《中國汽車工業協會：電動汽車安全指南（2022版）（484頁）.pdf》由會員分享，可在線閱讀，更多相關《中國汽車工業協會：電動汽車安全指南（2022版）（484頁）.pdf（484頁珍藏版）》請在三個皮匠報告上搜索。

1、1電動電動汽車安全指南汽車安全指南（2022 版）指導編制：指導編制：工業和信息化部工業和信息化部國家能源局國家能源局組織編制：組織編制：中國汽車工業協會中國汽車工業協會中國汽車動力電池產業創新聯盟中國汽車動力電池產業創新聯盟中國電動汽車充電基礎設施促進聯盟中國電動汽車充電基礎設施促進聯盟二二三二二三年年一一月月2序言全國政協副主席、中國科協主席 萬鋼世界汽車產業面臨百年未遇之大變局，正在進入重大轉型期。從市場角度看，汽車市場正在由少數發達國家為主，向以中國為首的發展中國家普及，市場規模將快速增長；從外部條件看，世界范圍內的氣候變化、環境污染和能源短缺正在成為制約汽車產業發展的重大因素；從內生

2、動力看，新一輪科技革命，特別是電驅動相關技術、人工智能技術和互聯網技術的迅猛發展正在為汽車產業的轉型升級提供強大的技術支撐。在這場世界汽車產業的重大變革中，電動化、智能化成為最重要的發展方向。習近平主席在 2014 年 5 月視察上汽集團時指出，新能源汽車技術研發能不能占領制高點，已經成為當今世界汽車產業的競爭焦點。汽車行業是市場很大，技術含量和管理精細化程度很高的行業，發展新能源汽車是我國從汽車大國邁向汽車強國的必由之路。要加大研發力度，認真研究市場，用活用好政策，開發適應各種需求的產品，使之成為一個強勁的增長點。習主席的重要指示，為我國新能源汽車發展繪制了藍圖，指明了方向。在政府的積極作為

3、、科技的支撐引領、巨大的市場規模、創新的商業模式共同作用下，我國新能源汽車產業取得顯著的技術進步和快速的市場發展。目前正處于由導入期向成長期過渡的關鍵階段，在全球產業體系中占據舉足輕重的地位，引領和加速了全球汽車電動化、智能化、共享化的進程。在當前市場成長的關鍵階段，必須把安全作為新能源汽車最關鍵的指標，把提高新能源汽車安全性放在最重要的位置。新能源汽車的安全性，不僅是科學研究和產品設計問題，還與制造工藝、質量管控、零部件生產供應、產品使用、充電和維修保養等全產業鏈和全生命周期密切相關。因此，如何調動各方面的積極性，集聚全行業專家的智慧和經驗，指導全行業全面提高新能源汽車的安全性，已成為當前最

4、迫切的問題。面對這個行業關鍵點，中國汽車工業協會、中國汽車動力電池產業創新聯盟和中國電動汽車充電基礎設施促進聯盟組織全行業專家，編制了這本電動汽車安全指南，非常及時，非常重要。我相信，這本指南將對提高我國新能源汽車安全性，促進我國新能源汽車健康發展起到重要作用。希望產業界用好這本指南，并不斷從實踐中積累經驗，充實完善各章節內容，群策群力，共同提高我國新能源汽車的質量和水平。希望中國汽車工業協會等組織編制單位，繼續做好本項工作，不斷匯總行業技術進步經驗，逐年更新和修訂這本指南，集眾智、匯群力，為全行業提高質量發展貢獻力量。3前言前言中國汽車工業協會常務副會長兼秘書長 付炳鋒在當前汽車動力電動化的

5、轉型過程中，安全性是最重要的指標。本指南分為純電動汽車篇和燃料電池電動汽車篇,純電動汽車篇將電動汽車安全性分成電動乘用車安全、電動客車安全、電池單體和模組、電池管理系統、電機與電控、充電安全、數據監控管理、維修保養、動力蓄電池回收再利用、安全事故處理、操作安全、運營車輛安全管理等 12 個方面，燃料電池電動汽車篇分為燃料電池電動汽車及其安全問題、燃料電池電動汽車整車通用安全性、燃料電池電動汽車車載氫系統安全、質子交換膜燃料電池堆安全、質子交換膜燃料電池系統安全、燃料電池電動汽車應用、操作、維護及基礎設施等 6 個方面。本指南匯聚了全行業在一線工作的上百名專家意見。在政府規劃指導、多項政策促進和

6、全行業的共同努力下，中國的電動汽車發展正走在世界前列，發揮著引領作用。電動汽車各項技術日漸成熟，市場高速增長，產業化初期的安全性已成為當前中國電動汽車發展最突出的問題。電動汽車的安全性，涉及產品開發與制造、使用與充電、維修與保養等全產業鏈和全生命周期。因此，中國汽車工業協會、中國汽車動力電池產業創新聯盟和中國電動汽車充電基礎設施促進聯盟組織全行業主要企業、機構、院校等專家編制了本指南。本指南采取了盡量細化、具體化的原則，突出可操作性。當然，本指南是迄今為止的經驗總結，隨著產業化的不斷深入，市場應用的進一步普及業界同仁的新經驗、新認識、新發展將會在本指南后續版本中得以體現。安全性是各國發展電動汽

7、車面臨的共同問題。中國電動汽車的推廣應用先走了一步，遇到了很多在世界其他國家還沒遇到問題，積累了一些獨到的經驗。因此，本指南對于世界其他國家的電動汽車發展，也應有很好的借鑒作用。所以，我們決定，公開發布本資料，放棄所有版權，供各國同行參考。最后，向所有參加本資料編制的專家，致以最崇高的敬意！感謝你們在緊張工作之余，無私地奉獻自己的經驗智慧和寶貴的時間！4編制說明編制說明一、編制背景一、編制背景按照黨中央國務院關于發展新能源汽車的總體部署，在國務院節能與新能源汽車產業發展規劃（20122020 年）（國發201222 號）和關于加快新能源汽車推廣應用的指導意見（國辦發201435 號）、關于加快

8、電動汽車充電基礎設施建設的指導意見（國辦發201573 號）等文件的指導下，在鼓勵新能源汽車推廣應用的各項政策措施的推動下，中國電動汽車的推廣應用取得了積極的進展，輕量化、動力驅動系統、動力電池等關鍵零部件產業初步形成規模，與世界先進水平的差距明顯縮小。但是，我們也看到我國電動汽車總體發展質量和水平還有待提高，特別是車輛安全性水平亟待提高，目前，產業總體上對安全性認識不足，產品設計的安全性要求積累不夠，全鏈條中安全交互的機制沒有形成，導致多起電動汽車起火事故發生，對產業發展造成負面影響。電動汽車安全性事故的原因比較復雜，與材料選擇、電芯和模塊結構、系統集成、連接結構、整車匹配設計、生產管控、產

9、品試驗驗證、售后服務、充電設備和工程電子、充電運維管理、回收再利用過程安全管理、火災管控方法等多種因素有關。因此，2018 年汽車工業協會會同中國汽車動力電池產業創新聯盟、中國電動汽車充電基礎設施促進聯盟啟動了電動汽車安全指南（指南）編制工作，系統地梳理設計、制造、使用、再利用各個環節的安全風險及其防范措施，旨在促進全產業鏈加強安全意識，提高電動汽車全生命周期安全性水平。本次發布的指南（2022 版）在 2021 版基礎上進行了修訂完善。二二、指南的指南的定位定位本 指南 從電動汽車全產業鏈條和全生命周期入手，梳理電動汽車的各種安全風險，參考現有國際國內相關標準，匯集一線專家的經驗編制而成，目

10、的是給從事電動汽車開發和生產企業從業人員，以及服務保障人員和廣大消費者進行指導和提供參考。希望通過本指南的研究制定及發布，提高全行業對電動汽車安全性的認知，提高安全性設計、制造水平，提高電動汽車合理使用和維護、以及安全性管控水平，探索安全的、系統性的解決方案和意外發生時的應急處理手段。與此同時，也希望本指南還能為電動汽車行業相關標準的制定和修訂提供依據，為開展安全性研究項目提供方向。三三、指南主要內容指南主要內容5指南（2022 版）分兩個部分，第一部分是純電動汽車篇，在 2021 版的基礎上進行了修訂完善；第二部分是燃料電池電動汽車篇，該篇系統梳理了燃料電池及其整車設計、制造、使用、氫系統、

11、電池堆及基礎設施等方面安全性。四四、指南的編制與發布指南的編制與發布本指南由工業和信息化部、國家能源局指導編制。本指南由國內主要整車、動力蓄電池、充電設施、運營、回收再利用等企業，以及氫能供應、氫燃料電池企業，行業組織、科研院校、機構 100 余家單位共同研究編制，在編制過程中廣泛征求了國內外業界專家和企業、機構的意見。本指南中英文兩個版本同時公開發布。本指南的解釋權在指南編委會編寫組（見附錄）。6目目錄錄純電動汽車篇.181.電動乘用車安全.191.1 防觸電安全.191.1.1 電壓等級.191.1.2 使用中觸電防護要求.191.1.3 碰撞后觸電安全.231.2 功能安全.231.2.

12、1 整車功能安全開發流程.231.2.2 概念開發階段.231.2.3 系統功能安全開發.241.2.4 電控單元硬件開發.261.2.5 電控單元軟件設計.281.3 使用操控安全.291.3.1 操控安全基本要求.291.3.2 正常場景安全.301.4 安全防護措施.321.4.1 整車通過性要求.321.4.2 正面碰撞安全.321.4.3 側面碰撞安全.321.4.4 追尾碰撞安全.331.4.5 側面柱碰防護.331.4.6 整車底部安全防護.331.4.7 碰撞后高壓斷電及報警提醒.331.4.8 控制器故障診斷.331.5 整車 EMC 安全.341.5.1 整車車外電磁輻射騷

13、擾及抗擾度要求.341.5.2 整車車載電器電磁輻射騷擾及抗擾度要求.341.5.3 整車充電過程中沿電源線騷擾和抗擾度要求.351.5.4 整車乘員暴露于車輛電磁環境安全要求.351.5.5 高壓線束 EMC 要求.351.6 動力電池熱安全.361.6.1 報警觸發信號及時間要求.361.6.2 報警方式.361.6.3 電池系統熱事件遠程服務報警要求.361.6.4 電池系統熱事件遠程服務報警要求.371.7 整車其他系統熱安全.481.7.1 電機熱保護要求.481.7.2 電機控制器熱保護要求.481.7.3 充電系統熱保護要求.4871.7.4 整車空調 PTC 熱保護要求.491

14、.8 整車制造、存儲、運輸、報廢等安全.491.9 整車換電設計安全.491.9.1 換電用動力電池系統安全要求.491.9.2 換電機構安全要求.501.9.3 換電接口安全要求.501.9.4 換電控制要求.512.電動客車安全.522.1 防觸電安全.522.1.1 安全標識要求.532.1.2 直接接觸防護要求.532.1.3 間接接觸防護要求.562.2 防水安全.582.2.1 零部件防水要求.582.2.2 整車涉水要求.592.2.3 整車浸水要求.592.3 防火安全.592.3.1 火情預警.592.3.2 防火隔離.592.3.3 阻燃設計.602.3.4 滅火裝備配置要

15、求.612.4 控制安全.622.4.1 硬件設計要求.622.4.2 軟件設計要求.632.4.3 功能和操作設計.652.5 碰撞安全.672.5.1 側面碰撞防護設計.672.5.2 側翻防護設計.672.5.3 追尾碰撞防護設計.672.5.4 底部碰撞防護設計.672.6 逃生安全.672.6.1 逃生窗的設計.672.6.2 逃生門的設計.692.6.3 出口數量要求.692.6.4 逃生時間要求.702.7 EMC 安全.702.7.1 整車車外輻射騷擾及抗擾度要求.702.7.2 電氣/電子部件輻射騷擾及抗擾度要求.712.7.3 整車充電過程中沿電源線騷擾和抗擾度要求.712

16、.7.4 人體暴露于車輛電磁環境安全要求.712.7.5 高低壓線束設計布置要求.712.8 存儲、運輸安全.722.8.1 存儲安全.722.8.2 運輸安全.732.9 安全檢查.7482.9.1 日常檢查.742.9.2 例行檢查.752.9.3 年檢機制建立.772.9.4 例行保養規范.773.電池單體和模組.793.1 電池單體安全要求.793.1.1 電池單體制造環境要求.793.1.2 電池單體設計.793.1.3 電池單體制造.833.1.4 電池單體安全評價.863.1.5 單體電池使用安全.863.2 電池模組安全要求.873.2.1 電池模組環境要求.873.2.2 電

17、池模組設計.873.2.3 電池模組制造.893.2.4 電池模組安全評價.913.3 電池單體和模組包裝運輸安全要求.943.3.1 包裝安全要求.943.3.2 運輸安全要求.944.電池系統.954.1 電池系統要求.954.1.1 BMS 設計開發與故障處理.954.1.2 充電、運行工況下許用電流、功率控制.974.1.3 BMS 功能安全.994.1.4 熱失控、預警識別策略.1004.2 電池系統安全.1014.2.1 機械安全.1014.2.2 熱安全.1044.2.3 電氣安全.1064.2.4 電池系統安全性測試方法.1084.2.5 電池系統生產安全要求.1094.3 動

18、力電池運輸要求.1104.3.1 運輸檢測標準.1104.3.2 包裝及運輸要求.1114.4 動力電池售后保養要求.1114.4.1 動力電池保養、檢測規范.1124.4.2 動力電池年檢項目及方法.1135.電機系統與電驅動總成安全.1145.1 總體要求.1145.2 高壓安全.1155.2.1 絕緣電阻要求.1155.2.2 耐電壓要求.1165.2.3 屏蔽與接地.1175.2.4 高壓接插件和連接器.1205.2.5 高壓放電.12095.2.6 高壓防觸電防護與警告.1215.2.7 高壓互鎖.1225.2.8 高壓接觸防護.1225.2.9 碰撞后安全.1225.2.10 電驅

19、動總成爬電距離和電氣間隙要求.1235.2.11 高壓接口安全要求.1245.2.12 低壓線束連接安全要求.1245.3 機械安全.1245.3.1 轉子強度.1255.3.2 軸承可靠性.1255.3.3 殼體強度.1265.3.4 機械防觸碰與警告.1265.3.5 輸出法蘭防松脫檢查要求.1275.3.6 花鍵潤滑檢查要求.1275.3.7 轉軸的機械強度.1275.3.8 變/減速器靜扭強度.1285.3.9 變速器換擋安全.1285.3.10 駐車安全.1285.4 熱安全.1285.4.1 熱預警、降額、保護.1295.4.2 轉子退磁：高溫下的退磁安全、轉子溫度估算.1295.

20、4.3 軸承耐溫、密封材料耐溫、絕緣材料耐溫要求.1295.4.4 阻燃材料使用.1305.4.5 人體防護與警告.1305.4.6 電驅動冷卻系統（水泵、管路、連接件等）定期檢查要求.1315.4.7 變/減速器油溫要求.1315.5 防護安全.1315.5.1 防水/防塵設計：端蓋、軸密封性設計.1315.5.2 氣密.1325.5.3 EMC 及防護：電磁噪聲對車載設備.1335.6 電驅動總成故障保護機制.1345.6.1 故障觸發機制.1355.6.2.故障保護機制（進入安全狀態或切換安全狀態）.1365.6.3 故障恢復機制.1365.6.4 電驅動系統故障保護示例.1375.7

21、電驅動總成功能安全.1425.7.1 功能安全管理.1435.7.2 功能安全概念設計階段.1455.7.3 功能安全的系統階段.1525.7.4 功能安全硬件設計階段.1555.7.5 功能安全軟件設計階段.1595.8 售后維護保養安全.1615.8.1 電機控制器保養要求.1625.8.2 驅動電機維修保養要求.1635.8.3 變/減速器維修保養要求.165105.8.4 發生危險后的應急處理.1656.充電安全.1666.1 充電安全機制.1666.1.1 安全防范目標.1666.1.2 健全充電保護機制.1676.1.3 數據資源利用.1686.1.4 注重安全防護措施.1686.

22、1.5 新技術應用及標準引領.1686.2 充電系統設計.1686.2.1 通用設計要求.1686.2.2 結構設計.1696.2.3 電氣安全.1706.2.4 電氣保護功能.1716.2.5 充電連接測試.1726.2.6 數據通信與安全.1726.2.7 通信控制失效.1726.2.8 充電數據收集、清洗、存儲、查詢.1736.3 充電設施安全要求.1736.3.1 充電設備標準安全技術要求應確保實施.1736.3.2 電氣安全與防護.1746.4 充電控制策略.1806.4.1 充電控制.1806.4.2 故障、異常狀況監測及保護.1856.4.3 故障分類及處理.1866.5 充電系

23、統及設備功能設計.1876.5.1 控制器軟件功能安全設計.1876.5.2 互操作性要求.1906.6 充電接口安全.1986.6.1 充電接口安全要求.1986.6.2 電氣連接防松安全設計.2026.7 充電設備試驗與安全評價.2026.7.1 直流充電設備檢測要求.2036.7.2 交流充電設備檢測要求.2076.7.3 充電設備性能安全評價.2106.8 充電設備制造.2126.9 充電設施建設.2156.9.1 充電場站建設規劃充電站選址布局.2156.9.2 場站安全設計要求.2166.9.3 建筑物安全.2176.9.4 變配電要求.2176.9.5 附屬建筑.2186.9.6

24、 清晰明確的安全標識.2196.9.7 弱電與監控系統.2196.9.8 消防安全.2206.9.9 充電場站建設施工.223116.10 充電設施運行操作與維護安全要求.2246.10.1 安全風險識別與防范措施.2246.10.2 運行操作.2256.10.3 告警級別與應急處置.2266.10.4 充電設備維修保養.2266.10.5 充電連接器接口維護方法及要求.2266.10.6 充電設施運行安全管理.2276.11 信息安全.2296.11.1 運營平臺技術要求.2296.11.2 充電設備技術要求.2316.11.3 移動智能終端軟件技術要求.2326.11.4 接口安全技術要求

25、.2346.12 換電站安全.2356.12.1 站址安全.2356.12.2 消防安全.2366.12.3 監控要求.2366.12.4 設備安全.2366.12.5 車輛安全.2376.12.6 電池更換安全.2376.13 質量保證體系.2377.數據監控管理.2397.1 車輛狀態監測.2397.1.1 數據采集.2397.1.2 數據傳輸.2457.1.3 車輛電池狀態監測.2467.1.4 車輛電機狀態監測.2467.1.5 車輛駕駛行為監測.2467.2 危險情況下的遠程控制.2477.3 車輛信息安全.2477.3.1 車輛軟件系統的信息安全.2477.3.2 車輛車內通信系統

26、的信息安全.2487.3.3 車輛電子電氣硬件的信息安全.2487.3.4 車輛內部數據的信息安全.2497.3.5 車輛對外通信系統的信息安全.2497.3.6 OTA 數據安全加密與防篡改.2507.4 信息數據保存和分析.2507.4.1 信息數據本地存儲.2517.4.2 信息數據平臺服務器存儲.2517.4.3 信息數據分析.2517.5 充電數據管理.2518.維修保養.2538.1 電動汽車的通用維修保養.2538.1.1 操作人員的要求.2538.1.2操作前的要求.2538.1.3 操作過程要求.253128.1.4 其他操作要求.2548.2 動力電池的維修保養要求.254

27、8.2.1 動力電池日常使用保養要求.2548.2.2 動力電池的維修.2558.3 電機控制器的維修保養要求.2568.3.1 電機控制器保養要求.2568.3.2 電機控制器維修要求.2568.4 驅動電機維修保養要求.2578.4.1 驅動電機保養要求.2578.4.2 驅動電機維修要求.2578.5 高壓電連接類維修保養要求.2588.5.1 高壓線纜維修保養要求.2588.5.2 高壓連接器維修保養要求.2598.5.3 交直流充電插座維修保養要求.2598.5.4 充電槍維修保養要求.2608.6 功率電子類高壓部件維修保養要求.2618.6.1 功率電子類高壓部件保養要求.261

28、8.6.2 功率電子類高壓部件維修要求.2619.動力蓄電池回收再利用.2639.1 相關概述.2639.1.1 本文使用名詞術語解釋.2639.1.2 動力蓄電池回收梯次利用及再生利用流程.2649.1.3 環境安全.2669.2 回收網絡和儲運安全.2679.2.1 梯次電池企業的責任及義務.2679.2.2 回收動力蓄電池運輸前電池系統處置要求.2679.2.3 回收動力蓄電池運輸前包裝要求.2679.2.4 信息追溯要求.2699.3 檢測分類及拆解安全.2699.3.1 一般要求.2699.3.2 梯次利用企業電池系統拆解安全要求.2719.3.3 梯次利用企業電池模組拆解安全要求.

29、2719.3.4 梯次利用企業拆解分選過程中的檢測安全.2729.3.5 梯次利用企業電池分級分選要求.2729.4 梯次利用電池組設計安全要求.2729.4.1 梯次電池系統的設計安全.2729.4.2 電池管理系統對安全的要求.2749.5 梯次利用電池再生產安全要求.2759.5.1 檢測.2759.5.2 梯次電池組裝.2769.5.3 梯次電池功能及性能檢測.2769.5.4 倉儲.2779.6 梯次電池使用安全要求.2789.6.1 梯次電池使用場景及要求.2789.6.2 充放電電流、電壓、保護功能要求.278139.6.3 電池的安裝及施工要求.2789.6.4 使用防護要求.

30、2799.6.5 運行監控要求.2799.6.6 定期檢查與維護要求.2809.7 原材料再生利用安全要求.2809.7.1 一般要求.2809.7.2 再生利用過程安全要求.2829.7.3 倉儲要求.2839.8 數據溯源管理要求.2839.8.1 動力蓄電池回收再利用溯源管理.2839.8.2 大數據分析和運營管理.2849.8.3 數據管理與維護.28510.安全事故處理.28610.1 事故處理方法和流程.28610.1.1 碰撞事故救援.28610.1.2 水域事故救援.29010.1.3 火災事故撲救.29310.1.4 觸電事故處理.29410.1.5 充電事故處理.29510

31、.1.6 底部碰撞事故處理.29510.2 安全事故原因排查方法和程序.29610.2.1 成立調查小組.29610.2.2 調查取證.29610.2.3 事故分析總結.30310.3 安全事故整改評估方法.30310.3.1 總則.30410.3.2 評估小組.30510.3.3 評估工作方案.30610.3.4 評估標準.30610.4 事故報告要求.30610.5 電動汽車起火燃燒等事故上報要求.30710.5.1 通則.30710.5.2 工業和信息化部裝備工業發展中心相關要求.30710.5.3 市場監管總局質量發展局上報有關要求.30811.操作安全.31411.1 操作指導培訓及

32、資質認證體系.31411.1.1 操作資質分級、權限及要求.31411.1.2 新能源高壓系統維修人員的資質考核.31411.2 新能源車操作指導通用要求.31411.2.1 攜帶醫療電子器械的維修人員注意事項.31411.2.2 氣囊維修檢查注意事項.31511.3 操作前準備工作.31511.3.1 防護要求.31511.3.2 專用工具要求.31511.3.3 專人監控.3161411.3.4 禁止事項.31611.4 高壓回路的斷開.31611.5 操作注意事項.31612.運營車輛安全管理.31812.1 電動營運車輛的一般性要求.31812.1.1 營運證辦理.31812.1.2

33、電動汽車生產企業監控平臺.31812.1.3 營運車輛改裝要求.31812.2 電動營運車輛配置類安全要求.31912.2.1 車端一鍵報警功能.31912.2.2 車端 GPS 或 BDS 定位系統.31912.2.3 前碰撞預警功能.31912.2.4 駕駛員疲勞及健康狀況檢測功能.31912.2.5 油門誤踩防護功能.31912.2.6 碰撞緩解控制功能.31912.3 電動營運車輛維修保養的安全要求.32012.4 電動營運車輛遠程監控的安全要求.32012.4.1 車載監控.32012.4.2 通信接口要求.32012.4.3 企業監控平臺.32012.5 電動營運車輛的安全事故處理

34、要求.32112.6 健全安全管理機制.32112.7 健全安全培訓機制.32112.8 加強停運和報廢安全管理.322燃料電池電動汽車篇.3241.燃料電池電動汽車及其安全問題.3251.1 燃料電池電動汽車.3251.1.1 燃料電池電動汽車的定義.3251.1.2 燃料電池電動汽車技術現狀.3261.1.3 燃料電池電動汽車動力系統及關鍵部件.3291.2 燃料電池電動汽車的安全性問題.3331.2.1 氫安全問題.3331.2.2 電安全問題.3372.燃料電池電動汽車整車通用安全性.3392.1 整車通用安全的一般設計準則.3392.1.1 一般設計準則.3392.1.2 整車安全失

35、效評估方法.3402.2 整車通用安全設計.3402.2.1 失效預警及失效安全設計.3402.2.2 整車電池兼容（EMC）及電氣可靠性設計.3422.2.3 碰撞安全設計.3482.2.4 整車氫氣排放和泄漏安全設計.3532.2.5 整車故障防護設計.3542.2.6 整車涉水安全、起火駕乘人員安全設計.3552.2.7 安全標識.356152.3 整車通用安全的關鍵測評技術.3582.3.1 整車 EMC 測評技術.3582.3.2 整車電氣系統測評技術.3672.3.3 整車碰撞測評技術.3692.3.4 燃料電池電動汽車整車氫氣泄漏排放測評技術.3723.燃料電池電動汽車車載氫系統

36、安全.3773.1 車載氫系統一般安全要求.3773.1.1 總則.3773.1.2 振動與沖擊.3783.1.3 材料選擇.3783.1.4 車載氫系統的電氣系統.3793.1.5 安裝及布置.3803.1.6 使用環境.3833.2 車載氫系統安全設計.3833.2.1 功能要求.3833.2.2 安全要求.3853.2.3 啟動與關斷.3873.3 氫系統結構安全仿真分析.3883.3.1 CAE 分析前處理.3893.3.2 CAE 分析.3903.4 車載氫系統測評技術.3923.4.1 供氫系統管路氣密性測評.3923.4.2 啟動與關斷功能測試.3923.4.3 安全相關測評.3

37、923.4.4 振動與沖擊測評.3944.質子交換膜燃料電池堆安全.3954.1 質子交換膜燃料電池堆通用安全性.3954.2 質子交換膜燃料電池堆關鍵材料、部件及安全影響因素.3964.2.1 質子交換膜.3964.2.2 MEA.3984.2.3 氣體擴散層.3994.2.4 極板.3994.2.5 端板.4004.3 質子交換膜燃料電池堆設計及安全影響因素.4014.3.1 散熱設計.4034.3.2 密封設計.4044.3.3 絕緣設計.4064.3.4 其他零部件設計.4074.4 質子交換膜燃料電池堆制造、運輸及安全影響因素.4074.4.1 制造環境.4074.4.2 制造工藝.

38、4084.4.3 運輸.4094.5 質子交換膜燃料電池堆測評技術.4104.5.1 燃料電池堆性能測評.4104.5.2 電性能測試中的氫、電安全測評.411164.5.3 機械振動、沖擊測試中的安全測評.4154.5.4 高、低溫存儲及低溫啟動測試中的安全測評.4164.5.5 IP 測試中的安全測評.4174.5.6 鹽霧腐蝕測試中的安全測評.4185.質子交換膜燃料電池系統安全.4205.1 質子交換膜燃料電池系統通用安全性.4205.2 質子交換膜燃料電池系統關鍵部件及安全影響因素.4215.2.1 控制系統及保護部件.4215.2.2 輔助系統核心部件.4225.2.3 外殼、管路

39、及連接件.4245.2.4 導線及接地.4285.3 質子交換膜燃料電池系統設計及安全影響因素.4295.3.1 熱管理子系統及熱安全設計.4295.3.2 氫氣子系統.4315.3.3 空氣子系統.4325.3.4 廢氣和廢水的排放.4335.3.5 燃料電池系統的高壓電安全設計.4345.4 質子交換膜燃料電池系統制造、運輸及安全影響因素.4385.4.1 制造環境.4385.4.2 安裝及制造工藝.4385.4.3 運輸.4395.5 質子交換膜燃料電池系統測評技術.4425.5.1 電性能測試中的氫、電安全測評.4425.5.2 機械振動、沖擊測試中的安全測評.4455.5.3 高、低

40、溫存儲及冷凍/解凍循環測試中的安全測評.4455.5.4 電磁兼容測試中的安全測評.4465.5.5 報警與關機測試.4476.燃料電池電動汽車應用、操作、維護及基礎設施.4496.1 燃料電池電動汽車日常使用安全注意事項.4496.1.1 燃料電池電動汽車行駛過程中的安全.4496.1.2 燃料電池電動汽車停車中的安全.4506.2 燃料電池電動汽車加氫過程中的安全.4526.2.1 氫氣質量要求.4526.2.2 加注車輛檢查.4536.2.3 氫氣加注步驟.4546.2.4 氫氣加注過程中的安全注意事項.4566.3 燃料電池運營車輛的管理.4576.4 燃料電池電動汽車緊急情況處理.4

41、606.4.1 氫氣泄漏處理.4606.4.2 燃料電池電動汽車火災處理.4626.5 燃料電池電動汽車檢修與維護.4636.5.1 燃料電池電動汽車檢修維護場地要求.4636.5.2 燃料電池電動汽車檢修安全注意事項.4646.5.3 燃料電池電動汽車維護安全注意事項.4646.6 氫氣加注基礎設施的安全設計.465176.6.1 工藝設施安全設計.4656.6.2 電氣設施安全設計.4666.6.3 建、構筑物安全設計.4666.6.4 消防設施安全要求.4676.6.5 氫氣安全監控.4676.7 氫氣加注基礎設施建設.4686.7.1 加氫站建設審批.4686.7.2 加氫站建設安全要

42、求.4696.7.3 加氫站驗收與安全評價.4706.8 氫氣加注基礎設施運營及管理.4716.8.1 加氫站運行操作與維護.4716.8.2 加氫站站控系統.4716.8.3 計量收費系統.4716.8.4 加氫站質量管理體系.4716.8.5 氫氣質量管理.4726.8.6 運行安全規定.4727.總結與展望.474參考文獻.476附錄一：電動汽車安全指南（2022 版）編寫委員會.47918純電動汽車篇純電動汽車篇191.電動乘用車安全電動乘用車安全1.1 防觸電安全1.1.1 電壓等級依據 GB 18384-2020,根據整車的最大工作電壓，將電氣元件或電路分為以下等級，見表 1-1。

43、表 1-1 電壓等級電壓等級最大工作電壓 U（V）直流交流（rms）A0U600U30B60U150030U1000對于 48V 系統,只要可以保證直流系統不超過 60V(d.c.),其交流電機之外的部分就可以不被認定為 B 級電壓電路,不需要滿足相關的觸電防護要求。1.1.2 使用中觸電防護要求使用中的人員觸電防護要求應包括高壓標記要求、直接接觸防護要求、間接接觸防護要求及防水要求四個部分。1.1.2.1 高壓標記要求1.1.2.1.1 高壓警告標記要求應滿足 GB 18384-2020 關于 5.1.2.1 章節的修改內容。1.1.2.1.2 B 級電壓電線標記要求應滿足 GB 18384

44、-2020 關于 5.1.2.2 章節的要求。1.1.2.2 直接接觸防護要求直接接觸防護要求的提出是為了避免人員與帶電部件直接接觸而發生觸電事故。直接接觸防護可以通過B級電壓部件的遮攔和外殼(絕緣部分)實現人員與B級電壓帶電部分的20物理隔離。除了 B 級電壓部件的遮攔和外殼，高壓連接器、高壓維修開關、充電插座在插接/耦合及非耦合/斷開狀態下，都應該滿足相應的要求。1.1.2.2.1 遮攔外殼要求B 級電壓部件的遮攔和外殼應滿足 IPXXD 防護等級要求。如果遮攔或外殼可以徒手打開，則其可以打開的部分應具備高壓互鎖裝置，滿足 1.1.2.2.5 章節的高壓互鎖要求。并且應在 1s 內將電壓下

45、降到 30V(a.c.)（rms）或 60V(d.c.)以下或電路存儲總能量小于0.2J。1.1.2.2.2 連接器要求高壓連接器在裝配完好時，應滿足 IPXXD 防護等級要求。選用的配對耦合高壓連接器物理結構上的連接引導部分應不同，以滿足防錯插功能。其他應滿足 GB18384-2020 中5.1.3.3 章節的要求。1.1.2.2.3 高壓維修斷開裝置要求如果車輛具有高壓維修開關且高壓維修開關可以被徒手打開或者拔出，那么高壓維修開關應滿足 GB18384-2020 中 5.1.3.4 章節的要求。對于未配備高壓維修開關的車輛，應根據不同高壓設計方案，如通過斷開 12V 電源或電子維修開關等同

46、樣可保證 1s 內將 B 級電壓回路電壓下降到 30V(a.c.)（rms）或 60V(d.c.)以下或電路存儲總能量小于 0.2J。1.1.2.2.4 充電插座要求車輛端充電插座在未耦合狀態下，應至少滿足以下要求之一：（1）交流充電插座在未耦合狀態下應滿足 IPXXB，且應在充電插頭被拔下 1min 內將B級電壓回路電壓下降到30V(a.c.)（rms）或60V(d.c.)以下，或電路存儲總能量小于0.2J；（2）由于直流充電座無法在未耦合狀態下滿足 IPXXB 要求，要滿足更高的防護要求，應在充電插頭被拔下后 1s 內將 B 級電壓回路電壓下降到 30V(a.c.)（rms）或 60V(d

