部分 补充之前的文章探讨
写完之前的文章,有不少熟识的BMS工程师主要找我交流两方面的问题,对待这些A类故障
BMS自我诊断故障:BMS本身的MCU检测出故障
电池包过电流:电池包的电流检测超过限定值
单体过压合欠压:这是在诊断里面排除了采样的ASIC芯片故障、ASIC芯片通信,检测环路开路等故障
电池包任一单体过压:电池包任一单体超过设定的范围。
电池包任一单体过放:电池电压过低
电池包过热:温度传感器过高。这里同样是排除了本身感温电路的一些意外,可以从板内的NTC取基准来监测对比。
我们还需要做一些额外的工作:
1) 故障细分:温度感知值出现故障,在之前需要做细分,确认是真实的温度出问题还是温度传感器感知电路出问题
2)执行分级:电池包断电,输出切断动力丧失,是需要根据实际行车的条件来细分,到底是何种情况(车速、功率输出情况、车主操作油门、刹车情况)进行分类,应以整车的安全为前提,可以进行细节的策略执行。
如下表所示,我们可以看到整个BMS从安全功能来看也比较简单,它就提供充电、放电、继电器控制和状态监测四个功能,一系列的功能都涵盖在四个主要功能里面。从安全分析的角度,着力点都是针对这些非预期功能的危害。所以在之前的文章里面,从电流检测、温度检测、电压检测等功能线上,我们可以划分成检测功能自检,而A类故障都是在排除检测功能异常的条件下进行的。
表1 系统层面大的方向看
对电池系统而言,能使用的手段无外乎对外降功率、再上一层级就是接触器断开了。脱离了这组接触器,可能就剩下这种火药爆炸断开的手段了。
图1 Autoliv Pyro Switch
第二部分 接触器的设计和选择
接触器的要求,主要还是从GBT18384.1和GBT31498的两处来找,当碰撞发生的时候,VCU/BMS负责从安全气囊那里接受碰撞信号,来切断整个高压系统,把高压系统母线的电压/能量降到安全范围之内。这其实是个强制的安全功能,一旦继电器本身出现熔融,这车必须更换才行,否则这个安全是满足不了的。
