前言

關于闡述HVIL 的文章很多，因為，它是電池系統三大安全（電池安全、高壓安全、輻射安全）中，高壓安全措施重要的一個功能環節。本文本著學習和思考目的加以梳理，分享給大家。

HVIL涵義

HVIL縮寫含義主要有兩種：一種是“Hazardous Voltage interlock loop危險電壓互鎖回路”；另一種是：“High Voltage Interlock System and Control Strategy高電壓互鎖系統和控制策略”。前者突出的是人體“危險電壓”通過互鎖回路加以監測和監控,后者突出的是對“B級電壓”通過電路監測,并運用“主動控制策略”采取保護措施。兩者內涵都是正確的。但從主動控制角度，我更傾向于后者。

HVIL的主動功能和被動功能

HVIL 高壓互鎖物理定義，主要是針對高壓回路的母線束連接器及高壓殼體護蓋的安全性，使用小電流低壓信號進行電路完整性監測和功能管理。高壓母線回路主要針對高壓易操作節點或高壓安全薄弱的連接器進行低壓信號聯動互鎖。

主動功能主要是通過低壓回路對高壓回路實時、連續性監測的結果進行即時管理，并通過整車診斷系統識別并及時采取報警、限功率直至切斷高壓措施。

被動功能主要是指可以直接通過斷開HVIL回路，達到斷開高壓的目的。屬于被動干預斷電功能。一方面，可以用于檢驗互鎖回路的有效性，另一方面是在車輛事故狀態等特殊情況下，可緊急斷電使用的功能。被動功能很少被提到。

HVIL回路是否需要考慮EMC電磁兼容？

涉及安全的功能信號，在EMC方面是有嚴格要求的。HVIL信號是一定要考慮EMC電磁兼容問題的，并且需要有對應措施。HVIL信號源產生的信號形式，這部分在“朱玉龍的‘聊聊高壓互鎖（HVIL）一文中，已有詳細的闡述，信號源使用的是PWM信號：用5V的PWM信號傳輸，主要有幾個作用：PWM檢測要略微快、邏輯控制簡單、可以實現休眠和喚醒、節約功耗。”結合HVIL對PWM信號的即時性和連續性要求，面對車輛電磁環境復雜和惡劣現狀，信號也會出現中斷、卡頓現象。同時，在整車或零件EMC 實驗中，也是需要關注這項指標的。目前，我們還是按低壓線束標準做設計，還沒有特定的保護，這方面，需要持續關注和分析設計。

HVIL線路和硬件設計

1、線路設計就是小信號回路設計。一般是由一個信號源發生器（HVIL SRC），結合外電路，形成一個閉環的回路。信號源通常集成在BMS內。回路檢測(HVIL RTN)一般由一個到二個組成，而且是獨立的閉環，不允許有支路存在。前期設計，為了把充電和放電回路分開檢測，設立兩個回路。目前設計，為了簡化電路，多采用一個回路完成檢測。下圖是Tesla HVIL線路設計,由一個回路完成整車的HVIL檢測。

TheBMS produces a constant current and measures the voltage drop over 4 knownresistance points in the loop (nominal: 0.02A x 240? = 4.8V). If the resistance changes, andthe voltage drop is therefore higher or lower than the max thresholds, the BMSreports an HVIL failure.

Figure1

Figure2

Table: Connector voltage and resistance

分析： Tesla 的設計思路：信號源的外電路，是一個有已知四個電阻負載電路閉環電路。利用電阻或電壓的變化，來判定HVIL狀態。電阻的存在，一方面可以限流，另一方面，電阻數值的確定，可以有效的監測電壓狀態。也就是說，低壓回路除了判定電路的完整性功能外，還能準確有效的監測電路狀態或著連接件狀態。維修狀態的車輛，當電路沒有信號源的時候，也可以通過電阻值對電路進行判斷。（對于tesla信號源形式，還在收集中，期待進一步深入分析）

2、手動維修開關或插件與HVIL 設計與結構關聯性

連接器或護蓋，是產品后端裝配、維護維修最為頻繁的節點。在操作中，如何保證安全，如何確保操作中，高壓回路完整性或正常斷開，從連接器件的結構和HVIL 電路建立起關聯。如下圖示：

Figure3

• 連接器需要具備工具才能打開的結構，在無意識狀態下，不能被打開或分離；

• 具有互鎖結構的連接器或護蓋，只有在HVIL 觸點先斷開，高壓連接器才能被打開。目前很很多資料顯示，間隔時間約150ms.

3、信號源模塊的濫用設計

• 從ISO 26262功能安全等級方面要求HVIL模塊，應達到ASIL C ；

• 模塊對于車輛12V供電，應有寬泛電壓適應性，保證輸出信號的穩定性；

• 當出現信號短路等故障，在故障消除后，信號能自動恢復等等。

HVIL的安全功能，更需要在濫用的苛刻狀態下保持性能可靠和穩定。一般從過壓、欠壓、過流等電濫用，過溫、熱穩定等熱濫用、機械濫用方面的對應設計，確保HVIL的可靠性。

HVIL的控制策略

1、對HVIL的診斷功能

診斷功能主要區分兩個失效因素：其一，是低壓信號回路完整性故障，也就是HVIL 的真故障；另一因素是HVIL 自身故障，如，信號模塊故障：無信號，或信號對地短路。

2、車輛控制策略，以最優先保證乘客安全為前提條件。而新能源車輛電池系統，是整車的動力源，在故障狀態，除特殊中的特殊情況，是不能隨便切斷電源的。下面是tesla 的一個控制說明：

If thevehicle is in Standby, Support, or Charge mode, the failure is reported as aFAULT (example: BMS_f008_HW_HVIL). The vehicle opens contactors, or keeps themopen.

If the vehicle is in Drive, the failure isreported as a WARNING (example: BMS_w008_HW_HVIL), but does not open thecontactors, to prevent loss of drive.

只有在車輛停駛狀態下，如果發生HVIL 故障，才能切斷高壓；如果在車輛行駛狀態，是不能斷開電源連接的，避免車輛失去動力。

當HVIL功能識別出故障時，首先通過整車系統發出報警或采取相應措施：

• 故障報警：這是車輛處理故障最常用的一種形式，通過“聲”“光”給駕駛員提出警示。同時，根據故障類型，報警可以分為幾個等級，“緊急”狀態，需要立即靠邊；一般故障，駛出公路或進維修站。

• 切斷高壓：當車輛處于停駛狀態，通過整車控制可以采取切斷高壓；還有一種邏輯狀態，當整車在一定時間內，沒有采取措施，BMS等也能采取切斷措施。這一點需要慎用。

• 限功率運行：當故障狀態，在容忍的范圍內，可以帶故障運行一段時間，但是，為了不使故障惡化，采取限功率或臺階降功率措施，敦促駕駛員盡快處理。

小結：

HVIL 高壓互鎖，作為一項整車的安全設計，并非是零件個體功能實現哪么簡單。所以，需要站在整車角度，對各個零件的HVIL 功能提出要求。每個項目設計中，HVIL設計差異，導致對零件末端要求也不同，是否都如tesla 內含一只60Ω電阻呢？信號源與電路是否匹配，這些都是需要考慮的。所以，全方位設計還需要考慮很多具體問題。