47、.c.)以下，或電路存儲總能量小于 0.2J。1.1.2.2.5 高壓互鎖要求車輛上易于拆卸或可以徒手拆卸的遮擋/外殼及高壓連接器應具備高壓互鎖裝置。高壓互鎖的設計一般包括硬件設計及控制策略設計，應保證被保護部件被拆卸時，在人接觸到 B 級電壓帶電部分前將 B 級電壓帶電部分變為不帶電部分，具體應滿足 1.1.2.3.6 故障后下電要求及 1.1.2.3.7 下電后放電要求。211.1.2.3 間接接觸防護要求1.1.2.3.1 絕緣電阻要求（不包含燃料電池）高壓系統的絕緣電阻應滿足 GB 18384-2020 中 5.1.4.1 章節的要求。充電插座的絕緣電阻應滿足 1.1.2.3.5 章節

48、要求。1.1.2.3.2 絕緣監測要求車輛應具備絕緣監測功能。絕緣監測功能應在車輛上高壓前與上高壓后持續對 B 級電壓電路的絕緣電阻進行監測，從而區分電池包內絕緣故障與高壓負載絕緣故障，并在絕緣阻值低于某個閾值時，予以報警。報警的閾值應考慮絕緣監測裝置精度的影響,不小于1.1.2.3.1 章節要求的絕緣電阻，具體數值可以由主機廠自行設定。報警方式可以是提示音或者通過儀表的文字或者符號顯示。1.1.2.3.3 電位均衡要求電位均衡是為了保證 B 級電壓電路中的高壓部件的可導電外殼不會因為絕緣電阻失效而帶有高壓電，從而形成電勢差，產生觸電風險。電位均衡具體要求應滿足 GB 18384-2020 中

49、 5.1.4.3 章節要求，在進行設計時，可以要求單個部件的可導電外殼、緊固件等與電平臺的電阻小于 40m。如果采用焊接的形式實現電位均衡，視為滿足要求。1.1.2.3.4 電容耦合要求電容耦合是針對 Y 電容的安全防護要求，如果高壓系統中 Y 電容總能量超過對人體安全能量限值 0.2J，在高壓系統內發生單點失效的情況下，就會發生觸電事故，因此要對這種情況予以設計防護。電容耦合要求應滿足 GB 18384-2020 中 5.1.4.4 章節的要求。1.1.2.3.5 車輛充電插座接地及絕緣電阻要求交流充電插座應滿足 GB 18384-2020 中 5.1.4.5.1 章節的要求。直流充電插座應

50、滿足 GB 18384-2020 中 5.1.4.5.2 章節的要求。1.1.2.3.6 故障后下電要求按照 GB/T 31498-2021 的要求，在車輛發生碰撞后，應當立即進行高壓下電，避免碰撞后造成人員與高壓帶電部分直接接觸或間接接觸引發的觸電事故。在發生絕緣失效、高壓互鎖等故障時，建議依據車輛狀態比如行駛速度等具體情況來考量是否進行下電處理。1.1.2.3.7 下電后放電要求22車輛在每次正常下電后或者故障下電后，都應該將 B 級電壓回路中能量大于 0.2J 的電容的能量釋放掉，避免能量始終存儲于 B 級電壓回路中，在車輛故障或者車輛被拆卸時造成觸電事故。放電形式應具有主動放電及被動放

51、電兩種形式，主動放電應通過控制策略結合硬件設計在下電后 5s 內將 B 級電壓回路電壓下降到 30V(a.c.)（rms）或 60V(d.c.)以下或將 B級電壓回路中電容存儲的總能量降至 0.2J 以下。被動放電應始終有效，不依靠控制策略。在 B 級電壓回路與電源斷開后，應在 2min 內將 B 級電壓回路電壓下降到 30V(a.c.)（rms）或 60V(d.c.)以下或將 B 級電壓回路中電容存儲的總能量降至 0.2J 以下。1.1.2.4 防水要求1.1.2.4.1 整車防水要求為了保障車輛涉水、清洗等使用工況下的電氣安全，需要對車輛進行模擬涉水、模擬清洗試驗，并在試驗后進行絕緣電阻測

52、試以考核車輛是否存在觸電風險。模擬涉水及模擬清洗的試驗要求應按照 GB 18384-2020 中 6.3.1 及 6.3.2 章節的要求進行。在完成每項試驗后，應先馬上進行第一次絕緣電阻測試，24 小時后再進行第二次絕緣電阻測試。兩次絕緣電阻測試結果均應滿足 1.1.2.3.1 章節絕緣電阻要求。1.1.2.4.2 高壓部件防水要求所有高壓部件在裝配完好的情況下，后備廂及乘員艙外的高壓部件應至少達到 IPX7等級要求，后備廂及乘員艙內的高壓部件應至少達到 IPX4 等級要求。1.1.2.5 維修斷開裝置要求車輛應具有可以斷開高壓回路的維修斷開裝置，可以采用高壓維修開關或低壓維修開關兩種形式之一

53、。(1)高壓維修開關如車輛具有高壓維修開關，應能通過對高壓維修開關的操作，實現高壓回路的通斷。高壓維修開關應具備高壓互鎖裝置，以保證上電狀態下誤操作時不會造成電弧。(2)低壓維修開關如車輛具有低壓維修開關，應能通過斷開低壓維修開關，間接實現高壓回路的斷開。建議設計至少兩種方式同時保證實現高壓回路的間接斷開，提高操作結果的可靠性。231.1.3 碰撞后觸電安全1.1.3.1 總要求電動汽車在進行碰撞試驗時可分為兩種測試狀態，一種是高壓下電狀態下進行試驗，一種是高壓上電狀態下進行試驗。對于高壓上電狀態下進行的碰撞試驗，整車 B 級電壓系統中每一個互相隔離的子 B 級電壓子系統應至少當滿足下面四項要

54、求中的一項，保障車輛不發生直接接觸和間接接觸造成的觸電事故；對于高壓下電情況下進行的碰撞試驗，由于電力負載沒有電壓和能量來源,應滿足 1.1.3.4 物理防護要求或 1.1.3.5 絕緣電阻要求，REESS 和充電子系統應滿足下面四項要求（1.1.3.2-1.1.3.5）中的一項。1.1.3.2 電壓要求應滿足 GB/T 31498-2021 中 4.2.2 章節要求。1.1.3.3 電能要求應滿足 GB/T 31498-2021 中 4.2.3 章節要求。1.1.3.4 物理防護要求應滿足 GB/T 31498-2021 中 4.2.4 章節要求。1.1.3.5 絕緣電阻要求應滿足 GB/T

55、 31498-2021 中 4.2.5 章節要求。1.2 功能安全本部分的功能安全，是指除電池系統和充電系統（相關內容參見后繼章節）以外的功能安全。1.2.1 整車功能安全開發流程功能安全開發流程應符合GB/T 34590-2017 道路車輛功能安全相關規定要求。1.2.2 概念開發階段應基于 GB/T 34590.3-2017 相關規定完成概念開發，并得出相關項定義、安全目標和24功能安全要求，作為系統開發的必要輸入。1.2.2.1 相關項定義為了充分理解相關項，并為后續階段的安全活動提供支持，應從相關項的功能、要素、接口、環境條件、相關法規要求和危害等方面考慮，詳細定義相關項的功能性和非功

56、能性要求。1.2.2.2 危害分析與風險評估危害分析與風險評估的目的是識別相關項中因故障而引起的危害并對危害進行歸類，制定相應的安全目標，以避免不合理的風險。其中，應基于相關項的功能行為，來分析其潛在的危害事件。再從危害-事件的嚴重程度、暴露概率、可控性三個方面對相關項進行系統性的評估，從而確定安全目標及相應的 ASIL 等級。1.2.2.3 功能安全概念功能安全概念主要是為了從安全目標中得出功能安全要求，并將其分配給相關項的架構要素或外部措施。定義功能安全要求時，應從相關項的運行模式、故障容錯時間間隔、安全狀態、緊急運行時間間隔及功能冗余等方面進行考慮，同時可以使用安全分析（例如 FMEA、

57、FTA、HAZOP）的方法，使制定的功能安全要求更加完善。功能安全概念還應按照 GB/T 34590.9-2017 中的要求進行驗證，以表明與安全目標的一致性和符合性，及減輕或避免危害事件的能力。1.2.3 系統功能安全開發進行正式系統開發前，應基于 GB/T 34590.4-2017 相關規定，指定系統層面產品開發的安全活動計劃，包括確定設計和集成過程中適當的方法和措施、測試及驗證計劃、功能安全評估計劃等。1.2.3.1 系統安全要求設計技術安全要求是實現功能安全概念必要的技術要求，目的是將相關項層面的功能安全要求細化到系統層面的技術安全要求。25應基于 GB/T 34590.4-2017

58、相關規定，根據功能安全概念、相關項的初步架構設想、外部接口、限制條件等系統特性來制定技術安全要求。技術安全要求應從故障探測/指示/控制措施、安全狀態、故障容錯時間間隔等方面考慮，定義必要的安全機制。1.2.3.2 系統設計系統設計應基于功能概念、相關項的初步架構設想和技術安全要求。在實現技術安全要求相關的內容時，應從驗證系統設計的能力、軟硬件設計的技術能力、執行系統測試的能力等方面考慮系統設計。為避免系統性失效，應對系統設計進行安全分析以識別系統性失效的原因和系統性故障的影響。為降低系統運行過程中隨機硬件失效造成的影響，應在系統設計中定義探測、控制或減輕隨機硬件失效的措施。系統設計中定義軟硬件

59、接口規范，并在后續硬件開發和軟件開發過程中進行細化。1.2.3.3 系統集成與測試基于 GB/T 34590.4-2017 相關規定，分別進行軟硬件、系統、整車層級的集成和測試，驗證每一條功能和技術安全要求是否滿足規范，以及系統設計在整個相關項上是否得到正確實施。為發現系統集成過程中的系統性故障，在確定測試方法時，應從以下幾個方面考慮：（1）功能和技術要求在系統層面是否被正確執行；（2）安全機制在系統層面是否被正確的執行；（3）外部接口和內部接口在系統層面執行的一致性和正確性；（4）安全機制在系統層面的失效覆蓋率的有效性；（5）系統層面的魯棒性水平。1.2.3.4 安全目標確認應基于 GB/T

60、 34590.4-2017 中的規定，通過檢查和測試等方式，確認安全目標是否在整車層面是正確、完整并得到完全實現。確認安全目標前可以從確認流程、測試用例、環境條件等方面考慮，并制定詳細的確26認計劃。應根據安全目標、功能安全要求和預期用途，按計劃執行整車層面的安全目標確認。具體確認方法可考慮詳細定義的可重復性測試、安全分析、長期測試、用戶抽測、評審等形式。1.2.4 電控單元硬件開發電控單元硬件開發流程應滿足 GB/T 34590.5-2017 的要求，執行規定的安全活動，輸出規定的交付內容。1.2.4.1 電控單元硬件安全要求基于 GB/T 34590.5-2017 相關規定，將技術安全概念

61、，技術安全要求和系統設計說明落實到硬件層級，設計完整且詳細的硬件安全要求。為保證硬件安全要求的完整性，在設計時應考慮包含以下內容：（1）安全機制及其屬性；（2）驗證的標準；（3）硬件度量的目標值；（4）FTTI；（5）其它與安全相關的要求。為保證硬件安全要求的質量，應按照 GB/T 34590.8-2017 中第 6 章的要求進行硬件安全要求的設計、驗證和管理。為使硬件被軟件正確地控制和使用，應對軟硬件接口（HSI）進行充分的細化，并描述出硬件和軟件之間的每一項安全相關的關聯性。1.2.4.2 電控單元硬件設計基于 GB/T 34590.5-2017 相關規定，進行硬件架構設計和硬件詳細設計，

62、并進行硬件安全分析，以滿足系統設計說明和硬件安全需求的要求。為避免硬件的系統性風險，一般應進行硬件架構設計，然后進行硬件詳細設計。在硬件架構設計時，應確保每個硬件組件繼承了正確的 ASIL 等級，并可追溯到與之相關的硬件安全要求。在硬件設計時，應運用相關的經驗總結，并考慮安全相關硬件組件失效的非功能性原27因，如果適用，可包含以下因素：溫度，振動，水，灰塵，EMI，來自硬件架構的其他組件或其所在環境的串擾。為提高設計的可靠性，應遵循 GB/T 34590.5-2017 中的“模塊化的硬件設計原則”和“魯棒性設計原則”，如降額設計、最壞情況分析等。為識別硬件失效的原因和故障的影響，應按 GB/T

63、 34590.5-2017 中的要求，根據不同的 ASIL 等級，使用“演繹分析”（如 FTA）或“歸納分析”（如 FMEA）的方法進行安全分析。如果安全分析表明生產、運行、服務和報廢與安全相關，則應定義其與安全相關的特殊特性并輸出說明性文件。為驗證硬件設計與硬件安全要求的一致性和完整性，應按 GB/T 34590.5-2017 中的要求，對硬件設計進行驗證。1.2.4.3電控單元硬件組件的鑒定基于 GB/T 34590.8-2017 相關規定，對其中復雜的硬件組件及元器件應進行硬件組件的鑒定，確保硬件組件合規使用并為 FMEDA 分析提供基礎數據。1.2.4.4 電控單元硬件架構度量的評估基

64、于 GB/T 34590.5-2017 相關規定，進行硬件架構度量的評估，并將評估結果和優化建議反饋到系統設計、硬件設計、軟件設計環節，以優化產品設計，使最終的“單點故障度量”和“潛伏故障度量”滿足對應 ASIL 的要求。1.2.4.5 隨機電控單元硬件失效導致違背安全目標的評估基于 GB/T 34590.5-2017 相關規定，進行 PMHF 評估或割集分析評估，閉環優化使相關安全目標沒有由于隨機硬件失效帶來的不可接受的風險。1.2.4.6 電控單元硬件集成和測試基于 GB/T 34590.5-2017 相關規定，進行硬件集成和測試，通過測試確保所開發的硬件符合硬件安全要求。硬件集成測試用例

65、的生成應考慮 GB/T 34590.5-2017 的表 10 中所列的方法。為了驗證安全機制的完整性和正確性，硬件集成測試應考慮以下方法：功能測試、故28障注入測試和電氣測試。為了驗證硬件在外部應力下的魯棒性，硬件集成測試應考慮 GB/T 34590.5-2017 的表12 中所列方法。1.2.5 電控單元軟件設計1.2.5.1 軟件安全需求分析軟件安全需求分析目的是依據安全技術規范以及系統設計說明書指定軟件安全需求，同時驗證軟件安全需求與安全技術規范及系統設計說明書是否一致。軟件安全需求分析階段需滿足完整性、可測試性、可追溯性要求。軟件安全需求分析時，應從如下方面考慮：充分識別失效會違反安全

66、技術要求的軟件功能；需來源于安全技術要求和系統設計方案；應識別軟件與硬件之間所有安全相關的屬性；包含足夠的硬件運行資源，有效的安全相關等信息的確認；軟硬件接口說明書應是確認有效的；測試驗證方法應是安全有效的。1.2.5.2 軟件安全架構設計軟件安全監控架構設計目的在于開發一個可以滿足并實現軟件安全需求的軟件架構。軟件安全監控架構設計需結合功能安全相關軟件需求和非功能安全相關軟件需求，全局考慮軟件的架構設計，并進行軟件安全分析。軟件安全監控架構設計時，應從如下方面考慮：應該是可配置、可實施、易于測試和可維護的；需遵循模塊化、高類聚、低耦合、低復雜度的要求；應細化到足夠支持詳細設計；應具備靜態和動

67、態特性；應滿足獨立性的要求；應覆蓋軟件安全需求等。1.2.5.3 軟件失效分析與詳細設計軟件失效分析與軟件詳細設計目的是基于軟件架構設計及軟件安全需求對軟件功能模塊進行詳細設計，同時根據建模及編碼指導書進行模型或源代碼設計。軟件詳細設計時，應從如下方面考慮：應包含足夠的必要信息以便于允許后續活動開展；應詳細描述其功能特征；應滿足可測性、可維護、低復雜度、可讀性和健壯性等要求；詳細設計應滿足與軟件安全需求、軟件架構、編碼準則、詳細設計說明書等一致性的要求。291.2.5.4 軟件安全算法測試軟件算法測試用于證明軟件單元模塊符合軟件詳細設計說明書要求，該要求包括：軟件功能要求的符合性，接口要求的一

68、致性，算法的健壯與高效等。軟件算法測試案例設計時，需按照軟件詳細設計說明書，軟件失效分析報告要求，采用需求分析、等價類劃分、邊界值分析、錯誤猜想等方法。軟件算法測試活動，要做好詳細設計、失效分析報告、測試案例、測試數據、測試缺陷的雙向可追溯性與過程的完整性。軟件算法測試同時還需要度量驗證軟件算法質量，包括單元覆蓋度（如：語句覆蓋度，分支覆蓋度，修正判定條件覆蓋度等），代碼編碼規則，以及其他靜態度量指標（如：圈復雜度等），具體請參見 GB/T 34590.6-2017 相關要求。1.2.5.5 軟件集成與架構符合性測試軟件集成與架構符合性測試主要用于驗證軟件組件集成功能，以及軟件組建之間的接口是

69、否符合軟件架構設計文檔要求。軟件集成通?？煞譃樵鲋呈郊膳c一次性集成。不同的集成方式，對應的集成測試策略也不同。常用到的測試方法包括：基于需求的測試，接口測試，故障注入測試，資源占用測試以及模型與代碼的背靠背測試。軟件集成測試也包含質量度量過程，主要度量指標包括功能覆蓋度和函數調用覆蓋度。1.2.5.6 軟件安全需求驗證軟件安全需求驗證的目的在于確保軟件在目標硬件環境上能夠正確實現軟件安全需求。通常需采用驗證方法包括硬件在環測試、電子電氣試驗臺架測試以及實車測試等。軟件安全需求驗證不但要從功能角度驗證軟件安全需求的符合情況，還要從性能角度驗證是否滿足性能要求（如：程序安裝測試、負載測試等）。1

70、.3 使用操控安全1.3.1 操控安全基本要求整車企業需提供用戶使用說明書，明確安全操作要求，同時整車必須滿足數據監控以30及故障報警的基本功能。1.3.2 正常場景安全1.3.2.1 車輛上下電安全車輛上下電安全包括上下電流程設計以及安全操作步驟設計。上下電流程設計上下電流程設計：車輛在上電之前應當具備診斷高壓部件故障的功能，包括硬件電路短路開路、絕緣阻值過低、高壓互鎖故障等。在閉合主接觸器之前，檢查到車輛等級高的故障，車輛應禁止上電；車輛高壓上電后，檢測到碰撞或高壓故障時，應記錄相關故障碼，通過聲光等信號通知駕駛員。安全操作步驟設計：安全操作步驟設計：根據 GB 18384-2020，車輛

71、安全操作需滿足如下要求：（1）車輛從驅動系統電源切斷狀態到可行駛狀態應至少經過兩次有意識的不同動作，且至少有一個動作是踩下制動踏板。（2）從可行駛狀態到驅動系統電源切斷狀態只需要一個動作；（3）動力電源對驅動電路的主開關功能是驅動系統電源接通/斷開程序的必要部分，若驅動系統的電源接通/斷開程序是通過車鑰匙激活，要符合相關安全設計的要求；（4）應當連續或者間歇向駕駛員提示，車輛處于可行駛模式；（5）車輛停止時，驅動系統自動或手動關掉后，只可以通過上述程序重新進入“可行駛模式”。1.3.2.2 車輛行駛操作安全按照 GB 7258-2017，車輛以純電動模式低速驅動時，應通過低速行駛提示音系統發出

72、的聲音提醒周邊行人。駕駛員主動停止低速行駛提示系統停止工作時，應通過醒目的提示信號進行提示。按照 GB 18384-2020，駕駛員直接駕駛車輛，在車輛靜止狀態下從非行駛檔位切換至行駛檔位，應踩下制動踏板（針對手動檔電動車不適用）。按照 GB 18384-2020，如果是通過改變電機旋轉方向來實現前進和倒車的方向轉換，應當滿足以下要求：（1）前進和倒車兩個方向的行駛轉換，應通過兩個不同操作動作來完成；（2）如果僅通過一個動作來完成，應使用一個安全措施使模式轉換只有在車輛靜止或低速時（建議小于 7km/h）才能完成；31（3）如果前進和倒車兩個行駛方向的轉換不是通過電機的旋轉方向來實現的，則反向

73、行駛要求不適用。當駕駛員離開車輛時，如果驅動系統仍處于可行駛模式，需通過一個明顯的信號裝置提示駕駛員。切斷電源后車輛不能產生由自身電驅動系統造成的不期望行駛。1.3.2.3 整車充電操作安全按照 GB 18384-2020，車輛物理連接到外部電源進行充電時，應當具備裝置防護充電槍脫落的情況，包括機械鎖止、電氣鎖止等，并且不能通過其自身的驅動系統移動。車輛進行充電時，應當能夠檢測高壓安全相關故障，并有能力在檢測到相關故障時斷開高壓。車輛進行充電時，應當能夠通過 VCU 禁止一切可能使車輛產生自發性移動的操作；當有外力作用于車輛并使車輛產生移動時，車輛應當能視程度劇烈發出警示音乃至切斷高壓。1.3

74、.2.4 整車-低電量報警提醒按照 GB 18384-2020，如果可充電儲能裝置的低電量影響到了車輛的行駛，應通過一個明顯的信號（例如：聲或光信號）裝置向駕駛員提示。1.3.31.3.3 特殊場景安全特殊場景安全1.3.3.1 車輛故障操作安全如果電驅動系統采取了自動減少和限制車輛驅動功率的措施，并且影響了車輛的行駛，該狀態要向駕駛員指示。如果車輛因故障導致無法輸出動力時，應通過一個明顯的信號（例如：聲或光信號）裝置向駕駛員提示。1.3.3.2 車輛碰撞操作安全車輛應具備碰撞檢測功能。如果檢測到碰撞事件發生，系統應能夠禁止動力輸出，切斷主接觸器，同時通過一個或者多個放電設備進行主動放電。主動

75、放電應滿足 1.1.2.3.7下電后放電要求。在車輛未維修完成前，不允許再次上電。321.4 安全防護措施1.4.1 整車通過性要求為保證車輛在正常行駛中的動力電池底部安全性，整車企業應按照車型定義合理的最小離地間隙及最小縱向通過角，離地間隙和縱向通過角定義和測量按照 GB/T 3730.3-1992中要求執行。整車企業可參考 ADR 43/04-2016（Vehicle Standard(Australian Design Rule 43/04 Vehicle Configuration and Dimensions)2006）中對于汽車通過性的最小目標（滿載載荷下）：（1）前后軸中點的離地

76、間隙不小于 0.0333*軸距(單位為 m)；（2）軸間的最小縱向角為 7.6。1.4.2 正面碰撞安全1.4.2.1 基本要求按照國標 GB/T 31498-2021 評估電動汽車正面碰撞高壓電安全性能，試驗設置依據GB 11551-2014 或 GB/T 20913-2007 進行，需滿足 GB/T 31498-2021 條目 4 技術要求的規定。1.4.2.2 附加要求按照 C-NCAP 評估電動汽車正面碰撞高壓電安全性能，試驗設置依據 C-NCAP 管理規定進行（現行為 2021 版規程），參照 C-NCAP 要求進行電安全評估，需滿足測試規程 1.2.1.1.8純電動汽車/插電式混合

77、動力汽車電氣安全條款規定的技術要求，不做星級要求。1.4.3 側面碰撞安全1.4.3.1 基本要求按照國標 GB/T 31498-2021 評估電動汽車側面碰撞高壓電安全性能，試驗設置依據GB 20071-2006 進行，需滿足 GB/T 31498-2021 條目 4 技術要求的規定。331.4.3.2 附加要求按照 C-NCAP 評估電動汽車側面碰撞高壓電安全性能，試驗設置依據 C-NCAP 管理規定進行（現行為 2021 版規程），參照 C-NCAP 要求進行電安全評估，需滿足測試規程 1.2.1.1.8純電動汽車/插電式混合動力汽車電氣安全條款規定的技術要求，不做星級要求。1.4.4

78、追尾碰撞安全按照國標 GB/T 31498-2021 評估電動汽車追尾碰撞高壓電安全性能，試驗設置依據GB 20072-2006 進行，需滿足 GB/T 31498-2021 條目 4 技術要求的規定。（注：GB/T 31498-2021 暫未引用 GB 20072-2006，目前為標準討論稿階段，后續將實施）1.4.5 側面柱碰防護按照 C-NCAP 評估電動汽車側面柱碰撞高壓電安全性能，試驗設置依據 C-NCAP 管理規定進行（現行為 2021 版規程），參照 C-NCAP 要求進行電安全評估，需滿足測試規程1.2.1.1.8 純電動汽車/插電式混合動力汽車電氣安全條款規定的技術要求，不做

79、星級要求。1.4.6 整車底部安全防護對于將動力電池布置于乘員艙外底盤下的電動汽車，建議整車企業基于典型濫用工況評估車輛的底部碰撞高壓電安全性能，如針對常見的底部托舉,底部刮擦、底部碎石沖擊等工況等的設計防護，定義相應的動力電池底部濫用工況作為標準工況，提出動力電池包的底部防護性能要求，確保開展相關測試后電池包不發生起火、爆炸等現象。同時，對于布置在底盤下的高壓連接器與線束增加防護裝置。1.4.7 碰撞后高壓斷電及報警提醒車輛碰撞后，應滿足 1.1.3 規定，同時應具備報警提醒功能。1.4.8 控制器故障診斷高壓用電器件應具備故障診斷功能，并能通過整車診斷口讀取故障碼。341.5 整車 EMC

80、 安全車輛的 EMC 輻射強度及抗干擾強度應符合下述規定，以保證車輛在 EMC 干擾下的安全行駛和對駕乘人員的保護。1.5.1 整車車外電磁輻射騷擾及抗擾度要求1.5.1.1 車輛對外電磁輻射騷擾要求車輛及其零部件系統應裝置有無線電騷擾抑制器件及布置措置，以保護車輛使用環境中的外界無線電通訊設備正常工作。車外電磁場發射量應按 GB 14023-2011、GB34660-2017、GB/T 18387-2017 試驗驗證，并符合標準限值要求。（1）車輛靜態工況：車輛靜止，12V 系統用電器全開；（2）車輛動態工況：車輛分別以 16km/h、40km/h、70km/h 恒速行駛；（3）車輛充電工況

81、：車輛處于充電模式，動力電池荷電狀態（SOC）應處在最大荷電狀態的 2080之間。1.5.1.2 車輛抗電磁干擾要求車輛應采用合理布置及屏蔽保護設計，在處于以下使用工況狀態時，應耐受標準場強等級車外電磁場輻射干擾，而不發生功能狀態偏離及安全降級。并按照 GB 34660-2017 對20MHz-2GHz 頻段試驗驗證。（1）車輛動態工況：車輛用電器全開，以 50km/h 恒速行駛；（2）車輛充電工況：車輛處于充電模式，動力電池荷電狀態（SOC）應處在最大荷電狀態的 2080之間。1.5.2 整車車載電器電磁輻射騷擾及抗擾度要求1.5.2.1 車載電器電磁輻射騷擾要求車載用電器設備（如：空調壓縮

82、機，驅動電機等）應裝置有無線電騷擾抑制器件，以控制沿傳導路徑及空間輻射路徑騷擾發射，保護車載無線電收發設備（如收音機、GPS、T-BOX 等）在安全范圍工作。應按照 GB/T 18655-2018（建議不低于等級 3 限值）試驗驗證并符合標準限值要求。（1）車輛靜態工況：車輛用電器單獨打開，車輛動力系統高壓上電完成（PT Ready）；35（2）車輛動態工況：車輛 40km/h 恒速行駛；（3）車輛充電工況：車輛處于充電模式，動力電池荷電狀態（SOC）應處在最大荷電狀態的 2080之間。1.5.2.2 車載電器電磁抗擾要求車載用電器設備應采用合理布置及屏蔽保護設計，在處于以下使用工況狀態時，應

83、耐受車載發射機標準發射功率場強等級電磁輻射干擾，而不發生功能狀態偏離及安全降級。應按照 GB/T 33012.3-2016 對不同發射機工作頻段進行試驗驗證。（1）車輛動態工況：車輛用電器全開，以 50km/h 恒速行駛；（2）車輛充電工況：車輛處于充電模式，動力電池荷電狀態（SOC）應處在最大荷電狀態的 2080之間。1.5.3 整車充電過程中沿電源線騷擾和抗擾度要求車輛處于電源線傳導充電工況模式，應按照 ECE R10.6 試驗驗證；沿充電電源線的諧波發射，電壓變化、波動和閃爍發射，射頻傳導發射的特性符合標準限值要求。應能耐受來自充電電源線的浪涌干擾，電瞬態快速脈沖群干擾，而不發生充電功能

84、狀態偏離及安全降級。車輛處于無線充電工況模式，應包含接入電網的無線充電耦合設備裝置，按 ECE R10.6試驗驗證并通過。1.5.4 整車乘員暴露于車輛電磁環境安全要求本部分指人體所處車輛環境的低頻磁場發射。車輛在處于以下工況時，應按照 GB/T 37130-2018 試驗驗證；10Hz-400KHz 的磁場發射量符合 ICNIRP 2010 限值要求。靜態工況：車輛靜止狀態用電器全開，車輛動力系統高壓上電完成（PT Ready）；動態工況：車輛以 40km/h 恒速行駛；車輛以 2.5 m/s2的加速度和減速度行駛；充電模式：動力電池荷電狀態（SOC）應處在最大荷電狀態的 2080之間。1.

