1电动电动汽车安全指南汽车安全指南（2022 版）指导编制：指导编制：工业和信息化部工业和信息化部国家能源局国家能源局组织编制：组织编制：中国汽车工业协会中国汽车工业协会中国汽车动力电池产业创新联盟中国汽车动力电池产业创新联盟中国电动汽车充电基础设施促进联盟中国电动汽车充电基础设施促进联盟二二三二二三年年一一月月2序言全国政协副主席、中国科协主席 万钢世界汽车产业面临百年未遇之大变局，正在进入重大转型期。从市场角度看，汽车市场正在由少数发达国家为主，向以中国为首的发展中国家普及，市场规模将快速增长；从外部条件看，世界范围内的气候变化、环境污染和能源短缺正在成为制约汽车产业发展的重大因素；从内生动力看，新一轮科技革命，特别是电驱动相关技术、人工智能技术和互联网技术的迅猛发展正在为汽车产业的转型升级提供强大的技术支撑。在这场世界汽车产业的重大变革中，电动化、智能化成为最重要的发展方向。习近平主席在 2014 年 5 月视察上汽集团时指出，新能源汽车技术研发能不能占领制高点，已经成为当今世界汽车产业的竞争焦点。汽车行业是市场很大，技术含量和管理精细化程度很高的行业，发展新能源汽车是我国从汽车大国迈向汽车强国的必由之路。要加大研发力度，认真研究市场，用活用好政策，开发适应各种需求的产品，使之成为一个强劲的增长点。习主席的重要指示，为我国新能源汽车发展绘制了蓝图，指明了方向。在政府的积极作为、科技的支撑引领、巨大的市场规模、创新的商业模式共同作用下，我国新能源汽车产业取得显著的技术进步和快速的市场发展。目前正处于由导入期向成长期过渡的关键阶段，在全球产业体系中占据举足轻重的地位，引领和加速了全球汽车电动化、智能化、共享化的进程。在当前市场成长的关键阶段，必须把安全作为新能源汽车最关键的指标，把提高新能源汽车安全性放在最重要的位置。新能源汽车的安全性，不仅是科学研究和产品设计问题，还与制造工艺、质量管控、零部件生产供应、产品使用、充电和维修保养等全产业链和全生命周期密切相关。因此，如何调动各方面的积极性，集聚全行业专家的智慧和经验，指导全行业全面提高新能源汽车的安全性，已成为当前最迫切的问题。面对这个行业关键点，中国汽车工业协会、中国汽车动力电池产业创新联盟和中国电动汽车充电基础设施促进联盟组织全行业专家，编制了这本电动汽车安全指南，非常及时，非常重要。我相信，这本指南将对提高我国新能源汽车安全性，促进我国新能源汽车健康发展起到重要作用。希望产业界用好这本指南，并不断从实践中积累经验，充实完善各章节内容，群策群力，共同提高我国新能源汽车的质量和水平。希望中国汽车工业协会等组织编制单位，继续做好本项工作，不断汇总行业技术进步经验，逐年更新和修订这本指南，集众智、汇群力，为全行业提高质量发展贡献力量。3前言前言中国汽车工业协会常务副会长兼秘书长 付炳锋在当前汽车动力电动化的转型过程中，安全性是最重要的指标。本指南分为纯电动汽车篇和燃料电池电动汽车篇,纯电动汽车篇将电动汽车安全性分成电动乘用车安全、电动客车安全、电池单体和模组、电池管理系统、电机与电控、充电安全、数据监控管理、维修保养、动力蓄电池回收再利用、安全事故处理、操作安全、运营车辆安全管理等 12 个方面，燃料电池电动汽车篇分为燃料电池电动汽车及其安全问题、燃料电池电动汽车整车通用安全性、燃料电池电动汽车车载氢系统安全、质子交换膜燃料电池堆安全、质子交换膜燃料电池系统安全、燃料电池电动汽车应用、操作、维护及基础设施等 6 个方面。本指南汇聚了全行业在一线工作的上百名专家意见。在政府规划指导、多项政策促进和全行业的共同努力下，中国的电动汽车发展正走在世界前列，发挥着引领作用。电动汽车各项技术日渐成熟，市场高速增长，产业化初期的安全性已成为当前中国电动汽车发展最突出的问题。电动汽车的安全性，涉及产品开发与制造、使用与充电、维修与保养等全产业链和全生命周期。因此，中国汽车工业协会、中国汽车动力电池产业创新联盟和中国电动汽车充电基础设施促进联盟组织全行业主要企业、机构、院校等专家编制了本指南。本指南采取了尽量细化、具体化的原则，突出可操作性。当然，本指南是迄今为止的经验总结，随着产业化的不断深入，市场应用的进一步普及业界同仁的新经验、新认识、新发展将会在本指南后续版本中得以体现。安全性是各国发展电动汽车面临的共同问题。中国电动汽车的推广应用先走了一步，遇到了很多在世界其他国家还没遇到问题，积累了一些独到的经验。因此，本指南对于世界其他国家的电动汽车发展，也应有很好的借鉴作用。所以，我们决定，公开发布本资料，放弃所有版权，供各国同行参考。最后，向所有参加本资料编制的专家，致以最崇高的敬意！感谢你们在紧张工作之余，无私地奉献自己的经验智慧和宝贵的时间！4编制说明编制说明一、编制背景一、编制背景按照党中央国务院关于发展新能源汽车的总体部署，在国务院节能与新能源汽车产业发展规划（20122020 年）（国发201222 号）和关于加快新能源汽车推广应用的指导意见（国办发201435 号）、关于加快电动汽车充电基础设施建设的指导意见（国办发201573 号）等文件的指导下，在鼓励新能源汽车推广应用的各项政策措施的推动下，中国电动汽车的推广应用取得了积极的进展，轻量化、动力驱动系统、动力电池等关键零部件产业初步形成规模，与世界先进水平的差距明显缩小。但是，我们也看到我国电动汽车总体发展质量和水平还有待提高，特别是车辆安全性水平亟待提高，目前，产业总体上对安全性认识不足，产品设计的安全性要求积累不够，全链条中安全交互的机制没有形成，导致多起电动汽车起火事故发生，对产业发展造成负面影响。电动汽车安全性事故的原因比较复杂，与材料选择、电芯和模块结构、系统集成、连接结构、整车匹配设计、生产管控、产品试验验证、售后服务、充电设备和工程电子、充电运维管理、回收再利用过程安全管理、火灾管控方法等多种因素有关。因此，2018 年汽车工业协会会同中国汽车动力电池产业创新联盟、中国电动汽车充电基础设施促进联盟启动了电动汽车安全指南（指南）编制工作，系统地梳理设计、制造、使用、再利用各个环节的安全风险及其防范措施，旨在促进全产业链加强安全意识，提高电动汽车全生命周期安全性水平。本次发布的指南（2022 版）在 2021 版基础上进行了修订完善。二二、指南的指南的定位定位本 指南 从电动汽车全产业链条和全生命周期入手，梳理电动汽车的各种安全风险，参考现有国际国内相关标准，汇集一线专家的经验编制而成，目的是给从事电动汽车开发和生产企业从业人员，以及服务保障人员和广大消费者进行指导和提供参考。希望通过本指南的研究制定及发布，提高全行业对电动汽车安全性的认知，提高安全性设计、制造水平，提高电动汽车合理使用和维护、以及安全性管控水平，探索安全的、系统性的解决方案和意外发生时的应急处理手段。与此同时，也希望本指南还能为电动汽车行业相关标准的制定和修订提供依据，为开展安全性研究项目提供方向。三三、指南主要内容指南主要内容5指南（2022 版）分两个部分，第一部分是纯电动汽车篇，在 2021 版的基础上进行了修订完善；第二部分是燃料电池电动汽车篇，该篇系统梳理了燃料电池及其整车设计、制造、使用、氢系统、电池堆及基础设施等方面安全性。四四、指南的编制与发布指南的编制与发布本指南由工业和信息化部、国家能源局指导编制。本指南由国内主要整车、动力蓄电池、充电设施、运营、回收再利用等企业，以及氢能供应、氢燃料电池企业，行业组织、科研院校、机构 100 余家单位共同研究编制，在编制过程中广泛征求了国内外业界专家和企业、机构的意见。本指南中英文两个版本同时公开发布。本指南的解释权在指南编委会编写组（见附录）。6目目录录纯电动汽车篇.181.电动乘用车安全.191.1 防触电安全.191.1.1 电压等级.191.1.2 使用中触电防护要求.191.1.3 碰撞后触电安全.231.2 功能安全.231.2.1 整车功能安全开发流程.231.2.2 概念开发阶段.231.2.3 系统功能安全开发.241.2.4 电控单元硬件开发.261.2.5 电控单元软件设计.281.3 使用操控安全.291.3.1 操控安全基本要求.291.3.2 正常场景安全.301.4 安全防护措施.321.4.1 整车通过性要求.321.4.2 正面碰撞安全.321.4.3 侧面碰撞安全.321.4.4 追尾碰撞安全.331.4.5 侧面柱碰防护.331.4.6 整车底部安全防护.331.4.7 碰撞后高压断电及报警提醒.331.4.8 控制器故障诊断.331.5 整车 EMC 安全.341.5.1 整车车外电磁辐射骚扰及抗扰度要求.341.5.2 整车车载电器电磁辐射骚扰及抗扰度要求.341.5.3 整车充电过程中沿电源线骚扰和抗扰度要求.351.5.4 整车乘员暴露于车辆电磁环境安全要求.351.5.5 高压线束 EMC 要求.351.6 动力电池热安全.361.6.1 报警触发信号及时间要求.361.6.2 报警方式.361.6.3 电池系统热事件远程服务报警要求.361.6.4 电池系统热事件远程服务报警要求.371.7 整车其他系统热安全.481.7.1 电机热保护要求.481.7.2 电机控制器热保护要求.481.7.3 充电系统热保护要求.4871.7.4 整车空调 PTC 热保护要求.491.8 整车制造、存储、运输、报废等安全.491.9 整车换电设计安全.491.9.1 换电用动力电池系统安全要求.491.9.2 换电机构安全要求.501.9.3 换电接口安全要求.501.9.4 换电控制要求.512.电动客车安全.522.1 防触电安全.522.1.1 安全标识要求.532.1.2 直接接触防护要求.532.1.3 间接接触防护要求.562.2 防水安全.582.2.1 零部件防水要求.582.2.2 整车涉水要求.592.2.3 整车浸水要求.592.3 防火安全.592.3.1 火情预警.592.3.2 防火隔离.592.3.3 阻燃设计.602.3.4 灭火装备配置要求.612.4 控制安全.622.4.1 硬件设计要求.622.4.2 软件设计要求.632.4.3 功能和操作设计.652.5 碰撞安全.672.5.1 侧面碰撞防护设计.672.5.2 侧翻防护设计.672.5.3 追尾碰撞防护设计.672.5.4 底部碰撞防护设计.672.6 逃生安全.672.6.1 逃生窗的设计.672.6.2 逃生门的设计.692.6.3 出口数量要求.692.6.4 逃生时间要求.702.7 EMC 安全.702.7.1 整车车外辐射骚扰及抗扰度要求.702.7.2 电气/电子部件辐射骚扰及抗扰度要求.712.7.3 整车充电过程中沿电源线骚扰和抗扰度要求.712.7.4 人体暴露于车辆电磁环境安全要求.712.7.5 高低压线束设计布置要求.712.8 存储、运输安全.722.8.1 存储安全.722.8.2 运输安全.732.9 安全检查.7482.9.1 日常检查.742.9.2 例行检查.752.9.3 年检机制建立.772.9.4 例行保养规范.773.电池单体和模组.793.1 电池单体安全要求.793.1.1 电池单体制造环境要求.793.1.2 电池单体设计.793.1.3 电池单体制造.833.1.4 电池单体安全评价.863.1.5 单体电池使用安全.863.2 电池模组安全要求.873.2.1 电池模组环境要求.873.2.2 电池模组设计.873.2.3 电池模组制造.893.2.4 电池模组安全评价.913.3 电池单体和模组包装运输安全要求.943.3.1 包装安全要求.943.3.2 运输安全要求.944.电池系统.954.1 电池系统要求.954.1.1 BMS 设计开发与故障处理.954.1.2 充电、运行工况下许用电流、功率控制.974.1.3 BMS 功能安全.994.1.4 热失控、预警识别策略.1004.2 电池系统安全.1014.2.1 机械安全.1014.2.2 热安全.1044.2.3 电气安全.1064.2.4 电池系统安全性测试方法.1084.2.5 电池系统生产安全要求.1094.3 动力电池运输要求.1104.3.1 运输检测标准.1104.3.2 包装及运输要求.1114.4 动力电池售后保养要求.1114.4.1 动力电池保养、检测规范.1124.4.2 动力电池年检项目及方法.1135.电机系统与电驱动总成安全.1145.1 总体要求.1145.2 高压安全.1155.2.1 绝缘电阻要求.1155.2.2 耐电压要求.1165.2.3 屏蔽与接地.1175.2.4 高压接插件和连接器.1205.2.5 高压放电.12095.2.6 高压防触电防护与警告.1215.2.7 高压互锁.1225.2.8 高压接触防护.1225.2.9 碰撞后安全.1225.2.10 电驱动总成爬电距离和电气间隙要求.1235.2.11 高压接口安全要求.1245.2.12 低压线束连接安全要求.1245.3 机械安全.1245.3.1 转子强度.1255.3.2 轴承可靠性.1255.3.3 壳体强度.1265.3.4 机械防触碰与警告.1265.3.5 输出法兰防松脱检查要求.1275.3.6 花键润滑检查要求.1275.3.7 转轴的机械强度.1275.3.8 变/减速器静扭强度.1285.3.9 变速器换挡安全.1285.3.10 驻车安全.1285.4 热安全.1285.4.1 热预警、降额、保护.1295.4.2 转子退磁：高温下的退磁安全、转子温度估算.1295.4.3 轴承耐温、密封材料耐温、绝缘材料耐温要求.1295.4.4 阻燃材料使用.1305.4.5 人体防护与警告.1305.4.6 电驱动冷却系统（水泵、管路、连接件等）定期检查要求.1315.4.7 变/减速器油温要求.1315.5 防护安全.1315.5.1 防水/防尘设计：端盖、轴密封性设计.1315.5.2 气密.1325.5.3 EMC 及防护：电磁噪声对车载设备.1335.6 电驱动总成故障保护机制.1345.6.1 故障触发机制.1355.6.2.故障保护机制（进入安全状态或切换安全状态）.1365.6.3 故障恢复机制.1365.6.4 电驱动系统故障保护示例.1375.7 电驱动总成功能安全.1425.7.1 功能安全管理.1435.7.2 功能安全概念设计阶段.1455.7.3 功能安全的系统阶段.1525.7.4 功能安全硬件设计阶段.1555.7.5 功能安全软件设计阶段.1595.8 售后维护保养安全.1615.8.1 电机控制器保养要求.1625.8.2 驱动电机维修保养要求.1635.8.3 变/减速器维修保养要求.165105.8.4 发生危险后的应急处理.1656.充电安全.1666.1 充电安全机制.1666.1.1 安全防范目标.1666.1.2 健全充电保护机制.1676.1.3 数据资源利用.1686.1.4 注重安全防护措施.1686.1.5 新技术应用及标准引领.1686.2 充电系统设计.1686.2.1 通用设计要求.1686.2.2 结构设计.1696.2.3 电气安全.1706.2.4 电气保护功能.1716.2.5 充电连接测试.1726.2.6 数据通信与安全.1726.2.7 通信控制失效.1726.2.8 充电数据收集、清洗、存储、查询.1736.3 充电设施安全要求.1736.3.1 充电设备标准安全技术要求应确保实施.1736.3.2 电气安全与防护.1746.4 充电控制策略.1806.4.1 充电控制.1806.4.2 故障、异常状况监测及保护.1856.4.3 故障分类及处理.1866.5 充电系统及设备功能设计.1876.5.1 控制器软件功能安全设计.1876.5.2 互操作性要求.1906.6 充电接口安全.1986.6.1 充电接口安全要求.1986.6.2 电气连接防松安全设计.2026.7 充电设备试验与安全评价.2026.7.1 直流充电设备检测要求.2036.7.2 交流充电设备检测要求.2076.7.3 充电设备性能安全评价.2106.8 充电设备制造.2126.9 充电设施建设.2156.9.1 充电场站建设规划充电站选址布局.2156.9.2 场站安全设计要求.2166.9.3 建筑物安全.2176.9.4 变配电要求.2176.9.5 附属建筑.2186.9.6 清晰明确的安全标识.2196.9.7 弱电与监控系统.2196.9.8 消防安全.2206.9.9 充电场站建设施工.223116.10 充电设施运行操作与维护安全要求.2246.10.1 安全风险识别与防范措施.2246.10.2 运行操作.2256.10.3 告警级别与应急处置.2266.10.4 充电设备维修保养.2266.10.5 充电连接器接口维护方法及要求.2266.10.6 充电设施运行安全管理.2276.11 信息安全.2296.11.1 运营平台技术要求.2296.11.2 充电设备技术要求.2316.11.3 移动智能终端软件技术要求.2326.11.4 接口安全技术要求.2346.12 换电站安全.2356.12.1 站址安全.2356.12.2 消防安全.2366.12.3 监控要求.2366.12.4 设备安全.2366.12.5 车辆安全.2376.12.6 电池更换安全.2376.13 质量保证体系.2377.数据监控管理.2397.1 车辆状态监测.2397.1.1 数据采集.2397.1.2 数据传输.2457.1.3 车辆电池状态监测.2467.1.4 车辆电机状态监测.2467.1.5 车辆驾驶行为监测.2467.2 危险情况下的远程控制.2477.3 车辆信息安全.2477.3.1 车辆软件系统的信息安全.2477.3.2 车辆车内通信系统的信息安全.2487.3.3 车辆电子电气硬件的信息安全.2487.3.4 车辆内部数据的信息安全.2497.3.5 车辆对外通信系统的信息安全.2497.3.6 OTA 数据安全加密与防篡改.2507.4 信息数据保存和分析.2507.4.1 信息数据本地存储.2517.4.2 信息数据平台服务器存储.2517.4.3 信息数据分析.2517.5 充电数据管理.2518.维修保养.2538.1 电动汽车的通用维修保养.2538.1.1 操作人员的要求.2538.1.2操作前的要求.2538.1.3 操作过程要求.253128.1.4 其他操作要求.2548.2 动力电池的维修保养要求.2548.2.1 动力电池日常使用保养要求.2548.2.2 动力电池的维修.2558.3 电机控制器的维修保养要求.2568.3.1 电机控制器保养要求.2568.3.2 电机控制器维修要求.2568.4 驱动电机维修保养要求.2578.4.1 驱动电机保养要求.2578.4.2 驱动电机维修要求.2578.5 高压电连接类维修保养要求.2588.5.1 高压线缆维修保养要求.2588.5.2 高压连接器维修保养要求.2598.5.3 交直流充电插座维修保养要求.2598.5.4 充电枪维修保养要求.2608.6 功率电子类高压部件维修保养要求.2618.6.1 功率电子类高压部件保养要求.2618.6.2 功率电子类高压部件维修要求.2619.动力蓄电池回收再利用.2639.1 相关概述.2639.1.1 本文使用名词术语解释.2639.1.2 动力蓄电池回收梯次利用及再生利用流程.2649.1.3 环境安全.2669.2 回收网络和储运安全.2679.2.1 梯次电池企业的责任及义务.2679.2.2 回收动力蓄电池运输前电池系统处置要求.2679.2.3 回收动力蓄电池运输前包装要求.2679.2.4 信息追溯要求.2699.3 检测分类及拆解安全.2699.3.1 一般要求.2699.3.2 梯次利用企业电池系统拆解安全要求.2719.3.3 梯次利用企业电池模组拆解安全要求.2719.3.4 梯次利用企业拆解分选过程中的检测安全.2729.3.5 梯次利用企业电池分级分选要求.2729.4 梯次利用电池组设计安全要求.2729.4.1 梯次电池系统的设计安全.2729.4.2 电池管理系统对安全的要求.2749.5 梯次利用电池再生产安全要求.2759.5.1 检测.2759.5.2 梯次电池组装.2769.5.3 梯次电池功能及性能检测.2769.5.4 仓储.2779.6 梯次电池使用安全要求.2789.6.1 梯次电池使用场景及要求.2789.6.2 充放电电流、电压、保护功能要求.278139.6.3 电池的安装及施工要求.2789.6.4 使用防护要求.2799.6.5 运行监控要求.2799.6.6 定期检查与维护要求.2809.7 原材料再生利用安全要求.2809.7.1 一般要求.2809.7.2 再生利用过程安全要求.2829.7.3 仓储要求.2839.8 数据溯源管理要求.2839.8.1 动力蓄电池回收再利用溯源管理.2839.8.2 大数据分析和运营管理.2849.8.3 数据管理与维护.28510.安全事故处理.28610.1 事故处理方法和流程.28610.1.1 碰撞事故救援.28610.1.2 水域事故救援.29010.1.3 火灾事故扑救.29310.1.4 触电事故处理.29410.1.5 充电事故处理.29510.1.6 底部碰撞事故处理.29510.2 安全事故原因排查方法和程序.29610.2.1 成立调查小组.29610.2.2 调查取证.29610.2.3 事故分析总结.30310.3 安全事故整改评估方法.30310.3.1 总则.30410.3.2 评估小组.30510.3.3 评估工作方案.30610.3.4 评估标准.30610.4 事故报告要求.30610.5 电动汽车起火燃烧等事故上报要求.30710.5.1 通则.30710.5.2 工业和信息化部装备工业发展中心相关要求.30710.5.3 市场监管总局质量发展局上报有关要求.30811.操作安全.31411.1 操作指导培训及资质认证体系.31411.1.1 操作资质分级、权限及要求.31411.1.2 新能源高压系统维修人员的资质考核.31411.2 新能源车操作指导通用要求.31411.2.1 携带医疗电子器械的维修人员注意事项.31411.2.2 气囊维修检查注意事项.31511.3 操作前准备工作.31511.3.1 防护要求.31511.3.2 专用工具要求.31511.3.3 专人监控.3161411.3.4 禁止事项.31611.4 高压回路的断开.31611.5 操作注意事项.31612.运营车辆安全管理.31812.1 电动营运车辆的一般性要求.31812.1.1 营运证办理.31812.1.2 电动汽车生产企业监控平台.31812.1.3 营运车辆改装要求.31812.2 电动营运车辆配置类安全要求.31912.2.1 车端一键报警功能.31912.2.2 车端 GPS 或 BDS 定位系统.31912.2.3 前碰撞预警功能.31912.2.4 驾驶员疲劳及健康状况检测功能.31912.2.5 油门误踩防护功能.31912.2.6 碰撞缓解控制功能.31912.3 电动营运车辆维修保养的安全要求.32012.4 电动营运车辆远程监控的安全要求.32012.4.1 车载监控.32012.4.2 通信接口要求.32012.4.3 企业监控平台.32012.5 电动营运车辆的安全事故处理要求.32112.6 健全安全管理机制.32112.7 健全安全培训机制.32112.8 加强停运和报废安全管理.322燃料电池电动汽车篇.3241.燃料电池电动汽车及其安全问题.3251.1 燃料电池电动汽车.3251.1.1 燃料电池电动汽车的定义.3251.1.2 燃料电池电动汽车技术现状.3261.1.3 燃料电池电动汽车动力系统及关键部件.3291.2 燃料电池电动汽车的安全性问题.3331.2.1 氢安全问题.3331.2.2 电安全问题.3372.燃料电池电动汽车整车通用安全性.3392.1 整车通用安全的一般设计准则.3392.1.1 一般设计准则.3392.1.2 整车安全失效评估方法.3402.2 整车通用安全设计.3402.2.1 失效预警及失效安全设计.3402.2.2 整车电池兼容（EMC）及电气可靠性设计.3422.2.3 碰撞安全设计.3482.2.4 整车氢气排放和泄漏安全设计.3532.2.5 整车故障防护设计.3542.2.6 整车涉水安全、起火驾乘人员安全设计.3552.2.7 安全标识.356152.3 整车通用安全的关键测评技术.3582.3.1 整车 EMC 测评技术.3582.3.2 整车电气系统测评技术.3672.3.3 整车碰撞测评技术.3692.3.4 燃料电池电动汽车整车氢气泄漏排放测评技术.3723.燃料电池电动汽车车载氢系统安全.3773.1 车载氢系统一般安全要求.3773.1.1 总则.3773.1.2 振动与冲击.3783.1.3 材料选择.3783.1.4 车载氢系统的电气系统.3793.1.5 安装及布置.3803.1.6 使用环境.3833.2 车载氢系统安全设计.3833.2.1 功能要求.3833.2.2 安全要求.3853.2.3 启动与关断.3873.3 氢系统结构安全仿真分析.3883.3.1 CAE 分析前处理.3893.3.2 CAE 分析.3903.4 车载氢系统测评技术.3923.4.1 供氢系统管路气密性测评.3923.4.2 启动与关断功能测试.3923.4.3 安全相关测评.3923.4.4 振动与冲击测评.3944.质子交换膜燃料电池堆安全.3954.1 质子交换膜燃料电池堆通用安全性.3954.2 质子交换膜燃料电池堆关键材料、部件及安全影响因素.3964.2.1 质子交换膜.3964.2.2 MEA.3984.2.3 气体扩散层.3994.2.4 极板.3994.2.5 端板.4004.3 质子交换膜燃料电池堆设计及安全影响因素.4014.3.1 散热设计.4034.3.2 密封设计.4044.3.3 绝缘设计.4064.3.4 其他零部件设计.4074.4 质子交换膜燃料电池堆制造、运输及安全影响因素.4074.4.1 制造环境.4074.4.2 制造工艺.4084.4.3 运输.4094.5 质子交换膜燃料电池堆测评技术.4104.5.1 燃料电池堆性能测评.4104.5.2 电性能测试中的氢、电安全测评.411164.5.3 机械振动、冲击测试中的安全测评.4154.5.4 高、低温存储及低温启动测试中的安全测评.4164.5.5 IP 测试中的安全测评.4174.5.6 盐雾腐蚀测试中的安全测评.4185.质子交换膜燃料电池系统安全.4205.1 质子交换膜燃料电池系统通用安全性.4205.2 质子交换膜燃料电池系统关键部件及安全影响因素.4215.2.1 控制系统及保护部件.4215.2.2 辅助系统核心部件.4225.2.3 外壳、管路及连接件.4245.2.4 导线及接地.4285.3 质子交换膜燃料电池系统设计及安全影响因素.4295.3.1 热管理子系统及热安全设计.4295.3.2 氢气子系统.4315.3.3 空气子系统.4325.3.4 废气和废水的排放.4335.3.5 燃料电池系统的高压电安全设计.4345.4 质子交换膜燃料电池系统制造、运输及安全影响因素.4385.4.1 制造环境.4385.4.2 安装及制造工艺.4385.4.3 运输.4395.5 质子交换膜燃料电池系统测评技术.4425.5.1 电性能测试中的氢、电安全测评.4425.5.2 机械振动、冲击测试中的安全测评.4455.5.3 高、低温存储及冷冻/解冻循环测试中的安全测评.4455.5.4 电磁兼容测试中的安全测评.4465.5.5 报警与关机测试.4476.燃料电池电动汽车应用、操作、维护及基础设施.4496.1 燃料电池电动汽车日常使用安全注意事项.4496.1.1 燃料电池电动汽车行驶过程中的安全.4496.1.2 燃料电池电动汽车停车中的安全.4506.2 燃料电池电动汽车加氢过程中的安全.4526.2.1 氢气质量要求.4526.2.2 加注车辆检查.4536.2.3 氢气加注步骤.4546.2.4 氢气加注过程中的安全注意事项.4566.3 燃料电池运营车辆的管理.4576.4 燃料电池电动汽车紧急情况处理.4606.4.1 氢气泄漏处理.4606.4.2 燃料电池电动汽车火灾处理.4626.5 燃料电池电动汽车检修与维护.4636.5.1 燃料电池电动汽车检修维护场地要求.4636.5.2 燃料电池电动汽车检修安全注意事项.4646.5.3 燃料电池电动汽车维护安全注意事项.4646.6 氢气加注基础设施的安全设计.465176.6.1 工艺设施安全设计.4656.6.2 电气设施安全设计.4666.6.3 建、构筑物安全设计.4666.6.4 消防设施安全要求.4676.6.5 氢气安全监控.4676.7 氢气加注基础设施建设.4686.7.1 加氢站建设审批.4686.7.2 加氢站建设安全要求.4696.7.3 加氢站验收与安全评价.4706.8 氢气加注基础设施运营及管理.4716.8.1 加氢站运行操作与维护.4716.8.2 加氢站站控系统.4716.8.3 计量收费系统.4716.8.4 加氢站质量管理体系.4716.8.5 氢气质量管理.4726.8.6 运行安全规定.4727.总结与展望.474参考文献.476附录一：电动汽车安全指南（2022 版）编写委员会.47918纯电动汽车篇纯电动汽车篇191.