高压安全（HV Safety）

功能安全L6别名 HV Safety · 高压安全 · HVIL · IMD · Active Discharge · Pyro Fuse · 绝缘监测 · 主动放电

本质高压安全回答一个问题：HV 母线（400/800 V）能不能在故障或碰撞后 5 秒内降到 < 60 V DC，且全生命周期内不让人触电。Safety Goal 由 ISO 6469-3 / ECE R100 锁定（ASIL C/D），落地靠四件套：HVIL 互锁环证明连接器没松开、IMD 绝缘监测证明母线对底盘的绝缘阻抗没塌、主动放电在 5 s 内把 DC-link 电容存的 100 kJ 级能量耗尽、Pyro Fuse 在碰撞瞬间物理切断。四件配合好才叫 HV 安全态；任一失守，15 年里总会出事。

学习目标

读完本页后，你应该能够：

写出 HV 安全的 4 条典型 Safety Goal 及其法规来源（ISO 6469-3 / ECE R100 / UL 2580 / GB 18384.3）。
画出 HVIL 回路在整车中的物理走向，解释为什么"断一处即断全局"。
区分差模 IMD 与单端 IMD 的原理差异，给出阻抗阈值与响应时间。
推出主动放电的能量—时间关系，解释为什么要 5 s（SAE J1772 来源）。
比较被动 Bleeder 和主动放电两种方案的成本、速度、可靠性。
说出 Pyro Fuse 触发条件、响应时间、失效模式与 ASIL 贡献。
列出 HV 接触器粘连检测的三种手段。
给出一条 HV 上电 / 下电的典型时序图，指出每一步的 Safety Mechanism 点位。

1. Safety Goal 与法规来源

1.1 四条典型 Safety Goal

HV 安全4 条 Safety Goal 都源于人身安全保护——防触电、绝缘失效响应、碰撞后断电、维修时安全。每条对应一组保护机制。

#	Safety Goal	法规	ASIL
SG-HV-1	故障或碰撞后 5 s 内 HV 母线必须降到 < 60 V DC	ECE R100 §5.1.1.2、ISO 6469-3	D
SG-HV-2	正常工况 HV 对底盘绝缘阻抗 ≥ 100 Ω/V（DC）、500 Ω/V（AC）	ISO 6469-3 §6.2	C/D
SG-HV-3	任一 HV 连接器物理断开后 5 s 内完成断电 + 放电	ECE R100 §5.1.1.3（HVIL）	C
SG-HV-4	接触人体的可触及部件电压 ≤ 60 V DC / 30 V AC	IEC 61140（接触电压）	C

辅助（间接支持）：

SG-HV-5：HV 接触器不得意外粘连（即粘连必被检测）
SG-HV-6：任何上下电时序异常必须触发保护

1.2 关键触电阈值与源头

人身安全的电压阈值全球法规普遍取 60V DC / 25V AC——这是 SELV 标准。EV 必须保证用户接触侧 < 这个阈值,内部 HV 必须有电气隔离屏障。

60 V DC — 人体"安全特低电压 SELV"阈值（IEC 61140）
30 V AC（RMS）— AC 条件对应值
3.5 mA — ECE R100 规定的最大允许接触电流
500 Ω/V AC / 100 Ω/V DC — ISO 6469-3 规定的最小绝缘阻抗

为什么 5 s：SAE J1772 规定的拆装 HV 连接器最短等待时间，保护维修工；也作为碰撞后救援窗口的上限。

2. HVIL：高压互锁回路

HVIL 是 EV 安全设计的"机械-电气联锁"——一根低压回路串联所有 HV 接头,任何接头被拔出 HVIL 断路 → 整车 HV 立即下电。原理简单但可靠性是 ASIL D 级别。

