电动汽车标准详解(EV Regulations & Standards)
本质 EV 标准不是法规清单,而是**「四类事故域 × 三层证据链」的工程合规系统**。四类事故是 HV 触电 / 电池失控 / 充电异常 / 网络入侵;三层证据是法规层(说目标)→ 技术标准层(给方法)→ 试验矩阵层(出证据)。读任何一条标准的正确路径是:先定位事故域,再追溯到法规条款(UNECE R / FMVSS / GB),再下钻到技术标准(ISO 26262 / 21434 / IEC 62133)和试验项(针刺、HVIL、绝缘、TARA)。
学习目标
读完本页后,你应该能够:
- 把任何一条 EV 标准定位到"事故域 × 三层证据"双维网格的具体位置
- 拆解 UN R100 / FMVSS 305 / GB 18384.3 的要求清单和试验项
- 写出 GB 38031 五大滥用试验(针刺/挤压/过充/外短路/加热扩散)的样品、条件、判据
- 描述 UN 38.3 八项试验的顺序、分组规则、合格判据
- 区分 ISO 15118-2 与 -20 的协议差异、Plug & Charge 路径
- 串联 R155/R156 → ISO 21434/24089 → CSMS/SUMS 证据链
- 解释 ISO 26262 与法规的"引用-被引用"关系,分清"安全目标"与"安全证据"
- 列出整车 EMC(R10 / GB/T 18387)、零件 EMC(CISPR 25 / ISO 11452)、瞬态抗扰(ISO 7637 / ISO 16750)的层级
- 给出 800 V 乘用车出口欧洲的完整时间表与试验矩阵
1. 标准体系全景:事故域 × 三层证据
1.1 为什么是这种双维结构
任何 EV 标准都同时回答两个问题:「这条标准防什么事故」(域)和**「它在合规链里扮演什么角色」**(层)。前者把成千上万条标准分成可管理的几个家族,后者帮你判断"读到这条标准时,我是在看法律文本还是工程方法"。两个维度交叉就是一张二维表,任何一条标准都能精确落位。
1.2 四类事故域
EV 法规按事故域分四类管辖——HV 安全(触电)、电池安全(火灾)、撞车安全(变形)、充电安全(漏电)。每类对应不同法规和测试方法,不能用一个覆盖另一个。
| 事故域 | 后果严重度 | 法规年龄 | 主导规范 |
|---|---|---|---|
| 整车 HV | 一次失效致命 | 1999+ | R100 / FMVSS 305 / GB 18384 |
| 电池 | 群体伤亡风险 | 2018+ | GB 38031 / UN GTR 20 / UL 2580 |
| 充电 | 财产损失为主 | 2010+ | IEC 61851 / ISO 15118 / GB/T 27930 |
| 网络 | 长期累积 | 2020+ | UN R155 / R156 / ISO 21434 |
事故越严重、法规越成熟。整车 HV 1999 年就有强制要求(FMVSS 305 立法),网络安全直到 2020 年 UN R155 才把"软件事故"写入法律——法规年龄反映的是行业共识形成的速度。
1.3 三层证据链
事故域定下后,往下展开三层证据:法规层给"做什么"(Safety Goal),技术标准层给"怎么做"(FMEDA / TARA / 信号链设计),试验矩阵层给"做完了的证据"(针刺、绝缘、HVIL、过充)。三层之间的引用关系是:法规强制引用技术标准(如 R100 引用 ISO 26262),技术标准指定试验矩阵(如 ISO 26262 指定故障注入测试范围)。
| 层级 | 输出物 | 谁来定 | 例子 |
|---|---|---|---|
| 法规层 | 强制要求条款 | 政府 | UN R100 §5.1, FMVSS 305 |
| 技术标准层 | 工程方法论 | ISO/IEC/SAE | ISO 26262 ASIL D |
| 试验矩阵层 | Pass/Fail 判据 | 试验机构 + OEM | UN GTR 20 针刺判据 |
记忆要点:法规说"你必须安全" → 技术标准说"怎么才算安全" → 试验矩阵说"拿这些数据来证明"。三层都过齐,才叫合规。
2. 区域监管框架对比
2.1 三种监管哲学
不同区域的差异主要不是技术差异,是追责机制差异。理解这一点能解释为什么"同一个 R100 试验在欧洲一周搞定,到美国变成两个月"——不是试验难,是流程不同。
| 区域 | 哲学 | 上市路径 | 责任人 |
|---|---|---|---|
| 欧盟 UNECE | 事前批准 | WVTA 整车型式认证 | Technical Service + 国家机关 |
| 美国 FMVSS | 事后追责 | OEM 自证 + NHTSA 抽查 | OEM 自己 |
| 中国 GB+CCC | 准入管制 | CCC 强制 + 工厂年审 | CQC/CTC + 工厂 |
| 日本 JIS | 类型审查 | MLIT 型式 / 自认 | OEM + MLIT |
| 韩国 KS | 准入管制 | KC 认证 | KATRI |
| 印度 AIS | 类型审查 | ARAI 认证 | ARAI |
欧盟 WVTA 的特征是互认:拿一证全 27 国通用,前期重;美国是事后召回:上市轻、出事重;中国是持续监管:CCC 不光在认证时严,每年的工厂审核也不能松。三种机制设计反映三种治理哲学。
2.2 等价试验对照
很多试验内容相同但报告不互认。常用 cross-walk 表:
| 试验 | UNECE | FMVSS | GB | 备注 |
