一种电池管理系统功能安全监控方法、装置及车辆[发明专利]

(12)发明专利申请

(10)申请公布号 CN 111516551 A(43)申请公布日 2020.08.11

(21)申请号 202010484478.1(22)申请日 2020.06.01

(71)申请人 中国第一汽车股份有限公司

地址 130011 吉林省长春市汽车经济技术

开发区新红旗大街1号(72)发明人 荣常如　刘轶鑫　许立超　闻继伟　

马腾翔　李海霞　于春洋　卢青伟　王君君　孟祥宇　(74)专利代理机构 北京远智汇知识产权代理有

限公司 11659

代理人 范坤坤(51)Int.Cl.

B60L 58/10(2019.01)B60L 3/00(2019.01)

权利要求书2页 说明书11页 附图1页

CN 111516551 A(54)发明名称

装置一种电池管理系统功能安全监控方法、

及车辆(57)摘要

本发明公开了一种电池管理系统功能安全监控方法，用于电池管理系统功能安全监控方法逻辑实现和集成的装置，以及包含所述电池安全监控系统的车辆。在保证充电、放电和通信等基本功能实现基础上，结合电池的电化学特征，设定电池管理系统功能安全监控目标值，获取实际运行场景的电池管理系统状态，通过故障诊断辨识影响电池管理系统正常工作的失效和危险，判断电池管理系统功能异常是否达到安全监控目标值，电池管理系统功能安全控制。电池管理系统功能安全监控装置包括传感器模块、监控模块和执行器模块，解决了过压、过流和过压等不安全管理问题，降低危害发生概率，提高车辆安全性。

CN 111516551 A

权　利　要　求　书

1/2页

1.一种电池管理系统功能安全监控方法，其特征在于，包括，设定电池管理系统功能安全监控目标值；获取实际运行场景的电池管理系统状态；

根据电池管理系统功能的安全监控目标值和电池管理系统状态来判断电池管理系统功能异常是否达到安全监控目标值；电池管理系统功能安全控制。

2.根据权利要求1所述的一种电池管理系统功能安全监控方法，其特征在于，所述的电池管理系统功能，包括充电功能、放电功能和通信功能。

3.根据权利要求1所述的一种电池管理系统功能安全监控方法，其特征在于，还包括：所述的电池管理系统功能安全监控，其中，所述安全监控包括充电过压不安全管理、充电过流不安全管理，充电过温不安全管理，放电欠压不安全管理，放电过流不安全管理，放电过温不安全管理和通信故障不安全管理。

4.根据权利要求3所述的一种电池管理系统功能安全监控方法，其特征在于，所述充电过压不安全管理，包括电池管理系统未提供充电过压安全所需的控制，提供了导致充电过压安全风险的控制，提供的充电过压潜在安全控制过早、过晚或无序，控制充电过压结束过早或控制持续时间过长；

所述充电过流不安全管理，包括电池管理系统未提供充电过流安全所需的控制，提供了导致充电过流安全风险的控制，提供的充电过流潜在安全控制过早、过晚或无序，控制充电过流结束过早或控制持续时间过长；

所述充电过温不安全管理，包括电池管理系统未提供充电过温安全所需的控制，提供了导致充电过温安全风险的控制，提供的充电过温潜在安全控制过早、过晚或无序，控制充电过温结束过早或控制持续时间过长；

所述放电欠压不安全管理，包括电池管理系统未提供放电欠压安全所需的控制，提供了导致放电欠压安全风险的控制，提供的放电欠压潜在安全控制过早、过晚或无序，控制放电欠压结束过早或控制持续时间过长；

所述放电过流不安全管理，包括电池管理系统未提供放电过流安全所需的控制，提供了导致放电过流安全风险的控制，提供的放电过流潜在安全控制过早、过晚或无序，控制放电过流结束过早或控制持续时间过长；

所述放电过温不安全管理，包括电池管理系统未提供放电过温安全所需的控制，提供了导致放电过温安全风险的控制，提供的放电过温潜在安全控制过早、过晚或无序，控制放电过温结束过早或控制持续时间过长；

所述通信故障不安全管理，包括电池管理系统未提供通信故障安全所需的控制，提供了导致通信故障安全风险的控制，提供的通信故障潜在安全控制过早、过晚或无序，控制通信故障结束过早或控制持续时间过长。

5.根据权利要求1所述的一种电池管理系统功能安全监控方法，其特征在于，电池管理系统功能安全目标包括，防止充电过流不安全管理导致的电池热失控，防止充电过压不安全管理导致的电池热失控，防止充电过温不安全管理导致的电池热失控，防止放电过流不安全管理导致的电池热失控，防止放电欠压不安全管理导致的电池热失控，防止放电过温不安全管理导致的电池热失控，防止通信故障不安全管理导致的电池热失控。

6.根据权利要求1所述的一种电池管理系统功能安全监控方法，其特征在于，所述的电

2

CN 111516551 A

权　利　要　求　书

2/2页

池管理系统功能安全监控目标值，包括导致违反功能安全目标的边界值，仿真计算的电池管理系统功能安全行为边界值，试验得到的电池管理系统功能安全行为边界值。

7.根据权利要求1所述的一种电池管理系统功能安全监控方法，其特征在于，所述的获取实际运行场景的电池管理系统状态，包括冗余和校验反馈的电压、电流和温度信息，监测基本功能的时序错乱或危险的输出，自检，周期测试；

