2020年12月23日，中国汽研成功举办《2020第三届新能源汽车测试评价技术国际论坛》。中国汽研将持续为大家推送精彩演讲实录，本文为长安新能源整车开发部副总经理李宗华带来的《长安新能源汽车安全体系开发》。

新能源汽车趋势及安全挑战

《新能源汽车产业发展规划（2021-2035）》提出：到2025年，新能源汽车新车销量将会达到汽车新车总销量的20%左右。能源安全方面，中国石油对外依存度上升至70%，汽车的石油消耗占比1/3以上；环境保护方面，中国对外承诺2030年碳排放比2005年下降60%；汽车产业振兴方面，“发展新能源汽车是我国从汽车大国迈向汽车强国的必由之路”；经济发展方面，新能源汽车既是新基建，又是新动能。从目前来看，双积分政策倒逼、消费支持、车牌支持、路权支持、公务车辆支持、运营指标支持等利好条件加持，坚定不移的发展新能源汽车成为共识。

新能源汽车市场发展迅猛的同时，其特有的安全问题日益突出，举例说明，案例一：国外某知名品牌纯电动汽车，车辆高速行驶过程中，动力系统突然失去控制，与前方车辆发生碰撞事故。原因分析为车辆加速踏板信号失效，持续输出开度信号，导致松开油门后车辆仍有动力输出；案例二：国内某品牌纯电动汽车，由于换挡逻辑问题，车辆存在非预期倒挡行驶的安全风险，对相关车辆进行大规模召回。原因分析为对电驱动系统失效模式分析不完整，导致在某些特定场景下，车辆可能非预期的行驶，造成人员伤害；案例三：国内某品牌纯电动汽车，充电过程中动力电池突然自燃，造成车辆及周边充电设施起火。原因分析为电池管理系统未充分考虑过充、过流对电池安全的影响，对电池失效监控不足，从而导致动力电池热失控。

目前，新能源和智能化的不断融合成为趋势，包括互联网造车，无论是蔚来、小鹏、理想，还是传统的汽车企业都在大力发展智能化。可以看出，基本硬件配置可以选配（动力系统和内饰除外），“软件定义汽车”，以特斯拉为代表，动力、自动驾驶、各类软件都可以升级，那么带来的最大突出问题是对于不断云端连线的新能源汽车，怎样去保证个人信息、车辆不会被黑客及其他不良因素所利用。因此，无论是传统的动力、电池安全，还是新型的智能化与电动汽车融合之后的信息安全而言，都为新能源汽车安全带来挑战。

长安新能源安全体系现状

长安从2001年开始研发新能源汽车，到2011年纯电动汽车（E30）的“带电第一撞”，2017年发布“香格里拉”计划，2018年成立新能源公司，近20年的产业积淀，长安新能源现已拥有五大产品序列，覆盖EV及PHEV产品，累计为用户提供了20余款新能源汽车产品，累计突破并掌握关键核心技术364项，包括整车集成、“大三电”、CAE分析、试验验证等，在安全方面，是国内第一个通过ISO 26262（汽车功能安全管理体系）认证的企业。

将安全体系分为五大部分：高压安全开发体系，建立高压连接、放电、绝缘全环节监控高压安全防护体系；诊断安全开发体系，建立基于FMEM/FTA分析的诊断安全开发体系；功能安全开发体系，建立基于ISO 26262的全生命周期功能安全开发体系；信息安全开发体系，建立云端、车端接口、车内网关、车内控制器4层安全防护体系；电池安全开发体系，建立7要素、6维度安全设计体系，从电池开发、制造、营销三大阶段覆盖电池全生命周期使用安全。

安全体系开发介绍

高压安全开发

高压系统介绍

整车高压系统主要涉及6个子系统：电池系统、电驱系统、热管理系统、电源补给、直流充电、线束系统及13个零部件：电池模组、高压继电器、预充电阻、电池传感器、BCU控制器、IGBT、高压电容、高压插件、高压线束、DCDC、ACP、PTC、OBC。目前高压平台主要为300-450V，很多企业也在做800V-1000V的高压平台，将会带来更多高压安全风险。

