打开APP

【专家视角】长安新能源汽车安全体系开发

2020年12月23日,中国汽研成功举办《2020第三届新能源汽车测试评价技术国际论坛》。中国汽研将持续为大家推送精彩演讲实录,本文为长安新能源整车开发部副总经理李宗华带来的《长安新能源汽车安全体系开发》。

新能源汽车趋势及安全挑战

《新能源汽车产业发展规划(2021-2035)》提出:到2025年,新能源汽车新车销量将会达到汽车新车总销量的20%左右。能源安全方面,中国石油对外依存度上升至70%,汽车的石油消耗占比1/3以上;环境保护方面,中国对外承诺2030年碳排放比2005年下降60%;汽车产业振兴方面,“发展新能源汽车是我国从汽车大国迈向汽车强国的必由之路”;经济发展方面,新能源汽车既是新基建,又是新动能。从目前来看,双积分政策倒逼、消费支持、车牌支持、路权支持、公务车辆支持、运营指标支持等利好条件加持,坚定不移的发展新能源汽车成为共识。

新能源汽车市场发展迅猛的同时,其特有的安全问题日益突出,举例说明,案例一:国外某知名品牌纯电动汽车,车辆高速行驶过程中,动力系统突然失去控制,与前方车辆发生碰撞事故。原因分析为车辆加速踏板信号失效,持续输出开度信号,导致松开油门后车辆仍有动力输出;案例二:国内某品牌纯电动汽车,由于换挡逻辑问题,车辆存在非预期倒挡行驶的安全风险,对相关车辆进行大规模召回。原因分析为对电驱动系统失效模式分析不完整,导致在某些特定场景下,车辆可能非预期的行驶,造成人员伤害;案例三:国内某品牌纯电动汽车,充电过程中动力电池突然自燃,造成车辆及周边充电设施起火。原因分析为电池管理系统未充分考虑过充、过流对电池安全的影响,对电池失效监控不足,从而导致动力电池热失控。

目前,新能源和智能化的不断融合成为趋势,包括互联网造车,无论是蔚来、小鹏、理想,还是传统的汽车企业都在大力发展智能化。可以看出,基本硬件配置可以选配(动力系统和内饰除外),“软件定义汽车”,以特斯拉为代表,动力、自动驾驶、各类软件都可以升级,那么带来的最大突出问题是对于不断云端连线的新能源汽车,怎样去保证个人信息、车辆不会被黑客及其他不良因素所利用。因此,无论是传统的动力、电池安全,还是新型的智能化与电动汽车融合之后的信息安全而言,都为新能源汽车安全带来挑战。


长安新能源安全体系现状

长安从2001年开始研发新能源汽车,到2011年纯电动汽车(E30)的“带电第一撞”,2017年发布“香格里拉”计划,2018年成立新能源公司,近20年的产业积淀,长安新能源现已拥有五大产品序列,覆盖EV及PHEV产品,累计为用户提供了20余款新能源汽车产品,累计突破并掌握关键核心技术364项,包括整车集成、“大三电”、CAE分析、试验验证等,在安全方面,是国内第一个通过ISO 26262(汽车功能安全管理体系)认证的企业。

将安全体系分为五大部分:高压安全开发体系,建立高压连接、放电、绝缘全环节监控高压安全防护体系;诊断安全开发体系,建立基于FMEM/FTA分析的诊断安全开发体系;功能安全开发体系,建立基于ISO 26262的全生命周期功能安全开发体系;信息安全开发体系,建立云端、车端接口、车内网关、车内控制器4层安全防护体系;电池安全开发体系,建立7要素、6维度安全设计体系,从电池开发、制造、营销三大阶段覆盖电池全生命周期使用安全。


安全体系开发介绍

高压安全开发

高压系统介绍

整车高压系统主要涉及6个子系统:电池系统、电驱系统、热管理系统、电源补给、直流充电、线束系统及13个零部件:电池模组、高压继电器、预充电阻、电池传感器、BCU控制器、IGBT、高压电容、高压插件、高压线束、DCDC、ACP、PTC、OBC。目前高压平台主要为300-450V,很多企业也在做800V-1000V的高压平台,将会带来更多高压安全风险。