所述电池管理系统功能安全控制，对电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为异常，评估故障的等级并依据等级触发对应的安全措施，包括：电池管理系统准确监控和执行安全措施；电池管理系统准确监测故障状态，向整车控制器发送执行安全措施请求，等待和执行整车控制器安全措施；电池管理系统准确监测故障状态，向整车控制器发送执行安全措施请求，整车控制器发送执行安全措施指令时间过长或不发指令，电池管理系统自行执行安全措施。

8.一种电池管理系统功能安全监控装置，包括传感器模块、监控模块和执行器模块：传感器模块，用于获取实际运行场景的电池管理系统状态，包括冗余和校验反馈的电压、电流和温度信息，监测基本功能的时序错乱或危险的输出，自检，周期测试；

监控模块，包括功能监控模块和微处理器监控模块，用于判断电池管理系统功能异常是否达到安全监控目标值，通过电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态比较来判断系统行为是否异常或危险；

执行模块，用于电池管理系统功能安全控制，根据电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为异常，评估故障的等级并依据等级触发对应的安全措施。

9.一种车辆，其特征在于，包括：电池系统，用于对所述车辆供电；所述的电池系统，包含动力电池，电池管理系统，电池管理系统功能安全监控装置。

3

CN 111516551 A

说　明　书

一种电池管理系统功能安全监控方法、装置及车辆

1/11页

技术领域

[0001]本发明涉及动力与电气科学技术领域，尤其涉及一种电池管理系统功能安全监控方法、装置及车辆。背景技术

[0002]限于现有锂离子动力电池体系发生危害的化学动力学不可控性，新能源汽车在行驶、充电和停置等场景中发生的危害事故大多体现为动力电池冒烟和着火。目前，动力电池除了采用化学、机械和电气安全设计外，还通过结合ISO26262标准实施的电池管理系统功能安全设计来降低失效引起的危害发生的概率。

发明内容

[0003]本发明提供一种电池管理系统功能安全监控方法、装置及车辆，针对现有技术的不足，在新能源汽车运行场景危害致因分析的基础上，通过对关键参数采集的冗余设计，系统的增量控制，提高系统容错能力，解决电池管理系统非恰当冗余设计和安全设计不足等问题，降低危害发生概率，提高车辆安全性。[0004]本发明的技术方案：一种电池管理系统功能安全监控方法，用于电池管理系统功能安全监控方法逻辑实现和集成的装置，以及包含所述电池安全监控装置的车辆。[0005]所述的电池管理系统功能安全监控方法，包括，[0006]设定电池管理系统功能安全监控目标值；[0007]获取实际运行场景的电池管理系统状态；

[0008]根据电池管理系统功能的安全监控目标值和电池管理系统状态来判断电池管理系统功能异常是否达到安全监控目标值；[0009]电池管理系统功能安全控制。[0010]本发明中，所述的电池管理系统功能，包括充电功能、放电功能和通信功能。[0011]本发明中，还包括：所述电池管理系统功能安全监控，其中，所述安全监控包括充电过压不安全管理、充电过流不安全管理，充电过温不安全管理，放电欠压不安全管理，放电过流不安全管理，放电过温不安全管理和通信故障不安全管理。[0012]本发明中，所述充电过压不安全管理，包括电池管理系统未提供充电过压安全所需的控制，提供了导致充电过压安全风险的控制，提供的充电过压潜在安全控制过早、过晚或无序，控制充电过压结束过早或控制持续时间过长。[0013]本发明中，所述充电过流不安全管理，包括电池管理系统未提供充电过流安全所需的控制，提供了导致充电过流安全风险的控制，提供的充电过流潜在安全控制过早、过晚或无序，控制充电过流结束过早或控制持续时间过长。[0014]本发明中，所述充电过温不安全管理，包括电池管理系统未提供充电过温安全所需的控制，提供了导致充电过温安全风险的控制，提供的充电过温潜在安全控制过早、过晚或无序，控制充电过温结束过早或控制持续时间过长。

4

CN 111516551 A[0015]

