中国储能网讯：7月9-10日，由中国化学与物理电源行业协会储能应用分会联合江苏省电机工程学会、国网江苏省电力公司电力科学研究院、国网四川综合能源服务有限公司、国网浙江综合能源服务有限公司、中国能源建设集团江苏省电力设计院有限公司、中国科学院电工研究所储能技术组等单位共同主办的“第五届全国电网侧暨用户侧储能技术应用高层研讨会”在江苏南通文峰酒店召开。

在本次会议上，杭州高特电子设备股份有限公司总经理徐剑虹分享了主题报告《储能电池管理系统安全技术探讨》。现在，小编经过授权，将演讲内容整理如下：

徐剑虹：各位专家，各位同仁，大家下午好！

储能电站近期最热门的一个话题就是安全。今天我听了很多专家的演讲，很多宏观的，我可能要拉回来，可能会讲一些稍微微观一点的东西。我的题目是“储能电池管理系统安全技术探讨”。

储能系统安全的设计现状现在主要体现在几个方面，一个是储能系统缺少顶层安全设计，没有安全标准。刚才我听到了认证中心人员讲了，讲了很多标准，但唯一缺少的就是安全标准。刚才讲后面要起草安全标准，我认为这个是非常及时，我也非常感兴趣来参与这个标准。

储能系统的集成设计缺少安全系统的考虑，变成多个功能部件的堆积，相互间缺少联系，成为了信息孤岛。储能系统运行的策略保护机制不完善，各自也各不相同，缺少冗余的安全保护及长寿命的管理策略。储能系统的热管理和一致性管理非常粗糙，缺少储能系统及电池系统综合分析及诊断，缺少运维支撑等等。

我们来看什么是系统安全，在世界上没有一件事是绝对安全的，我们所谓指的安全就是我们要把潜伏的危险可能发生事故的概率降到最低，把可能发生的危险所造成的损害控制到可以接受的程度，安全是有成本和代价的。系统安全主要通过三个方面来做，一个是辨识系统中可能的安全隐患，第二个是安全的设计，预防安全隐患发生的安全事故，第三个是事故发生的保护，预防安全事故的扩大。

我们来看储能的安全，首先是识别安全隐患有哪些。我们可以看到在储能系统当中由很多部件构成，比方说有电池堆、BMS、PCS、EMS，空调、动环、机架附件等等，除了PCS、空调动环等等电气安全事故之外，电池堆成为最大的安全隐患点。这是电池堆的安全隐患点，比方说电池的老化、过充、过放，过流，内短路、过热等等。

在一个储能系统中，由大量的电池堆积在一起，在一个有限空间当中，比如20尺、40尺的集装箱，几个兆瓦时的电池堆积在一起是一个能量非常密集的系统，一旦发生电池燃烧反应，损失就会非常大。其次它也是一个高压系统，目前系统基本上在700伏，现在已经有1500伏的发展趋势，在一个高压系统当中，它的绝缘、电器老化等等都有可能引起安全事故，这就是电气安全事故。

还有在整个控制系统中，由于恶劣的电磁环境，有可能导致整个系统管理动作的误动作、误报警，产生不可预期的安全事故。最最主要的还是电池系统发生的过充、过放、过流、过温、短路、失控等等，这已经成为储能系统最大的安全隐患，我们就这个问题作一个展开。

什么是电池失控呢？英文thermal runaway字面的意思非常清楚，就是电池的热产生超出了系统的控制范围，也就是说产生的热量超过了散热能力的时候，热量就会堆积，逐步产生高温，直至产生不可控的现象，这就是热失控。

由于锂离子电池存在正极的高氧化性，负极的还原性，锂化的负极反应以及内部短路等各种风险，锂离子电池都存在热失控的可能性。热失控可以分为热失控的诱因、热失控的发生和热失控的扩散三个阶段。

我们来看什么是的热失控诱因。

首先，在电池的制造过程当中，由于混入了杂质，或者材料的不稳定性导致电池长期使用产生结构破坏，在充放电过程中发生局部的热量积累，从杂质混入到内短路发生，这个演化时间非常长，存在于电池整个生命周期，这一现象被称为自引发内短路，也就是电池本身由于制造过程中的缺陷导致内短路的潜在风险。

第二，长期的高于额定电流下的快充，或者低温充电，导致其极板表面形成金属锂的枝晶，这种枝晶容易刺破隔膜，导致电池内部的短路。

第三，过放可能使得铜在负极电极发生集流体的溶解，即发生负极析铜。这种铜枝晶也容易刺破隔膜，导致电池内部的短路。

第四，不合理的结构设计，或者连接条的热阻增加，导致了局部热量无法耗散。比方接点没有焊好，产生了热量，比如散热没有做好，局部产生了热量，以至于所产生的热量无法耗散出去，产生了热失控。

