長安

【專家視角】長安新能源汽車安全體系開發(fā)

中國新能源汽車評價規(guī)程 2021-03-22 09:23

2020年12月23日，中國汽研成功舉辦《2020第三屆新能源汽車測試評價技術國際論壇》。中國汽研將持續(xù)為大家推送精彩演講實錄，本文為長安新能源整車開發(fā)部副總經(jīng)理李宗華帶來的《長安新能源汽車安全體系開發(fā)》。

新能源汽車趨勢及安全挑戰(zhàn)

《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃（2021-2035）》提出：到2025年，新能源汽車新車銷量將會達到汽車新車總銷量的20%左右。能源安全方面，中國石油對外依存度上升至70%，汽車的石油消耗占比1/3以上；環(huán)境保護方面，中國對外承諾2030年碳排放比2005年下降60%；汽車產(chǎn)業(yè)振興方面，“發(fā)展新能源汽車是我國從汽車大國邁向汽車強國的必由之路”；經(jīng)濟發(fā)展方面，新能源汽車既是新基建，又是新動能。從目前來看，雙積分政策倒逼、消費支持、車牌支持、路權支持、公務車輛支持、運營指標支持等利好條件加持，堅定不移的發(fā)展新能源汽車成為共識。

新能源汽車市場發(fā)展迅猛的同時，其特有的安全問題日益突出，舉例說明，案例一：國外某知名品牌純電動汽車，車輛高速行駛過程中，動力系統(tǒng)突然失去控制，與前方車輛發(fā)生碰撞事故。原因分析為車輛加速踏板信號失效，持續(xù)輸出開度信號，導致松開油門后車輛仍有動力輸出；案例二：國內某品牌純電動汽車，由于換擋邏輯問題，車輛存在非預期倒擋行駛的安全風險，對相關車輛進行大規(guī)模召回。原因分析為對電驅動系統(tǒng)失效模式分析不完整，導致在某些特定場景下，車輛可能非預期的行駛，造成人員傷害；案例三：國內某品牌純電動汽車，充電過程中動力電池突然自燃，造成車輛及周邊充電設施起火。原因分析為電池管理系統(tǒng)未充分考慮過充、過流對電池安全的影響，對電池失效監(jiān)控不足，從而導致動力電池熱失控。

目前，新能源和智能化的不斷融合成為趨勢，包括互聯(lián)網(wǎng)造車，無論是蔚來、小鵬、理想，還是傳統(tǒng)的汽車企業(yè)都在大力發(fā)展智能化?？梢钥闯?，基本硬件配置可以選配（動力系統(tǒng)和內飾除外），“軟件定義汽車”，以特斯拉為代表，動力、自動駕駛、各類軟件都可以升級，那么帶來的最大突出問題是對于不斷云端連線的新能源汽車，怎樣去保證個人信息、車輛不會被黑客及其他不良因素所利用。因此，無論是傳統(tǒng)的動力、電池安全，還是新型的智能化與電動汽車融合之后的信息安全而言，都為新能源汽車安全帶來挑戰(zhàn)。

長安新能源安全體系現(xiàn)狀

長安從2001年開始研發(fā)新能源汽車，到2011年純電動汽車（E30）的“帶電第一撞”，2017年發(fā)布“香格里拉”計劃，2018年成立新能源公司，近20年的產(chǎn)業(yè)積淀，長安新能源現(xiàn)已擁有五大產(chǎn)品序列，覆蓋EV及PHEV產(chǎn)品，累計為用戶提供了20余款新能源汽車產(chǎn)品，累計突破并掌握關鍵核心技術364項，包括整車集成、“大三電”、CAE分析、試驗驗證等，在安全方面，是國內第一個通過ISO 26262（汽車功能安全管理體系）認證的企業(yè)。