说　明　书

2/11页

本发明中，所述放电欠压不安全管理，包括电池管理系统未提供放电欠压安全所

需的控制，提供了导致放电欠压安全风险的控制，提供的放电欠压潜在安全控制过早、过晚或无序，控制放电欠压结束过早或控制持续时间过长。[0016]本发明中，所述放电过流不安全管理，包括电池管理系统未提供放电过流安全所需的控制，提供了导致放电过流安全风险的控制，提供的放电过流潜在安全控制过早、过晚或无序，控制放电过流结束过早或控制持续时间过长。[0017]本发明中，所述放电过温不安全管理，包括电池管理系统未提供放电过温安全所需的控制，提供了导致放电过温安全风险的控制，提供的放电过温潜在安全控制过早、过晚或无序，控制放电过温结束过早或控制持续时间过长。[0018]本发明中，所述通信故障不安全管理，包括电池管理系统未提供通信故障安全所需的控制，提供了导致通信故障安全风险的控制，提供的通信故障潜在安全控制过早、过晚或无序，控制通信故障结束过早或控制持续时间过长。[0019]本发明中，所述电池管理系统功能，并不是对电池管理系统充电功能、放电功能和通信功能的限制，而是表示至少存在一种提及到的可实现的电池管理系统基本功能。示例性的，所述的电池管系统功能可以理解为满足车辆需求的放电功能，电池补充能量的充电功能，为完成充电功能和放电功能的通信功能。进一步的，示例性的，所述的充电功能包括车辆、充电桩和电池之间的通信，电池荷电状态估算、能量控制和上下电时序控制。[0020]本发明中，所述电池管理系统功能安全监控，并不是对充电过压、充电过流、充电过温、放电欠压、放电过流、放电过温、通信故障监测和安全控制的限制，而是表示至少存在一种提及到的可实现的电池管理系统功能安全监控。进一步的，示例性的，所述的电池管理系统功能安全监控，还可以包括绝缘故障监测、接触器故障监测和气体监测。[0021]本发明中，所述电池管理系统功能安全目标包括，防止充电过流不安全管理导致的电池热失控，防止充电过压不安全管理导致的电池热失控，防止充电过温不安全管理导致的电池热失控，防止放电过流不安全管理导致的电池热失控，防止放电欠压不安全管理导致的电池热失控，防止放电过温不安全管理导致的电池热失控，防止通信故障不安全管理导致的电池热失控。[0022]本发明中，所述电池管理系统功能安全监控目标值，包括导致违反功能安全目标的边界值，仿真计算的电池管理系统功能安全行为边界值，试验得到的电池管理系统功能安全行为边界值。[0023]本发明中，所述获取实际运行场景的电池管理系统状态，包括冗余和校验反馈的电压、电流和温度信息，监测基本功能的时序错乱或危险的输出，自检，周期测试。本发明中，所述获取实际运行场景的电池管理系统状态，并不是对冗余和校验反馈的电压、电流和温度信息，监测功能的时序错乱或危险的输出，自检，周期测试的限制，而是表示至少存在一种提及到的可实现的获取实际运行场景的电池管理系统状态的方法。进一步的，所述的获取实际运行场景的电池管理系统状态，还可以包括基本功能与安全功能模块分离的硬件部件，基本功能与安全功能模块分离的多核微处理器，对基本功能监控，组成双核冗余监控。示例性的，将基本功能控制置于一个核，将基本功能监控和诊断相关的代码放置在一个核作为安全核，安全核与外置监控器对微处理器本身及程序流监控。[0024]本发明中，判断电池管理系统功能异常是否达到安全监控目标值，通过电池管理

5

CN 111516551 A

说　明　书

3/11页

系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为是否异常或危险。

[0025]本发明中，所述判断电池管理系统功能异常是否达到安全监控目标值，并不是对电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态比较来判断系统行为是否异常或危险的限制，而是表示至少存在一种提及到的可实现的判断电池管理系统功能异常是否达到安全监控目标值的方法。[0026]本发明中，所述电池管理系统功能安全控制，对电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为异常，评估故障的等级并依据等级触发对应的安全措施，包括电池管理系统准确监控和执行安全措施；电池管理系统准确监测故障状态，向整车控制器发送执行安全措施请求，等待和执行整车控制器安全措施；电池管理系统准确监测故障状态，向整车控制器发送执行安全措施请求，整车控制器发送执行安全措施指令时间过长或不发指令，电池管理系统自行执行安全措施。[0027]本发明中，所述电池管理系统功能安全控制，并不是对电池管理系统准确监控和执行安全措施的限制，而是表示至少存在一种提及到的可实现的电池管理系统功能安全控制措施的方法。

[0028]一种电池管理系统功能安全监控装置，该装置包括，传感器模块、监控模块和执行器模块：

[0029]其中，传感器模块，用于获取实际运行场景的电池管理系统状态，包括，包括冗余和校验反馈的电压、电流和温度信息，监测基本功能的时序错乱或危险的输出，自检，周期测试；

[0030]其中，监控模块，包括功能监控模块和微处理器监控模块，用于判断电池管理系统功能异常是否达到安全监控目标值，通过电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态比较来判断系统行为是否异常或危险；[0031]其中，执行模块，用于电池管理系统功能安全控制，根据电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为异常，评估故障的等级并依据等级触发对应的安全措施。[0032]本发明中，所述的电池管理系统，并不是对电池管理系统架构的限制，而是表示至少存在一种提及到的可实现的电池管理系统架构。进一步的，所述的电池管理系统架构，还可以包括电池管理系统与整车控制器集成的域控制器架构，还可以包括所有控制器集成在一起的中央控制器架构。[0033]一种车辆，其特征在于，包括：[0034]电池系统，用于对所述车辆供电；[0035]所述的电池系统，包含动力电池，电池管理系统，电池管理系统功能安全监控装置。

