(特约作者 夏军)
一、 前言
随着电动汽车的日益普及,与电动汽车相关的安全事故也逐渐增多,不断刺激着公众的神经,加深了公众对于新产品、新事物的疑虑。
4月26日下午,深圳一辆电动大巴在公交场站充电时发生燃烧和爆炸,事故现场浓烟滚滚,事故车辆最后只剩下骨架,所幸未造成人员伤亡。7月22日清晨,厦门市湖里区东渡南通道公交场站内的新能源公交车起火,共造成8辆公交车被烧毁、3辆公交车被烧坏,1名场站值班人员灭火时突然倒地,在120送医救治途中死亡。
在信息化社会,这些安全事故的新闻以小时甚至分钟为单位快速扩散,造成了非常不利的社会影响。我们无意指责相关的整车企业或电池企业,事故的原因是复杂而深刻的,从电池企业、整车企业、充电设备制造商、到公交运营公司,每个环节都存在问题和过失,才导致了最终的安全事故。
安全是产品的根基,不管什么情况,都不能以牺牲产品安全为代价,为追逐物质利益造成人员伤亡或重大财产损失。在社会充满喧嚣和浮躁的背景下,除了政府层面应该制定严格的法律法规和产品准入标准之外,每一家企业都应该承担起自己的社会责任,从自身的角度,尽可能杜绝产品的安全隐患。
作者本人曾长期从事电动汽车动力电池系统的开发工作,也曾担任产品级的安全经理,对动力电池系统的安全风险和防护设计有一定的认识。写作此文,希望与业界同仁一起分享,共同推动行业的良性发展。
二、 动力电池系统安全分析
1. 系统级危害
作为纯电动汽车的唯一能量来源和混合动力汽车的重要能量来源,动力电池系统的安全性显得非常重要,稍有不慎即可能成为事故的源头,造成严重危害。
动力电池系统的定义:是一个能量存储装置,包括电池单体(电芯)或电池模组,电路和电控单元,以及相关的电气和结构组件。
动力电池系统的安全特征:作为高能量载体,在不需要外部能量输入的情况下,本身就能够因能量非正常释放而产生巨大破坏力。
能量非正常释放的表现形式:
? 电能释放(电击)
? 化学能释放(燃烧,爆炸)
燃烧和爆炸两者都需具备可燃物、氧化剂和火源这三个基本因素。因此,燃烧和爆炸就其本质来说是相同的,而它们的主要区别在于氧化反应速度不同。燃烧速度(即氧化速度)越快,燃烧热的释放越快,所产生的破坏力也越大。在有限的空间里产生急速燃烧,产生高温高压气体,就会发生爆炸。
燃烧:化学能转化为热能、光能等
爆炸:化学能转化为热能、光能,并伴有巨大的机械能
动力电池系统的电特性:
? 输出电压通常高达300V以上(直流60V以上为非安全电压)
? 存储的能量达到kWh级别(1kWh=3.6MJ)
动力电池系统的化学特性:
? 电池单体中的电解液和系统中的塑料部件是可燃物,金属铝在高温下也会燃烧
? 电池单体中的正负极材料是氧化剂
? 电池单体中的放热副反应会引起温度快速上升,成为火源
动力电池系统的机械特性:
? 为了防水防尘,呈空间密闭状态
? 为了经受强烈的机械载荷,壳体材料具有足够的强度
2. 电击分析
动力电池系统为非安全电压的直流电系统,所造成的电击危害为人体直流触电。
构成直流触电的基本要素:
? 电压等级超过安全电压标准(直流60V)
? 存储的电荷达到一定能量等级(几百焦耳的电能足以致命)
? 人体与高压直流电的两级构成放电回路
直流触电发生的必要条件是带电物体的正负极必须与人体构成放电回路,直流触电的发生概率和危害都小于交流触电,交流触电只要人体接触某一相线,即可在相线、人体和大地之间构成放电回路。
导致动力电池系统发生触电的可能原因:
? 外壳或高压端口的接触防护失效,人体同时接触到两个裸露的电极,构成放电回路
? 正负极与壳体的绝缘都失效,动力电池系统的外壳不同部位带电且电位不等(电位差大于60V),人体同时接触到这两个带电部位,构成放电回路
第一种情况的发生概率和危害要高于第二种情况,如安装、拆卸、维护、充电时均有可能发生,第二种情况一般可以通过等电位的方式来做附加防护。
