限LEL的10%。6出厂前功能安全设计验证6.1设定分析验证流程6.1.1工作流程宜分解为设计阶段、制造阶段、售后服务阶段，依据产品规模可适当合并阶段。6.1.2宜在设计阶段进行的工作，包括：a）收集当前法规、标准清单并汇总要点；b）确定安全目标；注：安全目标的类型主要有：按运动类型区分，有移动型、固定型；按规模区分，有家用型、车用型、电网型。c）修订安全目标，考虑预售数量、质保期；d）确定产品系统级别的FTA，确定机械结构、电池布置、电路板设置，在FTA中的顶上事件（起火、爆炸等）分解的主要失效原因和大致概率，增加安全冗余来达到安全目标，对应有安全设计在硬件、软件；e）确定产品售后服务阶段的FTA，通过开展检测、保养、更换服务，实现保质期内的安全目标和售后服务清单（项目、频次、价格）；f）对6.1.2a)~e)设计开展交叉评审，验证试验数据开展交叉稽核；g）平衡商业秘密和产品品质安全，在产品规格说明书、售后服务说明书中增加功能安全内容；h）对电网用储能系统、公共交通工具的储能系统，应设置远程监控系统来监测和预警；小型储能系统自愿选择远程监控系统。6.1.3宜在制造阶段进行的工作，包括：a）原型验证和修改，更新FTA，更新验证测试报告；b）组织内审或客户沟通评审，形成冻结的设计结果；c）开展量产首批产品验证FTA，包括出厂前的FTA满足，未来售后服务阶段的FTA项目可实现性；d）交叉审核FTA和对应验证测试；e）持续监督量产品质波动，变更管理，如果出现影响功能安全的情形，更新FTA和配套验证测试；f）如果出现严重背离了安全目标，FTA分析可中止生产，重新优化设计，必要时可以对产品召回；g）完成产品出货前的安全检验报告、强制检验报告；h）发布功能安全报告、产品说明书，产品说明书中应包含售后服务内容，开展用户安全沟通。6.1.4宜在售后服务阶段进行的工作，包括：a）宣传沟通售后服务内容，列明项目频次和费用；b）执行售后服务，进行检测、保养、更换服务；c）已经安装远程监控系统的储能系统，应利用监控数据提供安全服务；全国团体标准信息平台T/SPSTS010—20195d）收集售后服务信息，综合最新技术进步的认识、行业案例的借鉴，判断是否进行变更；再次做FTA，验证是否符合安全目标，开展交叉审核，确定分析到位；e）必要时，可决策和执行召回行动，对召回产品进行部件更换达到重新安全使用的目标。6.2验证电池单体和电池包安全测试项目6.2.1应依照强制标准完成电池单体、电池包、电池储能系统的安全测试项目。6.2.2应进行功能安全分析列出的安全测试项目，将数据用于模型分析，计算残余风险。6.2.3宜选择推荐测试项目，用于预计使用场景的安全测试。6.3补充典型的其他失效模式分析应依照功能安全的方法，辨识产品应用环境的起火、爆炸、触电等失效，依据收集的标准、行业案例、经验数据，结合FTA，补充其他失效模式。典型要补充的失效模式包括：a)电池火焰或高温气体喷射出来，点燃环境可燃物；b)热失控电池释放的气体在设备密封容器或密封房间堆积发生气体爆炸；c)泡水后，残留水引发电极电解金属膜，短路逆变器的交流电引发触电；d)温度剧烈变化引起冷凝水或电池本身有泄漏电解液缺陷，在电池内部电解金属膜短路、搭接电池外壳和极柱形成电池电解破损泄漏电解液或产生气体；e)电网谐波造成电路板控制逻辑失效错误动作，造成MOS管导通不关闭等失效。6.4开展FTA计算残余风险6.4.1应使用FTA工具来分析安全目标达到程度，必要时可以进行第三方专家认证。6.4.2宜在FTA工具的顶上事件用确定的安全目标。6.4.3宜在FTA工具的顶上事件下，依照逻辑列举中间事件，宜分为出厂验证阶段事件和售后服务阶段事件，宜在中间事件再分解为某事件发生事件、诊断连锁抑制事件、扑灭事件等至少三方面的安全冗余，再依次向下分解中间事件直到基础事件。