[0036]一个或多个控制器；[0037]存储装置，用于存储一个或多个程序，

[0038]当所述一个或多个程序被所述一个或多个控制器执行，使得所述一个或多个控制器实现如本发明所述的一种电池管理系统功能安全监控方法。[0039]本发明有益效果：本发明公开了一种电池管理系统功能安全监控方法，用于电池

6

CN 111516551 A

说　明　书

4/11页

管理系统功能安全监控方法逻辑实现和集成的装置，以及包含所述电池安全监控系统的车辆。在保证充电、放电和通信等基本功能实现基础上，结合电池的电化学特征，设定电池管理系统功能安全监控目标值，获取实际运行场景的电池管理系统状态，通过故障诊断辨识影响电池管理系统正常工作的失效和危险，判断电池管理系统功能异常是否达到安全监控目标值，电池管理系统功能安全控制。解决了过压、过流和过压等不安全管理问题，降低危害发生概率，提高车辆安全性。附图说明

[0040]图1是本发明实施例一中的一种电池管理系统功能安全监控方法的流程示意图；[0041]图2是本发明实施例二中的一种电池管理系统功能安全监控装置的结构图。具体实施方式

[0042]下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。[0043]实施例一

[0044]图1为本发明实施例提供的一种电池管理系统功能安全监控方法的流程图，所述的电池管理系统功能安全监控方法，包括如下步骤：[0045]步骤10、设定电池管理系统功能安全监控目标值。[0046]步骤11、获取实际运行场景的电池管理系统状态。[0047]步骤12、根据电池管理系统功能的安全监控目标值和电池管理系统状态来判断电池管理系统功能异常是否达到安全监控目标值；[0048]步骤13、电池管理系统功能安全控制。[0049]本发明实施例中，所述的电池管理系统功能，包括充电功能、放电功能和通信功能。所述的电池管理系统功能，并不是对电池管理系统充电功能、放电功能和通信功能的限制，而是表示至少存在一种提及到的可实现的电池管理系统基本功能。示例性的，所述的电池管系统功能可以理解为满足车辆需求的放电功能，电池补充能量的充电功能，为完成充电功能和放电功能的通信功能。进一步的，示例性的，所述的充电功能包括车辆、充电桩和电池之间的通信，电池荷电状态估算、能量控制和上下电时序控制。[0050]本发明实施例中，所述的电池管理系统功能安全监控，包括监控电池管理系统的充电过压不安全管理、充电过流不安全管理，充电过温不安全管理，放电欠压不安全管理，放电过流不安全管理，放电过温不安全管理和通信故障不安全管理。[0051]本发明实施例中，所述的充电过压不安全管理，包括电池管理系统未提供充电过压安全所需的控制，提供了导致充电过压安全风险的控制，提供的充电过压潜在安全控制过早、过晚或无序，控制充电过压结束过早或控制持续时间过长。[0052]本发明实施例中，所述的充电过压不安全管理，并不是对电池管理系统未提供充电过压安全所需的控制，提供了导致充电过压安全风险的控制，提供的充电过压潜在安全控制过早、过晚或无序，控制充电过压结束过早或控制持续时间过长的限制，而是表示至少存在一种提及到的电池管理系统的充电过压不安全管理。进一步的，示例性的，所述的充电

