高压继电器控制的主要目的是保证电池系统上下电的正常进行,在汽车启动时闭合继电器上电,在汽车停车熄火时断开继电器下电。高压继电器控制属于汽车电子电气系统,其失效形式可能会对驾驶员的生命安全造成伤害,因此应该按照ISO26262标准进行开发,以满足功能安全要求。
高压继电器控制通常包括传感器、控制器、执行器,一般集成在BMS中,传感器可能直接与BMS相连,也可能直接与整车控制器相连,执行器主要是高压继电器。根据ASIL评级方法,首先确定严重度、发生率和可控性等级,然后对ASIL等级表确定ASIL等级。
严重度:高压继电器控制功能失效时,可能对处于高速行驶或维修人员造成伤害,定义严重度为S2
发生率:每天的充电、驾驶、停车以及维修都会涉及继电器的动作,定义发生率为E4
可控性:继电器失效C3不可控(有些时候定义为中等可控C2)。
据此划分为ASIL C等级,功能安全目标是防止非预期高压继电器的故障。每个ASIL等级对应一个整数值: QM=0,A=1,B=2,C=3,D=4。根据ASIL分解法则,如果n个部件必须同时失效才能导致一种特定伤害,那么这n个部件的ASIL对应的数值加起来必须和危害定义ASIL等级值相等。例如,ASIL C可以分解为ASIL C + QM,或者ASIL B + ASIL A,这样可以降低开发成本、缩短开发周期。
高压继电器应该布置在靠近电池的位置,确保高压回路断路的可靠性和高效性,并且在正端和负端各连接一个,分别接通与断开高压回路的正负端与电池正负端之间的连接。在其中一个继电器发生故障不能断开的情况下,还能保证另一个继电器的正常工作,从而不会失去对高压回路的控制,高压回路在任何一个继电器断开时,高压回路都可以被断开,这要比使用一个继电器的安全性提高很多。
高压继电器状态监控主要是通过检查继电器的触点状态来判断继电器工作状态是否符合控制要求,避免在高压继电器打开的情况下给高压回路施加电气负载,以及在高压回路有较大电气负载的情况下断开高压继电器。高压继电器的触点检测可以准确发现继电器粘连情况,防止在高压继电器粘连情况下误操作损坏高压回路元器件,同时合理操作高压继电器(打开/闭合),延长继电器使用寿命。高压继电器触点检测方法采用带辅助触点检测的高压继电器,也可以单独设计辅助触点检测电路,通过检测高压继电器两段的电压来判断高压继电器触点的打开/闭合状况。
高压继电器的故障是造成上下电功能失效的主要因素,因此在基于功能安全设计时必须考虑相应的安全机制。高压继电器的主要故障表现为无法闭合、粘连(无法断开)以及触点跳动,功能失效时可能导致车辆失去动力,进而可能造成伤害。在上下电的控制和监控诊断中,控制器其关键作用。控制器不仅控制继电器通断,同时也通过IO检测接口与动力电池两端以及相应的电气设备连接。
控制器IO接口主要检测三个主要电压参数:高压电池端电压U1、高压负载设备正端和电源负载端交叉电压U2、高压负载设备两端电压U3,通过控制器软件内部逻辑模块完成故障判断。下图是比较常见的高压电池电路示意图,以此简单说明一下上下电时高压继电器的检测。例如:
1. 检测S+状态:控制器通过IO接口检测三个电压,若U1=U2,则S+粘连故障,若U1≠U2,则S+不粘连
2. 检测预充电:Sp闭合,若U3快速上升,则S-粘连,若U3没变化,则S-不粘连,此时闭合S-,开始预充电
3. 上电:预充电完成后,闭合S+,断开Sp,完成上电过程,动力电向整车电气设备供电
4. 下电:先断开S+,若此时U2≠0,且保持不变,则Sp粘连,否则,Sp不粘连,然后断开S-,完成下电
上图仅是一个简单得示例,在实际产品设计中还需要结合其他控制策略进行详细的设计,感兴趣可以联系探讨。
参考
Design of high voltage relay control for hybrid vehicles battery based on ISO26262
纯电动汽车高压电安全监控系统研究
京公网安备 11010802041100号