85、5.5 高壓線束 EMC 要求高壓線束應具備 EMC 屏蔽措施，其走向布置不應形成 EMC 輻射增強的效果。36高壓線束屏蔽層應與高壓部件可導電外殼有效連接。1.6 動力電池熱安全整車應能有效的對電池系統進行散熱和降溫，以確保電池系統溫度始終在正常使用范圍內，以免溫度過高影響電池系統壽命。整車設計時應考慮如果電池發生溫度超出正常使用范圍，應該限制功率輸出，并加以提醒。如果有熱失控發生風險，整車應具備提前提醒和報警功能，確保駕乘人員提前安全撤離。1.6.1 報警觸發信號及時間要求整車處于行駛狀態和充電狀態時，BMS 監測電池的工作參數（例如溫度、溫升速率、電壓、氣壓、煙霧、可燃氣體成分等），如果

86、監測的信號出現異常，符合電芯熱失控特征，應發出熱事件報警信號。整車處于停泊狀態時，如電池發生熱事件，BMS 應被喚醒，喚醒信號可以是溫度、電壓、氣壓、可燃氣體成分等。從 BMS 發出熱事件報警信號到電池包發生熱事件的時間間隔不低于 5 min。1.6.2 報警方式電池包發生熱事件前，必須通過明確的形式表明當前電池存在熱事件風險，需要用戶立即停車并且離開車輛。報警的方式包含聲音報警和儀表報警兩種方式。聲音報警應按照特有聲音持續鳴響，建議整車喇叭能支持報警發聲，報警提示對于車內車外都能達到危險警示的作用；儀表報警推薦為動力電池符號與著火/爆炸圖形的組合，同時以文字形式進行提示，文字提示能反應“請停

87、車，立即遠離車輛”的意圖。為了提升報警的緊迫性，建議增加雙閃燈的快速閃爍的提醒。1.6.3 電池系統熱事件遠程服務報警要求電池熱事件報警信號數據格式遵照 GB/T 32960.3-2016 定義。利用報警數據格式中的通用報警標志的第 19 個 bit 定義作為熱事件的報警標志。表 1-2 報警數據格式和定義37數據數據表示內容表示內容長度長度/字節字節數據數據類型類型描述描述及要求及要求通用報警標志4DWORD參考 GB/T 32960.3-2016 定義表 1-3 通用報警標志位定義位位定義定義處理處理說明說明018參考 GB/T 32960.3-2016 定義標志維持到報警條件解除191：

88、熱事件報警；0：正常標志維持到報警條件解除2031預留1.6.4 電池系統熱事件遠程服務報警要求1.6.4.1 測試條件（一）試驗對象測試對象為整車或電池包或系統。測試樣品需從量產產品中抽取，并對樣品進行標記和登記。測試樣品在試驗前需進行絕緣電阻測試和充放電測試，保證樣品可靠性。測試樣品在實驗前應充滿電，在試驗環境下靜置 24h 進行預處理。（二）測試環境本試驗應在溫度為 225之間，相對濕度為 10%90%，大氣壓力為 86106 kPa的環境中進行。試驗應在室內環境或者風速不大于 2.5 km/h 的環境下進行。為應對試驗過程中可能出現的起火，爆炸等現象，應在試驗場所中安排對應消防工具（滅

89、火器，消防栓等）和對應實驗人員隔離通道。（三）試驗準備試驗開始前，測試對象的 SOC 應調至大于制造商規定的正常 SOC 工作范圍的 95%。試驗開始前，所有的試驗裝置應都必須正常運行。試驗應盡可能少地對測試樣品進行改動，制造商需提交所做改動的清單。試驗對象的 BMS 應處于正常工作狀態，BMS 發出的數據能夠被記錄。注：熱擴散試驗可能需要在測試開始前對鋰離子電池包或系統進行一定程度的改動，導致可能無法進行充電，需在試驗開始前確認測試對象的 SOC 滿足要求。381.6.4.2 測試方法（一）熱事件觸發對象試驗對象中的電池單體，應選擇電池包內靠近中心位置，或者被其他電池單體包圍的電池單體。（二

90、）熱事件觸發方法熱事件觸發應包括車輛行駛狀態、充電狀態和停泊狀態，推薦下述方法作為熱事件試驗的可選方法，制造商可以選擇其中一種方法，也可自行選擇其方法來觸發熱事件。（1）推薦的針刺觸發熱事件方法：刺針材料：鋼；刺針直徑：3 mm8 mm；針尖形狀：圓錐形，角度為 2060；針刺速度：0.1 mm/s 10 mm/s；針刺位置及方向：選擇能觸發電池單體發生熱事件的位置和方向（例如，垂直于極片的方向）。（2）推薦的加熱觸發熱事件方法：使用平面狀或者棒狀加熱裝置，并且其表面應覆蓋陶瓷、金屬或絕緣層。對于尺寸與電池單體相同的塊狀加熱裝置，可用該加熱裝置代替其中一個電池單體，與觸發對象的表面直接接觸；對

91、于薄膜加熱裝置，則應將其始終附著在觸發對象的表面；加熱裝置的加熱面積都應不大于電池單體的表面積；將加熱裝置的加熱面與電池單體表面直接接觸，加熱裝置的位置應與圖 1-2 中規定的溫度傳感器的位置相對應；安裝完成后，應在 24h 內啟動加熱裝置，以加熱裝置的最大功率對觸發對象進行加熱；加熱裝置的功率要求參見表1-4；當發生熱事件或者圖1-2定義的監測點溫度達到300時，停止觸發。表 1-4 加熱裝置功率選擇觸發對象電能 E（Wh）加熱裝置最大功率（W）E 10030 300100 E 400300 1000400 E 600監測電壓或溫度，應使用原始的電路或追加新增的測試用電路。監測溫度定義為溫度

92、A（測試過程中觸發對象的最高表面溫度）。溫度數據的采樣間隔應小于 1 s，準確度要求為2。針刺觸發時，溫度傳感器的位置應盡可能接近短路點，也可使用針的溫度（如圖 1-1）。觸發對象溫度傳感器39圖 1-1 針刺觸發時溫度傳感器的布置位置示意圖加熱觸發時，溫度傳感器布置在遠離熱傳導的一側，即安裝在加熱裝置的對側（如圖1-2）。圖 1-2 加熱觸發時溫度傳感器的布置位置示意圖推薦的測試對象是電池包與系統熱事件觸發點推薦選擇電池包內靠近中心位置，如圖1-3 所示。圖 1-3 熱事件觸發優選電芯位置（三）（三）熱事件觸發判定條件a)觸發對象產生電壓降，且下降值超過初始電壓的 25%；b)監測點溫度達到

93、制造商規定的最高工作溫度；c)監測點的溫升速率 dT/dt1/s，且持續 3 s 以上。針刺點40當 a)和 c)或者 b)和 c)發生時，判定發生熱事件。如果采用推薦的方法作為熱事件觸發方法，且未發生熱事件，為了確保熱擴散不會導致車輛乘員危險，需證明采用如上兩種推薦方法均不會發生熱事件。（四）熱事件報警能力測試當觸發熱事件條件時，試驗對象應具備數據采集及傳輸能力。當判斷觸發熱事件條件時，試驗對象應及時發出熱事件報警信號，并同步傳輸電池包實時數據。發生以下兩種情況，判定為熱事件誤報警:如對電池或模組進行熱事件試驗，熱事件報警后，觀察并記錄 60min 數據后沒有發生熱事件。如對車輛進行事件試驗

94、，熱事件報警后，觀察并記錄 120min 數據后沒有發生熱事件。（五）熱事件試驗記錄完成熱事件試驗后，應該對整個熱事件試驗進行詳細的記錄，主要包括但不限于以下內容：1、試驗時間、地點及產品技術參數；2、試驗程序：包括試驗方法、試驗對象、觸發對象、監控點布置方案、熱事件觸發判定條件以及對試驗對象所做的改動清單等；3、試驗結果：包括系統報警和試驗關鍵事件（熱事件觸發開啟、熱事件觸發停止、外部煙、火、爆炸）等的試驗照片、試驗數據和時間等。1.6.4.3 信號采集與處理（一）溫度信號的采集及處理1、溫度傳感器要求數量要求。原則上要求每個單體電池都要有一個溫度測量點。如果通過仿真及實驗可以驗證單個溫度測

95、量點能有效反映多個單體電池的溫度，則可適當減少溫度傳感器的數量。需注意的是隔熱板的兩側需要分別有兩個溫度傳感器進行測量。編號要求。溫度采集點編號應與單體電池電壓采集編號一致。如果是一個溫度傳感器對應多節單體電池，也需要明確指示出具體所測量的電池單體的編號（與電壓測量編號一致）。41傳感器需采取一些保護措施，以抵御熱失控發生瞬間的高溫及液體噴濺。盡量保證在熱失控發生 5 秒內，傳感器能正常使用。（另外，即使溫度測量失效也要準確把失效信號報出來）2、溫度信號處理對溫度信號的范圍和精度要求與 GB/T 38661-2020 的要求相同，同時本標準對采樣周期及分辨率也有相應的要求。匯總如表 1-5 所

96、示。表 1-5 溫度采集上報要求指標指標要求要求備注備注范圍-40 125 誤差在-20 65 范圍（包含-20 和 65），誤差不大于 2；其他范圍誤差不大于3 分辨率 0.5 采集及上報周期上報周期不大于 200 ms采樣周期不大于上報周期超范圍處理方式超上限報 125。超下限報-40。（1）溫度極值計算BMS 應能計算出電池包所有溫度點的最大值和最小值以及對應的位置標號。對溫度極值的要求與表 1-5 要求相同。（2）溫度信號有效性BMS 需對溫度信號的有效性進行判斷，并且要求在熱失控發生后的 5 秒內能夠及時、準確的報出。溫度信號有效性的判斷，推薦使用以下三種方法：方法一：如果 BMS

97、的采集芯片有功能安全機制建議開啟溫度檢測通道的校驗，設置FTTI 時間應不大于 5 秒。如果采集芯片報溫度采集故障則認為溫度采樣為無效值。方法二：同一個點的兩個溫度傳感器比較。對兩個溫度值（Tn 和 Tn）做差值，然后取絕對值大于 5，該邏輯維持 5 秒認為溫度采樣失效。表 1-6 溫度有效性判斷方法二T 失效置位條件Tn Tn 5，維持 5 秒T 失效清除條件Tn Tn 5，維持 5 秒42方法三:相鄰溫度傳感器比較，只針對極值點。（主要是防止單一溫度條件的誤報）當兩個極值點溫度差在 20（可標定）以上時，最高溫度點的相鄰溫度點與最小溫度點的差值在 5（可標定）以內，維持 5 秒判斷該點所測

98、量的最大溫度值失效。溫差小于20 并維持 5 秒故障清除。最低溫度點的誤報邏輯與上述判斷邏輯相似。（二）電壓信號的采集及處理1、電壓要求模組電壓測量要求。為了進行單體電壓測量有效性的校驗，BMS 除了測量每個串聯單體電池之外，還需要對電池模組電壓進行測量。傳感器需采取一些保護措施，以抵御熱事件發生瞬間的高溫及液體噴濺。盡量保證在熱失控發生 5 秒內，傳感器能正常使用。（另外，即使電壓測量失效也要準確把失效信號報出來）2、電壓信號處理對單體電壓信號的范圍和精度要求與 GB/T 38661-2020 的要求相同，同時本標準對采樣周期及分辨率也有相應的要求。匯總如表 1-7 所示。表 1-7 單體電

99、壓采集上報要求指標指標要求要求備注備注誤差10mV分辨率1mV采集及上報周期上報周期不大于 100ms采樣周期不大于上報周期另外，對模組電壓的檢測精度要求為0.5%FS（滿量程）。其他要求同表 8.5.（1）單體電壓極值計算。BMS 應能計算出電池包所有單體電壓的最大值和最小值以及對應的位置標號。對單體電壓極值的要求與表 1-7 要求相同。（2）單體電壓信號有效性。BMS 需對單體電壓信號的有效性進行判斷，并且要求在熱失控發生后的 5 秒內能夠及時、準確的報出。對單體電壓信號有效性的判斷建議使用以下兩種方法：方法一：如果 BMS 的采集芯片有功能安全機制建議開啟單體電壓檢測通道的校驗，設置 F

100、TTI 時間應不大于 5 秒。如果采集芯片報單體電壓采集故障則認為單體電壓采樣為無效值。方法二：模組電壓比較法。將模組內所有單體電壓值求和，與模組總壓進行比較，如43果差值大于0.5 V 并維持 2 秒（可標定）認為該模組中的單體電壓檢測失效。（三）氣壓測量要求1、布置位置要求。對于良好連通的一個電池包可放置一個氣壓測量點。多個箱體的PACK 結構需要在每個箱體中都放置一個氣壓測量點。2、在同一測量點需要有兩個氣壓傳感器進行測量，建議兩個傳感器型號不同。3、需保證在熱失控發生 5 秒內（具體時間可標定），氣壓測量功能正常。（四）通信異常判斷如果 CMU 與 BMU 之間的通信異常，則存在熱事件

101、發生后 CMU 損壞的可能。因此建議對通信狀態進行監測，推薦的方法包括 CRC、Time out、Rolling counter 三種校驗方法。1.6.4.4 熱事件報警策略建議（一）熱事件報警處理策略架構推薦的熱事件報警處理策略架構如圖 1-4 所示。子條件判斷模塊負責處理由單一信號引起的異常報警，輸出從 A 到 J 共 10 種條件。熱事件綜合報警模塊根據這些條件的組合報出熱事件發生的報警。兩個模塊的執行周期應適當選?。ㄍ扑]值為 200ms）。圖 1-4 熱事件報警處理策略架構（二）子條件判斷策略1、條件 A溫度過高置位條件：如果有某個溫度值大于或等于一定值（推薦溫度值 60）并且持續一定

102、時間（推薦時間 3 秒）。清除條件：該溫度值小于一定值（推薦溫度值 60）持續一定時間（推薦時間 10 分鐘）。2、條件 B溫差過大44置位條件：溫度最大值與最小值的差大于一定值（推薦溫度值 20）并且持續一定時間（推薦時間 3 秒）。清除條件：溫差小于一定值（推薦溫度值 20）持續一定時間（推薦時間 10 分鐘）。3、條件 C溫升過快 1 級（用于前期預警）置位條件：最高溫度值在一定時間內（推薦時間 5 秒）的溫升大于或等于一定值（推薦 2）。清除條件：一定時間內（推薦時間 10 分鐘）沒有新的置位條件則故障清除，如果有新的置位則重新計時一定時間（推薦時間 10 分鐘）。4、條件 D溫升過快

103、 2 級（用于熱事件發生時的報警）置位條件：最高溫度值在一定時間（推薦 1 秒）內的溫升大于或等于一定值（推薦 5）。清除條件：一定時間內（推薦 5 秒）沒有新的置位條件則故障清除，如果有新的置位則重新計時一定時間（推薦 5 秒）。5、條件 E電壓過低置位條件：某個電壓值在小于等于一定值（推薦 2 V）并且維持一定時間（推薦 2 秒）。清除條件：該電壓值大于一定值（推薦 2 V）并且維持一定時間（推薦 2 秒）。6、條件 F壓降過快置位條件：最低電壓在一定時間（推薦 2 秒）之內下降一定值（推薦 1 V）。清除條件：每隔一定時間（推薦 2 秒）重新判斷。7、條件 G溫度檢測失效具體方法參照 1

104、.6.6.3。8、條件 H電壓檢測失效具體方法參照 1.6.6.3。9、條件 I通信異常具體方法參照 1.6.6.3。10、條件 J氣壓波動（可選項）置位條件：兩個氣壓傳感器測量值在一定時間（推薦 5 秒）時間間隔內都出現過氣壓大于一定值（推薦值 120 KPa）的情況。清除條件：信號維持一定時間（推薦 5 秒）后無置位條件則故障清除。（三）熱事件發生前的信號特征熱事件發生前一段時間溫度信號有一些較明顯特征，但也不一定能確認出現這些特征45就一定會發生熱事件。由此總結出條件 A，B，C 三個子條件，只要出現三個條件中的任何一個條件就應該引起注意，有可能會發生熱事件。相應的處理上僅做低級預警提示

105、、數據的記錄及上報給上一級控制單元，不做其他任何實質性措施。另外該預警的一個重要作用是通過車載終端上報大數據監控中心，通過人工分析熱事件的可能性有多大，從而采取進一步措施。（四）熱事件報警條件匯總根據實驗數據分析，在熱事件發生的時刻，如果 BMS 的所有測量值均有效，則可以檢測到的故障子條件包括：A-溫度過高，D-溫升過快，E-電壓過低，F-壓降過快，J-氣壓波動（可選項）這些信號又分為溫度類（A 和 D），電壓類（E 和 F），氣壓類 J，如果出現任意兩類條件同時滿足，則可判斷發生熱事件。另外，由于熱事件發生時短時間內大量發熱有可能對BMS 的各個傳感器及采集板 CMU 造成損壞，導致信號的

106、失效，包括子條件 G/H/I。因此一個失效信號組合一個其他類別的故障信號也可判斷發生熱事件?，F將所有熱事件報警的組合列舉如表 1-8：表 1-8 熱事件報警條件匯總組合類別組合類別序號序號條件列舉及描述條件列舉及描述備注備注溫度和電壓1A&E溫度過高、電壓過低溫度與電壓故障點的 ID 需相同2A&F溫度過高、壓降過快溫度與電壓故障點的 ID 需相同3D&E溫升過快、電壓過低溫度與電壓故障點的 ID 需相同4D&F溫升過快、壓降過快溫度與電壓故障點的 ID 需相同溫度和氣壓5A&J溫度過高、氣壓波動6D&J溫升過快、氣壓波動電壓和氣壓7F&J壓降過快、氣壓波動8E&J電壓過低、氣壓波動失效和其他

107、9G&(E|F|J)溫度失效與其他10H&(A|D|J)電壓失效與其他11I&(A|D|E|F|J)通信失效與其他以上 11 個條件只要有任何一個條件成立則可發出熱事件報警。表中的“&”表示與46邏輯，“|”表示或邏輯。特別的情況，如果熱事件發生后，BMS 采集單元迅速損壞（設計要求至少堅持 5 秒鐘工作正常），反應出來的情況是通訊局部或全部中斷，無法讀到電壓、溫度等信號。此時可按照附表 4 中序號 11 的條件來判斷是否報警。如果是通訊部分中斷，還可參考相鄰采集板的溫度、電壓等信號進行熱事件報警的輔助判斷。1.6.4.5 停泊狀態下熱事件喚醒方式停泊狀態下熱事件喚醒的三種方法概述。根據現實的

108、事故案例，在停泊狀態下依然存在著發生熱事件故障的風險。而此時 BMS及其他電控單元一般都處于休眠的狀態，無法及時、準確的檢測到熱事件故障。因此一定要針對停泊狀態設計一種檢測熱事件故障的方法。本規范推薦三種停泊狀態熱事件故障檢測的方法：1、智能傳感器喚醒法：設計一個獨立的智能傳感器單元。在無故障發生時可在低功耗狀態運行并實時檢測是否有異常的信號（如溫度過高）出現，一旦達到異常信號觸發條件傳感器喚醒，同時喚醒 BMS 進行熱事件故障的判斷。針對智能傳感器喚醒法，首先需要有一個低功耗的智能傳感器單元，對該單元的設計要求如下：（1）數量要求。應該有足夠數量的傳感器保證電池包內環境溫度的任何一個區域都可

109、被監控。（2）需保證在熱事件發生一定時間（推薦 5 秒）內，溫度喚醒功能正常。（3）建議采用邊沿喚醒方式觸發報警信號，在溫度上升到某一個固定值時觸發喚醒信號，如果 BMS 判斷排除故障風險休眠之后盡管溫度一直在報警值以上也不會觸發喚醒。只有當溫度下降，然后再次上升到該值后才觸發喚醒。（4）傳感器功耗要求小于一定值（推薦 0.1 mA）。整個系統的喚醒休眠策略見圖 1-5。47圖 1-5 智能傳感器喚醒休眠策略圖首先，BMS 除了正常的鑰匙及充電插槍喚醒外，在溫度傳感器觸發高于 60（可標定）報警信號后，BMS 也需要能夠喚醒并進入上電初始化流程。程序運行足夠的時間（暫定為 10 秒），如果觸發

110、熱事件報警則延時 10 分鐘下電，或者在 10 分鐘內的任意時刻收到整車通知 BMS 進入休眠狀態則 BMS 進入下電流程。如果10 秒鐘內沒有熱事件故障（包括一級和二級故障）BMS 進入下電流程。需注意溫度喚醒信號建議做成上升沿觸發信號，防止溫度傳感器反復觸發 BMS 喚醒而消耗 12 V 電源電量。2、功能安全機制喚醒法：利用 BMS 電壓采集芯片的功能安全機制設計休眠狀態下的故障喚醒機制。通過軟件設置采集芯片的故障觸發閾值（如欠壓 UV 和過溫 OT 的觸發值）。達到觸發值時通過芯片的 Fault IO 接口喚醒 BMS 的主控單元 BMU，然后 BMS 就可以對熱事件是否發生進行判斷。

111、3、實時監控法：通過降低 BMS 功耗及整車電氣架構的合理設計，使 BMS 能夠全天候 24 小時工作，則不存在停車狀態無法檢測熱事件故障的情況。車輛溫度數據大數據溫度閾值模型BMS 溫度參數48圖 1-6 大數據熱事件閾值設定方案1.6.4.6 大數據技術在熱事件報警的應用（一）BMS 的大數據相關接口大數據接口主要有兩方面內容1、BMS 的各個故障判斷子條件中的參數需做成標定量，預留大數據接口。目的是如果后期通過大數據手段發現新的規律或參數需要調整留有接口方便更新。2、BMS 預留遠程程序刷寫接口 OTA，理由同上，大數據后期可能調整控制策略。（二）大數據熱事件閾值設定方案大數據熱事件閾值

112、設定方案1、采集車輛溫度分布數據；2、利用大數據挖掘技術，訓練車輛溫度分布正常區間范圍；3、利用該閾值范圍，對 BMS 熱事件參數進行更新；4、同時 BMS 有會采集更多的溫度數據反饋給大數據溫度模型，最終閾值趨于穩定；1.7 整車其他系統熱安全整車設計應考慮防止動力電池、電機系統和其他高電壓零部件過溫而引發安全事故。1.7.1 電機熱保護要求電機應設置溫度傳感器，并通過電機控制器實現溫度檢測功能。如果檢測到電機溫度過高，電機控制系統應限制電機功率或者禁止電機工作，并通過一個明顯的信號（如聲或光信號）裝置向駕駛員提示。1.7.2 電機控制器熱保護要求電機控制器具備溫度檢測功能，如果檢測到溫度過

113、高，系統應限制電機功率或者禁止電機工作，并通過一個明顯的信號（如聲或光信號）裝置向駕駛員提示。1.7.3 充電系統熱保護要求在充電過程中，整車的充電系統需要對充電口的溫度進行監控，當采用國家標準規定的模式二充電，建議對充電插頭進行溫度監控。當超出溫度保護閾值時，應能采取有效措施進行保護（如降功率或者停止充電），以免導致器件損壞或者起火。49在充電過程中，整車的充電系統應具有車載充電器溫度檢測功能，當超出溫度保護閾值時，應能采取有效措施進行保護（如降功率或者停止充電），以免導致器件損壞或者起火。1.7.4 整車空調 PTC 熱保護要求空調 PTC 應具備過熱保護和故障報警功能。1.8 整車制造、

114、存儲、運輸、報廢等安全車輛在制造環節中，動力電池系統高壓維修開關必須在裝配過程中始終處于斷開狀態，在車輛總裝最后環節進行閉合，以確保制造過程高壓電安全。車輛出廠前應具備安全檢測流程。車輛應避免長時間在高溫環境（422）下停放，且停放期間動力電池 SOC 不宜過高（建議：SOC 處于 40%-70%）。車輛在運輸過程中，必須移除動力電池系統的維修開關，確保整車處于下電狀態。車輛報廢應由專業資質單位進行，車輛報廢前應確認負載端電壓低于 B 級電壓或電路存儲總能量小于 0.2J，并對動力電池系統進行回收再利用，具體要求參見電池回收再利用章節。1.9 整車換電設計安全整車換電是指通過更換動力電池系統為

115、電動汽車提供電能的方式，被更換的動力電池系統在換電站集中充電維護。換電電動汽車需滿足換電車輛的一般安全要求、整車安全要求及系統部件安全要求，及滿足相應的試驗檢測方法要求。電池系統及具備換電功能的車輛需在換電電池包、換電機構、換電接口、軟件及控制等方面滿足安全設計要求。1.9.1 換電用動力電池系統安全要求動力電池系統宜采用框架式結構，應具備足夠的機械強度，滿足 GB 38031-2020電動汽車用動力蓄電池安全要求，承受電動汽車振動和沖擊要求。501.9.2 換電機構安全要求換電動力電池系統與車輛底盤的固定宜采用鎖止操作機構，鎖止機構應能有效的將電池系統緊固在底盤上，滿足車輛的耐久、環境和沖擊

116、的性能要求。在車輛行駛過程中，不應出現鎖止機構失效的風險，并且噪聲應符合車輛 NVH 性能要求。鎖止機構應在車輛行駛造成的頻繁振動、蠕動下，能自動跟隨位移變化，以保證可靠連接；鎖止機構不應出現導致換電失效的松動、變形、開裂、脫落等損壞。動力電池系統在車輛行駛造成的隨機振動下，不會出現產生危害的相對位移或產生明顯的機械噪聲?？刹捎秒姵匕恢?、換電機構或電氣接口的連接狀態等電氣信號監測電池包的松動或意外解鎖。在換電過程中，車輛底盤或換電小車上應具備動力電池系統安裝導向定位機構，鎖止機構能自動修正動力電池系統的位置偏移。鎖止機構除滿足自動化解鎖之外，應具備手動緊急解鎖功能。應采用兩個及以上操作解鎖，

117、過程須連續可靠，避免誤操作（注：使用工具扳擰螺紋的視為多步解鎖）。1.9.3 換電接口安全要求換電接口，應具備導向和三維浮動功能，確保換電動力電池系統與整車的安全可靠連接。換電防護等級，按照 GB/T 30038-2013 進行試驗，電氣接口的防護等級應滿足 IPX7和 IPX9K 的要求。換電接口按照 GB/T 371332018 中 9.4 的絕緣電阻測量方法進行試驗。電氣接口的導體與導體之間、導體與外殼之間、導體與屏蔽層之間絕緣電阻應不小于 100M。換電接口按照 GB/T 371332018 中 9.5 的溫升試驗方法對電氣接口進行溫升測試。具有溫度監控的電氣接口應進行功能有效性驗證。

118、不具有溫度監控的電氣接口的溫升應不大于 50 K。具有溫度監控的電氣接口應滿足車輛制造廠的要求。電氣接口，應具備正確的電氣連接和斷開順序，避免換電過程中出現非預期的高、低壓電路導通。低壓電氣接口，要滿足全生命周期插接的耐磨、密封要求；具備導向機構，滿足換電過程中低壓線束插接的導向定位要求。高壓電氣接口，滿足全生命周期插接的耐磨、密封要求；具備導向機構，滿足換電過程中高壓線束插接的導向定位要求；高壓電氣接口應滿足觸電安全部分連接器接觸防護要求。電氣接口應具備高壓互鎖功能。冷卻接口，應滿足全生命周期插接的耐磨、密封要求；具備導向機構，滿足換電過程中液冷連接器插接的導向定位要求；液冷連接器在換電或使

119、用過程中，不能出現漏液情況。51應避免冷卻管路中的冷卻劑（如有）意外泄漏時引發電氣接口絕緣故障或其他安全隱患。冷卻接口及冷卻系統清潔度應滿足車輛制造企業的設計要求。1.9.4 換電控制要求整車監控到進入換電狀態，應主動執行高壓下電流程。BMS 主動引導充電控制、電池故障處理。VCU 或 BMS 應監控換電狀態，當監控到換電操作未完成，應不允許車輛上高壓或跛行。BMS 或其他控制器宜記錄車輛與對應電池包換電次數，便于后期維護。522.電動電動客車安全客車安全2.1 防觸電安全電動客車常見的高壓（即 B 級電壓，指最大工作電壓大于 60Vd.c.或 30 V.a.c.，小于等于 1500Vd.c.

120、或 1000 V.a.c.）部件（帶電、用電、傳輸 B 級電壓部件）如表 2-1 所示：表 2-1常見高壓部件序號序號高壓部件名稱高壓部件名稱1動力蓄電池2超級電容3燃料電池4驅動電機5高壓發電機6電動轉向油泵7電動空壓機8DC/DC 變換器（包括隔離 DC/DC）9控制器（驅動電機控制器、發電機控制器、電動轉向油泵控制器、電動空壓機控制器）10高壓維修開關11高壓配電12電加熱13電空調14充電插座15車載充電機16高壓線束及連接器532.1.1 安全標識要求2.1.1.1 高壓警告標記要求B 級電壓部件，如 REESS 和燃料電池堆，應標記圖 2-1 所示符號。對于相互傳導連接的 A 級電

121、壓電路和 B 級電壓電路，當電路中直流帶電部件的一極與電平臺連接，且滿足其他任一帶電部分與這一極的最大電壓值不大于 30V（a.c.）(rms)且不大于 60V（d.c.）的情況，則 REESS 不需標記圖 2-1 所示符號；否則，REESS 無論是否存在 B 級電壓，都應標記圖 2-1 所示符號。符號的底色為黃色，邊框和箭頭為黑色。當移開遮攔或外殼可以露出B 級電壓帶電部分時，遮攔和外殼上也應有同樣的符號清晰可見。當評估是否需要此符號時，應當考慮遮攔/外殼可進入和可移開的情況，比如遮攔/外殼需要使用工具才能移開，則該遮攔和外殼上可以不需要該標識，另外，如果該遮攔和外殼在客車地板下方，則也可需

122、要改標識；標記附近建議有明顯可見的安全操作注意項目的提醒，如“電機控制器開蓋要等 10 分鐘后，測量母線電壓值為安全電壓后方可操作”。圖 2-1高壓警告標記2.1.1.2 B 級電壓電線標記要求B 級電壓電路中未被遮擋的電纜和線束的外皮應用橙色加以區別，滿足標準要求的外殼里面或遮攔后面的 B 級電壓電路中的電纜和線束的外皮顏色不做要求，但建議最好使用橙色加以區別。B 級電壓連接器可通過與之連接的線束來區分。2.1.2 直接接觸防護要求直接接觸防護是通過絕緣材料、外殼或遮欄實現人體與 B 級電壓帶電部件的物理隔離，外殼或遮欄可以是導體也可以是絕緣體。對于具體部件的直接接觸防護要求應滿足2.1.2

123、.12.1.2.4。對于 M2，M3類車型，如果在車頂布置有頂部充電裝置，如圖 2-2 所示，若從車輛入口最底部臺階處到頂部充電裝置的外露 B 級電壓帶電部分的最短路徑長度至少為 3m，則54頂部充電裝置的外露 B 級電壓帶電部分可不滿足直接接觸防護要求。圖 2-2最短路徑測量示意圖2.1.2.1 遮攔外殼要求如果通過遮欄或外殼提供觸電防護，則 B 級帶電部分應當布置在外殼里或遮欄后，防止從任何方向上接近帶電部分。遮欄和外殼需要滿足如下兩點要求：（1）乘客艙內、貨艙內的遮欄和外殼應滿足 IPXXD 防護等級要求，乘客艙外、貨艙外的遮欄和外殼應滿足 IPXXB 防護等級要求；圖 2-3 IPXX

124、D 試驗探針圖 2-4 IPXXB 試驗彎指（2）通常，遮欄和外殼只能通過工具才能打開或者去掉；若遮欄和外殼在不使用工具的情況下可以打開或者去掉，則要有某種方法使其中的 B 級電壓帶電部分在遮欄和外殼打開后 1s 內至少滿足如下兩種要求之一：交流電路電壓應降到不超過 30 Va.c.(rms),直流電路電壓應降到不超過 60Vd.c.；B 級電路存儲總能量小于 0.2 J。2.1.2.2 連接器要求高壓連接器在不使用工具的情況下，應無法打開，但以下三種情況除外：（1）高壓連接器分開后，應滿足 IPXXB 的防護等級要求；（2）高壓連接器至少需要兩個不同的動作才能將其從相互的對接端分離，且高壓連

125、接器與其它某個機構有機械鎖止關系，在高壓連接器打開前，該鎖止機構必須要使用工具55才能打開；（3）在高壓連接器分開之后，連接器中帶電部分的電壓能在 1s 內降低到不大于 30Va.c.(rms)且不大于 60 Vd.c.。2.1.2.3 高壓維修斷開裝置要求對于裝有高壓維修斷開裝置的車輛，高壓維修斷開裝置在不使用工具的情況下，應無法打開或拔出，但以下兩種情況除外：（1）高壓維修斷開裝置打開或者拔出后，其中的 B 級電壓帶電部分滿足 GB/T 4208中規定的 IPXXB 的防護等級要求；（2）高壓維修斷開裝置在分離后 1s 內其 B 級電壓帶電部分電壓降低到不大于 30Va.c.(rms)且不

126、大于 60 Vd.c.。2.1.2.4 充電插座要求整車具備多個充電接口時，不執行充電工作的充電接口應不帶電，且車輛的充電插座應設置溫度監控裝置，該裝置應能根據溫度變化傳送相應信號給車輛，用于實現車輛充電接口的溫度監測和過溫保護功能。車輛充電插座與車輛充電插頭在斷開時，車輛充電插座應至少滿足以下一種要求：（1）在斷開后 1s 內，充電插座 B 級電壓帶電部分電壓降低到不大于 30 Va.c.(rms)且不大于 60 Vd.c.或電路存儲的總能量小于 0.2 J；（2）滿足 GB/T 4208 中規定的 IPXXB 的要求并在 1 min 的時間內，充電插座 B 級電壓帶電部分電壓降低到不大于3

127、0 Va.c.(rms)且不大于60 Vd.c.或電路存儲的總能量小于0.2 J。2.1.2.5 高壓互鎖要求（1）B 級電壓帶電回路中的關鍵電路連接器建議結合整車控制系統實現軟件或硬件互鎖、聯鎖功能；（2）在高壓安全系統檢測到某處連接斷開或某處連接異常時，建議整車系統可以切斷相關動力電源的輸出并發出報警，直到該故障完全排除。562.1.3 間接接觸防護要求2.1.3.1 絕緣電阻要求（1）通則在最大工作電壓下，直流電路絕緣電阻的最小值應至少大于 100/V，交流電路應至少大于 500/V。整個電路為滿足以上要求，依據電路的結構和組件的數量，每個組件應有更高的絕緣電阻。如果直流和交流的 B 級

128、電壓電路可導電的連接在了一起（如圖 2-5），則應滿足絕緣電阻不小于 500/V 的要求。對于燃料電池電動汽車，如圖 2-6 所示。若交流電路增加有附加防護，則組合電路至少滿足 100/V 的要求。附加防護方法應至少滿足以下一種要求：a）至少有兩層絕緣層、遮欄或外殼；b）布置在外殼里或遮欄后，且這些外殼或遮欄應能承受不低于 10kPa 的壓強，不發生明顯的塑性變形。選擇 1選擇 2圖 2-5 直流、交流電路傳導連接的 B 級電壓系統絕緣電阻的要求說明：1動力電池或高壓電源；2逆變器；3電平臺；a交流電路。圖 2-6 燃料電池汽車絕緣電阻要求57說明：1燃料電池系統；2動力電池；3逆變器；4電平

129、臺；5交流電路。（2）充電插座的絕緣電阻要求車輛交流充電插座車輛交流充電插座應有端子將電平臺與電網的接地部分連接。車輛交流充電插座的絕緣電阻，包括充電時傳導連接到電網的電路，當充電接口斷開時應不小于 1M。車輛直流充電插座車輛直流充電插座應有端子將車輛電平臺和外接電源的保護接地相連接。車輛直流充電插座的絕緣電阻，包括充電時傳導連接到車輛直流充電插座的電路，當充電接口斷開時應不小于 100/V。2.1.3.2 絕緣電阻監測要求車輛應有絕緣電阻監測功能，并能通過 GB 18384電動汽車安全要求6.2.3 的絕緣監測功能驗證試驗。在車輛 B 級電壓電路接通且未與外部電源傳導連接時，該裝置能夠持續或