高压安全设计

高压安全主要涉及四个方面:高压连接完整性设计,包括高压接插件连接完整性及高压部件的外壳覆盖完整性,要形成完整的高压回路,不会因为任何外部因素而导致高压出现泄漏,关键技术点为高压互锁;高压绝缘状态,包括高压部件和高压线束的绝缘状态,整个电气回路,如何保证高压不会泄漏,不会对乘员造成伤害,绝缘检测部分至关重要,行业内主要用基于平衡电枪法来检测绝缘电阻,也尝试用脉冲注入法,目前来讲,脉冲注入的检测方法使得绝缘电阻的精度更高、更精准。另外是冷却回路的完整性,现在越来越多的电动车采用液冷方式,一旦冷却回路里面的冷却液泄漏到电池包里面,也会造成高压绝缘的状态发生;主被动放电设计,具体的说就是电机控制器中由于有薄膜电容(X电容、Y电容)等可储能装置,BMS控制下电以后,内部仍存在高压,为防止人员伤害,需将电机控制器中的电压快速降低到A级电压以下(即60Vdc以下);其他如电平衡、漏电流等的设计。

诊断安全开发

诊断安全开发方法

整车诊断安全开发主要包含DFMEA分析诊断安全方案设计诊断服务设计三个阶段。通过对整车场景、特性以及历史同类质量问题的分析,得到系统层面DFMEA,另外对零部件本身,包括研发、生产、元器件的老化以及全过程问题进行分析,得到子系统层面DFMEA,通过系统顶层架构,划分故障等级,针对等级可能产生的条件、持续时间以及需要采取的处理措施,确定从系统层面到零部件层面的诊断方案,最后设计诊断协议,开发诊断仪。

远程诊断开发

通过车载T-BOX与车联网平台联合,车辆发生故障或预设条件满足后,通过4G网络自动上传故障前后一段时间的整车数据,大数据平台快速定位问题原因并给出维修建议。例如,目前长安在诊断安全方面最主要的工作是通过远程诊断,实时分析可能失效的电池模组单体,针对这些模组单体进行单独的千人千面处理,严重时将邀请返厂维修。通过这些方式可以将被动情况变为主动维修,更好的提升用户体验,也可将导致重大安全危害事故的可能性降到最低。

功能安全开发

功能安全开发阶段主要内容

目前国内很多企业都在做功能安全的开发,自动驾驶方面是主流,按照ISO 26262将功能安全开发分为几个阶段:相关项定义(Item Definition),定义功能、零部件状态、零部件相关的设计内容;危害分析风险评估,是关键和重点,准确分析场景,场景能够涉及到的危害、潜在的失效频率等;功能安全要求,通过危害分析确定了功能安全等级,将功能安全等级分解到各个零部件,得到TSC(技术安全要求),进一步分解到硬件、软件,最终转换成硬件/软件设计方案,该套系统完整之后就可以进行相应的测试。

危害分析与风险评估

将可预见的失效模式可能造成的危害识别出来,并对其进行分类,从而针对不同的危害制定具体的安全目标。危害分析与风险评估包括4个基本步骤:环境分析与危害识别,基于场景化分析,包含多种维度,如环境,白天或晚上、下雪或下雨或晴天、平路或上坡或下坡或弯道、高中低速、有行人通过或有后车超车......针对这些场景来识别潜在的行为;危害分类,根据危害确定危害事件的严重度、频度和可控度;ASIL等级确定,由严重度、频度、可控度共同决定;安全目标,针对不同的危害制定安全目标,D级为最高等级,相应的功能安全目标对于其硬件软件的设计要求相对不同,比如电池,电机控制是要做到ASLL-C还是ASLL-D,都取决于危害分析和对整个功能的分解。

信息安全开发

信息安全4层防御体系

随着信息化发展,汽车的信息安全成为新的安全底线,各大主机厂都在加快信息安全能力建设,信息安全分为4个维度,一是云端/移动终端防护,一旦黑客嵌入TSP、软件或OTA平台下发一些恶意指令,将会导致车辆失控,所以在云端或手机APP终端进行较好地防控是必需的,也是信息安全的第一道关卡;二是车辆对外接口端防护,随着信息化程度越来越高,蓝牙钥匙、USB、蓝牙接入、WIFI接入等,黑客将会通过接口进行攻击;三是网关隔离防护,按照新的电子电气架构,外部信号要么通过域控制器要么通过网关进行数据隔离,目前主要是通过网关隔离,在车内直接去篡改网络信号或通过OBD口对外部攻击进行不断的伪造,攻陷车辆网络,将会导致内部车辆瘫痪;四是内部控制器的防护,控制器本身也具有安全防护机制,若是恶意篡改或刷写程序,必须通过安全认证,另外传输的信号也会有各种层面的校验,保证信号传输的可靠性。随着互联网不断地进入汽车,攻击的点、攻击的路口也会越来越多,信息安全开发还需要不断地深入。

