基于ISO26262的車用電池包高壓繼電器控制方法設計

印 凱 朱建新 張筱瑜

(上海交通大學機械與動力工程學院， 上海 200240)

?

基于ISO26262的車用電池包高壓繼電器控制方法設計

印 凱 朱建新 張筱瑜

(上海交通大學機械與動力工程學院， 上海 200240)

對汽車電子電氣系統(tǒng)功能安全的國際標準ISO26262進行闡述，分析了功能安全和汽車安全完整性等級兩個重要的概念，針對高壓繼電器失效對整車安全的危害分析及風險評估，基于適當?shù)陌踩珯C制和ASIL分解方法，設計了一種高壓繼電器的控制方法和監(jiān)控診斷方案，保證了基于功能安全開發(fā)的高壓繼電器在失效形式下，仍能保證整車的使用安全。

ISO26262 功能安全 安全機制 ASIL 高壓繼電器

0 引言

目前，汽車電子技術已經(jīng)成為汽車領域最具創(chuàng)新性的技術之一，汽車電子技術的高速發(fā)展對車輛的“智能化”起到極為重要的推動作用。伴隨汽車電子電氣系統(tǒng)的復雜性及集成度的不斷提升，其本身可能存在的系統(tǒng)性失效和隨機硬件失效的風險也隨之增加[1]。為保證功能的安全性，國際標準化組織(ISO)已于2011年11月發(fā)布了汽車電子電氣系統(tǒng)的功能安全國際標準ISO26262，為整個生命周期中與功能安全相關的工作流程和管理流程提供了指導[2]。

新能源汽車的發(fā)展帶動了汽車電子技術的革新，電動汽車和混合動力汽車是目前新能源汽車的發(fā)展趨勢。電動汽車和混合動力汽車的動力電池具有提供動力能源和回收能量的作用。高壓繼電器控制是動力電池系統(tǒng)的關鍵組成部分，負責高壓系統(tǒng)上下電的功能，因此高壓繼電器的功能安全設計對確保整車的安全具有重要的意義。

1 功能安全標準ISO26262

2000年5月，國際電工委員會正式發(fā)布IEC61508標準，為電子、電氣和可編程電子系統(tǒng)的功能安全提供了相應的標準規(guī)范。IEC61508標準在工業(yè)界得到了廣泛的運用，然而IEC61508主要面向工業(yè)通用領域，對于汽車工業(yè)并不完全適用，因此，國際標準化組織(ISO)制定了專門針對汽車電子電氣系統(tǒng)的功能安全標準，即ISO26262。

ISO26262標準體系主要包括十個部分，第一部分為專用詞定義，其余九個部分分別為：功能安全管理、概念階段、系統(tǒng)研發(fā)、硬件研發(fā)、軟件研發(fā)、生產(chǎn)和操作、支持過程、基于ASIL和安全的分析、ISO26262導則[3]。

1.2 汽車安全完整性等級ASIL

ISO26262標準要求，在概念階段需要進行危險分析和風險評估。危險分析和風險評估的目的是為了識別系統(tǒng)可能存在的危險，并按照一定的分類原則進行評估，然后設計安全目標，最后減小和消除風險。ASIL評級是風險評估的主要方法，在風險評估過程中主要考慮引發(fā)危險的3個影響因素——“傷害的嚴重性(S)”、“暴露在危險中的可能性(E)”和“危險的可控性(C)”，通過量化評估確定ASIL。

在確定這三個參數(shù)之后，可以根據(jù)ISO26262標準中的功能完整性等級查詢表(如下表1)來確定ASIL等級，ASIL分為A、B、C、D四個等級，其中ASIL A是最低級別，ASIL D是最高功能安全完整性等級，ASIL級別越高對功能安全的要求越高。QM表示正常的質(zhì)量管理流程，不用額外的功能安全管理。

表1 功能完整性等級查詢表Table 1 ASIL determination

1.3 功能安全概念

功能安全概念的主要目的是根據(jù)危險分析和風險評估得到的安全目標導出功能安全需求，并且將這些需求分配到項目的初步架構元素或者外部機制中。為了落實安全目標，功能安全概念闡述了包含一些安全機制在內(nèi)的安全措施，以便更好地在項目架構元素中實現(xiàn)以及完成功能安全需求的詳細說明。

Ilizarov外固定架聯(lián)合VSD技術治療GustiloⅡ、Ⅲ型開放性跟骨骨折（姬廣偉，等）20：1840

功能安全概念包括：故障檢測和失效緩解措施，安全狀態(tài)轉換，容錯機制(單個故障不會導致直接違反安全目標并保持在安全狀態(tài))，故障檢測和司機預警裝置，當不同的功能同時觸發(fā)多任務請求時通過邏輯仲裁來決定最合適的控制需求。