电动乘用车安全电动乘用车安全1.1 防触电安全1.1.1 电压等级依据 GB 18384-2020,根据整车的最大工作电压，将电气元件或电路分为以下等级，见表 1-1。表 1-1 电压等级电压等级最大工作电压 U（V）直流交流（rms）A0U600U30B60U150030U1000对于 48V 系统,只要可以保证直流系统不超过 60V(d.c.),其交流电机之外的部分就可以不被认定为 B 级电压电路,不需要满足相关的触电防护要求。1.1.2 使用中触电防护要求使用中的人员触电防护要求应包括高压标记要求、直接接触防护要求、间接接触防护要求及防水要求四个部分。1.1.2.1 高压标记要求1.1.2.1.1 高压警告标记要求应满足 GB 18384-2020 关于 5.1.2.1 章节的修改内容。1.1.2.1.2 B 级电压电线标记要求应满足 GB 18384-2020 关于 5.1.2.2 章节的要求。1.1.2.2 直接接触防护要求直接接触防护要求的提出是为了避免人员与带电部件直接接触而发生触电事故。直接接触防护可以通过B级电压部件的遮拦和外壳(绝缘部分)实现人员与B级电压带电部分的20物理隔离。除了 B 级电压部件的遮拦和外壳，高压连接器、高压维修开关、充电插座在插接/耦合及非耦合/断开状态下，都应该满足相应的要求。1.1.2.2.1 遮拦外壳要求B 级电压部件的遮拦和外壳应满足 IPXXD 防护等级要求。如果遮拦或外壳可以徒手打开，则其可以打开的部分应具备高压互锁装置，满足 1.1.2.2.5 章节的高压互锁要求。并且应在 1s 内将电压下降到 30V(a.c.)（rms）或 60V(d.c.)以下或电路存储总能量小于0.2J。1.1.2.2.2 连接器要求高压连接器在装配完好时，应满足 IPXXD 防护等级要求。选用的配对耦合高压连接器物理结构上的连接引导部分应不同，以满足防错插功能。其他应满足 GB18384-2020 中5.1.3.3 章节的要求。1.1.2.2.3 高压维修断开装置要求如果车辆具有高压维修开关且高压维修开关可以被徒手打开或者拔出，那么高压维修开关应满足 GB18384-2020 中 5.1.3.4 章节的要求。对于未配备高压维修开关的车辆，应根据不同高压设计方案，如通过断开 12V 电源或电子维修开关等同样可保证 1s 内将 B 级电压回路电压下降到 30V(a.c.)（rms）或 60V(d.c.)以下或电路存储总能量小于 0.2J。1.1.2.2.4 充电插座要求车辆端充电插座在未耦合状态下，应至少满足以下要求之一：（1）交流充电插座在未耦合状态下应满足 IPXXB，且应在充电插头被拔下 1min 内将B级电压回路电压下降到30V(a.c.)（rms）或60V(d.c.)以下，或电路存储总能量小于0.2J；（2）由于直流充电座无法在未耦合状态下满足 IPXXB 要求，要满足更高的防护要求，应在充电插头被拔下后 1s 内将 B 级电压回路电压下降到 30V(a.c.)（rms）或 60V(d.c.)以下，或电路存储总能量小于 0.2J。1.1.2.2.5 高压互锁要求车辆上易于拆卸或可以徒手拆卸的遮挡/外壳及高压连接器应具备高压互锁装置。高压互锁的设计一般包括硬件设计及控制策略设计，应保证被保护部件被拆卸时，在人接触到 B 级电压带电部分前将 B 级电压带电部分变为不带电部分，具体应满足 1.1.2.3.6 故障后下电要求及 1.1.2.3.7 下电后放电要求。211.1.2.3 间接接触防护要求1.1.2.3.1 绝缘电阻要求（不包含燃料电池）高压系统的绝缘电阻应满足 GB 18384-2020 中 5.1.4.1 章节的要求。充电插座的绝缘电阻应满足 1.1.2.3.5 章节要求。1.1.2.3.2 绝缘监测要求车辆应具备绝缘监测功能。绝缘监测功能应在车辆上高压前与上高压后持续对 B 级电压电路的绝缘电阻进行监测，从而区分电池包内绝缘故障与高压负载绝缘故障，并在绝缘阻值低于某个阈值时，予以报警。报警的阈值应考虑绝缘监测装置精度的影响,不小于1.1.2.3.1 章节要求的绝缘电阻，具体数值可以由主机厂自行设定。报警方式可以是提示音或者通过仪表的文字或者符号显示。1.1.2.3.3 电位均衡要求电位均衡是为了保证 B 级电压电路中的高压部件的可导电外壳不会因为绝缘电阻失效而带有高压电，从而形成电势差，产生触电风险。电位均衡具体要求应满足 GB 18384-2020 中 5.1.4.3 章节要求，在进行设计时，可以要求单个部件的可导电外壳、紧固件等与电平台的电阻小于 40m。如果采用焊接的形式实现电位均衡，视为满足要求。1.1.2.3.4 电容耦合要求电容耦合是针对 Y 电容的安全防护要求，如果高压系统中 Y 电容总能量超过对人体安全能量限值 0.2J，在高压系统内发生单点失效的情况下，就会发生触电事故，因此要对这种情况予以设计防护。电容耦合要求应满足 GB 18384-2020 中 5.1.4.4 章节的要求。1.1.2.3.5 车辆充电插座接地及绝缘电阻要求交流充电插座应满足 GB 18384-2020 中 5.1.4.5.1 章节的要求。直流充电插座应满足 GB 18384-2020 中 5.1.4.5.2 章节的要求。1.1.2.3.6 故障后下电要求按照 GB/T 31498-2021 的要求，在车辆发生碰撞后，应当立即进行高压下电，避免碰撞后造成人员与高压带电部分直接接触或间接接触引发的触电事故。在发生绝缘失效、高压互锁等故障时，建议依据车辆状态比如行驶速度等具体情况来考量是否进行下电处理。1.1.2.3.7 下电后放电要求22车辆在每次正常下电后或者故障下电后，都应该将 B 级电压回路中能量大于 0.2J 的电容的能量释放掉，避免能量始终存储于 B 级电压回路中，在车辆故障或者车辆被拆卸时造成触电事故。放电形式应具有主动放电及被动放电两种形式，主动放电应通过控制策略结合硬件设计在下电后 5s 内将 B 级电压回路电压下降到 30V(a.c.)（rms）或 60V(d.c.)以下或将 B级电压回路中电容存储的总能量降至 0.2J 以下。被动放电应始终有效，不依靠控制策略。在 B 级电压回路与电源断开后，应在 2min 内将 B 级电压回路电压下降到 30V(a.c.)（rms）或 60V(d.c.)以下或将 B 级电压回路中电容存储的总能量降至 0.2J 以下。1.1.2.4 防水要求1.1.2.4.1 整车防水要求为了保障车辆涉水、清洗等使用工况下的电气安全，需要对车辆进行模拟涉水、模拟清洗试验，并在试验后进行绝缘电阻测试以考核车辆是否存在触电风险。模拟涉水及模拟清洗的试验要求应按照 GB 18384-2020 中 6.3.1 及 6.3.2 章节的要求进行。在完成每项试验后，应先马上进行第一次绝缘电阻测试，24 小时后再进行第二次绝缘电阻测试。两次绝缘电阻测试结果均应满足 1.1.2.3.1 章节绝缘电阻要求。1.1.2.4.2 高压部件防水要求所有高压部件在装配完好的情况下，后备厢及乘员舱外的高压部件应至少达到 IPX7等级要求，后备厢及乘员舱内的高压部件应至少达到 IPX4 等级要求。1.1.2.5 维修断开装置要求车辆应具有可以断开高压回路的维修断开装置，可以采用高压维修开关或低压维修开关两种形式之一。(1)高压维修开关如车辆具有高压维修开关，应能通过对高压维修开关的操作，实现高压回路的通断。高压维修开关应具备高压互锁装置，以保证上电状态下误操作时不会造成电弧。(2)低压维修开关如车辆具有低压维修开关，应能通过断开低压维修开关，间接实现高压回路的断开。建议设计至少两种方式同时保证实现高压回路的间接断开，提高操作结果的可靠性。231.1.3 碰撞后触电安全1.1.3.1 总要求电动汽车在进行碰撞试验时可分为两种测试状态，一种是高压下电状态下进行试验，一种是高压上电状态下进行试验。对于高压上电状态下进行的碰撞试验，整车 B 级电压系统中每一个互相隔离的子 B 级电压子系统应至少当满足下面四项要求中的一项，保障车辆不发生直接接触和间接接触造成的触电事故；对于高压下电情况下进行的碰撞试验，由于电力负载没有电压和能量来源,应满足 1.1.3.4 物理防护要求或 1.1.3.5 绝缘电阻要求，REESS 和充电子系统应满足下面四项要求（1.1.3.2-1.1.3.5）中的一项。1.1.3.2 电压要求应满足 GB/T 31498-2021 中 4.2.2 章节要求。1.1.3.3 电能要求应满足 GB/T 31498-2021 中 4.2.3 章节要求。1.1.3.4 物理防护要求应满足 GB/T 31498-2021 中 4.2.4 章节要求。1.1.3.5 绝缘电阻要求应满足 GB/T 31498-2021 中 4.2.5 章节要求。1.2 功能安全本部分的功能安全，是指除电池系统和充电系统（相关内容参见后继章节）以外的功能安全。1.2.1 整车功能安全开发流程功能安全开发流程应符合GB/T 34590-2017 道路车辆功能安全相关规定要求。1.2.2 概念开发阶段应基于 GB/T 34590.3-2017 相关规定完成概念开发，并得出相关项定义、安全目标和24功能安全要求，作为系统开发的必要输入。1.2.2.1 相关项定义为了充分理解相关项，并为后续阶段的安全活动提供支持，应从相关项的功能、要素、接口、环境条件、相关法规要求和危害等方面考虑，详细定义相关项的功能性和非功能性要求。1.2.2.2 危害分析与风险评估危害分析与风险评估的目的是识别相关项中因故障而引起的危害并对危害进行归类，制定相应的安全目标，以避免不合理的风险。其中，应基于相关项的功能行为，来分析其潜在的危害事件。再从危害-事件的严重程度、暴露概率、可控性三个方面对相关项进行系统性的评估，从而确定安全目标及相应的 ASIL 等级。1.2.2.3 功能安全概念功能安全概念主要是为了从安全目标中得出功能安全要求，并将其分配给相关项的架构要素或外部措施。定义功能安全要求时，应从相关项的运行模式、故障容错时间间隔、安全状态、紧急运行时间间隔及功能冗余等方面进行考虑，同时可以使用安全分析（例如 FMEA、FTA、HAZOP）的方法，使制定的功能安全要求更加完善。功能安全概念还应按照 GB/T 34590.9-2017 中的要求进行验证，以表明与安全目标的一致性和符合性，及减轻或避免危害事件的能力。1.2.3 系统功能安全开发进行正式系统开发前，应基于 GB/T 34590.4-2017 相关规定，指定系统层面产品开发的安全活动计划，包括确定设计和集成过程中适当的方法和措施、测试及验证计划、功能安全评估计划等。1.2.3.1 系统安全要求设计技术安全要求是实现功能安全概念必要的技术要求，目的是将相关项层面的功能安全要求细化到系统层面的技术安全要求。25应基于 GB/T 34590.4-2017 相关规定，根据功能安全概念、相关项的初步架构设想、外部接口、限制条件等系统特性来制定技术安全要求。技术安全要求应从故障探测/指示/控制措施、安全状态、故障容错时间间隔等方面考虑，定义必要的安全机制。1.2.3.2 系统设计系统设计应基于功能概念、相关项的初步架构设想和技术安全要求。在实现技术安全要求相关的内容时，应从验证系统设计的能力、软硬件设计的技术能力、执行系统测试的能力等方面考虑系统设计。为避免系统性失效，应对系统设计进行安全分析以识别系统性失效的原因和系统性故障的影响。为降低系统运行过程中随机硬件失效造成的影响，应在系统设计中定义探测、控制或减轻随机硬件失效的措施。系统设计中定义软硬件接口规范，并在后续硬件开发和软件开发过程中进行细化。1.2.3.3 系统集成与测试基于 GB/T 34590.4-2017 相关规定，分别进行软硬件、系统、整车层级的集成和测试，验证每一条功能和技术安全要求是否满足规范，以及系统设计在整个相关项上是否得到正确实施。为发现系统集成过程中的系统性故障，在确定测试方法时，应从以下几个方面考虑：（1）功能和技术要求在系统层面是否被正确执行；（2）安全机制在系统层面是否被正确的执行；（3）外部接口和内部接口在系统层面执行的一致性和正确性；（4）安全机制在系统层面的失效覆盖率的有效性；（5）系统层面的鲁棒性水平。1.2.3.4 安全目标确认应基于 GB/T 34590.4-2017 中的规定，通过检查和测试等方式，确认安全目标是否在整车层面是正确、完整并得到完全实现。确认安全目标前可以从确认流程、测试用例、环境条件等方面考虑，并制定详细的确26认计划。应根据安全目标、功能安全要求和预期用途，按计划执行整车层面的安全目标确认。具体确认方法可考虑详细定义的可重复性测试、安全分析、长期测试、用户抽测、评审等形式。1.2.4 电控单元硬件开发电控单元硬件开发流程应满足 GB/T 34590.5-2017 的要求，执行规定的安全活动，输出规定的交付内容。1.2.4.1 电控单元硬件安全要求基于 GB/T 34590.5-2017 相关规定，将技术安全概念，技术安全要求和系统设计说明落实到硬件层级，设计完整且详细的硬件安全要求。为保证硬件安全要求的完整性，在设计时应考虑包含以下内容：（1）安全机制及其属性；（2）验证的标准；（3）硬件度量的目标值；（4）FTTI；（5）其它与安全相关的要求。为保证硬件安全要求的质量，应按照 GB/T 34590.8-2017 中第 6 章的要求进行硬件安全要求的设计、验证和管理。为使硬件被软件正确地控制和使用，应对软硬件接口（HSI）进行充分的细化，并描述出硬件和软件之间的每一项安全相关的关联性。1.2.4.2 电控单元硬件设计基于 GB/T 34590.5-2017 相关规定，进行硬件架构设计和硬件详细设计，并进行硬件安全分析，以满足系统设计说明和硬件安全需求的要求。为避免硬件的系统性风险，一般应进行硬件架构设计，然后进行硬件详细设计。在硬件架构设计时，应确保每个硬件组件继承了正确的 ASIL 等级，并可追溯到与之相关的硬件安全要求。在硬件设计时，应运用相关的经验总结，并考虑安全相关硬件组件失效的非功能性原27因，如果适用，可包含以下因素：温度，振动，水，灰尘，EMI，来自硬件架构的其他组件或其所在环境的串扰。为提高设计的可靠性，应遵循 GB/T 34590.5-2017 中的“模块化的硬件设计原则”和“鲁棒性设计原则”，如降额设计、最坏情况分析等。为识别硬件失效的原因和故障的影响，应按 GB/T 34590.5-2017 中的要求，根据不同的 ASIL 等级，使用“演绎分析”（如 FTA）或“归纳分析”（如 FMEA）的方法进行安全分析。如果安全分析表明生产、运行、服务和报废与安全相关，则应定义其与安全相关的特殊特性并输出说明性文件。为验证硬件设计与硬件安全要求的一致性和完整性，应按 GB/T 34590.5-2017 中的要求，对硬件设计进行验证。1.2.4.3电控单元硬件组件的鉴定基于 GB/T 34590.8-2017 相关规定，对其中复杂的硬件组件及元器件应进行硬件组件的鉴定，确保硬件组件合规使用并为 FMEDA 分析提供基础数据。1.2.4.4 电控单元硬件架构度量的评估基于 GB/T 34590.5-2017 相关规定，进行硬件架构度量的评估，并将评估结果和优化建议反馈到系统设计、硬件设计、软件设计环节，以优化产品设计，使最终的“单点故障度量”和“潜伏故障度量”满足对应 ASIL 的要求。1.2.4.5 随机电控单元硬件失效导致违背安全目标的评估基于 GB/T 34590.5-2017 相关规定，进行 PMHF 评估或割集分析评估，闭环优化使相关安全目标没有由于随机硬件失效带来的不可接受的风险。1.2.4.6 电控单元硬件集成和测试基于 GB/T 34590.5-2017 相关规定，进行硬件集成和测试，通过测试确保所开发的硬件符合硬件安全要求。硬件集成测试用例的生成应考虑 GB/T 34590.5-2017 的表 10 中所列的方法。为了验证安全机制的完整性和正确性，硬件集成测试应考虑以下方法：功能测试、故28障注入测试和电气测试。为了验证硬件在外部应力下的鲁棒性，硬件集成测试应考虑 GB/T 34590.5-2017 的表12 中所列方法。1.2.5 电控单元软件设计1.2.5.1 软件安全需求分析软件安全需求分析目的是依据安全技术规范以及系统设计说明书指定软件安全需求，同时验证软件安全需求与安全技术规范及系统设计说明书是否一致。软件安全需求分析阶段需满足完整性、可测试性、可追溯性要求。软件安全需求分析时，应从如下方面考虑：充分识别失效会违反安全技术要求的软件功能；需来源于安全技术要求和系统设计方案；应识别软件与硬件之间所有安全相关的属性；包含足够的硬件运行资源，有效的安全相关等信息的确认；软硬件接口说明书应是确认有效的；测试验证方法应是安全有效的。1.2.5.2 软件安全架构设计软件安全监控架构设计目的在于开发一个可以满足并实现软件安全需求的软件架构。软件安全监控架构设计需结合功能安全相关软件需求和非功能安全相关软件需求，全局考虑软件的架构设计，并进行软件安全分析。软件安全监控架构设计时，应从如下方面考虑：应该是可配置、可实施、易于测试和可维护的；需遵循模块化、高类聚、低耦合、低复杂度的要求；应细化到足够支持详细设计；应具备静态和动态特性；应满足独立性的要求；应覆盖软件安全需求等。1.2.5.3 软件失效分析与详细设计软件失效分析与软件详细设计目的是基于软件架构设计及软件安全需求对软件功能模块进行详细设计，同时根据建模及编码指导书进行模型或源代码设计。软件详细设计时，应从如下方面考虑：应包含足够的必要信息以便于允许后续活动开展；应详细描述其功能特征；应满足可测性、可维护、低复杂度、可读性和健壮性等要求；详细设计应满足与软件安全需求、软件架构、编码准则、详细设计说明书等一致性的要求。291.2.5.4 软件安全算法测试软件算法测试用于证明软件单元模块符合软件详细设计说明书要求，该要求包括：软件功能要求的符合性，接口要求的一致性，算法的健壮与高效等。软件算法测试案例设计时，需按照软件详细设计说明书，软件失效分析报告要求，采用需求分析、等价类划分、边界值分析、错误猜想等方法。软件算法测试活动，要做好详细设计、失效分析报告、测试案例、测试数据、测试缺陷的双向可追溯性与过程的完整性。软件算法测试同时还需要度量验证软件算法质量，包括单元覆盖度（如：语句覆盖度，分支覆盖度，修正判定条件覆盖度等），代码编码规则，以及其他静态度量指标（如：圈复杂度等），具体请参见 GB/T 34590.6-2017 相关要求。1.2.5.5 软件集成与架构符合性测试软件集成与架构符合性测试主要用于验证软件组件集成功能，以及软件组建之间的接口是否符合软件架构设计文档要求。软件集成通常可分为增殖式集成与一次性集成。不同的集成方式，对应的集成测试策略也不同。常用到的测试方法包括：基于需求的测试，接口测试，故障注入测试，资源占用测试以及模型与代码的背靠背测试。软件集成测试也包含质量度量过程，主要度量指标包括功能覆盖度和函数调用覆盖度。1.2.5.6 软件安全需求验证软件安全需求验证的目的在于确保软件在目标硬件环境上能够正确实现软件安全需求。通常需采用验证方法包括硬件在环测试、电子电气试验台架测试以及实车测试等。软件安全需求验证不但要从功能角度验证软件安全需求的符合情况，还要从性能角度验证是否满足性能要求（如：程序安装测试、负载测试等）。1.3 使用操控安全1.3.1 操控安全基本要求整车企业需提供用户使用说明书，明确安全操作要求，同时整车必须满足数据监控以30及故障报警的基本功能。1.3.2 正常场景安全1.3.2.1 车辆上下电安全车辆上下电安全包括上下电流程设计以及安全操作步骤设计。上下电流程设计上下电流程设计：车辆在上电之前应当具备诊断高压部件故障的功能，包括硬件电路短路开路、绝缘阻值过低、高压互锁故障等。在闭合主接触器之前，检查到车辆等级高的故障，车辆应禁止上电；车辆高压上电后，检测到碰撞或高压故障时，应记录相关故障码，通过声光等信号通知驾驶员。安全操作步骤设计：安全操作步骤设计：根据 GB 18384-2020，车辆安全操作需满足如下要求：（1）车辆从驱动系统电源切断状态到可行驶状态应至少经过两次有意识的不同动作，且至少有一个动作是踩下制动踏板。（2）从可行驶状态到驱动系统电源切断状态只需要一个动作；（3）动力电源对驱动电路的主开关功能是驱动系统电源接通/断开程序的必要部分，若驱动系统的电源接通/断开程序是通过车钥匙激活，要符合相关安全设计的要求；（4）应当连续或者间歇向驾驶员提示，车辆处于可行驶模式；（5）车辆停止时，驱动系统自动或手动关掉后，只可以通过上述程序重新进入“可行驶模式”。1.3.2.2 车辆行驶操作安全按照 GB 7258-2017，车辆以纯电动模式低速驱动时，应通过低速行驶提示音系统发出的声音提醒周边行人。驾驶员主动停止低速行驶提示系统停止工作时，应通过醒目的提示信号进行提示。按照 GB 18384-2020，驾驶员直接驾驶车辆，在车辆静止状态下从非行驶档位切换至行驶档位，应踩下制动踏板（针对手动档电动车不适用）。按照 GB 18384-2020，如果是通过改变电机旋转方向来实现前进和倒车的方向转换，应当满足以下要求：（1）前进和倒车两个方向的行驶转换，应通过两个不同操作动作来完成；（2）如果仅通过一个动作来完成，应使用一个安全措施使模式转换只有在车辆静止或低速时（建议小于 7km/h）才能完成；31（3）如果前进和倒车两个行驶方向的转换不是通过电机的旋转方向来实现的，则反向行驶要求不适用。当驾驶员离开车辆时，如果驱动系统仍处于可行驶模式，需通过一个明显的信号装置提示驾驶员。切断电源后车辆不能产生由自身电驱动系统造成的不期望行驶。1.3.2.3 整车充电操作安全按照 GB 18384-2020，车辆物理连接到外部电源进行充电时，应当具备装置防护充电枪脱落的情况，包括机械锁止、电气锁止等，并且不能通过其自身的驱动系统移动。车辆进行充电时，应当能够检测高压安全相关故障，并有能力在检测到相关故障时断开高压。车辆进行充电时，应当能够通过 VCU 禁止一切可能使车辆产生自发性移动的操作；当有外力作用于车辆并使车辆产生移动时，车辆应当能视程度剧烈发出警示音乃至切断高压。1.3.2.4 整车-低电量报警提醒按照 GB 18384-2020，如果可充电储能装置的低电量影响到了车辆的行驶，应通过一个明显的信号（例如：声或光信号）装置向驾驶员提示。1.3.31.3.3 特殊场景安全特殊场景安全1.3.3.1 车辆故障操作安全如果电驱动系统采取了自动减少和限制车辆驱动功率的措施，并且影响了车辆的行驶，该状态要向驾驶员指示。如果车辆因故障导致无法输出动力时，应通过一个明显的信号（例如：声或光信号）装置向驾驶员提示。1.3.3.2 车辆碰撞操作安全车辆应具备碰撞检测功能。如果检测到碰撞事件发生，系统应能够禁止动力输出，切断主接触器，同时通过一个或者多个放电设备进行主动放电。主动放电应满足 1.1.2.3.7下电后放电要求。在车辆未维修完成前，不允许再次上电。321.4 安全防护措施1.4.1 整车通过性要求为保证车辆在正常行驶中的动力电池底部安全性，整车企业应按照车型定义合理的最小离地间隙及最小纵向通过角，离地间隙和纵向通过角定义和测量按照 GB/T 3730.3-1992中要求执行。整车企业可参考 ADR 43/04-2016（Vehicle Standard(Australian Design Rule 43/04 Vehicle Configuration and Dimensions)2006）中对于汽车通过性的最小目标（满载载荷下）：（1）前后轴中点的离地间隙不小于 0.0333*轴距(单位为 m)；（2）轴间的最小纵向角为 7.6。1.4.2 正面碰撞安全1.4.2.1 基本要求按照国标 GB/T 31498-2021 评估电动汽车正面碰撞高压电安全性能，试验设置依据GB 11551-2014 或 GB/T 20913-2007 进行，需满足 GB/T 31498-2021 条目 4 技术要求的规定。1.4.2.2 附加要求按照 C-NCAP 评估电动汽车正面碰撞高压电安全性能，试验设置依据 C-NCAP 管理规定进行（现行为 2021 版规程），参照 C-NCAP 要求进行电安全评估，需满足测试规程 1.2.1.1.8纯电动汽车/插电式混合动力汽车电气安全条款规定的技术要求，不做星级要求。1.4.3 侧面碰撞安全1.4.3.1 基本要求按照国标 GB/T 31498-2021 评估电动汽车侧面碰撞高压电安全性能，试验设置依据GB 20071-2006 进行，需满足 GB/T 31498-2021 条目 4 技术要求的规定。331.4.3.2 附加要求按照 C-NCAP 评估电动汽车侧面碰撞高压电安全性能，试验设置依据 C-NCAP 管理规定进行（现行为 2021 版规程），参照 C-NCAP 要求进行电安全评估，需满足测试规程 1.2.1.1.8纯电动汽车/插电式混合动力汽车电气安全条款规定的技术要求，不做星级要求。1.4.4 追尾碰撞安全按照国标 GB/T 31498-2021 评估电动汽车追尾碰撞高压电安全性能，试验设置依据GB 20072-2006 进行，需满足 GB/T 31498-2021 条目 4 技术要求的规定。（注：GB/T 31498-2021 暂未引用 GB 20072-2006，目前为标准讨论稿阶段，后续将实施）1.4.5 侧面柱碰防护按照 C-NCAP 评估电动汽车侧面柱碰撞高压电安全性能，试验设置依据 C-NCAP 管理规定进行（现行为 2021 版规程），参照 C-NCAP 要求进行电安全评估，需满足测试规程1.2.1.1.8 纯电动汽车/插电式混合动力汽车电气安全条款规定的技术要求，不做星级要求。1.4.6 整车底部安全防护对于将动力电池布置于乘员舱外底盘下的电动汽车，建议整车企业基于典型滥用工况评估车辆的底部碰撞高压电安全性能，如针对常见的底部托举,底部刮擦、底部碎石冲击等工况等的设计防护，定义相应的动力电池底部滥用工况作为标准工况，提出动力电池包的底部防护性能要求，确保开展相关测试后电池包不发生起火、爆炸等现象。同时，对于布置在底盘下的高压连接器与线束增加防护装置。1.4.7 碰撞后高压断电及报警提醒车辆碰撞后，应满足 1.1.3 规定，同时应具备报警提醒功能。1.4.8 控制器故障诊断高压用电器件应具备故障诊断功能，并能通过整车诊断口读取故障码。341.5 整车 EMC 安全车辆的 EMC 辐射强度及抗干扰强度应符合下述规定，以保证车辆在 EMC 干扰下的安全行驶和对驾乘人员的保护。1.5.1 整车车外电磁辐射骚扰及抗扰度要求1.5.1.1 车辆对外电磁辐射骚扰要求车辆及其零部件系统应装置有无线电骚扰抑制器件及布置措置，以保护车辆使用环境中的外界无线电通讯设备正常工作。车外电磁场发射量应按 GB 14023-2011、GB34660-2017、GB/T 18387-2017 试验验证，并符合标准限值要求。（1）车辆静态工况：车辆静止，12V 系统用电器全开；（2）车辆动态工况：车辆分别以 16km/h、40km/h、70km/h 恒速行驶；（3）车辆充电工况：车辆处于充电模式，动力电池荷电状态（SOC）应处在最大荷电状态的 2080之间。1.5.1.2 车辆抗电磁干扰要求车辆应采用合理布置及屏蔽保护设计，在处于以下使用工况状态时，应耐受标准场强等级车外电磁场辐射干扰，而不发生功能状态偏离及安全降级。并按照 GB 34660-2017 对20MHz-2GHz 频段试验验证。（1）车辆动态工况：车辆用电器全开，以 50km/h 恒速行驶；（2）车辆充电工况：车辆处于充电模式，动力电池荷电状态（SOC）应处在最大荷电状态的 2080之间。1.5.2 整车车载电器电磁辐射骚扰及抗扰度要求1.5.2.1 车载电器电磁辐射骚扰要求车载用电器设备（如：空调压缩机，驱动电机等）应装置有无线电骚扰抑制器件，以控制沿传导路径及空间辐射路径骚扰发射，保护车载无线电收发设备（如收音机、GPS、T-BOX 等）在安全范围工作。应按照 GB/T 18655-2018（建议不低于等级 3 限值）试验验证并符合标准限值要求。（1）车辆静态工况：车辆用电器单独打开，车辆动力系统高压上电完成（PT Ready）；35（2）车辆动态工况：车辆 40km/h 恒速行驶；（3）车辆充电工况：车辆处于充电模式，动力电池荷电状态（SOC）应处在最大荷电状态的 2080之间。1.5.2.2 车载电器电磁抗扰要求车载用电器设备应采用合理布置及屏蔽保护设计，在处于以下使用工况状态时，应耐受车载发射机标准发射功率场强等级电磁辐射干扰，而不发生功能状态偏离及安全降级。应按照 GB/T 33012.3-2016 对不同发射机工作频段进行试验验证。（1）车辆动态工况：车辆用电器全开，以 50km/h 恒速行驶；（2）车辆充电工况：车辆处于充电模式，动力电池荷电状态（SOC）应处在最大荷电状态的 2080之间。1.5.3 整车充电过程中沿电源线骚扰和抗扰度要求车辆处于电源线传导充电工况模式，应按照 ECE R10.6 试验验证；沿充电电源线的谐波发射，电压变化、波动和闪烁发射，射频传导发射的特性符合标准限值要求。应能耐受来自充电电源线的浪涌干扰，电瞬态快速脉冲群干扰，而不发生充电功能状态偏离及安全降级。车辆处于无线充电工况模式，应包含接入电网的无线充电耦合设备装置，按 ECE R10.6试验验证并通过。1.5.4 整车乘员暴露于车辆电磁环境安全要求本部分指人体所处车辆环境的低频磁场发射。