|---|---|---|---|---|
| HV 触电防护 | R100 §5.1 | 305 S5.4 | 18384.3 §5 | GB 涉水更严 |
| 碰撞后 HV | R100 §5.4 | 305a S6 | 31498 | 305a 1h 放电更严 |
| 电池滥用 | GTR 20 | UL 2580 | 38031 | 中国保留针刺 |
| 充电接口 | IEC 61851-1 | SAE J1772 | GB/T 20234 | 三套不互通 |
| 整车 EMC | R10 | 无强制 | 34660 | 美国仅 FCC 商业 |
跨区域销售的策略是设计取最严工况的并集,让同一硬件可走多个证书。
3. HV 安全:UN R100 / FMVSS 305 / GB 18384.3
3.1 核心 Safety Goal
三国法规都回答同一个 Safety Goal:任何场景下,乘员、维修工、施救者不能触电。从这个目标推出五个工程要求:
- 隔离监测(IMD):HV 与底盘绝缘电阻 ≥ 100 Ω/V (DC) / 500 Ω/V (AC)
- 可触及电压:所有可接触点 ≤ 60 V DC / 30 V AC
- HVIL 互锁:拆解任何 HV 连接器立即触发主接触器断开
- 主动放电:断电后 5 s 内 HV 母线 < 60 V(车辆侧)/ 1 s(驱动器侧)
- 碰撞后 HV 隔离:撞车 + 电解液不流入乘员舱 + HV 自动断开
这五条不是孤立条款,而是 Safety Goal 直接分解的结果:触电 = (人能碰到) + (电压足够伤人),所以隔离 + 限压双管齐下;非常态(拆解、碰撞)下默认进入安全态。
3.2 R100 要求详表
R100 的16 条具体要求覆盖 5 个 Safety Goal——下表把每条要求与对应 SG、数值限值、验证方法并列。新人按这张表逐条 self-check 项目设计是否合规。
| 条款 | 要求 | 数值/限值 | 验证方法 |
|---|---|---|---|
| §5.1.1.1 | 直接接触防护 | IPXXB 测试指 | 针探防护试验 |
| §5.1.1.2 | 间接接触 | 电位均衡阻抗 | 接地路径测量 |
| §5.1.1.3 | 隔离阻抗 DC | ≥ 100 Ω/V | 兆欧表测试 |
| §5.1.1.3 | 隔离阻抗 AC | ≥ 500 Ω/V | 介电测试 |
| §5.1.1.4 | HVIL 监测 | 任一互锁断 → safe state | 故障注入 |
| §5.2 | 主动放电 | t < 5 s @ V < 60 V | 示波器 |
| §5.3 | 防意外接触 | IPXXD 工具进入 | 试探针 |
| §6 | 碰撞后 | 60 s 内 HV 隔离 | 三向碰撞 |
3.3 R100 试验矩阵
R100 不是一次试验,是一套试验链。OEM 要拿 R100 证书要过下面这串:
| 试验项 | 试验对象 | 条件 | 判据 |
|---|---|---|---|
| 绝缘电阻 | 整车 + HV 件 | 25 ℃ + 高湿 | DC ≥ 100 Ω/V |
| 介电强度 | HV 部件 | 2×Vmax+1000 V, 1 min | 漏电流 < 5 mA |
| HVIL 故障注入 | 互锁链路 | 拔出任一连接器 | < 100 ms 断开 |
| 主动放电 | DC 母线 | 切断接触器后 | 5 s < 60 V |
| 直接接触 | 接线端子 | IPXXB / IPXXD | 试探针不触带电 |
| 涉水 | 整车 | 30 cm × 500 m | 绝缘 ≥ 100 Ω/V |
| 碰撞集成 | 整车 | R94/R95 三方向 | 60 s 内 HV 隔离 |
每一项的"条件 + 判据"都直接来自 §5/§6 条款,没有自由发挥空间——这就是法规层与试验矩阵层的强对应。
3.4 FMVSS 305 / 305a 关键差异
305a(2024 更新)是 FMVSS 305 的 EV 时代升级版。比 R100 的关键差异:
- 放电窗口:305a 要求碰撞后 1 h HV 仍 < 60 V(R100 是 60 s + 持续监控)——更严
- 电解液泄漏:305a 量化为"≤ 5 L (任一方向) + 不进入乘员舱"
- 自证机制:OEM 不向 NHTSA 申请批准,自己签 Compliance Certificate;NHTSA 抽查后若不合格则全国召回
- 试验机构:可以是 OEM 自己实验室(A2LA 认可)或第三方(MGA Research、Calspan、ITS)
3.5 GB 18384.3 中国特色
GB 18384.3-2015 与 R100 大量条款对齐,但有三个差异:
- 涉水更严:800 mm 涉水 + 静置 30 min(R100 是 300 mm × 500 m)
- 盐雾:48 h 盐雾后绝缘电阻不下降——欧洲法规没有
- 湿度循环:温度 25-55 ℃ + 湿度 95 %,500 h,绝缘维持
这三个差异都源于中国南方雨季 + 沿海盐雾路况——GB 标准是反映本地工况的典型案例,不是简单照抄 UNECE。
4. 碰撞与机械安全
4.1 法规分布
EV 的"碰撞集成"分两层:普通碰撞法规(不分油电)+ EV 专属碰撞集成(撞完后 HV 状态)。前者是 R94/R95/FMVSS 208/214 的领地,后者是 R100 §6 / FMVSS 305a §S6 / GB 31498 的领地。