6.4.4宜用FTA的工具符号来画图且可以转化为表格计算概率。注：辨识典型的图形为：顶上事件、中间事件为矩形文本框图，基础事件为圆圈框图，或运算为“+”号（OR单词）、与运算为“”号（AND单词），在文本框里面加概率计算，可以在文本框外补充说明计算过程文本框，当页写不完分页画图用带箭头的线条和文字备注跳转或链接到何处。例子见附录A。6.4.5宜依照概率，及时简化FTA图的绘制，分析失效率大的事件，补充安全诊断，降低失效率。FTA分析实施例见附录A。注：对失效率极低，如低几个数量级的事件不进行展开。6.5补充安全措施再次核算残余风险6.5.1设计制造中多次刷新FTA和配套验证测试，补充安全措施后再次刷新FTA。6.5.2聚焦在FTA工具中风险概率高的事件，开展分析，核实调整失效率，增加安全诊断。6.5.3宜优先使用软件逻辑控制来担当安全措施。6.5.4宜多角度思考和转化问题，用跨学科的技术解决问题。6.5.5宜选择适宜的消防方法来降低火灾蔓延的风险。6.6设计验证试验且交叉审核6.6.1在冻结设计前的各个阶段的节点，应开展交叉审核，保存变更记录。6.6.2在小试、中试、首批量产阶段，应开展足够的验证测试、交叉审核，符合安全目标。全国团体标准信息平台T/SPSTS010—201966.7验证测试及评审报告6.7.1在各个阶段的事件节点，应开展验证测试，记录结果，针对结果开展交叉审核。6.7.2多次交叉审核判断满足安全目标，必要时和客户达成一致、冻结设计和确定量产。6.7.3执行验证测试，包括强制标准要求的产品安全滥用测试，用FTA分析需要配套的测试方案。6.7.4汇总功能安全分析资料，申请备案或公证，申明已经使用了可识别的知识，辨识完毕安全风险，采取足够安全措施，控制风险到可接受水平。6.7.5使用合理的公证方式，如用公证证书的方式进行确认。注：合理的公证方式包括：制造厂和客户达成的交叉审核确认，或制造厂聘用专业第三方评估认可等。6.8预测售后服务的测试和风险6.8.1在设计制造阶段，应考虑以下服务：a)应考虑售后服务，让产品具备可检测、可维修、可更换部件非整体报废。b)应列出预设的售后服务计划，包括检测、保养、更换的易耗品部件频次和价格等。c)应模拟验证售后服务，调整不适宜项目，优化拆装点、检测点。d)应考虑低寿命部件的更换方式，必要时纳入易耗品清单。6.8.2在持续量产出货期间，应分析品质表现、售后服务内容，优化售后服务计划。6.9告知相关方安全运输存储使用6.9.1在冻结设计中，应形成产品说明书，包括产品介绍、使用、存储、安全环保警示、需要的培训、售后服务内容等。6.9.2应评估选择重要安全内容，对经销商、运输商、最终用户开展配套的说明、培训。6.9.3应依照FTA分析运输中存储风险和安全措施，使用合规包装方式。典型电池单体包装方式有三类：a)几个电池用结实的木箱或胶箱运输；b)几个堆垛不够专车运输，要在堆垛上方增加固定的空纸箱到接近车顶高度，杜绝再放其他货物到堆垛上，堆垛周围增加一层纸箱皮加固耐撞；c)专车运输，应设置海关锁，核对海关锁在运输中未私自打开，超过800km的长途运输宜在堆垛间加气袋加固。6.9.4典型BESS包装方式是纸箱或木箱，依靠BESS结实的外壳加缓冲材料；非专车运输的少量堆垛用纸箱外壳，则在堆垛顶部加空纸箱到接近车厢顶部，杜绝再放其他货物到堆垛上，堆垛周围增加一层纸箱皮加固耐撞。6.9.5应使用厢式车辆运输，禁止使用平板车、敞篷车运输。6.9.6应在出货传递资料中增加安全培训内容，货物有安全提示，可用二维码扫描实现在线学习和在线考试。6.9.7应在运输车辆出发前，完成培训灭火器使用技能，宜携带水桶、喷雾器、水基灭火器。