將安全體系分為五大部分：高壓安全開發(fā)體系，建立高壓連接、放電、絕緣全環(huán)節(jié)監(jiān)控高壓安全防護體系；診斷安全開發(fā)體系，建立基于FMEM/FTA分析的診斷安全開發(fā)體系；功能安全開發(fā)體系，建立基于ISO 26262的全生命周期功能安全開發(fā)體系；信息安全開發(fā)體系，建立云端、車端接口、車內網(wǎng)關、車內控制器4層安全防護體系；電池安全開發(fā)體系，建立7要素、6維度安全設計體系，從電池開發(fā)、制造、營銷三大階段覆蓋電池全生命周期使用安全。

安全體系開發(fā)介紹

高壓安全開發(fā)

高壓系統(tǒng)介紹

整車高壓系統(tǒng)主要涉及6個子系統(tǒng)：電池系統(tǒng)、電驅系統(tǒng)、熱管理系統(tǒng)、電源補給、直流充電、線束系統(tǒng)及13個零部件：電池模組、高壓繼電器、預充電阻、電池傳感器、BCU控制器、IGBT、高壓電容、高壓插件、高壓線束、DCDC、ACP、PTC、OBC。目前高壓平臺主要為300-450V，很多企業(yè)也在做800V-1000V的高壓平臺，將會帶來更多高壓安全風險。

高壓安全設計

高壓安全主要涉及四個方面：高壓連接完整性設計，包括高壓接插件連接完整性及高壓部件的外殼覆蓋完整性，要形成完整的高壓回路，不會因為任何外部因素而導致高壓出現(xiàn)泄漏，關鍵技術點為高壓互鎖；高壓絕緣狀態(tài)，包括高壓部件和高壓線束的絕緣狀態(tài)，整個電氣回路，如何保證高壓不會泄漏，不會對乘員造成傷害，絕緣檢測部分至關重要，行業(yè)內主要用基于平衡電槍法來檢測絕緣電阻，也嘗試用脈沖注入法，目前來講，脈沖注入的檢測方法使得絕緣電阻的精度更高、更精準。另外是冷卻回路的完整性，現(xiàn)在越來越多的電動車采用液冷方式，一旦冷卻回路里面的冷卻液泄漏到電池包里面，也會造成高壓絕緣的狀態(tài)發(fā)生；主被動放電設計，具體的說就是電機控制器中由于有薄膜電容（X電容、Y電容）等可儲能裝置，BMS控制下電以后，內部仍存在高壓，為防止人員傷害，需將電機控制器中的電壓快速降低到A級電壓以下（即60Vdc以下）；其他如電平衡、漏電流等的設計。

診斷安全開發(fā)

診斷安全開發(fā)方法

整車診斷安全開發(fā)主要包含DFMEA分析、診斷安全方案設計和診斷服務設計三個階段。通過對整車場景、特性以及歷史同類質量問題的分析，得到系統(tǒng)層面DFMEA，另外對零部件本身，包括研發(fā)、生產(chǎn)、元器件的老化以及全過程問題進行分析，得到子系統(tǒng)層面DFMEA，通過系統(tǒng)頂層架構，劃分故障等級，針對等級可能產(chǎn)生的條件、持續(xù)時間以及需要采取的處理措施，確定從系統(tǒng)層面到零部件層面的診斷方案，最后設計診斷協(xié)議，開發(fā)診斷儀。

遠程診斷開發(fā)

通過車載T-BOX與車聯(lián)網(wǎng)平臺聯(lián)合，車輛發(fā)生故障或預設條件滿足后，通過4G網(wǎng)絡自動上傳故障前后一段時間的整車數(shù)據(jù)，大數(shù)據(jù)平臺快速定位問題原因并給出維修建議。例如，目前長安在診斷安全方面最主要的工作是通過遠程診斷，實時分析可能失效的電池模組單體，針對這些模組單體進行單獨的千人千面處理，嚴重時將邀請返廠維修。通過這些方式可以將被動情況變?yōu)橹鲃泳S修，更好的提升用戶體驗，也可將導致重大安全危害事故的可能性降到最低。

功能安全開發(fā)