| 法规 | 撞击方向 | 速度 | 备注 |
|---|---|---|---|
| R94 | 正面(变形屏障) | 56 km/h | EU 老车型 |
| R137 | 正面(全宽) | 50 km/h | 2019+ 替代 R94 |
| R95 | 侧面(变形屏障) | 50 km/h | 经典 EU |
| R135 | 侧柱碰 | 32 km/h | 2014+ 推荐 |
| FMVSS 208 | 正面(刚性壁) | 48 km/h | US |
| FMVSS 214 | 侧面 | 53 km/h(动)/32(柱) | US |
| GB 11551 | 正面 | 50 km/h | 中国 |
| GB 20071 | 侧面 | 50 km/h | 中国 |
| GB 31498 | 碰撞后 EV 安全 | — | 撞完后判 |
4.2 碰撞后 EV 安全判据
R100 §6 / 305a §S6 / GB 31498 共同要求碰撞后的响应链:
碰撞 t=0 → 60 s 内 HV 自动隔离
→ 1 h 内可触及电压 < 60 V (305a)
→ 电解液 ≤ 5 L 泄漏 / 不进入乘员舱
→ 电池起火 → 5 min 警示时间 (GB 38031 联动)
→ 救援人员可安全切断 HV (标识 + 切断方案)
这条链是唯一一条把碰撞、HV、电池、救援四个领域串起来的合规要求。OEM 设计高压控制策略时必须考虑碰撞传感器(加速度突变)→ 主接触器断开 → BMS 进入安全态 → 救援端口可见的整条响应链。
5. 电池在用安全:UN GTR 20 / GB 38031 / UL 2580
5.1 三阶层试验矩阵
电池试验按"装配层级"分三阶。每个层级的滥用试验目标不同:单体看材料本征安全(针刺会不会自燃);模组看机械固定(震动后短路?);包看系统响应(一个单体失控会不会带垮整包)。
5.2 GB 38031 强制条款
GB 38031-2020 是全球最严的强制电池安全国标之一。完整试验矩阵:
| 条款 | 试验 | 样品 | 条件 | 判据 |
|---|---|---|---|---|
| 8.1.1 | 振动 | 整包 | 12 axes × 21 h | 不起火不爆炸 |
| 8.1.2 | 机械冲击 | 整包 | 三方向 50 g | 同上 |
| 8.1.3 | 模拟碰撞 | 整包 | 28 g (X) / 15 g (Y) | 同上 |
| 8.1.4 | 挤压 | 整包/模组 | 100 kN 或 30 % 形变 | 同上 |
| 8.2.1 | 湿度循环 | 整包 | 6 cycles 0-65 ℃ + 95 % | 同上 |
| 8.2.2 | 浸水 | 整包 | 1 m 深 30 min | 同上 |
| 8.2.3 | 外火 | 整包 | 油盘燃烧 | 同上 |
| 8.2.4 | 高低温冲击 | 整包 | 5 cycles -40~80 ℃ | 同上 |
| 8.2.5 | 过温 | 模组 | 130 ℃ 30 min | 同上 |
| 8.2.6 | 温度循环 | 模组 | -40~85 ℃ 多循环 | 同上 |
| 8.2.7 | 外短路 | 模组 | < 5 mΩ 至降温 | 同上 |
| 8.2.8 | 过充 | 单体 | 至 BMS 断或 1.1×Vmax | 不起火不爆炸 |
| 8.2.9 | 过放 | 单体 | 至 0 V 或 1 h | 同上 |
| 8.2.10 | 加热 | 单体 | 130 ℃ 30 min | 同上 |
| 8.2.11 | 挤压(单体) | 单体 | 50 % 形变 | 同上 |
| 8.2.12 | 针刺 | 单体(推荐) | φ3-8 mm 钢针 | 不起火不爆炸 |
| 8.2.13 | 热扩散 | 整包 | 触发单体热失控 | 5 min 内不蔓延 + 报警 |
5.3 5 分钟热扩散:核心条款拆解
8.2.13 是 GB 38031 最有名的条款。试验流程:
触发方式(任选):
A 加热 单体表面 > 300 ℃ 持续
B 针刺 单体内部短路
C 过充 1.1 SOC + 持续电流
触发后监测:
t=0 触发开始
t=Δt 单体热失控(电压跌、温度峰、产气)
t=Δt+5min 整包必须:
① 不起火、不爆炸
② 警告信号给乘员(声/光)
t=Δt+任意 救援人员安全撤离
判据(必满):
- 主体爆炸碎片不超过预设区域
- 警示信号 < 5 min 内出现
- 蔓延限制:邻近单体不进入热失控
这条条款直接驱动了:BYD 刀片电池(扁平化,热扩散路径长)、CATL CTP/NP(无模组+热障+泄压)、SVOLT 短刀。法规倒逼工程创新的典型——没有 5 min 要求,三元 NCM 包做大模组就能 cover 成本,刀片 LFP 只是利基;有了 5 min 要求,结构创新必须配套,刀片才进了主流。
5.4 UN GTR 20 与 R100 的关系
UN GTR 20(2018)是 UNECE 与中国合作的电池安全全球技术规则,被 R100-02 引用为附录。条款集与 GB 38031 高度重叠:
| 试验 | UN GTR 20 | GB 38031 | 差异 |
|---|---|---|---|
| 振动 | 8.1.1 | 8.1.1 | GB 时间更长 |
| 机械冲击 | 8.1.2 | 8.1.2 | 等效 |
| 湿度循环 | 8.2.1 | 8.2.1 | 等效 |
| 外火 | 8.2.3 | 8.2.3 | 等效 |
| 过充 | 8.2.4 | 8.2.8 | 等效 |