高压安全设计

高压安全主要涉及四个方面：高压连接完整性设计，包括高压接插件连接完整性及高压部件的外壳覆盖完整性，要形成完整的高压回路，不会因为任何外部因素而导致高压出现泄漏，关键技术点为高压互锁；高压绝缘状态，包括高压部件和高压线束的绝缘状态，整个电气回路，如何保证高压不会泄漏，不会对乘员造成伤害，绝缘检测部分至关重要，行业内主要用基于平衡电枪法来检测绝缘电阻，也尝试用脉冲注入法，目前来讲，脉冲注入的检测方法使得绝缘电阻的精度更高、更精准。另外是冷却回路的完整性，现在越来越多的电动车采用液冷方式，一旦冷却回路里面的冷却液泄漏到电池包里面，也会造成高压绝缘的状态发生；主被动放电设计，具体的说就是电机控制器中由于有薄膜电容（X电容、Y电容）等可储能装置，BMS控制下电以后，内部仍存在高压，为防止人员伤害，需将电机控制器中的电压快速降低到A级电压以下（即60Vdc以下）；其他如电平衡、漏电流等的设计。

诊断安全开发

诊断安全开发方法

整车诊断安全开发主要包含DFMEA分析、诊断安全方案设计和诊断服务设计三个阶段。通过对整车场景、特性以及历史同类质量问题的分析，得到系统层面DFMEA，另外对零部件本身，包括研发、生产、元器件的老化以及全过程问题进行分析，得到子系统层面DFMEA，通过系统顶层架构，划分故障等级，针对等级可能产生的条件、持续时间以及需要采取的处理措施，确定从系统层面到零部件层面的诊断方案，最后设计诊断协议，开发诊断仪。

远程诊断开发

通过车载T-BOX与车联网平台联合，车辆发生故障或预设条件满足后，通过4G网络自动上传故障前后一段时间的整车数据，大数据平台快速定位问题原因并给出维修建议。例如，目前长安在诊断安全方面最主要的工作是通过远程诊断，实时分析可能失效的电池模组单体，针对这些模组单体进行单独的千人千面处理，严重时将邀请返厂维修。通过这些方式可以将被动情况变为主动维修，更好的提升用户体验，也可将导致重大安全危害事故的可能性降到最低。

功能安全开发

功能安全开发阶段主要内容

目前国内很多企业都在做功能安全的开发，自动驾驶方面是主流，按照ISO 26262将功能安全开发分为几个阶段：相关项定义（Item Definition），定义功能、零部件状态、零部件相关的设计内容；危害分析风险评估，是关键和重点，准确分析场景，场景能够涉及到的危害、潜在的失效频率等；功能安全要求，通过危害分析确定了功能安全等级，将功能安全等级分解到各个零部件，得到TSC（技术安全要求），进一步分解到硬件、软件，最终转换成硬件/软件设计方案，该套系统完整之后就可以进行相应的测试。

危害分析与风险评估

将可预见的失效模式可能造成的危害识别出来，并对其进行分类，从而针对不同的危害制定具体的安全目标。危害分析与风险评估包括4个基本步骤：环境分析与危害识别，基于场景化分析，包含多种维度，如环境，白天或晚上、下雪或下雨或晴天、平路或上坡或下坡或弯道、高中低速、有行人通过或有后车超车......针对这些场景来识别潜在的行为；危害分类，根据危害确定危害事件的严重度、频度和可控度；ASIL等级确定，由严重度、频度、可控度共同决定；安全目标，针对不同的危害制定安全目标，D级为最高等级，相应的功能安全目标对于其硬件软件的设计要求相对不同，比如电池，电机控制是要做到ASLL-C还是ASLL-D，都取决于危害分析和对整个功能的分解。

信息安全开发

信息安全4层防御体系

随着信息化发展，汽车的信息安全成为新的安全底线，各大主机厂都在加快信息安全能力建设，信息安全分为4个维度，一是云端/移动终端防护，一旦黑客嵌入TSP、软件或OTA平台下发一些恶意指令，将会导致车辆失控，所以在云端或手机APP终端进行较好地防控是必需的，也是信息安全的第一道关卡；二是车辆对外接口端防护，随着信息化程度越来越高，蓝牙钥匙、USB、蓝牙接入、WIFI接入等，黑客将会通过接口进行攻击；三是网关隔离防护，按照新的电子电气架构，外部信号要么通过域控制器要么通过网关进行数据隔离，目前主要是通过网关隔离，在车内直接去篡改网络信号或通过OBD口对外部攻击进行不断的伪造，攻陷车辆网络，将会导致内部车辆瘫痪；四是内部控制器的防护，控制器本身也具有安全防护机制，若是恶意篡改或刷写程序，必须通过安全认证，另外传输的信号也会有各种层面的校验，保证信号传输的可靠性。随着互联网不断地进入汽车，攻击的点、攻击的路口也会越来越多，信息安全开发还需要不断地深入。

