新能源汽車安全殺手：淺析高速公路高壓掉電

新能源汽車高速公路突然失去動(dòng)力，是非常嚴(yán)重的安全事故。對(duì)于駕乘人員，可以導(dǎo)致致命的傷害。盡管燃油汽車也有類似的事故發(fā)生，但是，新能源汽車依靠電能驅(qū)動(dòng)的本質(zhì)和復(fù)雜性，使得整車控制模塊數(shù)量也會(huì)顯著增多，控制和監(jiān)測(cè)難度增加。

隨著新增模塊的功能特性，VCU續(xù)駛里程計(jì)算精度、策略控制水平優(yōu)劣、動(dòng)力源電池剩余電量估算、絕緣問(wèn)題、電能輸出的高壓繼電器在大電流、高電壓、復(fù)雜工況下可靠性等等問(wèn)題的出現(xiàn)，多種安全因素并存，復(fù)雜性顯而易見(jiàn)。任何一個(gè)環(huán)節(jié)的問(wèn)題，比如說(shuō)，硬件故障、超越策略所能控制限值，或策略監(jiān)控不到位，都是十分危險(xiǎn)的。所以，新能源汽車面臨比燃油汽車更為嚴(yán)峻的安全挑戰(zhàn)。需要在設(shè)計(jì)之初，更為縝密的設(shè)計(jì)和測(cè)試，以及新技術(shù)的創(chuàng)新。

本文站在電池系統(tǒng)輸出電能角度，重點(diǎn)從電池部分硬件可靠性角度加以分析和闡述。這也僅僅是高壓掉電問(wèn)題的冰山一角。

功能安全，總有“漏網(wǎng)之魚”存在

任何產(chǎn)品都不可能沒(méi)有瑕疵和BUG。盡管汽車產(chǎn)品的功能安全是一流的，也經(jīng)過(guò)了層層測(cè)試和驗(yàn)證，但，仍然時(shí)不時(shí)的有“招回”事件發(fā)生，以及客戶的抱怨。我在Tesla 用戶論壇中，也曾看到過(guò)用戶對(duì)車輛失去動(dòng)力故障的描述：

盡管客戶在描述Tesla汽車故障現(xiàn)象時(shí)，也會(huì)存在偏激和不準(zhǔn)確性，但是，“幸虧深夜高速公路上沒(méi)有太多的…”萬(wàn)幸背后的風(fēng)險(xiǎn)，是真實(shí)存在的。 Tesla 如何解決的，無(wú)從查考，但給用戶帶來(lái)的危險(xiǎn)性，時(shí)時(shí)刻刻提醒著設(shè)計(jì)者不能有任何的“疏漏。在功能安全設(shè)計(jì)方面，安全無(wú)小事，給用戶制造出一個(gè)“放心”，才是產(chǎn)品長(zhǎng)久的口碑。

高壓掉電分析“故障樹(shù)”

高壓斷路一般有三種狀態(tài)，第一種是下面描述的緊急或非可控制掉電故障。第二種是可控制的緊急斷電行為，其一般要求是，立即斷開(kāi)繼電器，并將放電電流限值迅速降至零。第三種是VCU要求BMS下電行為（也有VCU直接控制形式），按正常步驟斷開(kāi)繼電器，并將放電電流按一定速率降至零。第二、三種狀態(tài)，是可控的，第三種較第二種更安全。第一種狀態(tài)是失控或無(wú)法監(jiān)測(cè)控制的，也是最危險(xiǎn)的。我們選擇之一“繼電器故障”加以分析。

高壓繼電器是電能輸出的“門戶”，也是功能安全中，“斷開(kāi)”高壓的器件

高壓繼電器位置的設(shè)置，從安全角度，一般放置在離電池包體輸出電能最短的距離。主要目的是保證非可控部分高壓電路最短，同時(shí)保證切斷電能的快捷和徹底。所以說(shuō)，繼電器的本體安全，是致關(guān)重要的，也是唯一的一道關(guān)口。

在這里重點(diǎn)分析一下最直接的觸點(diǎn)失效：存在兩種形態(tài)，一種是發(fā)生粘連；另一種是因觸點(diǎn)表面拉弧導(dǎo)致氧化，電阻嚴(yán)重增大導(dǎo)致非連接的故障。