| 短路 | 8.2.5 | 8.2.7 | 等效 |
| 针刺 | 未列入 | 保留 | 关键差异 |
| 热蔓延 | 8.2.7 信息性 | 8.2.13 强制 | 中国早 5 年强制 |
5.5 UL 2580 与 SAE J2464
北美电池安全走 UL 2580(认证)+ SAE J2464(试验方法)的组合。UL 2580 试验项与 GB 38031 大致同源,但:
- 不要求针刺
- 热失控试验 SAE J2464 提供方法,但 UL 2580 不强制 5 min 蔓延限制
- 北美 OEM(GM、Ford、Tesla)通过 UL 2580 + 自定义内部标准(高于 UL)合规
6. 电池运输安全:UN 38.3
6.1 法规背景
UN 38.3 出自《联合国危险货物运输试验和标准手册》第 38.3 节。它是电池运输的国际通行证——海运(IMDG)、空运(IATA DGR)、陆运(ADR/RID/DOT)都把 UN 38.3 作为先决条件。没有 UN 38.3 证书的电池过不了海关。
6.2 八项试验(链式串联)
T1-T5 用同一组样品做(任何一项失败终止全证书);T6-T8 用新样品。
T1 高度模拟 (低气压 11.6 kPa, 6h)
↓
T2 温度循环 (-40 ↔ 75 ℃, 10 cycles)
↓
T3 振动 (7-200 Hz, 3h × 3 axes)
↓
T4 冲击 (150 g, 6 ms × 3 方向)
↓
T5 外短路 (< 0.1 Ω, 至降温)
↓
T6 撞击/挤压 (单体 9.1 kg @ 61 cm 落, 整包 13 kN)
↓
T7 过充 (仅可充, 2× 额定电压, 24 h)
↓
T8 强制放电 (仅一次性电池)
6.3 样品分组与判据
UN 38.3 对样品分组要求严格:
| 分类 | 样品数 | 状态 |
|---|---|---|
| 一次电池 | 4 充 + 4 放 | 单体 |
| 可充电池 | 4 充 + 4 半充 | 单体 |
| 一次电池 | 2 充 + 2 放 | 模组 |
| 可充电池 | 2 充 + 2 半充 | 模组 |
每项试验后判据:不起火、不爆炸、不泄漏;外观无机械变形;电压 ≥ 试验前 90 %;试验后 1 h 观察无异常。
6.4 与电池在用安全的边界
UN 38.3 与 GB 38031 / UN GTR 20 管辖范围不重叠——前者管运输安全(冷僵搬运过程),后者管使用安全(车上正常工作)。两者都要过,不能一份代替另一份。
| 维度 | UN 38.3 | GB 38031 / UN GTR 20 |
|---|---|---|
| 阶段 | 运输 | 使用 |
| 监管者 | 海事/民航/陆运 | 车辆管理 |
| 样品 | 单体 + 模组 | 单体 + 模组 + 整包 |
| 触发 | 运输振动/冲击 | 路况/碰撞/老化 |
| 通过证书 | 一次性 | 整车 SOP 阶段 |
OEM 工程上常见误区:只做了 UN 38.3 就以为电池"安全了"——其实 UN 38.3 完全不覆盖热失控、过充时长测试、热扩散、湿度循环等使用工况。
7. 电池法规与回收:EU 2023/1542 + 中国回收
7.1 EU Battery Regulation 2023/1542
2024-02 生效,把电池从"产品"提升到"全生命周期监管对象"。三大支柱:
| 时间节点 | 强制要求 | 影响 |
|---|---|---|
| 2025-02 | EV 电池披露碳足迹 | BOM 全链路追溯 |
| 2026-08 | 容量与寿命标签 | SOH 数据公开 |
| 2027-02 | 电池护照(数字身份) | 区块链/QR 实施 |
| 2030 | EV 电池回收率 ≥ 50 % | 锂回收 ≥ 50 % |
| 2031 | 钴/Ni/Cu 回收率 ≥ 90 % | 闭环工厂 |
| 2035 | 电池回收率 ≥ 70 % | — |
| 2036 | 锂回收 ≥ 80 % | — |
7.2 电池护照(Battery Passport)
电池护照是 2027 起强制的数字身份证。每包电池一个 QR Code(或 NFC 标签),扫描后看到:
- 制造商 / SOP 日期
- 化学体系(NMC / LFP / 混合)
- 容量 / 标称电压 / 重量
- 碳足迹(kgCO2e/kWh)
- 关键材料来源(钴、锂、镍矿山)
- 回收材料占比
- SOH 历史 / 充放电循环数
- 故障与维修记录
- 退役处理方法
电池护照对工程意味着什么:BMS 必须从一开始就记录 SOH、循环数、故障日志,并在车辆 OBD 接口或云端可读取。从设计开始把"数据治理"纳入系统架构,不是上市前补做。
7.3 中国动力电池回收
工信部《新能源汽车动力蓄电池回收利用管理办法》(2018)+《电池规范条件》(2024)。生产者责任延伸(EPR):OEM 是回收第一责任人,不是消费者。
OEM 必须建立或委托:回收网点(覆盖销售区域)、溯源信息平台(接入工信部)、梯次利用 / 再生利用渠道。
8. 充电系统:物理接口 + 通信协议
8.1 物理接口
充电系统的"接口"是物理插头,"通信"是握手协议。两层独立但必须配套——任何一层不匹配就无法充电。
| 接口 | 区域 | AC 最大 | DC 最大 | 主导协议 |
|---|---|---|---|---|
| Type 1 (J1772) | 北美旧 | 7.2 kW(单相) | — | J1772 PWM |