3. 燃烧和爆炸分析
相对于电击而言,燃烧和爆炸是动力电池系统最为常见的危害表现形式,造成的影响更为严重。
导致动力电池系统发生燃烧或爆炸的可能原因:
? 电芯的放热副反应导致热失控,引燃电解液、隔离膜和其他可燃物质
? 局部连接阻抗过大,导致温度上升,达到着火点温度,引燃动力电池包内部的可燃物质
? 动力电池包外部发生火灾,导致动力电池包温度持续上升,达到着火点温度,引燃内部的可燃物质
针对电动汽车的使用情况而言,第一种情况的发生概率最高,危害最大。电芯的放热副反应导致热失控,是动力电池系统发生燃烧或爆炸的主要原因。
锂离子电池内部主要放热反应有:
? SEI膜的分解(90~120℃);
? 负极与电解液的反应(120℃以上);
? 电解液分解(200℃左右);
? 正极与电解液的反应,伴随正极分解,析出氧气(180~500℃);
? 负极与粘结剂的反应(240℃以上)等。
电芯热失控(燃烧,爆炸)的原因:电芯内部的放热副反应导致热量累积,电芯对外热交换的速率小于热量累积速率,温度持续升高,直至达到着火点温度,引起燃烧和爆炸。
电芯内部的热过程遵循热量平衡:
Qp = Qe + Qa
Qp—电芯内部各种副反应产生的热量
Qe—电芯与环境交换的热量(散热)
Qa—电芯自己吸收的热量(热累积)
如果Qe ≥ Qp,则Qa为负值或零,电芯内部温度不会上升,不会产生热失控
如果Qe < Qp,则Qa为正值,电芯内部温度持续上升,直至热失控(200~300℃)
避免电芯热失控的措施:
? 采取保护措施,降低外部触发因素发生概率(过充、过热、短路、挤压、穿刺等);
? 阻断放热副反应的正反馈过程,如增加保险丝,或在正负极材料与集流体之间增加PTC材料;
? 降低放热副反应所产生的热量,如选择磷酸铁锂正极材料、改变电解液的有机溶剂成分等;
? 提高着火点温度,如在电解液中添加阻燃材料、选用陶瓷隔膜等;
? 提高散热能力,避免热累积,如采用高效的液冷设计方案等。
三、 安全防护设计
1. 整体思路
动力电池系统安全防护的根本原则:阻止电能和化学能在系统正常运行状态和某些非正常状态(法律法规、标准所规定的情况,以及典型的失效情况),以不可控的方式释放,或减轻其不可控释放所带来的危害。
安全防护设计的主要方法:
1) 阻止能量的不可控释放——预防危害发生
2) 阻断能量不可控释放的路径——阻止危害发生后的蔓延
3) 降低能量不可控释放的破坏——降低危害所造成的损害
针对电击危害:
? 被动预防为主,保证足够的绝缘强度和有效的接触防护
? 采取有效的主动干预机制(针对绝缘缓慢失效),阻止危害发生,保证安全裕量
? 一旦发生,因为能量释放太快(毫秒级),无法及时进行中断或降损
针对燃烧危害:
? 预防,中断和降损有效结合
? 主动防护,阻止过充,短路,过热等滥用情况,避免危害发生
? 良好的结构防护,保护电池在撞击,挤压,穿刺,跌落等情况下的安全性
? 良好的散热能力,降低内部热累计速度,避免热失控
? 内部组件的着火点温度阈值足够高,提高危害发生的门槛
? 防火槽,隔热材料,导火导热装置等中断火灾蔓延路径,阻止连锁反应
? 阻燃材料,降低燃烧损害
? 采取危险源检测与主动灭火装置
针对爆炸危害:
? 预防为主,避免燃烧
? 中断和降损为辅,在发生爆燃时,有泄压装置,快速释放高温高压气体,避免爆炸,或降低爆炸的力度
2. 工程方法
安全的防护设计,是一个系统工程,切勿从局部入手,仅根据某些典型的失效案例,采取有限的应对措施,或者仅根据国外和国内标准的要求,简单通过相关的测试和认证。
在产品的安全设计工作中,要追根溯源,抽丝剥茧,综合运用多种工程方法和措施,从系统级到子系统、部件、零件等各个层级都采取完整而有效的解决方案,从而实现整个系统的安全性。