130、者間歇地檢測車輛的絕緣電阻值，當該絕緣電阻值小于制造商規定的閾值時，應通過一個明顯的信號（例如：聲或光信號）裝置提醒駕駛員，并且制造商規定的閾值不應低于GB 18384電動汽車安全要求5.1.4.1 的要求。2.1.3.3 電位均衡要求用于防護與 B 級電壓電路直接接觸的外露可導電部分，例如可導電外殼和遮欄，應傳導連接到電平臺，且滿足以下要求：（1）外露可導電部分與電平臺間的連接阻抗應不大于 0.1；（2）電位均衡通路中，任意兩個可以被人同時觸碰到的外露可導電部分，即距離不大于 2.5m 的兩個可導電部分間電阻應不大于 0.2。若采用焊接的連接方式，則視作滿足上述要求。582.1.3.4 電容

131、耦合要求電容耦合應至少滿足以下要求之一：（1）B 級電壓電路中，任何 B 級電壓帶電部件和電平臺之間的總電容在其最大工作電壓時存儲的能量應不大于 0.2J，0.2J 為對 B 級電壓電路正極側 Y 電容或負極側 Y 電容最大存儲電能的要求；此外，若有 B 級電壓電路相互隔離，則 0.2J 為單獨對各相互隔離的電路的要求；（2）B 級電壓電路至少有兩層絕緣層、遮欄或外殼，或布置在外殼里或遮欄后，且這些外殼或遮攔應能承受不低于 10kPa 的壓強，不發生明顯的塑性變形。2.1.3.5 故障后下電要求出現問題的 B 級電壓電路可用監測電路內的故障或發現事故作為判斷條件，由車輛的控制者選擇采用斷電的方

132、式作為保護措施。車輛在行駛過程中，出現整車斷 B 級高壓電的車輛異常情況時，在車速大于 5km/h 時應保持轉向系統維持助力狀態或至少保持轉向助力狀態 30s。切斷供電的電路應在車輛制造商根據預測的故障和工作狀態所設定的時間內滿足下列條件之一：交流電路電壓應降低到 30Va.c.(rms)，直流電路電壓應降低到 60Vd.c.或以下；電路存儲的總能量小于 0.2J。2.1.3.6 下電后放電要求由于 B 級電壓電路在突然斷電后，存在反向電動勢，因此要求 B 級電壓應有主動放電或被動放電功能，當 B 級電壓系統斷電后，主動放電功能要求在 3s 內或被動放電功能在5min 內，直流母線電壓應降至安

133、全水平（直流電壓 60 V 以下），且在故障(比如絕緣、短路等影響安全的故障)未解除的情況下，車輛應禁止再次上 B 級電壓操作。2.2 防水安全2.2.1 零部件防水要求（1）B 級電壓部件間連接器的防護等級應達到 GB/T 4208 規定的 IP67（充電口和受電裝置除外）；（2）B 級電壓部件上使用的 A 級電壓連接器及由此所組成的系統，防護等級應達到59IP67；（3）B 級電壓部件的防水等級應不低于 IPX7，建議不低于 IPX8，零部件及系統的防護等級按 GB/T 4208 的試驗條件進行，IPX8 浸水時間建議不小于 24 小時。（4）客車在進行涉水試驗后，最低點位于客艙地板以下且

134、距地面 500 mm 以下的 B 級電壓電氣設備和與B級電壓部件相連的連接器和安裝在車頂且無防護裝置的B級電壓電氣設備（受電裝置除外）的防護等級應不低于 IP67。2.2.2 整車涉水要求車輛應在 300mm 水深的水池中，以 510 km/h 的速度行駛 500m，時間 36 min；如果水池長度小于 500 m，應重復試驗使涉水長度累計不小于 500m，包括車輛在水池外的總試驗時間應少于 10 min。試驗完成后 10 min 內，按照 GB 18384 中的絕緣電阻測量方法進行絕緣電阻測試，整車絕緣電阻值應大于 1 M。2.2.3 整車浸水要求安裝在客艙地板以下且距地面 500mm 以下

135、的B 級電壓電氣設備和與 B級電壓部件相連的連接器,需進行浸水試驗。車輛在斷開 A 級和 B 級電壓電路狀態下，在水深 500mm 水池浸泡 24h，試驗完成后 2h 內車輛應不冒煙、不起火、不爆炸。2.3 防火安全2.3.1 火情預警（1）可充電儲能系統應具備火災檢測自動報警功能，（建議考慮起火前的煙霧、溫度、氣體等自動檢測和預警）應在駕駛區給駕駛員提供聲或光報警信號；（2）可充電儲能系統在由于單個電池熱失控引起熱擴散，進而導致乘員艙發生危險之前 5min，應提供一個熱事件報警信號。（3）可充電儲能系統應安裝熔斷器和手動維修開關。2.3.2 防火隔離（1）在可充電儲能系統（或安裝艙體）與客艙

136、之間應使用阻燃隔熱材料隔離，阻燃隔熱材料的燃燒性能應符合 GB 8624 中規定的 A 級要求，并且按 GB/T 10294 進行試驗，60在 300 時導熱系數應小于等于 0.04 W/（mK）。（2）可充電儲能系統與安裝艙體應與乘客艙隔離（引風裝置除外），保證乘客不能觸及到可充電儲能系統。若從客艙引風為可充電儲能系統調節溫度,則引風口應配置煙霧控制裝置，可充電儲能系統發生安全問題時產生的有害氣體應不能從進風口進入客艙。2.3.3 阻燃設計（1）可充電儲能系統內零部件材料阻燃要求除蓄電池單體外，可充電儲能系統內其他非金屬零部件，按照 GB/T 2408 規定的試驗方法進行可充電儲能系統內零部

137、件材料阻燃試驗，應滿足以下阻燃要求：a)滿足以下任一條件的零部件，其材質需滿足水平燃燒 HB 級和垂直燃燒 V-0 級的要求：單個零部件重量50 g；單個可充電儲能系統內相同型號的零件總重量200 g。b)其它非金屬零部件材質需滿足水平燃燒 HB75 級和垂直燃燒 V-2 級的要求。（2）B 級電壓部件阻燃性能要求按照 GB/T 2408 規定的試驗方法進行 B 級電壓部件的阻燃性能試驗，B 級電壓部件所用的絕緣材料阻燃性能應滿足表 2-1 的要求。表 2-1 B 級電壓部件所用絕緣材料阻燃性能要求序號部件總成部件名稱標準要求水平燃燒滿足 GB/T2408-2008 規定的 HB 級垂直燃燒滿

138、足 GB/T2408-2008 規定的 V-0 級1驅動電機系統外殼2線纜表皮3PCB 電路板4絕緣板5絕緣紙-6絕緣薄膜-7電動壓縮機外殼8線纜表皮9電暖風外殼10線纜表皮6111DC/DC 變換器外殼12線纜表皮13PCB 電路板14配電箱外殼15線纜表皮16充電插座外殼17線纜表皮19熱收縮雙壁管所有尺寸規格20波紋管所有尺寸規格注1：“-”該零件不需要滿足此項要求。2.3.4 滅火裝備配置要求M2和 M3類客車客艙內配置的手提式滅火器應滿足下表 2-2 規定的滅火器規格、數量和安裝位置，其中對于專用校車駕駛員附近應配置 1 具不少于 2kg 重的 ABC 干粉滅火劑，且至 少一個照管人

139、員附近，應配置 l 具不少于 2 kg 重的 ABC 干粉滅火器。表 2-2 M2和 M3類客車客艙內手提式滅火器規格、數量和位置車型及車長單層單車體 M2和 M3類客車鉸接客車雙層客車L6m6m8m滅火器規格單具滅火劑量/kg22444單具滅火級別1A、21B1A、21B2A、55B2A、55B2A、55B滅火器數量/具12（B 級客車1）2（B 級客車1）34滅火器位置位于駕駛人座椅附近1具位于駕駛人座椅附近，另 1具靠近中部或后部1具位于駕駛人座椅附近，另 1具靠近中部或后部1具位于駕駛人座椅附近，另外2具分別靠近中部鉸盤處或后部下層：1 具位于駕駛人座椅附近，1 具靠近后部；上層：1

140、具靠近前部，1 具靠近后部車輛上各保護區域配備的超細干粉滅火器應符合下表 2-3 的要求。表 2-3 車輛上各保護位置滅火器裝置的滅火方式和滅火計量序號保護區域滅火方式總滅火劑量1發動機艙全淹沒滅火發動機前置的 M2、M3類客車600發動機中置或后置的 M2、M3類客車及專用校車L6m：8006m8m：15002高電壓設備艙全淹沒滅火3003蓄電池艙全淹沒滅火3004燃油(或燃氣)加熱器艙全淹沒滅火3005電渦流緩速器附件局部應用滅火6002.4 控制安全基于 GB/T 34590-4 相關規定，基于系統功能概念和技術安全要求，進行系統級別的安全要求定義，進行系統架構設計，明確軟硬件接口定義規

141、范，進行系統級別失效分析，為后續硬件和軟件設計提供輸入。2.4.1 硬件設計要求從硬件安全要求定義、硬件設計及實現、硬件失效模式分析、硬件系統測試等四個方面進行硬件設計工作，參考 GB/T 34590-5。2.4.1.1 硬件安全要求所設計硬件產品應符合電氣性能、環境適應性等車輛系統級要求。（1）電氣性能：所設計的硬件產品應符合 QC/T 413 汽車電氣設備基本技術條件所規定的電氣性能要求；應根據 ISO 16750-2 及 GB/T 28046.2 等滿足工作電壓、電源過電壓性能、電源疊加交流電性能、電源電壓跌落性能、電源啟動特性、電源極性反接、拋負載性能、供電電壓緩升和緩降性能、供電電壓

142、瞬時下降性能等要求；（2）環境適應性：應滿足車輛運行環境的需求，針對布置在底盤等濕區位置的產品防護等級不應低于 IP67；應根據 GB/T 28046.3 的要求滿足低溫性能、高溫性能、溫度沖擊性能、溫濕性能、鹽霧性能、防護性能、自由跌落性能等產品性能要求。2.4.1.2 硬件設計及實現需進行硬件架構度量的評估，并將評估結果和優化建議反饋到系統設計、硬件設計、軟件設計環節，以優化產品設計。詳細設計和實現階段，應充分考慮功能冗余及功能要求，優先采用汽車級成熟電路單元，元器件選用汽車級芯片，以滿足性能、功能及成本的要求。632.4.1.3 硬件失效模式分析通過對硬件失效模式分析，識別硬件設計中因潛

143、在風險導致的產品失效，建立 FMEA表，以保證分析的完整性。對于侵害安全的失效模式，應制定相應的安全機制來保證安全性；對于非侵害安全的失效模式，需評估設定安全機制的必要性。2.4.1.4 硬件系統測試為了驗證安全機制的完整性和正確性，硬件系統測試應考慮按以下方法進行，通過測試確保所開發的硬件符合硬件安全要求。（1）功能性測試，即采用黑盒測試技術針對被測硬件的接口規格說明進行測試；（2）非功能性測試，即對硬件的性能或可靠性進行測試。2.4.2 軟件設計要求基于 GB/T 34590-6 相關規定，進行軟件安全要求的定義、軟件架構設計、軟件單元設計及實現、軟件單元測試、軟件集成及測試、軟件安全要求

144、與驗證，并滿足系統設計和軟件安全需求的要求。2.4.2.1 軟件安全要求的定義基于 GB/T 34590-6 相關規定，軟件安全要求來源于技術安全要求和系統設計規范，軟件安全要求的定義考慮硬件的約束及對軟件的影響。軟件安全要求應針對每個基于軟件模塊的功能，這些功能的失效可能導致違背分配到軟件的技術安全要求。軟件安全需求分析階段需滿足完整性、可測試性、可追溯性要求。2.4.2.2 軟件架構設計基于 GB/T 34590-6 相關規定，軟件架構設計描述全部軟件組件及其在層次結構中的交互；靜態方面，如所有軟件組件間的接口和數據路徑；動態方面，如進程順序和時序行為都得到描述。在軟件架構設計應考慮軟件架

145、構設計的可驗證性、可配置軟件的適用性、軟件單元設計及實現的可行性、軟件集成測試中軟件架構的可測性及軟件架構的課維護性。軟件架構設計需遵循高類聚、低耦合的要求具有模塊化、封裝性和簡單性屬性。軟件架構設計中，應使用 FFI(Free From Interface，例如：Time Protection,Memory64Protection,Data protection)來避免軟件要素間的相互干擾。2.4.2.3 軟件單元設計及實現基于 GB/T 34590-6 相關規定，基于軟件架構設計開發軟件單元的詳細設計。軟件單元的詳細設計分別按照建?；蚓幋a指南，以模型或直接以源代碼的形式實現。在進入軟件單元

146、測試前對詳細設計和實現進行靜態驗證。軟件單元的實現包含源代碼的生成和轉換為目標代碼。2.4.2.4 軟件單元測試軟件單元測試目的是要證明軟件單元滿足軟件單元設計規范且不包含非預期的功能。軟件單元測試是根據軟件單元設計規范，建立軟件單元測試流程，并按照該流程執行測試。在單元測試過程中，為了評估測試用例的完整性并證明沒有非預期的功能，應確定軟件單元層面的要求覆蓋度，同時對覆蓋度進行測量，如果認為已實現的結構覆蓋率不充分，應增加額外的測試用例或給出接受的理由。2.4.2.5 軟件集成及測試基于 GB/T 34590-6 相關規定，按照軟件架構設計，對軟件要素之間特有的集成層次和接口進行測試，軟件要素

147、的集成和測試的步驟直接對應著軟件的分層架構。軟件集成應完成各個軟件單元分層集成到軟件組件，直到整個嵌入式軟件被集成，并考慮與軟件集成相關的功能依存關系和軟件集成和軟硬件集成之間的依存關系。在軟件集成測試過程中，為了評估測試用例的完整性并證明沒有非預期的功能，應確定軟件集成層面的要求覆蓋度，同時對覆蓋度進行測量，如果認為已實現的結構覆蓋率不充分，應增加額外的測試用例或給出接受的理由。2.4.2.6 軟件安全要求驗證基于 GB/T 34590-6 相關規定，軟件安全要求驗證的目的是證明嵌入式軟件在目標環境下滿足軟件安全要求。軟件安全要求驗證中的測試環境可為硬件在環，測試臺架，或者整車環境?？煽紤]使

148、用工具(例如：traceability matrix)確保和評估軟件安全要求的覆蓋率，可以復用已有65的測試用例。如果覆蓋率不充分，應增加測試用例或給出可以接受的理由。2.4.3 功能和操作設計2.4.3.1 上下電操作設計整車控制系統應能控制 B 級電壓電路的通斷順序，通電時，應先接通低壓、后接通高壓，斷電時，應先斷開使能信號使高壓部件停止工作，后斷開低壓控制信號切斷高壓。整車上高壓時應檢測制動踏板和檔位信號，斷電時只需斷開電源開關即可。2.4.3.2 檔位操作設計換擋操作應在踩下制動踏板制動有效的情況下換擋有效。2.4.3.3 充電操作設計當充電槍和整車連接時，整車不能發出扭矩驅動車輛行駛

149、。2.4.3.4 轉向操作設計車輛在行駛過程中，出現需要整車主動斷 B 級高壓電的車輛異常情況時，應能通過聲光報警通知駕駛員，且在車速大于 5km/h 時應保持轉向系統維持助力狀態或至少保持轉向助力狀態 30 s 后再斷 B 級電。2.4.3.5 制動優先設計車輛行駛過程中，當制動信號和加速信號同時發生時，車輛應只響應制動信號。2.4.3.6 車輛故障等級顯示及處理機制針對不同故障等級，各主機廠依據自身情況制定不同的故障處理機制，可參考下表：故障級別故障級別三級故障三級故障二級故障二級故障一級故障一級故障說明嚴重故障較嚴重故障警告故障處理機制通知駕駛員盡快切斷驅動力限制扭矩輸出儀表提示針對不同

150、故障等級，各主機廠依據自身情況制定不同的故障顯示機制，可參考下表：故障級別故障級別三級故障三級故障二級故障二級故障一級故障一級故障66說明嚴重故障較嚴重故障警告故障儀表顯示機制聲音警告，儀表顯示整車三級故障聲音警告，儀表顯示整車二級故障儀表顯示整車一級故障2.4.3.7 驅動系統電源接通和斷開程序（1）車輛從驅動系統電源切斷狀態到“可行駛模式”應至少經過兩次有意識的不同動作，且至少有一個動作是踩下制動踏板。（2）從“可行駛模式”到驅動系統電源切斷狀態只需要一個動作。（3）應連續的或間歇地向駕駛員指示，車輛已處于“可行駛模式”。當駕駛員離開車輛時，如果驅動系統仍處于“可行駛模式”，則應通過一個明

151、顯的信號（例如：聲或光信號）裝置提醒駕駛員；（4）車輛停止時，驅動系統自動或手動關閉后，只能通過上述程序重新進入“可行駛模式”。2.4.3.8 反向行駛如果是通過改變電機旋轉方向來實現前進和倒車兩個行駛方向轉換的，應滿足以下兩種要求之一：（a）前進和倒車兩個行駛方向的轉換，應通過駕駛員兩個不同的操作動作來完成；或（b）如果僅通過駕駛員的一個操作動作來完成，應使用一個安全措施使模式轉換只能在車輛靜止或低速時才能完成。車速判斷以車內儀表顯示為準。如果前進和倒車兩個行駛方向的轉換不是通過改變電機的旋轉方向來實現的，則反向行駛要求不適用。2.4.3.9 駐車切斷電源后，車輛應不能產生由自身電驅動系統造

152、成的不期望的行駛。2.4.3.10 車輛與外部傳導連接鎖止當車輛通過充電電纜連接到位置固定的外部電源或負載時，車輛不能通過其自身的驅動系統移動。672.5 碰撞安全2.5.1 側面碰撞防護設計若有可充電儲能系統其最低點距地面不超過 1 米（車輛空載狀態），側面防護結構按照 GB 38032電動客車安全要求附錄 B 進行碰撞試驗，車輛在碰撞試驗后應符合 GB/T31498 中 4.24.4 規定的防觸電保護要求、電解液泄漏要求、REESS 移動要求和 REESS 特殊安全要求等。2.5.2 側翻防護設計若電動客車需進行上部結構強度試驗時，車身防護結構按 GB 17578 進行上部結構強度驗證試驗

153、，應在其可充電儲能系統荷電量（SOC）30%50%且處于上電狀態下進行試驗，試驗后應符合 GB/T 31498 中 4.24.4 規定的防觸電保護要求、電解液泄漏要求、REESS移動要求和 REESS 特殊安全要求等。2.5.3 追尾碰撞防護設計后高壓艙 B 級電壓部件的布置位置和防護結構應考慮被追尾后，符合 GB/T 31498 中4.24.4 規定的防觸電保護要求、電解液泄漏要求、REESS 移動要求和 REESS 特殊安全要求等，同時整車高壓電器件盡可能布置在車輛后部 200mm 以內。2.5.4 底部碰撞防護設計底部碰撞防護設計要考慮兩方面，一是離地間隙，二是防護結構。若動力電池布置在

154、地板下，軸間電池下方主梁（不包含局部加強梁、加強件、千斤頂座等）最小離地距離建議設計為軸距的 4%或 3.3%（對于安裝空氣懸架的車輛），但不得小于 190mm，同時考慮防護結構設計，防護設計應能滿足發生側面碰撞、側翻及追尾碰撞后底部高壓電器也應符合GB/T 31498 中 4.24.4 規定的防觸電保護要求、電解液泄漏要求、REESS 移動要求和 REESS特殊安全要求等。2.6 逃生安全2.6.1 逃生窗的設計（1）應急窗和撤離艙口的面積應大于或等于（4105）mm2，且能內接一個 500mm68700mm（對車長小于或等于 7m 的客車為 450mm700mm）的矩形；如應急窗位于客車后

155、端面，則能內接一個 350mm1550mm、四角曲率半徑小于或等于 250mm 的矩形時也視為滿足要求。（2）應急窗應采用易于迅速從車內、外開啟的裝置；或采用自動破窗裝置；或在車窗玻璃上方中部或右角標記有直徑不小于 50mm 的圓心擊破點標志，并在每個應急窗的鄰近處提供一個應急錘以方便地擊碎車窗玻璃，且應急錘取下時應能通過聲響信號實現報警；客車后圍應急窗的玻璃破碎裝置應位于應急窗的上方或下方的中間位置，或者左右兩側均放置玻璃破碎裝置。（3）設有乘客站立區的客車車身兩側的車窗，若洞口可內接一個面積800mm900mm的矩形時，應設置為推拉式或外推式應急窗；若洞口可內接一個面積500mm700mm

156、 的矩形時，應設置為擊碎玻璃式的應急窗，并在附近配置應急錘或具有自動破窗功能（側窗洞口尺寸在車輛制造完成后從側窗立柱內側測量）。（4）公路客車、旅游客車和未設置乘客站立區的公共汽車，車長大于 9m 時車身左右兩側應至少各配置 2 個外推式應急窗并應在車身左側設置 1 個應急門，車長大于 7m 且小于等于 9m 時車身左右兩側應至少各配置 1 個外推式應急窗；外推式應急窗玻璃的上方中部或右角應標記有擊破點標記，鄰近處應配置應急錘；其他車長大于 9m 的未設置乘客站立區的客車，車身左右兩側至少各有 2 個擊碎玻璃式的應急窗（車身兩側擊碎玻璃式的應急窗總數小于等于 4 個時為所有擊碎玻璃式的應急窗）

157、具有自動破窗功能的，應視為滿足要求。（5）水平鉸接于上端的應急窗，應有一個適當的機構保持其充分開啟。鉸接式應急窗的開啟應保證車內外進出的暢通。（6）客車側窗的下邊緣(推拉窗指金屬下邊框的上邊緣）距其下方腳踏處地板平面（不含任何局部改變，如車輪、傳動裝置或衛生間等引起的局部變形）的高度應小于或等于1200mm，且大于或等 500mm。對于推拉式和外推式側窗，若可開啟部分的下邊緣低于 650mm,應在距地板 650mm700mm 高度處設防護裝置防乘客墜落車外；若該側窗作為應急窗，其防護裝置上方的洞口面積應大于或等于應急窗的最小尺寸；若側窗洞口下邊緣距其下方地板平面大于或等于 650mm，也可不設

158、防護裝置。（7）對駕駛員不能在座位上清楚看見的鉸接式應急窗，應安裝聲響報警裝置，該警示裝置應由窗鎖或把手(并非窗子本身）的運動來啟動，當應急窗未完全關閉時提醒駕駛69員。2.6.2 逃生門的設計（1）應急門的凈高應大于等于 1250mm，凈寬應大于等于 550mm；但車長小于等于 7m的客車，應急門的凈高應大于等于 1100mm，若自門洞最低處向上 400mm 以內有輪罩凸出，則在輪罩凸出處應急門凈寬可減至 300mm。（2）車輛側面的鉸接式應急門鉸鏈應位于前端，向外開啟角度應大于等于 100，并能在此角度下保持開啟。如在應急門打開時能提供大于等于 550mm 的自由通道，則開度大于等于 10

159、0的要求可不滿足。（3）通向應急門的引道寬度應大于等于 300mm，不足 300mm 時允許采用迅速翻轉座椅的方法加寬引道。專用校車沿引道側面設有折疊座椅時，在折疊座椅打開的情況下（對在不使用時能自動折疊的座椅，在座椅處于折疊位置時），引道寬度仍應大于等于 300mm。（4）應急門應有鎖止機構且鎖止可靠。應急門關閉時應能鎖止，且在車輛正常行駛情況下不會因車輛振動、顛簸、沖撞而自行開啟。（5）當客車停止時，應急門不用工具應能從車內外方便打開，即使從車外將門鎖住，也應能用正常的開啟裝置從車內打開。車外應急門開啟裝置應由易于被移開或打破的裝置來保護?？蛙嚥粦惭b有其他固定、鎖止應急門的裝置。（6）客

160、車(包括雙層客車的下層)應急門的車外開啟裝置應距地面 1000mm-1800mm，且距該門小于或等于 500mm；I 級、II 級和 III 級客車應急門的車內開啟裝置應距其下方地板(或踏步)的上表面 1000mm-1500mm，且距該門小于或等于 500mm。本規定不適用于位于駕駛區內的操縱件。（7）所有應急門都應提供聲響裝置，在應急門未完全關閉時提醒駕駛員。該提醒裝置應由門的鎖止裝置（例如，門閂或把手）的運動，而不是門本身的運動來啟動。2.6.3 出口數量要求（1）每輛客車至少應有兩個車門：兩個乘客門；或一個乘客門和一個應急門或一個乘客門和一個駕駛員門。乘客門的最少數量見表 2-4表 2-

161、4乘客門的最少數量車輛類型A 級I 級B 級 II 級和 III 級70車長 L/ML 99L13.7L13.7L 9L9乘客門的最少數量12312如其車身兩側所有的應急窗均為外推式應急窗，也可只設一個乘客門（2）客車每個分隔倉的出口最少數量要滿足下表 2-5 的要求。表 2-5 出口的最少數量乘客及車組人員數量/個出口的最少數量/個182916317305314574660861759769010911101111113012130132.6.4 逃生時間要求（1）操作乘客門應急控制器 8s 內應使乘客門自動打開或用手輕易打開到相應的乘客門引道量規能通過的寬度。（2）動力電池單體發生熱失控后

162、，動力電池系統在 5min 內不能發生起火或爆炸現象，以便為乘員預留安全逃生時間。2.7 EMC 安全2.7.1 整車車外輻射騷擾及抗擾度要求整車車外輻射騷擾應滿足 GB 34660、GB/T 18387 相關要求，以保護車輛外部的電氣71與電子系統正常工作；整車耐受外部的電磁輻射干擾應滿足 GB 34660 相關要求，以保障車輛安全、動力系統等方面正常工作。2.7.2 電氣/電子部件輻射騷擾及抗擾度要求電氣/電子部件輻射騷擾及抗擾度應滿足表 2-6 要求：表 2-6測試項目測試項目標準要求標準要求發射輻射發射GB/T 18655傳導發射GB/T 18655瞬態傳導發射GB/T 21437.2

163、抗擾度輻射抗擾度GB/T 33014.1大電流注入GB/T 33014.4瞬態傳導抗擾度(電源線)GB/T 21437.2瞬態傳導抗擾度(信號線)GB/T 21437.3靜電放電GB/T 199512.7.3 整車充電過程中沿電源線騷擾和抗擾度要求車輛處于電源線傳導充電工況模式，沿電源線騷擾和抗擾度建議參照 ECE R10.5 試驗驗證，滿足相關要求。2.7.4 人體暴露于車輛電磁環境安全要求人體所處車輛環境的低頻磁場發射應滿足 GB/T 37130 中的相關要求。2.7.5 高低壓線束設計布置要求（1）弱信號線盡量減少與大功率感性負載的電源線、地線并行布線，如不能避免需要增強弱信號用電器的抗

164、干擾能力；（2）減少電源線、搭鐵線的繞線，所有的電器件都就近取電、就近搭鐵；（3）高壓線與低壓線應并列布置或分層布置，盡量距離 200mm 以上，必須靠近時應盡可能垂直交叉布置，且盡量不形成大的環路，尤其是電機三相線與電機旋變線不能形成72環路；（4）高壓屏蔽線纜與連接器屏蔽層 360環形壓接，通過連接器屏蔽層、總成金屬外殼可靠接地，且雙端接地。2.8 存儲、運輸安全2.8.1 存儲安全2.8.1.1 場地要求（1）存放場地應為專用停車場，通風、排水良好，極端情況下積水深度不能超過300mm；（2）存放場地位置應遠離加油站、加氣站、熱源、潮濕、可燃設施/可燃物質堆放區域、有腐蝕性氣體以及灰塵較

165、大的地方，同時還應避免其他車輛或移動的物體對車輛造成撞擊或擠壓，為防止意外事件的二次影響，還應遠離居民區或人群聚集區；（3）存放區域周圍 10 米內嚴禁進行金屬切削、焊接或打磨工作；（4）專用停車場應有視頻監控裝置及人員定期巡視機制，周期不得低于 3 次/天，巡視要有記錄存檔（存檔周期一個月）。2.8.1.2 存放要求（1）車輛存放時，建議兩車之間的間距不小于 2m（車輛四周均需滿足）；（2）車輛長期儲存（超過 3 個月）時：環境溫度在-30 50 以內，SOC（荷電狀態）40%70%儲存，儲存環境濕度5%95%；超過 6 個月需要將電池充滿電后再放電至 40%70%并重新計算存儲周期。否則可

166、能會引起動力電池過度放電，降低電池性能；使用壓縮空氣清除所有維修艙內的灰塵與雜物；將清潔完畢的車輛移至車庫或停車場后，拉起駐車制動手柄，將檔位退到 N 檔，將鑰匙打到 OFF，斷開電源總開關；關閉車輛所有車窗玻璃，關閉車輛所有維修艙門并用機械鑰匙鎖緊。艙門應該保持關閉狀態鎖止，不能隨意開啟；關閉所有乘客門，斷開電源總開關，妥善保管智能鑰匙；應由具有專項培訓合格記錄的人員對整車及關鍵零部件和車載儲能裝置、系統73等，進行定期檢查、維護，檢查結果應有詳細的記錄存檔。（3）在環境溫度為 0以下時，短期停放（一周內）車輛 SOC 需保證在 70%80%；（4）對于存儲 3 個月以上車輛，重新投入運營前

167、，還應進行如下保養項目：打開各電池艙，觀察電池包與底盤車架固定是否牢靠。此過程同步觀察高低壓線束及連接器緊固情況，確認是否有松動及損壞；觀察電池包情況，確認是否有變形、外蓋損壞、異味、鼓脹。觀察電池包固定點漆標是否錯位，并用力矩扳手重新緊固力矩以確認力矩是否衰減并重新緊固電池包。2.8.1.3 滅火設施配置要求停車場停放時，車輛 5 m 內兩邊各擺放一個 CO2滅火器或干粉滅火器，滅火器擺放位置便于取用；停車場需要配備足夠的消防用水，電池起火的情況下，相關人員要與事故車輛保持至少十米距離，采用消防栓水帶射水滅火，同時持續給電池系統降溫。2.8.2 運輸安全2.8.2.1 拖運要求采用非行駛方式

168、運輸時，應使用專用工具或升降臺裝運，防止車身和零部件變形損壞；裝運時，客車之間應保留足夠的間隔，用楔形塊塞好車輪，并用繩索將客車拉牢，防止車輛滑移；裝運后，應實施駐車制動，關窗鎖門，按需加以覆蓋，建議 SOC 在 40%-70%之間。緊急情況必須拖拽行駛的：車速不允許超過 5km/h，若拖拽行駛距離大于 5km，建議將驅動三相線拆除并進行絕緣處理后再進行拖拽轉運，以免拖拽過程中產生制動能量回饋損害整車電控部件。運輸車輛，應盡可能遠離火源、熱源、高壓線、易燃、易爆等危險物品，并設置高壓警示標志。2.8.2.2 自運要求采用自行行駛時，應遵守說明書中新車行駛的各項規定。（1）評估當前電量是否滿足目

169、的地里程要求，避免電量不足導致車輛拋錨；（2）車輛自運前必須做一個安全檢查；（3）車輛內滅火器配備必須齊全；74（4）車輛必須空載；（5）禁止急加速急制動。2.8.2.3 事故后救援運輸發生事故后，在不能將事故車輛裝運時，需要考慮事故車輛拖車的方便性，按照車輛使用說明書約定的拖車方式進行拖車，避免拖車過程中電機出現高溫或反電動勢過高，引發安全事故。2.9 安全檢查2.9.1 日常檢查每日由駕駛員在出車前、行車中、收車后執行。新能源系統的日常檢查項目如下：表 2-7新能源系統的日常檢查項目序序號號維護項目維護項目作業內容作業內容技術要求技術要求1清潔清潔新能源各部件清潔高壓發電機、驅動電機、電動

170、轉向油泵、電動空壓機、高壓控制柜等2檢查檢查新能源高壓艙1）艙門鎖止有效，艙內無灰塵、不漏水2）高壓線端子不露銅、不松脫、不磨蹭3）動力電池箱及各接線頭固定可靠4）高壓艙換氣風扇工作正常，艙內溫度顯示正常檢查電機水冷系統1）檢查水箱水位，不足時添加2）檢查管路無彎曲、折疊、漏水現象動力電池1)箱體固定可靠，箱體表面無明顯灰塵、銹蝕、變形2)電池艙內干燥、清潔3)各箱體高低壓線連接正常，固定可靠，無松動現象檢查驅動電機、高壓發電機、電動轉向油泵、電動空壓機1）電機固定牢固2）電機無異響、無故障3）檢查電動轉向油泵、電動空壓機無漏油、漏氣等現象檢查儀表、檔位操顯示正常、無故障75序序號號維護項目維

171、護項目作業內容作業內容技術要求技術要求縱面板2.9.2 例行檢查依據使用說明書對車輛進行例行檢查，新能源系統檢查作業項目如下：表 2-8新能源系統檢查作業項目序序號號檢查檢查項目項目作業內容作業內容作業作業要求要求1電動轉向油泵（1）檢視、清潔（2）檢查高壓、低壓插接口（3）轉向電機接地檢測（1）除塵，保持干燥、干凈，轉向油泵殼體、接頭無滲漏（2）高壓、低壓插接口插接牢固、無端子松動（3）接地線牢固、不松動，轉向電機與車體之間的接地電阻應小于 0.1。2高壓控制盒檢視、緊固控制盒箱體（1）控制盒固定牢固、不松動（2）除塵，保持干燥、干凈（3）維修開關可正常斷開、熔斷器無高溫變色，斷路器工作正常

