純電動(dòng)汽車碰撞高壓安全系統(tǒng)設(shè)計(jì)及控制策略

陸中奎，陳 勇，劉天鳴

(1.北京華特時(shí)代電動(dòng)汽車技術(shù)有限公司， 北京 101300；2.北京信息科技大學(xué) 機(jī)電工程學(xué)院， 北京 100192)

由于世界石油能源資源的日益匱乏，以及汽車排放的尾氣造成的環(huán)境污染，純電動(dòng)汽車以其較好的環(huán)保特性和能源替代特性備受各界關(guān)注，目前，純電動(dòng)汽車成為各汽車廠家研究的重點(diǎn)。

純電動(dòng)汽車采用高壓動(dòng)力電池、驅(qū)動(dòng)電機(jī)等高壓電氣系統(tǒng)，其工作回路中的電壓高達(dá)400 V左右。高壓電造成的傷害與傳統(tǒng)燃油汽車完全不同。因此，隨著純電動(dòng)汽車產(chǎn)業(yè)化進(jìn)程的推進(jìn)，對(duì)純電動(dòng)汽車高壓安全十分重視。

純電動(dòng)汽車的高壓安全系統(tǒng)設(shè)計(jì)比較復(fù)雜，當(dāng)純電動(dòng)汽車在高速行駛過(guò)程中發(fā)生碰撞、翻滾或充電過(guò)程中被其他車輛碰撞等事故時(shí)，可能造成車輛動(dòng)力系統(tǒng)的高壓漏電、短路、動(dòng)力電池電解液泄露、燃燒、動(dòng)力電池爆炸等風(fēng)險(xiǎn)，對(duì)車內(nèi)乘員造成觸電傷害、化學(xué)傷害、燃燒傷害等。因此，在純電動(dòng)汽車的研發(fā)過(guò)程中，對(duì)純電動(dòng)汽車的安全設(shè)計(jì)進(jìn)行系統(tǒng)的研究具有重要意義[1]。車輛功能失效造成的危險(xiǎn)事故發(fā)生不僅對(duì)汽車企業(yè)造成品牌影響力下降和經(jīng)濟(jì)損失，而且給客戶帶來(lái)生命安全威脅，使得政府部門(mén)、汽車企業(yè)和客戶越來(lái)越關(guān)注車輛的功能安全。國(guó)際標(biāo)準(zhǔn)化組織(ISO)針對(duì)車輛功能安全編制并發(fā)布了《道路車輛功能安全標(biāo)準(zhǔn)——ISO26262》，目的是提高車輛的安全性能，為開(kāi)發(fā)車輛安全相關(guān)系統(tǒng)提供指南。針對(duì)純電動(dòng)汽車高壓安全保護(hù)的重要性，本文利用ISO26262標(biāo)準(zhǔn)的要求和方法設(shè)計(jì)了一種純電動(dòng)汽車發(fā)生碰撞時(shí)高壓斷電保護(hù)功能，保證電動(dòng)汽車在碰撞發(fā)生的過(guò)程中斷開(kāi)高壓系統(tǒng)。

1 ISO26262標(biāo)準(zhǔn)

ISO26262是IEC61508對(duì)電子/電氣系統(tǒng)在道路車輛方面的功能安全要求的具體應(yīng)用。它適用于所有提供安全相關(guān)功能的電力、電子和軟件元素組成的安全相關(guān)系統(tǒng)在整個(gè)生命周期內(nèi)的所有活動(dòng)[2]。

隨著用戶對(duì)汽車的安全性、智能性和娛樂(lè)性要求日益提高，車輛上電子電氣系統(tǒng)越來(lái)越復(fù)雜，因此來(lái)自系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)也日益增加，ISO26262包括其導(dǎo)則，都為避免這些風(fēng)險(xiǎn)提供了可行性的要求和流程[2]。

1.1 標(biāo)準(zhǔn)組成

ISO26262標(biāo)準(zhǔn)包括10個(gè)部分組成[2]，分別為術(shù)語(yǔ)、功能安全管理、概念階段、產(chǎn)品研發(fā)(系統(tǒng)級(jí))、產(chǎn)品研發(fā)(硬件級(jí))、產(chǎn)品研發(fā)(軟件級(jí))、生產(chǎn)和運(yùn)營(yíng)、支持過(guò)程、基于ASIL導(dǎo)向和安全導(dǎo)向分析、ISO26262導(dǎo)則。標(biāo)準(zhǔn)組成如圖1所示。