6.9.8应在沟通同意情况下，用重量比例为5%的盐水浸泡电池4h、锂离子电池储能系统24h放电。应尽可能依次刺破电池让水进入电池内部惰化；验电放电完毕，沥干，交由专业回收单位处理。6.9.9应使用合理的低SOC状态保存锂离子电池和BESS,宜使用实验室安全滥用测试不易起火的SOC值，参考典型值有航空运输存储用30%SOC,一般存储运输用70%SOC。6.9.10仓库存放锂离子电池、锂离子电池储能系统，不和其他危险化学品混放。注：应在丙类仓库存放正常的锂离子电池、锂离子电池储能系统。应在甲类仓库存放安全缺陷的锂离子电池、锂离子电池储能系统。6.9.11应用三防灯检查仓库的电气穿管，无乱拉电线，无超负荷使用排插，具备防鼠措施。全国团体标准信息平台T/SPSTS010—201976.9.12应在仓库使用消防风水法开展安全设计和验证，安装抽风排烟措施,测试作用区域的风速不低于0.5m/s的捕获风速。6.9.13应计算燃烧电池的产烟量、需要的抽风量、爆炸半径，来配置、核算风机的风量、房间间隔距离，样本存储容器尺寸等。6.9.14应保持足够的通风量和适当的抽风排烟距离，计算通风稀释能力，足够减低释放燃气浓度，燃气浓度不超过气体爆炸下限的5%的区域为安全区域，可选择普通风机排烟。6.9.15应配置以水为主的灭火剂，包括泡水桶和坩埚钳、泡水池、喷雾器、洗车器、橡胶水管、消防盘管、消防水带、水基灭火器，配置比例符合DB11/Z728，即每5万AH配9L水或每500m2配60L水。6.9.16非正在装卸的车辆，宜保持仓库至少6m的安全间距。6.9.17应培训叉车司机不得机械伤害电池，掌握水灭锂离子电池火灾的技能。6.9.18对长期合做的物流供应商，应开展定期现场评审，培训人员应掌握使用消防风水法（参见附录B），定期演练。7出厂后功能安全保养验证7.1签订售后服务协议7.1.1应和经销商、用户签订售后服务协议，递交产品说明书，必要时可讲解售后服务内容。7.1.2应定期回顾、更新产品说明书或其中的售后服务文档，宜网页展示非商业秘密的重要安全内容。7.2开展售后服务检测7.2.1应依照售后服务计划，对签约的经销商、客户开展售后服务。7.2.2应收集售后服务信息，检测产品安全状态，反馈制造厂家考虑验证FTA的安全目标。7.2.3应在发生重大变更时主动通知经销商、客户开展应急售后服务；重大变化包括：产品召回、发现重大安全隐患等。7.3计算残余风险7.3.1应使用售后服务数据、量产产品安全数据、行业安全案例等，更新FTA来验证满足安全目标。7.3.2应使用类似出厂前安全验证的工具来计算残余风险；选择工具包括：FTA、交叉审核等。7.4修复更换升级措施7.4.1应依据售后服务的检测结果，更新的FTA报告，开展必要的修复、更换升级措施。7.4.2应依据售后服务协议、产品质量承诺来判断费用归属，收取合理服务费用。7.4.3应对更换部件等措施，在制造厂家或第三方进行了FTA分析、验证、交叉审核，形成书面记录。7.5计算维修后残余风险7.5.1应计算维修后的残余风险，满足安全目标。7.5.2应使用安全验证、交叉审核，最终确定文档正确性后，书面存档。7.6告知相关方使用和维护7.6.1应向经销商、用户递交产品说明书，包括使用和维护内容。7.6.2应向物流运输、存储的人员传递简易版的安全信息，宜用二维码扫描开展在线培训、在线考试。7.6.3应在产品说明书中写明用户应该做什么、不能做什么、哪些是专业售后服务团队进行的工作。全国团体标准信息平台T/SPSTS010—201987.6.4应用多种沟通途径如说明书、网页、微信、在线培训考试、现场培训考试等，向相关方传递使用、维护信息。