信息安全实施路径

信息安全实施路径分为三个阶段，一是接口安全+业务安全，基于EE架构，保障车辆对外接口的安全，防御远程无线攻击、近场攻击；基于OTA、蓝牙钥匙、4G/5G的业务场景，在参与节点部署安全策略，这是最基本的。二是自动驾驶安全+车内通信安全，基于L3+自动驾驶，对自动驾驶、整车控制、底盘系统部署安全策略；基于以太网、CAN/CANFD等车内通信，实施安全通信方案，保障关键信号，隐私敏感信息的安全传输。三是主动入侵监测+大数据安全运维，在关键节点部署主动入侵检测，结合后台数据分析，监测入侵，主动进行漏洞修复，保证汽车生命周期内的安全；建立信息安全后台运维团队，实时监测跟踪所有车辆状态，定期进行漏洞分析，修复，处理突发的信息安全入侵事件。

电池安全开发

电池为什么过热

电池过热（热失控），是指电池在工作时，因机械滥用、电滥用、热滥用等因素导致电池内压和温度急剧上升，如果热量不能够及时散出，就会引发电池热失控（起火或爆炸），电池热失控因素有内因，也有外因。锂离子电池热失控过程分为3个阶段：一是电池内部热失控阶段，由于内部短路、外部加热，SEI膜分解，温度升高至150℃；二是电池鼓包阶段，正极材料分解，释放出大量热和气体，内部压力增大鼓包；三是电池热失控，爆炸失效阶段，电解液发生剧烈的氧化反应，燃烧并释放出大量的热，产生高温和大量气体，电池发生燃烧爆炸。

内因-不安全的“基因”:锂离子电池主要由正/负极活性材料、集流体、隔膜和电解液组成。电解液带有燃爆属性，电解液高温分解产生氧气，电池衰减形成穿透隔膜的枝晶，导致热失控。随着电池能量密度的提升，电池本身的安全性呈下降趋势，这也是目前在电池安全方面所面临的最大挑战，怎样在能量密度和安全之间找一个平衡点。

外因-机电热的“滥用”：电池使用温度、充电功率及机械防护的波动等，均会增加隔膜破损的几率，从而导致热失控。机械形变导致隔膜破损，过充、过放导致内部枝晶加速生长刺破隔膜，极端高温导致隔膜收缩，生产制程中杂质颗粒的引入导致隔膜刺穿。所以电池安全涉及的因素较多也较复杂，为行业内的难题。

电池安全开发体系

长安电池安全体系：深层次挖掘电池7要素、6维度安全设计，电池总成产品经过25项安全性测试，从电池开发、制造、营销三大阶段覆盖电池全生命周期使用安全。7要素是在传统的“人机料法环”上加了两项“质”和“术”，“质”即《售后质量管理程序》、《关于严格质量问题管理的要求》、《防召回/过热评审管理程序》、《应避免问题库及问题排查管理程序》。“术”即6大维度，充放电安全，设计合理的充放电策略；电气安全，包含绝缘，互锁，碰撞发生后，保障可靠的电气完整性，不会短路、漏电；控制安全，保证电池管理系统不失效，功能安全等级在任何情况下都能够有效监测电池状态；电化学安全，包含电芯，电性能的设计，熔断器的保护，选择电池耐温更高的电解液、隔膜，正负极材料可再优化，电芯做到更安全；热安全，热失控之后如何延缓热扩散，无论是从材料、扩散渠道还是本身的冷却方式方面；机械安全，碰撞、振动，挤压后，电池包、模组、电芯所承受的相应条件等。基于此，在6大维度上进行设计开发及测试验证体系工作，覆盖到从前期的技术设计验证拓展到制造及营销阶段，制造对于电池安全也是至关重要的，包括电池单体的制造、电池模组的集成、电池包的生产制造以及后期的传输运输，还有用户使用阶段是否滥用、定期维护，回收等。可以说电池越在使用生命后期安全风险就越高，只有把全生命周期的管理做到位，才能有效避免电池安全问题的发生。

安全测试验证

搭建电池安全性试验体系，包含试验验证体系和试验管理体系两部分。电池安全性试验验证体系：从零部件、系统、整车三个层级进行搭建，测试用例及试验项目；电池安全性试验管理体系：从试制、存储、转运、试验、解析、报废6个维度进行搭建相关管理程序文件。

返回第一电动网首页 >