172、3驅動電機控制器、高壓發電機控制器（1）檢查接線情況（2）檢視、清潔（3）電機控制器殼體接地檢測（4）檢查低壓插接口（5）電機冷卻水管（1）接線牢固、不松動（2）除塵，保持干燥、干凈，冷卻水管無老化、變形、滲漏（3）電機控制器殼體與車體之間的電阻，應小于 0.1（4）低壓插接口插接牢固、無端子松動（5）水管及接頭可靠、無破損4DC/DC、DC/AC、多合一控制器（1）視檢各接線樁（2）檢視、清潔（1）固定可靠，表面干燥、干凈（2）各接線樁頭不松動、不允許裸5動力電池組（1）檢查電池箱（2）視檢固定及各接線樁（1）檢驗動力電池組電芯電壓、溫度、壓差、絕緣阻值等是否正常76序序號號檢查檢查項目項目

173、作業內容作業內容作業作業要求要求（3）電池電壓及溫度（4）絕緣檢測（5）檢查單體電池壓差（2）各接線樁頭不允許裸露，（3）檢測單體電池電壓壓差不超標，溫度不超過說明書要求。（4）電池總正、負極對地絕緣電阻應大于標準值（5）單體電池電壓壓差不超標6驅動電機高壓發電機（1）檢查 U、V、W 端子接線、與屏蔽層接地情況（2）檢視電機輸入線及接線盒（3）檢查清潔驅動電機表面灰塵情況（4）檢查低壓插接口（5）檢查電機工作（1）U、V、W 端子接線牢固、無松動；檢查電機外殼接地電阻小于 0.1（2）輸入電線的絕緣層無破損，接線盒完好（3）驅動電機表面去塵，保持干燥、干凈，散熱筋的溝槽內無異物，冷卻水管無老

174、化、變形、滲漏（4）低壓插接口無破損，旋變線接線、高溫傳感器線固定可靠，有效（5）試車，電機工作時無異響7電動空壓機總成（1）檢視空壓機電源線和搭鐵線（2）檢查空壓機油位（3）檢查、清潔空壓機空氣濾清器電機絕緣檢測（1）空壓機總成電源線、搭鐵線牢固，無松動（2）油位正常（3）清潔空壓機空氣濾芯（4）電機三相線對地絕緣電阻應大于 2M8電動空調（1）檢查空調機組（2）空調絕緣檢測（1）空調各部件表面清潔，不漏水，固定可靠，高低壓接線不松動，不磨蹭（2）空調壓縮機、變頻器高壓線與地之間絕緣電阻高于 2M9電機水冷系統（1）管路（2）水泵（3）冷卻水箱（1）管路無老化、變形、滲漏（2）水泵工作正常（

175、3）水箱表面清潔、無損傷、無滲漏，風扇工作正常10充電接口檢查、清潔（1）充電接口固定可靠，無破損，燒焦等再現象（2）插座內部干燥、清潔77序序號號檢查檢查項目項目作業內容作業內容作業作業要求要求11絕緣檢查（1）高壓控制柜（2）驅動電機、高壓發電機、助力泵高壓輸入線（1）高壓控制柜高壓線與地之間電阻高于 2M（2）如遇下雨季節，還需單獨對驅動電機、高壓發電機、助力泵電機進行絕緣檢查2.9.3 年檢機制建立參照傳統車輛、部件的年檢方案，制定新能源部件的年檢要求，降低新能源部件故障，減少新能源車安全風險。建議補充年檢項目建議補充年檢項目動力電池系統高壓部件安全標示電機控制器整車絕緣充電插座電動空

176、壓機滅火系統有效期驅動電機超級電容低壓/高壓電氣控制系統2.9.4 例行保養規范為確保駕駛員有效完成規范例保，按照本車發車時間，提前 20 分鐘到崗，冬季提前30 分鐘到崗，對車輛的安全性能進行檢查。車輛例保是指駕駛員在出場前、行車中、間隔停駛定期維護、進場后以及負責執行的檢查、檢視、巡查、清潔、報修等例行保養作業。1、出場前例保：通過車前部位、車輛左側、車輛后部、發動機艙、車輛右側、車廂內部、駕駛室及車輛上電后，檢查整車燈光和電子路牌設施，檢查中發現不影響正常營運的故障，應通過司售通預約修理，如存在無法營運的應及時進車間修復后再營運，確認整車無故障。2、行駛中：檢查油門制動效能是否正常，方向

177、盤是否有搖頭和擺頭現象，注意氣壓警報器及各種儀表顯示工作是否正常，各部件是否有無碰擦、異響、異味，等現象。注意，凡發現有故障的應及時預約報修，未修復的一律不準出場。3、間隔停駛中：車輛到終點站，拉好駐車制動、檔位置于空檔、并做好“一程一檢一簽”檢查車廂內是否乘客有遺留物品、如有應及時上交調度室，前門下車繞車身一圈，聞78一聞聽一聽看一看有異味和車身破損現象，輪胎螺絲是否缺失松動、氣壓是否缺氣、如有應及時上報和保修。4、定期維護：空調、空調濾網、噴淋滅火裝置、雨刮器等設施，應定期維護保養。5、進場后：車輛到終點站，拉好駐車制動、檔位置于空檔、檢查儀表顯示內容正常無故障碼，兩個制動氣壓表指示值應達

178、到 6.5Bar 以上，無漏氣現象。做好“一程一檢一簽”檢查車廂內外安防服務設施是否完好，是否乘客有遺留物品，檢查天窗、車廂門窗玻璃、扶手桿是否完好。關閉鑰匙、關閉翹板總電源，關閉機械式總電源、關閉車門，確認整車無故障后，執行司售通進場例保和一程一檢簽注。793.電池單體和模組電池單體和模組3.1 電池單體安全要求3.1.1 電池單體制造環境要求鋰離子電池單體生產過程溫度、濕度環境條件必須確定并得到保證。對于超出溫度、濕度極限值的情況，應當制定適當的應對方案。鋰離子電池對水分非常敏感，電極車間相對濕度應控制在 20%以下，裝配車間注液工序應控制在 1%以下。生產過程粉塵度必須控制。需要防止外來

179、的顆粒物滲透到任何生產區域。生產系統需要防止金屬磨損，如果不能防止金屬磨損，應采取適當措施保證這些磨損產生的顆粒不進入生產過程。應對檢測到的粒子進行常規分析，以確定粒子的數量、大小和組成，特別是在導電性(如金屬粒子)方面。顆粒數量、大小、成分超出規格要求應立即采取糾正措施，粉塵度應控制在 10 萬級以下，部分關鍵工序應在 1 萬級以下。3.1.2 電池單體設計3.1.2.1 電池單體分類目前用于動力的鋰離子電池根據外型分為圓型電池、方型電池和軟包電池。根據電池單體使用的正極活性物質不同，分為磷酸鐵鋰電池、錳酸鋰電池、鈷酸鋰電池、三元電池、鈉離子電池等。3.1.2.2 電池單體容量動力電池單體容

180、量決定了后期電池模組和系統的組合方式和電池模組的熱管理設計。較小容量電池單體有利于熱的擴散，對整體電池系統熱管理設計有益。較大容量電池單體有利于組合系統設計和制造過程簡單化、成組率的提高和比能量的提升。不斷提升電池單體的比能量是長期、系統的工作，建議要在確保安全性、可靠性和關鍵電性能指標的前提下，提升電池單體的比能量。803.1.2.3 電池單體關鍵原材料3.1.2.3.1 正極材料目前商品化的正極材料有鈷酸鋰、錳酸鋰、三元材料（NCM 和 NCA）和磷酸鐵鋰。正極材料種類對電池的安全影響至關重要，一般采用差熱分析方法比較正極材料的熱穩定性。為進一步改善正極本體熱穩定性和正極材料電解液界面穩定

181、性，通常采用摻雜和包覆工藝，顯著提升電池單體的安全性和循環性能。正極材料水分含量、粒度分布、顆粒形貌、結晶形狀、金屬雜質和磁性物質(Fe-Ni-Zn-Cr)含量直接影響電池單體的安全特性，在整個原材料評價、供應商審核、生產現場應制定并優化控制標準。材料中的磁性物質含量控制在 50ppb 以下。商用車推薦使用安全性高的磷酸鐵鋰和錳酸鋰正極材料體系，乘用車考慮安全性和性能的平衡，推薦使用磷酸鐵鋰、錳酸鋰和三元材料正極材料體系。3.1.2.3.2 負極材料目前商業化鋰離子電池負極材料主要是人造石墨、天然石墨、鈦酸鋰負極和硅碳復合石墨材料。為改善負極材料電解液界面穩定性，應對材料表面做包覆處理，減少副

182、反應，提升電池單體循環性能和安全性能。負極材料的反應活性隨著比表面積的增加呈指數增加。比表面積過大，在電池發生內部短路或局部過熱時，負極與電解液的副反應增加，產熱量大，更容易引發電池熱失控。負極材料的比表面積應該控制在合適的范圍內。負極材料伴隨著鋰離子的脫出嵌入會有明顯的體積變化，體積變化過大會引起極片變形和極組內部壓力增大，進而引發極片不平整部位的內短路。因此負極材料的選擇要考慮膨脹率對安全的影響，根據電池單體不同結構設計對材料膨脹率提出上限要求。負極材料雜質含量、比表面、粒度分布、顆粒形貌等直接影響電池單體的安全特性，在整個原材料評價、供應商審核、生產現場應制定并優化控制標準。3.1.2.

183、3.3 隔膜隔膜的作用是將正負極物理上隔離，阻止電池單體正負極短路，同時提供離子轉移通道。隔膜材料要具有足夠的化學、電化學、熱特性和一定的機械穩定性。隔膜在長度和寬度上的尺寸可能由于溫度、自身老化等原因而收縮變化，在正常工況環境條件下，都需要保證隔膜對正極和負極的完全覆蓋。81對于聚烯烴類隔膜，要有較好的熱穩定性、自動關斷保護性能和力學穩定性；具有高絕緣性，至少耐受 250V 的高壓絕緣測試；管控熱收縮率，防止電池單體受熱后出現大面積內短路引發熱失控。穿刺強度對電池的安全性有較大影響，要優先選用穿刺強度高的隔膜。隔膜厚度和電池單體安全性強相關，動力電池隔膜厚度的選擇建議充分考慮由于降低隔膜厚度

184、帶來的安全風險。涂覆隔膜具有優良的熱穩定性和抗氧化能力，對單體電池安全有益。3.1.2.3.4 電解液電解液由電解質和溶劑兩部分組成，主要是起到在正負極間傳輸鋰離子的作用。電解液應在正負極表面形成穩定界面，具有較寬電化學工作窗口、強的抗氧化還原能力。電解液要有良好的極片浸潤特性，使得電極反應均勻、快速，防止局部電解液干涸，形成死區析鋰。理想的電解液添加劑可以有效改善電池單體的電性能和安全性能。針對負極的電解液添加劑可以在負極表面形成穩定的 SEI 膜，提升電池單體循環性能和安全特性。針對正極的電解液添加劑可以防止電液氧化、正極材料溶出，提高電池單體循環性能和安全性能。正極過充添加劑可以在過充高

185、電位濫用條件下，能夠產生足夠氣體觸發安全保護裝置，終止電池單體充電，起到安全保護的功能。電解液組分應具有良好的穩定性，保證使用過程不分解不變色，并做嚴格管理，電解液水分含量應小于 20ppm，HF 含量應小于 50ppm。采用六氟磷酸鋰為電解質，碳酸酯為溶劑的鋰離子電解液在電池安全中有助燃作用，開發熱穩定性高新型鋰鹽、阻燃溶劑、固態電解質，可以大幅度提高電池單體安全特性。3.1.2.3.5 殼蓋設計電池殼蓋需要一定的強度和良好的密封性。圓型電池和方型電池一般使用鍍鎳鋼和鋁材，可考慮設置有效的安全保護裝置，具備如斷電、熔斷、泄壓等功能。熔斷電流、觸發壓力等參數要經過嚴格的實驗設計和優化驗證，既要

186、保障電池在濫用條件下及時開啟又要保證振動沖擊條件下的可靠性和安全性。由于密封圈具有在較高熱變形較大和遇高溫熔化的特性，以及電解液的強腐蝕性，為了在電池單體全生命周期內保證密封的可靠性，需要考慮密封圈的耐高溫、耐電解液腐蝕、耐老化。軟包電池使用鋁塑多層膜做包裝材料，通過熱封的方式形成電池單體的殼體，在電池單體全生命周期內保證密封性的同時，電池單體內部壓力增大時可從封裝處泄壓。鋁塑多82層膜材質、厚度、封裝條件對電池單體密封性和安全性影響較大。3.1.2.3.6 箔材鋰離子電池一般負極使用銅箔、正極使用鋁箔，起到正負極集流的作用。箔材要求高延展率、高強度，保證全生命周期電池的安全性。箔材表面的金屬

187、粉塵、油含量、達因值等關鍵指標要有效控制。對銅鋁箔的表面處理可以有效改善活性物質層和箔材結合力，減少工藝過程中電極物質脫落問題和循環過程中電極剝離問題。3.1.2.4 電極設計N/P 比是指單位面積負電極容量和正電極容量之比。在考慮涂覆量、材料克容量和極組結構等因素的公差條件下，在電池全生命周期內最小 N/P 比不低于 1.0（鈦酸鋰電池除外）。電極的配方要經過實驗優化，要保證粘合劑充足，防止電極活性物質脫落。鋰離子電池電極具有三維多孔結構，要有良好的電子導電性和離子導電性。電極涂覆量、厚度、孔隙率要經過理論模擬和實驗優化，保證在極限使用條件下負極不會有金屬鋰的析出。電極縱向毛刺超出電極表面的

188、部分不應大于隔膜總厚度的一半。3.1.2.5 極組設計極組中負極的設計長度應能保證極組完全覆蓋正極。在長度和寬度方向要保證隔膜對負極、負極對正極的覆蓋。應做正負極電極之間短路分析，對短路薄弱區域進行絕緣保護。極耳材質、長度、寬度和厚度設計具備與電池應用條件相匹配的電流承載能力，要保證焊接部位穩定可靠。極耳外露極組長度和極耳彎折點設計要保證不與電池殼發生短路。極耳應有保護膠帶進行有效保護。極耳切斷毛刺要嚴格管控。極組中所有保護膠帶應不溶于電解液，具有一定熱穩定性、機械強度和粘結力。極組的外型尺寸應設計與殼蓋空間匹配，要對各個方向尺寸開展公差分析。極組外有保護膠帶或保護套，防止裝配時極組損傷。3.

189、1.2.6 散熱設計電池單體在大倍率充放電時，電池內部會產生大量的熱，溫度升高，易引起安全問題。電池單體結構設計要模擬分析電池內部發熱量分布、熱擴散路徑和傳遞速度，驗證優化散83熱設計。3.1.3 電池單體制造3.1.3.1 電極制造3.1.3.1.1 電極制造要求電池單體電極制造包括制漿、涂覆、碾壓、剪切四個部分，整個電極制造部分實施正負電極車間嚴格隔離策略，防止正負極粉塵交叉污染。3.1.3.1.2 制漿制漿是將活性物質、導電劑、粘接劑等按照一定比例均勻的分散在溶劑中，形成穩定漿料的過程。原材料要檢驗合格并且可追溯。制漿過程中要確保各物料比例、分散參數等符合規范，應采用適當的測量方法對漿料

190、的分散效果和一致性進行檢驗。識別線體上與材料和漿料接觸易產生金屬異物的部位，并進行管理，避免異常磨損導致的金屬異物引入。采取除磁措施，并對磁性異物制定標準，進行管控。制漿全過程密閉管理，防止材料泄漏或異物引入。制漿過程的過濾裝置規格和更換頻次被定義，并對漿料顆粒度進行有效的監控管理。3.1.3.1.3 涂覆涂覆工序是將制備好的漿料均勻的涂覆到基體箔的表面，然后通過烘烤讓漿料中的溶劑完全蒸發的過程。涂覆設備應能夠實時連續監控面密度，超過工藝范圍應能夠報警并在后面的工序處理。極片的尺寸應能夠實時監控，超過工藝范圍能夠報警并在后面的工序處理。漿料在涂覆前需要經過過濾和除磁處理。涂敷過程中的極片外觀、

191、粘接力、溶劑殘留量需要監控。進入烘箱內部的風應有除塵、除濕控制措施。使用含有有機溶劑的漿料涂敷時，涂布機的烘道需要配備 NMP 濃度自動監控裝置，自動監測并具備報警、超限停機功能，建議控制 NMP 蒸氣濃度不大于爆炸下限的 50%。如果是采用電加熱方式，設備直接接觸 NMP 蒸氣的電熱部分需要使用防爆電器，設置阻止異物點燃設施，停機排風的延時功能。3.1.3.1.4 碾壓碾壓的作用是使涂敷后極片致密，提高電極的電子導電性。碾壓過程應對碾壓壓力，84速度和收放卷張力等工藝參數進行監控。對電極的延展和孔形態有監控措施?？衫梅墙佑|式在線測厚裝置監控極片碾壓過程工程能力。碾壓機應具備毛刷、磁棒等清潔

192、裝置，定期對碾壓輥磨損及有效寬度進行檢查，以保證碾壓質量。3.1.3.1.5 電極成形剪切電極成型是將碾壓完成后的大卷極片按照一定的寬度分切成多個小條，極片寬度應符合設計要求。極片邊緣毛刺做到持續檢測。剪切切刀應按照規定頻次進行修磨和維護。在剪切過程中應采取適當的防護措施，防止粉塵在極片表面上沉積。剪切機應具備毛刷和磁棒等清潔裝置，及極片外觀缺陷和分切寬度等監測裝置，并有措施保證有缺陷的極片在后續過程中避免使用。激光切電極成型是采用激光切和剪切工藝，在集流體上加工出所需形狀，加工成型的電極寬度、極耳尺寸等應符合設計要求。嚴格控制激光切毛刺，激光切邊緣熔珠不超出極片厚度。設備激光切機構、剪切機關

193、鍵備件規格和更換維保頻次需要被定義，并進行有效的壽命監控管理。激光切電極所產生的飛濺粉塵和線體上與極片接觸產生粉塵都應得到有效收集處理，避免異物引入極片。設備除塵機構需要被設計，點檢、清潔、更換頻次需要被定義，并進行有效的監控管理和定期進行異物分析，確保除塵機構作用的有效性。激光切后極片的尺寸應能夠連續監控，超過工藝范圍能夠報警并進行不良品標識，在后工序處理。3.1.3.2 極組制成極片的轉移和運輸要使用專用密閉運輸設施，對極片卷實施有效防護和隔離，防止極片發生交叉污染，異物污染，碰撞等損害。卷繞機除塵功能應具備有效的防交叉污染能力，正負極以及隔膜間應有防塵。隔膜需安裝去除靜電裝置。具備安裝有

194、毛刷和吸塵裝置，可以有效收集掉粉和落粒。超聲焊接位置有吸塵措施，防止焊接振落的金屬粉末、粉塵等落入極組。保持掛料軸、過輪、卷針、切刀、傳感器清潔無異物，防止污染以損傷極片和隔膜表面。所有設備零件嚴禁使用銅、鋅材料。極片切斷處毛刺和極耳切斷處的毛刺要有控制要求，切刀要進行有效的管理。極耳和焊接位置絕緣膠帶要有效覆蓋。卷繞過程中張力要根據隔膜特性合理設置，避免張力過大導致隔膜斷裂或者隔膜孔變85形。隔膜收尾長度要有效控制，隔膜切斷處不應有裂口，抽絲現象。極組燙孔時不應損傷極組，控制燙孔溫度不會造成隔膜燙傷以及收縮。極組采用自動方式下料，避免人手觸碰，要防止極組機械夾爪夾傷、損傷極組。極組100%經

195、過絕緣電阻檢測。3.1.3.3 裝配極組熱壓整形應控制壓力、溫度和時間，不能發生過壓。極組外型尺寸和負極包裹正極情況要 100%檢查。極組與電池殼有墊片、包膜等措施進行絕緣隔離，極組上端通過絕緣部件與電池殼絕緣隔離。極組入殼時避免極組挫傷。焊接過程應防止焊渣飛濺，設置保護罩，防止異物掉入電池中；焊接時的壓力、溫度區域、熔深等要有效管理。方型和圓型電池極耳彎折的形狀要進行優化，彎折處極耳不能向極組內部折疊，且彎折后極耳不能接觸電池殼壁，不能損傷極組。電池周邊焊接保證過程穩定。圓型電池殼滾槽形變后，避免鍍層整片掉落，安裝有效除塵和除金屬屑的裝置?？刂茲L槽部位壁厚殘留量，無殼體破裂。裝配后電池必須對

196、正負極對齊度 100%X-Ray 檢查，經過 100%絕緣耐壓檢測。軟包電池封裝參數（壓力、溫度、封裝厚度、有效封裝寬度）要經過優化，過程進行有效管理，經過 100%絕緣耐壓檢測。3.1.3.4 注液注液工序是將電解液均勻注入電池內部。注液前確認電液水分含量、HF 含量以及色度合格，極組中的正負極片水分控制在規格要求內。注液后靜置溫度和時間要經過優化和控制，避免出現預充電時電解液浸潤不充分的情況。要有稱重系統 100%檢測注液量。注液后的電池必須及時進行封口。對注液后電池進行小電流預充電處理，減少化成早期的氣體產生，同時對極組和殼蓋進行電化學防護。預充電倍率、充電電壓和溫度等工藝條件需要優化和

197、管理。3.1.3.5 化成和老化化成設備需按設備維護要求進行定期校驗，保證電壓及電流控制精度，避免電池過充、86過放、容量檢測錯誤以及過程外部短路。選擇合適的充放電流程，防止因流程錯誤導致的過充過放、析鋰、厚度過高等問題。電池單體建議經過老化工序后出廠。選擇合適的老化工藝，防止因老化時間過短導致自放電篩選不完全。自放電的篩選標準要進行有效驗證。老化后的電池單體 100%測量電壓、內阻、厚度，數據要求全追溯。電池存放和轉運過程，應有措施防止電池外短、跌落和擠壓等損傷。3.1.4 電池單體安全評價3.1.4.1 電池單體熱失控熱失控是指電池單體內部發生放熱連鎖反應引起溫度急劇變化，從而可能導致電池

198、過熱、起火、爆炸等。目前分析引發電池熱失控的原因主要有電池受到機械濫用、熱輻射，電池內部短路，惡劣環境濫用等。熱失控可以通過實驗手段模擬評價；評價方法包括通過加熱、針刺等方式激發電池內短路，引發電池熱失控。當電壓下降至初始電壓的 25%，溫升速率 dT/dt1/s，持續 3s 以上時；或溫度達到電池廠商規定的最高工作溫度，溫升速率 dT/dt1/s，持續 3s 以上時，可以認為電池發生了熱失控。熱失控發生起火爆炸時，電池單體上的安全保護裝置應啟動。泄壓和噴火的方向應進行設計，噴瀉出來的物質量應控制，噴出的氣體溫度、體積、成分要研究分析，防止次生短路災害的發生。3.1.4.2 電池單體安全要求電

199、池單體應該滿足電、機、熱的安全測試評價。要按照對應標準規定的測試方法 GB38031 進行鋰離子動力電池單體安全評價。3.1.5 單體電池使用安全鋰離子電池具有最佳的使用溫度范圍，超過使用范圍易發生安全問題，較高溫度下使用，副反應加劇，易引發熱失控安全問題，低溫充電負極易發生析鋰問題。超過 45和 0以下應控制充放電策略，如降低倍率，保證電池在安全窗口內工作?？刂瞥潆姺绞?，充電方式一般包括充電溫度、充電倍率和充電電壓。不同體系和設計的單體電池充電方式不同。87針對某一單體電池產品，電池單體制造商應該提供溫度-倍率-充電電壓關系圖，根據電池單體規格書設計系統充電策略。鋰離子電池在高溫下長期存儲，

200、性能衰減嚴重，應避免。長期存放的電池，再次使用不建議直接采用快速充電的方式。鋰離子電池充電速度和使用壽命強相關，對于不具備快充特性的動力電池組，在條件允許的情況下，減少快充的使用，盡可能選擇小倍率充電。3.2 電池模組安全要求3.2.1 電池模組環境要求電池模組生產車間環境溫度、濕度和粉塵級別應有規范要求，并實時監控。模組匯流排焊接工序粉塵級別應控制在 30 萬級以下。制造過程中應防止由于設備或工藝原因引入金屬顆粒異物。3.2.2 電池模組設計3.2.2.1 材料安全電池模組部件應避免尖角設計，邊緣和表面應控制毛刺和金屬浮粉，應做表面防腐處理。材料需要符合 ROHS，對于客戶有特殊要求的應識別

201、如硫含量等。材料應考慮防火、阻燃要求。電氣連接部件需要考慮防腐蝕處理，防止長時間使用接觸電阻增大而導致發熱。與單體電池接觸部件選用耐電解液腐蝕的材料，應考慮電解液泄漏后引發的絕緣失效等問題。所有部件材料應考慮整車或系統的可靠耐久性要求，或易于更換，達到整車或系統的壽命一致。絕緣部件的材料選擇，應考慮高溫環境對絕緣性的影響，確保在整車或系統工作最高溫度時的絕緣性。對于栓接結構設計應滿足整車環境要求。3.2.2.2 機械安全機械安全防護，設計時應考慮擠壓、跌落、振動、沖擊、翻轉、碰撞等工況下防護結88構對產品的防護，使產品能滿足功能要求、各類安全法規要求等。機械可靠性設計要滿足整車設計壽命。應充分

202、考慮運輸、搬運和安裝的耐久和可靠性。電池單體在使用過程中厚度會發生膨脹，模組設計應根據電池單體性能，合理預留膨脹的空間，合理設計匯流排結構。評估在長時間充放電循環或高溫存儲后，電池單體膨脹對模組框架的作用力。模組框架強度、緊固力、變形量滿足電池單體的膨脹需求同時滿足系統的需求。模組應考慮安全電壓防護設計，以便在制造、運輸或維修操作時起到保護，防止人員觸電及外部短路。要考慮防呆設計。防止在生產、安裝、測試等過程中，出現因人員誤操作而導致的電池模組短路起火，人員電擊的事故。通常從機械防呆、顏色防呆、標識防呆等方面考慮。3.2.2.3 電氣安全選用絕緣介質強度較高的絕緣片保證模組的絕緣滿足設計目標。

203、耐壓至少滿足 GBT183842015 要求，考慮異常情況下電氣間隙、爬電距離在安全范圍。電池模組的絕緣電阻在不同溫濕度存儲后應具有良好的可靠性。設計應充分考慮組裝、維修時帶來的短路風險。選擇合適的材料、尺寸及表面處理技術，以便保證過流能力及焊接的可靠性。連接器推薦滿足 USCAR-2 和 USCAR-37 要求。電壓采樣線在近電池端應設計過流防護。模組金屬結構框架設計成等電位體，避免形成電勢差對人體形成傷害。模組輸出端在裝配完成后，應滿足 IPXXB 的要求。采樣線束的裝配應有防呆設計，避免錯誤安裝導致短路等事故發生。采樣線采用耐高溫的結構設計，避免造成電池組內部的二次短路事故。匯流排應設計

204、緩沖結構，降低振動等對焊點的拉扯。3.2.2.4 熱安全模組結構設計應保證電芯單體具有足夠的散熱面積，保證模組與熱管理系統間熱量傳遞滿足相應散熱、加熱需求。電池單體散熱界面高度差配合導熱材料厚度維持在一個合理的公差范圍內，保證和熱管理系統可靠的接觸。在壽命周期內，能滿足導熱和散熱的設計要求,保證電池工作在理想溫度范圍。89導熱材料的導熱系數、厚度等參數能夠滿足模組散熱需求；保證電池單體與熱管理系統具有良好的熱傳遞路徑；導熱材料電氣絕緣性、防火等級滿足電池系統的安全要求。溫度傳感器設置位置及數量應能反應不同工況下最高溫度和最低溫度要求，同時應考慮溫度傳感器的精度、適用范圍及響應時間。熱擴散防護設

205、計。模組設計應考慮隔熱防火措施，延緩電池模塊中一只電池單體發生熱失控時，引燃周圍電池單體的時間。電池系統內分區域對電池模組進行隔離，以減少熱失控傳遞的速度，為乘員爭取更長的逃生時間。3.2.2.5 功能安全電壓采樣準確性。電壓采集至少包含每串電池電壓，電壓采集線束壓降及采樣芯片精度滿足電壓采樣的精度要求；電壓采樣及轉換傳輸的時間要遠小于系統最小容錯時間；能夠檢測電壓采樣線束短路、斷線、范圍超限等故障。溫度采樣準確性。為了能夠及時了解電池模組的溫度狀態，溫度采集每個模組至少應包含 2 個溫度采集點，溫度采集回路采集精度滿足系統溫度采集精度要求；溫度采樣及轉換傳輸的時間要遠小于系統容錯時間；能夠準

206、確識別溫度采樣的超范圍、短路、斷路等異常故障。均衡控制準確性。均衡電流設計滿足電池系統均衡需求，均衡控制指令能夠及時準確執行，并能夠準確識別均衡控制回路的硬件及軟件故障，如均衡控制失效等異常故障等。通信傳輸準確性。模組的電壓及溫度能夠及時準確傳遞給上級主控板，通信回路設計具備回路短路、斷線、異?；謴偷韧ㄐ湃哂鄼C制。電磁兼容。模組采集線束應盡量與高壓動力線束垂直，避免高壓動力傳導/輻射串擾；模組從控板應能夠確保負載電磁環境下的抗擾特性，在施加抗擾過程中確保電壓采集、溫度采集、均衡、通信等功能的正常運行；同時，應確保從控板在其工作過程中對外部其他部件的傳導及輻射干擾。對于金屬外殼的模組通常應設計良

207、好的接地點，避免尖銳帶電體的尖端放電等。3.2.3 電池模組制造3.2.3.1 電池單體絕緣針對殼帶電的電池單體使用絕緣材料通過包覆或噴涂等工藝實現有效的絕緣防護。絕90緣前電池單體進行有效清潔，避免導電粉塵顆粒引入導致裝配電池單體間短路風險產生。絕緣過程必須確保按設計需求部位絕緣層的有效包覆，同時確保絕緣層不被劃傷，劃破。3.2.3.2 模組組裝模組組裝是將電池單體按照不同的串并聯方式，與框架或固定支架等配合安裝。如膠水需要高溫加速固化時，應優化控制加熱溫度，避免組件在高溫下受損。LMU（本地監視單元 Local Monitoring Unit，作為從板同單體電池直接連接）、BMS（電池管理

208、系統 Battery management system）或 FPC（軟性印刷線路板 Flexible PrintedCircuit）安裝過程中，從人員防護、工作環境、工具使用方式，均需考慮靜電防護。在模組裝配擠壓過程中，不能超過電芯所能承受的壓力，擠壓設備需要具備壓力監控功能或設備設計選型保證壓力不超過電芯承受能力，避免電芯過度擠壓，造成的變形、漏液等安全問題出現。對于軟包電池單體，模組組裝過程保證電芯極耳平面度要求，滿足焊接條件，保證鋁排連接的可靠性。3.2.3.3 框架焊接框架焊接要保證焊接后模組的框架結構強度。焊接時熔區及熱影響區不出現超出允收規格的焊接缺陷。管控焊渣飛濺，防止規格外異

209、物進入模組內，導致模組整體絕緣失效。激光焊接要保證框架焊接強度和熔深要求。3.2.3.4 匯流排連接匯流排通過栓接、電阻焊、激光焊等方式將電芯進行串并聯。采用激光焊接工藝，要注意對電芯極柱表面及匯流排去除氧化層和表面臟污。焊接時選用匹配的焊接參數，防止出現虛焊、焊漏等焊接不良。優化設計焊接工裝，管控焊渣飛濺，防止規格外異物進入未焊接完成的模組內，導致模組整體絕緣失效。采用電阻焊接工藝，應對焊頭的修磨頻次、壽命進行管控，保證焊接工藝穩定性和焊接強度。采用栓接工藝，應保證扭矩滿足結構強度要求及耐久性防止長期使用過程中栓接松動，接觸不良，出現安全問題。91同時模組中 CSC、BMS 或 FPC 等零

210、部件做好隔離防護，避免焊接對電子零部件的損傷。3.2.3.5 采樣線連接通過栓接、超聲焊、激光焊等工藝將電壓和溫度采樣線與匯流排進行有效連接。栓接過程須對扭矩進行控制。超聲焊和激光焊接要確認在匹配的焊接參數下進行焊接，防止出現虛焊、焊漏等焊接不良。激光焊接要對焊接所產生的顆粒粉塵進行收集處理。模組采樣線線序需要進行檢測，避免安裝錯誤，導致采樣線短路、采集板或保險損壞、燒毀。3.2.4 電池模組安全評價3.2.4.1 電池模組安全要求3.2.4.1.1 電安全評價模組的電安全測試主要包括過充、過放、外部短路測試。電安全測試主要模擬在電池管理系統或充電樁失效的情況下，電池發生過充、過放、外部短路等