全国团体标准信息平台T/SPSTS010—20199附录A（资料性附录）安全目标确定案例A.1失效率F/H和多少年一遇的关系案例一年一遇，对应失效率＝1.1E-4次/小时。计算方法为1次/年=1次/(每年365天每天24小时)=1.1E-4次/小时。十年一遇即1.1E-5次/小时；百年一遇即1.1E-6次/小时;千年一遇即1.1E-7次/小时。万年一遇即1.1E-8次/小时；十万年一遇即1.1E-9次/小时；百万年一遇即1.1E-10次/小时。A.2买卖双方商量安全目标案例A.2.1销售20万台BESS，合同保质期为十年不出现起火事故，不考虑中途加速损坏阶段，计算出厂前每台BESS的失效率＝1次/(20万台10年每年365天每天24小时)＝5.7E-10次/小时。保险起见希望这些产品在全生命周期发生0.1次失效,则计算的失效率=5.7E-11次/小时。A.2.2销售40万台BESS，合同保质期为十五年不出现起火事故，不考虑中途加速损坏阶段，计算出厂前每台BESS的失效率＝1次/(40万台15年每年365天每天24小时)＝1.9E-11次/小时。保险起见希望这些产品在全生命周期发生0.1次失效,则计算的失效率=1.9E-12次/小时。A.3行业安全目标案例A.3.1正确理解BESS表面温度不超过100℃为SIL3级别目标的含意，包括：（a）任何导致BESS热失控的现象，归纳简化为表面温度不超过100摄氏度，热失控即起火等现象,引起热失控的原因有机械滥用、电气滥用、环境滥用等因素。(b)表面温度不超过100℃即不能点燃周边物质（临近电池、桌椅、布匹、纸张等），不引起蔓延；有些不当设计造成喷射火焰冲出BESS而间距不足就可能点燃周边物品。在豪华电动汽车就使用该目标，在UL9750标准要求表面温度不超过97摄氏度也类似，UL用华式温度整数转换就产生了97摄氏度数值。（c）SIL3级别目标即残余风险的失效率在1e-8次/小时(万年一遇)到1E-7次/小时（千年一遇）。A.3.2正确理解BESS释放到环境蒸气不超过爆炸下限LEL的10%为SIL4级目标的含意，包括：（a）当BESS泄露或破损，释放电解液蒸气和电解液(分子式CxHyOz)，热分解的烃类气体（分子式CxHy）、CO、H2燃气，可能在环境积累形成气体爆炸。(b)用释放燃气浓度不超过爆炸下限LEL的10%就实现了石油化工领域的不燃安全浓度，从爆炸分区角度可以划分为安全区域。（c）SIL4级别目标即残余风险的失效率在1e-9次/小时(十万年一遇)到1E-8次/小时（万年一遇）。A.3.3正确理解移动使用的BESS遇到撞车等异常断电时间小于0.1秒为SIL2级目标的含意，包括：（a）移动使用即车载BESS等需要边移动边充放电的型号，只移动不使用即将BESS作为货物包装好运输则无需考虑此条件。（b）移动使用的BESS碰到撞车，接受到撞车传感器硬件连接到BMS的供电部分实现硬件断电，实现在0.1秒内断电。一些豪华电动汽车就用此目标。（c）SIL2级别目标即残余风险的失效率在1e-7次/小时(千年一遇)到1E-6次/小时（百年一遇）。全国团体标准信息平台T/SPSTS010—201910附录B（资料性附录）串联系统和并联系统B.1安全冗余的串联电路和并联电路模型（a）串联电路模型（b）并联电路模型（类似多点失效）图B.1串联电电路和并联电路可靠性模型B.1.1串联、并联电路模型是用来理解可靠性的方法，口诀是“串联系统是都成功才成功”即可靠度相乘造成系统可靠性下降，“并联系统是都失败才失败”即失效率相乘造成系统失效率下降。