| CCS1 | 北美 | 7.2 kW | 350 kW (500 V) | DIN 70121 / ISO 15118 |
| Type 2 | 欧洲 | 22 kW(三相) | — | IEC 61851 |
| CCS2 | 欧洲 | 22 kW | 350+ kW (800-1000 V) | ISO 15118 |
| CHAdeMO 1.x | 日本 | — | 62.5 kW (500 V) | CHAdeMO CAN |
| CHAdeMO 2.x | 日本 | — | 400 kW (1000 V) | CHAdeMO CAN |
| CHAdeMO 3 / ChaoJi | 日中合作 | — | 900 kW | ChaoJi(兼容 GB/T) |
| GB/T 20234 | 中国 | 7 kW | 250 kW (750 V) | GB/T 27930 |
| Tesla NACS / J3400 | 北美新 | 11.5 kW | 250 kW | CCS over NACS |
8.2 通信协议
充电通信协议按地域分主流体系——欧洲 ISO 15118、北美 SAE J2847、日本 CHAdeMO、中国 GB/T 27930。新一代都加 Plug & Charge(无感充电)和双向能力。
| 协议 | 物理层 | 应用 | Plug & Charge |
|---|---|---|---|
| J1772 PWM | 1 kHz PWM | 简单 AC 电流编码 | ❌ |
| DIN SPEC 70121 | HomePlug GP | CCS 早期 DC | ❌ |
| ISO 15118-2 | HomePlug GP | CCS 主流 DC | ✅ 原型 |
| ISO 15118-20 | HomePlug GP / WiFi / Cellular | 下一代,双向 V2G | ✅ 完整 |
| CHAdeMO 1.x/2.x | CAN | 日本 DC | ❌ |
| CHAdeMO 3.x | CAN | 双向 | 部分 |
| GB/T 27930 | CAN | 中国 DC | ❌ |
| GB/T 27930-2024 | CAN | 双向 V2G | 部分 |
8.3 ISO 15118-2 充电交互流程
ISO 15118-2 充电流程含 7 个阶段——插枪 → 唤醒 → 会话建立 → 认证(PnC) → 参数协商 → 启动充电 → 闭环监控。每段都有特定时延要求,任一段超时整条充电中止。
车 → 桩 插枪
车 ↔ 桩 PLC 唤醒(HomePlug GreenPHY)
车 → 桩 会话建立(SessionID)
车 ↔ 桩 ServiceDiscovery / Authentication(PnC:证书认证)
车 ↔ 桩 ChargeParameterDiscovery(电压/电流范围)
车 → 桩 PowerDelivery(开始充电)
车 ↔ 桩 CurrentDemand(每 1 s 闭环)
车 → 桩 PowerDelivery(停止)
桩 → 车 Welding Detection(接触器粘连检查)
车 ← 桩 会话结束 → 解锁
ISO 15118-20 在此基础上增加:双向 V2G 协商、Plug & Charge OCSP 实时验证、车队预约充电、动态电价。
8.4 充电桩侧法规
桩侧标准独立于车侧,归属电气安全:
| 标准 | 范围 | 关键要求 |
|---|---|---|
| IEC 61851-1 | EV 充电设备总则 | RCD、漏电、过载 |
| IEC 61851-21-2 | 桩 EMC | CISPR 32 等价 |
| IEC 61851-23 | 直流桩特殊 | 短路、绝缘、PE 监测 |
| IEC 62196 | 接口物理 | Type 1/2/CCS 几何 |
| GB/T 18487 | 中国充电系统 | 桩 + 车 + 通信总要求 |
9. 网络安全与软件更新:R155 / R156
9.1 框架
UNECE 在 2020 年首次承认"软件事故"。两条规章互为补集:
| 规章 | 全称 | 管什么 | 强制时间 |
|---|---|---|---|
| R155 | Cybersecurity | 黑客攻击防护 | 2024-07-07(欧盟) |
| R156 | Software Update | OTA 不出错 | 2024-07-07(欧盟) |
中国对应规章 GB 44495(汽车整车信息安全技术要求)和 GB 44496(汽车软件升级通用技术要求)于 2026-01 强制——比欧洲晚 18 个月,但条款更细。
9.2 R155 → CSMS
R155 要求 OEM 建立 CSMS(Cybersecurity Management System)。CSMS 必须覆盖:
开发阶段:威胁建模 (TARA)
→ 渗透测试
→ 漏洞披露与跟踪
生产阶段:供应链安全 (Tier 1/2 漏洞协议)
→ 密钥管理
→ 工厂签名/烧录
使用阶段:SIEM 监测 (攻击日志)
→ 漏洞响应 (CVE 修补 SLA)
→ 事件报告
退役阶段:安全销毁 (私钥、用户数据)
实施靠 ISO/SAE 21434(Road Vehicles - Cybersecurity Engineering,2021)。这是 R155 的技术兄弟——R155 说"做这件事",21434 说"按这个流程做"。
9.3 R156 → SUMS