7

CN 111516551 A

说　明　书

5/11页

过压不安全管理，包括整车控制器、充电桩给出的充电指令过程输入遗漏或错误，电流传感器、电压采集电路、微处理器和执行器组件失效，未识别出信号干扰，超出范围的信号干扰，导致电池管理系统错误的输出；电压采集的电压采集电路、电流传感器提供的电压和电流信息错误，电压采集的电压采集电路、电流传感器未提供电压过压和电流信息，电压采集电路、电流传感器采集的电压和电流值错误，电压采集电压采集电路、电流传感器提供的过压和电流信息反馈延迟；电池管理系统输入的电池充电信息错误或缺失，电压过压信息未能及时反馈，电压过压反馈信息遗漏，电池管理系统不恰当的功能控制算法，进一步，示例性的，过压故障诊断分级不恰当，过压故障诊断覆盖不足；接触器未接收充电过压控制动作指令，接触器执行充电过压控制动作延迟，接触器未能执行充电过压控制动作，电池管理系统未能监测出接触器实际状态，进一步的，示例性的，接触器粘连，接触未能执行电池管理系统的充电过压所需的安全控制，断开接触器。[0053]本发明实施例中，所述的充电过流不安全管理，包括电池管理系统未提供充电过流安全所需的控制，提供了导致充电过流安全风险的控制，提供的充电过流潜在安全控制过早、过晚或无序，控制充电过流结束过早或控制持续时间过长。[0054]本发明实施例中，所述的充电过流不安全管理，并不是对电池管理系统未提供充电过流安全所需的控制，提供了导致充电过流安全风险的控制，提供的充电过流潜在安全控制过早、过晚或无序，控制充电过流结束过早或控制持续时间过长的限制，而是表示至少存在一种提及到的电池管理系统的充电过流不安全管理。进一步的，示例性的，所述的充电过流不安全管理，包括整车控制器、充电桩给出的充电指令过程输入遗漏或错误，电流传感器、微处理器和执行器组件失效，未识别出信号干扰，超出范围的信号干扰，导致电池管理系统错误的输出；电流传感器提供的电流信息错误，电流传感器未提供过流信息，电流传感器采集的电流值错误，电流传感器提供的过流信息反馈延迟；电池管理系统输入的电池充电信息错误或缺失，过流信息未能及时反馈，过流反馈信息遗漏；电池管理系统不恰当的功能控制算法，进一步，示例性的，过流故障诊断分级不恰当，过流故障诊断覆盖不足；接触器未接收充电过流控制动作指令，接触器执行充电过流控制动作延迟，接触器未能执行充电过流控制动作，电池管理系统未能监测出接触器实际状态。[0055]本发明实施例中，所述的充电过温不安全管理，包括电池管理系统未提供充电过温安全所需的控制，提供了导致充电过温安全风险的控制，提供的充电过温潜在安全控制过早、过晚或无序，控制充电过温结束过早或控制持续时间过长。[0056]本发明实施例中，所述的充电过温不安全管理，并不是对电池管理系统未提供充电过温安全所需的控制，提供了导致充电过温安全风险的控制，提供的充电过温潜在安全控制过早、过晚或无序，控制充电过温结束过早或控制持续时间过长的限制，而是表示至少存在一种提及到的电池管理系统的充电过温不安全管理。进一步的，示例性的，所述的充电过温不安全管理，包括传感器、微处理器和执行器组件失效；温度传感器提供的温度信息错误，温度传感器未提供充电过温信息，温度传感器采集的温度值错误，温度传感器提供的充电过温信息反馈延迟；电池管理系统输入的温度信息错误或缺失，充电过温信息未能及时反馈，充电过温反馈信息遗漏，电池管理系统不恰当的功能控制算法，进一步，示例性的，充电过温故障诊断分级不恰当，充电过温故障诊断覆盖不足；接触器未接收充电过温控制动作指令，接触器执行充电过压控制动作延迟，接触器未能执行充电过压控制动作，电池管理

8

CN 111516551 A

说　明　书

6/11页

系统未能监测出接触器实际状态；进一步，示例性的，充电过温导致通信传输中断。[0057]本发明实施例中，所述的放电欠压不安全管理，包括电池管理系统未提供放电欠压安全所需的控制，提供了导致放电欠压安全风险的控制，提供的放电欠压潜在安全控制过早、过晚或无序，控制放电欠压结束过早或控制持续时间过长。[0058]本发明实施例中，所述的放电欠压不安全管理，并不是对电池管理系统未提供放电欠压安全所需的控制，提供了导致放电欠压安全风险的控制，提供的放电欠压潜在安全控制过早、过晚或无序，控制放电欠压结束过早或控制持续时间过长的限制，而是表示至少存在一种提及到的电池管理系统的放电欠压不安全管理。进一步的，示例性的，所述的放电欠压不安全管理，包括整车控制器、充电桩给出的充电指令过程输入遗漏或错误，电流传感器、电压采集电路、微处理器和执行器组件失效，未识别出信号干扰，超出范围的信号干扰，导致电池管理系统错误的输出；电压采集的电压采集电路、电流传感器提供的电压和电流信息错误，电压采集的电压采集电路、电流传感器未提供放电欠压和电流信息，电压采集电路、电流传感器采集的电压和电流值错误，电压采集电压采集电路、电流传感器提供的过压和电流信息反馈延迟；电池管理系统输入的电池充电信息错误或缺失，放电欠压信息未能及时反馈，放电欠压反馈信息遗漏，电池管理系统不恰当的功能控制算法，进一步，示例性的，放电欠压故障诊断分级不恰当，放电欠压故障诊断覆盖不足；接触器未接收放电欠压控制动作指令，接触器执行放电欠压控制动作延迟，接触器未能执行放电欠压控制动作，电池管理系统未能监测出接触器实际状态，进一步的，示例性的，接触器粘连，接触未能执行电池管理系统的放电欠压所需的安全控制，断开接触器。[0059]本发明实施例中，所述的放电过流不安全管理，包括电池管理系统未提供放电过流安全所需的控制，提供了导致放电过流安全风险的控制，提供的放电过流潜在安全控制过早、过晚或无序，控制放电过流结束过早或控制持续时间过长。[0060]本发明实施例中，所述的放电过流不安全管理，并不是对电池管理系统未提供放电过流安全所需的控制，提供了导致放电过流安全风险的控制，提供的放电过流潜在安全控制过早、过晚或无序，控制放电过流结束过早或控制持续时间过长。的限制，而是表示至少存在一种提及到的电池管理系统的放电过流不安全管理。进一步的，示例性的，所述的放电过流不安全管理，包括电流传感器、电压采集电路、微处理器和执行器组件失效，未识别出信号干扰，超出范围的信号干扰，导致电池管理系统错误的输出；电流传感器提供的电流信息错误，电流传感器未提供放电过流信息，电流传感器采集的电流值错误，电流传感器提供的放电过流信息反馈延迟；电池管理系统输入的放电过流信息错误或缺失，放电过流信息未能及时反馈，放电过流反馈信息遗漏，电池管理系统不恰当的功能控制算法，进一步，示例性的，放电过流故障诊断分级不恰当，放电过流故障诊断覆盖不足；接触器未接收充电过压控制动作指令，接触器执行放电过流控制动作延迟，接触器未能执行放电过流控制动作，电池管理系统未能监测出接触器实际状态，进一步的，示例性的，接触器粘连，接触未能执行电池管理系统的放电过流所需的安全控制，断开接触器。[0061]本发明实施例中，所述的放电过温不安全管理，包括电池管理系统未提供放电过温安全所需的控制，提供了导致放电过温安全风险的控制，提供的放电过温潜在安全控制过早、过晚或无序，控制放电过温结束过早或控制持续时间过长。[0062]本发明实施例中，所述的放电过温不安全管理，并不是对电池管理系统未提供放