B.1.2图B.1两个电路元件，每个元件可靠度R1=R2=0.9,则每个元件失效率F1=F2=1-0.9=0.1;两个部件串联，依照口诀“串联系统都成功才成功”是可靠度相乘,系统可靠度Rs=R1R2=0.81,系统失效率Fs=1-Rs＝0.19；两个部件构成并联系统，依照口诀“并联系统都失败才失败”是失效率相乘，系统失效率Fs=F1F2=0.01,系统可靠度Rs=1-Fs＝0.99；计算看出并联系统显著改善可靠性，降低失效率。B.1.3并联系统改善系统可靠性的优点，被经常使用，有时称为安全冗余。B.1.4构造安全冗余的元素，有硬件、软件（或逻辑），通常乐意选择用软件或逻辑的原因一是软件和逻辑如果没错则寿命非常长，而硬件寿命有限；原因之二是在已有软件上修改程序相对节约空间和硬件成本。有时将软件或者逻辑作为并联系统的元素，称为安全诊断。B.1.5SPF发生概率高，MPF发生概率低，因为多点失效等于多个单点失效的概率相乘，多点失效通常比单点失效低几个数量级。B.2交叉审查的安全冗余B.2.1交叉审查在基础功能安全IEC61508或汽车功能安全ISO26262有时称为V模型，V的左边是设计则右边是审核，V模型还包括各个阶段的小V模型，在汇总到整体的大V模型。B.2.2交叉审查即有时称为V模型，通常包括系统级别（硬件和软件相互结合构成系统）、硬件级别（电路硬件、机械硬件）、软件级别的交叉审核。R1R2R1R2全国团体标准信息平台T/SPSTS010—201911附录C（资料性附录）锂离子电池或电池组的安全测试类型C.1现有标准包括的电池安全滥用测试标准类型C.1.1强制标准对预设的使用场景会遇到的滥用进行三类安全滥用测试，包括机械、环境、电气安全滥用测试：——机械安全滥用测试项目，通常包括碰撞、挤压、跌落、翻滚、振动、个别有穿刺等测试。——环境安全滥用测试项目，通常包括高温、低温、高低温、高温高湿、盐雾、泡水、火烧等测试。——电气安全滥用测试项目，通常包括短路、过充电、过放电、电路板抗静电或者电磁干扰等测试。C.1.2三综合安全滥用测试项目通常包括将以上因素组合测试，如高低温环境振动台上的充放电测试等。C.2现有标准未辨识，应用场景要补充的失效模式和安全铠装C.2.1锂离子电池外壳局部和极柱之间有电压，有些设计是外壳和负极等电位，有些如软包装电池的尼龙层里面的铝箔和正极、负极电压分别为3.9伏和0.8伏,则沾染导电液体如泄露的电解液、冷凝水（经验在剧烈变化温度超过5℃可能形成冷凝水）搭接电压形成电解金属膜现象，正极溶解、负极形成金属膜向正极靠拢，一段时间后金属膜足够长搭接到正极形成短路起火。C.2.2溶剂的电导率从高到低依次为：泥浆水或化雪盐水、海水（典型类似5%的盐水）、电解液、清澈地表水、雨水、自来水，电导率通常现场若干个数量级。电导率低的自来水、雨水、清澈的地表水接触电池造成很低的电流，毫安级别，通常数月才造成明显损伤，因此通常用自来水灭锂离子电池火灾。但是高电导率的液体会在几小时到几天之内造成剧烈电解和局部破损、几十安培的大电流放电、电池迅速膨胀或破损、搭接电池之间的导电排电解松动大电阻通电发热，容易引起起火。全国团体标准信息平台T/SPSTS010—201912附录D（资料性附录）进行FTA分析的例子D.1FTA图例图D.1FTA图例测试方案02测试方案03目标说明：40万台BESS，质保期15年，全生命周期出现失效0.1次。则失效率=0.1次/(40万台15年每年365天每天24小时)＝1.9E-12次/h+家用BESS表面温度不超过100℃目标失效率F0≤1.9E-12次/h预计失效率F0=F1+F2=出厂前产品表面超温事件失效率F1=4E-100F/h出厂后产品表面超温事件失效率F2=P2页P3页P2页BESS内部热失控F11=4E-100F/hBESS外部侦测抑制F12=BESS外部隔热灭火F13=环境因素导致起火(液体电解金属膜)F112=1E-104F/h机械因素导致起火F113=2E-100F/h+电气因素导致起火F111=2E-100F/h测量不准起火F1111=1E-100+电气故障侦测F1112=1E-100泄露电解液、冷凝水电解膜F1121=1E-4次/h自放电侦测F1122=1E-100测试方案04运输机械损伤F1131=1E-100存放机械损伤F1132=1E-100测试方案01测试方案05测试方案06全国团体标准信息平台T/SPSTS010—201913D.2测量不准导致的起火失效分析例子测试方案01,测量不准导致起火。