在完成危險分析和風險評估后，結合安全目標、功能安全概念給出的安全機制以及系統(tǒng)的初步架構，在將功能安全需求合理地分配到子系統(tǒng)的同時可以考慮對ASIL等級進行適當?shù)姆纸狻?/p>

2 高壓繼電器控制的概念設計

2.1 高壓繼電器控制的危害分析和風險評估

高壓繼電器控制的主要目的是保證動力電池系統(tǒng)上下電的正常進行，在汽車起動時閉合繼電器上電，在汽車停車熄火時斷開繼電器下電。高壓繼電器控制屬于汽車電子電氣系統(tǒng)，其失效形式可能會對駕駛員的生命安全造成傷害，因此應該按ISO26262標準進行開發(fā)，以滿足功能安全要求[4]。

如圖1所示，高壓繼電器控制包括傳感器、控制器和執(zhí)行器。高壓繼電器控制功能一般集成于電池管理系統(tǒng)(BMS)；傳感器可能直接與電池管理系統(tǒng)相連，也可能直接連接整車控制器(HCU)；執(zhí)行器主要是高壓繼電器。

針對高壓繼電器的失效形式，進行危害分析和風險評估。根據(jù)ASIL評級方法，首先確定嚴重性等級、發(fā)生率等級和可控性等級，然后對照ASIL評級表確定ASIL等級。嚴重性：高壓繼電器控制功能失效時，可能對處于高速行駛或者維修維護的人員造成傷害，定義嚴重性為S2。發(fā)生率：每天的充電、駕駛、停車以及維修都會涉及到繼電器的動作，定義發(fā)生率E4?？煽匦裕豪^電器失效C3不可控。根據(jù)ASIL劃分等級為ASIL C等級，功能安全目標是防止非預期高壓繼電器的故障。

圖1 高壓繼電器控制結構簡圖Fig.1 Structure sketch of high voltage relay control

2.2 安全等級分解及安全機制

在確定功能安全目標以及功能安全概念之后，結合初步的系統(tǒng)架構設計，將各項安全相關內(nèi)容分配到系統(tǒng)框架中的同時，可以對ASIL等級進行適當分解。

ISO26262定義了ASIL分解和剪裁方法，可以大致理解為一種整數(shù)加減規(guī)則，即每個ASIL等級等價于一個整數(shù)值：QM=0，A=1，B=2，C=3，D=4。ASIL整數(shù)分解法則規(guī)定，如果n個部件必須同時失效才能導致一種特定的危害，那么這n個部件的ASIL對應的整數(shù)值加起來必須和危害定義ASIL等級值相等[5]。例如：ASIL C可以分解為ASIL C+QM或者ASIL B+ASIL A。

本文中對高壓繼電器控制設計采用的安全機制是采用監(jiān)控診斷來保證功能安全。下圖2為基于安全機制的ASIL分解簡圖。其中監(jiān)控傳感器和原傳感器采用冗余傳感源，故障診斷邏輯控制器與原控制器采用獨立的軟件分區(qū)，這樣能滿足ASIL分解的獨立原則。無安全機制的情況下，所有的電池管理系統(tǒng)BMS相關傳感器、控制器均需要按照ASIL C等級開發(fā)；有安全機制的情況下，僅僅需要對監(jiān)控傳感器和故障診斷邏輯控制器按照ASIL C等級開發(fā)，其余傳感器和控制器只需要正常的質(zhì)量管理，大大的縮小了開發(fā)的成本和時間。

圖2 基于安全機制的ASIL分解簡圖Fig.2 ASIL decomposition based on safety mechanism

3 高壓繼電器控制方法及安全監(jiān)控

3.1 高壓繼電器控制

高壓繼電器控制方法是一種適用于混合動力汽車的上下強電控制方法。上下強電裝置包括：整車控制器(HCU)，電壓檢測電路，高壓繼電器控制電路。下圖3為繼電器控制電路簡圖，主要包括預充電繼電器Kp，總正繼電器K+，總負繼電器K-，高壓電池包，電容和高壓電器。當HCU發(fā)出上強電請求信號時，系統(tǒng)進行預充電和上強電操作；當HCU發(fā)出下強電信號時，斷開繼電器完成下電過程。在每次HCU發(fā)送上下強電請求信號時，電壓檢測電路主要通過電壓檢測反饋來保證繼電器處于正常狀態(tài)。這種基于功能安全理念開發(fā)的控制方法，采用了預充電過程有效的防止瞬時電流過大，保證了整車的高壓安全。

圖3 電路圖簡圖Fig.3 Circuit schematic diagram

3.2 監(jiān)控、診斷

高壓繼電器的故障是造成上下電功能失效的主要因素，因此在基于功能安全設計時必須考慮相應的安全機制。根據(jù)功能安全概念給出的安全機制，本設計中加入檢測高壓繼電器故障的監(jiān)控診斷方法，以滿足功能安全要求。