9

CN 111516551 A

说　明　书

7/11页

电过温安全所需的控制，提供了导致放电过温安全风险的控制，提供的放电过温潜在安全控制过早、过晚或无序，控制放电过温结束过早或控制持续时间过长的限制，而是表示至少存在一种提及到的电池管理系统的放电过温不安全管理。进一步的，示例性的，所述的放电过温不安全管理，包括温度传感器、电压采集电路、微处理器和执行器组件失效，未识别出信号干扰，超出范围的信号干扰，导致电池管理系统错误的输出；温度传感器提供的温度信息错误，温度传感器未提供放电过温信息，温度传感器采集的温度值错误，温度传感器提供的温度信息反馈延迟；电池管理系统输入的放电过温信息错误或缺失，放电过温信息未能及时反馈，放电过温反馈信息遗漏，电池管理系统不恰当的功能控制算法，进一步，示例性的，放电过温故障诊断分级不恰当，放电过温故障诊断覆盖不足；接触器未接收过压控制动作指令，接触器执行放电过温控制动作延迟，接触器未能执行放电过温控制动作，电池管理系统未能监测出接触器实际状态，进一步的，示例性的，接触器粘连，接触未能执行电池管理系统的放电过温所需的安全控制，断开接触器。[0063]本发明实施例中，所述的通信故障不安全管理，包括电池管理系统未提供通信故障安全所需的控制，提供了导致通信故障安全风险的控制，提供的通信故障潜在安全控制过早、过晚或无序，控制通信故障结束过早或控制持续时间过长。[0064]本发明实施例中，所述的通信故障不安全管理，并不是对电池管理系统未提供通信故障安全所需的控制，提供了导致通信故障安全风险的控制，提供的通信故障潜在安全控制过早、过晚或无序，控制通信故障结束过早或控制持续时间过长的限制，而是表示至少存在一种提及到的电池管理系统的通信故障不安全管理。进一步的，示例性的，所述的通信故障不安全管理，包括整车控制器、充电桩给出的充电指令过程输入遗漏或错误，电流传感器、电压采集电路、微处理器和执行器组件失效，未识别出信号干扰，超出范围的信号干扰，导致电池管理系统错误的输出；电压采集的电压采集电路、电流传感器、温度传感器提供的电压、电流和温度信息错误，电压采集的电压采集电路、电流传感器和温度传感器未提供电压、电流和温度信息，电压采集电路、电流传感器和温度传感器采集的电压值、电流值和温度值错误，电压采集电压采集电路、电流传感器和温度传感器提供的电压、电流和温度信息反馈延迟；电池管理系统输入的电压、电流和温度信息错误或缺失，电压、电流和温度反馈信息遗漏，电池管理系统不恰当的功能控制算法，进一步，示例性的，通信故障诊断分级不恰当，通信故障诊断覆盖不足。[0065]本发明实施例中，所述的电池管理系统功能安全监控，并不是对充电过压、充电过流、充电过温、放电欠压、放电过流、放电过温、通信故障监测和安全控制的限制，而是表示至少存在一种提及到的可实现的电池管理系统功能安全监控。进一步的，示例性的，所述的电池管理系统功能安全监控，还可以包括绝缘故障监测、接触器故障监测、气体监测和云端传输故障监测。

[0066]本发明实施例中，所述的电池管理系统功能安全目标，包括防止充电过流不安全管理导致的电池热失控，防止充电过压不安全管理导致的电池热失控，防止充电过温不安全管理导致的电池热失控，防止放电过流不安全管理导致的电池热失控，防止放电欠压不安全管理导致的电池热失控，防止放电过温不安全管理导致的电池热失控，防止通信故障不安全管理导致的电池热失控。[0067]本发明实施例中，所述的电池管理系统功能安全目标，并不是对防止充电过流不

10

CN 111516551 A

说　明　书

8/11页

安全管理导致的电池热失控，防止充电过压不安全管理导致的电池热失控，防止充电过温不安全管理导致的电池热失控，防止放电过流不安全管理导致的电池热失控，防止放电欠压不安全管理导致的电池热失控，防止放电过温不安全管理导致的电池热失控，防止通信故障不安全管理导致的电池热失控的限制，而是表示至少存在一种提及到的可实现的电池管理系统功能安全目标。进一步的，所述的电池管理系统功能安全目标，还可以包括防止导致车辆非预期减速的电池供电中断的不安全管理，还可以包括防止绝缘故障的不安全管理。