功能安全開發(fā)階段主要內容

目前國內很多企業(yè)都在做功能安全的開發(fā)，自動駕駛方面是主流，按照ISO 26262將功能安全開發(fā)分為幾個階段：相關項定義（Item Definition），定義功能、零部件狀態(tài)、零部件相關的設計內容；危害分析風險評估，是關鍵和重點，準確分析場景，場景能夠涉及到的危害、潛在的失效頻率等；功能安全要求，通過危害分析確定了功能安全等級，將功能安全等級分解到各個零部件，得到TSC（技術安全要求），進一步分解到硬件、軟件，最終轉換成硬件/軟件設計方案，該套系統(tǒng)完整之后就可以進行相應的測試。

危害分析與風險評估

將可預見的失效模式可能造成的危害識別出來，并對其進行分類，從而針對不同的危害制定具體的安全目標。危害分析與風險評估包括4個基本步驟：環(huán)境分析與危害識別，基于場景化分析，包含多種維度，如環(huán)境，白天或晚上、下雪或下雨或晴天、平路或上坡或下坡或彎道、高中低速、有行人通過或有后車超車......針對這些場景來識別潛在的行為；危害分類，根據(jù)危害確定危害事件的嚴重度、頻度和可控度；ASIL等級確定，由嚴重度、頻度、可控度共同決定；安全目標，針對不同的危害制定安全目標，D級為最高等級，相應的功能安全目標對于其硬件軟件的設計要求相對不同，比如電池，電機控制是要做到ASLL-C還是ASLL-D，都取決于危害分析和對整個功能的分解。

信息安全開發(fā)

信息安全4層防御體系

隨著信息化發(fā)展，汽車的信息安全成為新的安全底線，各大主機廠都在加快信息安全能力建設，信息安全分為4個維度，一是云端/移動終端防護，一旦黑客嵌入TSP、軟件或OTA平臺下發(fā)一些惡意指令，將會導致車輛失控，所以在云端或手機APP終端進行較好地防控是必需的，也是信息安全的第一道關卡；二是車輛對外接口端防護，隨著信息化程度越來越高，藍牙鑰匙、USB、藍牙接入、WIFI接入等，黑客將會通過接口進行攻擊；三是網(wǎng)關隔離防護，按照新的電子電氣架構，外部信號要么通過域控制器要么通過網(wǎng)關進行數(shù)據(jù)隔離，目前主要是通過網(wǎng)關隔離，在車內直接去篡改網(wǎng)絡信號或通過OBD口對外部攻擊進行不斷的偽造，攻陷車輛網(wǎng)絡，將會導致內部車輛癱瘓；四是內部控制器的防護，控制器本身也具有安全防護機制，若是惡意篡改或刷寫程序，必須通過安全認證，另外傳輸?shù)男盘栆矔懈鞣N層面的校驗，保證信號傳輸?shù)目煽啃?。隨著互聯(lián)網(wǎng)不斷地進入汽車，攻擊的點、攻擊的路口也會越來越多，信息安全開發(fā)還需要不斷地深入。

信息安全實施路徑

信息安全實施路徑分為三個階段，一是接口安全+業(yè)務安全，基于EE架構，保障車輛對外接口的安全，防御遠程無線攻擊、近場攻擊；基于OTA、藍牙鑰匙、4G/5G的業(yè)務場景，在參與節(jié)點部署安全策略，這是最基本的。二是自動駕駛安全+車內通信安全，基于L3+自動駕駛，對自動駕駛、整車控制、底盤系統(tǒng)部署安全策略；基于以太網(wǎng)、CAN/CANFD等車內通信，實施安全通信方案，保障關鍵信號，隱私敏感信息的安全傳輸。三是主動入侵監(jiān)測+大數(shù)據(jù)安全運維，在關鍵節(jié)點部署主動入侵檢測，結合后臺數(shù)據(jù)分析，監(jiān)測入侵，主動進行漏洞修復，保證汽車生命周期內的安全；建立信息安全后臺運維團隊，實時監(jiān)測跟蹤所有車輛狀態(tài)，定期進行漏洞分析，修復，處理突發(fā)的信息安全入侵事件。