从原理分析，锂离子电池工作电压最大值设置在4.2V,通常要过充电到4.6伏才起火，那么假定4.5伏为起火电压，则测量误差最大值USL=4.5V-4.2V=0.3V=300mV;电路板测量电压误差平均值Mean为5mV,假定测量误差的标准差Sigma＝Mean，那么工序能力系数Cpk=(USL-Mean)/(3Sigma)≈(USL-Mean)/(3Mean)=20，对应残余风险Risk=1-Normsdist(3Cpk)=1E-100，极低风险。D.3电气故障侦测错误导致的起火失效分析例子测试方案02为电气故障侦测错误导致起火。电气故障包括：接头松动大电阻发热点燃、电压信号线松动导致过充电、电路板导电开关部件（如CMOS管）故障不关断过充电起火、电网谐波干扰导致CMOS管故障不关断过充电、电路板老化腐蚀不能工作等。电路板都没过电池的电压检测、整个电池中电压检测（高压检测）、整体的电流检测、电池包有几个温度检测，使用这些电压信号在软件里面构造检测逻辑来侦测以上电气故障，发出报警且停止充放电。设计有硬件电路在只有电路板正常工作拆接通外部电源的功能，用于电路板老化腐蚀不工作的保护。如果没有有效的电气故障侦测功能，只靠电路板可靠性来维持，则风险非常高，需要改进。D.4泄漏电解液、冷凝水、外壳破损进水形成电解金属膜导致的短路起火失效分析案例测试方案03为泄漏电解液、冷凝水、外壳破损进水，形成电解金属膜导致短路起火。机械上可以强化电池封装强度，如加大封装边、焊接代替螺丝连接/铆接、增加耐火层隔热保温，避免剧烈温度变化以免形成冷凝水，设计IP等级外壳防水等来降低风险。用假定一年一遇的高失效率为例，靠自放电侦测技术来发现而降低了风险。推荐设计是：电路板在上方，喷涂覆盖绝缘漆防潮，快关管，如CMOS管或继电器的管脚加胶绝缘保护等。D.5自放电侦测安全措施例子测试方案04为自放电侦测。电池泄漏电解液导致该电池容量降低，内阻增加；如果泄漏电解液搭接了电池外壳和正极极柱、负极极柱，造成自放电率过大，则在软件设置检测功能判断某个电池容量过低可能是电池老化或单纯泄漏，还没有电解金属膜短路放电；软件侦测发现，某电池充电容量过大，放电容量很小，静置时电压下降快，就能判断是泄漏电解液，形成电解金属膜造成短路，发出报警。冷凝水的侦测可以综合充电容量大，放电容量小，静置时电压下降快，温度变化快来判断形成了冷凝水。冷凝水的电导率比泄漏的电解液低2个数量级以上，自放电电流相差大，软件可侦测区分。可以根据自放电程度不同，软件发出不同等级的报警。成本接受的情况下，可设计绝缘电阻检测电路来判断泄漏电解液、冷凝水造成绝缘电阻下降，可以设置不同的电阻值等级来发出不同等级的报警。D.6运动机械损伤导致的失火失效分析例子测试方案05为运动机械损伤侦测。失效模式为在车载运动或搬运运动中，不当的机械损伤包括：（1）普通车载振动带来摩擦信号线、电路线路松动大电阻发热点燃、或短路起火、或信号异常的过充电起火；（2）撞车带来挤压测试级别的挤压短路起火；（3）搬运的物品跌落撞击机械损伤起火等。