高壓掉電分析“故障樹”,功能安全總有“漏網(wǎng)之魚”存在

新能源汽車安全殺手：淺析高速公路高壓掉電

新能源汽車高速公路突然失去動力，是非常嚴重的安全事故。對于駕乘人員，可以導致致命的傷害。盡管燃油汽車也有類似的事故發(fā)生，但是，新能源汽車依靠電能驅(qū)動的本質(zhì)和復雜性，使得整車控制模塊數(shù)量也會顯著增多，控制和監(jiān)測難度增加。

隨著新增模塊的功能特性，VCU續(xù)駛里程計算精度、策略控制水平優(yōu)劣、動力源電池剩余電量估算、絕緣問題、電能輸出的高壓繼電器在大電流、高電壓、復雜工況下可靠性等等問題的出現(xiàn)，多種安全因素并存，復雜性顯而易見。任何一個環(huán)節(jié)的問題，比如說，硬件故障、超越策略所能控制限值，或策略監(jiān)控不到位，都是十分危險的。所以，新能源汽車面臨比燃油汽車更為嚴峻的安全挑戰(zhàn)。需要在設計之初，更為縝密的設計和測試，以及新技術(shù)的創(chuàng)新。

本文站在電池系統(tǒng)輸出電能角度，重點從電池部分硬件可靠性角度加以分析和闡述。這也僅僅是高壓掉電問題的冰山一角。

功能安全，總有“漏網(wǎng)之魚”存在

任何產(chǎn)品都不可能沒有瑕疵和BUG。盡管汽車產(chǎn)品的功能安全是一流的，也經(jīng)過了層層測試和驗證，但，仍然時不時的有“招回”事件發(fā)生，以及客戶的抱怨。我在Tesla 用戶論壇中，也曾看到過用戶對車輛失去動力故障的描述：

盡管客戶在描述Tesla汽車故障現(xiàn)象時，也會存在偏激和不準確性，但是，“幸虧深夜高速公路上沒有太多的…”萬幸背后的風險，是真實存在的。 Tesla 如何解決的，無從查考，但給用戶帶來的危險性，時時刻刻提醒著設計者不能有任何的“疏漏。在功能安全設計方面，安全無小事，給用戶制造出一個“放心”，才是產(chǎn)品長久的口碑。

高壓掉電分析“故障樹”

高壓斷路一般有三種狀態(tài)，第一種是下面描述的緊急或非可控制掉電故障。第二種是可控制的緊急斷電行為，其一般要求是，立即斷開繼電器，并將放電電流限值迅速降至零。第三種是VCU要求BMS下電行為（也有VCU直接控制形式），按正常步驟斷開繼電器，并將放電電流按一定速率降至零。第二、三種狀態(tài)，是可控的，第三種較第二種更安全。第一種狀態(tài)是失控或無法監(jiān)測控制的，也是最危險的。我們選擇之一“繼電器故障”加以分析。

高壓繼電器是電能輸出的“門戶”，也是功能安全中，“斷開”高壓的器件

高壓繼電器位置的設置，從安全角度，一般放置在離電池包體輸出電能最短的距離。主要目的是保證非可控部分高壓電路最短，同時保證切斷電能的快捷和徹底。所以說，繼電器的本體安全，是致關重要的，也是唯一的一道關口。

在這里重點分析一下最直接的觸點失效：存在兩種形態(tài)，一種是發(fā)生粘連；另一種是因觸點表面拉弧導致氧化，電阻嚴重增大導致非連接的故障。

案例：觸點受損時電路狀態(tài)：瞬間、間歇、永久中斷的圖示：

盡管觸點受損是逐步惡化的，斷崖式現(xiàn)象概率是極低的，但是偶發(fā)性是存在的。目前，在主動防護方面，還是比較先進和有效的，但是被動防護方面，目前還找不到更有效的辦法。首先來看看主動防護的一些方法，主要是在觸點滅弧方面采取的有效措施：

1、在密閉的觸點室中，充氫氣、氮氣或二者混合，具有對電弧非常好的冷卻能力和抗氧化特性。同時，通過結(jié)構(gòu)設計，防止電弧泄漏、防爆結(jié)構(gòu)，保證了繼電器的功能安全。目前，車用級的高壓繼電器一般都采用了這種辦法。

2、LSIS 的增加磁性體結(jié)構(gòu)，結(jié)合充氫作用滅弧，同樣起到非常好的效果。如下圖示。

所以，高壓繼電器安全，不僅僅是參數(shù)值匹配這么簡單，這只是一般的選型：匹配適合的電流、電壓、功率臺階。我個人感覺，針對不同的車輛產(chǎn)品需求，選用更為合理的繼電器廠家品牌更為重要。通過甄別廠家產(chǎn)品的優(yōu)劣，分析和探知他們多年積累的技術(shù)、測試水平、創(chuàng)新水平，看其產(chǎn)品的可靠性，反而是更為穩(wěn)妥的辦法。安全的繼電器產(chǎn)品，確實需要廠家長期的經(jīng)驗積累。

冗余設計是功能安全不可或缺的保障

傳統(tǒng)車輛在功能安全模塊冗余設計中，最早更多的是從軟件角度實現(xiàn)的，例如，轉(zhuǎn)向和制動控制模塊應用就是這樣的。但是隨著近些年對功能安全要求的不斷提高，從硬件角度增加備份控制模塊（冗余模塊）作法越來越普及。因為硬件的冗余，更為徹底和有效，讓風險值大大降低。

電池系統(tǒng)，在高壓主母線回路設置兩個繼電器，主正和主負，實際上也是功能安全冗余設計的案例。主正和主負繼電器，任何一個的失效，都不會妨礙主回路的安全斷開。但是，兩個繼電器，在保證非正常掉電方面，冗余是缺失的。也是不可控的。

再例如，Tesla MODEL 3 四輪驅(qū)動的兩個獨立馬達，可以在任一個停止工作的情況下，繼續(xù)驅(qū)動車輛，而不至于讓你困在路上。所以說，盡管Tesla 有這樣或哪樣的毛病，事故也不斷的出現(xiàn)，但是，在創(chuàng)新和新技術(shù)方面，還是很值得我們學習的。

對于冗余設計，在電源方面，尤其是動力電源方面，從硬件的角度，存在一定的困難，特別是從成本角度，實現(xiàn)起來，有一定困難。但，這不能成為障礙和理由。和驅(qū)動部分的硬件一樣，功能安全也需要齊頭并進。

針對高速公路掉電故障，電池系統(tǒng)哪些部分更需要冗余設計

注：表中的冗余功能，主要還是在策略上完成的冗余。硬件方面，在目前的車輛上，并沒有完全實現(xiàn)。我只是站在設計目標角度的一種臆斷。電池系統(tǒng)功能安全，還有很長的路要走，特別是面對高速路高壓掉電的重大安全風險，更需要技術(shù)的創(chuàng)新。

小結(jié)

本文把高速路高壓掉電，作為功能安全的一個窗口加以分析。其原因很復雜，也非常多，本文沒有一一詳述，而且更多的部分設計還在探索中，比如，電池系統(tǒng)冗余，更需要創(chuàng)新思路。所以，也只能拋出問題，引起大家的共鳴和思考。