姜羽

摘 要：相較于傳統(tǒng)燃油車，新能源汽車掌握著電池、電機(jī)和電控這“三電”部分的核心技術(shù)。然而近年來，隨著一系列電動(dòng)汽車自燃事件的發(fā)生，新能源汽車的“三電”系統(tǒng)功能安全問題日益受到關(guān)注。本文對ISO 26262標(biāo)準(zhǔn)下汽車電子電氣系統(tǒng)的開發(fā)流程加以分析，并對新能源汽車“三電”系統(tǒng)的功能安全技術(shù)展開探討。

關(guān)鍵詞：新能源汽車 “三電”系統(tǒng) 功能安全技術(shù)

就當(dāng)前來看，現(xiàn)代汽車電子電氣系統(tǒng)在開發(fā)過程中，逐漸將基于ISO26262標(biāo)準(zhǔn)的功能安全開發(fā)規(guī)劃作為重點(diǎn)考慮的問題。區(qū)別于傳統(tǒng)的燃油車，新能源汽車的“三電”系統(tǒng)安全性與穩(wěn)定性問題尤為突出。如何將功能安全的相關(guān)要求落到實(shí)處，將會(huì)對新能源汽車領(lǐng)域三電技術(shù)的提升起到重要的推動(dòng)作用。

1 ISO 26262標(biāo)準(zhǔn)下汽車電子電氣系統(tǒng)的開發(fā)流程

ISO 26262標(biāo)準(zhǔn)的應(yīng)用貫穿了汽車電子電氣系統(tǒng)的整個(gè)開發(fā)流程，包括功能設(shè)計(jì)、零部件開發(fā)以及量產(chǎn)等。該標(biāo)準(zhǔn)所涉及的內(nèi)容主要是電子電氣系統(tǒng)中的一系列功能性零部件，并在這些零部件開發(fā)及驗(yàn)證的過程中提供標(biāo)準(zhǔn)性要求。例如，在功能開發(fā)過程中，對功能的危害分析及風(fēng)險(xiǎn)評估需要在熟悉功能定義和邏輯的前提下進(jìn)行，并且根據(jù)分析結(jié)果，得出功能安全目標(biāo)及相關(guān)需求。在產(chǎn)品的研發(fā)過程中，該標(biāo)準(zhǔn)對安全活動(dòng)的定義還結(jié)合了汽車行業(yè)廣泛應(yīng)用的V模型開發(fā)流程，具體過程展示如圖1所示。通過該圖可以清晰的看到，整個(gè)流程涉及到安全需求的分析、釋放和驗(yàn)證，同時(shí)還包括系統(tǒng)的設(shè)計(jì)與集成。在進(jìn)行供應(yīng)商零部件開發(fā)時(shí)，對于系統(tǒng)層，軟/硬件的開發(fā)和驗(yàn)證時(shí)，該流程同樣適用。

就與汽車相關(guān)的控制器而言，其功能開發(fā)在安全性能方面需要與專業(yè)的功能安全技術(shù)要求相一致，因此在汽車從生產(chǎn)至報(bào)廢的整個(gè)過程中ISO 26262的參與是不可缺少的，包括參數(shù)的核對、工具的維護(hù)以及生產(chǎn)標(biāo)準(zhǔn)的執(zhí)行等。功能安全標(biāo)準(zhǔn)在車輛整個(gè)開發(fā)生命周期中起到的作用與質(zhì)量管理體系存在相似之處，為降低由電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)，提供了參考和保障。

2 動(dòng)力電源的功能安全技術(shù)分析

2.1 動(dòng)力電池系統(tǒng)發(fā)生碰撞后的斷電保護(hù)

當(dāng)電動(dòng)汽車的動(dòng)力電池發(fā)生碰撞時(shí)，如果不啟動(dòng)相關(guān)的斷電保護(hù)裝置則會(huì)帶來非常嚴(yán)重的后果，從GB/T 31498—2015《電動(dòng)汽車碰撞后安全要求》中提出的相關(guān)安全評價(jià)標(biāo)準(zhǔn)來看，碰撞后的電動(dòng)汽車要達(dá)到安全標(biāo)準(zhǔn)必須符合以下六個(gè)標(biāo)準(zhǔn)：一是在碰撞發(fā)生后的30分鐘內(nèi)不得發(fā)生起火爆炸等情況;二是電動(dòng)汽車的動(dòng)力電池移動(dòng)位移和電解液泄漏量應(yīng)當(dāng)在合理的可控范圍內(nèi);三是發(fā)生碰撞后的電動(dòng)汽車內(nèi)所有的高壓設(shè)備應(yīng)當(dāng)達(dá)到IPXXB級(jí)別的物理防護(hù)強(qiáng)度;四是處在高壓母線上的車內(nèi)殘余總電能應(yīng)當(dāng)小于0.2 J;五是電動(dòng)汽車內(nèi)的高壓絕緣電阻應(yīng)當(dāng)滿足GB/T 18384.3-2001《電動(dòng)汽車安全要求》;六是發(fā)生碰撞后，整個(gè)電動(dòng)汽車內(nèi)的母線搭鐵電壓、母線電壓需要達(dá)到直流不大于60 V和交流不大于30 V的標(biāo)準(zhǔn)。從以上的安全標(biāo)準(zhǔn)中可以看出，縮短動(dòng)力電池碰撞斷電保護(hù)系統(tǒng)的啟動(dòng)時(shí)間是開發(fā)符合ISO26262標(biāo)準(zhǔn)動(dòng)力電池的關(guān)鍵，這關(guān)乎整個(gè)電動(dòng)汽車的安全性，基于成熟的動(dòng)力域架構(gòu)設(shè)計(jì)及動(dòng)力電池系統(tǒng)安全分析，動(dòng)力電池系統(tǒng)典型的設(shè)計(jì)方案包括以下三點(diǎn)：