在项目的早期,产品仅处于概念或草案阶段,此时需要结合已有的工程经验,综合考虑产品所面向区域的法律法规、标准规范、典型案例、客户需求等因素,确定产品的系统级安全目标。
项目早期(概念阶段):
? 工程经验
? 法律法规
? 标准规范
? 已有案例
…
在产品的方案阶段,则要根据产品的总体架构和接口定义,基于产品的系统级安全目标,综合运用头脑风暴、鱼骨图分析、FTA、System-FMEA、建模仿真等工程方法,确定详细的安全目标和相关指标,并分解至子系统或零部件,同时确定相互之间的安全设计配合。
项目早期(方案阶段):
? 头脑风暴
? 鱼刺图(鱼骨图)
? FTA(故障树分析)
? S-FMEA
? 仿真
…
在接下来的开发过程中,仍然需要将安全的相关设计目标往下分解,直至最底层的零件,建立完善的需求分解和追溯系统。运用DFMEA、测试、安全评估等方法,验证安全设计的有效性和完整性。
项目过程中(设计/验证阶段):
? D-FMEA
? 测试
? 安全评估
…
在产品的安全设计方案方面,应该结合主/被动安全防护设计,达到最佳的安全防护效果,提升动力电池系统的安全性能。
被动安全防护设计:
? 结构强度
? 绝缘材料
? 防水防尘
? 快速散热
? 防火阻燃
? 压力泄放
…
主动安全防护设计:
? 专有的安全防护电路与软件模块
? 绝缘、烟雾、压力、气体、液体检测
? 达到阈值门槛,执行报警、切断输出、主动灭火等措施
…
通过系统级防护设计和零部件防护设计相互结合,能够获得较高的安全冗余,从而提升动力电池系统的安全性能。
系统级安全防护设计:
? 环境防护
? 滥用防护
? 压力平衡
? 主动安全防护
…
零部件级安全防护设计:
? 电芯在极端情况下的安全性
? 部件在高温下的阻燃特性
? 控制单元的功能安全
…
3. 建立企业内部规范
欧美企业在发展过程中,会逐步建立自己的产品开发规范,从设计要求、设计方案、设计检查、评审评估等各个方面都有严格规定,从而在企业内部建立一个防火墙机制。国内企业在这方面则重视不够,产品开发过程受人的影响非常大,不能将经验的积累转化为一种制度性的强制约束,会一而再再而三的重复别人或自己曾经犯过的错误。此外,每个公司的资源都是有限的,如果不同产品的经验不能积累成通用化的平台并充分共享,必然导致资源的投入永远跟不上业务扩张的速度,企业决策和管理层疲于奔命,工程师累的崩溃,产品问题层出不穷。
在动力电池系统的安全防护方面,企业应该逐步为自己建立一个行之有效的安全设计规范,来约束不同产品的开发目标和过程。如有可能,应该逐步推动企业内部标准的建立。
四、 总结
从2013年开始,电动汽车的发展呈现出一种比较“火热”的状态,一是发展的速度确实以倍数在增长,不仅是中国市场井喷,全球电动汽车的产销都在快速增长;二是安全事故层出不穷,国内外都有很多案例,除了新事物本身的不成熟之外,企业的社会责任感不足也是非常重要的因素,在涉及到人身安全的产品推广和普及方面,我们应该慎之又慎。
本文写作的目的,不是要阐述某个具体的动力电池系统安全设计方案,不同的产品,其类型、应用、架构都有很大差异,所采取的安全方案也不完全一样。我们的目的,是探讨如何在系统层面把握产品安全分析和设计的方法,建立适合自己的一套体系和规则。
在整个行业还不成熟,且国内的技术水平还明显落后于国外的情况下,我们反对照搬国外的游戏规则,如同在温饱问题没有解决的情况下,不要过度追求物质享受。如ISO 26262标准所规定的体系要求,在未来的几年内,国内没有一家企业可以达到,与其耗费大量资源去钻研国外的规则,不如踏实做好自己的工作,一步一步积累,推动产业的健康发展。产业发展到一定阶段的时候,接轨甚至超越都是很自然的事情。
在新能源汽车的发展道路上,我们任重而道远。
相关文章
[错误报告][推荐][收藏] [打印] [关闭] [返回顶部]