純電動汽車碰撞高壓安全系統設計及控制策略

陸中奎，陳 勇，劉天鳴

(1.北京華特時代電動汽車技術有限公司， 北京 101300；2.北京信息科技大學 機電工程學院， 北京 100192)

由于世界石油能源資源的日益匱乏，以及汽車排放的尾氣造成的環境污染，純電動汽車以其較好的環保特性和能源替代特性備受各界關注，目前，純電動汽車成為各汽車廠家研究的重點。

純電動汽車采用高壓動力電池、驅動電機等高壓電氣系統，其工作回路中的電壓高達400 V左右。高壓電造成的傷害與傳統燃油汽車完全不同。因此，隨著純電動汽車產業化進程的推進，對純電動汽車高壓安全十分重視。

純電動汽車的高壓安全系統設計比較復雜，當純電動汽車在高速行駛過程中發生碰撞、翻滾或充電過程中被其他車輛碰撞等事故時，可能造成車輛動力系統的高壓漏電、短路、動力電池電解液泄露、燃燒、動力電池爆炸等風險，對車內乘員造成觸電傷害、化學傷害、燃燒傷害等。因此，在純電動汽車的研發過程中，對純電動汽車的安全設計進行系統的研究具有重要意義[1]。車輛功能失效造成的危險事故發生不僅對汽車企業造成品牌影響力下降和經濟損失，而且給客戶帶來生命安全威脅，使得政府部門、汽車企業和客戶越來越關注車輛的功能安全。國際標準化組織(ISO)針對車輛功能安全編制并發布了《道路車輛功能安全標準——ISO26262》，目的是提高車輛的安全性能，為開發車輛安全相關系統提供指南。針對純電動汽車高壓安全保護的重要性，本文利用ISO26262標準的要求和方法設計了一種純電動汽車發生碰撞時高壓斷電保護功能，保證電動汽車在碰撞發生的過程中斷開高壓系統。

1 ISO26262標準

ISO26262是IEC61508對電子/電氣系統在道路車輛方面的功能安全要求的具體應用。它適用于所有提供安全相關功能的電力、電子和軟件元素組成的安全相關系統在整個生命周期內的所有活動[2]。

隨著用戶對汽車的安全性、智能性和娛樂性要求日益提高，車輛上電子電氣系統越來越復雜，因此來自系統失效和隨機硬件失效的風險也日益增加，ISO26262包括其導則，都為避免這些風險提供了可行性的要求和流程[2]。

1.1 標準組成

ISO26262標準包括10個部分組成[2]，分別為術語、功能安全管理、概念階段、產品研發(系統級)、產品研發(硬件級)、產品研發(軟件級)、生產和運營、支持過程、基于ASIL導向和安全導向分析、ISO26262導則。標準組成如圖1所示。

圖1 ISO26262 標準組成

1.2 汽車生命周期

ISO26262中定義的汽車安全生命周期，包含了從概念設計、產品開發到批產后各階段的主要安全活動。

功能安全的概念設計階段的主要工作包含相關項定義、安全生命周期初始化、HARA以及提出功能安全需求并進行需求分配。

在產品開發階段，ISO26262按照V型開發流程定義相關安全活動，V型的左側是技術安全需求分析、系統設計；V型的右側是系統集成、安全確認和發布。硬件和軟件的開發也遵循V型開發流程[3]。

在批產后的階段，需要提供必要的文檔及方法，以保證在生產、售后服務和報廢等環節中安全目標不被破壞。同時，需要監控售后產品，發現有違背安全目標的案例要采取相應的措施[3]。

1.3 汽車安全完整性等級(ASIL)

汽車安全完整性等級(ASIL)是利用ISO26262標準進行功能安全設計時，對系統進行危害分析和風險評估，識別出系統的危害并且對危害的風險等級。如果系統的功能安全風險越大，對應的安全要求越高，則具有更高等級的ASIL[3]。ASIL分為A、B、C、D四個級別，危害事件的風險級別根據3個因子(“嚴重度S”“暴露率E”“可控性C”)進行量化評估。

2 電控系統開發流程

道路車輛功能安全標準ISO26262適用于質量不超過3 500 kg的乘用車電子電氣系統，其通過對開發流程和工作文檔的規范來減少或消除電子電氣系統故障可能引起的風險。本文只對碰撞高壓安全系統開發階段進行描述。按照ISO26262標準的要求，碰撞高壓安全系統開發階段的開發流程如圖2所示。

圖2 系統開發流程

3 碰撞高壓安全控制系統設計

3.1 整車動力系統

純電動汽車整車動力系統如圖3所示。

圖3 純電動汽車整車動力系統

整車動力系統主要包括整車控制器(VCU)、動力電池及管理系統(BMS)、電機及控制系統(MCU)、DCDC電壓轉換器、電動空調、PTC、車載充電系統等。整車控制器(VCU)作為純電動汽車整車控制單元，合理的功能布局和安全可靠的控制策略是實現系統功能的重要保障。

純電動汽車存在的安全風險包括高壓系統短路、高壓系統絕緣故障、高壓系統脫落、高壓充電風險、扭矩輸出風險。根據這些風險，電動汽車開發工程中要設計的安全系統包括維修安全、碰撞安全、電氣安全、功能安全等[1]。本文主要設計碰撞安全系統和控制方法。