211、異常，高壓控制器件無法有效切斷充放電回路時，電池應不出現起火、爆炸等安全事故。過充測試，要求模組在滿電狀態下繼續 1C 充電至電壓達到規定終止電壓的 1.5 倍或充電時間達到 1 小時停止充電，觀察 1h。電池模組應不爆炸、不起火。過放測試，要求模組在滿電狀態下以 1C 放電 90min，觀察 1h。電池模組應不爆炸、不起火、不漏液。外部短路測試，要求電池模組在滿電狀態下，以小于 5m的電阻短路電池模組正負極 10min，觀察 1h。這種情況下應不爆炸、不起火。3.2.4.1.2 機械安全評價電池模組的機械安全測試主要包含擠壓、針刺、跌落等。機械安全測試主要模擬電池在濫用或發生交通事故時，電池

212、遭受外部的異常撞擊，如兩車碰撞、車輛底部受硬物撞擊等，電池發生一定的變形、刺穿、高處跌落等，電池應不出現爆炸、起火等安全事故。擠壓測試，電池模組滿電狀態下，以半徑 75mm，長度不超 1m 的半圓柱體擠壓電池在整車布局中最容易受擠壓方向，擠壓速度（51）m/s,模組擠壓形變量達到 30%或擠壓力達到 200kN，保持 10min，觀察 1h。電池應不爆炸、不起火。針刺測試，電池模組滿電狀態下，用6-10mm 的耐高溫鋼針，以（255）mm/s 的92速度垂直電池極組方向，依次貫穿至少 3 個單體，鋼針停留在電池中，觀察 1h，記錄安全等級。跌落測試，電池模組滿電狀態下，電池正負極端子朝下，從

213、1.2m 高度自由跌落到水泥地面上，觀察 1h。電池應不爆炸、不起火、不漏液。底部撞擊工況測試，模擬整車底部受到飛石、金屬塊等異物撞擊，系統、模組、電芯底部受到擠壓形變的場景。測試模組充電至 100%SOC，按圖一要求固定安裝測試對象，使用前端為半徑 10mm 半圓球的圓柱體，撞擊方向為半球體的球心與測試對象撞擊面中心重合，撞擊參數見表一。記錄測試過程中電壓、溫度、擠壓力、擠壓速度、擠壓最大形變量，觀察 1h。這種情況下應不爆炸、不起火。93備注：1.撞擊能量根據動能定理 E=1/2mv2計算。2.撞擊頭重量指前端為半徑 10mm 半圓球的圓柱體的重量。3.2.4.1.3 環境安全評價電池模組

214、的環境安全測試主要包括加熱、溫度循環、低氣壓、海水浸泡測試。環境安全測試主要模擬電池在惡劣環境中的應用，如異常高溫情況、高低溫反復變化情況、高海拔地區應用、雨季或異常情況車輛泡水等，不能出現安全問題。加熱測試，電池模組放入溫箱中，以 5/min 的速率由室溫升至 1302并保持30min 后停止加熱，觀察 1h。電池應不爆炸、不起火。溫度循環測試，電池模組滿電狀態下，將模組放入溫箱中，從-4085進行溫度循環，每個循環 8h，進行 5 次循環。電池應不爆炸、不起火、不漏液。低氣壓測試，電池模組滿電狀態下，放入氣壓箱，設置氣壓 11.6kpa（相當于海拔15420m），靜置 6h，觀察 1h。電

215、池應不爆炸、不起火、不漏液。3.2.4.2 電池模組可靠性要求3.2.4.2.1 熱擴散評價熱擴散測試是評估電池模組熱擴散防護設計能力。通過加熱、針刺、過充等方式模擬一只電池發生熱失控后，模組設計能有效延緩熱擴散，保證電池系統在 5min 內不發生起火、爆炸，給車上乘員足夠的逃生時間。3.2.4.2.2 機械振動測試振動測試模擬車輛長時間在復雜路況行駛（如搓板路、顛簸路、起伏路等）。電池長時間振動顛簸后電芯內部不能出現短路，模組結構不能散開脫落發生短路等安全問題。實驗要對電池模組進行 X、Y、Z 三個方向的振動測試，每個方向實驗要對依據 GB 38031 對電池模組進行 X、Y、Z 三個方向的

216、振動測試。要求測試后，電池連接可靠、結構完好，最小監控單元電壓無銳變，電壓差的絕對值不大于 0.15V，無泄漏、外殼破裂、爆炸或著火等現象，絕緣電阻不小于 100/V。電池模塊中的零部件（包括支撐柱、緊固件等）無明顯位移、扭轉和彎曲；零部件的諧振頻率與初始值的偏差應小于 10%，各個緊固螺絲的剩余緊固力不低于初始值的 60%；各個電連接點的電阻與初始值的偏差應小于 5%。3.2.4.2.3 機械沖擊測試機械沖擊模擬車輛在急加速、急剎車情況下，電池能承受加速度的沖擊而不出現安全94問題。試驗對電池模組施加 25g、15ms 的半正弦波形 Z 方向沖擊 3 次，試驗后觀察 2h。要求電池無泄漏、外

217、殼無破裂、無爆炸、無著火等現象,絕緣電阻不小于 100/V。3.2.4.2.4 高溫存儲測試高溫存儲測試主要評估的是電池的日歷壽命。模擬電池在高溫環境下（如 45或55）長時間存儲，存儲時間不低于 7 天，評估其恢復容量與初始容量的比例。3.3 電池單體和模組包裝運輸安全要求3.3.1 包裝安全要求電池單體和模組的包裝應滿足防水、防潮，必要時應該在包裝袋中加干燥劑除濕。包裝要考慮運輸環境條件（公路運輸、鐵路運輸、水路運輸等情況）下對產品的保護，防止搬移過程中的擠壓和損傷。電池單體和模組應以最小單元隔離固定，預留安全距離，避免發生電氣安全問題。3.3.2 運輸安全要求電池單體和模組必須牢靠固定在

218、貨物運輸裝置的內部。運輸過程中的電池單體和模組所處環境溫度需要監控，較高溫度可能引起電池安全問題。避免對電池單體和模組日曬、雨淋、受潮。避免電池單體和模組受壓，嚴格按照產品規格書要求擺放。較低的電池單體和模組荷電狀態對運輸安全有利，建議控制 30%SOC。鋰離子電池單體和模組屬于危險品，運輸過程中應避開易燃、易爆、易腐蝕危險品，考慮配備消防設施。954.電池系統電池系統4.1 電池系統要求4.1.1 BMS 設計開發與故障處理4.1.1.1 BMS 設計開發BMS 基本功能的設計與開發建議關注以下內容：（1）能有效對電池系統的單體電壓、電流、溫度、絕緣阻值等參數進行測量，測量精度及頻率應在常規

219、工況及惡劣極端工況下均滿足國家標準要求，同時采樣電路具有保護機制，避免高壓短路故障。（2）能準確計算電池系統 SOC、SOE、SOH，并結合當前電池電壓、溫度等狀態計算安全的可用充放電功率區間，確保不會對電池造成單次或累積的安全影響。（3）建議整車能較準確估算車輛剩余里程，防止電池系統在使用過程中因剩余里程錯誤導致動力系統異常中斷。（4）充電過程中，BMS 應同時監測電池系統及充電機狀態，當電池系統或充電機發生故障時，應及時停止充電過程并進行報警。（5）能夠根據測量信息及電池使用條件，通過熱管理系統對電池系統內部溫度進行有效的調控，使電池充放電過程執行在合適的溫度區間，避免因單次或累積的高低溫

220、操作引發的電池安全隱患。（6）BMS 功能應通過必要的測試驗證，包括：絕緣性能測試、電氣適應性能測試、環境適應性能測試、電磁兼容性能測試，確保其在不同工況、環境下均能有效工作。BMS 系統基本功能的設計與驗證可參考 GB/T電動汽車用電池管理系統技術條件。4.1.1.2 故障處理基本要求（1）能有效及時判斷電池單體或系統的故障，包括但不限于電池過壓、欠壓、過溫、過流、絕緣降低等，并能以可靠的通訊方式通知整車，并采取相應的措施。根據電池類型標定不同的故障閾值根據電池的使用環境、不同的生命周期調整合適的故障閾值和檢測時間，確保系統96安全。（2）BMS 對電池故障的檢測周期或消抖時間應滿足安全需求

221、，即在整個故障的檢測、通訊、處理周期完成前電池系統不會發生對整車或乘員的危害。（3）當發生故障的條件下，如非絕對必要，電池系統應先通知駕駛員采取必要措施后，如通知駕駛員減速靠邊等，再進行斷電保護處理。（4）發生故障后，應在確認故障消失或足夠的安全余量后，才能允許對電池系統繼續操作。對于電池系統的永久性故障，如電池單體嚴重過放至 1V 以下等，建議對故障進行鎖存記錄并防止對電池系統繼續操作，避免后續的安全問題。（5）BMS 建議具備故障存儲功能，能夠記錄電池系統發生過的一段時間內的所有故障代碼，并可在維護時通過外部操作清除；能夠根據廠家需要記錄第一次或最后一次發生故障時的詳細數據，包括電池的單體

222、電壓、溫度、電流等信息。4.1.1.3 典型故障信號處理策略（1）閾值的設定通常由電芯企業及整車企業根據電芯特性及整車控制要求確定，不同電池系統的閾值不同。典型故障可參考電動汽車用電池管理系統技術條件，以下為參考處理策略：電池溫度大于設定閾值：建議采用降低充放電功率等保護措施；若保護措施無效，建議執行下電保護流程或中止充電。電池溫度小于設定閾值：建議啟動加熱功能，限制輸入、輸出功率。若需要進行充電流程，建議當電池溫度加熱至最低允許充電溫度后再進行充電。單體電壓或總電壓大于設定閾值：建議停止充電或禁止回饋；若電壓持續升高或大于絕對安全閾值，建議執行下電保護流程。單體電壓或總電壓低于設定閾值：根據

223、放電深度程度不同可采取不同措施，如提示用戶充電、禁止放電或執行下電保護流程等。電芯一致性偏差大于設定條件：根據整車廠及電芯廠制定的判定條件可采取不同措施，如啟動均衡、提示用戶進店維護或執行下電保護流程等。充電電流（功率）大于最大允許閾值：如在行駛過程中，建議降低或停止回饋；充電過程中建議進行降電流操作。若以上措施無效，建議執行下電保護流程。放電電流（功率）大于最大允許閾值：建議降低運行功率；若無效，建議執行下電保護流程。97絕緣電阻小于設定閾值：建議根據絕緣故障程度采取通知整車或執行下電流程等。電池系統內部溫差大于設定閾值：建議采用降低充放電功率等保護措施；若保護措施無效，建議執行下電保護流程

224、或中止充電。高壓回路異常：建議執行下電保護流程。BMS 采樣、處理器及執行器相關故障（例如:電壓采樣故障、溫度采樣故障、電流采樣故障、MCU 故障、供電故障、存儲故障、執行器故障、碰撞事件，等）檢測、判定及處理方式，建議結合功能安全需求進行綜合設計，以滿足相關安全需求。（2）應根據故障特點，細化故障處理策略，對故障進行分級管理，不同級別的故障采用不同的對應策略，例如：告警、限功率、下高壓、提醒用戶遠離車輛,等，盡量避免行駛過程中的直接高壓下電。（3）故障閾值設置、判斷時間、恢復時間應充分考慮電池系統的能力及車輛運行需求，避免漏報和誤報。4.1.2 充電、運行工況下許用電流、功率控制4.1.2.

225、1 許用電流/功率限制（1）充電、運行工況下，許用電流/功率控制限制表應充分結合電池系統的能力（結合電芯廠提供的許用電流/功率限制表）及車輛使用需求綜合設定，考慮充電及運行工況（制動回饋、放電）對電流持續時間的需求，通常設定峰值電流/功率表（例如：2s，5s，10s，30s）、持續電流/功率表（例如：60s，3min，持續等）。（2）因溫度、SOC 變化而導致的峰值電流/功率及持續電流/功率切換時，BMS 應確保許用電流/功率平滑過渡。（3）BMS 應充分考慮電池系統的許用能力，結合電池系統壽命終止時的可用電量、許用功率衰減，綜合確定全壽命周期內的許用電流/功率限制值。（4）功率限制值應考慮系

226、統元器件最大承受能力，應根據系統各元器件可承受最大載流量值的最小值確定。（5）BMS 實時監控電流及電壓，如果實時充放電電流/功率超過許用電流/功率，BMS記錄 DTC，通知整車。（6）當充放電電流/功率超過許用電流/功率，BMS 應執行多級控制策略，分階段主動降低功率，避免電池系統起火、爆炸。984.1.2.2 充電功率控制策略（1）直流充電直流充電應遵循GB/T 27930 電動汽車非車載傳導式充電機與電池管理系統之間的通信協議、GB/T 18487.1-2011 電動汽車傳導充電系統 第 1 部分：通用要求、GB/T20234.1-2015 電動汽車傳導充電用連接裝置 通用要求等標準要求

227、。充電過程中，BMS 監控各種參數的變化，包括異常參數（如：過壓、過溫、過流等），當達到充滿電的要求、或者故障發生時，向充電機發送充電中止指令，主動停止充電過程。（2）交流充電通常，BMS 向 OBC 發送電流需求及電壓需求，通過 OBC 控制充電過程。充電過程中，BMS 監控各種參數的變化，包括異常參數（如：過壓、過溫、過流等），當達到充滿電的要求、或者故障發生時，向 OBC 發送充電中止指令，主動停止充電過程。4.1.2.3 大功率充電策略（1）電池供應商應充分執行大功率充電測試，提供規定時間內（例如：10min、15min、20min、30min）允許的最大電流值，該數值需要考慮溫度、S

228、OC 及 SOH 的影響。（2）溫度測量應盡量覆蓋充電回路中可能的高溫點，包括：電池模組的最高/最低溫度點、車輛與充電樁的連接器、充電線纜、分流器形式電流傳感器；同時應關注模組間連接銅排、電池包充電連接器的溫度。（3）BMS 應監控充電功率、溫控點溫度，當充電功率、測量點溫度超出限制閾值，應及時向充電機通報故障。（4）當發生故障需要停止大功率充電時，BMS 首先申請充電樁降低輸出功率，由充電樁控制結束充電過程。如充電樁故障致使無法停止充電，BMS 應緊急斷開充電繼電器，停止大功率充電。（5）針對大功率充電可能持續產生的大量熱量，應優化熱管理策略，適當降低啟動制冷功能的溫度閾值。充電結束后，如果

229、電池包溫度仍然偏高，需要繼續維持制冷功能，使電池系統溫度回到合理范圍。（6）應監控大功率充電的使用頻率，避免頻繁執行大功率充電可能導致的電池性能下降或安全隱患。994.1.3 BMS 功能安全BMS 功能安全的主要目的是避免 BMS 系統電子/電氣功能異常引發的危害而導致嚴重人身傷害事件（起火、爆炸、排氣、電擊）的風險。BMS 功能安全活動重點關注以下方面：確定功能安全目標與安全需求、功能安全產品開發、功能安全目標驗證與確認。4.1.3.1 確定功能安全目標與安全需求應在整車級別執行電池系統的危害分析與風險評估，明確功能安全目標、ASIL 等級、安全狀態及 FTTI，定義功能安全需求及控制策略

230、。建議 BMS 包含以下功能安全目標，以避免電池系統的熱失控風險：防止電池單體過充導致熱失控防止電池單體過放后再充電導致熱失控防止電池單體過溫導致熱失控防止動力蓄電池系統過流導致熱失控建議 BMS 包括以下功能安全目標，以避免電池系統的電擊風險：確保車輛碰撞發生時切斷高壓回路絕緣失效禁止吸合高壓接觸器高壓互鎖失效禁止吸合高壓接觸器建議 BMS 包含以下功能安全目標，以避免系統動力異常中斷：避免非預期切斷高壓接觸器電池系統危害分析與風險評估及功能安全需求定義建議參考GB/T 39086-2020 電動汽車用電池管理系統功能安全要求及試驗方法4.1.3.2 功能安全產品開發BMS 功能安全設計與開

231、發應遵循嚴格的流程規范，應關注以下活動：（1）使用 DIA 規范整車廠和供應商間的職責劃分。（2）執行汽車安全生命周期中的各級設計活動。針對不同設計階段，實施相應的驗證活動（評審/測試），使用適當的測試方法（例如：缺陷注入方法）驗證安全機制的有效性，確保測試用例的完備性和測試覆蓋度。（3）在系統設計、軟件設計、硬件設計階段執行功能安全分析（FMEA、FTA、DFA、100FMEDA），滿足 ASIL 等級相關要求。執行系統安全分析，識別違反功能安全目標的失效模式，通過系統設計確保故障發生時，整車能在 FTTI 時間內進入安全狀態執行軟件安全分析，針對軟件失效模式，確定軟件安全機制執行硬件安全分

232、析，基于硬件器件的失效率、失效模式、失效分布，對硬件架構進行評估（SPFM、LFM、PMHF），完善硬件安全機制，確保滿足安全等級要求安全分析應持續、迭代執行，針對安全分析中發現的問題，需不斷優化更新安全機制。（4）軟件設計建議采用標準化軟件架構（例如：AUTOSAR），軟件開發應遵循符合功能安全要求的建模規范和代碼規范，使用多種模型/代碼測試方法（例如：MIL、SIL、PIL、HIL）進行軟件集成和測試，確保滿足軟件覆蓋度要求。（5）關注需求、設計、驗證之間的雙向追溯和一致性，確保需求變更、缺陷修正的可跟蹤性。（6）執行軟件/硬件組件鑒定和再用證明相關活動，確保軟件/硬件組件使用的合適性。實

233、施工具鏈置信度評估，確保工具置信度水平（TCL）滿足要求。（7）執行與安全目前等級相適應的認可措施，包括：認可評審、安全審核和安全評估。功能安全產品開發活動建議參考GB/T34590-2017 道路車輛功能安全。4.1.3.3 功能安全目標驗證與確認應在系統級、整車級對 BMS 功能安全需求及功能安全目標執行驗證與確認，確保達成整車功能安全目標。如果除 BMS 功能安全保護機制外，整車還設計了其它安全機制（如：機械、化學等），功能安全目標的驗證與確認也應覆蓋這些安全機制。電池系統的功能安全目標驗證與確認活動建議參考GB/T 39086-2020 電動汽車用電池管理系統功能安全要求及試驗方法。4

234、.1.4 熱失控、預警識別策略4.1.4.1 電池包熱失控基本防護電池包應具有熱失控防護措施，保證熱失控發生后，可以在一定時間內確保電池包不101發生導致人生傷害的事件發生（起火、爆炸等）。4.1.4.2 熱失控提前探測預防BMS 可考慮監控導致熱失控的事件（如電壓、電流、溫度超過安全使用范圍、內短路等），在熱失控發生前采取緊急應對措施（如報警、限制功率、切斷高壓回路等），同時提醒乘員采取避險措施。4.1.4.3 熱失控探測及告警（1）電池發生熱失控及熱擴散時，電池系統內部溫度、氣體成份、壓力等參數會發生變化，應對熱失控及熱擴散進行試驗研究，通過理論分析和實驗驗證，確定適合的熱失控和熱擴散探測

235、手段（例如：溫度、氣體、壓力等），并確保探測器的檢測精度滿足需求。（2）當 BMS 確認發生電池熱失控時，應把熱失控信號傳遞給整車，整車應通過指示裝置（儀表或其他裝置）提供一個明顯的熱失控報警信號以及警示聲，提醒駕駛員和乘客疏散；同時，BMS 請求下高壓，整車根據當時工況進入緊急下電流程。（3）建議 BMS 應準確監測電池系統及其部件的異常溫度升高，對電池系統的熱失控要盡可能早地發出預警信號。（4）熱失控探測及報警功能應在運行模式下執行，其有效性應通過整車級測試，避免漏報、誤報。（5）熱失控探測及預警功能應滿足整車功能安全要求。4.2 電池系統安全基于市場上出現的電動汽車泡水、碰撞、底盤劃傷后

236、的起火事件，電池系統安全從系統設計（機械安全、熱安全、電氣安全）、安全測試、生產三階段展開，保證電池系統的安全。4.2.1 機械安全電池系統應具備足夠的機械強度，保證在整車正常使用的生命周期內不會因振動、機械沖擊等工況引發安全風險。4.2.1.1 基于正碰、側碰、側柱碰、底碰、石擊的電池及整車安全設計針對于整車碰撞衍生出電池系統碰撞、擠壓工況，需要結合整車設計及電池系統安裝102位置有針對性的進行結構設計保證電池系統的機械安全。電池系統的結構強度應至少滿足GB 38031-2020 電動汽車用動力蓄電池安全要求中電池系統模擬碰撞的標準要求或整車企業的標準要求。4.2.1.1.1 電池系統碰撞安

237、全設計（1）應分析碰撞過程中電池箱體及其內部結構（電池模組、高低壓線束）產生的最大變形情況，并結合電池模組允許的最大變形量來判斷碰撞過程中的安全風險；（2）應具有吸能效果的結構設計，設計時應考慮相應材料的塑性要求；（3）應具有合理的內部加強筋設計，提高整體結構強度；（4）考慮電連接件的可靠性，避免碰撞過程中發生短路風險；（5）提高熱管理系統結構強度，增加防護設計，避免碰撞過程中冷卻液泄露風險。4.2.1.1.2 電池系統擠壓安全設計（1）電池系統設計滿足相應的剛度、強度要求：如外圍采用防撞梁結構；（2）合理的電池系統內部安全距離設計；（3）合理的熱管理系統布置：建議液冷系統水管布置避開易碰撞側

238、；（4）合理的電氣系統布置：電池系統內的高低壓線束的走線路徑應盡量與電池系統的非變形區域結構相連接，同時應加強絕緣防護及線束固定。4.2.1.1.3 電池系統防石擊安全設計（1）合理的底部裝甲或防護板設計；（2）箱體接插件端防護較薄弱，且易受沙石沖擊，建議增加防護板遮擋。4.2.1.2 振動可靠性安全設計振動是對結構件耐久性的考驗，區別于傳統車，電池系統激勵源產生主要是由于汽車在行駛過程中，路面的不平整造成的，路面的激勵頻率大部分都是集中在低頻端，電池系統在設計過程中主要宗旨是提高電池系統的整體固有頻率。電池系統的結構強度應至少滿足 GB/T 38031-2020 電動汽車用動力蓄電池安全要求

239、中電池系統振動可靠性的標準要求或整車企業的標準要求。（1）提高電池系統整體固有頻率：提高電池系統剛度：如增加車體安裝點，優化固定梁結構設計；減少電池系統的重量：輕量化的結構設計及材料選擇；（2）疲勞強度高的材料選擇；103（3）提高電池系統強度：避免質量過度集中，在質量集中位置增強結構設計；固定梁焊接要求、結構緊固件的選型及固定扭矩設計均應符合設計規范要求。4.2.1.3 全生命周期高防護等級安全設計安裝在車身外部的電池系統應具備 IP67 或以上的防護等級，并應定期維護檢測以避免整個生命周期內防護等級在使用過程造成降低。4.2.1.3.1 電池系統接觸防護（1）集成式 BDU，并具備外殼防護

240、設計；（2）模組級別正負極位置防護設計；（3）高壓連接器防護:連接器插座與插頭中接觸件都需與保護外殼做相互絕緣處理，保證外殼絕緣不帶電，保證操作人員的安全。在電池系統高壓連接器防護設計時，最常選擇使用的是 IPXXB/IPXXD 的防護等級。4.2.1.3.2 電池系統防水防塵（1）電池系統箱體防護要求：電池箱體防護在全生命周期等級達到 IP67 等級；電池箱體密封墊設計時，考慮其吸水率、壓縮率、及阻燃特性；（2）防水透氣閥:與箱體配合處防護在全生命周期等級達到 IP67 等級；（3）電氣接口防護要求:連接器插座與插頭連接端處于箱體外部，此端須保證插座與插頭接觸良好、過流、過壓持續、穩定、拆卸

241、方便，同時有插座端口保護蓋設計。有以下內容需保證：連接器插座與箱體配合處的防護等級須達到 IP67 等級；連接器插座與插頭連接后的防護等級須達到 IP67 等級；連接器插座端口在未插合存放倉庫時，保護蓋須防塵防潮且能滿足經過長途運輸震動后保護蓋不會掉落。4.2.1.3.3 電池系統防爆防護電池系統應具備有效的泄壓裝置，可以快速平衡內外部氣壓變化，防止因內部氣壓過高造成殼體變形引起的防護等級降低或失效。泄壓裝置安裝的位置和方向應避免對乘員艙或車輛周邊人員造成人身傷害，且應避免引燃整車。1044.2.1.3.4 電池系統防腐防護在全生命周期內防腐的要求，要根據電池系統使用壽命要求和使用區域環境要求

242、來確定電池系統的防腐等級。4.2.2 熱安全通過熱管理系統對電池系統進行加熱、散熱、均衡、保溫；電池系統內部要有防止熱擴散的結構設計；關鍵部件的阻燃設計；來確保電池系統的熱安全。4.2.2.1 可靠熱管理系統設計根據鋰離子電池結構及工作原理可知，無論在高溫或是低溫，都有引發電池熱失控的風險，而電池熱管理系統的設計目標就是結合 BMS 控制策略和調整功能，控制電芯工作在舒適溫度范圍內、并降低電芯之間的溫差實現性能均衡，從而保證系統熱安全并延長系統壽命。要實現以上目標，需從冷卻、加熱、保溫三個方面進行設計，同時還需保證整個系統的氣密安全，不允許發生冷卻液泄露。需關注低溫冷卻管路可能引發的冷凝水，避

243、免因此而導致的絕緣、短路安全隱患。（1）冷卻a.根據指定的嚴苛工況下的系統發熱量確定電池包散熱形式及控制邊界，保證電池最高溫度不超過允許使用溫度，且大多數時間能在舒適溫度范圍工作。b.建議正常工況下電池系統內部采集的溫度點之間最大溫差不超過 5，極限工況下最大溫差不超過 10，且能滿足極限工況的連續運行（例如持續高速工況加快充）。c.為適應不同工況，散熱系統可按有無 chiller 以及風扇擋位分為多種回路：風冷散熱系統中，能夠對風扇狀態進行檢測并判定是否工作正常；當風扇或冷卻系統其它部件出現故障時能及時報警并采取保護措施（如限制充放電功率等）；液冷系統中，能夠對壓縮機、水泵等部件進行檢測并判

244、定是否工作正常；當冷卻系統出現故障時能及時報警并采取保護措施（如限制充放電功率等）。（2）加熱a.在指定環境溫度下，實現在規定時間內將電池系統加熱到規定溫度，使系統能夠快速達到允許充放電的工作溫度。b.電池系統最低溫度低于最小允許充電溫度時，建議對電池加熱之后再進行充電。c.加熱過程中盡量降低電池系統內部采集的溫度點之間最大溫差。105d.以電池包內置加熱部件（如 PTC 等）進行加熱的設計中，應具備相應的安全設計（如引入二次熱熔保護機制），當加熱部件溫度過高時，能夠切斷加熱部件電源，防止加熱元件出現干燒進而引燃電池。（3）保溫a.將電池系統由常溫環境分別轉入高溫和低溫環境靜置，在規定時間內系

245、統中的電池最高/最低溫度不超過目標值。b.高溫環境保溫時，建議減小電池系統內部采集的溫度點之間溫差。（4）氣密安全a.對于液冷系統，應采用相應的措施防止管路、接頭等部位發生泄漏，并在生產過程中采取相應的檢測工藝以確保產品安全。b.當液冷系統發生泄漏至可能產生安全隱患的閾值的時，建議具有檢測手段能及時檢測并報警。4.2.2.2 電池系統熱擴散防護設計引起熱失控風險的因素有很多，如極端的環境溫度、過充過放、內短外短、電池制造缺陷等等。既然無法完全避免熱失控風險，那就需要采取相關的防護設計來降低熱失控發生時的危害，確保電池系統不發生起火或爆炸。熱擴散測試可參考GB 38031-2020 電動汽車用動

246、力蓄電池安全要求進行，電池包或系統應滿足：單個電池發生熱失控時，應提供一個熱事件報警信號，且不起火、不爆炸，建議試驗觀察時間為 24 小時?？梢?，熱擴散防護必須從電芯、模組、系統三個方面進行考慮。（1）電芯級a.相鄰電芯間建議具備一定的隔熱設計（如增加絕熱氈、氣凝膠等隔熱阻燃材料），延緩熱蔓延。b.電芯防爆設計（如防爆閥等）指向建議避免直接朝向相鄰電芯，防止產生鏈式反應。電芯的開閥保護時間，需要在單電芯、模組中保持一致性，開閥的條件應在一定的偏差范圍內。（2）模組級a.模組間建議考慮合適的間距，具備一定的防止熱蔓延的能力；建議采用隔熱設計（如隔熱罩等），抑制熱量在相鄰模組間的蔓延。b.設計合理

247、的電連接孔、泄氣孔及火焰導向孔，防止蔓延。106c.對于不具備單體熔斷功能的電芯，模組建議采用可熔斷連接設計，防止電芯內短路時其他并聯電池產生電流倒灌，引發熱失控。（3）系統級a.電池殼體（包括上蓋、底板以及密封條等附件）應采用阻燃材料，以避免明火引燃整車；b.電池包內部高壓線束（包括主回路高壓線束、電池電壓采集線束等）建議具有熔斷保護，防止在熱失控期間因線束受損短路引起的二次傷害。4.2.2.3 電池關鍵部件阻燃設計為延緩熱失控擴散，延長乘員逃生時間，電池系統的零部件應盡量選用阻燃等級較高或者不燃燒的材料，這樣即使在熱失控的極端環境下，這些零部件至少不會進一步加劇反應。（1）電池系統內部有機

248、材料（如結構膠、導熱膠等）應采用阻燃等級較高的材料。（2）應重點評估電池包內薄片非金屬材料的阻燃等級。（3）其他與電芯直接接觸材料，以及電氣件、熱管理部件等應選用阻燃等級較高或者不燃燒的材料。（4）在電芯熱失控以后，建議評估噴發物對模組周圍帶來的絕緣下降引起的短路造成的二次加熱。4.2.3 電氣安全4.2.3.1 絕緣要求4.2.3.1.1 電氣絕緣（1）電池系統的絕緣設計應滿足 GB/T 18384 或企業要求；（2）通過絕緣材料來提供觸電防護的，則電氣系統的帶電部分應當全部用絕緣體覆蓋；（3）絕緣材料應能承受電動汽車及其系統的溫度等級和最大工作電壓；（4）絕緣體應有足夠的耐電壓能力，進行耐

249、電壓試驗不應發生絕緣擊穿或電弧現象。4.2.3.1.2 電氣間隙、爬電距離（1）電池系統高壓系統的電氣間隙和爬電距離參考 GB/T 16935.1-2008；（2）根據耐壓等級、環境污染等級確定電氣間隙；107（3）根據環境污染等級、材料 CTI 值、工作電壓、工作海拔高度等確定爬電距離；（4）當主電路與控制電路或輔助電路的額定絕緣電壓不一致時，其電氣間隙和爬電距離可分別按照其額定值選取。主電路或控制電路導電部分之間具有不同額定值時，電氣間隙與爬電距離應按照最高額定絕緣電壓選取。4.2.3.1.3 電位均衡（1）所有組成電位均衡電流通路的組件（導體、連接部分）應能承受單點失效下的最大電流；（2

250、）電位均衡通路中任意兩個可以被人同時觸碰到的外露可導電部分之間的電阻應不超過 0.1，滿足標準 GB 18384-2020 要求。4.2.3.2 電連接可靠性安全設計電池系統內的電連接設計包括模組內電連接設計和模組外電連接設計。模組內電連接設計包括：電芯間電連接、溫度及電壓采樣；（1）電芯間電連接電芯間電連接需要滿足過流要求，材質一般是銅、鋁或者鎳，應注意避免銅鋁間電化學腐蝕。（2）溫度采樣a.作為檢測電池狀態的一個重要手段，在設計時主要關注兩個方面：排布位置和連接可靠。b.排布位置建議可采集到模組內最高及最低溫度。c.采樣線可考慮防短路措施。（3）電壓采樣由于電壓采樣直接與電芯正負極相連，若

251、連接位置阻抗過大，會影響電壓的采樣精度，因此，電壓采樣需選擇阻抗較小且比較安全可靠的連接方式，采樣線需要考慮防短路措施。（4）模組外電連接設計包括模組間電連接設計、模組與電氣件間的電連接設計、電氣件間電連接。模組外電連接一般使用鎖螺栓或螺母作為對外電連接端口，在設計時應注意避免電電連接部位受載，同時應保證螺栓連接可靠性。（5）為了電池系統維護的方便性和安全性，建議系統要設計有專門的維修接口，如用于熔斷器的更換，以及電池系統內單體電池狀態調整接口。1084.2.3.2.1 系統過電流能力（1）電池系統內部主回路各連接部分應具有在整個生命周期內承受系統最大持續電流的能力。（2）電連接面積選擇考慮溫