车辆在处于以下工况时，应按照 GB/T 37130-2018 试验验证；10Hz-400KHz 的磁场发射量符合 ICNIRP 2010 限值要求。静态工况：车辆静止状态用电器全开，车辆动力系统高压上电完成（PT Ready）；动态工况：车辆以 40km/h 恒速行驶；车辆以 2.5 m/s2的加速度和减速度行驶；充电模式：动力电池荷电状态（SOC）应处在最大荷电状态的 2080之间。1.5.5 高压线束 EMC 要求高压线束应具备 EMC 屏蔽措施，其走向布置不应形成 EMC 辐射增强的效果。36高压线束屏蔽层应与高压部件可导电外壳有效连接。1.6 动力电池热安全整车应能有效的对电池系统进行散热和降温，以确保电池系统温度始终在正常使用范围内，以免温度过高影响电池系统寿命。整车设计时应考虑如果电池发生温度超出正常使用范围，应该限制功率输出，并加以提醒。如果有热失控发生风险，整车应具备提前提醒和报警功能，确保驾乘人员提前安全撤离。1.6.1 报警触发信号及时间要求整车处于行驶状态和充电状态时，BMS 监测电池的工作参数（例如温度、温升速率、电压、气压、烟雾、可燃气体成分等），如果监测的信号出现异常，符合电芯热失控特征，应发出热事件报警信号。整车处于停泊状态时，如电池发生热事件，BMS 应被唤醒，唤醒信号可以是温度、电压、气压、可燃气体成分等。从 BMS 发出热事件报警信号到电池包发生热事件的时间间隔不低于 5 min。1.6.2 报警方式电池包发生热事件前，必须通过明确的形式表明当前电池存在热事件风险，需要用户立即停车并且离开车辆。报警的方式包含声音报警和仪表报警两种方式。声音报警应按照特有声音持续鸣响，建议整车喇叭能支持报警发声，报警提示对于车内车外都能达到危险警示的作用；仪表报警推荐为动力电池符号与着火/爆炸图形的组合，同时以文字形式进行提示，文字提示能反应“请停车，立即远离车辆”的意图。为了提升报警的紧迫性，建议增加双闪灯的快速闪烁的提醒。1.6.3 电池系统热事件远程服务报警要求电池热事件报警信号数据格式遵照 GB/T 32960.3-2016 定义。利用报警数据格式中的通用报警标志的第 19 个 bit 定义作为热事件的报警标志。表 1-2 报警数据格式和定义37数据数据表示内容表示内容长度长度/字节字节数据数据类型类型描述描述及要求及要求通用报警标志4DWORD参考 GB/T 32960.3-2016 定义表 1-3 通用报警标志位定义位位定义定义处理处理说明说明018参考 GB/T 32960.3-2016 定义标志维持到报警条件解除191：热事件报警；0：正常标志维持到报警条件解除2031预留1.6.4 电池系统热事件远程服务报警要求1.6.4.1 测试条件（一）试验对象测试对象为整车或电池包或系统。测试样品需从量产产品中抽取，并对样品进行标记和登记。测试样品在试验前需进行绝缘电阻测试和充放电测试，保证样品可靠性。测试样品在实验前应充满电，在试验环境下静置 24h 进行预处理。（二）测试环境本试验应在温度为 225之间，相对湿度为 10%，大气压力为 86106 kPa的环境中进行。试验应在室内环境或者风速不大于 2.5 km/h 的环境下进行。为应对试验过程中可能出现的起火，爆炸等现象，应在试验场所中安排对应消防工具（灭火器，消防栓等）和对应实验人员隔离通道。（三）试验准备试验开始前，测试对象的 SOC 应调至大于制造商规定的正常 SOC 工作范围的 95%。试验开始前，所有的试验装置应都必须正常运行。试验应尽可能少地对测试样品进行改动，制造商需提交所做改动的清单。试验对象的 BMS 应处于正常工作状态，BMS 发出的数据能够被记录。注：热扩散试验可能需要在测试开始前对锂离子电池包或系统进行一定程度的改动，导致可能无法进行充电，需在试验开始前确认测试对象的 SOC 满足要求。381.6.4.2 测试方法（一）热事件触发对象试验对象中的电池单体，应选择电池包内靠近中心位置，或者被其他电池单体包围的电池单体。（二）热事件触发方法热事件触发应包括车辆行驶状态、充电状态和停泊状态，推荐下述方法作为热事件试验的可选方法，制造商可以选择其中一种方法，也可自行选择其方法来触发热事件。（1）推荐的针刺触发热事件方法：刺针材料：钢；刺针直径：3 mm8 mm；针尖形状：圆锥形，角度为 2060；针刺速度：0.1 mm/s 10 mm/s；针刺位置及方向：选择能触发电池单体发生热事件的位置和方向（例如，垂直于极片的方向）。（2）推荐的加热触发热事件方法：使用平面状或者棒状加热装置，并且其表面应覆盖陶瓷、金属或绝缘层。对于尺寸与电池单体相同的块状加热装置，可用该加热装置代替其中一个电池单体，与触发对象的表面直接接触；对于薄膜加热装置，则应将其始终附着在触发对象的表面；加热装置的加热面积都应不大于电池单体的表面积；将加热装置的加热面与电池单体表面直接接触，加热装置的位置应与图 1-2 中规定的温度传感器的位置相对应；安装完成后，应在 24h 内启动加热装置，以加热装置的最大功率对触发对象进行加热；加热装置的功率要求参见表1-4；当发生热事件或者图1-2定义的监测点温度达到300时，停止触发。表 1-4 加热装置功率选择触发对象电能 E（Wh）加热装置最大功率（W）E 10030 300100 E 400300 1000400 E 600监测电压或温度，应使用原始的电路或追加新增的测试用电路。监测温度定义为温度A（测试过程中触发对象的最高表面温度）。温度数据的采样间隔应小于 1 s，准确度要求为2。针刺触发时，温度传感器的位置应尽可能接近短路点，也可使用针的温度（如图 1-1）。触发对象温度传感器39图 1-1 针刺触发时温度传感器的布置位置示意图加热触发时，温度传感器布置在远离热传导的一侧，即安装在加热装置的对侧（如图1-2）。图 1-2 加热触发时温度传感器的布置位置示意图推荐的测试对象是电池包与系统热事件触发点推荐选择电池包内靠近中心位置，如图1-3 所示。图 1-3 热事件触发优选电芯位置（三）（三）热事件触发判定条件a)触发对象产生电压降，且下降值超过初始电压的 25%；b)监测点温度达到制造商规定的最高工作温度；c)监测点的温升速率 dT/dt1/s，且持续 3 s 以上。针刺点40当 a)和 c)或者 b)和 c)发生时，判定发生热事件。如果采用推荐的方法作为热事件触发方法，且未发生热事件，为了确保热扩散不会导致车辆乘员危险，需证明采用如上两种推荐方法均不会发生热事件。（四）热事件报警能力测试当触发热事件条件时，试验对象应具备数据采集及传输能力。当判断触发热事件条件时，试验对象应及时发出热事件报警信号，并同步传输电池包实时数据。发生以下两种情况，判定为热事件误报警:如对电池或模组进行热事件试验，热事件报警后，观察并记录 60min 数据后没有发生热事件。如对车辆进行事件试验，热事件报警后，观察并记录 120min 数据后没有发生热事件。（五）热事件试验记录完成热事件试验后，应该对整个热事件试验进行详细的记录，主要包括但不限于以下内容：1、试验时间、地点及产品技术参数；2、试验程序：包括试验方法、试验对象、触发对象、监控点布置方案、热事件触发判定条件以及对试验对象所做的改动清单等；3、试验结果：包括系统报警和试验关键事件（热事件触发开启、热事件触发停止、外部烟、火、爆炸）等的试验照片、试验数据和时间等。1.6.4.3 信号采集与处理（一）温度信号的采集及处理1、温度传感器要求数量要求。原则上要求每个单体电池都要有一个温度测量点。如果通过仿真及实验可以验证单个温度测量点能有效反映多个单体电池的温度，则可适当减少温度传感器的数量。需注意的是隔热板的两侧需要分别有两个温度传感器进行测量。编号要求。温度采集点编号应与单体电池电压采集编号一致。如果是一个温度传感器对应多节单体电池，也需要明确指示出具体所测量的电池单体的编号（与电压测量编号一致）。41传感器需采取一些保护措施，以抵御热失控发生瞬间的高温及液体喷溅。尽量保证在热失控发生 5 秒内，传感器能正常使用。（另外，即使温度测量失效也要准确把失效信号报出来）2、温度信号处理对温度信号的范围和精度要求与 GB/T 38661-2020 的要求相同，同时本标准对采样周期及分辨率也有相应的要求。汇总如表 1-5 所示。表 1-5 温度采集上报要求指标指标要求要求备注备注范围-40 125 误差在-20 65 范围（包含-20 和 65），误差不大于 2；其他范围误差不大于3 分辨率 0.5 采集及上报周期上报周期不大于 200 ms采样周期不大于上报周期超范围处理方式超上限报 125。超下限报-40。（1）温度极值计算BMS 应能计算出电池包所有温度点的最大值和最小值以及对应的位置标号。对温度极值的要求与表 1-5 要求相同。（2）温度信号有效性BMS 需对温度信号的有效性进行判断，并且要求在热失控发生后的 5 秒内能够及时、准确的报出。温度信号有效性的判断，推荐使用以下三种方法：方法一：如果 BMS 的采集芯片有功能安全机制建议开启温度检测通道的校验，设置FTTI 时间应不大于 5 秒。如果采集芯片报温度采集故障则认为温度采样为无效值。方法二：同一个点的两个温度传感器比较。对两个温度值（Tn 和 Tn）做差值，然后取绝对值大于 5，该逻辑维持 5 秒认为温度采样失效。表 1-6 温度有效性判断方法二T 失效置位条件Tn Tn 5，维持 5 秒T 失效清除条件Tn Tn 5，维持 5 秒42方法三:相邻温度传感器比较，只针对极值点。（主要是防止单一温度条件的误报）当两个极值点温度差在 20（可标定）以上时，最高温度点的相邻温度点与最小温度点的差值在 5（可标定）以内，维持 5 秒判断该点所测量的最大温度值失效。温差小于20 并维持 5 秒故障清除。最低温度点的误报逻辑与上述判断逻辑相似。（二）电压信号的采集及处理1、电压要求模组电压测量要求。为了进行单体电压测量有效性的校验，BMS 除了测量每个串联单体电池之外，还需要对电池模组电压进行测量。传感器需采取一些保护措施，以抵御热事件发生瞬间的高温及液体喷溅。尽量保证在热失控发生 5 秒内，传感器能正常使用。（另外，即使电压测量失效也要准确把失效信号报出来）2、电压信号处理对单体电压信号的范围和精度要求与 GB/T 38661-2020 的要求相同，同时本标准对采样周期及分辨率也有相应的要求。汇总如表 1-7 所示。表 1-7 单体电压采集上报要求指标指标要求要求备注备注误差10mV分辨率1mV采集及上报周期上报周期不大于 100ms采样周期不大于上报周期另外，对模组电压的检测精度要求为0.5%FS（满量程）。其他要求同表 8.5.（1）单体电压极值计算。BMS 应能计算出电池包所有单体电压的最大值和最小值以及对应的位置标号。对单体电压极值的要求与表 1-7 要求相同。（2）单体电压信号有效性。BMS 需对单体电压信号的有效性进行判断，并且要求在热失控发生后的 5 秒内能够及时、准确的报出。对单体电压信号有效性的判断建议使用以下两种方法：方法一：如果 BMS 的采集芯片有功能安全机制建议开启单体电压检测通道的校验，设置 FTTI 时间应不大于 5 秒。如果采集芯片报单体电压采集故障则认为单体电压采样为无效值。方法二：模组电压比较法。将模组内所有单体电压值求和，与模组总压进行比较，如43果差值大于0.5 V 并维持 2 秒（可标定）认为该模组中的单体电压检测失效。（三）气压测量要求1、布置位置要求。对于良好连通的一个电池包可放置一个气压测量点。多个箱体的PACK 结构需要在每个箱体中都放置一个气压测量点。2、在同一测量点需要有两个气压传感器进行测量，建议两个传感器型号不同。3、需保证在热失控发生 5 秒内（具体时间可标定），气压测量功能正常。（四）通信异常判断如果 CMU 与 BMU 之间的通信异常，则存在热事件发生后 CMU 损坏的可能。因此建议对通信状态进行监测，推荐的方法包括 CRC、Time out、Rolling counter 三种校验方法。1.6.4.4 热事件报警策略建议（一）热事件报警处理策略架构推荐的热事件报警处理策略架构如图 1-4 所示。子条件判断模块负责处理由单一信号引起的异常报警，输出从 A 到 J 共 10 种条件。热事件综合报警模块根据这些条件的组合报出热事件发生的报警。两个模块的执行周期应适当选取（推荐值为 200ms）。图 1-4 热事件报警处理策略架构（二）子条件判断策略1、条件 A温度过高置位条件：如果有某个温度值大于或等于一定值（推荐温度值 60）并且持续一定时间（推荐时间 3 秒）。清除条件：该温度值小于一定值（推荐温度值 60）持续一定时间（推荐时间 10 分钟）。2、条件 B温差过大44置位条件：温度最大值与最小值的差大于一定值（推荐温度值 20）并且持续一定时间（推荐时间 3 秒）。清除条件：温差小于一定值（推荐温度值 20）持续一定时间（推荐时间 10 分钟）。3、条件 C温升过快 1 级（用于前期预警）置位条件：最高温度值在一定时间内（推荐时间 5 秒）的温升大于或等于一定值（推荐 2）。清除条件：一定时间内（推荐时间 10 分钟）没有新的置位条件则故障清除，如果有新的置位则重新计时一定时间（推荐时间 10 分钟）。4、条件 D温升过快 2 级（用于热事件发生时的报警）置位条件：最高温度值在一定时间（推荐 1 秒）内的温升大于或等于一定值（推荐 5）。清除条件：一定时间内（推荐 5 秒）没有新的置位条件则故障清除，如果有新的置位则重新计时一定时间（推荐 5 秒）。5、条件 E电压过低置位条件：某个电压值在小于等于一定值（推荐 2 V）并且维持一定时间（推荐 2 秒）。清除条件：该电压值大于一定值（推荐 2 V）并且维持一定时间（推荐 2 秒）。6、条件 F压降过快置位条件：最低电压在一定时间（推荐 2 秒）之内下降一定值（推荐 1 V）。清除条件：每隔一定时间（推荐 2 秒）重新判断。7、条件 G温度检测失效具体方法参照 1.6.6.3。8、条件 H电压检测失效具体方法参照 1.6.6.3。9、条件 I通信异常具体方法参照 1.6.6.3。10、条件 J气压波动（可选项）置位条件：两个气压传感器测量值在一定时间（推荐 5 秒）时间间隔内都出现过气压大于一定值（推荐值 120 KPa）的情况。清除条件：信号维持一定时间（推荐 5 秒）后无置位条件则故障清除。（三）热事件发生前的信号特征热事件发生前一段时间温度信号有一些较明显特征，但也不一定能确认出现这些特征45就一定会发生热事件。由此总结出条件 A，B，C 三个子条件，只要出现三个条件中的任何一个条件就应该引起注意，有可能会发生热事件。相应的处理上仅做低级预警提示、数据的记录及上报给上一级控制单元，不做其他任何实质性措施。另外该预警的一个重要作用是通过车载终端上报大数据监控中心，通过人工分析热事件的可能性有多大，从而采取进一步措施。（四）热事件报警条件汇总根据实验数据分析，在热事件发生的时刻，如果 BMS 的所有测量值均有效，则可以检测到的故障子条件包括：A-温度过高，D-温升过快，E-电压过低，F-压降过快，J-气压波动（可选项）这些信号又分为温度类（A 和 D），电压类（E 和 F），气压类 J，如果出现任意两类条件同时满足，则可判断发生热事件。另外，由于热事件发生时短时间内大量发热有可能对BMS 的各个传感器及采集板 CMU 造成损坏，导致信号的失效，包括子条件 G/H/I。因此一个失效信号组合一个其他类别的故障信号也可判断发生热事件。现将所有热事件报警的组合列举如表 1-8：表 1-8 热事件报警条件汇总组合类别组合类别序号序号条件列举及描述条件列举及描述备注备注温度和电压1A&E温度过高、电压过低温度与电压故障点的 ID 需相同2A&F温度过高、压降过快温度与电压故障点的 ID 需相同3D&E温升过快、电压过低温度与电压故障点的 ID 需相同4D&F温升过快、压降过快温度与电压故障点的 ID 需相同温度和气压5A&J温度过高、气压波动6D&J温升过快、气压波动电压和气压7F&J压降过快、气压波动8E&J电压过低、气压波动失效和其他9G&(E|F|J)温度失效与其他10H&(A|D|J)电压失效与其他11I&(A|D|E|F|J)通信失效与其他以上 11 个条件只要有任何一个条件成立则可发出热事件报警。表中的“&”表示与46逻辑，“|”表示或逻辑。特别的情况，如果热事件发生后，BMS 采集单元迅速损坏（设计要求至少坚持 5 秒钟工作正常），反应出来的情况是通讯局部或全部中断，无法读到电压、温度等信号。此时可按照附表 4 中序号 11 的条件来判断是否报警。如果是通讯部分中断，还可参考相邻采集板的温度、电压等信号进行热事件报警的辅助判断。1.6.4.5 停泊状态下热事件唤醒方式停泊状态下热事件唤醒的三种方法概述。根据现实的事故案例，在停泊状态下依然存在着发生热事件故障的风险。而此时 BMS及其他电控单元一般都处于休眠的状态，无法及时、准确的检测到热事件故障。因此一定要针对停泊状态设计一种检测热事件故障的方法。本规范推荐三种停泊状态热事件故障检测的方法：1、智能传感器唤醒法：设计一个独立的智能传感器单元。在无故障发生时可在低功耗状态运行并实时检测是否有异常的信号（如温度过高）出现，一旦达到异常信号触发条件传感器唤醒，同时唤醒 BMS 进行热事件故障的判断。针对智能传感器唤醒法，首先需要有一个低功耗的智能传感器单元，对该单元的设计要求如下：（1）数量要求。应该有足够数量的传感器保证电池包内环境温度的任何一个区域都可被监控。（2）需保证在热事件发生一定时间（推荐 5 秒）内，温度唤醒功能正常。（3）建议采用边沿唤醒方式触发报警信号，在温度上升到某一个固定值时触发唤醒信号，如果 BMS 判断排除故障风险休眠之后尽管温度一直在报警值以上也不会触发唤醒。只有当温度下降，然后再次上升到该值后才触发唤醒。（4）传感器功耗要求小于一定值（推荐 0.1 mA）。整个系统的唤醒休眠策略见图 1-5。47图 1-5 智能传感器唤醒休眠策略图首先，BMS 除了正常的钥匙及充电插枪唤醒外，在温度传感器触发高于 60（可标定）报警信号后，BMS 也需要能够唤醒并进入上电初始化流程。程序运行足够的时间（暂定为 10 秒），如果触发热事件报警则延时 10 分钟下电，或者在 10 分钟内的任意时刻收到整车通知 BMS 进入休眠状态则 BMS 进入下电流程。如果10 秒钟内没有热事件故障（包括一级和二级故障）BMS 进入下电流程。需注意温度唤醒信号建议做成上升沿触发信号，防止温度传感器反复触发 BMS 唤醒而消耗 12 V 电源电量。2、功能安全机制唤醒法：利用 BMS 电压采集芯片的功能安全机制设计休眠状态下的故障唤醒机制。通过软件设置采集芯片的故障触发阈值（如欠压 UV 和过温 OT 的触发值）。达到触发值时通过芯片的 Fault IO 接口唤醒 BMS 的主控单元 BMU，然后 BMS 就可以对热事件是否发生进行判断。3、实时监控法：通过降低 BMS 功耗及整车电气架构的合理设计，使 BMS 能够全天候 24 小时工作，则不存在停车状态无法检测热事件故障的情况。车辆温度数据大数据温度阈值模型BMS 温度参数48图 1-6 大数据热事件阈值设定方案1.6.4.6 大数据技术在热事件报警的应用（一）BMS 的大数据相关接口大数据接口主要有两方面内容1、BMS 的各个故障判断子条件中的参数需做成标定量，预留大数据接口。目的是如果后期通过大数据手段发现新的规律或参数需要调整留有接口方便更新。2、BMS 预留远程程序刷写接口 OTA，理由同上，大数据后期可能调整控制策略。（二）大数据热事件阈值设定方案大数据热事件阈值设定方案1、采集车辆温度分布数据；2、利用大数据挖掘技术，训练车辆温度分布正常区间范围；3、利用该阈值范围，对 BMS 热事件参数进行更新；4、同时 BMS 有会采集更多的温度数据反馈给大数据温度模型，最终阈值趋于稳定；1.7 整车其他系统热安全整车设计应考虑防止动力电池、电机系统和其他高电压零部件过温而引发安全事故。1.7.1 电机热保护要求电机应设置温度传感器，并通过电机控制器实现温度检测功能。如果检测到电机温度过高，电机控制系统应限制电机功率或者禁止电机工作，并通过一个明显的信号（如声或光信号）装置向驾驶员提示。1.7.2 电机控制器热保护要求电机控制器具备温度检测功能，如果检测到温度过高，系统应限制电机功率或者禁止电机工作，并通过一个明显的信号（如声或光信号）装置向驾驶员提示。1.7.3 充电系统热保护要求在充电过程中，整车的充电系统需要对充电口的温度进行监控，当采用国家标准规定的模式二充电，建议对充电插头进行温度监控。当超出温度保护阈值时，应能采取有效措施进行保护（如降功率或者停止充电），以免导致器件损坏或者起火。49在充电过程中，整车的充电系统应具有车载充电器温度检测功能，当超出温度保护阈值时，应能采取有效措施进行保护（如降功率或者停止充电），以免导致器件损坏或者起火。1.7.4 整车空调 PTC 热保护要求空调 PTC 应具备过热保护和故障报警功能。1.8 整车制造、存储、运输、报废等安全车辆在制造环节中，动力电池系统高压维修开关必须在装配过程中始终处于断开状态，在车辆总装最后环节进行闭合，以确保制造过程高压电安全。车辆出厂前应具备安全检测流程。车辆应避免长时间在高温环境（422）下停放，且停放期间动力电池 SOC 不宜过高（建议：SOC 处于 40%-70%）。车辆在运输过程中，必须移除动力电池系统的维修开关，确保整车处于下电状态。车辆报废应由专业资质单位进行，车辆报废前应确认负载端电压低于 B 级电压或电路存储总能量小于 0.2J，并对动力电池系统进行回收再利用，具体要求参见电池回收再利用章节。1.9 整车换电设计安全整车换电是指通过更换动力电池系统为电动汽车提供电能的方式，被更换的动力电池系统在换电站集中充电维护。换电电动汽车需满足换电车辆的一般安全要求、整车安全要求及系统部件安全要求，及满足相应的试验检测方法要求。电池系统及具备换电功能的车辆需在换电电池包、换电机构、换电接口、软件及控制等方面满足安全设计要求。1.9.1 换电用动力电池系统安全要求动力电池系统宜采用框架式结构，应具备足够的机械强度，满足 GB 38031-2020电动汽车用动力蓄电池安全要求，承受电动汽车振动和冲击要求。501.9.2 换电机构安全要求换电动力电池系统与车辆底盘的固定宜采用锁止操作机构，锁止机构应能有效的将电池系统紧固在底盘上，满足车辆的耐久、环境和冲击的性能要求。在车辆行驶过程中，不应出现锁止机构失效的风险，并且噪声应符合车辆 NVH 性能要求。锁止机构应在车辆行驶造成的频繁振动、蠕动下，能自动跟随位移变化，以保证可靠连接；锁止机构不应出现导致换电失效的松动、变形、开裂、脱落等损坏。动力电池系统在车辆行驶造成的随机振动下，不会出现产生危害的相对位移或产生明显的机械噪声。可采用电池包位置、换电机构或电气接口的连接状态等电气信号监测电池包的松动或意外解锁。在换电过程中，车辆底盘或换电小车上应具备动力电池系统安装导向定位机构，锁止机构能自动修正动力电池系统的位置偏移。锁止机构除满足自动化解锁之外，应具备手动紧急解锁功能。应采用两个及以上操作解锁，过程须连续可靠，避免误操作（注：使用工具扳拧螺纹的视为多步解锁）。1.9.3 换电接口安全要求换电接口，应具备导向和三维浮动功能，确保换电动力电池系统与整车的安全可靠连接。换电防护等级，按照 GB/T 30038-2013 进行试验，电气接口的防护等级应满足 IPX7和 IPX9K 的要求。换电接口按照 GB/T 371332018 中 9.4 的绝缘电阻测量方法进行试验。电气接口的导体与导体之间、导体与外壳之间、导体与屏蔽层之间绝缘电阻应不小于 100M。换电接口按照 GB/T 371332018 中 9.5 的温升试验方法对电气接口进行温升测试。具有温度监控的电气接口应进行功能有效性验证。不具有温度监控的电气接口的温升应不大于 50 K。具有温度监控的电气接口应满足车辆制造厂的要求。电气接口，应具备正确的电气连接和断开顺序，避免换电过程中出现非预期的高、低压电路导通。低压电气接口，要满足全生命周期插接的耐磨、密封要求；具备导向机构，满足换电过程中低压线束插接的导向定位要求。高压电气接口，满足全生命周期插接的耐磨、密封要求；具备导向机构，满足换电过程中高压线束插接的导向定位要求；高压电气接口应满足触电安全部分连接器接触防护要求。电气接口应具备高压互锁功能。冷却接口，应满足全生命周期插接的耐磨、密封要求；具备导向机构，满足换电过程中液冷连接器插接的导向定位要求；液冷连接器在换电或使用过程中，不能出现漏液情况。51应避免冷却管路中的冷却剂（如有）意外泄漏时引发电气接口绝缘故障或其他安全隐患。冷却接口及冷却系统清洁度应满足车辆制造企业的设计要求。1.9.4 换电控制要求整车监控到进入换电状态，应主动执行高压下电流程。BMS 主动引导充电控制、电池故障处理。VCU 或 BMS 应监控换电状态，当监控到换电操作未完成，应不允许车辆上高压或跛行。BMS 或其他控制器宜记录车辆与对应电池包换电次数，便于后期维护。522.电动电动客车安全客车安全2.1 防触电安全电动客车常见的高压（即 B 级电压，指最大工作电压大于 60Vd.c.或 30 V.a.c.，小于等于 1500Vd.c.或 1000 V.a.c.）部件（带电、用电、传输 B 级电压部件）如表 2-1 所示：表 2-1常见高压部件序号序号高压部件名称高压部件名称1动力蓄电池2超级电容3燃料电池4驱动电机5高压发电机6电动转向油泵7电动空压机8DC/DC 变换器（包括隔离 DC/DC）9控制器（驱动电机控制器、发电机控制器、电动转向油泵控制器、电动空压机控制器）10高压维修开关11高压配电12电加热13电空调14充电插座15车载充电机16高压线束及连接器532.1.1 安全标识要求2.1.1.1 高压警告标记要求B 级电压部件，如 REESS 和燃料电池堆，应标记图 2-1 所示符号。对于相互传导连接的 A 级电压电路和 B 级电压电路，当电路中直流带电部件的一极与电平台连接，且满足其他任一带电部分与这一极的最大电压值不大于 30V（a.c.）(rms)且不大于 60V（d.c.）的情况，则 REESS 不需标记图 2-1 所示符号；否则，REESS 无论是否存在 B 级电压，都应标记图 2-1 所示符号。符号的底色为黄色，边框和箭头为黑色。当移开遮拦或外壳可以露出B 级电压带电部分时，遮拦和外壳上也应有同样的符号清晰可见。当评估是否需要此符号时，应当考虑遮拦/外壳可进入和可移开的情况，比如遮拦/外壳需要使用工具才能移开，则该遮拦和外壳上可以不需要该标识，另外，如果该遮拦和外壳在客车地板下方，则也可需要改标识；标记附近建议有明显可见的安全操作注意项目的提醒，如“电机控制器开盖要等 10 分钟后，测量母线电压值为安全电压后方可操作”。图 2-1高压警告标记2.1.1.2 B 级电压电线标记要求B 级电压电路中未被遮挡的电缆和线束的外皮应用橙色加以区别，满足标准要求的外壳里面或遮拦后面的 B 级电压电路中的电缆和线束的外皮颜色不做要求，但建议最好使用橙色加以区别。B 级电压连接器可通过与之连接的线束来区分。2.1.2 直接接触防护要求直接接触防护是通过绝缘材料、外壳或遮栏实现人体与 B 级电压带电部件的物理隔离，外壳或遮栏可以是导体也可以是绝缘体。对于具体部件的直接接触防护要求应满足2.1.2.12.1.2.4。对于 M2，M3类车型，如果在车顶布置有顶部充电装置，如图 2-2 所示，若从车辆入口最底部台阶处到顶部充电装置的外露 B 级电压带电部分的最短路径长度至少为 3m，则54顶部充电装置的外露 B 级电压带电部分可不满足直接接触防护要求。图 2-2最短路径测量示意图2.1.2.1 遮拦外壳要求如果通过遮栏或外壳提供触电防护，则 B 级带电部分应当布置在外壳里或遮栏后，防止从任何方向上接近带电部分。遮栏和外壳需要满足如下两点要求：（1）乘客舱内、货舱内的遮栏和外壳应满足 IPXXD 防护等级要求，乘客舱外、货舱外的遮栏和外壳应满足 IPXXB 防护等级要求；图 2-3 IPXXD 试验探针图 2-4 IPXXB 试验弯指（2）通常，遮栏和外壳只能通过工具才能打开或者去掉；若遮栏和外壳在不使用工具的情况下可以打开或者去掉，则要有某种方法使其中的 B 级电压带电部分在遮栏和外壳打开后 1s 内至少满足如下两种要求之一：交流电路电压应降到不超过 30 Va.c.(rms),直流电路电压应降到不超过 60Vd.c.；B 级电路存储总能量小于 0.2 J。2.1.2.2 连接器要求高压连接器在不使用工具的情况下，应无法打开，但以下三种情况除外：（1）高压连接器分开后，应满足 IPXXB 的防护等级要求；（2）高压连接器至少需要两个不同的动作才能将其从相互的对接端分离，且高压连接器与其它某个机构有机械锁止关系，在高压连接器打开前，该锁止机构必须要使用工具55才能打开；（3）在高压连接器分开之后，连接器中带电部分的电压能在 1s 内降低到不大于 30Va.c.(rms)且不大于 60 Vd.c.。2.1.2.3 高压维修断开装置要求对于装有高压维修断开装置的车辆，高压维修断开装置在不使用工具的情况下，应无法打开或拔出，但以下两种情况除外：（1）高压维修断开装置打开或者拔出后，其中的 B 级电压带电部分满足 GB/T 4208中规定的 IPXXB 的防护等级要求；（2）高压维修断开装置在分离后 1s 内其 B 级电压带电部分电压降低到不大于 30Va.c.(rms)且不大于 60 Vd.c.。