纯电动汽车碰撞高压安全系统设计及控制策略

2019-04-16陆中奎刘天鸣

重庆理工大学学报(自然科学) 2019年3期

陆中奎，陈勇，刘天鸣

(1.北京华特时代电动汽车技术有限公司，北京 101300；2.北京信息科技大学机电工程学院，北京 100192)

由于世界石油能源资源的日益匮乏，以及汽车排放的尾气造成的环境污染，纯电动汽车以其较好的环保特性和能源替代特性备受各界关注，目前，纯电动汽车成为各汽车厂家研究的重点。

纯电动汽车采用高压动力电池、驱动电机等高压电气系统，其工作回路中的电压高达400 V左右。高压电造成的伤害与传统燃油汽车完全不同。因此，随着纯电动汽车产业化进程的推进，对纯电动汽车高压安全十分重视。

纯电动汽车的高压安全系统设计比较复杂，当纯电动汽车在高速行驶过程中发生碰撞、翻滚或充电过程中被其他车辆碰撞等事故时，可能造成车辆动力系统的高压漏电、短路、动力电池电解液泄露、燃烧、动力电池爆炸等风险，对车内乘员造成触电伤害、化学伤害、燃烧伤害等。因此，在纯电动汽车的研发过程中，对纯电动汽车的安全设计进行系统的研究具有重要意义[1]。车辆功能失效造成的危险事故发生不仅对汽车企业造成品牌影响力下降和经济损失，而且给客户带来生命安全威胁，使得政府部门、汽车企业和客户越来越关注车辆的功能安全。国际标准化组织(ISO)针对车辆功能安全编制并发布了《道路车辆功能安全标准——ISO26262》，目的是提高车辆的安全性能，为开发车辆安全相关系统提供指南。针对纯电动汽车高压安全保护的重要性，本文利用ISO26262标准的要求和方法设计了一种纯电动汽车发生碰撞时高压断电保护功能，保证电动汽车在碰撞发生的过程中断开高压系统。

1 ISO26262标准

ISO26262是IEC61508对电子/电气系统在道路车辆方面的功能安全要求的具体应用。它适用于所有提供安全相关功能的电力、电子和软件元素组成的安全相关系统在整个生命周期内的所有活动[2]。

随着用户对汽车的安全性、智能性和娱乐性要求日益提高，车辆上电子电气系统越来越复杂，因此来自系统失效和随机硬件失效的风险也日益增加，ISO26262包括其导则，都为避免这些风险提供了可行性的要求和流程[2]。

1.1 标准组成

ISO26262标准包括10个部分组成[2]，分别为术语、功能安全管理、概念阶段、产品研发(系统级)、产品研发(硬件级)、产品研发(软件级)、生产和运营、支持过程、基于ASIL导向和安全导向分析、ISO26262导则。标准组成如图1所示。

图1 ISO26262 标准组成

1.2 汽车生命周期

ISO26262中定义的汽车安全生命周期，包含了从概念设计、产品开发到批产后各阶段的主要安全活动。

功能安全的概念设计阶段的主要工作包含相关项定义、安全生命周期初始化、HARA以及提出功能安全需求并进行需求分配。

在产品开发阶段，ISO26262按照V型开发流程定义相关安全活动，V型的左侧是技术安全需求分析、系统设计；V型的右侧是系统集成、安全确认和发布。硬件和软件的开发也遵循V型开发流程[3]。

在批产后的阶段，需要提供必要的文档及方法，以保证在生产、售后服务和报废等环节中安全目标不被破坏。同时，需要监控售后产品，发现有违背安全目标的案例要采取相应的措施[3]。

1.3 汽车安全完整性等级(ASIL)

汽车安全完整性等级(ASIL)是利用ISO26262标准进行功能安全设计时，对系统进行危害分析和风险评估，识别出系统的危害并且对危害的风险等级。如果系统的功能安全风险越大，对应的安全要求越高，则具有更高等级的ASIL[3]。ASIL分为A、B、C、D四个级别，危害事件的风险级别根据3个因子(“严重度S”“暴露率E”“可控性C”)进行量化评估。

2 电控系统开发流程

道路车辆功能安全标准ISO26262适用于质量不超过3 500 kg的乘用车电子电气系统，其通过对开发流程和工作文档的规范来减少或消除电子电气系统故障可能引起的风险。本文只对碰撞高压安全系统开发阶段进行描述。按照ISO26262标准的要求，碰撞高压安全系统开发阶段的开发流程如图2所示。