[0068]本发明实施例中，所述的电池管理系统功能安全监控目标值，包括导致违反功能安全目标的边界值，仿真计算的电池管理系统功能安全行为边界值，试验得到的电池管理系统功能安全行为边界值。[0069]本发明实施例中，所述的电池管理系统功能安全监控目标值，并不是对导致违反功能安全目标的边界值，仿真计算的电池管理系统功能安全行为边界值，试验得到的电池管理系统功能安全行为边界值的限制，而是表示至少存在一种提及到的可实现的电池管理系统功能安全目标。进一步的，示例性的，所述的电池管理系统功能安全目标，还可以包括电池大数据分析的电池管理系统功能安全行为边界值，还可以包括电池全寿命周期健康和寿命预测的电池管理系统功能安全行为边界值。[0070]本发明实施例中，所述的获取实际运行场景的电池管理系统状态，包括冗余和校验反馈的电压、电流和温度信息，监测基本功能的时序错乱或危险的输出，自检和周期测试。

[0071]本发明实施例中，所述的获取实际运行场景的电池管理系统状态，并不是对冗余和校验反馈的电压、电流和温度信息，监测功能的时序错乱或危险的输出，自检，周期测试的限制，而是表示至少存在一种提及到的可实现的获取实际运行场景的电池管理系统状态的方法。进一步的，所述的获取实际运行场景的电池管理系统状态，还可以包括基本功能与安全功能模块分离的硬件部件，基本功能与安全功能模块分离的多核微处理器，对基本功能监控，组成双核冗余监控。示例性的，将基本功能控制置于一个核，将基本功能监控和诊断相关的代码放置在作为安全监控的一个核里面，安全监控核与外置监控器对微处理器本身及程序流监控。

[0072]本发明实施例中，判断电池管理系统功能异常是否达到安全监控目标值，包括通过电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为是否异常或危险。

[0073]本发明实施例中，所述的判断电池管理系统功能异常是否达到安全监控目标值，并不是对电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态比较判断系统行为是否异常或危险的限制，而是表示至少存在一种提及到的可实现的判断电池管理系统功能异常是否达到安全监控目标值的方法。所述的判断电池管理系统功能异常是否达到安全监控目标值，还可以包括电池管理系统功能故障引起的错误行为，导致的系统失效的发生。

[0074]本发明实施例中，所述的电池管理系统功能安全控制，对电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为异常，评估故障的等级并依据等级触发对应的安全措施，包括电池管理系统准确监控和执行安全措施；电池管理系统准

11

CN 111516551 A

说　明　书

9/11页

确监测故障状态，向整车控制器发送执行安全措施请求，等待和执行整车控制器安全措施；电池管理系统准确监测故障状态，向整车控制器发送执行安全措施请求，整车控制器发送执行安全措施指令时间过长或不发指令，电池管理系统自行执行安全措施。所述的安全措施，包括但不限于降级使用、预警和断开动力电池回路。[0075]本发明实施例中，所述的电池管理系统功能安全控制，并不是对电池管理系统状态准确监控和执行安全措施的限制，而是表示至少存在一种提及到的可实现的电池管理系统功能安全控制措施的方法。所述的电池管理系统功能安全控制，可以包括电压、温度和电流的功能监控。[0076]实施例二

[0077]图2为本发明实施例的一种电池管理系统功能安全监控装置的结构图，进一步，示例性的，一种电池管理系统，包括传感器模块(100)、基本功能模块(200)、功能监控模块(300)、执行器模块(400)，微处理器模块(500)和微处理器监控器(600)。功能监控模块(300)可以为微处理器模块(500)的一个内核，进一步，示例性的，功能监控模块(300)可以为功能监控模块(301)。进一步，示例性的，微处理器监控器(600)，可以为微处理器监控模块(302)。

[0078]本发明实施例中，进一步的，示例性的，所述的针对充电过压不安全管理的功能监控装置，包括传感器模块(100)、功能监控模块(300)和执行器模块(400)。[0079]本发明实施例中，所述的功能监控装置，并不是对传感器模块(100)、功能监控模块(300)、执行器模块(400)和微处理器监控器(600)的限制，而是表示至少存在一种提及到的可实现的电池管理系统功能安全控制措施的实现的电池管理系统功能安全监控装置。所述的电池管理系统功能安全监控装置，还包括基本功能模块(200)，包括模拟前段微处理器(201)、逻辑运算模块(202)、输出模块(203)、诊断模块(204)和比较模块(205)。[0080]本发明实施例中，所述的实现安全措施行为的执行器模块(400)，可以为高压接触器，还可以为车辆仪表安全警示。[0081]本发明实施例中，传感器模块(100)，单体电压采集电路(101)、电流传感器(102)、温度传感器(103)和总电压采集电路(104)，用于获取实际运行场景的电池管理系统状态，包括冗余和校验反馈的电压、电流和温度信息，监测基本功能的时序错乱或危险的输出，自检，周期测试。进一步，示例性的，单体电压采集电路(101)监测的单体电压、总电压采集电路(104)监测的总电压，经过模拟前段微处理器(201)、逻辑运算模块(202)、输出模块(203)和诊断模块(204)输出的充电过压，与功能监控模块(301)监测的充电过压比较，确保对过充电故障的准确识别和可靠响应。单体电压监测与总电压监测互为冗余和/或校验。[0082]本发明实施例中，监控模块，包括功能监控模块(301)和微处理器监控模块(302)，用于判断电池管理系统功能异常是否达到安全监控目标值，通过电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态比较来判断系统行为是否异常或危险。[0083]进一步，示例性的，电流传感器(102)监测的所述第一电流值与安全目标第一预设阈值范围内时，将所述第一电流值作为所述回路电流值；否则将所述第二电流值作为所述回路电流值。当所述回路电流值与电流需求的差值超过第二预设阈值范围，确定电流比对结果为电池异常。其中，第一电流传感器和第二电流传感器不同，第一电流传感器可以是IVT电流传感器等电流传感器，第二电流传感器可以是霍尔传感器等电流传感器，在选择电