2.1.2.4 充电插座要求整车具备多个充电接口时，不执行充电工作的充电接口应不带电，且车辆的充电插座应设置温度监控装置，该装置应能根据温度变化传送相应信号给车辆，用于实现车辆充电接口的温度监测和过温保护功能。车辆充电插座与车辆充电插头在断开时，车辆充电插座应至少满足以下一种要求：（1）在断开后 1s 内，充电插座 B 级电压带电部分电压降低到不大于 30 Va.c.(rms)且不大于 60 Vd.c.或电路存储的总能量小于 0.2 J；（2）满足 GB/T 4208 中规定的 IPXXB 的要求并在 1 min 的时间内，充电插座 B 级电压带电部分电压降低到不大于30 Va.c.(rms)且不大于60 Vd.c.或电路存储的总能量小于0.2 J。2.1.2.5 高压互锁要求（1）B 级电压带电回路中的关键电路连接器建议结合整车控制系统实现软件或硬件互锁、联锁功能；（2）在高压安全系统检测到某处连接断开或某处连接异常时，建议整车系统可以切断相关动力电源的输出并发出报警，直到该故障完全排除。562.1.3 间接接触防护要求2.1.3.1 绝缘电阻要求（1）通则在最大工作电压下，直流电路绝缘电阻的最小值应至少大于 100/V，交流电路应至少大于 500/V。整个电路为满足以上要求，依据电路的结构和组件的数量，每个组件应有更高的绝缘电阻。如果直流和交流的 B 级电压电路可导电的连接在了一起（如图 2-5），则应满足绝缘电阻不小于 500/V 的要求。对于燃料电池电动汽车，如图 2-6 所示。若交流电路增加有附加防护，则组合电路至少满足 100/V 的要求。附加防护方法应至少满足以下一种要求：a）至少有两层绝缘层、遮栏或外壳；b）布置在外壳里或遮栏后，且这些外壳或遮栏应能承受不低于 10kPa 的压强，不发生明显的塑性变形。选择 1选择 2图 2-5 直流、交流电路传导连接的 B 级电压系统绝缘电阻的要求说明：1动力电池或高压电源；2逆变器；3电平台；a交流电路。图 2-6 燃料电池汽车绝缘电阻要求57说明：1燃料电池系统；2动力电池；3逆变器；4电平台；5交流电路。（2）充电插座的绝缘电阻要求车辆交流充电插座车辆交流充电插座应有端子将电平台与电网的接地部分连接。车辆交流充电插座的绝缘电阻，包括充电时传导连接到电网的电路，当充电接口断开时应不小于 1M。车辆直流充电插座车辆直流充电插座应有端子将车辆电平台和外接电源的保护接地相连接。车辆直流充电插座的绝缘电阻，包括充电时传导连接到车辆直流充电插座的电路，当充电接口断开时应不小于 100/V。2.1.3.2 绝缘电阻监测要求车辆应有绝缘电阻监测功能，并能通过 GB 18384电动汽车安全要求6.2.3 的绝缘监测功能验证试验。在车辆 B 级电压电路接通且未与外部电源传导连接时，该装置能够持续或者间歇地检测车辆的绝缘电阻值，当该绝缘电阻值小于制造商规定的阈值时，应通过一个明显的信号（例如：声或光信号）装置提醒驾驶员，并且制造商规定的阈值不应低于GB 18384电动汽车安全要求5.1.4.1 的要求。2.1.3.3 电位均衡要求用于防护与 B 级电压电路直接接触的外露可导电部分，例如可导电外壳和遮栏，应传导连接到电平台，且满足以下要求：（1）外露可导电部分与电平台间的连接阻抗应不大于 0.1；（2）电位均衡通路中，任意两个可以被人同时触碰到的外露可导电部分，即距离不大于 2.5m 的两个可导电部分间电阻应不大于 0.2。若采用焊接的连接方式，则视作满足上述要求。582.1.3.4 电容耦合要求电容耦合应至少满足以下要求之一：（1）B 级电压电路中，任何 B 级电压带电部件和电平台之间的总电容在其最大工作电压时存储的能量应不大于 0.2J，0.2J 为对 B 级电压电路正极侧 Y 电容或负极侧 Y 电容最大存储电能的要求；此外，若有 B 级电压电路相互隔离，则 0.2J 为单独对各相互隔离的电路的要求；（2）B 级电压电路至少有两层绝缘层、遮栏或外壳，或布置在外壳里或遮栏后，且这些外壳或遮拦应能承受不低于 10kPa 的压强，不发生明显的塑性变形。2.1.3.5 故障后下电要求出现问题的 B 级电压电路可用监测电路内的故障或发现事故作为判断条件，由车辆的控制者选择采用断电的方式作为保护措施。车辆在行驶过程中，出现整车断 B 级高压电的车辆异常情况时，在车速大于 5km/h 时应保持转向系统维持助力状态或至少保持转向助力状态 30s。切断供电的电路应在车辆制造商根据预测的故障和工作状态所设定的时间内满足下列条件之一：交流电路电压应降低到 30Va.c.(rms)，直流电路电压应降低到 60Vd.c.或以下；电路存储的总能量小于 0.2J。2.1.3.6 下电后放电要求由于 B 级电压电路在突然断电后，存在反向电动势，因此要求 B 级电压应有主动放电或被动放电功能，当 B 级电压系统断电后，主动放电功能要求在 3s 内或被动放电功能在5min 内，直流母线电压应降至安全水平（直流电压 60 V 以下），且在故障(比如绝缘、短路等影响安全的故障)未解除的情况下，车辆应禁止再次上 B 级电压操作。2.2 防水安全2.2.1 零部件防水要求（1）B 级电压部件间连接器的防护等级应达到 GB/T 4208 规定的 IP67（充电口和受电装置除外）；（2）B 级电压部件上使用的 A 级电压连接器及由此所组成的系统，防护等级应达到59IP67；（3）B 级电压部件的防水等级应不低于 IPX7，建议不低于 IPX8，零部件及系统的防护等级按 GB/T 4208 的试验条件进行，IPX8 浸水时间建议不小于 24 小时。（4）客车在进行涉水试验后，最低点位于客舱地板以下且距地面 500 mm 以下的 B 级电压电气设备和与B级电压部件相连的连接器和安装在车顶且无防护装置的B级电压电气设备（受电装置除外）的防护等级应不低于 IP67。2.2.2 整车涉水要求车辆应在 300mm 水深的水池中，以 510 km/h 的速度行驶 500m，时间 36 min；如果水池长度小于 500 m，应重复试验使涉水长度累计不小于 500m，包括车辆在水池外的总试验时间应少于 10 min。试验完成后 10 min 内，按照 GB 18384 中的绝缘电阻测量方法进行绝缘电阻测试，整车绝缘电阻值应大于 1 M。2.2.3 整车浸水要求安装在客舱地板以下且距地面 500mm 以下的B 级电压电气设备和与 B级电压部件相连的连接器,需进行浸水试验。车辆在断开 A 级和 B 级电压电路状态下，在水深 500mm 水池浸泡 24h，试验完成后 2h 内车辆应不冒烟、不起火、不爆炸。2.3 防火安全2.3.1 火情预警（1）可充电储能系统应具备火灾检测自动报警功能，（建议考虑起火前的烟雾、温度、气体等自动检测和预警）应在驾驶区给驾驶员提供声或光报警信号；（2）可充电储能系统在由于单个电池热失控引起热扩散，进而导致乘员舱发生危险之前 5min，应提供一个热事件报警信号。（3）可充电储能系统应安装熔断器和手动维修开关。2.3.2 防火隔离（1）在可充电储能系统（或安装舱体）与客舱之间应使用阻燃隔热材料隔离，阻燃隔热材料的燃烧性能应符合 GB 8624 中规定的 A 级要求，并且按 GB/T 10294 进行试验，60在 300 时导热系数应小于等于 0.04 W/（mK）。（2）可充电储能系统与安装舱体应与乘客舱隔离（引风装置除外），保证乘客不能触及到可充电储能系统。若从客舱引风为可充电储能系统调节温度,则引风口应配置烟雾控制装置，可充电储能系统发生安全问题时产生的有害气体应不能从进风口进入客舱。2.3.3 阻燃设计（1）可充电储能系统内零部件材料阻燃要求除蓄电池单体外，可充电储能系统内其他非金属零部件，按照 GB/T 2408 规定的试验方法进行可充电储能系统内零部件材料阻燃试验，应满足以下阻燃要求：a)满足以下任一条件的零部件，其材质需满足水平燃烧 HB 级和垂直燃烧 V-0 级的要求：单个零部件重量50 g；单个可充电储能系统内相同型号的零件总重量200 g。b)其它非金属零部件材质需满足水平燃烧 HB75 级和垂直燃烧 V-2 级的要求。（2）B 级电压部件阻燃性能要求按照 GB/T 2408 规定的试验方法进行 B 级电压部件的阻燃性能试验，B 级电压部件所用的绝缘材料阻燃性能应满足表 2-1 的要求。表 2-1 B 级电压部件所用绝缘材料阻燃性能要求序号部件总成部件名称标准要求水平燃烧满足 GB/T2408-2008 规定的 HB 级垂直燃烧满足 GB/T2408-2008 规定的 V-0 级1驱动电机系统外壳2线缆表皮3PCB 电路板4绝缘板5绝缘纸-6绝缘薄膜-7电动压缩机外壳8线缆表皮9电暖风外壳10线缆表皮6111DC/DC 变换器外壳12线缆表皮13PCB 电路板14配电箱外壳15线缆表皮16充电插座外壳17线缆表皮19热收缩双壁管所有尺寸规格20波纹管所有尺寸规格注1：“-”该零件不需要满足此项要求。2.3.4 灭火装备配置要求M2和 M3类客车客舱内配置的手提式灭火器应满足下表 2-2 规定的灭火器规格、数量和安装位置，其中对于专用校车驾驶员附近应配置 1 具不少于 2kg 重的 ABC 干粉灭火剂，且至 少一个照管人员附近，应配置 l 具不少于 2 kg 重的 ABC 干粉灭火器。表 2-2 M2和 M3类客车客舱内手提式灭火器规格、数量和位置车型及车长单层单车体 M2和 M3类客车铰接客车双层客车L6m6m8m灭火器规格单具灭火剂量/kg22444单具灭火级别1A、21B1A、21B2A、55B2A、55B2A、55B灭火器数量/具12（B 级客车1）2（B 级客车1）34灭火器位置位于驾驶人座椅附近1具位于驾驶人座椅附近，另 1具靠近中部或后部1具位于驾驶人座椅附近，另 1具靠近中部或后部1具位于驾驶人座椅附近，另外2具分别靠近中部铰盘处或后部下层：1 具位于驾驶人座椅附近，1 具靠近后部；上层：1 具靠近前部，1 具靠近后部车辆上各保护区域配备的超细干粉灭火器应符合下表 2-3 的要求。表 2-3 车辆上各保护位置灭火器装置的灭火方式和灭火计量序号保护区域灭火方式总灭火剂量1发动机舱全淹没灭火发动机前置的 M2、M3类客车600发动机中置或后置的 M2、M3类客车及专用校车L6m：8006m8m：15002高电压设备舱全淹没灭火3003蓄电池舱全淹没灭火3004燃油(或燃气)加热器舱全淹没灭火3005电涡流缓速器附件局部应用灭火6002.4 控制安全基于 GB/T 34590-4 相关规定，基于系统功能概念和技术安全要求，进行系统级别的安全要求定义，进行系统架构设计，明确软硬件接口定义规范，进行系统级别失效分析，为后续硬件和软件设计提供输入。2.4.1 硬件设计要求从硬件安全要求定义、硬件设计及实现、硬件失效模式分析、硬件系统测试等四个方面进行硬件设计工作，参考 GB/T 34590-5。2.4.1.1 硬件安全要求所设计硬件产品应符合电气性能、环境适应性等车辆系统级要求。（1）电气性能：所设计的硬件产品应符合 QC/T 413 汽车电气设备基本技术条件所规定的电气性能要求；应根据 ISO 16750-2 及 GB/T 28046.2 等满足工作电压、电源过电压性能、电源叠加交流电性能、电源电压跌落性能、电源启动特性、电源极性反接、抛负载性能、供电电压缓升和缓降性能、供电电压瞬时下降性能等要求；（2）环境适应性：应满足车辆运行环境的需求，针对布置在底盘等湿区位置的产品防护等级不应低于 IP67；应根据 GB/T 28046.3 的要求满足低温性能、高温性能、温度冲击性能、温湿性能、盐雾性能、防护性能、自由跌落性能等产品性能要求。2.4.1.2 硬件设计及实现需进行硬件架构度量的评估，并将评估结果和优化建议反馈到系统设计、硬件设计、软件设计环节，以优化产品设计。详细设计和实现阶段，应充分考虑功能冗余及功能要求，优先采用汽车级成熟电路单元，元器件选用汽车级芯片，以满足性能、功能及成本的要求。632.4.1.3 硬件失效模式分析通过对硬件失效模式分析，识别硬件设计中因潜在风险导致的产品失效，建立 FMEA表，以保证分析的完整性。对于侵害安全的失效模式，应制定相应的安全机制来保证安全性；对于非侵害安全的失效模式，需评估设定安全机制的必要性。2.4.1.4 硬件系统测试为了验证安全机制的完整性和正确性，硬件系统测试应考虑按以下方法进行，通过测试确保所开发的硬件符合硬件安全要求。（1）功能性测试，即采用黑盒测试技术针对被测硬件的接口规格说明进行测试；（2）非功能性测试，即对硬件的性能或可靠性进行测试。2.4.2 软件设计要求基于 GB/T 34590-6 相关规定，进行软件安全要求的定义、软件架构设计、软件单元设计及实现、软件单元测试、软件集成及测试、软件安全要求与验证，并满足系统设计和软件安全需求的要求。2.4.2.1 软件安全要求的定义基于 GB/T 34590-6 相关规定，软件安全要求来源于技术安全要求和系统设计规范，软件安全要求的定义考虑硬件的约束及对软件的影响。软件安全要求应针对每个基于软件模块的功能，这些功能的失效可能导致违背分配到软件的技术安全要求。软件安全需求分析阶段需满足完整性、可测试性、可追溯性要求。2.4.2.2 软件架构设计基于 GB/T 34590-6 相关规定，软件架构设计描述全部软件组件及其在层次结构中的交互；静态方面，如所有软件组件间的接口和数据路径；动态方面，如进程顺序和时序行为都得到描述。在软件架构设计应考虑软件架构设计的可验证性、可配置软件的适用性、软件单元设计及实现的可行性、软件集成测试中软件架构的可测性及软件架构的课维护性。软件架构设计需遵循高类聚、低耦合的要求具有模块化、封装性和简单性属性。软件架构设计中，应使用 FFI(Free From Interface，例如：Time Protection,Memory64Protection,Data protection)来避免软件要素间的相互干扰。2.4.2.3 软件单元设计及实现基于 GB/T 34590-6 相关规定，基于软件架构设计开发软件单元的详细设计。软件单元的详细设计分别按照建模或编码指南，以模型或直接以源代码的形式实现。在进入软件单元测试前对详细设计和实现进行静态验证。软件单元的实现包含源代码的生成和转换为目标代码。2.4.2.4 软件单元测试软件单元测试目的是要证明软件单元满足软件单元设计规范且不包含非预期的功能。软件单元测试是根据软件单元设计规范，建立软件单元测试流程，并按照该流程执行测试。在单元测试过程中，为了评估测试用例的完整性并证明没有非预期的功能，应确定软件单元层面的要求覆盖度，同时对覆盖度进行测量，如果认为已实现的结构覆盖率不充分，应增加额外的测试用例或给出接受的理由。2.4.2.5 软件集成及测试基于 GB/T 34590-6 相关规定，按照软件架构设计，对软件要素之间特有的集成层次和接口进行测试，软件要素的集成和测试的步骤直接对应着软件的分层架构。软件集成应完成各个软件单元分层集成到软件组件，直到整个嵌入式软件被集成，并考虑与软件集成相关的功能依存关系和软件集成和软硬件集成之间的依存关系。在软件集成测试过程中，为了评估测试用例的完整性并证明没有非预期的功能，应确定软件集成层面的要求覆盖度，同时对覆盖度进行测量，如果认为已实现的结构覆盖率不充分，应增加额外的测试用例或给出接受的理由。2.4.2.6 软件安全要求验证基于 GB/T 34590-6 相关规定，软件安全要求验证的目的是证明嵌入式软件在目标环境下满足软件安全要求。软件安全要求验证中的测试环境可为硬件在环，测试台架，或者整车环境。可考虑使用工具(例如：traceability matrix)确保和评估软件安全要求的覆盖率，可以复用已有65的测试用例。如果覆盖率不充分，应增加测试用例或给出可以接受的理由。2.4.3 功能和操作设计2.4.3.1 上下电操作设计整车控制系统应能控制 B 级电压电路的通断顺序，通电时，应先接通低压、后接通高压，断电时，应先断开使能信号使高压部件停止工作，后断开低压控制信号切断高压。整车上高压时应检测制动踏板和档位信号，断电时只需断开电源开关即可。2.4.3.2 档位操作设计换挡操作应在踩下制动踏板制动有效的情况下换挡有效。2.4.3.3 充电操作设计当充电枪和整车连接时，整车不能发出扭矩驱动车辆行驶。2.4.3.4 转向操作设计车辆在行驶过程中，出现需要整车主动断 B 级高压电的车辆异常情况时，应能通过声光报警通知驾驶员，且在车速大于 5km/h 时应保持转向系统维持助力状态或至少保持转向助力状态 30 s 后再断 B 级电。2.4.3.5 制动优先设计车辆行驶过程中，当制动信号和加速信号同时发生时，车辆应只响应制动信号。2.4.3.6 车辆故障等级显示及处理机制针对不同故障等级，各主机厂依据自身情况制定不同的故障处理机制，可参考下表：故障级别故障级别三级故障三级故障二级故障二级故障一级故障一级故障说明严重故障较严重故障警告故障处理机制通知驾驶员尽快切断驱动力限制扭矩输出仪表提示针对不同故障等级，各主机厂依据自身情况制定不同的故障显示机制，可参考下表：故障级别故障级别三级故障三级故障二级故障二级故障一级故障一级故障66说明严重故障较严重故障警告故障仪表显示机制声音警告，仪表显示整车三级故障声音警告，仪表显示整车二级故障仪表显示整车一级故障2.4.3.7 驱动系统电源接通和断开程序（1）车辆从驱动系统电源切断状态到“可行驶模式”应至少经过两次有意识的不同动作，且至少有一个动作是踩下制动踏板。（2）从“可行驶模式”到驱动系统电源切断状态只需要一个动作。（3）应连续的或间歇地向驾驶员指示，车辆已处于“可行驶模式”。当驾驶员离开车辆时，如果驱动系统仍处于“可行驶模式”，则应通过一个明显的信号（例如：声或光信号）装置提醒驾驶员；（4）车辆停止时，驱动系统自动或手动关闭后，只能通过上述程序重新进入“可行驶模式”。2.4.3.8 反向行驶如果是通过改变电机旋转方向来实现前进和倒车两个行驶方向转换的，应满足以下两种要求之一：（a）前进和倒车两个行驶方向的转换，应通过驾驶员两个不同的操作动作来完成；或（b）如果仅通过驾驶员的一个操作动作来完成，应使用一个安全措施使模式转换只能在车辆静止或低速时才能完成。车速判断以车内仪表显示为准。如果前进和倒车两个行驶方向的转换不是通过改变电机的旋转方向来实现的，则反向行驶要求不适用。2.4.3.9 驻车切断电源后，车辆应不能产生由自身电驱动系统造成的不期望的行驶。2.4.3.10 车辆与外部传导连接锁止当车辆通过充电电缆连接到位置固定的外部电源或负载时，车辆不能通过其自身的驱动系统移动。672.5 碰撞安全2.5.1 侧面碰撞防护设计若有可充电储能系统其最低点距地面不超过 1 米（车辆空载状态），侧面防护结构按照 GB 38032电动客车安全要求附录 B 进行碰撞试验，车辆在碰撞试验后应符合 GB/T31498 中 4.24.4 规定的防触电保护要求、电解液泄漏要求、REESS 移动要求和 REESS 特殊安全要求等。2.5.2 侧翻防护设计若电动客车需进行上部结构强度试验时，车身防护结构按 GB 17578 进行上部结构强度验证试验，应在其可充电储能系统荷电量（SOC）30P%且处于上电状态下进行试验，试验后应符合 GB/T 31498 中 4.24.4 规定的防触电保护要求、电解液泄漏要求、REESS移动要求和 REESS 特殊安全要求等。2.5.3 追尾碰撞防护设计后高压舱 B 级电压部件的布置位置和防护结构应考虑被追尾后，符合 GB/T 31498 中4.24.4 规定的防触电保护要求、电解液泄漏要求、REESS 移动要求和 REESS 特殊安全要求等，同时整车高压电器件尽可能布置在车辆后部 200mm 以内。2.5.4 底部碰撞防护设计底部碰撞防护设计要考虑两方面，一是离地间隙，二是防护结构。若动力电池布置在地板下，轴间电池下方主梁（不包含局部加强梁、加强件、千斤顶座等）最小离地距离建议设计为轴距的 4%或 3.3%（对于安装空气悬架的车辆），但不得小于 190mm，同时考虑防护结构设计，防护设计应能满足发生侧面碰撞、侧翻及追尾碰撞后底部高压电器也应符合GB/T 31498 中 4.24.4 规定的防触电保护要求、电解液泄漏要求、REESS 移动要求和 REESS特殊安全要求等。2.6 逃生安全2.6.1 逃生窗的设计（1）应急窗和撤离舱口的面积应大于或等于（4105）mm2，且能内接一个 500mm68700mm（对车长小于或等于 7m 的客车为 450mm700mm）的矩形；如应急窗位于客车后端面，则能内接一个 350mm1550mm、四角曲率半径小于或等于 250mm 的矩形时也视为满足要求。（2）应急窗应采用易于迅速从车内、外开启的装置；或采用自动破窗装置；或在车窗玻璃上方中部或右角标记有直径不小于 50mm 的圆心击破点标志，并在每个应急窗的邻近处提供一个应急锤以方便地击碎车窗玻璃，且应急锤取下时应能通过声响信号实现报警；客车后围应急窗的玻璃破碎装置应位于应急窗的上方或下方的中间位置，或者左右两侧均放置玻璃破碎装置。（3）设有乘客站立区的客车车身两侧的车窗，若洞口可内接一个面积800mm900mm的矩形时，应设置为推拉式或外推式应急窗；若洞口可内接一个面积500mm700mm 的矩形时，应设置为击碎玻璃式的应急窗，并在附近配置应急锤或具有自动破窗功能（侧窗洞口尺寸在车辆制造完成后从侧窗立柱内侧测量）。（4）公路客车、旅游客车和未设置乘客站立区的公共汽车，车长大于 9m 时车身左右两侧应至少各配置 2 个外推式应急窗并应在车身左侧设置 1 个应急门，车长大于 7m 且小于等于 9m 时车身左右两侧应至少各配置 1 个外推式应急窗；外推式应急窗玻璃的上方中部或右角应标记有击破点标记，邻近处应配置应急锤；其他车长大于 9m 的未设置乘客站立区的客车，车身左右两侧至少各有 2 个击碎玻璃式的应急窗（车身两侧击碎玻璃式的应急窗总数小于等于 4 个时为所有击碎玻璃式的应急窗）具有自动破窗功能的，应视为满足要求。（5）水平铰接于上端的应急窗，应有一个适当的机构保持其充分开启。铰接式应急窗的开启应保证车内外进出的畅通。（6）客车侧窗的下边缘(推拉窗指金属下边框的上边缘）距其下方脚踏处地板平面（不含任何局部改变，如车轮、传动装置或卫生间等引起的局部变形）的高度应小于或等于1200mm，且大于或等 500mm。对于推拉式和外推式侧窗，若可开启部分的下边缘低于 650mm,应在距地板 650mm700mm 高度处设防护装置防乘客坠落车外；若该侧窗作为应急窗，其防护装置上方的洞口面积应大于或等于应急窗的最小尺寸；若侧窗洞口下边缘距其下方地板平面大于或等于 650mm，也可不设防护装置。（7）对驾驶员不能在座位上清楚看见的铰接式应急窗，应安装声响报警装置，该警示装置应由窗锁或把手(并非窗子本身）的运动来启动，当应急窗未完全关闭时提醒驾驶69员。2.6.2 逃生门的设计（1）应急门的净高应大于等于 1250mm，净宽应大于等于 550mm；但车长小于等于 7m的客车，应急门的净高应大于等于 1100mm，若自门洞最低处向上 400mm 以内有轮罩凸出，则在轮罩凸出处应急门净宽可减至 300mm。（2）车辆侧面的铰接式应急门铰链应位于前端，向外开启角度应大于等于 100，并能在此角度下保持开启。如在应急门打开时能提供大于等于 550mm 的自由通道，则开度大于等于 100的要求可不满足。（3）通向应急门的引道宽度应大于等于 300mm，不足 300mm 时允许采用迅速翻转座椅的方法加宽引道。专用校车沿引道侧面设有折叠座椅时，在折叠座椅打开的情况下（对在不使用时能自动折叠的座椅，在座椅处于折叠位置时），引道宽度仍应大于等于 300mm。（4）应急门应有锁止机构且锁止可靠。应急门关闭时应能锁止，且在车辆正常行驶情况下不会因车辆振动、颠簸、冲撞而自行开启。（5）当客车停止时，应急门不用工具应能从车内外方便打开，即使从车外将门锁住，也应能用正常的开启装置从车内打开。车外应急门开启装置应由易于被移开或打破的装置来保护。客车不应安装有其他固定、锁止应急门的装置。（6）客车(包括双层客车的下层)应急门的车外开启装置应距地面 1000mm-1800mm，且距该门小于或等于 500mm；I 级、II 级和 III 级客车应急门的车内开启装置应距其下方地板(或踏步)的上表面 1000mm-1500mm，且距该门小于或等于 500mm。本规定不适用于位于驾驶区内的操纵件。（7）所有应急门都应提供声响装置，在应急门未完全关闭时提醒驾驶员。该提醒装置应由门的锁止装置（例如，门闩或把手）的运动，而不是门本身的运动来启动。2.6.3 出口数量要求（1）每辆客车至少应有两个车门：两个乘客门；或一个乘客门和一个应急门或一个乘客门和一个驾驶员门。乘客门的最少数量见表 2-4表 2-4乘客门的最少数量车辆类型A 级I 级B 级 II 级和 III 级70车长 L/ML 99L13.7L13.7L 9L9乘客门的最少数量12312如其车身两侧所有的应急窗均为外推式应急窗，也可只设一个乘客门（2）客车每个分隔仓的出口最少数量要满足下表 2-5 的要求。表 2-5 出口的最少数量乘客及车组人员数量/个出口的最少数量/个182916317305314574660861759769010911101111113012130132.6.4 逃生时间要求（1）操作乘客门应急控制器 8s 内应使乘客门自动打开或用手轻易打开到相应的乘客门引道量规能通过的宽度。（2）动力电池单体发生热失控后，动力电池系统在 5min 内不能发生起火或爆炸现象，以便为乘员预留安全逃生时间。2.7 EMC 安全2.7.1 整车车外辐射骚扰及抗扰度要求整车车外辐射骚扰应满足 GB 34660、GB/T 18387 相关要求，以保护车辆外部的电气71与电子系统正常工作；整车耐受外部的电磁辐射干扰应满足 GB 34660 相关要求，以保障车辆安全、动力系统等方面正常工作。2.7.2 电气/电子部件辐射骚扰及抗扰度要求电气/电子部件辐射骚扰及抗扰度应满足表 2-6 要求：表 2-6测试项目测试项目标准要求标准要求发射辐射发射GB/T 18655传导发射GB/T 18655瞬态传导发射GB/T 21437.2抗扰度辐射抗扰度GB/T 33014.1大电流注入GB/T 33014.4瞬态传导抗扰度(电源线)GB/T 21437.2瞬态传导抗扰度(信号线)GB/T 21437.3静电放电GB/T 199512.7.3 整车充电过程中沿电源线骚扰和抗扰度要求车辆处于电源线传导充电工况模式，沿电源线骚扰和抗扰度建议参照 ECE R10.5 试验验证，满足相关要求。2.7.4 人体暴露于车辆电磁环境安全要求人体所处车辆环境的低频磁场发射应满足 GB/T 37130 中的相关要求。2.7.5 高低压线束设计布置要求（1）弱信号线尽量减少与大功率感性负载的电源线、地线并行布线，如不能避免需要增强弱信号用电器的抗干扰能力；（2）减少电源线、搭铁线的绕线，所有的电器件都就近取电、就近搭铁；（3）高压线与低压线应并列布置或分层布置，尽量距离 200mm 以上，必须靠近时应尽可能垂直交叉布置，且尽量不形成大的环路，尤其是电机三相线与电机旋变线不能形成72环路；（4）高压屏蔽线缆与连接器屏蔽层 360环形压接，通过连接器屏蔽层、总成金属外壳可靠接地，且双端接地。2.8 存储、运输安全2.8.1 存储安全2.8.1.1 场地要求（1）存放场地应为专用停车场，通风、排水良好，极端情况下积水深度不能超过300mm；（2）存放场地位置应远离加油站、加气站、热源、潮湿、可燃设施/可燃物质堆放区域、有腐蚀性气体以及灰尘较大的地方，同时还应避免其他车辆或移动的物体对车辆造成撞击或挤压，为防止意外事件的二次影响，还应远离居民区或人群聚集区；（3）存放区域周围 10 米内严禁进行金属切削、焊接或打磨工作；（4）专用停车场应有视频监控装置及人员定期巡视机制，周期不得低于 3 次/天，巡视要有记录存档（存档周期一个月）。2.8.1.2 存放要求（1）车辆存放时，建议两车之间的间距不小于 2m（车辆四周均需满足）；（2）车辆长期储存（超过 3 个月）时：环境温度在-30 50 以内，SOC（荷电状态）40p%储存，储存环境湿度5%；超过 6 个月需要将电池充满电后再放电至 40p%并重新计算存储周期。否则可能会引起动力电池过度放电，降低电池性能；使用压缩空气清除所有维修舱内的灰尘与杂物；将清洁完毕的车辆移至车库或停车场后，拉起驻车制动手柄，将档位退到 N 档，将钥匙打到 OFF，断开电源总开关；关闭车辆所有车窗玻璃，关闭车辆所有维修舱门并用机械钥匙锁紧。舱门应该保持关闭状态锁止，不能随意开启；关闭所有乘客门，断开电源总开关，妥善保管智能钥匙；应由具有专项培训合格记录的人员对整车及关键零部件和车载储能装置、系统73等，进行定期检查、维护，检查结果应有详细的记录存档。（3）在环境温度为 0以下时，短期停放（一周内）车辆 SOC 需保证在 70%；（4）对于存储 3 个月以上车辆，重新投入运营前，还应进行如下保养项目：打开各电池舱，观察电池包与底盘车架固定是否牢靠。此过程同步观察高低压线束及连接器紧固情况，确认是否有松动及损坏；观察电池包情况，确认是否有变形、外盖损坏、异味、鼓胀。观察电池包固定点漆标是否错位，并用力矩扳手重新紧固力矩以确认力矩是否衰减并重新紧固电池包。2.8.1.3 灭火设施配置要求停车场停放时，车辆 5 m 内两边各摆放一个 CO2灭火器或干粉灭火器，灭火器摆放位置便于取用；停车场需要配备足够的消防用水，电池起火的情况下，相关人员要与事故车辆保持至少十米距离，采用消防栓水带射水灭火，同时持续给电池系统降温。