3.2 碰撞高壓安全系統設計

3.2.1 系統設計方案

本文的純電動汽車碰撞高壓安全控制系統由碰撞傳感器、安全氣囊控制器、整車控制器(VCU)、電池管理系統(BMS)、電機控制器(MCU)、組合儀表、主正主負繼電器組成。碰撞傳感器與安全氣囊控制器、整車控制器(VCU)通過硬線形式相連，安全氣囊控制器、整車控制器(VCU)、電機控制器(MCU)、電池管理系統(BMS)、組合儀表通過CAN線連接進行信息交互，電池管理系統(BMS)與主正繼電器控制端相連以控制其通斷，整車控制器(VCU)與主負繼電器控制端相連以控制其通斷。本系統按照ISO26262的要求防止功能失效，提高ASIL等級，采取冗余措施。整車控制器(VCU)分別采集碰撞信息的硬線和CAN信號；主正、主負繼電器分別由電池管理系統(BMS)和整車控制器(VCU)控制，提高了碰撞斷電的可靠性和穩定性。碰撞高壓安全系統原理如圖4所示。

圖4 碰撞高壓安全系統原理

3.2.2 整車控制器碰撞斷電系統架構

整車控制器碰撞斷電系統主要由碰撞傳感器、VCU、其他控制單元CAN信號、主負繼電器執行機構、電機控制器執行機構、組合儀表執行機構等組成，系統簡圖如圖5所示。

圖5 碰撞斷電VCU控制系統簡圖

控制系統運行過程中，VCU除了接收碰撞傳感器的輸入信號外，還需通過CAN總線從其他控制單元獲取輸入信號。該信號主要包括從安全氣囊控制器獲得的安全氣囊起爆信號、從電池管理系統(BMS)獲得的主正繼電器斷開信號等。VCU對輸入信號進行分析、判斷并做出決策，然后向繼電器、組合儀表、電機控制器發送控制指令，由執行機構斷開主負繼電器，電機控制器進行高壓回路放電，組合儀表顯示故障信息，從而實現純電動汽車碰撞高壓安全的系統保護。

4 碰撞斷電保護的軟件設計

純電動汽車碰撞斷電保護的設計思想是要保證純電動汽車在帶電靜止、運行、充電被碰撞時的高壓用電安全。

純電動汽車碰撞斷電保護控制策略的設計思想是保證純電動汽車在發生碰撞時斷開高壓。

車輛發生碰撞時，整車控制器(VCU)檢測碰撞傳感器信號與安全氣囊起爆CAN信息，如碰撞信號為真，則整車控制器斷開主負繼電器高壓下電，將碰撞故障存儲，點亮組合儀表故障燈，并轉發碰撞CAN信息。電機控制器(MCU)接收到VCU發送的高壓放電CAN信息進行高壓回路放電。如碰撞信號為假，則車輛保持狀態。車輛維修完成，再次上電前要判斷碰撞故障是否清除。如果清除，車輛允許上電啟動；如果沒清除，車輛不允許上電。

碰撞斷電保護控制流程示意圖如圖6所示，展示了電動汽車發生碰撞時斷電保護控制流程的設計思路。

圖6 碰撞斷電保護控制流程

根據以上控制策略，按照ISO26262的軟件開發流程開發，采用Matlab/Simulink/Stateflow環境進行建模和測試驗證，結果需要符合ISO26262標準的要求。建立的策略模型如圖7所示。

圖7 控制策略模型

在整車環境模型建立的基礎上，根據碰撞斷電控制策略思路，對電動汽車發生碰撞進行總體仿真研究，如圖8所示。

總體仿真模型包括整車模型模塊、控制策略模型模塊、輸入輸出模塊。

5 結果分析

本系統和控制策略經過了模型仿真和實車碰撞試驗驗證，試驗數據和模型仿真對比分析結果如圖9所示。

圖8 汽車碰撞的總體仿真模型

圖9 仿真與試驗數據對比分析曲線

5.1 繼電器斷開響應

當車輛發生碰撞時，防止高壓回路漏電造成人員觸電，高壓回路應立即斷開。根據仿真與試驗數據對比分析曲線可知，主正主負繼電器斷開指令均已發出，主正主負繼電器均已斷開。實際測試發送指令要比仿真晚0.1 s，是由于實際控制器信息采集和信息傳輸周期導致的。試驗結果滿足國家標準(GB/T 18384.3—2015)的要求。

5.2 高壓回路放電響應

當高壓回路斷開后，回路中的電壓應在規定時間降低到60 V(或以下)。根據仿真與試驗數據對比分析曲線可知，高壓回路電壓用0.5 s時間降到60 V，仿真與試驗數據電壓下降趨勢一致，都能在規定時間達到安全值，滿足設計狀態，并符合國家標準(GB/T 18384.3—2015)的要求。

6 結束語

本文對純電動汽車發生碰撞時存在的安全風險設計了一種純電動汽車碰撞斷電保護系統，以ISO2626標準的思路和方法進行開發，為功能的安全性提供了保證。對模型仿真與試驗數據進行了對比分析，兩者結果基本一致，表明本系統和控制策略能保證純電動汽車碰撞時的高壓安全。