全国团体标准信息平台T/SPSTS010—201914对应的安全措施为:(1)合理设计信号线路、主干路的电线和导电铜巴的紧固方式，撞车变形缓冲位置不伤害电池包位置仿真等；（2）再使用满足机械滥用的振动、跌落、挤压、撞击测试验证不起火，满足运输安全测试UN38.3，满足运输可靠性测试SAE标准；（3）在软件设置安全诊断功能，包括：（a）侦测电池信号线短路或断开功能，安全诊断逻辑为信号线对应的两个电池同时异常，电压值和其他电压值不一样、或充电不增加电压、或放电不减少电压、或高电压值和每个电池电压累加值差异过大、电池容量异常、个别还能带来电池包温度异常等，通过这些软件诊断提前侦测异常，不恶化为燃烧事故。例如针对信号电路的因为振动或导电液体电解腐蚀松动异常，其失效率的计算方式为：（1）采取了振动仿真和测试后验证失效率不超过1E-5次/小时（十年一遇），导电液体电解腐蚀造成松动的失效率不超过1E-5次/小时（十年一遇）,两者相加为2E-5次/小时（十年二遇）；（2）两个电池共用一根信号线，软件侦测共用信号线路的两个电池同时出现类似测试值与众不同的异常，该软件诊断逻辑的失效率为1E-100秒，（计算方法类似信号测量误差风险计算，满充电平均值Mean=4.2V,过充电上限值USL=4.6V,标准差Sigma=mv，则Cpk=（USL-Mean）/(3Sigam)=2.67,Risk=1-Normsdist(3Cpk)≤1E-100）;那么该失效经过软件诊断后失效率=2E-400次/小时为可忽略风险。其他失效可以类似分享，量化风险计算。D.7存放机械损伤导致的失火失效分析例子测试方案06为存放机械损伤侦测。失效模式为存储场景中，不当的机械损伤包括室内静置的物品跌落撞击机械损伤起火等。对应的安全措施为:(1)设计合理硬度和外形的强度保护减少撞击伤害；（2）说明书约定安装条件减少被物品掉落、家具倾倒撞击伤害；（3）例行保养等售后服务的检查维护安全环境；（4）侦测到机械伤害带来电路异常（如电路信号线、导电端子、电池外壳）的及时保护如发出告警、停止充放电等。计算失效率的例子之一如从材料硬度或抗剪切强度来判断保护效果。如抗剪切强度（单位kgf/mm2）外壳框架碳钢（1%的C含量）为80，外壳蒙皮的结构钢板SS400为38,导电铜巴即软铜为20,铝壳电池铝为9，室内跌落物品为灯具铝壳硬度为11、家具桦木为2、扳手螺丝刀等碳钢为80。用计算Cpk的方式来量化计算风险1：从硬度角度看，跌落的灯具的冲击Cpk=（USL-Mean）/（3Sigama）=（38-11）/(32)=4.5,Risk=1-Normsdist(3Cpk)=1E-100;跌落家具的冲击Cpk=（38-2）/(32)=6.0,Risk=1E-100可忽略程度；同样为工具钢的螺丝刀、扳手的硬度高于蒙皮的硬度可能刺伤，则进一步从其自生重量小（不到1千克）和距离不高（不超过屋顶高度6米或人手高度2米），接触面积≥5平方米，则跌了工具的剪切强度≤（6kgf/5mm2）=1.2kgf/mm2，其远远低于框架钢板强度38，Cpk=10，Risk=1E-100,不能完全刺穿，只能在尖端留下小刺伤，那么保留钢板到电池的安全空隙距离，大于工具尖端到大横截面积处距离，就能确保安全。计算失效的方法二可以是计算机仿真软件和实际模拟测试验证，可以设置跌落灯具、从人手跌落扳手或螺丝刀、从楼梯上靠近屋顶位置跌落扳手或螺丝刀、家具倾倒砸伤等，验证储能系统的外壳受到的伤害，量化计算失效率。但是此方法，明显比第一种方法复杂，高成本，不合算。其他失效可以类似分享，量化风险计算。D.8导电螺丝松动的失效分析和防范措施表下表举例说明了用功能安全方法，分析和量化计算，各种失效模式和软件侦测方法。