2.8.2 运输安全2.8.2.1 拖运要求采用非行驶方式运输时，应使用专用工具或升降台装运，防止车身和零部件变形损坏；装运时，客车之间应保留足够的间隔，用楔形块塞好车轮，并用绳索将客车拉牢，防止车辆滑移；装运后，应实施驻车制动，关窗锁门，按需加以覆盖，建议 SOC 在 40%-70%之间。紧急情况必须拖拽行驶的：车速不允许超过 5km/h，若拖拽行驶距离大于 5km，建议将驱动三相线拆除并进行绝缘处理后再进行拖拽转运，以免拖拽过程中产生制动能量回馈损害整车电控部件。运输车辆，应尽可能远离火源、热源、高压线、易燃、易爆等危险物品，并设置高压警示标志。2.8.2.2 自运要求采用自行行驶时，应遵守说明书中新车行驶的各项规定。（1）评估当前电量是否满足目的地里程要求，避免电量不足导致车辆抛锚；（2）车辆自运前必须做一个安全检查；（3）车辆内灭火器配备必须齐全；74（4）车辆必须空载；（5）禁止急加速急制动。2.8.2.3 事故后救援运输发生事故后，在不能将事故车辆装运时，需要考虑事故车辆拖车的方便性，按照车辆使用说明书约定的拖车方式进行拖车，避免拖车过程中电机出现高温或反电动势过高，引发安全事故。2.9 安全检查2.9.1 日常检查每日由驾驶员在出车前、行车中、收车后执行。新能源系统的日常检查项目如下：表 2-7新能源系统的日常检查项目序序号号维护项目维护项目作业内容作业内容技术要求技术要求1清洁清洁新能源各部件清洁高压发电机、驱动电机、电动转向油泵、电动空压机、高压控制柜等2检查检查新能源高压舱1）舱门锁止有效，舱内无灰尘、不漏水2）高压线端子不露铜、不松脱、不磨蹭3）动力电池箱及各接线头固定可靠4）高压舱换气风扇工作正常，舱内温度显示正常检查电机水冷系统1）检查水箱水位，不足时添加2）检查管路无弯曲、折叠、漏水现象动力电池1)箱体固定可靠，箱体表面无明显灰尘、锈蚀、变形2)电池舱内干燥、清洁3)各箱体高低压线连接正常，固定可靠，无松动现象检查驱动电机、高压发电机、电动转向油泵、电动空压机1）电机固定牢固2）电机无异响、无故障3）检查电动转向油泵、电动空压机无漏油、漏气等现象检查仪表、档位操显示正常、无故障75序序号号维护项目维护项目作业内容作业内容技术要求技术要求纵面板2.9.2 例行检查依据使用说明书对车辆进行例行检查，新能源系统检查作业项目如下：表 2-8新能源系统检查作业项目序序号号检查检查项目项目作业内容作业内容作业作业要求要求1电动转向油泵（1）检视、清洁（2）检查高压、低压插接口（3）转向电机接地检测（1）除尘，保持干燥、干净，转向油泵壳体、接头无渗漏（2）高压、低压插接口插接牢固、无端子松动（3）接地线牢固、不松动，转向电机与车体之间的接地电阻应小于 0.1。2高压控制盒检视、紧固控制盒箱体（1）控制盒固定牢固、不松动（2）除尘，保持干燥、干净（3）维修开关可正常断开、熔断器无高温变色，断路器工作正常3驱动电机控制器、高压发电机控制器（1）检查接线情况（2）检视、清洁（3）电机控制器壳体接地检测（4）检查低压插接口（5）电机冷却水管（1）接线牢固、不松动（2）除尘，保持干燥、干净，冷却水管无老化、变形、渗漏（3）电机控制器壳体与车体之间的电阻，应小于 0.1（4）低压插接口插接牢固、无端子松动（5）水管及接头可靠、无破损4DC/DC、DC/AC、多合一控制器（1）视检各接线桩（2）检视、清洁（1）固定可靠，表面干燥、干净（2）各接线桩头不松动、不允许裸5动力电池组（1）检查电池箱（2）视检固定及各接线桩（1）检验动力电池组电芯电压、温度、压差、绝缘阻值等是否正常76序序号号检查检查项目项目作业内容作业内容作业作业要求要求（3）电池电压及温度（4）绝缘检测（5）检查单体电池压差（2）各接线桩头不允许裸露，（3）检测单体电池电压压差不超标，温度不超过说明书要求。（4）电池总正、负极对地绝缘电阻应大于标准值（5）单体电池电压压差不超标6驱动电机高压发电机（1）检查 U、V、W 端子接线、与屏蔽层接地情况（2）检视电机输入线及接线盒（3）检查清洁驱动电机表面灰尘情况（4）检查低压插接口（5）检查电机工作（1）U、V、W 端子接线牢固、无松动；检查电机外壳接地电阻小于 0.1（2）输入电线的绝缘层无破损，接线盒完好（3）驱动电机表面去尘，保持干燥、干净，散热筋的沟槽内无异物，冷却水管无老化、变形、渗漏（4）低压插接口无破损，旋变线接线、高温传感器线固定可靠，有效（5）试车，电机工作时无异响7电动空压机总成（1）检视空压机电源线和搭铁线（2）检查空压机油位（3）检查、清洁空压机空气滤清器电机绝缘检测（1）空压机总成电源线、搭铁线牢固，无松动（2）油位正常（3）清洁空压机空气滤芯（4）电机三相线对地绝缘电阻应大于 2M8电动空调（1）检查空调机组（2）空调绝缘检测（1）空调各部件表面清洁，不漏水，固定可靠，高低压接线不松动，不磨蹭（2）空调压缩机、变频器高压线与地之间绝缘电阻高于 2M9电机水冷系统（1）管路（2）水泵（3）冷却水箱（1）管路无老化、变形、渗漏（2）水泵工作正常（3）水箱表面清洁、无损伤、无渗漏，风扇工作正常10充电接口检查、清洁（1）充电接口固定可靠，无破损，烧焦等再现象（2）插座内部干燥、清洁77序序号号检查检查项目项目作业内容作业内容作业作业要求要求11绝缘检查（1）高压控制柜（2）驱动电机、高压发电机、助力泵高压输入线（1）高压控制柜高压线与地之间电阻高于 2M（2）如遇下雨季节，还需单独对驱动电机、高压发电机、助力泵电机进行绝缘检查2.9.3 年检机制建立参照传统车辆、部件的年检方案，制定新能源部件的年检要求，降低新能源部件故障，减少新能源车安全风险。建议补充年检项目建议补充年检项目动力电池系统高压部件安全标示电机控制器整车绝缘充电插座电动空压机灭火系统有效期驱动电机超级电容低压/高压电气控制系统2.9.4 例行保养规范为确保驾驶员有效完成规范例保，按照本车发车时间，提前 20 分钟到岗，冬季提前30 分钟到岗，对车辆的安全性能进行检查。车辆例保是指驾驶员在出场前、行车中、间隔停驶定期维护、进场后以及负责执行的检查、检视、巡查、清洁、报修等例行保养作业。1、出场前例保：通过车前部位、车辆左侧、车辆后部、发动机舱、车辆右侧、车厢内部、驾驶室及车辆上电后，检查整车灯光和电子路牌设施，检查中发现不影响正常营运的故障，应通过司售通预约修理，如存在无法营运的应及时进车间修复后再营运，确认整车无故障。2、行驶中：检查油门制动效能是否正常，方向盘是否有摇头和摆头现象，注意气压警报器及各种仪表显示工作是否正常，各部件是否有无碰擦、异响、异味，等现象。注意，凡发现有故障的应及时预约报修，未修复的一律不准出场。3、间隔停驶中：车辆到终点站，拉好驻车制动、档位置于空档、并做好“一程一检一签”检查车厢内是否乘客有遗留物品、如有应及时上交调度室，前门下车绕车身一圈，闻78一闻听一听看一看有异味和车身破损现象，轮胎螺丝是否缺失松动、气压是否缺气、如有应及时上报和保修。4、定期维护：空调、空调滤网、喷淋灭火装置、雨刮器等设施，应定期维护保养。5、进场后：车辆到终点站，拉好驻车制动、档位置于空档、检查仪表显示内容正常无故障码，两个制动气压表指示值应达到 6.5Bar 以上，无漏气现象。做好“一程一检一签”检查车厢内外安防服务设施是否完好，是否乘客有遗留物品，检查天窗、车厢门窗玻璃、扶手杆是否完好。关闭钥匙、关闭翘板总电源，关闭机械式总电源、关闭车门，确认整车无故障后，执行司售通进场例保和一程一检签注。793.电池单体和模组电池单体和模组3.1 电池单体安全要求3.1.1 电池单体制造环境要求锂离子电池单体生产过程温度、湿度环境条件必须确定并得到保证。对于超出温度、湿度极限值的情况，应当制定适当的应对方案。锂离子电池对水分非常敏感，电极车间相对湿度应控制在 20%以下，装配车间注液工序应控制在 1%以下。生产过程粉尘度必须控制。需要防止外来的颗粒物渗透到任何生产区域。生产系统需要防止金属磨损，如果不能防止金属磨损，应采取适当措施保证这些磨损产生的颗粒不进入生产过程。应对检测到的粒子进行常规分析，以确定粒子的数量、大小和组成，特别是在导电性(如金属粒子)方面。颗粒数量、大小、成分超出规格要求应立即采取纠正措施，粉尘度应控制在 10 万级以下，部分关键工序应在 1 万级以下。3.1.2 电池单体设计3.1.2.1 电池单体分类目前用于动力的锂离子电池根据外型分为圆型电池、方型电池和软包电池。根据电池单体使用的正极活性物质不同，分为磷酸铁锂电池、锰酸锂电池、钴酸锂电池、三元电池、钠离子电池等。3.1.2.2 电池单体容量动力电池单体容量决定了后期电池模组和系统的组合方式和电池模组的热管理设计。较小容量电池单体有利于热的扩散，对整体电池系统热管理设计有益。较大容量电池单体有利于组合系统设计和制造过程简单化、成组率的提高和比能量的提升。不断提升电池单体的比能量是长期、系统的工作，建议要在确保安全性、可靠性和关键电性能指标的前提下，提升电池单体的比能量。803.1.2.3 电池单体关键原材料3.1.2.3.1 正极材料目前商品化的正极材料有钴酸锂、锰酸锂、三元材料（NCM 和 NCA）和磷酸铁锂。正极材料种类对电池的安全影响至关重要，一般采用差热分析方法比较正极材料的热稳定性。为进一步改善正极本体热稳定性和正极材料电解液界面稳定性，通常采用掺杂和包覆工艺，显著提升电池单体的安全性和循环性能。正极材料水分含量、粒度分布、颗粒形貌、结晶形状、金属杂质和磁性物质(Fe-Ni-Zn-Cr)含量直接影响电池单体的安全特性，在整个原材料评价、供应商审核、生产现场应制定并优化控制标准。材料中的磁性物质含量控制在 50ppb 以下。商用车推荐使用安全性高的磷酸铁锂和锰酸锂正极材料体系，乘用车考虑安全性和性能的平衡，推荐使用磷酸铁锂、锰酸锂和三元材料正极材料体系。3.1.2.3.2 负极材料目前商业化锂离子电池负极材料主要是人造石墨、天然石墨、钛酸锂负极和硅碳复合石墨材料。为改善负极材料电解液界面稳定性，应对材料表面做包覆处理，减少副反应，提升电池单体循环性能和安全性能。负极材料的反应活性随着比表面积的增加呈指数增加。比表面积过大，在电池发生内部短路或局部过热时，负极与电解液的副反应增加，产热量大，更容易引发电池热失控。负极材料的比表面积应该控制在合适的范围内。负极材料伴随着锂离子的脱出嵌入会有明显的体积变化，体积变化过大会引起极片变形和极组内部压力增大，进而引发极片不平整部位的内短路。因此负极材料的选择要考虑膨胀率对安全的影响，根据电池单体不同结构设计对材料膨胀率提出上限要求。负极材料杂质含量、比表面、粒度分布、颗粒形貌等直接影响电池单体的安全特性，在整个原材料评价、供应商审核、生产现场应制定并优化控制标准。3.1.2.3.3 隔膜隔膜的作用是将正负极物理上隔离，阻止电池单体正负极短路，同时提供离子转移通道。隔膜材料要具有足够的化学、电化学、热特性和一定的机械稳定性。隔膜在长度和宽度上的尺寸可能由于温度、自身老化等原因而收缩变化，在正常工况环境条件下，都需要保证隔膜对正极和负极的完全覆盖。81对于聚烯烃类隔膜，要有较好的热稳定性、自动关断保护性能和力学稳定性；具有高绝缘性，至少耐受 250V 的高压绝缘测试；管控热收缩率，防止电池单体受热后出现大面积内短路引发热失控。穿刺强度对电池的安全性有较大影响，要优先选用穿刺强度高的隔膜。隔膜厚度和电池单体安全性强相关，动力电池隔膜厚度的选择建议充分考虑由于降低隔膜厚度带来的安全风险。涂覆隔膜具有优良的热稳定性和抗氧化能力，对单体电池安全有益。3.1.2.3.4 电解液电解液由电解质和溶剂两部分组成，主要是起到在正负极间传输锂离子的作用。电解液应在正负极表面形成稳定界面，具有较宽电化学工作窗口、强的抗氧化还原能力。电解液要有良好的极片浸润特性，使得电极反应均匀、快速，防止局部电解液干涸，形成死区析锂。理想的电解液添加剂可以有效改善电池单体的电性能和安全性能。针对负极的电解液添加剂可以在负极表面形成稳定的 SEI 膜，提升电池单体循环性能和安全特性。针对正极的电解液添加剂可以防止电液氧化、正极材料溶出，提高电池单体循环性能和安全性能。正极过充添加剂可以在过充高电位滥用条件下，能够产生足够气体触发安全保护装置，终止电池单体充电，起到安全保护的功能。电解液组分应具有良好的稳定性，保证使用过程不分解不变色，并做严格管理，电解液水分含量应小于 20ppm，HF 含量应小于 50ppm。采用六氟磷酸锂为电解质，碳酸酯为溶剂的锂离子电解液在电池安全中有助燃作用，开发热稳定性高新型锂盐、阻燃溶剂、固态电解质，可以大幅度提高电池单体安全特性。3.1.2.3.5 壳盖设计电池壳盖需要一定的强度和良好的密封性。圆型电池和方型电池一般使用镀镍钢和铝材，可考虑设置有效的安全保护装置，具备如断电、熔断、泄压等功能。熔断电流、触发压力等参数要经过严格的实验设计和优化验证，既要保障电池在滥用条件下及时开启又要保证振动冲击条件下的可靠性和安全性。由于密封圈具有在较高热变形较大和遇高温熔化的特性，以及电解液的强腐蚀性，为了在电池单体全生命周期内保证密封的可靠性，需要考虑密封圈的耐高温、耐电解液腐蚀、耐老化。软包电池使用铝塑多层膜做包装材料，通过热封的方式形成电池单体的壳体，在电池单体全生命周期内保证密封性的同时，电池单体内部压力增大时可从封装处泄压。铝塑多82层膜材质、厚度、封装条件对电池单体密封性和安全性影响较大。3.1.2.3.6 箔材锂离子电池一般负极使用铜箔、正极使用铝箔，起到正负极集流的作用。箔材要求高延展率、高强度，保证全生命周期电池的安全性。箔材表面的金属粉尘、油含量、达因值等关键指标要有效控制。对铜铝箔的表面处理可以有效改善活性物质层和箔材结合力，减少工艺过程中电极物质脱落问题和循环过程中电极剥离问题。3.1.2.4 电极设计N/P 比是指单位面积负电极容量和正电极容量之比。在考虑涂覆量、材料克容量和极组结构等因素的公差条件下，在电池全生命周期内最小 N/P 比不低于 1.0（钛酸锂电池除外）。电极的配方要经过实验优化，要保证粘合剂充足，防止电极活性物质脱落。锂离子电池电极具有三维多孔结构，要有良好的电子导电性和离子导电性。电极涂覆量、厚度、孔隙率要经过理论模拟和实验优化，保证在极限使用条件下负极不会有金属锂的析出。电极纵向毛刺超出电极表面的部分不应大于隔膜总厚度的一半。3.1.2.5 极组设计极组中负极的设计长度应能保证极组完全覆盖正极。在长度和宽度方向要保证隔膜对负极、负极对正极的覆盖。应做正负极电极之间短路分析，对短路薄弱区域进行绝缘保护。极耳材质、长度、宽度和厚度设计具备与电池应用条件相匹配的电流承载能力，要保证焊接部位稳定可靠。极耳外露极组长度和极耳弯折点设计要保证不与电池壳发生短路。极耳应有保护胶带进行有效保护。极耳切断毛刺要严格管控。极组中所有保护胶带应不溶于电解液，具有一定热稳定性、机械强度和粘结力。极组的外型尺寸应设计与壳盖空间匹配，要对各个方向尺寸开展公差分析。极组外有保护胶带或保护套，防止装配时极组损伤。3.1.2.6 散热设计电池单体在大倍率充放电时，电池内部会产生大量的热，温度升高，易引起安全问题。电池单体结构设计要模拟分析电池内部发热量分布、热扩散路径和传递速度，验证优化散83热设计。3.1.3 电池单体制造3.1.3.1 电极制造3.1.3.1.1 电极制造要求电池单体电极制造包括制浆、涂覆、碾压、剪切四个部分，整个电极制造部分实施正负电极车间严格隔离策略，防止正负极粉尘交叉污染。3.1.3.1.2 制浆制浆是将活性物质、导电剂、粘接剂等按照一定比例均匀的分散在溶剂中，形成稳定浆料的过程。原材料要检验合格并且可追溯。制浆过程中要确保各物料比例、分散参数等符合规范，应采用适当的测量方法对浆料的分散效果和一致性进行检验。识别线体上与材料和浆料接触易产生金属异物的部位，并进行管理，避免异常磨损导致的金属异物引入。采取除磁措施，并对磁性异物制定标准，进行管控。制浆全过程密闭管理，防止材料泄漏或异物引入。制浆过程的过滤装置规格和更换频次被定义，并对浆料颗粒度进行有效的监控管理。3.1.3.1.3 涂覆涂覆工序是将制备好的浆料均匀的涂覆到基体箔的表面，然后通过烘烤让浆料中的溶剂完全蒸发的过程。涂覆设备应能够实时连续监控面密度，超过工艺范围应能够报警并在后面的工序处理。极片的尺寸应能够实时监控，超过工艺范围能够报警并在后面的工序处理。浆料在涂覆前需要经过过滤和除磁处理。涂敷过程中的极片外观、粘接力、溶剂残留量需要监控。进入烘箱内部的风应有除尘、除湿控制措施。使用含有有机溶剂的浆料涂敷时，涂布机的烘道需要配备 NMP 浓度自动监控装置，自动监测并具备报警、超限停机功能，建议控制 NMP 蒸气浓度不大于爆炸下限的 50%。如果是采用电加热方式，设备直接接触 NMP 蒸气的电热部分需要使用防爆电器，设置阻止异物点燃设施，停机排风的延时功能。3.1.3.1.4 碾压碾压的作用是使涂敷后极片致密，提高电极的电子导电性。碾压过程应对碾压压力，84速度和收放卷张力等工艺参数进行监控。对电极的延展和孔形态有监控措施。可利用非接触式在线测厚装置监控极片碾压过程工程能力。碾压机应具备毛刷、磁棒等清洁装置，定期对碾压辊磨损及有效宽度进行检查，以保证碾压质量。3.1.3.1.5 电极成形剪切电极成型是将碾压完成后的大卷极片按照一定的宽度分切成多个小条，极片宽度应符合设计要求。极片边缘毛刺做到持续检测。剪切切刀应按照规定频次进行修磨和维护。在剪切过程中应采取适当的防护措施，防止粉尘在极片表面上沉积。剪切机应具备毛刷和磁棒等清洁装置，及极片外观缺陷和分切宽度等监测装置，并有措施保证有缺陷的极片在后续过程中避免使用。激光切电极成型是采用激光切和剪切工艺，在集流体上加工出所需形状，加工成型的电极宽度、极耳尺寸等应符合设计要求。严格控制激光切毛刺，激光切边缘熔珠不超出极片厚度。设备激光切机构、剪切机关键备件规格和更换维保频次需要被定义，并进行有效的寿命监控管理。激光切电极所产生的飞溅粉尘和线体上与极片接触产生粉尘都应得到有效收集处理，避免异物引入极片。设备除尘机构需要被设计，点检、清洁、更换频次需要被定义，并进行有效的监控管理和定期进行异物分析，确保除尘机构作用的有效性。激光切后极片的尺寸应能够连续监控，超过工艺范围能够报警并进行不良品标识，在后工序处理。3.1.3.2 极组制成极片的转移和运输要使用专用密闭运输设施，对极片卷实施有效防护和隔离，防止极片发生交叉污染，异物污染，碰撞等损害。卷绕机除尘功能应具备有效的防交叉污染能力，正负极以及隔膜间应有防尘。隔膜需安装去除静电装置。具备安装有毛刷和吸尘装置，可以有效收集掉粉和落粒。超声焊接位置有吸尘措施，防止焊接振落的金属粉末、粉尘等落入极组。保持挂料轴、过轮、卷针、切刀、传感器清洁无异物，防止污染以损伤极片和隔膜表面。所有设备零件严禁使用铜、锌材料。极片切断处毛刺和极耳切断处的毛刺要有控制要求，切刀要进行有效的管理。极耳和焊接位置绝缘胶带要有效覆盖。卷绕过程中张力要根据隔膜特性合理设置，避免张力过大导致隔膜断裂或者隔膜孔变85形。隔膜收尾长度要有效控制，隔膜切断处不应有裂口，抽丝现象。极组烫孔时不应损伤极组，控制烫孔温度不会造成隔膜烫伤以及收缩。极组采用自动方式下料，避免人手触碰，要防止极组机械夹爪夹伤、损伤极组。极组100%经过绝缘电阻检测。3.1.3.3 装配极组热压整形应控制压力、温度和时间，不能发生过压。极组外型尺寸和负极包裹正极情况要 100%检查。极组与电池壳有垫片、包膜等措施进行绝缘隔离，极组上端通过绝缘部件与电池壳绝缘隔离。极组入壳时避免极组挫伤。焊接过程应防止焊渣飞溅，设置保护罩，防止异物掉入电池中；焊接时的压力、温度区域、熔深等要有效管理。方型和圆型电池极耳弯折的形状要进行优化，弯折处极耳不能向极组内部折叠，且弯折后极耳不能接触电池壳壁，不能损伤极组。电池周边焊接保证过程稳定。圆型电池壳滚槽形变后，避免镀层整片掉落，安装有效除尘和除金属屑的装置。控制滚槽部位壁厚残留量，无壳体破裂。装配后电池必须对正负极对齐度 100%X-Ray 检查，经过 100%绝缘耐压检测。软包电池封装参数（压力、温度、封装厚度、有效封装宽度）要经过优化，过程进行有效管理，经过 100%绝缘耐压检测。3.1.3.4 注液注液工序是将电解液均匀注入电池内部。注液前确认电液水分含量、HF 含量以及色度合格，极组中的正负极片水分控制在规格要求内。注液后静置温度和时间要经过优化和控制，避免出现预充电时电解液浸润不充分的情况。要有称重系统 100%检测注液量。注液后的电池必须及时进行封口。对注液后电池进行小电流预充电处理，减少化成早期的气体产生，同时对极组和壳盖进行电化学防护。预充电倍率、充电电压和温度等工艺条件需要优化和管理。3.1.3.5 化成和老化化成设备需按设备维护要求进行定期校验，保证电压及电流控制精度，避免电池过充、86过放、容量检测错误以及过程外部短路。选择合适的充放电流程，防止因流程错误导致的过充过放、析锂、厚度过高等问题。电池单体建议经过老化工序后出厂。选择合适的老化工艺，防止因老化时间过短导致自放电筛选不完全。自放电的筛选标准要进行有效验证。老化后的电池单体 100%测量电压、内阻、厚度，数据要求全追溯。电池存放和转运过程，应有措施防止电池外短、跌落和挤压等损伤。3.1.4 电池单体安全评价3.1.4.1 电池单体热失控热失控是指电池单体内部发生放热连锁反应引起温度急剧变化，从而可能导致电池过热、起火、爆炸等。目前分析引发电池热失控的原因主要有电池受到机械滥用、热辐射，电池内部短路，恶劣环境滥用等。热失控可以通过实验手段模拟评价；评价方法包括通过加热、针刺等方式激发电池内短路，引发电池热失控。当电压下降至初始电压的 25%，温升速率 dT/dt1/s，持续 3s 以上时；或温度达到电池厂商规定的最高工作温度，温升速率 dT/dt1/s，持续 3s 以上时，可以认为电池发生了热失控。热失控发生起火爆炸时，电池单体上的安全保护装置应启动。泄压和喷火的方向应进行设计，喷泻出来的物质量应控制，喷出的气体温度、体积、成分要研究分析，防止次生短路灾害的发生。3.1.4.2 电池单体安全要求电池单体应该满足电、机、热的安全测试评价。要按照对应标准规定的测试方法 GB38031 进行锂离子动力电池单体安全评价。3.1.5 单体电池使用安全锂离子电池具有最佳的使用温度范围，超过使用范围易发生安全问题，较高温度下使用，副反应加剧，易引发热失控安全问题，低温充电负极易发生析锂问题。超过 45和 0以下应控制充放电策略，如降低倍率，保证电池在安全窗口内工作。控制充电方式，充电方式一般包括充电温度、充电倍率和充电电压。不同体系和设计的单体电池充电方式不同。87针对某一单体电池产品，电池单体制造商应该提供温度-倍率-充电电压关系图，根据电池单体规格书设计系统充电策略。锂离子电池在高温下长期存储，性能衰减严重，应避免。长期存放的电池，再次使用不建议直接采用快速充电的方式。锂离子电池充电速度和使用寿命强相关，对于不具备快充特性的动力电池组，在条件允许的情况下，减少快充的使用，尽可能选择小倍率充电。3.2 电池模组安全要求3.2.1 电池模组环境要求电池模组生产车间环境温度、湿度和粉尘级别应有规范要求，并实时监控。模组汇流排焊接工序粉尘级别应控制在 30 万级以下。制造过程中应防止由于设备或工艺原因引入金属颗粒异物。3.2.2 电池模组设计3.2.2.1 材料安全电池模组部件应避免尖角设计，边缘和表面应控制毛刺和金属浮粉，应做表面防腐处理。材料需要符合 ROHS，对于客户有特殊要求的应识别如硫含量等。材料应考虑防火、阻燃要求。电气连接部件需要考虑防腐蚀处理，防止长时间使用接触电阻增大而导致发热。与单体电池接触部件选用耐电解液腐蚀的材料，应考虑电解液泄漏后引发的绝缘失效等问题。所有部件材料应考虑整车或系统的可靠耐久性要求，或易于更换，达到整车或系统的寿命一致。绝缘部件的材料选择，应考虑高温环境对绝缘性的影响，确保在整车或系统工作最高温度时的绝缘性。对于栓接结构设计应满足整车环境要求。3.2.2.2 机械安全机械安全防护，设计时应考虑挤压、跌落、振动、冲击、翻转、碰撞等工况下防护结88构对产品的防护，使产品能满足功能要求、各类安全法规要求等。机械可靠性设计要满足整车设计寿命。应充分考虑运输、搬运和安装的耐久和可靠性。电池单体在使用过程中厚度会发生膨胀，模组设计应根据电池单体性能，合理预留膨胀的空间，合理设计汇流排结构。评估在长时间充放电循环或高温存储后，电池单体膨胀对模组框架的作用力。模组框架强度、紧固力、变形量满足电池单体的膨胀需求同时满足系统的需求。模组应考虑安全电压防护设计，以便在制造、运输或维修操作时起到保护，防止人员触电及外部短路。要考虑防呆设计。防止在生产、安装、测试等过程中，出现因人员误操作而导致的电池模组短路起火，人员电击的事故。通常从机械防呆、颜色防呆、标识防呆等方面考虑。3.2.2.3 电气安全选用绝缘介质强度较高的绝缘片保证模组的绝缘满足设计目标。耐压至少满足 GBT183842015 要求，考虑异常情况下电气间隙、爬电距离在安全范围。电池模组的绝缘电阻在不同温湿度存储后应具有良好的可靠性。设计应充分考虑组装、维修时带来的短路风险。选择合适的材料、尺寸及表面处理技术，以便保证过流能力及焊接的可靠性。连接器推荐满足 USCAR-2 和 USCAR-37 要求。电压采样线在近电池端应设计过流防护。模组金属结构框架设计成等电位体，避免形成电势差对人体形成伤害。模组输出端在装配完成后，应满足 IPXXB 的要求。采样线束的装配应有防呆设计，避免错误安装导致短路等事故发生。采样线采用耐高温的结构设计，避免造成电池组内部的二次短路事故。汇流排应设计缓冲结构，降低振动等对焊点的拉扯。3.2.2.4 热安全模组结构设计应保证电芯单体具有足够的散热面积，保证模组与热管理系统间热量传递满足相应散热、加热需求。电池单体散热界面高度差配合导热材料厚度维持在一个合理的公差范围内，保证和热管理系统可靠的接触。在寿命周期内，能满足导热和散热的设计要求,保证电池工作在理想温度范围。89导热材料的导热系数、厚度等参数能够满足模组散热需求；保证电池单体与热管理系统具有良好的热传递路径；导热材料电气绝缘性、防火等级满足电池系统的安全要求。温度传感器设置位置及数量应能反应不同工况下最高温度和最低温度要求，同时应考虑温度传感器的精度、适用范围及响应时间。热扩散防护设计。模组设计应考虑隔热防火措施，延缓电池模块中一只电池单体发生热失控时，引燃周围电池单体的时间。电池系统内分区域对电池模组进行隔离，以减少热失控传递的速度，为乘员争取更长的逃生时间。3.2.2.5 功能安全电压采样准确性。电压采集至少包含每串电池电压，电压采集线束压降及采样芯片精度满足电压采样的精度要求；电压采样及转换传输的时间要远小于系统最小容错时间；能够检测电压采样线束短路、断线、范围超限等故障。温度采样准确性。为了能够及时了解电池模组的温度状态，温度采集每个模组至少应包含 2 个温度采集点，温度采集回路采集精度满足系统温度采集精度要求；温度采样及转换传输的时间要远小于系统容错时间；能够准确识别温度采样的超范围、短路、断路等异常故障。均衡控制准确性。均衡电流设计满足电池系统均衡需求，均衡控制指令能够及时准确执行，并能够准确识别均衡控制回路的硬件及软件故障，如均衡控制失效等异常故障等。通信传输准确性。模组的电压及温度能够及时准确传递给上级主控板，通信回路设计具备回路短路、断线、异常恢复等通信冗余机制。电磁兼容。模组采集线束应尽量与高压动力线束垂直，避免高压动力传导/辐射串扰；模组从控板应能够确保负载电磁环境下的抗扰特性，在施加抗扰过程中确保电压采集、温度采集、均衡、通信等功能的正常运行；同时，应确保从控板在其工作过程中对外部其他部件的传导及辐射干扰。对于金属外壳的模组通常应设计良好的接地点，避免尖锐带电体的尖端放电等。3.2.3 电池模组制造3.2.3.1 电池单体绝缘针对壳带电的电池单体使用绝缘材料通过包覆或喷涂等工艺实现有效的绝缘防护。绝90缘前电池单体进行有效清洁，避免导电粉尘颗粒引入导致装配电池单体间短路风险产生。绝缘过程必须确保按设计需求部位绝缘层的有效包覆，同时确保绝缘层不被划伤，划破。3.2.3.2 模组组装模组组装是将电池单体按照不同的串并联方式，与框架或固定支架等配合安装。如胶水需要高温加速固化时，应优化控制加热温度，避免组件在高温下受损。LMU（本地监视单元 Local Monitoring Unit，作为从板同单体电池直接连接）、BMS（电池管理系统 Battery management system）或 FPC（软性印刷线路板 Flexible PrintedCircuit）安装过程中，从人员防护、工作环境、工具使用方式，均需考虑静电防护。在模组装配挤压过程中，不能超过电芯所能承受的压力，挤压设备需要具备压力监控功能或设备设计选型保证压力不超过电芯承受能力，避免电芯过度挤压，造成的变形、漏液等安全问题出现。对于软包电池单体，模组组装过程保证电芯极耳平面度要求，满足焊接条件，保证铝排连接的可靠性。3.2.3.3 框架焊接框架焊接要保证焊接后模组的框架结构强度。焊接时熔区及热影响区不出现超出允收规格的焊接缺陷。管控焊渣飞溅，防止规格外异物进入模组内，导致模组整体绝缘失效。激光焊接要保证框架焊接强度和熔深要求。3.2.3.4 汇流排连接汇流排通过栓接、电阻焊、激光焊等方式将电芯进行串并联。采用激光焊接工艺，要注意对电芯极柱表面及汇流排去除氧化层和表面脏污。焊接时选用匹配的焊接参数，防止出现虚焊、焊漏等焊接不良。