圖1 ISO26262 標(biāo)準(zhǔn)組成

1.2 汽車生命周期

ISO26262中定義的汽車安全生命周期，包含了從概念設(shè)計(jì)、產(chǎn)品開(kāi)發(fā)到批產(chǎn)后各階段的主要安全活動(dòng)。

功能安全的概念設(shè)計(jì)階段的主要工作包含相關(guān)項(xiàng)定義、安全生命周期初始化、HARA以及提出功能安全需求并進(jìn)行需求分配。

在產(chǎn)品開(kāi)發(fā)階段，ISO26262按照V型開(kāi)發(fā)流程定義相關(guān)安全活動(dòng)，V型的左側(cè)是技術(shù)安全需求分析、系統(tǒng)設(shè)計(jì)；V型的右側(cè)是系統(tǒng)集成、安全確認(rèn)和發(fā)布。硬件和軟件的開(kāi)發(fā)也遵循V型開(kāi)發(fā)流程[3]。

在批產(chǎn)后的階段，需要提供必要的文檔及方法，以保證在生產(chǎn)、售后服務(wù)和報(bào)廢等環(huán)節(jié)中安全目標(biāo)不被破壞。同時(shí)，需要監(jiān)控售后產(chǎn)品，發(fā)現(xiàn)有違背安全目標(biāo)的案例要采取相應(yīng)的措施[3]。

1.3 汽車安全完整性等級(jí)(ASIL)

汽車安全完整性等級(jí)(ASIL)是利用ISO26262標(biāo)準(zhǔn)進(jìn)行功能安全設(shè)計(jì)時(shí)，對(duì)系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，識(shí)別出系統(tǒng)的危害并且對(duì)危害的風(fēng)險(xiǎn)等級(jí)。如果系統(tǒng)的功能安全風(fēng)險(xiǎn)越大，對(duì)應(yīng)的安全要求越高，則具有更高等級(jí)的ASIL[3]。ASIL分為A、B、C、D四個(gè)級(jí)別，危害事件的風(fēng)險(xiǎn)級(jí)別根據(jù)3個(gè)因子(“嚴(yán)重度S”“暴露率E”“可控性C”)進(jìn)行量化評(píng)估。

2 電控系統(tǒng)開(kāi)發(fā)流程

道路車輛功能安全標(biāo)準(zhǔn)ISO26262適用于質(zhì)量不超過(guò)3 500 kg的乘用車電子電氣系統(tǒng)，其通過(guò)對(duì)開(kāi)發(fā)流程和工作文檔的規(guī)范來(lái)減少或消除電子電氣系統(tǒng)故障可能引起的風(fēng)險(xiǎn)。本文只對(duì)碰撞高壓安全系統(tǒng)開(kāi)發(fā)階段進(jìn)行描述。按照ISO26262標(biāo)準(zhǔn)的要求，碰撞高壓安全系統(tǒng)開(kāi)發(fā)階段的開(kāi)發(fā)流程如圖2所示。

圖2 系統(tǒng)開(kāi)發(fā)流程

3 碰撞高壓安全控制系統(tǒng)設(shè)計(jì)

3.1 整車動(dòng)力系統(tǒng)

純電動(dòng)汽車整車動(dòng)力系統(tǒng)如圖3所示。

圖3 純電動(dòng)汽車整車動(dòng)力系統(tǒng)

整車動(dòng)力系統(tǒng)主要包括整車控制器(VCU)、動(dòng)力電池及管理系統(tǒng)(BMS)、電機(jī)及控制系統(tǒng)(MCU)、DCDC電壓轉(zhuǎn)換器、電動(dòng)空調(diào)、PTC、車載充電系統(tǒng)等。整車控制器(VCU)作為純電動(dòng)汽車整車控制單元，合理的功能布局和安全可靠的控制策略是實(shí)現(xiàn)系統(tǒng)功能的重要保障。

