新能源汽车高速公路突然失去动力,是非常严重的安全事故。对于驾乘人员,可以导致致命的伤害。尽管燃油汽车也有类似的事故发生,但是,新能源汽车依靠电能驱动的本质和复杂性,使得整车控制模块数量也会显著增多,控制和监测难度增加。
随着新增模块的功能特性,VCU续驶里程计算精度、策略控制水平优劣、动力源电池剩余电量估算、绝缘问题、电能输出的高压继电器在大电流、高电压、复杂工况下可靠性等等问题的出现,多种安全因素并存,复杂性显而易见。任何一个环节的问题,比如说,硬件故障、超越策略所能控制限值,或策略监控不到位,都是十分危险的。所以,新能源汽车面临比燃油汽车更为严峻的安全挑战。需要在设计之初,更为缜密的设计和测试,以及新技术的创新。
本文站在电池系统输出电能角度,重点从电池部分硬件可靠性角度加以分析和阐述。这也仅仅是高压掉电问题的冰山一角。
功能安全,总有“漏网之鱼”存在
任何产品都不可能没有瑕疵和BUG。尽管汽车产品的功能安全是一流的,也经过了层层测试和验证,但,仍然时不时的有“招回”事件发生,以及客户的抱怨。我在Tesla 用户论坛中,也曾看到过用户对车辆失去动力故障的描述:
尽管客户在描述Tesla汽车故障现象时,也会存在偏激和不准确性,但是,“幸亏深夜高速公路上没有太多的…”万幸背后的风险,是真实存在的。 Tesla 如何解决的,无从查考,但给用户带来的危险性,时时刻刻提醒着设计者不能有任何的“疏漏。在功能安全设计方面,安全无小事,给用户制造出一个“放心”,才是产品长久的口碑。
高压掉电分析“故障树”
高压断路一般有三种状态,第一种是下面描述的紧急或非可控制掉电故障。第二种是可控制的紧急断电行为,其一般要求是,立即断开继电器,并将放电电流限值迅速降至零。第三种是VCU要求BMS下电行为(也有VCU直接控制形式),按正常步骤断开继电器,并将放电电流按一定速率降至零。第二、三种状态,是可控的,第三种较第二种更安全。第一种状态是失控或无法监测控制的,也是最危险的。我们选择之一“继电器故障”加以分析。
高压继电器是电能输出的“门户”,也是功能安全中,“断开”高压的器件
高压继电器位置的设置,从安全角度,一般放置在离电池包体输出电能最短的距离。主要目的是保证非可控部分高压电路最短,同时保证切断电能的快捷和彻底。所以说,继电器的本体安全,是致关重要的,也是唯一的一道关口。
在这里重点分析一下最直接的触点失效:存在两种形态,一种是发生粘连;另一种是因触点表面拉弧导致氧化,电阻严重增大导致非连接的故障。
案例:触点受损时电路状态:瞬间、间歇、永久中断的图示:
尽管触点受损是逐步恶化的,断崖式现象概率是极低的,但是偶发性是存在的。目前,在主动防护方面,还是比较先进和有效的,但是被动防护方面,目前还找不到更有效的办法。首先来看看主动防护的一些方法,主要是在触点灭弧方面采取的有效措施:
1、在密闭的触点室中,充氢气、氮气或二者混合,具有对电弧非常好的冷却能力和抗氧化特性。同时,通过结构设计,防止电弧泄漏、防爆结构,保证了继电器的功能安全。目前,车用级的高压继电器一般都采用了这种办法。
2、LSIS?的增加磁性体结构,结合充氢作用灭弧,同样起到非常好的效果。如下图示。
所以,高压继电器安全,不仅仅是参数值匹配这么简单,这只是一般的选型:匹配适合的电流、电压、功率台阶。我个人感觉,针对不同的车辆产品需求,选用更为合理的继电器厂家品牌更为重要。通过甄别厂家产品的优劣,分析和探知他们多年积累的技术、测试水平、创新水平,看其产品的可靠性,反而是更为稳妥的办法。安全的继电器产品,确实需要厂家长期的经验积累。
冗余设计是功能安全不可或缺的保障
传统车辆在功能安全模块冗余设计中,最早更多的是从软件角度实现的,例如,转向和制动控制模块应用就是这样的。但是随着近些年对功能安全要求的不断提高,从硬件角度增加备份控制模块(冗余模块)作法越来越普及。因为硬件的冗余,更为彻底和有效,让风险值大大降低。
电池系统,在高压主母线回路设置两个继电器,主正和主负,实际上也是功能安全冗余设计的案例。主正和主负继电器,任何一个的失效,都不会妨碍主回路的安全断开。但是,两个继电器,在保证非正常掉电方面,冗余是缺失的。也是不可控的。
再例如,Tesla MODEL 3四轮驱动的两个独立马达,可以在任一个停止工作的情况下,继续驱动车辆,而不至于让你困在路上。所以说,尽管Tesla 有这样或哪样的毛病,事故也不断的出现,但是,在创新和新技术方面,还是很值得我们学习的。
对于冗余设计,在电源方面,尤其是动力电源方面,从硬件的角度,存在一定的困难,特别是从成本角度,实现起来,有一定困难。但,这不能成为障碍和理由。和驱动部分的硬件一样,功能安全也需要齐头并进。
针对高速公路掉电故障,电池系统哪些部分更需要冗余设计
注:表中的冗余功能,主要还是在策略上完成的冗余。硬件方面,在目前的车辆上,并没有完全实现。我只是站在设计目标角度的一种臆断。电池系统功能安全,还有很长的路要走,特别是面对高速路高压掉电的重大安全风险,更需要技术的创新。
小结
本文把高速路高压掉电,作为功能安全的一个窗口加以分析。其原因很复杂,也非常多,本文没有一一详述,而且更多的部分设计还在探索中,比如,电池系统冗余,更需要创新思路。所以,也只能抛出问题,引起大家的共鸣和思考。