这是我们目前在储能系统当中可能遇到的四种产生热失控的诱因。当然汽车可能遇到的碰撞、挤压等等就排除掉，我们认为在储能系统中不会发生这种情况。

电池在温度不断升高的积累过程中触发了热失控，这个过程，如高温容量衰减，SEI膜的分解、负极电极的反应，隔膜熔化过程，正极反应、电极溶液的分解反应，负极粘连，在高温下隔膜可能收缩导致的正负极的短路等。这是非常严重的过程，整个热失控发展的过程分了几个阶段，我们看到有很多发热的反应。同样可以看到，几种电池相比，磷酸铁锂电池放热的速率是最低的，也就说磷酸铁锂在正极由于磷跟氧的分解而产生氧气的电极电位会更高，所以产生氧的过程是最低的，需要更高的电位，更高的温度，所以磷酸铁锂相对来说是更安全的电池。

电池热失控的扩展，当锂离子电池发生热失控之后，局部电池热失控释放的热量作为传播，形成了热失控的扩展。由于实际使用中储能电池系统最小单元一般为电池模组，也就是我们所说的电池插箱，当某一个电池发生热失控的时候，加热了周围的电池并造成周围电池的热失控，这一反应称之为热失控在电池组内的扩展。大家可以看到这是一个电池模组，其中有一个6号电池发生热失控的时候，就可以把它的热量传递到5号、7号、3号电池，导致这三个电池发生热失控，随即再传到更远的电池，这个过程是一个加速的过程。

以一个12串200安的电池模组为例，所具有的能量为7.68千瓦时，就是7.68度电。在热失控释放全部能量的情况下，1度电是3.6兆焦耳的能量，对应算下来大概等于6公斤左右的TNT当量的炸药。大家可以想象一下，这是一个非常可怕的过程，当我们12串电池的插箱，完全释放能量的时候相当于6公斤左右的TNT炸药，所释放的能量是非常的巨大、危险。

我们要做的工作就是要把热失控局限于某一个单体，也就是当一个单体发生热失控的时候，不能蔓延到其它的电池，这也是UL9540A规定的热失控发生时火蔓延的测试方法。

当我们发生热失控的时候，同时它还可能发生一个次生灾害。在电池发生热失控后，电池的安全阀被打开，或者电池被爆炸，电池放出大量的可燃气体，在达到一定浓度比的时候，可能发生燃爆，引起次生灾害。这次北京416事件中，我们消防队员冲到里面的时候实际上发生了二次爆炸，这个爆炸导致了人员的伤亡。在美国发生的事件中，是消防队员把舱门打开的时候发生了二次爆炸，当时那个消防员没有死，但是中国有两名消防队员牺牲。

我们可以看到三种不同锂离子电池释放气体的比例，在磷酸铁锂中可以看到最大的比例是53%的二氧化碳，跟30.9%的氢气。也就是说第一个过程是电池内部发生热失控，热失控发生之后安全阀被打开，可燃气体冲了出来，这个过程中有可能发生可燃物的燃烧。

第二个过程，一部分释放出来的气体是可燃气体，氢气、一氧化碳等等气体，当空气中积累可燃气体之后可能发生二次燃爆。所以当电池发生热失控的时候不仅仅单个电池的热失控所造成的危害，更多是整个电池系统发生的链式反应，以及这个链式反应发生的二次灾害，所以造成损害是非常大、非常严重的。

电池的热失控试验和判定，这个在我们国标里面GB/T 36276-2018中已经规定了的热失控和热失控扩散试验，在IEC 62133-2012中，模拟了电池内短路的测试方法，也就是说我们在电池内部放了一颗金属镍粒来模拟内部的短路，这是一个测试方法，国内可能不太常见。当然，UL9540A已经定义了当发生热失控之后火蔓延的测试方法。

我们来看，储能系统的安全设计如何来做，我们认为主要做三个方面的工作，第一个电池本身的安全设计，我们最好选用一个电池本身不会燃烧的电池，当然剩下的问题就迎刃而解了，可惜的很，目前的锂电池热失控的发生还是一个大概率的安全隐患，所以目前第一步，希望电池厂能够研发不会燃烧、不会发生热失控的电池。

第二，我们已经用了锂电池做储能系统的时候，我们如何从电池模组的安全设计与系统设计、BMS的设计、安全临界值和系统控制策略安全性设计，电池安全状态的评估及预警，电池及其模组的热管理，也就是让热量不会积聚，热失控的管理，热隔离，让热失控不会蔓延等等，这是一个非常重要的点。