优化设计焊接工装，管控焊渣飞溅，防止规格外异物进入未焊接完成的模组内，导致模组整体绝缘失效。采用电阻焊接工艺，应对焊头的修磨频次、寿命进行管控，保证焊接工艺稳定性和焊接强度。采用栓接工艺，应保证扭矩满足结构强度要求及耐久性防止长期使用过程中栓接松动，接触不良，出现安全问题。91同时模组中 CSC、BMS 或 FPC 等零部件做好隔离防护，避免焊接对电子零部件的损伤。3.2.3.5 采样线连接通过栓接、超声焊、激光焊等工艺将电压和温度采样线与汇流排进行有效连接。栓接过程须对扭矩进行控制。超声焊和激光焊接要确认在匹配的焊接参数下进行焊接，防止出现虚焊、焊漏等焊接不良。激光焊接要对焊接所产生的颗粒粉尘进行收集处理。模组采样线线序需要进行检测，避免安装错误，导致采样线短路、采集板或保险损坏、烧毁。3.2.4 电池模组安全评价3.2.4.1 电池模组安全要求3.2.4.1.1 电安全评价模组的电安全测试主要包括过充、过放、外部短路测试。电安全测试主要模拟在电池管理系统或充电桩失效的情况下，电池发生过充、过放、外部短路等异常，高压控制器件无法有效切断充放电回路时，电池应不出现起火、爆炸等安全事故。过充测试，要求模组在满电状态下继续 1C 充电至电压达到规定终止电压的 1.5 倍或充电时间达到 1 小时停止充电，观察 1h。电池模组应不爆炸、不起火。过放测试，要求模组在满电状态下以 1C 放电 90min，观察 1h。电池模组应不爆炸、不起火、不漏液。外部短路测试，要求电池模组在满电状态下，以小于 5m的电阻短路电池模组正负极 10min，观察 1h。这种情况下应不爆炸、不起火。3.2.4.1.2 机械安全评价电池模组的机械安全测试主要包含挤压、针刺、跌落等。机械安全测试主要模拟电池在滥用或发生交通事故时，电池遭受外部的异常撞击，如两车碰撞、车辆底部受硬物撞击等，电池发生一定的变形、刺穿、高处跌落等，电池应不出现爆炸、起火等安全事故。挤压测试，电池模组满电状态下，以半径 75mm，长度不超 1m 的半圆柱体挤压电池在整车布局中最容易受挤压方向，挤压速度（51）m/s,模组挤压形变量达到 30%或挤压力达到 200kN，保持 10min，观察 1h。电池应不爆炸、不起火。针刺测试，电池模组满电状态下，用6-10mm 的耐高温钢针，以（255）mm/s 的92速度垂直电池极组方向，依次贯穿至少 3 个单体，钢针停留在电池中，观察 1h，记录安全等级。跌落测试，电池模组满电状态下，电池正负极端子朝下，从 1.2m 高度自由跌落到水泥地面上，观察 1h。电池应不爆炸、不起火、不漏液。底部撞击工况测试，模拟整车底部受到飞石、金属块等异物撞击，系统、模组、电芯底部受到挤压形变的场景。测试模组充电至 100%SOC，按图一要求固定安装测试对象，使用前端为半径 10mm 半圆球的圆柱体，撞击方向为半球体的球心与测试对象撞击面中心重合，撞击参数见表一。记录测试过程中电压、温度、挤压力、挤压速度、挤压最大形变量，观察 1h。这种情况下应不爆炸、不起火。93备注：1.撞击能量根据动能定理 E=1/2mv2计算。2.撞击头重量指前端为半径 10mm 半圆球的圆柱体的重量。3.2.4.1.3 环境安全评价电池模组的环境安全测试主要包括加热、温度循环、低气压、海水浸泡测试。环境安全测试主要模拟电池在恶劣环境中的应用，如异常高温情况、高低温反复变化情况、高海拔地区应用、雨季或异常情况车辆泡水等，不能出现安全问题。加热测试，电池模组放入温箱中，以 5/min 的速率由室温升至 1302并保持30min 后停止加热，观察 1h。电池应不爆炸、不起火。温度循环测试，电池模组满电状态下，将模组放入温箱中，从-4085进行温度循环，每个循环 8h，进行 5 次循环。电池应不爆炸、不起火、不漏液。低气压测试，电池模组满电状态下，放入气压箱，设置气压 11.6kpa（相当于海拔15420m），静置 6h，观察 1h。电池应不爆炸、不起火、不漏液。3.2.4.2 电池模组可靠性要求3.2.4.2.1 热扩散评价热扩散测试是评估电池模组热扩散防护设计能力。通过加热、针刺、过充等方式模拟一只电池发生热失控后，模组设计能有效延缓热扩散，保证电池系统在 5min 内不发生起火、爆炸，给车上乘员足够的逃生时间。3.2.4.2.2 机械振动测试振动测试模拟车辆长时间在复杂路况行驶（如搓板路、颠簸路、起伏路等）。电池长时间振动颠簸后电芯内部不能出现短路，模组结构不能散开脱落发生短路等安全问题。实验要对电池模组进行 X、Y、Z 三个方向的振动测试，每个方向实验要对依据 GB 38031 对电池模组进行 X、Y、Z 三个方向的振动测试。要求测试后，电池连接可靠、结构完好，最小监控单元电压无锐变，电压差的绝对值不大于 0.15V，无泄漏、外壳破裂、爆炸或着火等现象，绝缘电阻不小于 100/V。电池模块中的零部件（包括支撑柱、紧固件等）无明显位移、扭转和弯曲；零部件的谐振频率与初始值的偏差应小于 10%，各个紧固螺丝的剩余紧固力不低于初始值的 60%；各个电连接点的电阻与初始值的偏差应小于 5%。3.2.4.2.3 机械冲击测试机械冲击模拟车辆在急加速、急刹车情况下，电池能承受加速度的冲击而不出现安全94问题。试验对电池模组施加 25g、15ms 的半正弦波形 Z 方向冲击 3 次，试验后观察 2h。要求电池无泄漏、外壳无破裂、无爆炸、无着火等现象,绝缘电阻不小于 100/V。3.2.4.2.4 高温存储测试高温存储测试主要评估的是电池的日历寿命。模拟电池在高温环境下（如 45或55）长时间存储，存储时间不低于 7 天，评估其恢复容量与初始容量的比例。3.3 电池单体和模组包装运输安全要求3.3.1 包装安全要求电池单体和模组的包装应满足防水、防潮，必要时应该在包装袋中加干燥剂除湿。包装要考虑运输环境条件（公路运输、铁路运输、水路运输等情况）下对产品的保护，防止搬移过程中的挤压和损伤。电池单体和模组应以最小单元隔离固定，预留安全距离，避免发生电气安全问题。3.3.2 运输安全要求电池单体和模组必须牢靠固定在货物运输装置的内部。运输过程中的电池单体和模组所处环境温度需要监控，较高温度可能引起电池安全问题。避免对电池单体和模组日晒、雨淋、受潮。避免电池单体和模组受压，严格按照产品规格书要求摆放。较低的电池单体和模组荷电状态对运输安全有利，建议控制 30%SOC。锂离子电池单体和模组属于危险品，运输过程中应避开易燃、易爆、易腐蚀危险品，考虑配备消防设施。954.电池系统电池系统4.1 电池系统要求4.1.1 BMS 设计开发与故障处理4.1.1.1 BMS 设计开发BMS 基本功能的设计与开发建议关注以下内容：（1）能有效对电池系统的单体电压、电流、温度、绝缘阻值等参数进行测量，测量精度及频率应在常规工况及恶劣极端工况下均满足国家标准要求，同时采样电路具有保护机制，避免高压短路故障。（2）能准确计算电池系统 SOC、SOE、SOH，并结合当前电池电压、温度等状态计算安全的可用充放电功率区间，确保不会对电池造成单次或累积的安全影响。（3）建议整车能较准确估算车辆剩余里程，防止电池系统在使用过程中因剩余里程错误导致动力系统异常中断。（4）充电过程中，BMS 应同时监测电池系统及充电机状态，当电池系统或充电机发生故障时，应及时停止充电过程并进行报警。（5）能够根据测量信息及电池使用条件，通过热管理系统对电池系统内部温度进行有效的调控，使电池充放电过程执行在合适的温度区间，避免因单次或累积的高低温操作引发的电池安全隐患。（6）BMS 功能应通过必要的测试验证，包括：绝缘性能测试、电气适应性能测试、环境适应性能测试、电磁兼容性能测试，确保其在不同工况、环境下均能有效工作。BMS 系统基本功能的设计与验证可参考 GB/T电动汽车用电池管理系统技术条件。4.1.1.2 故障处理基本要求（1）能有效及时判断电池单体或系统的故障，包括但不限于电池过压、欠压、过温、过流、绝缘降低等，并能以可靠的通讯方式通知整车，并采取相应的措施。根据电池类型标定不同的故障阈值根据电池的使用环境、不同的生命周期调整合适的故障阈值和检测时间，确保系统96安全。（2）BMS 对电池故障的检测周期或消抖时间应满足安全需求，即在整个故障的检测、通讯、处理周期完成前电池系统不会发生对整车或乘员的危害。（3）当发生故障的条件下，如非绝对必要，电池系统应先通知驾驶员采取必要措施后，如通知驾驶员减速靠边等，再进行断电保护处理。（4）发生故障后，应在确认故障消失或足够的安全余量后，才能允许对电池系统继续操作。对于电池系统的永久性故障，如电池单体严重过放至 1V 以下等，建议对故障进行锁存记录并防止对电池系统继续操作，避免后续的安全问题。（5）BMS 建议具备故障存储功能，能够记录电池系统发生过的一段时间内的所有故障代码，并可在维护时通过外部操作清除；能够根据厂家需要记录第一次或最后一次发生故障时的详细数据，包括电池的单体电压、温度、电流等信息。4.1.1.3 典型故障信号处理策略（1）阈值的设定通常由电芯企业及整车企业根据电芯特性及整车控制要求确定，不同电池系统的阈值不同。典型故障可参考电动汽车用电池管理系统技术条件，以下为参考处理策略：电池温度大于设定阈值：建议采用降低充放电功率等保护措施；若保护措施无效，建议执行下电保护流程或中止充电。电池温度小于设定阈值：建议启动加热功能，限制输入、输出功率。若需要进行充电流程，建议当电池温度加热至最低允许充电温度后再进行充电。单体电压或总电压大于设定阈值：建议停止充电或禁止回馈；若电压持续升高或大于绝对安全阈值，建议执行下电保护流程。单体电压或总电压低于设定阈值：根据放电深度程度不同可采取不同措施，如提示用户充电、禁止放电或执行下电保护流程等。电芯一致性偏差大于设定条件：根据整车厂及电芯厂制定的判定条件可采取不同措施，如启动均衡、提示用户进店维护或执行下电保护流程等。充电电流（功率）大于最大允许阈值：如在行驶过程中，建议降低或停止回馈；充电过程中建议进行降电流操作。若以上措施无效，建议执行下电保护流程。放电电流（功率）大于最大允许阈值：建议降低运行功率；若无效，建议执行下电保护流程。97绝缘电阻小于设定阈值：建议根据绝缘故障程度采取通知整车或执行下电流程等。电池系统内部温差大于设定阈值：建议采用降低充放电功率等保护措施；若保护措施无效，建议执行下电保护流程或中止充电。高压回路异常：建议执行下电保护流程。BMS 采样、处理器及执行器相关故障（例如:电压采样故障、温度采样故障、电流采样故障、MCU 故障、供电故障、存储故障、执行器故障、碰撞事件，等）检测、判定及处理方式，建议结合功能安全需求进行综合设计，以满足相关安全需求。（2）应根据故障特点，细化故障处理策略，对故障进行分级管理，不同级别的故障采用不同的对应策略，例如：告警、限功率、下高压、提醒用户远离车辆,等，尽量避免行驶过程中的直接高压下电。（3）故障阈值设置、判断时间、恢复时间应充分考虑电池系统的能力及车辆运行需求，避免漏报和误报。4.1.2 充电、运行工况下许用电流、功率控制4.1.2.1 许用电流/功率限制（1）充电、运行工况下，许用电流/功率控制限制表应充分结合电池系统的能力（结合电芯厂提供的许用电流/功率限制表）及车辆使用需求综合设定，考虑充电及运行工况（制动回馈、放电）对电流持续时间的需求，通常设定峰值电流/功率表（例如：2s，5s，10s，30s）、持续电流/功率表（例如：60s，3min，持续等）。（2）因温度、SOC 变化而导致的峰值电流/功率及持续电流/功率切换时，BMS 应确保许用电流/功率平滑过渡。（3）BMS 应充分考虑电池系统的许用能力，结合电池系统寿命终止时的可用电量、许用功率衰减，综合确定全寿命周期内的许用电流/功率限制值。（4）功率限制值应考虑系统元器件最大承受能力，应根据系统各元器件可承受最大载流量值的最小值确定。（5）BMS 实时监控电流及电压，如果实时充放电电流/功率超过许用电流/功率，BMS记录 DTC，通知整车。（6）当充放电电流/功率超过许用电流/功率，BMS 应执行多级控制策略，分阶段主动降低功率，避免电池系统起火、爆炸。984.1.2.2 充电功率控制策略（1）直流充电直流充电应遵循GB/T 27930 电动汽车非车载传导式充电机与电池管理系统之间的通信协议、GB/T 18487.1-2011 电动汽车传导充电系统 第 1 部分：通用要求、GB/T20234.1-2015 电动汽车传导充电用连接装置 通用要求等标准要求。充电过程中，BMS 监控各种参数的变化，包括异常参数（如：过压、过温、过流等），当达到充满电的要求、或者故障发生时，向充电机发送充电中止指令，主动停止充电过程。（2）交流充电通常，BMS 向 OBC 发送电流需求及电压需求，通过 OBC 控制充电过程。充电过程中，BMS 监控各种参数的变化，包括异常参数（如：过压、过温、过流等），当达到充满电的要求、或者故障发生时，向 OBC 发送充电中止指令，主动停止充电过程。4.1.2.3 大功率充电策略（1）电池供应商应充分执行大功率充电测试，提供规定时间内（例如：10min、15min、20min、30min）允许的最大电流值，该数值需要考虑温度、SOC 及 SOH 的影响。（2）温度测量应尽量覆盖充电回路中可能的高温点，包括：电池模组的最高/最低温度点、车辆与充电桩的连接器、充电线缆、分流器形式电流传感器；同时应关注模组间连接铜排、电池包充电连接器的温度。（3）BMS 应监控充电功率、温控点温度，当充电功率、测量点温度超出限制阈值，应及时向充电机通报故障。（4）当发生故障需要停止大功率充电时，BMS 首先申请充电桩降低输出功率，由充电桩控制结束充电过程。如充电桩故障致使无法停止充电，BMS 应紧急断开充电继电器，停止大功率充电。（5）针对大功率充电可能持续产生的大量热量，应优化热管理策略，适当降低启动制冷功能的温度阈值。充电结束后，如果电池包温度仍然偏高，需要继续维持制冷功能，使电池系统温度回到合理范围。（6）应监控大功率充电的使用频率，避免频繁执行大功率充电可能导致的电池性能下降或安全隐患。994.1.3 BMS 功能安全BMS 功能安全的主要目的是避免 BMS 系统电子/电气功能异常引发的危害而导致严重人身伤害事件（起火、爆炸、排气、电击）的风险。BMS 功能安全活动重点关注以下方面：确定功能安全目标与安全需求、功能安全产品开发、功能安全目标验证与确认。4.1.3.1 确定功能安全目标与安全需求应在整车级别执行电池系统的危害分析与风险评估，明确功能安全目标、ASIL 等级、安全状态及 FTTI，定义功能安全需求及控制策略。建议 BMS 包含以下功能安全目标，以避免电池系统的热失控风险：防止电池单体过充导致热失控防止电池单体过放后再充电导致热失控防止电池单体过温导致热失控防止动力蓄电池系统过流导致热失控建议 BMS 包括以下功能安全目标，以避免电池系统的电击风险：确保车辆碰撞发生时切断高压回路绝缘失效禁止吸合高压接触器高压互锁失效禁止吸合高压接触器建议 BMS 包含以下功能安全目标，以避免系统动力异常中断：避免非预期切断高压接触器电池系统危害分析与风险评估及功能安全需求定义建议参考GB/T 39086-2020 电动汽车用电池管理系统功能安全要求及试验方法4.1.3.2 功能安全产品开发BMS 功能安全设计与开发应遵循严格的流程规范，应关注以下活动：（1）使用 DIA 规范整车厂和供应商间的职责划分。（2）执行汽车安全生命周期中的各级设计活动。针对不同设计阶段，实施相应的验证活动（评审/测试），使用适当的测试方法（例如：缺陷注入方法）验证安全机制的有效性，确保测试用例的完备性和测试覆盖度。（3）在系统设计、软件设计、硬件设计阶段执行功能安全分析（FMEA、FTA、DFA、100FMEDA），满足 ASIL 等级相关要求。执行系统安全分析，识别违反功能安全目标的失效模式，通过系统设计确保故障发生时，整车能在 FTTI 时间内进入安全状态执行软件安全分析，针对软件失效模式，确定软件安全机制执行硬件安全分析，基于硬件器件的失效率、失效模式、失效分布，对硬件架构进行评估（SPFM、LFM、PMHF），完善硬件安全机制，确保满足安全等级要求安全分析应持续、迭代执行，针对安全分析中发现的问题，需不断优化更新安全机制。（4）软件设计建议采用标准化软件架构（例如：AUTOSAR），软件开发应遵循符合功能安全要求的建模规范和代码规范，使用多种模型/代码测试方法（例如：MIL、SIL、PIL、HIL）进行软件集成和测试，确保满足软件覆盖度要求。（5）关注需求、设计、验证之间的双向追溯和一致性，确保需求变更、缺陷修正的可跟踪性。（6）执行软件/硬件组件鉴定和再用证明相关活动，确保软件/硬件组件使用的合适性。实施工具链置信度评估，确保工具置信度水平（TCL）满足要求。（7）执行与安全目前等级相适应的认可措施，包括：认可评审、安全审核和安全评估。功能安全产品开发活动建议参考GB/T34590-2017 道路车辆功能安全。4.1.3.3 功能安全目标验证与确认应在系统级、整车级对 BMS 功能安全需求及功能安全目标执行验证与确认，确保达成整车功能安全目标。如果除 BMS 功能安全保护机制外，整车还设计了其它安全机制（如：机械、化学等），功能安全目标的验证与确认也应覆盖这些安全机制。电池系统的功能安全目标验证与确认活动建议参考GB/T 39086-2020 电动汽车用电池管理系统功能安全要求及试验方法。4.1.4 热失控、预警识别策略4.1.4.1 电池包热失控基本防护电池包应具有热失控防护措施，保证热失控发生后，可以在一定时间内确保电池包不101发生导致人生伤害的事件发生（起火、爆炸等）。4.1.4.2 热失控提前探测预防BMS 可考虑监控导致热失控的事件（如电压、电流、温度超过安全使用范围、内短路等），在热失控发生前采取紧急应对措施（如报警、限制功率、切断高压回路等），同时提醒乘员采取避险措施。4.1.4.3 热失控探测及告警（1）电池发生热失控及热扩散时，电池系统内部温度、气体成份、压力等参数会发生变化，应对热失控及热扩散进行试验研究，通过理论分析和实验验证，确定适合的热失控和热扩散探测手段（例如：温度、气体、压力等），并确保探测器的检测精度满足需求。（2）当 BMS 确认发生电池热失控时，应把热失控信号传递给整车，整车应通过指示装置（仪表或其他装置）提供一个明显的热失控报警信号以及警示声，提醒驾驶员和乘客疏散；同时，BMS 请求下高压，整车根据当时工况进入紧急下电流程。（3）建议 BMS 应准确监测电池系统及其部件的异常温度升高，对电池系统的热失控要尽可能早地发出预警信号。（4）热失控探测及报警功能应在运行模式下执行，其有效性应通过整车级测试，避免漏报、误报。（5）热失控探测及预警功能应满足整车功能安全要求。4.2 电池系统安全基于市场上出现的电动汽车泡水、碰撞、底盘划伤后的起火事件，电池系统安全从系统设计（机械安全、热安全、电气安全）、安全测试、生产三阶段展开，保证电池系统的安全。4.2.1 机械安全电池系统应具备足够的机械强度，保证在整车正常使用的生命周期内不会因振动、机械冲击等工况引发安全风险。4.2.1.1 基于正碰、侧碰、侧柱碰、底碰、石击的电池及整车安全设计针对于整车碰撞衍生出电池系统碰撞、挤压工况，需要结合整车设计及电池系统安装102位置有针对性的进行结构设计保证电池系统的机械安全。电池系统的结构强度应至少满足GB 38031-2020 电动汽车用动力蓄电池安全要求中电池系统模拟碰撞的标准要求或整车企业的标准要求。4.2.1.1.1 电池系统碰撞安全设计（1）应分析碰撞过程中电池箱体及其内部结构（电池模组、高低压线束）产生的最大变形情况，并结合电池模组允许的最大变形量来判断碰撞过程中的安全风险；（2）应具有吸能效果的结构设计，设计时应考虑相应材料的塑性要求；（3）应具有合理的内部加强筋设计，提高整体结构强度；（4）考虑电连接件的可靠性，避免碰撞过程中发生短路风险；（5）提高热管理系统结构强度，增加防护设计，避免碰撞过程中冷却液泄露风险。4.2.1.1.2 电池系统挤压安全设计（1）电池系统设计满足相应的刚度、强度要求：如外围采用防撞梁结构；（2）合理的电池系统内部安全距离设计；（3）合理的热管理系统布置：建议液冷系统水管布置避开易碰撞侧；（4）合理的电气系统布置：电池系统内的高低压线束的走线路径应尽量与电池系统的非变形区域结构相连接，同时应加强绝缘防护及线束固定。4.2.1.1.3 电池系统防石击安全设计（1）合理的底部装甲或防护板设计；（2）箱体接插件端防护较薄弱，且易受沙石冲击，建议增加防护板遮挡。4.2.1.2 振动可靠性安全设计振动是对结构件耐久性的考验，区别于传统车，电池系统激励源产生主要是由于汽车在行驶过程中，路面的不平整造成的，路面的激励频率大部分都是集中在低频端，电池系统在设计过程中主要宗旨是提高电池系统的整体固有频率。电池系统的结构强度应至少满足 GB/T 38031-2020 电动汽车用动力蓄电池安全要求中电池系统振动可靠性的标准要求或整车企业的标准要求。（1）提高电池系统整体固有频率：提高电池系统刚度：如增加车体安装点，优化固定梁结构设计；减少电池系统的重量：轻量化的结构设计及材料选择；（2）疲劳强度高的材料选择；103（3）提高电池系统强度：避免质量过度集中，在质量集中位置增强结构设计；固定梁焊接要求、结构紧固件的选型及固定扭矩设计均应符合设计规范要求。4.2.1.3 全生命周期高防护等级安全设计安装在车身外部的电池系统应具备 IP67 或以上的防护等级，并应定期维护检测以避免整个生命周期内防护等级在使用过程造成降低。4.2.1.3.1 电池系统接触防护（1）集成式 BDU，并具备外壳防护设计；（2）模组级别正负极位置防护设计；（3）高压连接器防护:连接器插座与插头中接触件都需与保护外壳做相互绝缘处理，保证外壳绝缘不带电，保证操作人员的安全。在电池系统高压连接器防护设计时，最常选择使用的是 IPXXB/IPXXD 的防护等级。4.2.1.3.2 电池系统防水防尘（1）电池系统箱体防护要求：电池箱体防护在全生命周期等级达到 IP67 等级；电池箱体密封垫设计时，考虑其吸水率、压缩率、及阻燃特性；（2）防水透气阀:与箱体配合处防护在全生命周期等级达到 IP67 等级；（3）电气接口防护要求:连接器插座与插头连接端处于箱体外部，此端须保证插座与插头接触良好、过流、过压持续、稳定、拆卸方便，同时有插座端口保护盖设计。有以下内容需保证：连接器插座与箱体配合处的防护等级须达到 IP67 等级；连接器插座与插头连接后的防护等级须达到 IP67 等级；连接器插座端口在未插合存放仓库时，保护盖须防尘防潮且能满足经过长途运输震动后保护盖不会掉落。4.2.1.3.3 电池系统防爆防护电池系统应具备有效的泄压装置，可以快速平衡内外部气压变化，防止因内部气压过高造成壳体变形引起的防护等级降低或失效。泄压装置安装的位置和方向应避免对乘员舱或车辆周边人员造成人身伤害，且应避免引燃整车。1044.2.1.3.4 电池系统防腐防护在全生命周期内防腐的要求，要根据电池系统使用寿命要求和使用区域环境要求来确定电池系统的防腐等级。4.2.2 热安全通过热管理系统对电池系统进行加热、散热、均衡、保温；电池系统内部要有防止热扩散的结构设计；关键部件的阻燃设计；来确保电池系统的热安全。4.2.2.1 可靠热管理系统设计根据锂离子电池结构及工作原理可知，无论在高温或是低温，都有引发电池热失控的风险，而电池热管理系统的设计目标就是结合 BMS 控制策略和调整功能，控制电芯工作在舒适温度范围内、并降低电芯之间的温差实现性能均衡，从而保证系统热安全并延长系统寿命。要实现以上目标，需从冷却、加热、保温三个方面进行设计，同时还需保证整个系统的气密安全，不允许发生冷却液泄露。需关注低温冷却管路可能引发的冷凝水，避免因此而导致的绝缘、短路安全隐患。（1）冷却a.根据指定的严苛工况下的系统发热量确定电池包散热形式及控制边界，保证电池最高温度不超过允许使用温度，且大多数时间能在舒适温度范围工作。b.建议正常工况下电池系统内部采集的温度点之间最大温差不超过 5，极限工况下最大温差不超过 10，且能满足极限工况的连续运行（例如持续高速工况加快充）。c.为适应不同工况，散热系统可按有无 chiller 以及风扇挡位分为多种回路：风冷散热系统中，能够对风扇状态进行检测并判定是否工作正常；当风扇或冷却系统其它部件出现故障时能及时报警并采取保护措施（如限制充放电功率等）；液冷系统中，能够对压缩机、水泵等部件进行检测并判定是否工作正常；当冷却系统出现故障时能及时报警并采取保护措施（如限制充放电功率等）。（2）加热a.在指定环境温度下，实现在规定时间内将电池系统加热到规定温度，使系统能够快速达到允许充放电的工作温度。b.电池系统最低温度低于最小允许充电温度时，建议对电池加热之后再进行充电。c.加热过程中尽量降低电池系统内部采集的温度点之间最大温差。105d.以电池包内置加热部件（如 PTC 等）进行加热的设计中，应具备相应的安全设计（如引入二次热熔保护机制），当加热部件温度过高时，能够切断加热部件电源，防止加热元件出现干烧进而引燃电池。（3）保温a.将电池系统由常温环境分别转入高温和低温环境静置，在规定时间内系统中的电池最高/最低温度不超过目标值。b.高温环境保温时，建议减小电池系统内部采集的温度点之间温差。（4）气密安全a.对于液冷系统，应采用相应的措施防止管路、接头等部位发生泄漏，并在生产过程中采取相应的检测工艺以确保产品安全。b.当液冷系统发生泄漏至可能产生安全隐患的阈值的时，建议具有检测手段能及时检测并报警。4.2.2.2 电池系统热扩散防护设计引起热失控风险的因素有很多，如极端的环境温度、过充过放、内短外短、电池制造缺陷等等。既然无法完全避免热失控风险，那就需要采取相关的防护设计来降低热失控发生时的危害，确保电池系统不发生起火或爆炸。热扩散测试可参考GB 38031-2020 电动汽车用动力蓄电池安全要求进行，电池包或系统应满足：单个电池发生热失控时，应提供一个热事件报警信号，且不起火、不爆炸，建议试验观察时间为 24 小时。可见，热扩散防护必须从电芯、模组、系统三个方面进行考虑。（1）电芯级a.相邻电芯间建议具备一定的隔热设计（如增加绝热毡、气凝胶等隔热阻燃材料），延缓热蔓延。b.电芯防爆设计（如防爆阀等）指向建议避免直接朝向相邻电芯，防止产生链式反应。电芯的开阀保护时间，需要在单电芯、模组中保持一致性，开阀的条件应在一定的偏差范围内。（2）模组级a.模组间建议考虑合适的间距，具备一定的防止热蔓延的能力；建议采用隔热设计（如隔热罩等），抑制热量在相邻模组间的蔓延。b.设计合理的电连接孔、泄气孔及火焰导向孔，防止蔓延。106c.对于不具备单体熔断功能的电芯，模组建议采用可熔断连接设计，防止电芯内短路时其他并联电池产生电流倒灌，引发热失控。（3）系统级a.电池壳体（包括上盖、底板以及密封条等附件）应采用阻燃材料，以避免明火引燃整车；b.电池包内部高压线束（包括主回路高压线束、电池电压采集线束等）建议具有熔断保护，防止在热失控期间因线束受损短路引起的二次伤害。4.2.2.3 电池关键部件阻燃设计为延缓热失控扩散，延长乘员逃生时间，电池系统的零部件应尽量选用阻燃等级较高或者不燃烧的材料，这样即使在热失控的极端环境下，这些零部件至少不会进一步加剧反应。（1）电池系统内部有机材料（如结构胶、导热胶等）应采用阻燃等级较高的材料。（2）应重点评估电池包内薄片非金属材料的阻燃等级。（3）其他与电芯直接接触材料，以及电气件、热管理部件等应选用阻燃等级较高或者不燃烧的材料。（4）在电芯热失控以后，建议评估喷发物对模组周围带来的绝缘下降引起的短路造成的二次加热。4.2.3 电气安全4.2.3.1 绝缘要求4.2.3.1.1 电气绝缘（1）电池系统的绝缘设计应满足 GB/T 18384 或企业要求；（2）通过绝缘材料来提供触电防护的，则电气系统的带电部分应当全部用绝缘体覆盖；（3）绝缘材料应能承受电动汽车及其系统的温度等级和最大工作电压；（4）绝缘体应有足够的耐电压能力，进行耐电压试验不应发生绝缘击穿或电弧现象。4.2.3.1.2 电气间隙、爬电距离（1）电池系统高压系统的电气间隙和爬电距离参考 GB/T 16935.1-2008；（2）根据耐压等级、环境污染等级确定电气间隙；107（3）根据环境污染等级、材料 CTI 值、工作电压、工作海拔高度等确定爬电距离；（4）当主电路与控制电路或辅助电路的额定绝缘电压不一致时，其电气间隙和爬电距离可分别按照其额定值选取。主电路或控制电路导电部分之间具有不同额定值时，电气间隙与爬电距离应按照最高额定绝缘电压选取。4.2.3.1.3 电位均衡（1）所有组成电位均衡电流通路的组件（导体、连接部分）应能承受单点失效下的最大电流；（2）电位均衡通路中任意两个可以被人同时触碰到的外露可导电部分之间的电阻应不超过 0.1，满足标准 GB 18384-2020 要求。4.2.3.2 电连接可靠性安全设计电池系统内的电连接设计包括模组内电连接设计和模组外电连接设计。模组内电连接设计包括：电芯间电连接、温度及电压采样；（1）电芯间电连接电芯间电连接需要满足过流要求，材质一般是铜、铝或者镍，应注意避免铜铝间电化学腐蚀。（2）温度采样a.作为检测电池状态的一个重要手段，在设计时主要关注两个方面：排布位置和连接可靠。b.排布位置建议可采集到模组内最高及最低温度。c.采样线可考虑防短路措施。（3）电压采样由于电压采样直接与电芯正负极相连，若连接位置阻抗过大，会影响电压的采样精度，因此，电压采样需选择阻抗较小且比较安全可靠的连接方式，采样线需要考虑防短路措施。