高壓繼電器的主要故障表現(xiàn)為無法閉合、粘連(無法切斷)以及觸電跳動，功能失效時可能導致車輛失去動力、高壓子時鐘帶點以及高壓系統(tǒng)大量發(fā)熱，進而可能對處于高速行駛或者維修維護的人員造成傷害[6]。目前一般的故障檢測方法及電路主要通過檢測電壓和電流信息來判斷是否粘連，從檢測出故障到及時處理經(jīng)歷較長時間，無法做出緊急處理措施，有一定的安全隱患。

3.2.1 故障診斷的硬件原理

高壓繼電器故障的監(jiān)控診斷方法適用于混合動力汽車和電動汽車。診斷電路圖如上圖4所示，不需要在原有的高壓繼電器控制電路上添加任何外圍電路，僅僅通過檢測重要的交叉電壓就能判斷繼電器的狀態(tài)，從而分析出故障情況，以便及時對危險采用補救措施。在上下電的控制和監(jiān)控診斷的實行過程中，控制器起到非常關鍵的作用?？刂破鞑粌H控制繼電器的通斷，同時也通過IO檢測接口與動力電池兩端以及相應的電氣設備連接?？刂破鱅O接口主要檢測三個主要的電壓參數(shù)，即：高壓電池組兩端的電壓V1、高壓負載設備正端和電源負端交叉電壓V2、高壓負載設備兩端電壓V3，通過控制器軟件內(nèi)部邏輯模塊完成故障的判斷。

圖4 檢測高壓繼電器故障的診斷電路示意圖Fig.4 Diagnostic circuit diagram for high voltage relay fault detection

3.2.2 故障檢測軟件設計

高壓繼電器控制器集成于電池管理系統(tǒng)BMS，BMS采用飛思卡爾單片機，軟件設計采用C語言編程，在CodeWarrior IDE 編程環(huán)境中進行。其中高壓繼電器故障的診斷方法軟件時序圖如下圖5所示，包括以下步驟：

1. 檢查總正繼電器K+狀態(tài)：控制器通過IO接口檢測V1、V2和V3，若V1-V2=0，則K+為粘連故障；若V1-V2≠0，則K+不粘連；

2. 預充電：閉合Kp，若V3快速上升，則K-為粘連故障；若V3沒有變化，則K-不粘連，此時閉合K-，進行預充電。

3. 上電：當預充電完成，閉合K+，斷開Kp，完成上電過程，動力電池向整車電氣設備供電。

4. 下電：先斷開K+，若此時V2不為零且保持不變，則Kp為粘連故障；否則，Kp為不粘連，然后斷開K-，完成下電過程。

4 試驗測試與分析

試驗測試的目的是為了檢驗上下強電的時序正確性，以及高壓繼電器失效形勢下整車能保持安全狀態(tài)。

4.1 檢測方法

使用示波器，測量J_RELAY的6、7、8腳，檢測繼電器動作，同時用Canalyzer監(jiān)控BMS數(shù)據(jù)。下圖6是繼電器引腳說明簡圖，6、7、8腳分別連接預充電繼電器、總正繼電器和總負繼電器。

圖5 檢測繼電器故障的診斷方法的流程圖Fig.5 Flow chart of diagnostic method for relay fault detection

圖6 繼電器引腳說明簡圖Fig.6 Relay pinout diagram

4.2 檢測記錄及結果

4.2.1 上強電時序測試

空載時示波器記錄波形正確：預充繼電器(紫)先閉合、然后總負(綠)、總正(藍)繼電器閉合，如下圖7。Canalyzer記錄實車上電數(shù)據(jù)正確：繼電器閉合順序預充(紫)先閉合，然后總負(黑)、總正(紅)閉合，如下圖8。

(轉下期)

Design of high voltage relay control for hybrid vehicles battery based on ISO26262

YinKaiZhuJianxinZhangXiaoyu

(SchoolofMechanicalEngineering,ShanghaiJiaoTongUniversity,Shanghai200240)

This paper introduces the international standard ISO26262about functional safety for automobile electronic/ electrical systems. Key concepts in ISO 26262are interpreted, including functional safety concepts and automobile safety integrity level (ASIL). Through hazard analysis and risk assessment, a control and monitoring method of high voltage relay is designed based on appropriate safety mechanism and ASIL decomposition method so that vehicle safety is ensured under the condition of the relay failure.

ISO26262 functional safety safety mechanism ASIL high voltage relay

1006-8244(2016)03-045-04

國家自然科學基金資助項目(51275355)、國家高技術研究發(fā)展計劃(863)項目(2011AA11A207)資助。

印 凱(1993-)，男，湖北省仙桃市人，碩士生，主要研究方向為混合動力汽車電池管理系統(tǒng)。

朱建新，男，副教授，研究方向為汽車電子控制。

U463.61

B