第三，当发生了热失控，燃烧了，如何做消防。今天第一点、第三点就不谈，我们来看一下第二点，也就是我们BMS能做什么。我们认为储能安全系统设计，对于BMS来说大概要做四件事情：

1.参数的监测，对电池及其参数的准确监测，我这里加了准确两个字，大家可能会觉得测一个电压或者温度谁不会呢，但是里面还是有很多问题和难点。

2.状态的诊断，如何对电池的状态进行诊断。

3.储能系统电池的保护策略。

4.BMS本身的安全性设计，功能安全有没有做到。

从四个方面去做，我们看一下，电池管理系统BMS参数监测的要求。大家认为可能测一个电压的温度很简单，其实不简单，因为这里有一个很大的问题，在储能系统中是一个高压大电流的系统，具有非常强干扰的电磁环境，所以要求BMS采用具有很好的EMC抗扰能力和电压隔离的能力。一般会采用专用集成电路芯片，具有高速的电平切换、AD转换、数据处理等等电路，我们不太建议采用光耦器件外加AD器件来完成采样，因为它的抗干扰能力相对较弱，也不太建议采用菊花链的方案，因为菊花链的方案成本会比较低，但是它的抗干扰能力相对也较弱，它也无法做到电池单体的数据保存、追溯跟边缘端的计算，这个我们认为是有问题的。

第二，为了保证每一节电池的温度都能监测到要求温度的监测点和电源的监测点为1:1，推荐+2，也就是我们要求每一节电池都能被检测到，+2就是测试接插件的温度。因为现在接插件老化导致的温升，也是一个安全的隐患。然后要求温度的监测点安装到电池极柱上，尽可能减少温度监测的延时和温度差，提高准确性，对容易发生发热的关键点，比方动力母线的连接点、继电器等等添加温度的监测。

要求BMS的模块提高整体的抗干扰能力，因为现在有些为了降低成本，可能做一个双层板就应对一下，我认为这些成本还是必须要花的。

其次是状态诊断，我们一般关心它的SOC、SOH，当然我们也添加了SOS，也就是说我们要关心电池的安全状态，我们认为需要有一个电池安全状态的评估，我们现在看到电池发生热失控是一个过程。但是非常遗憾，我们现在无法识别到这个过程，原因就是我们不能及时的监测电压的变化和温度的变化，现在国际上已经有报道，可以在热失控发生之前，提前30分钟预警，我们现在参加一个项目，我们把这个指标提高到45分钟。也就是说我们的目标是未来实现电池发生热失控之前45分钟或者更早给出电池可能发生热失控的预警，我们认为这是非常有意义的一件事情。

这个是电池安全状态的评估，目前这个事情我们正在做，但是目前为止还没有一个非常好的结果。

电池等效短路内组，我把它叫RSS，已有的数据表明由于杂质混入造成的引发内短路初期现象并不是很显著，但是后期可能引发热失控。同样，过充过放所产生的枝晶导致的内短路发生过程中，电池的等效内短路电阻将逐步变小。本来我昨天花点时间把内短路的图给画出来，但是由于时间关系就没来得及画，本来是可以表达出来，就是电池发生内短路的时候整个等效电路是怎么样的。

等效内短路电阻在电池循环过程中逐步减小，内短路的电阻越小对应的产热功率越大，产生热失控的可能性就越大。自引发内短路从发生开始到发展为热失控需要很长的时间，这个时间大概在数百小时。

我这引用的一些图和数据来自于欧阳明高团队做的热失控实验，在此表示感谢。

因此，测量电池等效内短路电阻可能成为电池管理系统能够具有较长反应时间来检验早期内短路的方法，当然目前也在探索当中。

我们讲温度，同样实验结果表明，在高温滥用的实验中，电池表面温度达到100度左右的时候，34秒时间内温度升高到250度，电池最大的温度会到接近400度，这个温升的速率大概在每秒钟7.36度，这个温度是非常高的。我们可以看到这么一个过程，而且我们在自己家里也做的过验证，我们人为对一组模组进行过充试验，我们把BMS监测保留着，保护动作去掉，我们会发现大约经过了两个多小时，电池就发生了燃烧，而且燃烧的非常厉害，这个数据我没有把它放出来，但是数据曲线我们都有，如果有兴趣，大家可以来交流。