信息安全实施路径

信息安全实施路径分为三个阶段,一是接口安全+业务安全,基于EE架构,保障车辆对外接口的安全,防御远程无线攻击、近场攻击;基于OTA、蓝牙钥匙、4G/5G的业务场景,在参与节点部署安全策略,这是最基本的。二是自动驾驶安全+车内通信安全,基于L3+自动驾驶,对自动驾驶、整车控制、底盘系统部署安全策略;基于以太网、CAN/CANFD等车内通信,实施安全通信方案,保障关键信号,隐私敏感信息的安全传输。三是主动入侵监测+大数据安全运维,在关键节点部署主动入侵检测,结合后台数据分析,监测入侵,主动进行漏洞修复,保证汽车生命周期内的安全;建立信息安全后台运维团队,实时监测跟踪所有车辆状态,定期进行漏洞分析,修复,处理突发的信息安全入侵事件。

电池安全开发

电池为什么过热

电池过热(热失控),是指电池在工作时,因机械滥用、电滥用、热滥用等因素导致电池内压和温度急剧上升,如果热量不能够及时散出,就会引发电池热失控(起火或爆炸),电池热失控因素有内因,也有外因。锂离子电池热失控过程分为3个阶段:一是电池内部热失控阶段,由于内部短路、外部加热,SEI膜分解,温度升高至150℃;二是电池鼓包阶段,正极材料分解,释放出大量热和气体,内部压力增大鼓包;三是电池热失控,爆炸失效阶段,电解液发生剧烈的氧化反应,燃烧并释放出大量的热,产生高温和大量气体,电池发生燃烧爆炸。

内因-不安全的“基因”:锂离子电池主要由正/负极活性材料、集流体、隔膜和电解液组成。电解液带有燃爆属性,电解液高温分解产生氧气,电池衰减形成穿透隔膜的枝晶,导致热失控。随着电池能量密度的提升,电池本身的安全性呈下降趋势,这也是目前在电池安全方面所面临的最大挑战,怎样在能量密度和安全之间找一个平衡点。

外因-机电热的“滥用”:电池使用温度、充电功率及机械防护的波动等,均会增加隔膜破损的几率,从而导致热失控。机械形变导致隔膜破损,过充、过放导致内部枝晶加速生长刺破隔膜,极端高温导致隔膜收缩,生产制程中杂质颗粒的引入导致隔膜刺穿。所以电池安全涉及的因素较多也较复杂,为行业内的难题。

电池安全开发体系

长安电池安全体系:深层次挖掘电池7要素、6维度安全设计,电池总成产品经过25项安全性测试,从电池开发、制造、营销三大阶段覆盖电池全生命周期使用安全。7要素是在传统的“人机料法环”上加了两项“”和“”,“质”即《售后质量管理程序》、《关于严格质量问题管理的要求》、《防召回/过热评审管理程序》、《应避免问题库及问题排查管理程序》。“术”即6大维度,充放电安全,设计合理的充放电策略;电气安全,包含绝缘,互锁,碰撞发生后,保障可靠的电气完整性,不会短路、漏电;控制安全,保证电池管理系统不失效,功能安全等级在任何情况下都能够有效监测电池状态;电化学安全,包含电芯,电性能的设计,熔断器的保护,选择电池耐温更高的电解液、隔膜,正负极材料可再优化,电芯做到更安全;热安全,热失控之后如何延缓热扩散,无论是从材料、扩散渠道还是本身的冷却方式方面;机械安全,碰撞、振动,挤压后,电池包、模组、电芯所承受的相应条件等。基于此,在6大维度上进行设计开发及测试验证体系工作,覆盖到从前期的技术设计验证拓展到制造及营销阶段,制造对于电池安全也是至关重要的,包括电池单体的制造、电池模组的集成、电池包的生产制造以及后期的传输运输,还有用户使用阶段是否滥用、定期维护,回收等。可以说电池越在使用生命后期安全风险就越高,只有把全生命周期的管理做到位,才能有效避免电池安全问题的发生。

安全测试验证

搭建电池安全性试验体系,包含试验验证体系试验管理体系两部分。电池安全性试验验证体系:从零部件系统整车三个层级进行搭建,测试用例及试验项目;电池安全性试验管理体系:从试制存储转运试验解析报废6个维度进行搭建相关管理程序文件。

来源:第一电动网

作者:中国新能源汽车评价规程

本文地址:

返回第一电动网首页 >

相关内容
全部评论·1
暂无评论
我要评一下