高压安全：HVIL主/被动功能和全方位设计

关于阐述HVIL 的文章很多，因为，它是电池系统三大安全（电池安全、高压安全、辐射安全）中，高压安全措施重要的一个功能环节。本文本着学习和思考目的加以梳理，分享给大家。 

HVIL涵义

HVIL 缩写含义主要有两种：一种是“Hazardous Voltage interlock loop危险电压互锁回路”；另一种是：“High Voltage Interlock System and Control Strategy 高电压互锁系统和控制策略”。前者突出的是人体“危险电压” 通过互锁回路加以监测和监控,后者突出的是对 “B级电压”通过电路监测,并运用“主动控制策略”采取保护措施。两者内涵都是正确的。但从主动控制角度，我更倾向于后者。

HVIL的主动功能和被动功能

HVIL 高压互锁物理定义，主要是针对高压回路的母线束连接器及高压壳体护盖的安全性，使用小电流低压信号进行电路完整性监测和功能管理。高压母线回路主要针对高压易操作节点或高压安全薄弱的连接器进行低压信号联动互锁。

主动功能主要是通过低压回路对高压回路实时、连续性监测的结果进行即时管理，并通过整车诊断系统识别并及时采取报警、限功率直至切断高压措施。

被动功能主要是指可以直接通过断开HVIL 回路，达到断开高压的目的。属于被动干预断电功能。一方面，可以用于检验互锁回路的有效性，另一方面是在车辆事故状态等特殊情况下，可紧急断电使用的功能。被动功能很少被提到。

HVIL回路是否需要考虑EMC电磁兼容？

涉及安全的功能信号，在EMC方面是有严格要求的。HVIL信号是一定要考虑EMC电磁兼容问题的，并且需要有对应措施。HVIL信号源产生的信号形式，这部分在“朱玉龙的‘聊聊高压互锁（HVIL）一文中，已有详细的阐述，信号源使用的是PWM信号：用5V的PWM信号传输，主要有几个作用：PWM检测要略微快、逻辑控制简单、可以实现休眠和唤醒、节约功耗。”结合HVIL对PWM信号的即时性和连续性要求，面对车辆电磁环境复杂和恶劣现状， 信号也会出现中断、卡顿现象。同时，在整车或零件EMC 实验中，也是需要关注这项指标的。目前，我们还是按低压线束标准做设计，还没有特定的保护，这方面，需要持续关注和分析设计。

HVIL线路和硬件设计

1、线路设计就是小信号回路设计。

一般是由一个信号源发生器（HVIL SRC），结合外电路，形成一个闭环的回路。信号源通常集成在BMS内。回路检测(HVIL RTN)一般由一个到二个组成，而且是独立的闭环，不允许有支路存在。前期设计，为了把充电和放电回路分开检测，设立两个回路。目前设计，为了简化电路，多采用一个回路完成检测。下图是Tesla HVIL线路设计,由一个回路完成整车的HVIL检测。

The BMS produces a constant current and measures the voltage drop over 4 known resistance points in the loop (nominal: 0.02A x 240Ÿ = 4.8V). If the resistance changes, and the voltage drop is therefore higher or lower than the max thresholds, the BMS reports an HVIL failure.

Figure 1

Figure 2

Table: Connector voltage and resistance

分析： Tesla 的设计思路：信号源的外电路，是一个有已知四个电阻负载电路闭环电路。 利用电阻或电压的变化，来判定HVIL状态。电阻的存在，一方面可以限流，另一方面，电阻数值的确定，可以有效的监测电压状态。也就是说，低压回路除了判定电路的完整性功能外，还能准确有效的监测电路状态或着连接件状态。维修状态的车辆，当电路没有信号源的时候，也可以通过电阻值对电路进行判断。（对于tesla信号源形式，还在收集中，期待进一步深入分析）

2、手动维修开关或插件与HVIL 设计与结构关联性

连接器或护盖，是产品后端装配、维护维修最为频繁的节点。在操作中，如何保证安全，如何确保操作中，高压回路完整性或正常断开，从连接器件的结构和HVIL 电路建立起关联。如下图示： 

Figure 3

• 连接器需要具备工具才能打开的结构，在无意识状态下，不能被打开或分离；

• 具有互锁结构的连接器或护盖，只有在HVIL 触点先断开，高压连接器才能被打开。目前很很多资料显示，间隔时间约150ms.

3、信号源模块的滥用设计

• 从ISO 26262功能安全等级方面要求HVIL 模块，应达到ASIL C ；

• 模块对于车辆12V供电，应有宽泛电压适应性，保证输出信号的稳定性；

• 当出现信号短路等故障，在故障消除后，信号能自动恢复等等。

HVIL的安全功能，更需要在滥用的苛刻状态下保持性能可靠和稳定。一般从过压、欠压、过流等电滥用，过温、热稳定等热滥用、机械滥用方面的对应设计，确保HVIL的可靠性。

HVIL的控制策略

1、对HVIL的诊断功能

诊断功能主要区分两个失效因素：其一，是低压信号回路完整性故障，也就是HVIL 的真故障；另一因素是HVIL 自身故障，如，信号模块故障：无信号，或信号对地短路。

2、车辆控制策略，以最优先保证乘客安全为前提条件。而新能源车辆电池系统，是整车的动力源，在故障状态，除特殊中的特殊情况，是不能随便切断电源的。下面是tesla 的一个控制说明：

If the vehicle is in Standby, Support, or Charge mode, the failure is reported as a FAULT (example: BMS_f008_HW_HVIL). The vehicle opens contactors, or keeps them open.

If the vehicle is in Drive, the failure is reported as a WARNING (example: BMS_w008_HW_HVIL), but does not open the contactors, to prevent loss of drive.

只有在车辆停驶状态下，如果发生HVIL 故障，才能切断高压；如果在车辆行驶状态，是不能断开电源连接的，避免车辆失去动力。

当HVIL功能识别出故障时，首先通过整车系统发出报警或采取相应措施：

• 故障报警：这是车辆处理故障最常用的一种形式，通过“声”“光”给驾驶员提出警示。同时，根据故障类型，报警可以分为几个等级，“紧急”状态，需要立即靠边；一般故障，驶出公路或进维修站。

• 切断高压：当车辆处于停驶状态，通过整车控制可以采取切断高压；还有一种逻辑状态，当整车在一定时间内，没有采取措施，BMS等也能采取切断措施。这一点需要慎用。

• 限功率运行：当故障状态，在容忍的范围内，可以带故障运行一段时间，但是，为了不使故障恶化，采取限功率或台阶降功率措施，敦促驾驶员尽快处理。

小结：

HVIL 高压互锁，作为一项整车的安全设计，并非是零件个体功能实现哪么简单。所以，需要站在整车角度，对各个零件的HVIL 功能提出要求。每个项目设计中，HVIL设计差异，导致对零件末端要求也不同，是否都如tesla 内含一只60Ω电阻呢？信号源与电路是否匹配，这些都是需要考虑的。所以，全方位设计还需要考虑很多具体问题。