R156 要求 OEM 建立 SUMS(Software Update Management System)。覆盖:
- 更新前:版本兼容性检查、用户告知、合规影响评估
- 更新中:安全传输(TLS)、数字签名验证、断电/失败回滚
- 更新后:版本登记、效果验证、配置管理
实施靠 ISO 24089(Software Update Engineering,2023)。
9.4 TARA 实操
TARA(Threat Analysis & Risk Assessment)是 R155 强制要求的工程方法。流程:资产识别 → 威胁场景 → 攻击树 → 影响评估 → 风险等级。
举例:「黑客通过 OBD-II 注入 CAN 帧使制动失效」
| 字段 | 内容 |
|---|---|
| 资产 | 制动 ECU |
| 威胁场景 | OBD-II → CAN gateway → ESC 注入 |
| 攻击可行性 | 中(需物理接触 + 协议知识) |
| 影响 | 严重(乘员伤亡) |
| 安全目标 | 制动指令必须经 SecOC 验证 |
| 对抗措施 | gateway 隔离、SecOC、入侵检测 |
每条威胁要写到 OEM 的 CSMS 文档里,渗透测试时验证。
9.5 渗透测试矩阵
R155 要求第三方渗透测试。常见测试矩阵:
| 攻击面 | 试验项 | 工具 |
|---|---|---|
| OBD-II | CAN 注入、UDS 攻击 | CANalyzer + 自定义脚本 |
| 蓝牙/WiFi | Pair 劫持、KNOB | Wireshark + Bluefruit |
| Cellular (4G/5G) | SS7/Diameter 攻击 | OpenAirInterface |
| OTA | MITM、回滚攻击 | Burp Suite + 证书伪造 |
| Charging | ISO 15118 PnC 证书伪造 | Custom CCS attack tool |
| Physical | JTAG / UART 取证 | JTAGulator、ChipWhisperer |
10. 功能安全:ISO 26262 与法规的引用关系
10.1 引用而非强制
ISO 26262 本身不是法规,但被多国法规强制引用。这意味着不做 ISO 26262 在工程上无法证明合规。
10.2 ASIL 与法规要求的桥接
法规说"功能必须可靠",ISO 26262 把"可靠"量化成 ASIL 等级 + PMHF 故障率。EV 关键功能的典型 ASIL 分配:
| 功能 | ASIL | PMHF 目标 |
|---|---|---|
| 整车扭矩控制 | D | < 10 FIT |
| HV 主接触器控制 | D | < 10 FIT |
| HV 隔离监测(IMD) | C | < 100 FIT |
| BMS 单体监测 | C | < 100 FIT |
| 电池热失控检测 | C | < 100 FIT |
| 充电主控(OBC) | B-C | — |
| 用户报警 | A-B | — |
| 自动驾驶(L2-L3) | D | < 10 FIT |
10.3 V 字模型的合规节拍
ISO 26262 V 字模型每个阶段都对应法规证据:
| 阶段 | 合规产物 | 引用法规 |
|---|---|---|
| Item Definition | 系统边界 + 功能列表 | — |
| HARA | 危害分析 + ASIL | R100/R155 |
| Safety Goal | 安全目标 | R100/R155 |
| FSC | 功能安全概念 | — |
| TSC | 技术安全概念 | — |
| HSI | 硬件软件接口 | — |
| HW Design | DFA + FMEDA | AEC-Q |
| SW Design | MISRA + 单元测试 | ASIL D 强制 |
| 集成测试 | 故障注入 | DV |
| 整车验证 | 道路测试 + 滥用 | R100 试验 |
| Safety Case | 完整论证 | WVTA |
11. EMC 与电气环境
11.1 三层 EMC 体系
EMC 从整车到零件分三层。每层都有独立标准:
整车层:
ECE R10 (欧) / FMVSS (无强制) / GB 34660 (中)
零件层:
CISPR 25 (车规辐射) / ISO 11452 (抗扰)
器件层:
AEC-Q100 (IC ESD) / AEC-Q200 (无源 ESD)
11.2 R10 整车 EMC 要求
R10 Rev.6 是欧盟 EV 整车 EMC 强制条款。试验包括:
| 试验 | 频段 | 限值 |
|---|---|---|
| 辐射发射 | 30 MHz - 1 GHz | CISPR 25 Class 3-5 |
| 传导发射 | 0.15-30 MHz | 同上 |
| 辐射抗扰 | 20-2000 MHz | 30 V/m + 50 V/m(关键) |
| 充电抗扰 | 充电状态 | 高场强测试 |
| ESD | 触点 4 kV / 空气 8 kV | ISO 10605 |
EV 比传统车多两层试验:充电状态下整车 EMC(车 + 桩 + 电缆形成新天线系统);HV 系统的低频谐波(PWM 8-20 kHz 谐波到 RF)。
11.3 ISO 11452 抗扰
ISO 11452 把零件级抗扰拆成多种方法:
| 部分 | 方法 | 频段 | 应用 |
|---|---|---|---|
| -2 | ALSE 暗室 | 0.1-18 GHz | 通用 |