全国团体标准信息平台T/SPSTS010—201915表D.1导电螺丝松动的失效分析和防范措施表A位置B失效危害C失效原因D制造防范E出厂检查F售后检查G软件侦测A1干路导电螺丝；A2支路信号线螺丝B1干路螺丝松脱高电阻，大电流发热导致起火或熔化铜金属(1083℃熔点)；B2支路信号线螺丝松脱，测量错误，个别电池过充电或过放电。C1制造不良（力矩不对；错漏装配等）。D1合适的扭矩值；D2用扭力扳手，留意换线扭力值更换；D3骑缝线；D4导电螺纹加胶。E1换品种检查扭力参数；E2品质抽查扭力、骑缝线、加胶、三防油E3★用热像仪检查通电处发热,螺丝松动,焊点松脱，插接件松脱；E4定期对螺丝连接做震动寿命测试。F1目视检查；F2电阻检查干线电阻，松脱；F3★用热像仪检查通电处发热，螺丝松动，焊点松脱，插接件松脱；F4★记录比较充电时，充电输出电压V1,电池BMS记录电池累加电压V2,两者差值过大就是干路松脱；F5从功能安全看信号线松脱。G1比较动态电阻，发现连接松动；G2比较BMS测试的高电压V3,和电池电压累加值V2,两者差值是电箱内部的干路连接电阻电压，有报警规格；G3比较充电机输出电压V1,和电箱高压值V3,两者差值是电箱外的高压干路电阻值，有报警规格；G4信号线松脱，见以上列出的诊断方法。C2振动松脱（运行可靠性不够）。D5导电螺栓附近另外有机械加固；D6做振动寿命试验，用累计疲劳损伤模型分析。振动寿命试验标准是：美国FreedomCAR标准。C3腐蚀松脱（异种金属遇潮气发生电化学腐蚀）。D7同种材质螺丝D8喷涂三防漆D9涂胶覆盖固定且防潮全国团体标准信息平台T/SPSTS010—201916附录E（资料性附录）锂离子电池消防风水法手机备忘录存放的消防风水法内容如下，可用于科学计算储能系统的消防安全。[标题]锂离子电池消防风水法1.风的原理：通风稀释烟雾燃气浓度不超过爆炸下限的5%就不燃。2.风的参数：a）鼓风、抽风相互结合，开门窗形成风道；b）作用区域风速不低于0.5米/秒捕获风速；c）典型作用距离为墙壁抽风5米，汽油鼓风机室内30米，伸缩管移动风机随管道长度宜60米；d）事故抽风为12次/小时换气次数;e）推荐事故风量Vfan（每秒立方米)=一起燃烧电池数量N每个电池电解液体积Ve16万倍。3.水的原理：水进入破损锂离子电池将活泼的LiCx惰化为碳酸锂陶瓷，副反应可控。4.水的参数：a）水灭锂电火灾速度是其他灭火剂的十倍以上,最快。b）避免用高电导率的饱和盐水、泥浆水、化雪盐水灭火，过于剧烈会起火；用低电导率的清水、自来水、5%稀盐水、含水饮料灭火。c）单位泡水量从大到小灭火方式，依次为泡水、定点射水、定点水雾、消防栓射水、喷淋系统喷水。d）防范用水触电，设备应断电、接地，并安装漏电开关。e）用水量应参照DB11/Z728的规定进行，即每5万安时9升水或每500平方米配60升水。5.计算锂离子电池和电池组燃烧的产烟量、需要的抽风量、燃气爆炸半径。Vgas=800NVeleK········································（E.1）Vfan=160000NVeleK······································（E.2）R=2.9W^(1/3)···········································（E.3）式中:——Vgas是产烟量，单位为立方米（m3）；——N是一起燃烧电池数量，单位个；——Vele是单个电池电解液体积，单位为立方米（m3）；——K是电池电解液燃烧比例，快速灭火（3分钟之内）、中速灭火（3分钟到10分钟）、慢速灭火（超过10分钟）分别取0.2、0.5、0.8；——Vfan是需要抽风量，单位为立方米每秒（m3/s）；——R是爆炸半径，单位为米（m）；——W是一起燃烧电池的电解液质量，单位为千克（kg）。全国团体标准信息平台