（4）模组外电连接设计包括模组间电连接设计、模组与电气件间的电连接设计、电气件间电连接。模组外电连接一般使用锁螺栓或螺母作为对外电连接端口，在设计时应注意避免电电连接部位受载，同时应保证螺栓连接可靠性。（5）为了电池系统维护的方便性和安全性，建议系统要设计有专门的维修接口，如用于熔断器的更换，以及电池系统内单体电池状态调整接口。1084.2.3.2.1 系统过电流能力（1）电池系统内部主回路各连接部分应具有在整个生命周期内承受系统最大持续电流的能力。（2）电连接面积选择考虑温升和老化要求。4.2.3.2.2 电气连接可靠性（1）电池系统内部主回路各电连接部分应具有有效的设计，建议采用螺纹胶锁死，以保证在整个生命周期内保持连接阻抗的可靠性。（2）电池系统内部主回路各电连接部分的连接阻抗应具备明确的指标及检测方法，以便在生产及维护时进行检测；（3）电池系统内线束高低压连接端子与电线连接应牢固，应满足 QC/T 29106 汽车电线束技术条件中的规定；（4）连接器需要具有一个锁紧装置以避免分离或接触不良。高压连接器应具有高压互锁功能。4.2.3.2.3 接地要求高压零部件接地一方面是为了改善 EMC，另一方面是为了满足安全需要。高压零部件接地需满足如下要求：（1）所有与高压部件靠近的金属导体必须接地，如：冷却板、接插件固定板、靠近高压线的冷却管道所连接的水口、BMU（HVM）外壳、EDM 金属底板、金属托盘等；（2）所有接地点表面应保证导电性，不应有导电性差的漆及氧化物，防止接地不良；（3）所有接地点应保证一定的安装扭矩；（4）电池系统内部接地建议采用专用的接地螺栓螺母或使用编织导线，电池系统与车底盘接地线推荐使用编织导线，同时接地端子需镀锡；（5）接地线应尽可能短；（6）电池系统内接地点应与车身电底盘连接。4.2.4 电池系统安全性测试方法电池系统级验证主要是验证电池系统完整的性能和功能，可考虑以下几个方面：（1）按照GB 38031-2020 电动汽车用动力蓄电池安全要求国标要求，通过振动、机械冲击、模拟碰撞、挤压、湿热循环、浸水、热稳定性、温度冲击、盐雾、高海拔、过温保护、过流保护、外部短路保护、过充电保护、过放电保护测试。109（2）建议进行带载三综合振动试验，充分发掘连接异常及温升异常，评估安全可靠性（振动时充放电、高低温、湿度等）。（3）建议进行动态 IP 模拟测试（振动、冲击整车涉水等）。（4）建议采用同一测试样品在环境温度、环境湿度、振动状态下同步进行多因素应力综合评估，评估完成后对该测试样品再进行 IP 防护等级评估，应能够满足 IP 防护等级的要求。4.2.5 电池系统生产安全要求4.2.5.1 生产过程中安全防护要求（1）严格按照工艺流程装配，装配过程中避免出现压线等现象，防止操作中短路。（2）生产及转运过程中应对单体、模组、系统及关键部件（熔断器、接触器等）进行必要的防护，避免因磕碰、跌落等造成安全隐患。（3）生产及转运过程中裸露的 BMS 或采集板应进行有效的静电防护。（4）电池系统宜具备手动维修开关或 Fuse。生产及转运过程中，电池系统上的维修开关应当拔掉插头并盖上防护盖，确保切断电池系统对外的高压输出，电池系统上的高压连接器应装有防护盖，确保操作人员安全。（5）对模组、壳体的连接硬点进行必要的防护，避免因部件变形造成紧固点失效。（6）对柔性或易变形部件（如密封垫、发泡硅胶）等进行工装防护，避免因部件变形造成失效。（7）电池系统内部应对带电部件及连接点进行有效的防护，满足 GB 4208 中规定的IPXXB 防护等级要求，防止在生产或维护过程中因人员误触导致的安全隐患。（8）装配过程中使用的工装及工具与产品接触部分宜采用绝缘材质或做好绝缘防护，避免装配过程产生短路风险。（9）生产及装运过程各零部件应固定牢固，避免运动过程中摩擦损坏导致短路。（10）接通高压电前，必须进行高压电部件壳体接地检查，确认高压电部件的装配和连接可靠。（11）对高压电部件进行拆装前，必须进行断电操作，确认已断开紧急开关和 12V 电源。（12）在高压部件的拆卸、安装或其他操作时，操作人员需要取得低压电工证资质，110佩戴高压绝缘手套，穿绝缘靴，同时必须做好自身的绝缘保护措施，身上不得带有任何金属物品。4.2.5.2 合理的下线检测序号序号测试类别测试类别测试项目测试项目测试目的测试目的1线束测试线束测试检测电池系统低压接口所有针脚是否正确2静态测试CAN 通讯检测产品通讯是否正常3绝缘电阻检查产品的绝缘电阻性能4绝缘耐压检查产品的绝缘耐压性能5绝缘检测功能检查 BMS 的绝缘检测功能6高压互锁功能检查 BMS 的高压互锁功能7软件版本检查软件版本是否正确8硬件版本检查硬件版本是否正确9压差检查未充放电前压差是否满足要求10充放电测试总压检查电池系统总压是否满足要求11充电功能检查充电是否正常12放电功能检查放电是否正常13总电压精度检查 BMS 电压精度值是否满足要求14电流精度检查 BMS 电流精度值是否满足要求15直流内阻测试DCR 测试检查电池系统直流内阻值是否满足要求4.3 动力电池运输要求明确电池系统在运输过程中的包装、存储等条件的安全要求，防止运输过程中存在的安全隐患，或因自身的安全问题造成对环境或周围人员、财产的损坏。4.3.1 运输检测标准电池系统运输检测可参照联合国关于危险货物运输的建议书试验和标准手册第 3 部分 38.3 款(简称 UN38.3)内容要求。1114.3.2 包装及运输要求4.3.2.1 包装要求（1）电池系统的包装应符合防潮防震的要求，应采取措施防止电池系统与同一包装内导电物质相互接触。（2）电池系统内部所有零部件应按照正常生产要求进行固定。（3）电池系统所有接口需进行独立保护，防止碰撞和短路。所有电气接口设置绝缘阻燃防护罩，确保接口处无金属部分裸露在外。（4）电池系统设有维修开关(MSD)的，包装前确保维修开关已经取下，且维修开关接口处有绝缘材料进行包裹保护。（5）包装箱应考虑运输环境条件（公路运输、铁路运输、水路运输等情况），包装箱需经过堆码试验、跌落试验等试验合格。（6）包装箱应易于制造、装配，便于储运、机械装卸。（7）包装箱内应在指定位置装入随同电池系统提供的文件和物料。（8）包装箱应设置产品标签，包含下列内容：名称、物料编码、客户名称、制造厂名或商标等、生产日期、SN、每箱的数量、净重和毛重、堆码重量极限。4.3.2.2 运输要求（1）电池单体及系统建议在 40%SOC 以下状态运输，以 30%SOC 为宜；（2）根据联合国关于危险货物运输的建议书-规章范本（简称 TDG）的内容要求，电池系统在运输过程中应避开易燃、易爆、易腐蚀危险品；（3）电池系统与包装箱必须完全定位锁死，包装箱与运输工具也需通过转运架等完全锁死；在运输过程中，应防止剧烈震动、冲击、日晒、雨淋；（4）包装和运输过程中，要避免人员对动力电池系统的踩踏和不良接触；（5）运输器具满足运输试验要求；（6）运输器具要求绝缘，防止意外短路；（7）消防设备能满足运输车辆发生紧急事故的需求。4.4 动力电池售后保养要求明确电池系统在使用过程中的维护保养的措施、项目、频次等基本要求，及推荐建议112等，对其安全状态进行跟踪，及时排除安全隐患。4.4.1 动力电池保养、检测规范4.4.1.1 日常维护（1）充放电建议在适当的环境温度、SOC 状态下对电池系统进行充放电。（2）存放长期存放时，电池系统电量要处在适当状态，并定期进行深度充放电；存放区域远离热源、化学腐蚀等场地。（3）行驶建议用户养成良好的驾驶习惯，避免猛踩油门，形成瞬间大电流放电。4.4.1.2 定期保养为保证电池系统安全运行，建议电动汽车定期前往售后服务中心检查（建议每 5000公里/每半年）。对电池系统的定期保养与检测，必须由专业人员操作，且保养与检测场所应备有与电池系统接口配套的绝缘保护盖，在操作前需对电气接口安装绝缘保护盖，确保操作人员安全。定期保养与检测可选择如下项目：（1）均衡充电可利用维护接口使用诊断工具读取电池系统内部电芯电压一致性状态，根据电芯电压差异情况使用专门的维护仪、或者车载充电机进行均衡充电保养。（2）气密性检测检测电池系统壳体防护状态，使用专用检测工装对电池系统外部接口进行封堵，向壳体内部注入气体，通过保压法进行测试。（3）绝缘性能检测检测电池系统绝缘性能，可通过 2 种方式进行。车辆“启动”状态下，使用诊断工具读取 BMS 软件上报的绝缘值；（推荐）车辆“下电”状态下，使用绝缘测试仪检测电池系统高压输出端对接地点的绝缘值。（4）外观检查检查电池系统外壳及表面部件（接插件、压力阀、紧固螺栓）是否存在变形、破损、裂纹、松动等情况。如发现异常，视情况进行开箱检查。（5）故障码检查使用诊断工具读取电池系统内部故障码，对当前故障和历史故障进行评估，对功能、安全相关的故障码做进一步的诊断。113（6）冷却系统检查及维护，如风冷系统近出风口的过滤系统清理,保证散热通道的畅通。水冷系统的冷媒进行定期检测更换,避免由于冷媒的变性造成冷却系统的冷却性能及功能下降。4.4.2 动力电池年检项目及方法为保证电动汽车电池系统安全运行，建议对电池系统进行定期年检。电池系统年检项目可包含“电池系统保养、检测规范”等相关检测，同时可视需要增加电耗测试（整车）和容量测试等项目。如针对续驶里程衰减较明显的车辆，可使用专业测试设备检测电池系统容量、内阻、温升等参数。若在年检中发现特定故障，可开箱检查电池系统内部状态，重点关注箱内环境（是否有进水、泄漏）、零部件表面状态（生锈、霉变）、接插件状态、模组外形（是否有鼓包变形）、高压连接点紧固状态等等。如应重点关注碰撞事故历史车辆以及长年限、长里程车辆。1145.电机电机系统与电系统与电驱动总成安全驱动总成安全5.1 总体要求随着国家能源战略导向、四阶段油耗以及碳排放积分法规出台，电动汽车将在未来占据更大市场。电动化汽车以纯电动和混合动力汽车为主。在混合动力汽车中，除了传统发动机以外还有驱动电机系统，用以联合驱动和制动能量回收。在纯电动汽车中，电机则是唯一的动力驱动装置。从电驱动总成发展趋势和构型特点上看，乘用车驱动电机向永磁化、高速化、高压化和集成化方向发展，现有主流产品最高转速在 16000rpm 左右，未来转速将达到 18000rpm或更高，预计 2035 年将达到 25000rpm 以上。直流母线电压 150350800VDC 左右，电机输出功率在 30kW350kW 之间，输出扭矩在 100Nm500Nm 之间，配套合适速比的减速器或者变速器后电驱动总成输出扭矩（轮端）2000Nm5000Nm；电机输出与车轮驱动轴同轴或者平行布置。对于商用车来说，当前城市公交大巴最主流的驱动形式是电机直接驱动，含电机匹配固定速比减速器的动力总成（轻型商用车应用广泛），重型商用车通常采用电机匹配两档或者更多档位变速器的动力总成。商用车驱动电机通常输出功率在 50kW350kW 之间，专用工程车辆驱动功率需求可达 400kW 以上。不同载荷的商用车所需要的驱动电机转矩从400Nm5000Nm 不同，商用车电机系统的直流母线电压通常在 350VDC800VDC 之间或者更高。商用车最主要的驱动系统布置型式仍然是类似传统商用车的动力总成通过传动轴与主减速器连接的形式，轮边驱动、集成式电驱动桥在商用车也有广泛应用，未来将出现轮毂电机驱动方式。在动力总成中，电机不仅是一个动力源、传动部件，同时还是安全件和法规件。电机作为动力源，同发动机相比，电机可以四象限运行，以转矩控制模式为主。在软件功能或者硬件失效情况下，电驱动总成可能出现非预期的转矩输出，比如转矩输出冲击过大、消失或反向等故障，造成意外的人员伤害。作为传动件，电机是传动链上的一环，电机转矩波动或由于比例积分（PI）参数调整不当，可能导致传动系扭振造成整车舒适性方面的问题。在高压安全方面，除 48V 电机外，车用电机工作电压都超过了安全电压 60V，有的可达到 500V 甚至更高，存在高压安全风险。整车上公告要求电机按照国标 GB/T 18488 试验，115在企业准入和补贴申领等环节都需要采集电机的编码和壳体拓印等信息，因此电机是法规件。电驱动总成通常位于整车的底部，运行环境恶劣；电机大部分工况处于高速旋转状态，特别是乘用车驱动电机的工作转速远高于传统燃油车的发动机工作转速，由此带来的机械安全问题尤其需要重视。电机稳态工作温度通常在 120左右，部分工况下甚至达到或超过 160，电机控制器的最高工作温度也会达到 100以上，电驱动总成温度监测、防止永磁同步电机高温退磁、防止高温接触烫伤等方面的要求亟待规范。电机控制器的功率电子开关器件和电容因设计、制造和使用不当等因素也易受高电压冲击、热冲击等发生失效导致爆炸、起火等事故。电驱动总成在复杂的环境里工作，需要整个寿命期内适应各种气候环境。特别是在夏季内涝严重地区和冬季严寒地区，电驱动总成的防护安全要求更加苛刻。相比于传统燃油车，复杂电磁环境是电驱动总成需要面对的另一个挑战，这对电驱动总成的电磁兼容性提出了更高的要求。电驱动总成高压、大电流、高温等工作特点导致了电驱动总成的维护保养与传统燃油车动力总成相比有很大不同，维护保养过程中的人身安全需要特别关注。综上，电机系统与电驱动总成安全应从高压安全、机械安全、热安全、防护安全（含电磁辐射与抗扰等）、安全保护策略、功能安全、维护保养安全等七个方面进行全面考虑。5.2 高压安全相对于传统内燃机汽车而言，电动化汽车一般有高达上百伏的电气系统，超过了直流安全电压范围（直流 60V），如不进行合理的设计与防护，将可能带来人员电击等高压安全问题。在高压安全方面应主要考虑如下技术要求和措施，如绝缘电阻、耐电压、高压安全标识、高压接触防护、等电位连接、高压放电、高压接口安全、漏电保护和碰撞后安全等。5.2.1 绝缘电阻要求5.2.1.1 电机定子绕组对机壳绝缘电阻要求应符合国标 GB/T 18488.1-2015 中 5.2.7.1 条的规定。5.2.1.2 电机定子绕组对温度传感器绝缘电阻要求应符合国标 GB/T 18488.1-2015 中 5.2.7.2 条的规定。1165.2.1.3 电机控制器绝缘电阻要求B 级电压的电机控制器，应符合 GB/T 18488.1-2015 中 5.2.7.3 条的规定并满足如下要求：1）动力端子对外壳，冷态及热态绝缘电阻均不小于 1M；2）动力端子对低压端子（非地），冷态及热态绝缘电阻均不小于 1M；以上测量应按照最高工作电压选择兆欧表，测试方法按照GB/T 18488.2-2015中5.7.5的规定进行。5.2.1.4 绝缘检测要求通常电池包内部集成的绝缘检测功能可以针对整车高压系统的直流侧绝缘情况进行监测和报警。建议电机控制器具有交流侧绝缘检测功能。5.2.2 耐电压要求按照电驱动总成的最高工作电压设定测试电压并考虑冷态、热态，制定不同要求，具体如下：5.2.2.1 驱动电机绕组的匝间冲击耐电压要求应符合 GB/T 18488.1-2015 中 5.2.8.1 条的规定，最高工作电压是指三相交流线电压有效值。5.2.2.2 驱动电机绕组对机壳的工频耐电压要求应符合 GB/T 18488.1-2015 中 5.2.8.2.1 条的规定。最高工作电压是指三相交流线电压有效值。漏电流控制值按照技术文件要求执行。5.2.2.3 驱动电机绕组对温度传感器的工频耐电压要求应符合 GB/T 18488.1-2015 中 5.2.8.2.2 条的规定。温度传感器对驱动电机壳体的工频耐电压测试要求和限值同 5.2.8.2.2 条的规定。5.2.2.4 驱动电机工频耐电压测试电压及测试次数的要求按照 GB 755 要求，驱动电机的工频耐电压应仅对成品电机进行测试，验收时避免对117绕组重复进行全值耐电压测试。如果应客户需求进行第二次或多次耐压测试时，试验电压值应为前一次测试电压值的 80%，直到测试电压降至 1500VAC 最低试验电压，测试时间为1 分钟。对于完全重绕的绕组，等同新电机对待，采用全值耐电压测试。对于部分重绕的绕组或经过大修后的电机进行耐电压试验，则推荐采用下述细则：1）对部分重绕绕组的试验电压值为新电机试验电压值的 75%。试验前，对旧的绕组应仔细地清洗并烘干。2）对经过大修的电机，在清洗和烘干后，应承受 1.5 倍额定电压的试验电压，如额定电压为 100VAC 及以上时，试验电压至少为 1000VAC，如果额定电压为 100VAC 以下时，试验电压至少为 500VAC。5.2.2.5 电机控制器工频耐电压要求在产品认证时，电机控制器需按照 GB/T 18488.1-2015 中 5.2.8.2.3 条的规定进行工频耐压测试。对于有 Y 电容的电机控制器，允许出厂检验进行直流耐压测试，测试值为规定的工频耐压值的 1.414 倍。控制器整机装配完成后必须先进行绝缘和耐电压检测，测试通过以后才允许上高压运行。耐电压测试要求如下：1）电压等级要求参照 GB/T 18488.1-2015 中表 2 的规定。2）试验过程和实验方法参照 GB/T 18488.2-2015 中 5.8.4 条的规定。3）漏电流限值按照技术文件要求执行。因耐压测试对某些器件产生一定的损伤，会影响到器件的使用寿命，所以应尽量减少耐压测试的次数。如果应客户需求进行第二次或多次耐压测试时，试验电压值应为前一次测试电压值的 80%，直到测试电压降至 1500VAC 最低试验电压，测试时间为 1 分钟。5.2.3 屏蔽与接地5.2.3.1 电机与电机控制器间高压线束屏蔽与接地要求高压多相连接系统应带有屏蔽层，屏蔽层两端与高压部件外壳有效接地，实现电缆两端 360 度全方位屏蔽，每端接地电阻不大于 40m。高压屏蔽电缆屏蔽层应符合 GB/T25087-2010 中 6.3 条要求，并且满足整车电磁兼容要求。1185.2.3.2 控制器直流母线屏蔽与接地要求高压连接系统应带有屏蔽层，屏蔽层电机控制器端与控制器外壳有效接地，实现电缆360 度全方位屏蔽，接地电阻不大于 40m。5.2.3.3 位置传感器线束屏蔽与接地要求位置传感器线束应采用双绞线，并外套屏蔽层，建议屏蔽层两端良好接地。5.2.3.4 CAN 总线屏蔽要求建议电机控制器 CAN 通讯线束使用屏蔽双绞线，屏蔽层在电机控制器端应良好接地；或者按照技术文件要求执行。5.2.3.5 电机、电机控制器及其他功率控制器接地要求驱动电机、电机控制器及其他功率控制器产品金属外壳的接地电阻应不大于 100m。电机机座、控制器壳体等与底盘或者车身地之间应有永久、可靠和良好的电气连接。接地线端子的连接应可靠锁紧并具备防松功能。5.2.3.6 等电位连接下图是纯电动电机系统的典型高压拓扑。当高压部件正负极均出现绝缘问题（如正负极同时与外壳短路或局部漏电）的情况下，为满足人员防触电要求，电机系统可导电外壳（遮拦）与整车底盘应实现可靠的等电位连接。图 5-1电机系统典型高压拓扑等电位连接形式可采用如下三种方式连接，如图所示：1）通过导体：如可导电的支架1192）电线束：如等电位连接线，颜色为棕色3）直接连接：电机控制器直接通过螺栓与电平台相连或者焊接在车身上图 5-2等电位连接形式等电位连接要求：1）阻值要求；电机系统的可导电外壳（遮拦）与整车底盘之间的电阻应小于等于 100m。2）短路电流：等电位连接应承载短路电流直至过流保护做出动作。3）寿命：等电位的电阻需保持直至高压元件的指定寿命时间末。4）连接要求：对于与车身地紧固的等电位连接形式，等电位连接线及螺栓应耐腐蚀超过其指定寿命时间，并且不允许自动松开。5）接地端子不应兼作他用。6）接地端子的螺栓和整车地应有足够截面，接地螺栓最小直径按 GB 14711-2013 表3（同下表 1）的规定，接地导线截面积按 GB 755-2008 表 19（同下表 2）的规定。表 5-1保护接地螺栓最小直径电机额定电流电机额定电流 A A保护接地螺栓最小直径保护接地螺栓最小直径 mmmm2042020062006308630100010100012表 5-2接地导线截面积120相线截面积/mm接地导线或防护导线截面积/mm相线截面积/mm接地导线或防护导线截面积/mm449550661207010101507016161859525252401203525300150502540018570355.2.3.7 接地标志要求接地点应有明显的接地标志。若无特定的接地点，应在有代表性的位置设置接地标志。接地标志依据 GB/T 4026-2019 标以保护接地图形符号“”，必要时再应用字母符号“PE”标志。这些标志不应放在螺栓、可拆卸的垫圈或用作连接导线的可能拆卸的零部件上。5.2.4 高压接插件和连接器1）B 级电压部件的遮拦和外壳应依据 GB 18384-2020，满足 IPXXB 防护等级要求。2）选用的配对耦合高压接插件物理结构上的连接引导部分应不同，以满足防错插功能。5.2.5 高压放电在电机系统从高压回路断开后，由于电机控制器内部存在储能器件，如直流母线支撑电容等，电机系统内部高压并不会立即消失，而是慢慢下降，在常规维护或者售后维修时可能导致高压电击，造成人员伤亡。因此，为避免如上事故，电机系统需同时具备主动放电和被动放电功能，即使主动放电失效，被动放电依然有效，且在规定时间内必须降到安全电压以下，具体要求如下：1215.2.5.1 主动放电要求在电动汽车和混合动力汽车中使用的电机控制器输入端电压通常高于安全电压，为保护人身安全，要求在电机控制器的直流侧电容须配有放电电路，以快速降低直流侧电容的电压。电驱动总成必须具备主动放电功能。主动放电可以通过电机绕组或者外接专用放电电阻实施。按照 GB/T 18488.1-2015 中 5.5.3 条的要求，当 B 级电压系统断电后，应在 3s 内将直流母线电压降至安全水平（直流电压 60 V 以下）。5.2.5.2 被动放电要求电驱动总成还应具备被动放电的功能，在直流侧接入被动放电元器件实施。即使主动放电功能无法完成，被动放电装置仍可对直流侧电容进行放电。此功能必须始终有效，而非被触发后才有效。当 B 级电压系统断电后，应在 2min 内将直流母线电压降至安全水平（直流电压 60 V以下）。5.2.6 高压防触电防护与警告电驱动总成上应具有高压警示标志，高压警示标志应满足 GB 18384-2020 中 5.1 条的内容。图 5-3高压警示标志电驱动总成的 B 级电压部件的遮拦、外壳、接插件都应通过以下两种方式或其中一种满足直接接触防护的要求。1）带电部分的基本绝缘；2）遮拦或外壳，防止接近带电部分。3）B 电压部件的遮拦、外壳、接插件至少要满足 GB/T 4208-2017 中规定的 IPXXB 防护等级的要求。122如果遮拦或外壳可以徒手打开，则其可以打开的部分应具备高压互锁装置，满足本文 5.2.7 章节的高压互锁要求。5.2.7 高压互锁高压互锁（High Voltage Inter-lock，简称 HVIL），是用低压信号监视高压回路完整性的一种安全设计方法。该互锁回路首尾连接在自动断开装置上，当高压电气回路上任何一个高压防护罩或插接件从回路上断开，就会触发一个低压电信号，高压立即被断开，且高压系统不能再次上电。对于满足防护等级 IPXXB 的高压接插件采用高压互锁措施；可拆卸的外壳采用高压互锁措施；如没有互锁措施，应能保证先触发高压系统的切断并保证外壳拆掉前有足够的时间使高压系统电压低于 60Vdc。高压互锁形式多样，可以用公母端接插件对配、微动开关或机械互锁等。推荐乘用车产品具备高压互锁功能，建议商用车产品选用高压互锁功能。如果高压接线系统具备高压互锁功能，系统的功率端子和信号端子应满足：1）高压连接系统连接时，功率端子先接通，信号端子后接通；2）高压连接系统断开时，信号端子先断开，功率端子后断开。5.2.8 高压接触防护可拆卸的电机控制器外壳，必须符合复杂拆卸，必须使用工具（非特指专用工具），并采用下列两种方式之一进行外壳拆除：拆除三个以上螺栓或两种不同型号螺栓才能除去外壳。只能使用配套的专用工具才能除去外壳，电机控制器安装在前机舱内，完全装配好的电机控制器防护等级应满足 ISO20653 规定的 IPXXB 或 IPXXD。其他的可选措施包括高压互锁或者延迟接触：延迟接触：应保证执行两个独立的操作后才能接近带电部件，第一步操作必须触发高压系统的切断并保证，第二步操作时高压部件电压已经低于 60Vdc 或低于 30Vac，人员触电防护同时应满足国标 GB 18384-2020 的规定。5.2.9 碰撞后安全如果整车使用过程中发出碰撞，电驱动总成需根据整车控制器指令执行以下一个或多个保护措施：1231）电机控制器切断负载电流，无功率输出；2）电驱动总成激活无负载状态；3）激活电驱动总成安全状态；4）对高压电路主动放电。具体指标要求如下：1）当高压系统切断时，必须立即根据整车控制器要求开始高压电路的主动放电；2）在碰撞信号发出的 3s 内，高压电路的电压必须降到 60Vdc 以下。5.2.10 电驱动总成爬电距离和电气间隙要求电气间隙为两导电部件之间在空气中的最短距离，与产品冲击耐受电压、污染等级、海拔高度有关。5.2.10.1 电机爬电距离和电气间隙要求根据电机的耐压等级和海拔高度，参考国标 GB 14711-2013 中 11 章节的规定确定电动机的爬电距离和电气间隙，具体要求见 GB 14711-2013 表 4（工作电压 31V750V）及表5（1000V 以上，这个电压平台在当前电动汽车领域应用较少）。当工作电压在 750V1000V之间，建议按照 GB 14711-2013 表 5 工作电压 1000V 以上的爬电距离和电气间隙设计。5.2.10.2 控制器爬电距离和电气间隙要求1）电机控制器高压系统的电气间隙和爬电距离参考 GB/T 16935.1-2008；2）根据耐压等级、环境污染等级、工作海拔高度等确定电气间隙；参考 GB/T16935.1-2008 表 F.2 和表 F.7，海拔修正系数参考 GB/T 16935.1-2008，表 A.2；3）根据环境污染等级、材料 CTI 值、工作电压等确定爬电距离；参考 GB/T16935.1-2008 表 F.4；4）当主电路与控制电路或辅助电路的额定绝缘电压不一致时，其电气间隙和爬电距离可分别按照其额定值选取。主电路或控制电路导电部分之间具有不同额定值时，电气间隙与爬电距离应按照最高额定绝缘电压选取。1245.2.11 高压接口安全要求5.2.11.1 防松脱设计要求5.2.11.1.1 可插拔高压接插件要求可插拔高压接插件至少有两级锁止装置，至少需要两个不同的动作才能将其从相互的对接端分离；接插件之间具备防错插功能。可插拔高压接插件应满足 GB/T 37133-2018 附录 A 的要求。5.2.11.1.2 其它方式连接的要求高压连接系统的电缆压接、螺纹连接、焊接等连接装置，应无松脱、断裂等连接缺陷。5.2.11.2 高压连接系统防护要求正常连接时高压连接系统的防护等级应不低于 IP67。若高压连接系统可不通过工具手动断开，则非连接状态的高压连接系统各部分的防护等级应满足 IPXXB。5.2.11.3 高压连接系统耐振动要求高压连接系统的耐振动要求应满足 GB/T 37133-2018 第 7.4 条的要求。5.2.12 低压线束连接安全要求5.25.2.1.12 2.1.1 低压线束连接可靠性低压线束连接可靠性低压连接系统的耐振动要求应满足 QC/T 29106-2014 第 4.10 条的要求。5.25.2.1.12 2.2.2 低压低压插件碰撞插件碰撞保护保护要求要求设计时低压接插件应布置于不易受碰撞的地方或者应有一定的防碰撞保护，避免系统在运输、安装、运行过程中受损。5.25.2.1.12 2.3.3 低压低压线束密封性检查要求线束密封性检查要求正常连接时低压连接系统的防护等级应不低于 IP67。5.3 机械安全相对于传统内燃机汽车而言，电动汽车上驱动电机转速通常远超发动机，同时动力总成又有轻量化的设计要求，这就要求电驱动总成在开发及验证环节必须特别重视产品机械强度、刚度与轻量化的工程矛盾处理。轴承是电驱动总成中较容易发生故障的关键零件，影响整车安全；相对于传统变速箱系统，电驱动总成特有的高频、高压、大功率用电所导125致的轴电流容易使轴承发生早期电腐蚀失效。传动系统的齿轮、轴系等都具有高转速、高可靠运行的特殊要求。以上这些方面都使得电驱动总成的机械安全尤为重要。5.3.1 转子强度电机转子是电机能量转换的重要组成部件之一，是电机中主要的旋转零部件，用于输出电机的动力。转子机械安全设计的主要方向是高转速转子铁芯形变量控制，转子冲片结构强度和许用不平衡量等。驱动电机转子应能在所有规定工况下正常运行，而不出现影响使用的变形、松动、振动噪音增大、以及零部件的断裂、破碎和脱落等异常情况。通过 CAE 辅助设计，同时评估转子最高工作温度工况，应考虑 1.2 倍电机最高工作转速工况下，转子铁芯的形变量应小于电机气隙的 10%，同时转子铁芯的最大应力应满足安全系数要求。5.3.1.1 超速试验要求驱动电机在热态下应能承受 1.2 倍最高工作转速试验，持续时间为 2min，其机械结构应不发生有害变形。5.3.1.2 转子系统动平衡要求转子动平衡量应满足 GB/T 9239.1 标准规定的 G2.5 级及以上的标准，特殊要求除外。5.3.2 轴承可靠性5.3.2.1 轴承油脂、润滑、密封维护要求轴承需要具有良好的工作环境，装配、运输及运行中不能有水或其他杂质进入轴承。允许轴承按照保养要求定期更换油脂甚至更换轴承，保证轴承润滑和正常运行。电机内部拆装维修时需要每次更换新轴承。维护轴承需要由专业厂家进行。5.3.2.2 轴承声音主观检测要求对电驱动总成进行噪音出厂检测，通过声学设备判断电驱动总成的噪音特征是否存在异常。必要时或条件暂时不具备时，可结合一定的主观判断。