純電動(dòng)汽車存在的安全風(fēng)險(xiǎn)包括高壓系統(tǒng)短路、高壓系統(tǒng)絕緣故障、高壓系統(tǒng)脫落、高壓充電風(fēng)險(xiǎn)、扭矩輸出風(fēng)險(xiǎn)。根據(jù)這些風(fēng)險(xiǎn)，電動(dòng)汽車開(kāi)發(fā)工程中要設(shè)計(jì)的安全系統(tǒng)包括維修安全、碰撞安全、電氣安全、功能安全等[1]。本文主要設(shè)計(jì)碰撞安全系統(tǒng)和控制方法。

3.2 碰撞高壓安全系統(tǒng)設(shè)計(jì)

3.2.1 系統(tǒng)設(shè)計(jì)方案

本文的純電動(dòng)汽車碰撞高壓安全控制系統(tǒng)由碰撞傳感器、安全氣囊控制器、整車控制器(VCU)、電池管理系統(tǒng)(BMS)、電機(jī)控制器(MCU)、組合儀表、主正主負(fù)繼電器組成。碰撞傳感器與安全氣囊控制器、整車控制器(VCU)通過(guò)硬線形式相連，安全氣囊控制器、整車控制器(VCU)、電機(jī)控制器(MCU)、電池管理系統(tǒng)(BMS)、組合儀表通過(guò)CAN線連接進(jìn)行信息交互，電池管理系統(tǒng)(BMS)與主正繼電器控制端相連以控制其通斷，整車控制器(VCU)與主負(fù)繼電器控制端相連以控制其通斷。本系統(tǒng)按照ISO26262的要求防止功能失效，提高ASIL等級(jí)，采取冗余措施。整車控制器(VCU)分別采集碰撞信息的硬線和CAN信號(hào)；主正、主負(fù)繼電器分別由電池管理系統(tǒng)(BMS)和整車控制器(VCU)控制，提高了碰撞斷電的可靠性和穩(wěn)定性。碰撞高壓安全系統(tǒng)原理如圖4所示。

圖4 碰撞高壓安全系統(tǒng)原理

3.2.2 整車控制器碰撞斷電系統(tǒng)架構(gòu)

整車控制器碰撞斷電系統(tǒng)主要由碰撞傳感器、VCU、其他控制單元CAN信號(hào)、主負(fù)繼電器執(zhí)行機(jī)構(gòu)、電機(jī)控制器執(zhí)行機(jī)構(gòu)、組合儀表執(zhí)行機(jī)構(gòu)等組成，系統(tǒng)簡(jiǎn)圖如圖5所示。

圖5 碰撞斷電VCU控制系統(tǒng)簡(jiǎn)圖

控制系統(tǒng)運(yùn)行過(guò)程中，VCU除了接收碰撞傳感器的輸入信號(hào)外，還需通過(guò)CAN總線從其他控制單元獲取輸入信號(hào)。該信號(hào)主要包括從安全氣囊控制器獲得的安全氣囊起爆信號(hào)、從電池管理系統(tǒng)(BMS)獲得的主正繼電器斷開(kāi)信號(hào)等。VCU對(duì)輸入信號(hào)進(jìn)行分析、判斷并做出決策，然后向繼電器、組合儀表、電機(jī)控制器發(fā)送控制指令，由執(zhí)行機(jī)構(gòu)斷開(kāi)主負(fù)繼電器，電機(jī)控制器進(jìn)行高壓回路放電，組合儀表顯示故障信息，從而實(shí)現(xiàn)純電動(dòng)汽車碰撞高壓安全的系統(tǒng)保護(hù)。

4 碰撞斷電保護(hù)的軟件設(shè)計(jì)

純電動(dòng)汽車碰撞斷電保護(hù)的設(shè)計(jì)思想是要保證純電動(dòng)汽車在帶電靜止、運(yùn)行、充電被碰撞時(shí)的高壓用電安全。