电池温度监测存在的问题，我们的温度检测点跟实际电池内部测量到的温度点差异非常大，还会有延迟。我们可以看到电池内部的温度远远高于外部的，而且存在很大的时延。我们看这个图，这是我们做的其中一个PACK，大家看到白的点是温度的检测点，我们这里有8串电池，有8个检测点。大家有没有注意到，这是一个铜排，实际上就是一个散热片，如果说某一个电芯内部发生热失控或者短路的话，里面的温度跟外面铜片的温度差异会非常大，实际测到的温度是一个虚假的温度，不是一个真实的电池内部温度。目前所有的储能电站的温度检测都是存在非常严重的安全隐患，因为你根本测不到里面的电芯温度，你看到的都是假的。

我这里给出一个建议，电池并联最好不要超过两个，最好只有一个，一个可以直接在极柱上测量。如果两个怎么测，没有办法测，我只能测到汇流条上，而这个汇流条就是一个散热片，所以这点我们希望在未来的电池模组设计的时候，各个厂家需要特别的关注。大家可以看到，现在测的温度点是什么样的，我们希望未来会考虑如何测整个电池面，在整个电池面中，打个比方，在这个地方发生热失控，那上面测的点和这个点完全不一样，所以我们可能会做一个所谓温度的矩阵来进行测量，这是我们未来考虑的。

还有一个就是绝缘检测，我们现在实际的系统中绝缘检测也是一个难点。

目前储能系统中BMS的绝缘电阻测量采用了乒乓原理加辅助电阻测量的，这个测量存在一定的问题，当PCS有大量的Y电容或者有接地点时，其实绝缘电阻是测不准的。在很多应用场景，用户可能把绝缘电阻监测给关闭了，或者告警阀值设到很小，这也是一个非常大的安全隐患。

采用新技术监测绝缘已经成为了一个亟待解决的问题，这是我们未来可能会采取的技术，检测漏电流，而不是测它的电压，因为测电压确实存在很大的误报可能性。

这是保护策略，我就不多讲了，BMS的安全预警，我们认为安全预警需要BMS厂家花大力气做的事情，预警跟告警还是不一样的，预警是提前告知可能会发生的隐患，还是有区别的。尤其是对一些安全方面，比方电池的内短路电阻和安全状态的预警等等。

再讲一下BMS本身的功能安全，在汽车里面BMS有功能安全的要求，就是ISO 26262，到了储能之后，好像就不存在这个问题，所以从来没有人提储能BMS功能安全的问题，我认为还是很有必要的，需要对BMS本身提出一些功能安全的要求，我这里简单写了几个点。

本身的性能和功能安全的一些要求，包括一些故障的测试，当然这些测试主要是靠设计保证的，而这些设计主要来源于：一个是开发流程的保证，比方说V型的开发模型，具有各个环节的验证测试。当然我们建议能否在BMS的开发中引入CMMI软件的成熟度认证。能不能引进IEC61508的功能安全认证。我认为BMS的可靠性，设计是源头，这些认证更规范，是它的保证。

还有故障追溯的要求，全球到目前为止已经发生了38起已经公开有报道的事故，可能没有报道的更多。但是迄今为止，真正找到原因的几乎没有，很大一个问题是，我们现在的数据都是到了EMS保存，而发给EMS的数据颗粒非常大，基本上是几秒钟，甚至到1分钟，一旦事故发生，其实根本无法追溯。所以我们认为有必要建立故障记录的功能，我们公司在2018年的时候开发了一个黑匣子，目前正在把它商品化。

我们在黑匣子存储介质采用了SSD，就是笔记本电脑的固态硬盘，现在的起步就是240G，所以基本上可以做到10年数据的存储，一旦发生故障的时候，我们可能前面10分钟到后面10分钟的数据保存下来，这个存的时间间隔，整体的数据我们是500毫秒，关键数据，比如整组的电压、整组的电流，关键的温度点，继电器的动作等等，我们小于50毫秒，对一些特别的控制点会控制到20毫秒。继电器的动作时间基本上在20毫秒，也就我的分辨率做到20毫秒可以还原，当然我们也做了一些特别的处理，可以做到耐高温和防水。

系统安全事故频发已经对产业发展产生了严重的负面影响，416之后很多储能电站都已经停止了运行，很多在建的项目要重新审查，新项目也会延误，今年下半年大家都会感受压力非常大。这个产业不成熟，相关的标准严重缺乏，包括电池管理系统的国标正在修订中，我们也参与其中。当然安全标准没有，所以刚才提到的安全标准是一个非常好的事情。

第二，行业的无序竞争问题，在低成本的错误导向下，大家招标的时候都是谁的价格低就用谁的，但是把安全忽略掉了，没有想到安全是最大的成本。

谢谢大家！