| -3 | TEM Cell | 10 kHz-200 MHz | 小件 |
| -4 | BCI(束注入) | 1-400 MHz | 线缆 |
| -5 | Stripline | 10 kHz-400 MHz | — |
| -7 | DPI(直接管脚注入) | 1-1000 MHz | IC |
| -9 | 便携发射 | 360-2700 MHz | 手机干扰 |
| -11 | 混响室 | 0.8-18 GHz | 性价比 |
11.4 ISO 7637 / ISO 16750 / VW 80000
详见对应专题页:
- ISO 7637-2:12V/24V 系统传导瞬态(Pulse 1-5)
- ISO 7637-3:耦合瞬态(A/B 试验)
- ISO 16750-2:电气负荷(含跳起跌落)
- ISO 16750-3:机械负荷(震动)
- ISO 16750-4:温/湿度(含 PV 加速)
- ISO 16750-5:化学(流体、灰尘)
- VW 80000:大众集团整合包,2009/2013/2017 三代
EV 特定的瞬态:HV 母线突变(接触器切换)、充电瞬态(CCS 启停)。ISO 21498(2024)专门覆盖 HV 系统瞬态,2026 起欧洲新车型可能引用。
12. 区域差异速查与时间节点
12.1 试验等价矩阵
把同一项试验在欧/美/中/印四地法规对照——同试验在不同市场对应不同标准号,内容大致等价但细节有差。新人最常的错:把欧规试验报告直接交给中国监管,以为通用。
| 试验 | 欧 R | 美 FMVSS | 中 GB | 印 AIS |
|---|---|---|---|---|
| HV 防触电 | R100 | 305a | 18384.3 | 048 |
| 碰撞后 HV | R100 §6 | 305a §S6 | 31498 | 099 |
| 电池滥用 | GTR 20 | UL 2580 | 38031 | 156 |
| 电池运输 | UN 38.3 | UN 38.3 | UN 38.3 | UN 38.3 |
| 充电 AC | IEC 61851 | SAE J1772 | GB/T 18487 | AIS-138 |
| 充电 DC | ISO 15118 | SAE J1772+ | GB/T 27930 | AIS-138 |
| EMC 整车 | R10 | — | 34660 | 004 |
| 网络安全 | R155 | — | GB 44495 | — |
| OTA | R156 | — | GB 44496 | — |
| 功能安全 | ISO 26262 | ISO 26262 | GB/T 34590 | 同上 |
12.2 全球时间节点
EV 法规未来 10 年的关键时间节点——R155/156 欧强制(2024)、电池护照(2027)、加州 ZEV 100%(2030)、欧盟燃油车禁令(2035)。每个节点都对工程项目有具体影响。
| 时间 | 事件 | 工程影响 |
|---|---|---|
| 2024-07 | R155/R156 欧强制 | CSMS/SUMS 必须就绪 |
| 2025-02 | EU 电池碳足迹 | BOM 全链追溯 |
| 2026-01 | GB 44495/44496 强制 | 中国版 R155/156 |
| 2027-02 | 电池护照 | BMS 数据架构升级 |
| 2030 | 加州 ZEV 100 % | 北美新车纯 EV |
| 2030 | EU 电池回收率 50 % | 闭环工厂建设 |
| 2035 | 欧盟燃油车禁令 | 全 EU BEV/FCEV |
13. 800 V 出口欧洲完整 checklist
把全文串起来。一辆中国造 800 V 乘用车在 2027 年出口欧洲,要拿齐:
13.1 整车型式认证 WVTA
整车型式认证(WVTA)是出口欧洲的入门要求——下表 9 条 UN 法规必须全部过认证才能拿到 WVTA。任一条缺失整辆车不能在欧洲销售。
- UN R10 Rev.6 — EMC
- UN R100-02 — HV 安全 + 电池(含 GTR 20 附件)
- UN R94 / R137 — 正面碰撞
- UN R95 / R135 — 侧面/侧柱碰
- UN R155 — Cybersecurity(CSMS 证书)
- UN R156 — OTA(SUMS 证书)
- UN R142 / R150 — EV 部件装配 / 电池可换
- EU GSR 2144/2019 — 一般安全
- ECE R13-H — 制动(ASIL D 链路证据)
13.2 零部件层
零部件层是 Tier-1 / Tier-2 级合规要求——OEM 把整车法规分解到部件,通过 ISO 26262/21434/AEC-Q 等向 Tier 传递。
- ISO 26262 Safety Case + ASIL D 论证
- ISO 21434 Cybersecurity Case
- ISO 24089 SUMS 子系统证据
- AEC-Q100 / Q101 / Q200(IC / 分立 / 无源)
- ISO 16750-2/3/4/5 + VW 80000 / IEC 60068
- ISO 11452-2/4/7(抗扰)+ CISPR 25 Class 5(发射)
13.3 电池层
电池层有独立的法规体系——运输、在用、护照、回收四阶段各有标准。EU 2023/1542 是新规,2027 起电池护照强制。