純電動(dòng)汽車碰撞斷電保護(hù)控制策略的設(shè)計(jì)思想是保證純電動(dòng)汽車在發(fā)生碰撞時(shí)斷開(kāi)高壓。

車輛發(fā)生碰撞時(shí)，整車控制器(VCU)檢測(cè)碰撞傳感器信號(hào)與安全氣囊起爆CAN信息，如碰撞信號(hào)為真，則整車控制器斷開(kāi)主負(fù)繼電器高壓下電，將碰撞故障存儲(chǔ)，點(diǎn)亮組合儀表故障燈，并轉(zhuǎn)發(fā)碰撞CAN信息。電機(jī)控制器(MCU)接收到VCU發(fā)送的高壓放電CAN信息進(jìn)行高壓回路放電。如碰撞信號(hào)為假，則車輛保持狀態(tài)。車輛維修完成，再次上電前要判斷碰撞故障是否清除。如果清除，車輛允許上電啟動(dòng)；如果沒(méi)清除，車輛不允許上電。

碰撞斷電保護(hù)控制流程示意圖如圖6所示，展示了電動(dòng)汽車發(fā)生碰撞時(shí)斷電保護(hù)控制流程的設(shè)計(jì)思路。

圖6 碰撞斷電保護(hù)控制流程

根據(jù)以上控制策略，按照ISO26262的軟件開(kāi)發(fā)流程開(kāi)發(fā)，采用Matlab/Simulink/Stateflow環(huán)境進(jìn)行建模和測(cè)試驗(yàn)證，結(jié)果需要符合ISO26262標(biāo)準(zhǔn)的要求。建立的策略模型如圖7所示。

圖7 控制策略模型

在整車環(huán)境模型建立的基礎(chǔ)上，根據(jù)碰撞斷電控制策略思路，對(duì)電動(dòng)汽車發(fā)生碰撞進(jìn)行總體仿真研究，如圖8所示。

總體仿真模型包括整車模型模塊、控制策略模型模塊、輸入輸出模塊。

5 結(jié)果分析

本系統(tǒng)和控制策略經(jīng)過(guò)了模型仿真和實(shí)車碰撞試驗(yàn)驗(yàn)證，試驗(yàn)數(shù)據(jù)和模型仿真對(duì)比分析結(jié)果如圖9所示。

圖8 汽車碰撞的總體仿真模型

圖9 仿真與試驗(yàn)數(shù)據(jù)對(duì)比分析曲線

5.1 繼電器斷開(kāi)響應(yīng)

當(dāng)車輛發(fā)生碰撞時(shí)，防止高壓回路漏電造成人員觸電，高壓回路應(yīng)立即斷開(kāi)。根據(jù)仿真與試驗(yàn)數(shù)據(jù)對(duì)比分析曲線可知，主正主負(fù)繼電器斷開(kāi)指令均已發(fā)出，主正主負(fù)繼電器均已斷開(kāi)。實(shí)際測(cè)試發(fā)送指令要比仿真晚0.1 s，是由于實(shí)際控制器信息采集和信息傳輸周期導(dǎo)致的。試驗(yàn)結(jié)果滿足國(guó)家標(biāo)準(zhǔn)(GB/T 18384.3—2015)的要求。

5.2 高壓回路放電響應(yīng)

當(dāng)高壓回路斷開(kāi)后，回路中的電壓應(yīng)在規(guī)定時(shí)間降低到60 V(或以下)。根據(jù)仿真與試驗(yàn)數(shù)據(jù)對(duì)比分析曲線可知，高壓回路電壓用0.5 s時(shí)間降到60 V，仿真與試驗(yàn)數(shù)據(jù)電壓下降趨勢(shì)一致，都能在規(guī)定時(shí)間達(dá)到安全值，滿足設(shè)計(jì)狀態(tài)，并符合國(guó)家標(biāo)準(zhǔn)(GB/T 18384.3—2015)的要求。

6 結(jié)束語(yǔ)

本文對(duì)純電動(dòng)汽車發(fā)生碰撞時(shí)存在的安全風(fēng)險(xiǎn)設(shè)計(jì)了一種純電動(dòng)汽車碰撞斷電保護(hù)系統(tǒng)，以ISO2626標(biāo)準(zhǔn)的思路和方法進(jìn)行開(kāi)發(fā)，為功能的安全性提供了保證。對(duì)模型仿真與試驗(yàn)數(shù)據(jù)進(jìn)行了對(duì)比分析，兩者結(jié)果基本一致，表明本系統(tǒng)和控制策略能保證純電動(dòng)汽車碰撞時(shí)的高壓安全。