252、升和老化要求。4.2.3.2.2 電氣連接可靠性（1）電池系統內部主回路各電連接部分應具有有效的設計，建議采用螺紋膠鎖死，以保證在整個生命周期內保持連接阻抗的可靠性。（2）電池系統內部主回路各電連接部分的連接阻抗應具備明確的指標及檢測方法，以便在生產及維護時進行檢測；（3）電池系統內線束高低壓連接端子與電線連接應牢固，應滿足 QC/T 29106 汽車電線束技術條件中的規定；（4）連接器需要具有一個鎖緊裝置以避免分離或接觸不良。高壓連接器應具有高壓互鎖功能。4.2.3.2.3 接地要求高壓零部件接地一方面是為了改善 EMC，另一方面是為了滿足安全需要。高壓零部件接地需滿足如下要求：（1）所有與

253、高壓部件靠近的金屬導體必須接地，如：冷卻板、接插件固定板、靠近高壓線的冷卻管道所連接的水口、BMU（HVM）外殼、EDM 金屬底板、金屬托盤等；（2）所有接地點表面應保證導電性，不應有導電性差的漆及氧化物，防止接地不良；（3）所有接地點應保證一定的安裝扭矩；（4）電池系統內部接地建議采用專用的接地螺栓螺母或使用編織導線，電池系統與車底盤接地線推薦使用編織導線，同時接地端子需鍍錫；（5）接地線應盡可能短；（6）電池系統內接地點應與車身電底盤連接。4.2.4 電池系統安全性測試方法電池系統級驗證主要是驗證電池系統完整的性能和功能，可考慮以下幾個方面：（1）按照GB 38031-2020 電動汽車用

254、動力蓄電池安全要求國標要求，通過振動、機械沖擊、模擬碰撞、擠壓、濕熱循環、浸水、熱穩定性、溫度沖擊、鹽霧、高海拔、過溫保護、過流保護、外部短路保護、過充電保護、過放電保護測試。109（2）建議進行帶載三綜合振動試驗，充分發掘連接異常及溫升異常，評估安全可靠性（振動時充放電、高低溫、濕度等）。（3）建議進行動態 IP 模擬測試（振動、沖擊整車涉水等）。（4）建議采用同一測試樣品在環境溫度、環境濕度、振動狀態下同步進行多因素應力綜合評估，評估完成后對該測試樣品再進行 IP 防護等級評估，應能夠滿足 IP 防護等級的要求。4.2.5 電池系統生產安全要求4.2.5.1 生產過程中安全防護要求（1）嚴

255、格按照工藝流程裝配，裝配過程中避免出現壓線等現象，防止操作中短路。（2）生產及轉運過程中應對單體、模組、系統及關鍵部件（熔斷器、接觸器等）進行必要的防護，避免因磕碰、跌落等造成安全隱患。（3）生產及轉運過程中裸露的 BMS 或采集板應進行有效的靜電防護。（4）電池系統宜具備手動維修開關或 Fuse。生產及轉運過程中，電池系統上的維修開關應當拔掉插頭并蓋上防護蓋，確保切斷電池系統對外的高壓輸出，電池系統上的高壓連接器應裝有防護蓋，確保操作人員安全。（5）對模組、殼體的連接硬點進行必要的防護，避免因部件變形造成緊固點失效。（6）對柔性或易變形部件（如密封墊、發泡硅膠）等進行工裝防護，避免因部件變形

256、造成失效。（7）電池系統內部應對帶電部件及連接點進行有效的防護，滿足 GB 4208 中規定的IPXXB 防護等級要求，防止在生產或維護過程中因人員誤觸導致的安全隱患。（8）裝配過程中使用的工裝及工具與產品接觸部分宜采用絕緣材質或做好絕緣防護，避免裝配過程產生短路風險。（9）生產及裝運過程各零部件應固定牢固，避免運動過程中摩擦損壞導致短路。（10）接通高壓電前，必須進行高壓電部件殼體接地檢查，確認高壓電部件的裝配和連接可靠。（11）對高壓電部件進行拆裝前，必須進行斷電操作，確認已斷開緊急開關和 12V 電源。（12）在高壓部件的拆卸、安裝或其他操作時，操作人員需要取得低壓電工證資質，110佩戴

257、高壓絕緣手套，穿絕緣靴，同時必須做好自身的絕緣保護措施，身上不得帶有任何金屬物品。4.2.5.2 合理的下線檢測序號序號測試類別測試類別測試項目測試項目測試目的測試目的1線束測試線束測試檢測電池系統低壓接口所有針腳是否正確2靜態測試CAN 通訊檢測產品通訊是否正常3絕緣電阻檢查產品的絕緣電阻性能4絕緣耐壓檢查產品的絕緣耐壓性能5絕緣檢測功能檢查 BMS 的絕緣檢測功能6高壓互鎖功能檢查 BMS 的高壓互鎖功能7軟件版本檢查軟件版本是否正確8硬件版本檢查硬件版本是否正確9壓差檢查未充放電前壓差是否滿足要求10充放電測試總壓檢查電池系統總壓是否滿足要求11充電功能檢查充電是否正常12放電功能檢查放

258、電是否正常13總電壓精度檢查 BMS 電壓精度值是否滿足要求14電流精度檢查 BMS 電流精度值是否滿足要求15直流內阻測試DCR 測試檢查電池系統直流內阻值是否滿足要求4.3 動力電池運輸要求明確電池系統在運輸過程中的包裝、存儲等條件的安全要求，防止運輸過程中存在的安全隱患，或因自身的安全問題造成對環境或周圍人員、財產的損壞。4.3.1 運輸檢測標準電池系統運輸檢測可參照聯合國關于危險貨物運輸的建議書試驗和標準手冊第 3 部分 38.3 款(簡稱 UN38.3)內容要求。1114.3.2 包裝及運輸要求4.3.2.1 包裝要求（1）電池系統的包裝應符合防潮防震的要求，應采取措施防止電池系統與

259、同一包裝內導電物質相互接觸。（2）電池系統內部所有零部件應按照正常生產要求進行固定。（3）電池系統所有接口需進行獨立保護，防止碰撞和短路。所有電氣接口設置絕緣阻燃防護罩，確保接口處無金屬部分裸露在外。（4）電池系統設有維修開關(MSD)的，包裝前確保維修開關已經取下，且維修開關接口處有絕緣材料進行包裹保護。（5）包裝箱應考慮運輸環境條件（公路運輸、鐵路運輸、水路運輸等情況），包裝箱需經過堆碼試驗、跌落試驗等試驗合格。（6）包裝箱應易于制造、裝配，便于儲運、機械裝卸。（7）包裝箱內應在指定位置裝入隨同電池系統提供的文件和物料。（8）包裝箱應設置產品標簽，包含下列內容：名稱、物料編碼、客戶名稱、制

260、造廠名或商標等、生產日期、SN、每箱的數量、凈重和毛重、堆碼重量極限。4.3.2.2 運輸要求（1）電池單體及系統建議在 40%SOC 以下狀態運輸，以 30%SOC 為宜；（2）根據聯合國關于危險貨物運輸的建議書-規章范本（簡稱 TDG）的內容要求，電池系統在運輸過程中應避開易燃、易爆、易腐蝕危險品；（3）電池系統與包裝箱必須完全定位鎖死，包裝箱與運輸工具也需通過轉運架等完全鎖死；在運輸過程中，應防止劇烈震動、沖擊、日曬、雨淋；（4）包裝和運輸過程中，要避免人員對動力電池系統的踩踏和不良接觸；（5）運輸器具滿足運輸試驗要求；（6）運輸器具要求絕緣，防止意外短路；（7）消防設備能滿足運輸車輛發

261、生緊急事故的需求。4.4 動力電池售后保養要求明確電池系統在使用過程中的維護保養的措施、項目、頻次等基本要求，及推薦建議112等，對其安全狀態進行跟蹤，及時排除安全隱患。4.4.1 動力電池保養、檢測規范4.4.1.1 日常維護（1）充放電建議在適當的環境溫度、SOC 狀態下對電池系統進行充放電。（2）存放長期存放時，電池系統電量要處在適當狀態，并定期進行深度充放電；存放區域遠離熱源、化學腐蝕等場地。（3）行駛建議用戶養成良好的駕駛習慣，避免猛踩油門，形成瞬間大電流放電。4.4.1.2 定期保養為保證電池系統安全運行，建議電動汽車定期前往售后服務中心檢查（建議每 5000公里/每半年）。對電池

262、系統的定期保養與檢測，必須由專業人員操作，且保養與檢測場所應備有與電池系統接口配套的絕緣保護蓋，在操作前需對電氣接口安裝絕緣保護蓋，確保操作人員安全。定期保養與檢測可選擇如下項目：（1）均衡充電可利用維護接口使用診斷工具讀取電池系統內部電芯電壓一致性狀態，根據電芯電壓差異情況使用專門的維護儀、或者車載充電機進行均衡充電保養。（2）氣密性檢測檢測電池系統殼體防護狀態，使用專用檢測工裝對電池系統外部接口進行封堵，向殼體內部注入氣體，通過保壓法進行測試。（3）絕緣性能檢測檢測電池系統絕緣性能，可通過 2 種方式進行。車輛“啟動”狀態下，使用診斷工具讀取 BMS 軟件上報的絕緣值；（推薦）車輛“下電”

263、狀態下，使用絕緣測試儀檢測電池系統高壓輸出端對接地點的絕緣值。（4）外觀檢查檢查電池系統外殼及表面部件（接插件、壓力閥、緊固螺栓）是否存在變形、破損、裂紋、松動等情況。如發現異常，視情況進行開箱檢查。（5）故障碼檢查使用診斷工具讀取電池系統內部故障碼，對當前故障和歷史故障進行評估，對功能、安全相關的故障碼做進一步的診斷。113（6）冷卻系統檢查及維護，如風冷系統近出風口的過濾系統清理,保證散熱通道的暢通。水冷系統的冷媒進行定期檢測更換,避免由于冷媒的變性造成冷卻系統的冷卻性能及功能下降。4.4.2 動力電池年檢項目及方法為保證電動汽車電池系統安全運行，建議對電池系統進行定期年檢。電池系統年檢項

264、目可包含“電池系統保養、檢測規范”等相關檢測，同時可視需要增加電耗測試（整車）和容量測試等項目。如針對續駛里程衰減較明顯的車輛，可使用專業測試設備檢測電池系統容量、內阻、溫升等參數。若在年檢中發現特定故障，可開箱檢查電池系統內部狀態，重點關注箱內環境（是否有進水、泄漏）、零部件表面狀態（生銹、霉變）、接插件狀態、模組外形（是否有鼓包變形）、高壓連接點緊固狀態等等。如應重點關注碰撞事故歷史車輛以及長年限、長里程車輛。1145.電機電機系統與電系統與電驅動總成安全驅動總成安全5.1 總體要求隨著國家能源戰略導向、四階段油耗以及碳排放積分法規出臺，電動汽車將在未來占據更大市場。電動化汽車以純電動和混

265、合動力汽車為主。在混合動力汽車中，除了傳統發動機以外還有驅動電機系統，用以聯合驅動和制動能量回收。在純電動汽車中，電機則是唯一的動力驅動裝置。從電驅動總成發展趨勢和構型特點上看，乘用車驅動電機向永磁化、高速化、高壓化和集成化方向發展，現有主流產品最高轉速在 16000rpm 左右，未來轉速將達到 18000rpm或更高，預計 2035 年將達到 25000rpm 以上。直流母線電壓 150350800VDC 左右，電機輸出功率在 30kW350kW 之間，輸出扭矩在 100Nm500Nm 之間，配套合適速比的減速器或者變速器后電驅動總成輸出扭矩（輪端）2000Nm5000Nm；電機輸出與車輪驅

266、動軸同軸或者平行布置。對于商用車來說，當前城市公交大巴最主流的驅動形式是電機直接驅動，含電機匹配固定速比減速器的動力總成（輕型商用車應用廣泛），重型商用車通常采用電機匹配兩檔或者更多檔位變速器的動力總成。商用車驅動電機通常輸出功率在 50kW350kW 之間，專用工程車輛驅動功率需求可達 400kW 以上。不同載荷的商用車所需要的驅動電機轉矩從400Nm5000Nm 不同，商用車電機系統的直流母線電壓通常在 350VDC800VDC 之間或者更高。商用車最主要的驅動系統布置型式仍然是類似傳統商用車的動力總成通過傳動軸與主減速器連接的形式，輪邊驅動、集成式電驅動橋在商用車也有廣泛應用，未來將出現

267、輪轂電機驅動方式。在動力總成中，電機不僅是一個動力源、傳動部件，同時還是安全件和法規件。電機作為動力源，同發動機相比，電機可以四象限運行，以轉矩控制模式為主。在軟件功能或者硬件失效情況下，電驅動總成可能出現非預期的轉矩輸出，比如轉矩輸出沖擊過大、消失或反向等故障，造成意外的人員傷害。作為傳動件，電機是傳動鏈上的一環，電機轉矩波動或由于比例積分（PI）參數調整不當，可能導致傳動系扭振造成整車舒適性方面的問題。在高壓安全方面，除 48V 電機外，車用電機工作電壓都超過了安全電壓 60V，有的可達到 500V 甚至更高，存在高壓安全風險。整車上公告要求電機按照國標 GB/T 18488 試驗，115

268、在企業準入和補貼申領等環節都需要采集電機的編碼和殼體拓印等信息，因此電機是法規件。電驅動總成通常位于整車的底部，運行環境惡劣；電機大部分工況處于高速旋轉狀態，特別是乘用車驅動電機的工作轉速遠高于傳統燃油車的發動機工作轉速，由此帶來的機械安全問題尤其需要重視。電機穩態工作溫度通常在 120左右，部分工況下甚至達到或超過 160，電機控制器的最高工作溫度也會達到 100以上，電驅動總成溫度監測、防止永磁同步電機高溫退磁、防止高溫接觸燙傷等方面的要求亟待規范。電機控制器的功率電子開關器件和電容因設計、制造和使用不當等因素也易受高電壓沖擊、熱沖擊等發生失效導致爆炸、起火等事故。電驅動總成在復雜的環境里

269、工作，需要整個壽命期內適應各種氣候環境。特別是在夏季內澇嚴重地區和冬季嚴寒地區，電驅動總成的防護安全要求更加苛刻。相比于傳統燃油車，復雜電磁環境是電驅動總成需要面對的另一個挑戰，這對電驅動總成的電磁兼容性提出了更高的要求。電驅動總成高壓、大電流、高溫等工作特點導致了電驅動總成的維護保養與傳統燃油車動力總成相比有很大不同，維護保養過程中的人身安全需要特別關注。綜上，電機系統與電驅動總成安全應從高壓安全、機械安全、熱安全、防護安全（含電磁輻射與抗擾等）、安全保護策略、功能安全、維護保養安全等七個方面進行全面考慮。5.2 高壓安全相對于傳統內燃機汽車而言，電動化汽車一般有高達上百伏的電氣系統，超過了

270、直流安全電壓范圍（直流 60V），如不進行合理的設計與防護，將可能帶來人員電擊等高壓安全問題。在高壓安全方面應主要考慮如下技術要求和措施，如絕緣電阻、耐電壓、高壓安全標識、高壓接觸防護、等電位連接、高壓放電、高壓接口安全、漏電保護和碰撞后安全等。5.2.1 絕緣電阻要求5.2.1.1 電機定子繞組對機殼絕緣電阻要求應符合國標 GB/T 18488.1-2015 中 5.2.7.1 條的規定。5.2.1.2 電機定子繞組對溫度傳感器絕緣電阻要求應符合國標 GB/T 18488.1-2015 中 5.2.7.2 條的規定。1165.2.1.3 電機控制器絕緣電阻要求B 級電壓的電機控制器，應符合

271、GB/T 18488.1-2015 中 5.2.7.3 條的規定并滿足如下要求：1）動力端子對外殼，冷態及熱態絕緣電阻均不小于 1M；2）動力端子對低壓端子（非地），冷態及熱態絕緣電阻均不小于 1M；以上測量應按照最高工作電壓選擇兆歐表，測試方法按照GB/T 18488.2-2015中5.7.5的規定進行。5.2.1.4 絕緣檢測要求通常電池包內部集成的絕緣檢測功能可以針對整車高壓系統的直流側絕緣情況進行監測和報警。建議電機控制器具有交流側絕緣檢測功能。5.2.2 耐電壓要求按照電驅動總成的最高工作電壓設定測試電壓并考慮冷態、熱態，制定不同要求，具體如下：5.2.2.1 驅動電機繞組的匝間沖擊

272、耐電壓要求應符合 GB/T 18488.1-2015 中 5.2.8.1 條的規定，最高工作電壓是指三相交流線電壓有效值。5.2.2.2 驅動電機繞組對機殼的工頻耐電壓要求應符合 GB/T 18488.1-2015 中 5.2.8.2.1 條的規定。最高工作電壓是指三相交流線電壓有效值。漏電流控制值按照技術文件要求執行。5.2.2.3 驅動電機繞組對溫度傳感器的工頻耐電壓要求應符合 GB/T 18488.1-2015 中 5.2.8.2.2 條的規定。溫度傳感器對驅動電機殼體的工頻耐電壓測試要求和限值同 5.2.8.2.2 條的規定。5.2.2.4 驅動電機工頻耐電壓測試電壓及測試次數的要求按

273、照 GB 755 要求，驅動電機的工頻耐電壓應僅對成品電機進行測試，驗收時避免對117繞組重復進行全值耐電壓測試。如果應客戶需求進行第二次或多次耐壓測試時，試驗電壓值應為前一次測試電壓值的 80%，直到測試電壓降至 1500VAC 最低試驗電壓，測試時間為1 分鐘。對于完全重繞的繞組，等同新電機對待，采用全值耐電壓測試。對于部分重繞的繞組或經過大修后的電機進行耐電壓試驗，則推薦采用下述細則：1）對部分重繞繞組的試驗電壓值為新電機試驗電壓值的 75%。試驗前，對舊的繞組應仔細地清洗并烘干。2）對經過大修的電機，在清洗和烘干后，應承受 1.5 倍額定電壓的試驗電壓，如額定電壓為 100VAC 及以

274、上時，試驗電壓至少為 1000VAC，如果額定電壓為 100VAC 以下時，試驗電壓至少為 500VAC。5.2.2.5 電機控制器工頻耐電壓要求在產品認證時，電機控制器需按照 GB/T 18488.1-2015 中 5.2.8.2.3 條的規定進行工頻耐壓測試。對于有 Y 電容的電機控制器，允許出廠檢驗進行直流耐壓測試，測試值為規定的工頻耐壓值的 1.414 倍?？刂破髡麢C裝配完成后必須先進行絕緣和耐電壓檢測，測試通過以后才允許上高壓運行。耐電壓測試要求如下：1）電壓等級要求參照 GB/T 18488.1-2015 中表 2 的規定。2）試驗過程和實驗方法參照 GB/T 18488.2-20

275、15 中 5.8.4 條的規定。3）漏電流限值按照技術文件要求執行。因耐壓測試對某些器件產生一定的損傷，會影響到器件的使用壽命，所以應盡量減少耐壓測試的次數。如果應客戶需求進行第二次或多次耐壓測試時，試驗電壓值應為前一次測試電壓值的 80%，直到測試電壓降至 1500VAC 最低試驗電壓，測試時間為 1 分鐘。5.2.3 屏蔽與接地5.2.3.1 電機與電機控制器間高壓線束屏蔽與接地要求高壓多相連接系統應帶有屏蔽層，屏蔽層兩端與高壓部件外殼有效接地，實現電纜兩端 360 度全方位屏蔽，每端接地電阻不大于 40m。高壓屏蔽電纜屏蔽層應符合 GB/T25087-2010 中 6.3 條要求，并且滿

276、足整車電磁兼容要求。1185.2.3.2 控制器直流母線屏蔽與接地要求高壓連接系統應帶有屏蔽層，屏蔽層電機控制器端與控制器外殼有效接地，實現電纜360 度全方位屏蔽，接地電阻不大于 40m。5.2.3.3 位置傳感器線束屏蔽與接地要求位置傳感器線束應采用雙絞線，并外套屏蔽層，建議屏蔽層兩端良好接地。5.2.3.4 CAN 總線屏蔽要求建議電機控制器 CAN 通訊線束使用屏蔽雙絞線，屏蔽層在電機控制器端應良好接地；或者按照技術文件要求執行。5.2.3.5 電機、電機控制器及其他功率控制器接地要求驅動電機、電機控制器及其他功率控制器產品金屬外殼的接地電阻應不大于 100m。電機機座、控制器殼體等與

277、底盤或者車身地之間應有永久、可靠和良好的電氣連接。接地線端子的連接應可靠鎖緊并具備防松功能。5.2.3.6 等電位連接下圖是純電動電機系統的典型高壓拓撲。當高壓部件正負極均出現絕緣問題（如正負極同時與外殼短路或局部漏電）的情況下，為滿足人員防觸電要求，電機系統可導電外殼（遮攔）與整車底盤應實現可靠的等電位連接。圖 5-1電機系統典型高壓拓撲等電位連接形式可采用如下三種方式連接，如圖所示：1）通過導體：如可導電的支架1192）電線束：如等電位連接線，顏色為棕色3）直接連接：電機控制器直接通過螺栓與電平臺相連或者焊接在車身上圖 5-2等電位連接形式等電位連接要求：1）阻值要求；電機系統的可導電外殼

278、（遮攔）與整車底盤之間的電阻應小于等于 100m。2）短路電流：等電位連接應承載短路電流直至過流保護做出動作。3）壽命：等電位的電阻需保持直至高壓元件的指定壽命時間末。4）連接要求：對于與車身地緊固的等電位連接形式，等電位連接線及螺栓應耐腐蝕超過其指定壽命時間，并且不允許自動松開。5）接地端子不應兼作他用。6）接地端子的螺栓和整車地應有足夠截面，接地螺栓最小直徑按 GB 14711-2013 表3（同下表 1）的規定，接地導線截面積按 GB 755-2008 表 19（同下表 2）的規定。表 5-1保護接地螺栓最小直徑電機額定電流電機額定電流 A A保護接地螺栓最小直徑保護接地螺栓最小直徑 m

279、mmm2042020062006308630100010100012表 5-2接地導線截面積120相線截面積/mm接地導線或防護導線截面積/mm相線截面積/mm接地導線或防護導線截面積/mm449550661207010101507016161859525252401203525300150502540018570355.2.3.7 接地標志要求接地點應有明顯的接地標志。若無特定的接地點，應在有代表性的位置設置接地標志。接地標志依據 GB/T 4026-2019 標以保護接地圖形符號“”，必要時再應用字母符號“PE”標志。這些標志不應放在螺栓、可拆卸的墊圈或用作連接導線的可能拆卸的零部件上。5

280、.2.4 高壓接插件和連接器1）B 級電壓部件的遮攔和外殼應依據 GB 18384-2020，滿足 IPXXB 防護等級要求。2）選用的配對耦合高壓接插件物理結構上的連接引導部分應不同，以滿足防錯插功能。5.2.5 高壓放電在電機系統從高壓回路斷開后，由于電機控制器內部存在儲能器件，如直流母線支撐電容等，電機系統內部高壓并不會立即消失，而是慢慢下降，在常規維護或者售后維修時可能導致高壓電擊，造成人員傷亡。因此，為避免如上事故，電機系統需同時具備主動放電和被動放電功能，即使主動放電失效，被動放電依然有效，且在規定時間內必須降到安全電壓以下，具體要求如下：1215.2.5.1 主動放電要求在電動汽

281、車和混合動力汽車中使用的電機控制器輸入端電壓通常高于安全電壓，為保護人身安全，要求在電機控制器的直流側電容須配有放電電路，以快速降低直流側電容的電壓。電驅動總成必須具備主動放電功能。主動放電可以通過電機繞組或者外接專用放電電阻實施。按照 GB/T 18488.1-2015 中 5.5.3 條的要求，當 B 級電壓系統斷電后，應在 3s 內將直流母線電壓降至安全水平（直流電壓 60 V 以下）。5.2.5.2 被動放電要求電驅動總成還應具備被動放電的功能，在直流側接入被動放電元器件實施。即使主動放電功能無法完成，被動放電裝置仍可對直流側電容進行放電。此功能必須始終有效，而非被觸發后才有效。當 B

282、 級電壓系統斷電后，應在 2min 內將直流母線電壓降至安全水平（直流電壓 60 V以下）。5.2.6 高壓防觸電防護與警告電驅動總成上應具有高壓警示標志，高壓警示標志應滿足 GB 18384-2020 中 5.1 條的內容。圖 5-3高壓警示標志電驅動總成的 B 級電壓部件的遮攔、外殼、接插件都應通過以下兩種方式或其中一種滿足直接接觸防護的要求。1）帶電部分的基本絕緣；2）遮攔或外殼，防止接近帶電部分。3）B 電壓部件的遮攔、外殼、接插件至少要滿足 GB/T 4208-2017 中規定的 IPXXB 防護等級的要求。122如果遮攔或外殼可以徒手打開，則其可以打開的部分應具備高壓互鎖裝置，滿足

283、本文 5.2.7 章節的高壓互鎖要求。5.2.7 高壓互鎖高壓互鎖（High Voltage Inter-lock，簡稱 HVIL），是用低壓信號監視高壓回路完整性的一種安全設計方法。該互鎖回路首尾連接在自動斷開裝置上，當高壓電氣回路上任何一個高壓防護罩或插接件從回路上斷開，就會觸發一個低壓電信號，高壓立即被斷開，且高壓系統不能再次上電。對于滿足防護等級 IPXXB 的高壓接插件采用高壓互鎖措施；可拆卸的外殼采用高壓互鎖措施；如沒有互鎖措施，應能保證先觸發高壓系統的切斷并保證外殼拆掉前有足夠的時間使高壓系統電壓低于 60Vdc。高壓互鎖形式多樣，可以用公母端接插件對配、微動開關或機械互鎖等。推

284、薦乘用車產品具備高壓互鎖功能，建議商用車產品選用高壓互鎖功能。如果高壓接線系統具備高壓互鎖功能，系統的功率端子和信號端子應滿足：1）高壓連接系統連接時，功率端子先接通，信號端子后接通；2）高壓連接系統斷開時，信號端子先斷開，功率端子后斷開。5.2.8 高壓接觸防護可拆卸的電機控制器外殼，必須符合復雜拆卸，必須使用工具（非特指專用工具），并采用下列兩種方式之一進行外殼拆除：拆除三個以上螺栓或兩種不同型號螺栓才能除去外殼。只能使用配套的專用工具才能除去外殼，電機控制器安裝在前機艙內，完全裝配好的電機控制器防護等級應滿足 ISO20653 規定的 IPXXB 或 IPXXD。其他的可選措施包括高壓互

285、鎖或者延遲接觸：延遲接觸：應保證執行兩個獨立的操作后才能接近帶電部件，第一步操作必須觸發高壓系統的切斷并保證，第二步操作時高壓部件電壓已經低于 60Vdc 或低于 30Vac，人員觸電防護同時應滿足國標 GB 18384-2020 的規定。5.2.9 碰撞后安全如果整車使用過程中發出碰撞，電驅動總成需根據整車控制器指令執行以下一個或多個保護措施：1231）電機控制器切斷負載電流，無功率輸出；2）電驅動總成激活無負載狀態；3）激活電驅動總成安全狀態；4）對高壓電路主動放電。具體指標要求如下：1）當高壓系統切斷時，必須立即根據整車控制器要求開始高壓電路的主動放電；2）在碰撞信號發出的 3s 內，高

286、壓電路的電壓必須降到 60Vdc 以下。5.2.10 電驅動總成爬電距離和電氣間隙要求電氣間隙為兩導電部件之間在空氣中的最短距離，與產品沖擊耐受電壓、污染等級、海拔高度有關。5.2.10.1 電機爬電距離和電氣間隙要求根據電機的耐壓等級和海拔高度，參考國標 GB 14711-2013 中 11 章節的規定確定電動機的爬電距離和電氣間隙，具體要求見 GB 14711-2013 表 4（工作電壓 31V750V）及表5（1000V 以上，這個電壓平臺在當前電動汽車領域應用較少）。當工作電壓在 750V1000V之間，建議按照 GB 14711-2013 表 5 工作電壓 1000V 以上的爬電距離

287、和電氣間隙設計。5.2.10.2 控制器爬電距離和電氣間隙要求1）電機控制器高壓系統的電氣間隙和爬電距離參考 GB/T 16935.1-2008；2）根據耐壓等級、環境污染等級、工作海拔高度等確定電氣間隙；參考 GB/T16935.1-2008 表 F.2 和表 F.7，海拔修正系數參考 GB/T 16935.1-2008，表 A.2；3）根據環境污染等級、材料 CTI 值、工作電壓等確定爬電距離；參考 GB/T16935.1-2008 表 F.4；4）當主電路與控制電路或輔助電路的額定絕緣電壓不一致時，其電氣間隙和爬電距離可分別按照其額定值選取。主電路或控制電路導電部分之間具有不同額定值時，

288、電氣間隙與爬電距離應按照最高額定絕緣電壓選取。1245.2.11 高壓接口安全要求5.2.11.1 防松脫設計要求5.2.11.1.1 可插拔高壓接插件要求可插拔高壓接插件至少有兩級鎖止裝置，至少需要兩個不同的動作才能將其從相互的對接端分離；接插件之間具備防錯插功能?？刹灏胃邏航硬寮獫M足 GB/T 37133-2018 附錄 A 的要求。5.2.11.1.2 其它方式連接的要求高壓連接系統的電纜壓接、螺紋連接、焊接等連接裝置，應無松脫、斷裂等連接缺陷。5.2.11.2 高壓連接系統防護要求正常連接時高壓連接系統的防護等級應不低于 IP67。若高壓連接系統可不通過工具手動斷開，則非連接狀態的高

289、壓連接系統各部分的防護等級應滿足 IPXXB。5.2.11.3 高壓連接系統耐振動要求高壓連接系統的耐振動要求應滿足 GB/T 37133-2018 第 7.4 條的要求。5.2.12 低壓線束連接安全要求5.25.2.1.12 2.1.1 低壓線束連接可靠性低壓線束連接可靠性低壓連接系統的耐振動要求應滿足 QC/T 29106-2014 第 4.10 條的要求。5.25.2.1.12 2.2.2 低壓低壓插件碰撞插件碰撞保護保護要求要求設計時低壓接插件應布置于不易受碰撞的地方或者應有一定的防碰撞保護，避免系統在運輸、安裝、運行過程中受損。5.25.2.1.12 2.3.3 低壓低壓線束密封性

290、檢查要求線束密封性檢查要求正常連接時低壓連接系統的防護等級應不低于 IP67。5.3 機械安全相對于傳統內燃機汽車而言，電動汽車上驅動電機轉速通常遠超發動機，同時動力總成又有輕量化的設計要求，這就要求電驅動總成在開發及驗證環節必須特別重視產品機械強度、剛度與輕量化的工程矛盾處理。軸承是電驅動總成中較容易發生故障的關鍵零件，影響整車安全；相對于傳統變速箱系統，電驅動總成特有的高頻、高壓、大功率用電所導125致的軸電流容易使軸承發生早期電腐蝕失效。傳動系統的齒輪、軸系等都具有高轉速、高可靠運行的特殊要求。以上這些方面都使得電驅動總成的機械安全尤為重要。5.3.1 轉子強度電機轉子是電機能量轉換的重

291、要組成部件之一，是電機中主要的旋轉零部件，用于輸出電機的動力。轉子機械安全設計的主要方向是高轉速轉子鐵芯形變量控制，轉子沖片結構強度和許用不平衡量等。驅動電機轉子應能在所有規定工況下正常運行，而不出現影響使用的變形、松動、振動噪音增大、以及零部件的斷裂、破碎和脫落等異常情況。通過 CAE 輔助設計，同時評估轉子最高工作溫度工況，應考慮 1.2 倍電機最高工作轉速工況下，轉子鐵芯的形變量應小于電機氣隙的 10%，同時轉子鐵芯的最大應力應滿足安全系數要求。5.3.1.1 超速試驗要求驅動電機在熱態下應能承受 1.2 倍最高工作轉速試驗，持續時間為 2min，其機械結構應不發生有害變形。5.3.1.