12

CN 111516551 A

说　明　书

10/11页

流传感器时，优先选择第一电流传感器的精度高于第二电流传感器。电流需求具体可以理解为车速不同时，电池需要向电机提供的电流。具体的，传感器将采集到的第一电流值和第二电流值通过无线传输的方式或者电信号将电流值发送至处理器(可以是整车控制器，本发明实施例不做限定)，通过计算差值确定回路电流值。计算回路电流值与电流需求的差值，判断差值是否在第二预设阈值范围内，当差值超过第二预设阈值范围时，此时的回路电流值为异常值，确定电流比对结果为电池异常。[0084]本发明实施例中，执行模块(400)，用于电池管理系统功能安全控制，对电池管理系统功能安全监控目标值和实际反馈的电池管理系统状态来判断系统行为异常，评估故障的等级并依据等级触发对应的安全措施。通过功能安全控制，单体电压和总电压信号通过隔离路径实现独立关断，降低电池管理系统发生危害的概率。[0085]进一步，示例性的，所述电池状态为放电状态，温度传感器(103)监测的放电过温各单体温度的最高温度值，当所述最高温度值与安全目标超过所述设定温度阈值范围，确定所述温度比对结果为电池异常。[0086]其中，电池状态具体可以理解为电池当前处于充电状态还是放电状态，温度需求具体可以理解为根据实际情况和需求预先设定的温度值，用来判断单体温度是否正常；温度比对结果具体可以理解为比对各单体温度和温度需求所得到的结果。[0087]具体的，通过设定好温度估算模型，输入采集到的电流、电压等数据至温度估算模型，模型通过输入数据计算得到温度需求。各单体温度不完全相同，当电池状态为充电状态时，选择各单体温度中的最低温度值，当最低温度值满足温度需求时，所有单体温度皆满足温度需求；通过选择各单体温度中的最低温度值判断各单体是否满足温度需求，计算最低温度值与温度需求的差值，判断差值是否在温度预设阈值范围内，当差值超过温度阈值范围时，此时的最低温度值为异常值，确定温度比对结果为电池异常。当电池状态为放电状态时，选择各单体温度中的最高温度值，当最高温度值满足温度需求时，所有单体温度皆满足温度需求；通过选择各单体温度中的最高温度值判断各单体是否满足温度需求。计算最高温度值与温度需求的差值，判断差值是否在温度预设阈值范围内，当差值超过温度阈值范围时，此时的最高温度值为异常值，确定温度比对结果为电池异常。[0088]本发明中，所述的电池管理系统，并不是对电池管理系统结构的限制，而是表示至少存在一种提及到的可实现电池管理系统功能安全的架构。进一步的，所述的架构，还可以包括电池管理系统与整车控制器集成的域控制器架构，还可以包括所有控制器集成在一起的中央控制器架构。[0089]本发明中，所述的一种车辆，包括：[0090]电池系统，用于对所述车辆供电；[0091]所述的电池系统，包含动力电池，电池管理系统，电池管理系统功能安全监控装置。

[0092]一个或多个控制器；[0093]存储装置，用于存储一个或多个程序，

[0094]当所述一个或多个程序被所述一个或多个控制器执行，使得所述一个或多个控制器实现如本发明所述的一种电池管理系统功能安全监控方法。[0095]一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理

13

CN 111516551 A

说　明　书

11/11页

器执行时用于执行一种电池管理系统功能安全监控方法，该方法包括：[0096]获取电池供电回路中的回路电流值、构成电池的各单体的单体温度；[0097]基于所述回路电流值、各单体温度结合设定的温度电阻表确定所述电池的回路电压值；[0098]确定所述回路电流值、各单体温度和各单体电压值与相应监测条件的比对结果，根据各所述比对结果对所述电池进行控制。

[0099]当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的电池状态监控方法中的相关操作。

[0100]通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、闪存(FLASH)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。[0101]值得注意的是，上述电池管理系统功能安全监控装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。[0102]注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

14

CN 111516551 A

说　明　书　附　图

1/1页

图1

图2

15