案例：觸點(diǎn)受損時(shí)電路狀態(tài)：瞬間、間歇、永久中斷的圖示：

盡管觸點(diǎn)受損是逐步惡化的，斷崖式現(xiàn)象概率是極低的，但是偶發(fā)性是存在的。目前，在主動(dòng)防護(hù)方面，還是比較先進(jìn)和有效的，但是被動(dòng)防護(hù)方面，目前還找不到更有效的辦法。首先來(lái)看看主動(dòng)防護(hù)的一些方法，主要是在觸點(diǎn)滅弧方面采取的有效措施：

1、在密閉的觸點(diǎn)室中，充氫氣、氮?dú)饣蚨呋旌希哂袑?duì)電弧非常好的冷卻能力和抗氧化特性。同時(shí)，通過(guò)結(jié)構(gòu)設(shè)計(jì)，防止電弧泄漏、防爆結(jié)構(gòu)，保證了繼電器的功能安全。目前，車用級(jí)的高壓繼電器一般都采用了這種辦法。

2、LSIS 的增加磁性體結(jié)構(gòu)，結(jié)合充氫作用滅弧，同樣起到非常好的效果。如下圖示。

所以，高壓繼電器安全，不僅僅是參數(shù)值匹配這么簡(jiǎn)單，這只是一般的選型：匹配適合的電流、電壓、功率臺(tái)階。我個(gè)人感覺(jué)，針對(duì)不同的車輛產(chǎn)品需求，選用更為合理的繼電器廠家品牌更為重要。通過(guò)甄別廠家產(chǎn)品的優(yōu)劣，分析和探知他們多年積累的技術(shù)、測(cè)試水平、創(chuàng)新水平，看其產(chǎn)品的可靠性，反而是更為穩(wěn)妥的辦法。安全的繼電器產(chǎn)品，確實(shí)需要廠家長(zhǎng)期的經(jīng)驗(yàn)積累。

冗余設(shè)計(jì)是功能安全不可或缺的保障

傳統(tǒng)車輛在功能安全模塊冗余設(shè)計(jì)中，最早更多的是從軟件角度實(shí)現(xiàn)的，例如，轉(zhuǎn)向和制動(dòng)控制模塊應(yīng)用就是這樣的。但是隨著近些年對(duì)功能安全要求的不斷提高，從硬件角度增加備份控制模塊（冗余模塊）作法越來(lái)越普及。因?yàn)橛布娜哂啵鼮閺氐缀陀行В岋L(fēng)險(xiǎn)值大大降低。

電池系統(tǒng)，在高壓主母線回路設(shè)置兩個(gè)繼電器，主正和主負(fù)，實(shí)際上也是功能安全冗余設(shè)計(jì)的案例。主正和主負(fù)繼電器，任何一個(gè)的失效，都不會(huì)妨礙主回路的安全斷開(kāi)。但是，兩個(gè)繼電器，在保證非正常掉電方面，冗余是缺失的。也是不可控的。

再例如，Tesla MODEL 3 四輪驅(qū)動(dòng)的兩個(gè)獨(dú)立馬達(dá)，可以在任一個(gè)停止工作的情況下，繼續(xù)驅(qū)動(dòng)車輛，而不至于讓你困在路上。所以說(shuō)，盡管Tesla 有這樣或哪樣的毛病，事故也不斷的出現(xiàn)，但是，在創(chuàng)新和新技術(shù)方面，還是很值得我們學(xué)習(xí)的。

對(duì)于冗余設(shè)計(jì)，在電源方面，尤其是動(dòng)力電源方面，從硬件的角度，存在一定的困難，特別是從成本角度，實(shí)現(xiàn)起來(lái)，有一定困難。但，這不能成為障礙和理由。和驅(qū)動(dòng)部分的硬件一樣，功能安全也需要齊頭并進(jìn)。

針對(duì)高速公路掉電故障，電池系統(tǒng)哪些部分更需要冗余設(shè)計(jì)

注：表中的冗余功能，主要還是在策略上完成的冗余。硬件方面，在目前的車輛上，并沒(méi)有完全實(shí)現(xiàn)。我只是站在設(shè)計(jì)目標(biāo)角度的一種臆斷。電池系統(tǒng)功能安全，還有很長(zhǎng)的路要走，特別是面對(duì)高速路高壓掉電的重大安全風(fēng)險(xiǎn)，更需要技術(shù)的創(chuàng)新。

小結(jié)

本文把高速路高壓掉電，作為功能安全的一個(gè)窗口加以分析。其原因很復(fù)雜，也非常多，本文沒(méi)有一一詳述，而且更多的部分設(shè)計(jì)還在探索中，比如，電池系統(tǒng)冗余，更需要?jiǎng)?chuàng)新思路。所以，也只能拋出問(wèn)題，引起大家的共鳴和思考。