292、2 轉子系統動平衡要求轉子動平衡量應滿足 GB/T 9239.1 標準規定的 G2.5 級及以上的標準，特殊要求除外。5.3.2 軸承可靠性5.3.2.1 軸承油脂、潤滑、密封維護要求軸承需要具有良好的工作環境，裝配、運輸及運行中不能有水或其他雜質進入軸承。允許軸承按照保養要求定期更換油脂甚至更換軸承，保證軸承潤滑和正常運行。電機內部拆裝維修時需要每次更換新軸承。維護軸承需要由專業廠家進行。5.3.2.2 軸承聲音主觀檢測要求對電驅動總成進行噪音出廠檢測，通過聲學設備判斷電驅動總成的噪音特征是否存在異常。必要時或條件暫時不具備時，可結合一定的主觀判斷。1265.3.2.3 軸電壓和軸電流的防護

293、較大的軸電流會導致電機軸承出現早期電腐蝕，降低軸承壽命，產生異常振動噪音，建議高頻 PWM 供電電機采取軸電流抑制措施。推薦采取以下主要措施抑制軸電流：1）設計合理的濾波器，減小變頻電源共模電壓，可以較好地消除 PWM 電機控制器產生的高頻諧波。2）電機一端軸承采取絕緣措施，來抑制軸電流。具體方法可以是采用絕緣軸承，或者在軸承座或端蓋軸承室上設置絕緣結構實現。3）雙端軸承絕緣的同時將軸與外殼直接短接，抑制靜電引起的共模軸電壓，同時可以進一步減小油膜電壓，保護軸承不受電腐蝕而損壞。5.3.3 殼體強度殼體的強度應滿足不同工況下車輛的使用需求，通常參考 GB/T 28046.3-2011 或客戶標

294、準，保證在發生碰撞的情況下，在保證車內人員安全的前提下，盡可能的減少對電機的損害。5.3.3.1 殼體離地間隙要求在整車的布置過程中，應保證驅動電機殼體要高于車架（或副車架）并留出一定的安全距離，確保車輛在滿載、過坑洼路面等極限工況下，防止電機拖底問題發生，保證行車安全。5.3.3.2 維護、檢查、防脫落要求電驅動總成在整車布局中的位置，應考慮在檢查、維護過程中的便利性。車輛在運行一定周期后，需要對電驅動總成等相關部件進行檢查、維護，通常采用力矩檢查法或劃線標記法（特殊情況）判別連接是否發生松動，一旦發現松動，應立即進行連接位置的鎖緊、防松。避免車輛在使用過程中發生驅動電機松動、脫落，從而導致

295、交通事故發生。5.3.4 機械防觸碰與警告車輛傳動裝置為旋轉部件，應在設計過程中考慮旋轉部件對人身造成的傷害，通過物理結構將旋轉部件與人體隔離。對于無法進行防護的旋轉部件，在周邊應粘貼或安裝醒目的警告標識，以避免對人身的傷害。127水接頭的設計應首先保證冷卻管路的密封性、承壓性和安裝便利性。保證冷卻水道的壓力檢測值不小于 250kPa 或依據客戶要求，通常采用濕式檢測法或干式檢測法判別水道的密封性和承壓性。高、低壓接插件應滿足產品的 IP67 防護等級，同時對線束在一定長度范圍內進行安裝固定，防止在長期振動環境下運行對接插件密封和保護造成傷害。接插件周邊和線束應設置有效的物理防護（例如金屬或非

296、金屬保護罩、網），防止在運輸、裝配、車輛運行過程中，破壞接插件。5.3.5 輸出法蘭防松脫檢查要求驅動電機系統輸出法蘭須與傳動軸連接可靠，避免松脫。車輛在運行一定周期后，需要對電機輸出法蘭、傳動軸及其相互間的緊固件等相關部件進行檢查、維護。通常采用力矩檢查法或劃線標記法判別電機連接是否發生松動，一旦發現松動，應立即進行連接位置的鎖緊、防松。避免車輛在使用過程中發生驅動電機松動、脫落，而導致交通事故發生。5.3.6 花鍵潤滑檢查要求動力總成通常由減（變）速器和驅動電機組成，而傳動軸通常為內/外花鍵連接，長期暴露在空氣中使用，極易發生銹蝕、磨損，造成花鍵連接失效。在設計之初應考慮花鍵的潤滑密封等問

297、題。通常在花鍵兩端設置有密封圈，在密封的花鍵腔體內，填充一定量的潤滑脂（油脂添加需適量，過量油脂會產生壓力損壞軸承），以保證花鍵潤滑有效。同時還應結合實際耐久試驗情況，給出花鍵潤滑脂的檢查間隔時間和油脂填充量，通常每 5 年或 10 萬公里或根據整車廠要求，進行一次檢查。同時給出花鍵磨損的判別標準，必要時需更換花鍵。5.3.7 轉軸的機械強度電機轉軸應能滿足整車各種工況下的最大扭矩輸出要求。電機軸的機械強度依賴于優化的結構設計、準確的受力分析和校核、材料選擇、熱處理和加工裝配等。如有必要，需進行靜扭試驗和扭轉疲勞試驗。參照標準 QC/T 1022-2015，靜扭強度后備系數應不小于 2.5 倍

298、的峰值扭矩。1285.3.8 變/減速器靜扭強度變/減速器靜扭強度后備系數不小于 2.5，試驗方法按照 QC/T 1022-2015 中的6.2.4.9。5.3.9 變速器換擋安全變速器換檔可靠，無亂檔，脫檔，換不上檔或摘不開檔的現象。5.3.10 駐車安全車速高于 5km/h 時，誤碰駐車功能按鈕時應不能駐車；當處于非駐車狀態時，無論發生任何異常情況，駐車機構都不能自動駐車；駐車后，駐車機構不能自動脫檔；當汽車需要行駛時，駐車機構能使汽車順利脫離駐車檔；應設有手動解鎖功能。5.4 熱安全熱失效是電驅動總成常見的失效形式，由于故障或長時間超負載運行，導致電機繞組燒毀或電機控制器功率模塊損壞，會

299、直接造成電動汽車失去動力，極大影響行車安全。因此在電驅系統設計中，必須考慮熱安全因素，采取相應的對策保證系統安全運行。電驅系統性能輸出能力往往受限于溫升和工作溫度限值。合理的溫度設計能夠最大化發揮電驅系統性能。溫度場仿真、試驗驗證和實時監控保護三位一體，共同保證電動汽車運行安全。電機定子絕緣系統壽命與其工作溫度強相關。經驗表明，絕緣材料在超過其工作溫度下使用，每增加 10，壽命減少約一半。長時間高溫下工作容易造成絕緣紙、絕緣漆等提前老化、失效，造成繞組短路燒毀等嚴重后果。電機熱性能設計的工作重點就在于控制電機工作溫度，保證壽命。電機轉子散熱條件一般較差，轉子鐵損和磁鋼渦流損耗產生的熱量容易累積

300、，造成轉子溫度升高。隨著電機向高速化發展，轉子將面臨更大的散熱壓力。在設計方面，可通過溫度場仿真可以對永磁體溫度做初步評估，但是面對復雜多變的實際使用工況不能完全覆蓋。在溫度監控方面，轉子作為旋轉部件，一般難以直接布置溫度傳感器實時監測轉子鐵芯和磁鋼的工作溫度，可通過建立轉子溫度模型實時估算轉子磁鋼溫度，并建立相應的溫度保護控制算法，保證磁鋼始終工作在其許用工作溫度范圍內。1295.4.1 熱預警、降額、保護5.4.1.1 溫度傳感器的冗余設計建議建議電機和電機控制器均采用兩路溫度傳感器進行溫度監測，并在儀表中實時顯示溫度較高的一路溫度傳感器的溫度。5.4.1.2 溫度傳感器測點與軟件設計關系

301、在電機系統研制過程中，建議進行多溫度傳感器樣機摸底測試。根據多溫度傳感器樣機測試結果，確定批量供貨產品的溫度最高點以及與其它可能埋置溫度傳感器的溫度差值，推薦溫度傳感器一個布置在三相中性點以監測三相溫度，另一個盡可能布置在溫度最高點。保護軟件編寫時，需要根據前述測試及溫度傳感器埋放位置，進行數據采集上報列表。一旦一個溫度傳感器失效，軟件在采樣切換到另一個有效溫度傳感器同時，也應根據切入傳感器采樣調整軟件報警溫度設置。另外軟件也要根據前述試驗認證留出足夠的安全裕量。5.4.1.3 過熱三級故障保護機制要求系統需要使用三級故障處理機制；處理策略應符合產品技術文件規定。推薦的保護策略見本章 5.6

302、節。5.4.2 轉子退磁：高溫下的退磁安全、轉子溫度估算永磁體會產生由溫度效應、過電流或不當電流控制角引起的退磁問題。電機設計階段要充分校核峰值工況和三相短路工況下的退磁臨界點，避免電機運行工況在臨界點以上。同時估算電機持續運行時的轉子溫度，保證在大電流負載和控制角下，永磁體的溫度不超過所選牌號磁鋼的退磁溫度限值。在電機系統研制階段，建議進行必要的退磁測試認證。建議建立比較準確的轉子溫度估算模型，并將估算模型納入控制軟件保護程序中。下面是一種溫度估算方案：通過大量測試建立定子繞組溫度與轉子磁鋼溫度之間關系曲線，在軟件中通過監控定子溫度，間接監控轉子磁鋼溫度。5.4.3 軸承耐溫、密封材料耐溫、

303、絕緣材料耐溫要求軸承耐溫應限制在極限工況溫度范圍內，溫度范圍由整車廠與電機供應商技術文件規130定。推薦軸承工作溫度范圍-40150。電驅動總成的密封材料，如密封圈、密封膠墊和油封等，其耐溫應大于 150。電機的絕緣材料耐溫等級應使用 H（允許工作溫度 180）級及以上耐溫材料（參考GB/T 20113-2006）。絕緣系統溫度等級取決于電機各種絕緣材料（絕緣紙、電磁線、絕緣漆和端部綁扎線等）的最低耐溫等級。供應商應在產品銘牌上明確標記絕緣系統等級。5.4.4 阻燃材料使用用于高壓連接的線束、注塑件的阻燃性能應符合 GB/T 2408-2008 規定的水平燃燒 HB級，垂直燃燒 V-0 級。B

304、 級電壓電纜防護用波紋管及熱收縮雙壁管的溫度等級應不低于125，熱收縮雙壁管的性能應符合 QC/T 29106-2014 中附錄 B 的要求，波紋管的性能應符合 QC/T 29106-2014 中附錄 D 的要求。5.4.5 人體防護與警告5.4.5.1 停機高溫警示任何可能被操作、維保人員觸及的高溫部件，例如殼體等，應有高溫警示標志。具體停機高溫警示要求由整車廠確定。舉例如下：對于采用 H 級絕緣的電機，當繞組溫度超過160C 時，整車面板上應提示電機溫度過高。電機繞組溫度達到 170 C 后應停機保護，停機后水冷電機金屬殼體溫度可能高達 120C，30min 內請勿直接用手觸摸，以免燙傷！

305、建議電驅動總成上粘貼當心高溫表面警示標志，當心高溫表面警示標志應滿足 GB2894 中 4.2.3 章節的內容。圖 5-4高溫表面警示標志5.4.5.2 故障報警要求當電驅動總成發生故障時，必須在儀表板進行提示，并進行聲、光、電綜合報警。1315.4.6 電驅動冷卻系統（水泵、管路、連接件等）定期檢查要求建議電驅動總成的冷卻系統每半年或整車行駛 4 萬公里，需要進行一次定期檢查或者按照整車廠提供的維護保養手冊執行。檢查冷卻管道外部、進出水口附近、電機、電機控制器上是否有冷卻液滲出；如有異常，判斷泄露部件，進行相應更換或維修。5.4.7 變/減速器油溫要求變/減速器油池溫度最高不應超過 130

306、度。5.5 防護安全IP 防護是機械安全設計必須考慮的因素，電驅系統的密封設計或選型應能滿足 IP6K7和 IPX9K 要求。電驅動總成在復雜電磁環境中工作，這對電驅動總成的電磁兼容性提出了更高的要求，電驅動總成既要具備嚴格的電磁輻射和傳導指標，同時也要具備優秀的抗干擾能力。5.5.1 防水/防塵設計：端蓋、軸密封性設計5.5.1.1 液冷（水、油等）介質防水、防塵要求驅動電機及控制器應具有防塵、防水能力，其防護等級應滿足標準或客戶規定的要求，最低要求是不低于 IP67。電機應滿足車輛在斷電狀態下，在水深 50 cm 水池浸泡 24h 后，整車開機，電驅動開關置于“ON”位置，電機及電機控制器

307、不應由于本身原因引起安全事故（例如：起火等）。5.5.1.2 油冷電機生產過程的防塵要求油冷電機在裝配和使用過程中，應特別注意電機的防塵。防止因灰塵、異物等進入電機內部，對絕緣、軸承等造成影響。需要針對不同的零、部件分別制定清潔度控制指標。清潔度的控制需要同時控制雜質總重量和最大雜質顆粒度兩項指標。清潔度指標按照企業內部標準執行。5.5.1.3 旋轉密封設計要求水冷式電機和油冷式電機的旋轉密封設計有明顯的不同，前者一般沒有潤滑介質，而132后者有潤滑介質。針對水冷式電機，如采用橡膠油封的傳統旋轉密封技術，會因為缺少潤滑，導致橡膠油封過早失效。1）規范油封的安裝，油封安裝完后，檢測密封性。2）電

308、機增加透氣閥，平衡電機內外部的氣壓，避免因為呼吸效應導致油封密封部位出現氣流的進出。旋轉密封件需要按照保養手冊定期檢查維護，必要時更換。5.5.1.4 控制器維修過程的防塵控制要求（針對現場維修）驅動電機控制器維修需要在干燥、無塵、有靜電防護的區域進行。維修前，需要徹底清潔驅動電機控制器，維修后，應進行全面測試，應完全滿足技術文件要求。5.5.1.5 高壓線束密封設計要求正常連接時高壓連接系統的防護等級應不低于 IP67。若高壓連接系統可不通過工具手動斷開，則非連接狀態的高壓連接系統各部分的防護等級應滿足 IPXXB。5.5.1.6 低壓線束密封設計要求正常連接時低壓連接系統的防護等級應不低于

309、 IP67。5.5.2 氣密5.5.2.1 驅動總成冷卻管路密封性檢查要求冷卻水道氣密需考慮充氣壓力、充氣時間和保壓時間。檢測時間和壓降需根據具體產品規格確定；也可以采用負壓法測試。5.5.2.2 電機旋轉密封檢查要求電機旋轉密封檢查通常采用兩種方法：1）按照 GB/T 4942.1-2006 標準進行相關要求的試驗；2）采用氣密測試需考慮充氣壓力、充氣時間和保壓時間。檢測時間和壓降需根據具體產品規格確定；也可以采用負壓法測試。1335.5.2.3 控制器密封檢查要求控制器冷卻水道密封檢查要求：需考慮充氣壓力、充氣時間和保壓時間。檢測時間和壓降需根據具體產品規格確定；也可以采用負壓法測試?？刂?/p>

310、器殼體密封檢查要求：在高壓接插件、低壓接插件耦合狀態下，需考慮充氣壓力、充氣時間和保壓時間。檢測時間和壓降需根據具體產品規格確定；也可以采用負壓法測試。5.5.2.4 電驅動總成高、低壓連接密封要求高壓連接系統和低壓連接系統正常連接狀態下，需考慮充氣壓力、充氣時間和保壓時間。檢測時間和壓降需根據具體產品規格確定；也可以采用負壓法測試。5.5.2.5 防冷凝要求電機系統及電驅動總成產品在其生命周期內防塵防水等級應達到 IP67，在此基礎上需要進一步考慮產品因溫度變化而引起內部壓強變化和呼吸效應，從而造成凝露現象，使產品腔體內積水，進而造成電氣故障及零部件銹蝕。電機系統及電驅動總成產品應選配合理透

311、氣量的防水透氣閥。透氣閥的選型：與箱體配合處防護在全生命周期等級達到 IP67等級。透氣閥通常安裝在產品的上部或側面。5.5.2.6 電驅動總成涉水及涉水后的檢查要求按照 GB 18384-2020 中 8.3.1 和 8.3.2 的要求：1）電機、電機控制器按照 GB/T 18488.1-2015 中 5.2.82 要求進行耐電壓測試.；冷態絕緣電阻應符合產品出廠測試標準。2）按照產品出廠測試標準檢查控制器、驅動電機氣密性。5.5.3 EMC 及防護：電磁噪聲對車載設備新能源汽車對 EMC 要求越來越嚴苛，很多整車廠零部件公司硬性指標要求電機控制器滿足 3 級標準，電機控制器設計過程中應考慮

312、電磁兼容性，電磁干擾主要通過輻射與傳導兩種途徑對電子設備產生影響。5.5.3.1 電磁輻射騷擾電驅動總成應滿足 GB/T 18655-2018（建議等級 3 限值）的要求及 GB/T 36282-2018134標準限值要求。電驅動總成裝到整車后，整車應滿足 GB/T 18387 的要求。按照 GB/T 36282-2018 的要求，在做發射類試驗時，電驅動總成應處于工作狀態，轉速為額定轉速的 50%，扭矩為額定扭矩的 50%，機械輸出負載達到持續功率的 25%。當轉速或扭矩達不到其試驗狀態時，可調整扭矩或轉速以達到持續功率的 25%，并在試驗報告中特別注明。5.5.3.2 電磁輻射抗擾性電驅動

313、總成應通過合理布置及屏蔽保護設計使其抗干擾性滿足表 3 中要求。表 5-3電磁輻射抗擾測試標準測試項目國標要求電波暗室法GB/T 33014.2-2016大電流注入法GB/T 33014.4-2016瞬態傳導抗擾度(電源線)GB/T 21437.2-2008瞬態傳導抗擾度(信號線)GB/T 21437.3-2012低壓瞬態傳導發射GB/T 21437.2-2008靜電放電GB/T 19951-20195.5.3.3 電磁輻射人體健康的安全性評估車輛在處于以下工況時，應按照 GB/T 37130-2018 進行試驗驗證；10Hz-400KHz 的磁場發射量符合 GB/T 37130-2018 附

314、錄 A 中表 A.1、表 A.2 和表 A.3 限值要求。1）靜態工況：車輛靜止狀態用電器全開，車輛動力系統高壓上電完成（PTReady）；2）動態工況：車輛 40km/h 恒速行駛；5.6 電驅動總成故障保護機制乘用車電驅動總成的保護機制至少需要包括下列內容，具體處理策略實施可由整車廠與電驅動總成供應商協商達成一致。商用車電驅動總成的保護機制可參考乘用車要求，可按照與整車廠協商結果執行。135乘用車涉及功能安全相關的故障保護需要考慮安全狀態。故障觸發機制和恢復機制需要根據整車廠需求來完成設計和驗證。5.6.1 故障觸發機制根據一個或多個條件的判斷，在一定的時間內判定當前故障狀態是否已被觸發的

315、機制，叫做故障觸發機制?；镜墓收嫌|發機制包括以下類型：當故障狀態被觸發后，根據當前的實際運行狀態，在盡量減小對駕駛人產生干擾的前提下將系統進入安全狀態的機制，叫做故障保護機制?；镜墓收媳Ｗo機制包括以下類型：1）電路板上單一物理量單次超出既定限值，觸發故障狀態?？梢允悄M信號觸發硬件故障保護，也可以是硬件驅動故障觸發故障保護。2）軟件內部單一量單次超出限值【可標定】，觸發故障狀態。3）軟件內部單一量多次超出限值【可標定】，觸發故障狀態。4）軟件內部單一量在一段時間 T【可標定】內 N【可標定】次超出限值【可標定】，觸發故障狀態。5）軟件內部單一量與實時監控計算值【不可標定，變量】的偏差超出限

316、值【可標定】，觸發故障狀態。6）軟件內部多個量超出限值【可標定】，并根據一定的邏輯判斷后，觸發故障狀態。7）主控芯片利用本身的檢測機制保證程序執行正確性，否則觸發故障狀態,(例如：主控芯片檢測時鐘等信息，故障的觸發是檢測鎖相環 PLL 的丟失（不可標定），)同時也要保證計算結果的正確，通過例如 lockstep 等機制檢測故障，程序流也可以依據芯片內置 watchdog 保證執行周期，同時檢測故障。8）外設其他功能安全芯片保證主控芯片正常工作，否則觸發故障狀態。具體時序參考芯片手冊。外設功能安全相關芯片檢測程序運行狀態。問答式檢測在線機制或超時時間（可標定）進入 Safety Sate 狀態。

317、9）在一段時間 T【可標定】內未完成預設功能，觸發故障狀態。這里預設功能不是指芯片本身的故障，而是電機控制器設計的基本功能，常見如：自學習，主動放電等。1365.6.2.故障保護機制（進入安全狀態或切換安全狀態）基本的故障保護機制包括以下類型：1）軟件檢測模擬值包含電壓、轉速、溫度等是否超出設置值【可標定】，系統進入ASC 主動短路狀態或三相開路狀態，上報故障信息，存儲故障信息，凍結相關數據幀。2）根據 IGBT 當前的狀態（正常、上橋故障、下橋故障），系統進入 ASC 上橋短路狀態或 ASC 下橋短路狀態。硬件檢測模擬值是否超出限制值或存在硬件驅動故障，系統進入ASC 主動短路狀態。3）根據

318、系統狀態，系統進入 ASC 主動短路狀態或三相開路狀態，上報故障信息，存儲故障信息，凍結相關數據幀。根據 IGBT 當前的狀態（正常、上橋故障、下橋故障），系統進入 ASC 上橋短路狀態或 ASC 下橋短路狀態。4）進入零轉矩模式。上報故障信息，存儲故障信息，凍結相關數據幀。5）進入跛行回家(Limp-home)模式，采取降額措施，具體降額的量以及比例與故障源物理量相關，其相關性可標定。上報故障信息，存儲故障信息，凍結相關數據幀。6）進入冗余模式，不做故障上報，存儲故障信息。7）故障條件消失時，清除故障，根據當前轉速、電壓等模擬信號，經過一定時間（可以標定）從主動短路 ASC 的安全狀態可以切

319、換到三相開路的安全狀態，進入低壓上電完成后的初始狀態模式。5.6.3 故障恢復機制當故障狀態被觸發并進入安全狀態后，根據當前的實際運行狀態，使系統退出故障狀態并具備重新實現原有功能的能力的機制，叫做故障恢復機制?；镜墓收匣謴蜋C制包括以下類型：1）鑰匙拔出，等待數秒后，重新執行 KL15 重新上低壓電喚醒，清除故障。2）KL15 重新上低壓電喚醒，清除故障。3）故障條件不滿足時，KL50 重新上高壓電，清除故障。4）故障條件不滿足時，CAN 通信發出特定指令后，清除故障。5）故障條件不滿足時，經過一段時間 T【可標定】后，或者滿足一定計數條件【可標定】，清除故障。6）故障條件不滿足時，自動清除

320、故障。一些降額故障或者 0 扭矩模式可以自動恢復，137但是建議恢復閾值的設計考慮滯環。5.6.4 電驅動系統故障保護示例下面是保護策略實施案例，供參考：5.6.4.1 轉矩反饋異常故障描述：實際轉矩與命令轉矩偏差超過一定范圍時，進行故障計數，同時，偏差在正常范圍內，故障計數值需要減少。根據故障計數值達到不同閾值進行分級處理，故障分級閾值可以進行標定。轉矩異常的原因可能是初始旋變位置錯誤或者電機參數不正常。故障處理策略：1）1 級故障進行降額處理，降額系數可標定，如果計數值小于故障閾值表示此故障可以進行恢復。取消降額保護。2）3 級故障根據當前轉速信息進行關管封脈沖或者主動短路處理，當轉速降低

321、到一定轉速時，主動短路狀態建議進入低壓上電完成后的初始狀態。5.6.4.2 CAN 通訊故障故障描述：1）超時監控。通過檢測同 ID 報文的 Livecounter 計數值來進行監控，當 Livercounter的不連續的情況出現一次，則記一次故障計數，當故障計數在一定時間內出現一定次數，則報出通訊失效故障，否則清 0 故障計數值。2）探測總線通信失效，發送信息回讀。MCU 從總線上回讀已發送信息并與原始信息做比較。MCU 發送一幀特殊信息幀給整車控制器，整車控制器經過一個周期回復此信息，MCU 接收到之后進行比較。如信息不一致，報出通訊故障。3）用于探測幀丟失，幀計數器。MCU 接收整車報文

322、時，整車發送給 MCU 的報文，對同一幀 ID，進行計數每個單獨的安全相關幀包含一個作為信息一部分的計數器。在生成每個連續幀時計數器值增加(翻轉)。MCU 隨后能通過驗證計數器的值是否增加了 1 來探測任何的幀丟失或者幀未更新。如果幀未更新的話，報出幀丟失故障。故障保護策略：通訊故障報出后可以進行降額處理，此故障在 CAN 通訊監測恢復后可以設置一定的扭矩恢復斜率，但是當 can 故障在一定時間內多次出現故障后建議取消恢復機制。1385.6.4.3 微控制器故障（舉三個例子，依賴芯片本身的安全機制）故障描述：1）時鐘頻率監測，MCU 提供內部時鐘監控功能，可以監測芯片各模塊的時鐘信號。芯片內可

323、以生成 100MHz 的時鐘信號，獨立于 PLL 系統工作。系統以這個時鐘為參考，生成一個參考計數器來校驗其他模塊的時鐘。如果計數器有溢出，則說明發生錯誤?？梢詸z測到計數器要么低于下限值（時鐘過慢）要么高于上限值（時鐘過快）。2）靜態隨機存取存儲器的錯誤探測糾錯碼，靜態隨機存取存儲器可以執行 4 個代碼間距的錯誤代碼修正，修正單字節錯誤和檢測雙字節錯誤。3）程序存儲器錯誤探測糾錯碼，為了預防數據損壞，程序存儲器中數據包含錯誤探測糾錯碼。在程序存儲器中數據可以進行兩個位誤差校正，三個位錯誤檢測。故障保護策略：根據芯片手冊查詢相關安全機制同時和硬件外圍電路的設計相關。5.6.4.4 高壓電容快速放

324、電故障故障描述：當主動放電時間超過 3 秒鐘，且母線電壓未降低到放電要求電壓時，報放電超時。故障保護策略：退出放電模式，或者切入其他放電模式，建議采用電機放電和電阻放電的其中一種方案。5.6.4.5 控制器直流側短路故障描述：當檢測到直流側發生短路時，報出故障。故障保護策略：控制器一般報出 Desat 故障，驅動芯片會關掉 IGBT，如果進入三相短路狀態，需要知道當前是哪個管報的 Desat 故障，轉速較低時，可以采用封脈沖處理。5.6.4.6 控制器交流側短路故障描述：分為相間短路、對殼體短路，對母線正或者對母線負短路，當交流傳感器檢測到過流或者其他驅動芯片報 Desat 故障。故障保護策略

325、：過流故障根據當前轉速信息進入關管封脈沖或者主動短路的處理策略，當轉速降低到一定值時，主動短路可以退出并進入關管狀態。Desat 故障同上。其中對殼體短路，一般會檢測出三相電流之和較大不合理。1395.6.4.7 自檢異常故障描述：MCU 檢測異常。故障保護策略：報自檢故障，禁止執行預充操作。自檢時間整車廠一般會明確要求。此外根據整車廠單獨要求會添加自學習功能，那么就要考慮自學習時間和自學習失敗的報警。5.6.4.8 過壓(高壓)故障描述：母線檢測電壓高于過壓閾值。故障保護策略：1）一級過壓：隨著電壓升高，電機響應扭矩線性降低。2）二級過壓：電機響應扭矩保持為 0。3）三級過壓：三相短路。當轉

326、速降低到一定值時，主動短路可以退出并進入關管狀態。避免車輛靜止狀態還處于三相短路中，導致 IGBT 燒毀。5.6.4.9 欠壓(高壓)故障描述：母線檢測電壓低于過壓閾值。故障保護策略：1）一級欠壓：隨著電壓降低，電機響應扭矩線性降低。2）二級欠壓：電機響應扭矩保持為 0。5.6.4.10 斷路/開路(高壓)故障描述：當檢測到斷路/開路時，報出故障，交流側斷路可以檢測三相不平衡。故障保護策略：根據當前轉速信息進入關管封脈沖或者主動短路的處理策略，當轉速降低到一定值時，主動短路可以退出并進入關管狀態。5.6.4.11 過流(高壓)故障描述：當檢測到過流時，報出故障。故障保護策略：根據當前轉速信息進

327、入關管封脈沖或者主動短路的處理策略，當轉速降低到一定值時，主動短路可以退出并進入關管狀態。1405.6.4.12 驅動電機過溫保護故障描述：電機溫度檢測高于過溫閾值，這里需要注意在熱安全中有提及，電機轉子溫度需要有必要的監控手段。故障保護策略：1）一級過溫：隨著電機溫度上升，電機響應扭矩線性降低。2）二級過溫：電機響應扭矩為 0。3）三級過溫：根據當前轉速信息進入關管封脈沖或者主動短路的處理策略，當轉速降低到一定值時，主動短路可以退出并進入關管狀態。5.6.4.13 驅動電機控制器過溫保護故障描述：控制器溫度檢測高于過溫閾值。故障保護策略：1）一級過溫：隨著電機控制器溫度上升，電機響應扭矩線性

328、降低。2）二級過溫：電機響應扭矩為 0。3）三級過溫：根據當前轉速信息進入關管封脈沖或者主動短路的處理策略，當轉速降低到一定值時，主動短路可以退出并進入關管狀態。5.6.4.14 驅動電機控制器低壓欠壓故障描述：當檢測到電機控制器低壓欠壓時，報出故障。故障保護策略：根據當前轉速信息進入關管封脈沖或者主動短路的處理策略，當轉速降低到一定值時，主動短路可以退出并進入關管狀態。5.6.4.15 旋變故障故障描述：1）SIN/COS 超出范圍（幅值超限）(DOS)；2）EXC 短路、開路，EXC 的相位和 SIN/COS 相位超范圍（LOT）；3）SIN/COS 短路、開路（LOS）；4）SIN/CO

329、S 正弦度不好（DOS）；5）SIN/COS 大小波（包絡幅值周期性變化）(DOS)。故障處理策略：進行故障計數，同時，偏差在正常范圍內，故障計數值需要減少。根141據故障計數值達到不同閾值進行分級處理，故障分級閾值可以進行標定。1）1 級故障進行降額處理，降額系數可標定，如果計數值小于故障閾值表示此故障可以進行恢復，取消降額保護。2）3 級故障根據當前轉速信息進行關管封脈沖或者主動短路處理，當轉速降低到一定轉速時，主動短路應當退出進入關管狀態。5.6.4.16 位置信息檢測異常故障描述：電機在轉矩控制過程中，不管是根據外部解碼芯片得到的位置信息，還是MCU 本身自帶的軟件解碼功能得到的位置信

330、息，都建議與估算轉子位置進行二次校驗。保證轉子位置信息的正確性。故障處理策略：當檢測到轉子位置偏差較大時，根據當前轉速選擇策略，需要切換無位置傳感器控制算法并降低扭矩輸出還是進入三相短路保護狀態。5.6.4.17 驅動電機超速故障描述：當檢測到電機轉速超過超速閾值時，報出故障。故障保護策略：1）一級超速：隨著電機轉速上升，電機響應扭矩線性降低。2）二級超速：電機響應扭矩為 0。3）三級超速：三相短路當轉速降低到一定轉速時，主動短路應當退出進入關管狀態。5.6.4.18 12V/24V 供電丟失或者異常故障描述：1）無供電、毛刺、震蕩、偏移；2）過壓；3）欠壓。故障處理策略：芯片檢測到供電異常切

331、入備用 12V/24V 電源，如果沒有備用電源則考慮延遲下電來進行降額停機處理。5.6.4.19 PWM 輸出異常故障描述：1421）常開；2）缺相（無輸出）；3）頻率漂移；4）占空比漂移；5）上升下降沿漂移。故障處理策略：根據當前轉速信息進行關管封脈沖或者主動短路處理，當轉速降低到一定轉速時，主動短路應當退出進入關管狀態。5.6.4.20 IGBT 功率輸出模塊異常故障描述：1）短路；2）過壓（母線電壓主接觸器斷開、集成電感過大）；3）過流（負載過大導致過流）；4）開路。故障處理策略：根據當前轉速信息進行關管封脈沖或者主動短路處理，當轉速降低到一定轉速時，主動短路應當退出進入關管狀態。5.6

332、.4.21 IGBT 結溫過高故障描述：控制器借助 IGBT 損耗等信息進行結溫估算，當超過一定閾值時，進行故障處理。故障處理策略：1）一級過溫：隨著電機控制器溫度上升，電機響應扭矩線性降低。2）二級過溫：電機響應扭矩為 0。3）三級過溫：根據當前轉速信息進入關管封脈沖或者主動短路的處理策略，當轉速降低到一定值時，主動短路可以退出并進入關斷狀態。5.7 電驅動總成功能安全功能安全主要作用：當危害影響發生時，讓電子電氣系統進入一個安全狀態并保持一個安全狀態。包含兩方面：系統失效（比如：錯誤系統設計）和隨機硬件故障（比如電子電氣元件老化）。其目的是使技術無法避免但又必須處理的危害最小化。143本指

333、南修改遵循 ISO 26262，適用于道路車輛上由電子、電氣和軟件組件組成的安全相關系統在安全生命周期內的所有活動。1）提供了一個汽車安全生命周期(管理、開發、生產、運行、服務、報廢)，并支持在這些生命周期階段內對必要活動的剪裁；2）提供了一種汽車特定的基于風險的分析方法以確定汽車安全完整性等級（ASIL）；3）應用汽車安全完整性等級（ASIL）定義-本指南適用的要求，以避免不合理的殘余風險；4）提供了對于確認和認可措施的要求，以確保達到一個充分、可接受的安全等級；5）提供了與供應商相關的要求。功能安全受開發過程(例如，包括需求規范、設計、實現、集成、驗證、認可和配置)、生產過程、服務過程和管理過程的影響。安全問題與常規的以功能為導向和以質量為導向的開發活動及工作成果相互關聯。本指南涉及與安全相關的開發活動和工作成果。本指南適用于安裝在量產乘用車上的包含一個或多個電子電氣系統的與安全相關的