電池安全開發(fā)

電池為什么過熱

電池過熱（熱失控），是指電池在工作時，因機械濫用、電濫用、熱濫用等因素導致電池內壓和溫度急劇上升，如果熱量不能夠及時散出，就會引發(fā)電池熱失控（起火或爆炸），電池熱失控因素有內因，也有外因。鋰離子電池熱失控過程分為3個階段：一是電池內部熱失控階段，由于內部短路、外部加熱，SEI膜分解，溫度升高至150℃；二是電池鼓包階段，正極材料分解，釋放出大量熱和氣體，內部壓力增大鼓包；三是電池熱失控，爆炸失效階段，電解液發(fā)生劇烈的氧化反應，燃燒并釋放出大量的熱，產(chǎn)生高溫和大量氣體，電池發(fā)生燃燒爆炸。

內因-不安全的“基因”:鋰離子電池主要由正/負極活性材料、集流體、隔膜和電解液組成。電解液帶有燃爆屬性，電解液高溫分解產(chǎn)生氧氣，電池衰減形成穿透隔膜的枝晶，導致熱失控。隨著電池能量密度的提升，電池本身的安全性呈下降趨勢，這也是目前在電池安全方面所面臨的最大挑戰(zhàn)，怎樣在能量密度和安全之間找一個平衡點。

外因-機電熱的“濫用”：電池使用溫度、充電功率及機械防護的波動等，均會增加隔膜破損的幾率，從而導致熱失控。機械形變導致隔膜破損，過充、過放導致內部枝晶加速生長刺破隔膜，極端高溫導致隔膜收縮，生產(chǎn)制程中雜質顆粒的引入導致隔膜刺穿。所以電池安全涉及的因素較多也較復雜，為行業(yè)內的難題。

電池安全開發(fā)體系

長安電池安全體系：深層次挖掘電池7要素、6維度安全設計，電池總成產(chǎn)品經(jīng)過25項安全性測試，從電池開發(fā)、制造、營銷三大階段覆蓋電池全生命周期使用安全。7要素是在傳統(tǒng)的“人機料法環(huán)”上加了兩項“質”和“術”，“質”即《售后質量管理程序》、《關于嚴格質量問題管理的要求》、《防召回/過熱評審管理程序》、《應避免問題庫及問題排查管理程序》?！靶g”即6大維度，充放電安全，設計合理的充放電策略；電氣安全，包含絕緣，互鎖，碰撞發(fā)生后，保障可靠的電氣完整性，不會短路、漏電；控制安全，保證電池管理系統(tǒng)不失效，功能安全等級在任何情況下都能夠有效監(jiān)測電池狀態(tài)；電化學安全，包含電芯，電性能的設計，熔斷器的保護，選擇電池耐溫更高的電解液、隔膜，正負極材料可再優(yōu)化，電芯做到更安全；熱安全，熱失控之后如何延緩熱擴散，無論是從材料、擴散渠道還是本身的冷卻方式方面；機械安全，碰撞、振動，擠壓后，電池包、模組、電芯所承受的相應條件等。基于此，在6大維度上進行設計開發(fā)及測試驗證體系工作，覆蓋到從前期的技術設計驗證拓展到制造及營銷階段，制造對于電池安全也是至關重要的，包括電池單體的制造、電池模組的集成、電池包的生產(chǎn)制造以及后期的傳輸運輸，還有用戶使用階段是否濫用、定期維護，回收等?？梢哉f電池越在使用生命后期安全風險就越高，只有把全生命周期的管理做到位，才能有效避免電池安全問題的發(fā)生。

安全測試驗證

搭建電池安全性試驗體系，包含試驗驗證體系和試驗管理體系兩部分。電池安全性試驗驗證體系：從零部件、系統(tǒng)、整車三個層級進行搭建，測試用例及試驗項目；電池安全性試驗管理體系：從試制、存儲、轉運、試驗、解析、報廢6個維度進行搭建相關管理程序文件。