图2 系统开发流程

3 碰撞高压安全控制系统设计

3.1 整车动力系统

纯电动汽车整车动力系统如图3所示。

图3 纯电动汽车整车动力系统

整车动力系统主要包括整车控制器(VCU)、动力电池及管理系统(BMS)、电机及控制系统(MCU)、DCDC电压转换器、电动空调、PTC、车载充电系统等。整车控制器(VCU)作为纯电动汽车整车控制单元，合理的功能布局和安全可靠的控制策略是实现系统功能的重要保障。

纯电动汽车存在的安全风险包括高压系统短路、高压系统绝缘故障、高压系统脱落、高压充电风险、扭矩输出风险。根据这些风险，电动汽车开发工程中要设计的安全系统包括维修安全、碰撞安全、电气安全、功能安全等[1]。本文主要设计碰撞安全系统和控制方法。

3.2 碰撞高压安全系统设计

3.2.1 系统设计方案

本文的纯电动汽车碰撞高压安全控制系统由碰撞传感器、安全气囊控制器、整车控制器(VCU)、电池管理系统(BMS)、电机控制器(MCU)、组合仪表、主正主负继电器组成。碰撞传感器与安全气囊控制器、整车控制器(VCU)通过硬线形式相连，安全气囊控制器、整车控制器(VCU)、电机控制器(MCU)、电池管理系统(BMS)、组合仪表通过CAN线连接进行信息交互，电池管理系统(BMS)与主正继电器控制端相连以控制其通断，整车控制器(VCU)与主负继电器控制端相连以控制其通断。本系统按照ISO26262的要求防止功能失效，提高ASIL等级，采取冗余措施。整车控制器(VCU)分别采集碰撞信息的硬线和CAN信号；主正、主负继电器分别由电池管理系统(BMS)和整车控制器(VCU)控制，提高了碰撞断电的可靠性和稳定性。碰撞高压安全系统原理如图4所示。

图4 碰撞高压安全系统原理

3.2.2 整车控制器碰撞断电系统架构

整车控制器碰撞断电系统主要由碰撞传感器、VCU、其他控制单元CAN信号、主负继电器执行机构、电机控制器执行机构、组合仪表执行机构等组成，系统简图如图5所示。

图5 碰撞断电VCU控制系统简图

控制系统运行过程中，VCU除了接收碰撞传感器的输入信号外，还需通过CAN总线从其他控制单元获取输入信号。该信号主要包括从安全气囊控制器获得的安全气囊起爆信号、从电池管理系统(BMS)获得的主正继电器断开信号等。VCU对输入信号进行分析、判断并做出决策，然后向继电器、组合仪表、电机控制器发送控制指令，由执行机构断开主负继电器，电机控制器进行高压回路放电，组合仪表显示故障信息，从而实现纯电动汽车碰撞高压安全的系统保护。

4 碰撞断电保护的软件设计

纯电动汽车碰撞断电保护的设计思想是要保证纯电动汽车在带电静止、运行、充电被碰撞时的高压用电安全。

纯电动汽车碰撞断电保护控制策略的设计思想是保证纯电动汽车在发生碰撞时断开高压。

车辆发生碰撞时，整车控制器(VCU)检测碰撞传感器信号与安全气囊起爆CAN信息，如碰撞信号为真，则整车控制器断开主负继电器高压下电，将碰撞故障存储，点亮组合仪表故障灯，并转发碰撞CAN信息。电机控制器(MCU)接收到VCU发送的高压放电CAN信息进行高压回路放电。如碰撞信号为假，则车辆保持状态。车辆维修完成，再次上电前要判断碰撞故障是否清除。如果清除，车辆允许上电启动；如果没清除，车辆不允许上电。

碰撞断电保护控制流程示意图如图6所示，展示了电动汽车发生碰撞时断电保护控制流程的设计思路。

图6 碰撞断电保护控制流程

根据以上控制策略，按照ISO26262的软件开发流程开发，采用Matlab/Simulink/Stateflow环境进行建模和测试验证，结果需要符合ISO26262标准的要求。建立的策略模型如图7所示。

图7 控制策略模型

在整车环境模型建立的基础上，根据碰撞断电控制策略思路，对电动汽车发生碰撞进行总体仿真研究，如图8所示。

总体仿真模型包括整车模型模块、控制策略模型模块、输入输出模块。

5 结果分析

本系统和控制策略经过了模型仿真和实车碰撞试验验证，试验数据和模型仿真对比分析结果如图9所示。

图8 汽车碰撞的总体仿真模型

图9 仿真与试验数据对比分析曲线

5.1 继电器断开响应

当车辆发生碰撞时，防止高压回路漏电造成人员触电，高压回路应立即断开。根据仿真与试验数据对比分析曲线可知，主正主负继电器断开指令均已发出，主正主负继电器均已断开。实际测试发送指令要比仿真晚0.1 s，是由于实际控制器信息采集和信息传输周期导致的。试验结果满足国家标准(GB/T 18384.3—2015)的要求。