1265.3.2.3 轴电压和轴电流的防护较大的轴电流会导致电机轴承出现早期电腐蚀，降低轴承寿命，产生异常振动噪音，建议高频 PWM 供电电机采取轴电流抑制措施。推荐采取以下主要措施抑制轴电流：1）设计合理的滤波器，减小变频电源共模电压，可以较好地消除 PWM 电机控制器产生的高频谐波。2）电机一端轴承采取绝缘措施，来抑制轴电流。具体方法可以是采用绝缘轴承，或者在轴承座或端盖轴承室上设置绝缘结构实现。3）双端轴承绝缘的同时将轴与外壳直接短接，抑制静电引起的共模轴电压，同时可以进一步减小油膜电压，保护轴承不受电腐蚀而损坏。5.3.3 壳体强度壳体的强度应满足不同工况下车辆的使用需求，通常参考 GB/T 28046.3-2011 或客户标准，保证在发生碰撞的情况下，在保证车内人员安全的前提下，尽可能的减少对电机的损害。5.3.3.1 壳体离地间隙要求在整车的布置过程中，应保证驱动电机壳体要高于车架（或副车架）并留出一定的安全距离，确保车辆在满载、过坑洼路面等极限工况下，防止电机拖底问题发生，保证行车安全。5.3.3.2 维护、检查、防脱落要求电驱动总成在整车布局中的位置，应考虑在检查、维护过程中的便利性。车辆在运行一定周期后，需要对电驱动总成等相关部件进行检查、维护，通常采用力矩检查法或划线标记法（特殊情况）判别连接是否发生松动，一旦发现松动，应立即进行连接位置的锁紧、防松。避免车辆在使用过程中发生驱动电机松动、脱落，从而导致交通事故发生。5.3.4 机械防触碰与警告车辆传动装置为旋转部件，应在设计过程中考虑旋转部件对人身造成的伤害，通过物理结构将旋转部件与人体隔离。对于无法进行防护的旋转部件，在周边应粘贴或安装醒目的警告标识，以避免对人身的伤害。127水接头的设计应首先保证冷却管路的密封性、承压性和安装便利性。保证冷却水道的压力检测值不小于 250kPa 或依据客户要求，通常采用湿式检测法或干式检测法判别水道的密封性和承压性。高、低压接插件应满足产品的 IP67 防护等级，同时对线束在一定长度范围内进行安装固定，防止在长期振动环境下运行对接插件密封和保护造成伤害。接插件周边和线束应设置有效的物理防护（例如金属或非金属保护罩、网），防止在运输、装配、车辆运行过程中，破坏接插件。5.3.5 输出法兰防松脱检查要求驱动电机系统输出法兰须与传动轴连接可靠，避免松脱。车辆在运行一定周期后，需要对电机输出法兰、传动轴及其相互间的紧固件等相关部件进行检查、维护。通常采用力矩检查法或划线标记法判别电机连接是否发生松动，一旦发现松动，应立即进行连接位置的锁紧、防松。避免车辆在使用过程中发生驱动电机松动、脱落，而导致交通事故发生。5.3.6 花键润滑检查要求动力总成通常由减（变）速器和驱动电机组成，而传动轴通常为内/外花键连接，长期暴露在空气中使用，极易发生锈蚀、磨损，造成花键连接失效。在设计之初应考虑花键的润滑密封等问题。通常在花键两端设置有密封圈，在密封的花键腔体内，填充一定量的润滑脂（油脂添加需适量，过量油脂会产生压力损坏轴承），以保证花键润滑有效。同时还应结合实际耐久试验情况，给出花键润滑脂的检查间隔时间和油脂填充量，通常每 5 年或 10 万公里或根据整车厂要求，进行一次检查。同时给出花键磨损的判别标准，必要时需更换花键。5.3.7 转轴的机械强度电机转轴应能满足整车各种工况下的最大扭矩输出要求。电机轴的机械强度依赖于优化的结构设计、准确的受力分析和校核、材料选择、热处理和加工装配等。如有必要，需进行静扭试验和扭转疲劳试验。参照标准 QC/T 1022-2015，静扭强度后备系数应不小于 2.5 倍的峰值扭矩。1285.3.8 变/减速器静扭强度变/减速器静扭强度后备系数不小于 2.5，试验方法按照 QC/T 1022-2015 中的6.2.4.9。5.3.9 变速器换挡安全变速器换档可靠，无乱档，脱档，换不上档或摘不开档的现象。5.3.10 驻车安全车速高于 5km/h 时，误碰驻车功能按钮时应不能驻车；当处于非驻车状态时，无论发生任何异常情况，驻车机构都不能自动驻车；驻车后，驻车机构不能自动脱档；当汽车需要行驶时，驻车机构能使汽车顺利脱离驻车档；应设有手动解锁功能。5.4 热安全热失效是电驱动总成常见的失效形式，由于故障或长时间超负载运行，导致电机绕组烧毁或电机控制器功率模块损坏，会直接造成电动汽车失去动力，极大影响行车安全。因此在电驱系统设计中，必须考虑热安全因素，采取相应的对策保证系统安全运行。电驱系统性能输出能力往往受限于温升和工作温度限值。合理的温度设计能够最大化发挥电驱系统性能。温度场仿真、试验验证和实时监控保护三位一体，共同保证电动汽车运行安全。电机定子绝缘系统寿命与其工作温度强相关。经验表明，绝缘材料在超过其工作温度下使用，每增加 10，寿命减少约一半。长时间高温下工作容易造成绝缘纸、绝缘漆等提前老化、失效，造成绕组短路烧毁等严重后果。电机热性能设计的工作重点就在于控制电机工作温度，保证寿命。电机转子散热条件一般较差，转子铁损和磁钢涡流损耗产生的热量容易累积，造成转子温度升高。随着电机向高速化发展，转子将面临更大的散热压力。在设计方面，可通过温度场仿真可以对永磁体温度做初步评估，但是面对复杂多变的实际使用工况不能完全覆盖。在温度监控方面，转子作为旋转部件，一般难以直接布置温度传感器实时监测转子铁芯和磁钢的工作温度，可通过建立转子温度模型实时估算转子磁钢温度，并建立相应的温度保护控制算法，保证磁钢始终工作在其许用工作温度范围内。1295.4.1 热预警、降额、保护5.4.1.1 温度传感器的冗余设计建议建议电机和电机控制器均采用两路温度传感器进行温度监测，并在仪表中实时显示温度较高的一路温度传感器的温度。5.4.1.2 温度传感器测点与软件设计关系在电机系统研制过程中，建议进行多温度传感器样机摸底测试。根据多温度传感器样机测试结果，确定批量供货产品的温度最高点以及与其它可能埋置温度传感器的温度差值，推荐温度传感器一个布置在三相中性点以监测三相温度，另一个尽可能布置在温度最高点。保护软件编写时，需要根据前述测试及温度传感器埋放位置，进行数据采集上报列表。一旦一个温度传感器失效，软件在采样切换到另一个有效温度传感器同时，也应根据切入传感器采样调整软件报警温度设置。另外软件也要根据前述试验认证留出足够的安全裕量。5.4.1.3 过热三级故障保护机制要求系统需要使用三级故障处理机制；处理策略应符合产品技术文件规定。推荐的保护策略见本章 5.6 节。5.4.2 转子退磁：高温下的退磁安全、转子温度估算永磁体会产生由温度效应、过电流或不当电流控制角引起的退磁问题。电机设计阶段要充分校核峰值工况和三相短路工况下的退磁临界点，避免电机运行工况在临界点以上。同时估算电机持续运行时的转子温度，保证在大电流负载和控制角下，永磁体的温度不超过所选牌号磁钢的退磁温度限值。在电机系统研制阶段，建议进行必要的退磁测试认证。建议建立比较准确的转子温度估算模型，并将估算模型纳入控制软件保护程序中。下面是一种温度估算方案：通过大量测试建立定子绕组温度与转子磁钢温度之间关系曲线，在软件中通过监控定子温度，间接监控转子磁钢温度。5.4.3 轴承耐温、密封材料耐温、绝缘材料耐温要求轴承耐温应限制在极限工况温度范围内，温度范围由整车厂与电机供应商技术文件规130定。推荐轴承工作温度范围-40150。电驱动总成的密封材料，如密封圈、密封胶垫和油封等，其耐温应大于 150。电机的绝缘材料耐温等级应使用 H（允许工作温度 180）级及以上耐温材料（参考GB/T 20113-2006）。绝缘系统温度等级取决于电机各种绝缘材料（绝缘纸、电磁线、绝缘漆和端部绑扎线等）的最低耐温等级。供应商应在产品铭牌上明确标记绝缘系统等级。5.4.4 阻燃材料使用用于高压连接的线束、注塑件的阻燃性能应符合 GB/T 2408-2008 规定的水平燃烧 HB级，垂直燃烧 V-0 级。B 级电压电缆防护用波纹管及热收缩双壁管的温度等级应不低于125，热收缩双壁管的性能应符合 QC/T 29106-2014 中附录 B 的要求，波纹管的性能应符合 QC/T 29106-2014 中附录 D 的要求。5.4.5 人体防护与警告5.4.5.1 停机高温警示任何可能被操作、维保人员触及的高温部件，例如壳体等，应有高温警示标志。具体停机高温警示要求由整车厂确定。举例如下：对于采用 H 级绝缘的电机，当绕组温度超过160C 时，整车面板上应提示电机温度过高。电机绕组温度达到 170 C 后应停机保护，停机后水冷电机金属壳体温度可能高达 120C，30min 内请勿直接用手触摸，以免烫伤！建议电驱动总成上粘贴当心高温表面警示标志，当心高温表面警示标志应满足 GB2894 中 4.2.3 章节的内容。图 5-4高温表面警示标志5.4.5.2 故障报警要求当电驱动总成发生故障时，必须在仪表板进行提示，并进行声、光、电综合报警。1315.4.6 电驱动冷却系统（水泵、管路、连接件等）定期检查要求建议电驱动总成的冷却系统每半年或整车行驶 4 万公里，需要进行一次定期检查或者按照整车厂提供的维护保养手册执行。检查冷却管道外部、进出水口附近、电机、电机控制器上是否有冷却液渗出；如有异常，判断泄露部件，进行相应更换或维修。5.4.7 变/减速器油温要求变/减速器油池温度最高不应超过 130 度。5.5 防护安全IP 防护是机械安全设计必须考虑的因素，电驱系统的密封设计或选型应能满足 IP6K7和 IPX9K 要求。电驱动总成在复杂电磁环境中工作，这对电驱动总成的电磁兼容性提出了更高的要求，电驱动总成既要具备严格的电磁辐射和传导指标，同时也要具备优秀的抗干扰能力。5.5.1 防水/防尘设计：端盖、轴密封性设计5.5.1.1 液冷（水、油等）介质防水、防尘要求驱动电机及控制器应具有防尘、防水能力，其防护等级应满足标准或客户规定的要求，最低要求是不低于 IP67。电机应满足车辆在断电状态下，在水深 50 cm 水池浸泡 24h 后，整车开机，电驱动开关置于“ON”位置，电机及电机控制器不应由于本身原因引起安全事故（例如：起火等）。5.5.1.2 油冷电机生产过程的防尘要求油冷电机在装配和使用过程中，应特别注意电机的防尘。防止因灰尘、异物等进入电机内部，对绝缘、轴承等造成影响。需要针对不同的零、部件分别制定清洁度控制指标。清洁度的控制需要同时控制杂质总重量和最大杂质颗粒度两项指标。清洁度指标按照企业内部标准执行。5.5.1.3 旋转密封设计要求水冷式电机和油冷式电机的旋转密封设计有明显的不同，前者一般没有润滑介质，而132后者有润滑介质。针对水冷式电机，如采用橡胶油封的传统旋转密封技术，会因为缺少润滑，导致橡胶油封过早失效。1）规范油封的安装，油封安装完后，检测密封性。2）电机增加透气阀，平衡电机内外部的气压，避免因为呼吸效应导致油封密封部位出现气流的进出。旋转密封件需要按照保养手册定期检查维护，必要时更换。5.5.1.4 控制器维修过程的防尘控制要求（针对现场维修）驱动电机控制器维修需要在干燥、无尘、有静电防护的区域进行。维修前，需要彻底清洁驱动电机控制器，维修后，应进行全面测试，应完全满足技术文件要求。5.5.1.5 高压线束密封设计要求正常连接时高压连接系统的防护等级应不低于 IP67。若高压连接系统可不通过工具手动断开，则非连接状态的高压连接系统各部分的防护等级应满足 IPXXB。5.5.1.6 低压线束密封设计要求正常连接时低压连接系统的防护等级应不低于 IP67。5.5.2 气密5.5.2.1 驱动总成冷却管路密封性检查要求冷却水道气密需考虑充气压力、充气时间和保压时间。检测时间和压降需根据具体产品规格确定；也可以采用负压法测试。5.5.2.2 电机旋转密封检查要求电机旋转密封检查通常采用两种方法：1）按照 GB/T 4942.1-2006 标准进行相关要求的试验；2）采用气密测试需考虑充气压力、充气时间和保压时间。检测时间和压降需根据具体产品规格确定；也可以采用负压法测试。1335.5.2.3 控制器密封检查要求控制器冷却水道密封检查要求：需考虑充气压力、充气时间和保压时间。检测时间和压降需根据具体产品规格确定；也可以采用负压法测试。控制器壳体密封检查要求：在高压接插件、低压接插件耦合状态下，需考虑充气压力、充气时间和保压时间。检测时间和压降需根据具体产品规格确定；也可以采用负压法测试。5.5.2.4 电驱动总成高、低压连接密封要求高压连接系统和低压连接系统正常连接状态下，需考虑充气压力、充气时间和保压时间。检测时间和压降需根据具体产品规格确定；也可以采用负压法测试。5.5.2.5 防冷凝要求电机系统及电驱动总成产品在其生命周期内防尘防水等级应达到 IP67，在此基础上需要进一步考虑产品因温度变化而引起内部压强变化和呼吸效应，从而造成凝露现象，使产品腔体内积水，进而造成电气故障及零部件锈蚀。电机系统及电驱动总成产品应选配合理透气量的防水透气阀。透气阀的选型：与箱体配合处防护在全生命周期等级达到 IP67等级。透气阀通常安装在产品的上部或侧面。5.5.2.6 电驱动总成涉水及涉水后的检查要求按照 GB 18384-2020 中 8.3.1 和 8.3.2 的要求：1）电机、电机控制器按照 GB/T 18488.1-2015 中 5.2.82 要求进行耐电压测试.；冷态绝缘电阻应符合产品出厂测试标准。2）按照产品出厂测试标准检查控制器、驱动电机气密性。5.5.3 EMC 及防护：电磁噪声对车载设备新能源汽车对 EMC 要求越来越严苛，很多整车厂零部件公司硬性指标要求电机控制器满足 3 级标准，电机控制器设计过程中应考虑电磁兼容性，电磁干扰主要通过辐射与传导两种途径对电子设备产生影响。5.5.3.1 电磁辐射骚扰电驱动总成应满足 GB/T 18655-2018（建议等级 3 限值）的要求及 GB/T 36282-2018134标准限值要求。电驱动总成装到整车后，整车应满足 GB/T 18387 的要求。按照 GB/T 36282-2018 的要求，在做发射类试验时，电驱动总成应处于工作状态，转速为额定转速的 50%，扭矩为额定扭矩的 50%，机械输出负载达到持续功率的 25%。当转速或扭矩达不到其试验状态时，可调整扭矩或转速以达到持续功率的 25%，并在试验报告中特别注明。5.5.3.2 电磁辐射抗扰性电驱动总成应通过合理布置及屏蔽保护设计使其抗干扰性满足表 3 中要求。表 5-3电磁辐射抗扰测试标准测试项目国标要求电波暗室法GB/T 33014.2-2016大电流注入法GB/T 33014.4-2016瞬态传导抗扰度(电源线)GB/T 21437.2-2008瞬态传导抗扰度(信号线)GB/T 21437.3-2012低压瞬态传导发射GB/T 21437.2-2008静电放电GB/T 19951-20195.5.3.3 电磁辐射人体健康的安全性评估车辆在处于以下工况时，应按照 GB/T 37130-2018 进行试验验证；10Hz-400KHz 的磁场发射量符合 GB/T 37130-2018 附录 A 中表 A.1、表 A.2 和表 A.3 限值要求。1）静态工况：车辆静止状态用电器全开，车辆动力系统高压上电完成（PTReady）；2）动态工况：车辆 40km/h 恒速行驶；5.6 电驱动总成故障保护机制乘用车电驱动总成的保护机制至少需要包括下列内容，具体处理策略实施可由整车厂与电驱动总成供应商协商达成一致。商用车电驱动总成的保护机制可参考乘用车要求，可按照与整车厂协商结果执行。135乘用车涉及功能安全相关的故障保护需要考虑安全状态。故障触发机制和恢复机制需要根据整车厂需求来完成设计和验证。5.6.1 故障触发机制根据一个或多个条件的判断，在一定的时间内判定当前故障状态是否已被触发的机制，叫做故障触发机制。基本的故障触发机制包括以下类型：当故障状态被触发后，根据当前的实际运行状态，在尽量减小对驾驶人产生干扰的前提下将系统进入安全状态的机制，叫做故障保护机制。基本的故障保护机制包括以下类型：1）电路板上单一物理量单次超出既定限值，触发故障状态。可以是模拟信号触发硬件故障保护，也可以是硬件驱动故障触发故障保护。2）软件内部单一量单次超出限值【可标定】，触发故障状态。3）软件内部单一量多次超出限值【可标定】，触发故障状态。4）软件内部单一量在一段时间 T【可标定】内 N【可标定】次超出限值【可标定】，触发故障状态。5）软件内部单一量与实时监控计算值【不可标定，变量】的偏差超出限值【可标定】，触发故障状态。6）软件内部多个量超出限值【可标定】，并根据一定的逻辑判断后，触发故障状态。7）主控芯片利用本身的检测机制保证程序执行正确性，否则触发故障状态,(例如：主控芯片检测时钟等信息，故障的触发是检测锁相环 PLL 的丢失（不可标定），)同时也要保证计算结果的正确，通过例如 lockstep 等机制检测故障，程序流也可以依据芯片内置 watchdog 保证执行周期，同时检测故障。8）外设其他功能安全芯片保证主控芯片正常工作，否则触发故障状态。具体时序参考芯片手册。外设功能安全相关芯片检测程序运行状态。问答式检测在线机制或超时时间（可标定）进入 Safety Sate 状态。9）在一段时间 T【可标定】内未完成预设功能，触发故障状态。这里预设功能不是指芯片本身的故障，而是电机控制器设计的基本功能，常见如：自学习，主动放电等。1365.6.2.故障保护机制（进入安全状态或切换安全状态）基本的故障保护机制包括以下类型：1）软件检测模拟值包含电压、转速、温度等是否超出设置值【可标定】，系统进入ASC 主动短路状态或三相开路状态，上报故障信息，存储故障信息，冻结相关数据帧。2）根据 IGBT 当前的状态（正常、上桥故障、下桥故障），系统进入 ASC 上桥短路状态或 ASC 下桥短路状态。硬件检测模拟值是否超出限制值或存在硬件驱动故障，系统进入ASC 主动短路状态。3）根据系统状态，系统进入 ASC 主动短路状态或三相开路状态，上报故障信息，存储故障信息，冻结相关数据帧。根据 IGBT 当前的状态（正常、上桥故障、下桥故障），系统进入 ASC 上桥短路状态或 ASC 下桥短路状态。4）进入零转矩模式。上报故障信息，存储故障信息，冻结相关数据帧。5）进入跛行回家(Limp-home)模式，采取降额措施，具体降额的量以及比例与故障源物理量相关，其相关性可标定。上报故障信息，存储故障信息，冻结相关数据帧。6）进入冗余模式，不做故障上报，存储故障信息。7）故障条件消失时，清除故障，根据当前转速、电压等模拟信号，经过一定时间（可以标定）从主动短路 ASC 的安全状态可以切换到三相开路的安全状态，进入低压上电完成后的初始状态模式。5.6.3 故障恢复机制当故障状态被触发并进入安全状态后，根据当前的实际运行状态，使系统退出故障状态并具备重新实现原有功能的能力的机制，叫做故障恢复机制。基本的故障恢复机制包括以下类型：1）钥匙拔出，等待数秒后，重新执行 KL15 重新上低压电唤醒，清除故障。2）KL15 重新上低压电唤醒，清除故障。3）故障条件不满足时，KL50 重新上高压电，清除故障。4）故障条件不满足时，CAN 通信发出特定指令后，清除故障。5）故障条件不满足时，经过一段时间 T【可标定】后，或者满足一定计数条件【可标定】，清除故障。6）故障条件不满足时，自动清除故障。一些降额故障或者 0 扭矩模式可以自动恢复，137但是建议恢复阈值的设计考虑滞环。5.6.4 电驱动系统故障保护示例下面是保护策略实施案例，供参考：5.6.4.1 转矩反馈异常故障描述：实际转矩与命令转矩偏差超过一定范围时，进行故障计数，同时，偏差在正常范围内，故障计数值需要减少。根据故障计数值达到不同阈值进行分级处理，故障分级阈值可以进行标定。转矩异常的原因可能是初始旋变位置错误或者电机参数不正常。故障处理策略：1）1 级故障进行降额处理，降额系数可标定，如果计数值小于故障阈值表示此故障可以进行恢复。取消降额保护。2）3 级故障根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路状态建议进入低压上电完成后的初始状态。5.6.4.2 CAN 通讯故障故障描述：1）超时监控。通过检测同 ID 报文的 Livecounter 计数值来进行监控，当 Livercounter的不连续的情况出现一次，则记一次故障计数，当故障计数在一定时间内出现一定次数，则报出通讯失效故障，否则清 0 故障计数值。2）探测总线通信失效，发送信息回读。MCU 从总线上回读已发送信息并与原始信息做比较。MCU 发送一帧特殊信息帧给整车控制器，整车控制器经过一个周期回复此信息，MCU 接收到之后进行比较。如信息不一致，报出通讯故障。3）用于探测帧丢失，帧计数器。MCU 接收整车报文时，整车发送给 MCU 的报文，对同一帧 ID，进行计数每个单独的安全相关帧包含一个作为信息一部分的计数器。在生成每个连续帧时计数器值增加(翻转)。MCU 随后能通过验证计数器的值是否增加了 1 来探测任何的帧丢失或者帧未更新。如果帧未更新的话，报出帧丢失故障。故障保护策略：通讯故障报出后可以进行降额处理，此故障在 CAN 通讯监测恢复后可以设置一定的扭矩恢复斜率，但是当 can 故障在一定时间内多次出现故障后建议取消恢复机制。1385.6.4.3 微控制器故障（举三个例子，依赖芯片本身的安全机制）故障描述：1）时钟频率监测，MCU 提供内部时钟监控功能，可以监测芯片各模块的时钟信号。芯片内可以生成 100MHz 的时钟信号，独立于 PLL 系统工作。系统以这个时钟为参考，生成一个参考计数器来校验其他模块的时钟。如果计数器有溢出，则说明发生错误。可以检测到计数器要么低于下限值（时钟过慢）要么高于上限值（时钟过快）。2）静态随机存取存储器的错误探测纠错码，静态随机存取存储器可以执行 4 个代码间距的错误代码修正，修正单字节错误和检测双字节错误。3）程序存储器错误探测纠错码，为了预防数据损坏，程序存储器中数据包含错误探测纠错码。在程序存储器中数据可以进行两个位误差校正，三个位错误检测。故障保护策略：根据芯片手册查询相关安全机制同时和硬件外围电路的设计相关。5.6.4.4 高压电容快速放电故障故障描述：当主动放电时间超过 3 秒钟，且母线电压未降低到放电要求电压时，报放电超时。故障保护策略：退出放电模式，或者切入其他放电模式，建议采用电机放电和电阻放电的其中一种方案。5.6.4.5 控制器直流侧短路故障描述：当检测到直流侧发生短路时，报出故障。故障保护策略：控制器一般报出 Desat 故障，驱动芯片会关掉 IGBT，如果进入三相短路状态，需要知道当前是哪个管报的 Desat 故障，转速较低时，可以采用封脉冲处理。5.6.4.6 控制器交流侧短路故障描述：分为相间短路、对壳体短路，对母线正或者对母线负短路，当交流传感器检测到过流或者其他驱动芯片报 Desat 故障。故障保护策略：过流故障根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。Desat 故障同上。其中对壳体短路，一般会检测出三相电流之和较大不合理。1395.6.4.7 自检异常故障描述：MCU 检测异常。故障保护策略：报自检故障，禁止执行预充操作。自检时间整车厂一般会明确要求。此外根据整车厂单独要求会添加自学习功能，那么就要考虑自学习时间和自学习失败的报警。5.6.4.8 过压(高压)故障描述：母线检测电压高于过压阈值。故障保护策略：1）一级过压：随着电压升高，电机响应扭矩线性降低。2）二级过压：电机响应扭矩保持为 0。3）三级过压：三相短路。当转速降低到一定值时，主动短路可以退出并进入关管状态。避免车辆静止状态还处于三相短路中，导致 IGBT 烧毁。5.6.4.9 欠压(高压)故障描述：母线检测电压低于过压阈值。故障保护策略：1）一级欠压：随着电压降低，电机响应扭矩线性降低。2）二级欠压：电机响应扭矩保持为 0。5.6.4.10 断路/开路(高压)故障描述：当检测到断路/开路时，报出故障，交流侧断路可以检测三相不平衡。故障保护策略：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。5.6.4.11 过流(高压)故障描述：当检测到过流时，报出故障。故障保护策略：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。1405.6.4.12 驱动电机过温保护故障描述：电机温度检测高于过温阈值，这里需要注意在热安全中有提及，电机转子温度需要有必要的监控手段。故障保护策略：1）一级过温：随着电机温度上升，电机响应扭矩线性降低。2）二级过温：电机响应扭矩为 0。3）三级过温：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。5.6.4.13 驱动电机控制器过温保护故障描述：控制器温度检测高于过温阈值。故障保护策略：1）一级过温：随着电机控制器温度上升，电机响应扭矩线性降低。2）二级过温：电机响应扭矩为 0。3）三级过温：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。5.6.4.14 驱动电机控制器低压欠压故障描述：当检测到电机控制器低压欠压时，报出故障。故障保护策略：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。5.6.4.15 旋变故障故障描述：1）SIN/COS 超出范围（幅值超限）(DOS)；2）EXC 短路、开路，EXC 的相位和 SIN/COS 相位超范围（LOT）；3）SIN/COS 短路、开路（LOS）；4）SIN/COS 正弦度不好（DOS）；5）SIN/COS 大小波（包络幅值周期性变化）(DOS)。故障处理策略：进行故障计数，同时，偏差在正常范围内，故障计数值需要减少。根141据故障计数值达到不同阈值进行分级处理，故障分级阈值可以进行标定。1）1 级故障进行降额处理，降额系数可标定，如果计数值小于故障阈值表示此故障可以进行恢复，取消降额保护。2）3 级故障根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路应当退出进入关管状态。5.6.4.16 位置信息检测异常故障描述：电机在转矩控制过程中，不管是根据外部解码芯片得到的位置信息，还是MCU 本身自带的软件解码功能得到的位置信息，都建议与估算转子位置进行二次校验。保证转子位置信息的正确性。故障处理策略：当检测到转子位置偏差较大时，根据当前转速选择策略，需要切换无位置传感器控制算法并降低扭矩输出还是进入三相短路保护状态。5.6.4.17 驱动电机超速故障描述：当检测到电机转速超过超速阈值时，报出故障。故障保护策略：1）一级超速：随着电机转速上升，电机响应扭矩线性降低。2）二级超速：电机响应扭矩为 0。3）三级超速：三相短路当转速降低到一定转速时，主动短路应当退出进入关管状态。5.6.4.18 12V/24V 供电丢失或者异常故障描述：1）无供电、毛刺、震荡、偏移；2）过压；3）欠压。故障处理策略：芯片检测到供电异常切入备用 12V/24V 电源，如果没有备用电源则考虑延迟下电来进行降额停机处理。5.6.4.19 PWM 输出异常故障描述：1421）常开；2）缺相（无输出）；3）频率漂移；4）占空比漂移；5）上升下降沿漂移。故障处理策略：根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路应当退出进入关管状态。5.6.4.20 IGBT 功率输出模块异常故障描述：1）短路；2）过压（母线电压主接触器断开、集成电感过大）；3）过流（负载过大导致过流）；4）开路。故障处理策略：根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路应当退出进入关管状态。5.6.4.21 IGBT 结温过高故障描述：控制器借助 IGBT 损耗等信息进行结温估算，当超过一定阈值时，进行故障处理。故障处理策略：1）一级过温：随着电机控制器温度上升，电机响应扭矩线性降低。2）二级过温：电机响应扭矩为 0。3）三级过温：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关断状态。5.7 电驱动总成功能安全功能安全主要作用：当危害影响发生时，让电子电气系统进入一个安全状态并保持一个安全状态。包含两方面：系统失效（比如：错误系统设计）和随机硬件故障（比如电子电气元件老化）。其目的是使技术无法避免但又必须处理的危害最小化。143本指南修改遵循 ISO 26262，适用于道路车辆上由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动。1）提供了一个汽车安全生命周期(管理、开发、生产、运行、服务、报废)，并支持在这些生命周期阶段内对必要活动的剪裁；2）提供了一种汽车特定的基于风险的分析方法以确定汽车安全完整性等级（ASIL）；3）应用汽车安全完整性等级（ASIL）定义-本指南适用的要求，以避免不合理的残余风险；4）提供了对于确认和认可措施的要求，以确保达到一个充分、可接受的安全等级；5）提供了与供应商相关的要求。功能安全受开发过程(例如，包括需求规范、设计、实现、集成、验证、认可和配置)、生产过程、服务过程和管理过程的影响。安全问题与常规的以功能为导向和以质量为导向的开发活动及工作成果相互关联。本指南涉及与安全相关的开发活动和工作成果。本指南适用于安装在量产乘用车上的包含一个或多个电子电气系统的与安全相关的