第一，主要是運(yùn)用CAN總線通訊的方式完成動(dòng)力電池碰撞的斷電防護(hù)。當(dāng)SRS ECU（安全氣囊控制模塊）從碰撞傳感器中接收到碰撞信號(hào)時(shí)，會(huì)將碰撞信號(hào)發(fā)出，當(dāng)BMS接收到有效的碰撞信號(hào)后，系統(tǒng)會(huì)斷高壓，實(shí)現(xiàn)斷電保護(hù)。

第二，主要是運(yùn)用PWM波完成動(dòng)力電池碰撞的斷電維護(hù)。在SRS ECU碰撞信號(hào)傳輸?shù)倪^程中可能會(huì)受到外部電磁的干擾而出現(xiàn)碰撞信號(hào)錯(cuò)誤的情況，為了避免這種情況的出現(xiàn)，系統(tǒng)設(shè)計(jì)可使用PWM來彌補(bǔ)SRS ECU發(fā)送碰撞信號(hào)會(huì)產(chǎn)生通訊錯(cuò)誤的缺陷，例如：若BMS持續(xù)接收到兩個(gè)以上完整的PWM碰撞脈沖，系統(tǒng)會(huì)斷高壓，實(shí)現(xiàn)斷電保護(hù)。

第三，是將以上兩何種方案綜合利用的方式，利用信號(hào)冗余來保證碰撞防護(hù)系統(tǒng)的正常啟動(dòng)。SRS ECU同時(shí)周期性發(fā)送CAN與PWM信號(hào)并保存到BMS中，只要BMS識(shí)別到其中一路有效的信號(hào)，則會(huì)斷開高壓回路。

2.2 動(dòng)力電池充放電的安全管理

動(dòng)力電池充放電的安全性能主要通過BMS（電池管理系統(tǒng)）、MCU（驅(qū)動(dòng)電機(jī)控制器）、VCU（整車控制單元）三者來共同維護(hù)，BMS提供電池出現(xiàn)的問題及狀況，MCU提供電池電能的利用與收回信息，VCU主要是整理合并以上收到的信息，針對電池充放電的電壓、電流、功率等指數(shù)進(jìn)行分析處置后，及時(shí)鑒別電池的安全邏輯，并將形成的相關(guān)指令傳送至電池管理系統(tǒng)中，通過該系統(tǒng)來執(zhí)行相關(guān)的充放電行為。

為了更好的滿足ISO26262要求的安全執(zhí)行標(biāo)準(zhǔn)，還需要對電池充放電過程中的其他問題進(jìn)行完善。在充電過程中，及時(shí)對一些細(xì)小的安全問題進(jìn)行報(bào)警，并對一些反接、冒煙等危險(xiǎn)行為進(jìn)行立刻斷電的執(zhí)行設(shè)定;在放電過程中，避免亂用工況的問題，并有效通過VCU收集的電池相關(guān)信息對電池進(jìn)行安全監(jiān)管，讓SOC、SOF、SOH等相關(guān)指數(shù)保持在規(guī)定范圍內(nèi)。

2.3 動(dòng)力電池的濫用防護(hù)

過度放電、撞擊、火燒以及擠壓等不規(guī)范的電池使用方式是導(dǎo)致電池壽命縮短和出現(xiàn)功能性障礙的主要原因。電池性能的保持，主要來源于生活中電池的規(guī)范使用。而電池性能的提高，則需要在設(shè)計(jì)和制造電池的過程中，使用質(zhì)量合格的材料與過硬的技術(shù)，尤其是在電芯等關(guān)鍵部位的制作時(shí)需要嚴(yán)格按照專業(yè)標(biāo)準(zhǔn)來執(zhí)行，為此，可以利用ISO 26262中的標(biāo)準(zhǔn)來對此進(jìn)行審核及評估，以判斷其是否符合準(zhǔn)用標(biāo)準(zhǔn)。

2.4 動(dòng)力電池故障的診斷處理

電池故障出現(xiàn)的情況十分繁多，作為一種主動(dòng)安全防護(hù)技術(shù)，電池故障的診斷需要從多個(gè)方面進(jìn)行，包括風(fēng)速、車速、電池壓力等一系列信號(hào)的測試和記錄，利用BMS對采集的數(shù)據(jù)進(jìn)行分析，可以得出絕緣電阻模型以及電池濫用情況等相結(jié)果。通過對故障診斷項(xiàng)目予以總結(jié)，發(fā)現(xiàn)可列入電池故障的內(nèi)容包括電池溫度過高或過低、電池連接不靈敏以及電壓不穩(wěn)定等，為了使動(dòng)力電池的安全達(dá)到可適用標(biāo)準(zhǔn)，應(yīng)開發(fā)滿足ISO 26262標(biāo)準(zhǔn)的動(dòng)力電池系統(tǒng)。