- UN 38.3 运输(出货前)
- UN GTR 20 + UN R100-02 附录 8B(整车集成)
- EU 2023/1542 第 7 条(碳足迹声明,2025-02 起)
- EU 2023/1542 第 14 条(电池护照,2027-02 起)
- IEC 62133-2(电芯/模组参考)
- ISO 12405(性能 / 寿命,可选)
13.4 充电层
充电层国际、欧洲、北美各有标准——IEC 61851 通用、ISO 15118 通信、IEC 62196 接口。每条都要过认证否则桩端无法接入。
- IEC 61851-1 / -23(AC + DC 充电)
- IEC 62196-2/-3(接口 Type 2 + CCS2)
- ISO 15118-2 / -20(通信 + Plug & Charge)
- ISO 17409(车端充电导则)
13.5 文档与流程
技术合规之外还有商业 / 运营 / 法务流程要求——CoP 工厂审计、CE 标识、WEEE/RoHS、REACH 化学品。这些是经常被工程师忽略的非技术合规项。
- CoP 工厂年审计划(Conformity of Production)
- EU Declaration of Conformity(DoC)
- CE 标识(部分零部件)
- WEEE / RoHS(电子废弃物 / 有害物质)
- REACH(化学品)
- EU Authorized Representative
13.6 时间线
EV 合规项目典型 30 个月时间线——前 24 个月做安全设计 + 试验,后 6 个月走认证流程。关键约束:任何里程碑延期都让上市时间推迟,因为认证机构(TÜV/SGS)排期满。
T-30 月 HARA + Safety Case 启动
T-24 月 CSMS / SUMS 框架冻结
T-18 月 单元试验(AEC-Q + 滥用)
T-12 月 整车试验启动(R10、R100、碰撞)
T-09 月 第三方渗透测试 + R155 申请
T-06 月 WVTA 申请 → Technical Service 试验
T-04 月 电池护照系统上线
T-03 月 CoP 工厂审核
T-01 月 DoC + CE 文档完成
T= 0 上市销售
14. 工程视角误解纠正
EV 法规有几个常被工程师误解的概念——下表把这些误解和真相对照,这些都是 PEU 工程师项目早期常踩的坑。
| 误解 | 真相 |
|---|---|
| ISO 26262 是法规 | 是技术标准;被法规引用后等同强制 |
| UN 38.3 = 电池安全 | 只管运输;使用安全走 GTR 20/GB 38031 |
| WVTA 一证全 EU | 多数对,但德 KBA / 法 UTAC 可能加补充 |
| 中国针刺试验全球都有 | 仅中国保留为强制,UN/UL 已剔除 |
| Tesla NACS = J3400 | 同一接口的两个名;协议仍 CCS |
| 305 = R100 美版 | 测试条件差异大;305a 比 R100 严 |
| 渗透测试是可选 | R155 强制第三方渗透 |
| OTA = 软件下载 | R156 含版本管理、回滚、登记完整流程 |
| 电池护照只是 QR 码 | 包含 SOH 数据接口 + 全链追溯 + 法律证据 |
| EMC = R10 一项试验 | 整车 R10 + 零件 CISPR 25 + 抗扰 ISO 11452 + 瞬态 ISO 7637 四层 |
核心要点
- EV 标准是「四类事故域 × 三层证据链」双维网格——HV / 电池 / 充电 / 网络作为事故域,法规层 → 技术标准层 → 试验矩阵层作为证据深度
- 法规给目标,技术标准给方法,试验矩阵给证据,三层都过齐才叫合规
- R100 / FMVSS 305 / GB 18384.3 同源不互认——条款 90 % 重叠但试验报告独立
- GB 38031 五分钟热扩散是全球最严电池条款,直接驱动了刀片 / CTP / CTB 等结构创新
- UN 38.3 八项试验链式串联,单项失败终止全证书;只覆盖运输不覆盖使用
- ISO 15118-20 是 2024+ 欧洲新桩默认,强制 Plug & Charge + 双向 V2G
- R155 → ISO 21434 / R156 → ISO 24089 是法规-技术标准的双跨引用关系
- ISO 26262 V 字模型每阶段对应法规证据,从 HARA 到 Safety Case 全流程闭环
- 2024-07-07 R155/156、2025-02 碳足迹、2027 电池护照、2030 50 % 回收率、2035 欧盟禁油 是五个不可错过的时间锚点
- 设计阶段(HARA + 取最严工况并集)决定后期合规成本——下游补救的代价是上游合规的 5-10 倍
Cross-references
- ← 索引
- 汽车电子
- 功能安全 — ISO 26262 实现路径
- HV 安全 — R100 工程实现
- 热安全 — GB 38031 / GTR 20 电池保护
- 扭矩安全 — ASIL D 控制链路
- AEC-Q 车规认证 — 零件级合规
- DV 与 PV 详解 — 试验矩阵的 V 字执行
- OBC 与 DCDC — 充电系统硬件
- 汽车网络 — UDS / DoIP / SecOC 诊断
- PPAP — IATF 16949 量产质量
- ISO 16750 环境条件测试
- ISO 7637 瞬态测试
- VW 80000 大众集团电气测试标准