工作原理：串联所有 HV 连接器的低压检测引脚构成一个闭环；任一连接器拔开 → 环路断开 → MCU 检测到 → 命令切断 HV 接触器。

ECE R100 §5.1.1.3 要求：所有 HV 连接器必须有某种防误插、误拔保护或互锁——HVIL 是业界事实上的实现。

设计要点：

低压信号通常 5 V 或 12 V 脉冲（不是静态电平，便于检测短路到地/到电源）
控制器用 PWM 挑战-应答：发脉冲 → 环路延迟 $t_{l oo p}$ 后收到回信 → 正常
环路中任一处断开（拔连接器、断线、PCB 开路）→ 回信超时 → 触发断电
响应时间 $t_{d e t}$ ≤ 50 ms（比 HV 断开 + 放电快得多，留缓冲）

失效模式：

短路到 GND：被脉冲协议捕获（静态信号捕获不了）
短路到 12V：同上
接触不良造成间歇断开：计数器 + 滤波，避免误触发

3. IMD：绝缘监测装置

3.1 两种拓扑

IMD 两种主流拓扑——电桥法(Bender 标准)、有源注入法。前者简单但慢,后者精度高但贵。EV 主流用电桥法 + 软件智能补偿。

两种测量原理：

类型	工作原理	优缺点
差模注入（Bender IR155 系列）	向 HV+ 和 HV− 同时注入不同低频方波；测两边对底盘阻抗	可单独分辨 $R_{i so}$ + 和 $R_{i so}$ −；对对称漏电失效也能识别
单端注入（SENDYNE SIM1xx / GM 单端）	只向一侧注入信号	便宜；但对称漏电失效不能识别

关键参数（典型 Bender IR155-3204）：

测量范围：0 – 10 MΩ
触发阈值：< 100 Ω/V（即 400 V 系统 < 40 kΩ 报警，< 20 kΩ 断电）
响应时间：< 30 s（正常驾驶）；< 10 s（高阻警告）；< 5 s（低阻断电）
自检频率：每次开机 + 运行中周期性自检

3.2 ASIL D 对 IMD 的要求

ASIL D 对 IMD 多项强制要求——独立供电、独立时钟、内部自检、 $R_{i so}$ 阈值可调。这些约束让 IMD 在主 ECU 失效时仍能独立工作。

独立供电：IMD 直接由低压常电馈电，不依赖主 MCU
独立 FAULT 信号：IMD 直接拉 FAULT 线到主接触器驱动，不经过 MCU
周期性自检（类似 POST + PDT）：模拟注入已知漏电，验证 IMD 还在工作
DC 估值：典型 95 %～99 %（需要故障注入实验证据）

3.3 IMD 触发后的响应序列

IMD 触发典型响应序列分阶段升级——警告 → 限功率 → 强制 STO。这条阶梯式响应避免了"误报触发整车下电"造成的用户困扰。

IMD 检测到 $R_{i so}$ 低于阈值（< 100 Ω/V 持续 > τ_det）
拉 FAULT 到 BMS + 主驱 + DC/DC 控制器
所有控制器立即进入 Safety State（断开主接触器、停止输出）
同时触发主动放电（见下节）
仪表点亮乌龟灯警告驾驶员靠边停车
不允许再次启动，直到诊断工具清除故障并确认 $R_{i so}$ 恢复

4. 主动放电（Active Discharge）

4.1 能量 vs 时间

DC-link 电容典型 1–4 mF 在 400–800 V → 储能 $E = (1) / (2) C V^{2}$ ：

母线	C	V	E
400 V 乘用车	2 mF	400	160 J
800 V 乘用车	1.5 mF	800	480 J
商用车/大客车	10 mF	800	3.2 kJ
HVDC 数据中心	50 mF	800	16 kJ

目标：5 s 内从工作电压降到 < 60 V，即放电到 $< 6 0^{2} / V^{2} \approx$ 0.6 %（400 V）/ 0.56 %（800 V）的能量。

4.2 两种实现

主动放电（主方案）

做法：命令逆变器三相短路（ASC3），DC-link 通过 IGBT/SiC 的导通损耗 + 绕组铜损耗散能量。

功率：假设 800 V 电容 480 J，5 s 放完 → 平均 96 W —— 模块完全可承受。

控制：

触发源：碰撞信号 / HVIL 断开 / IMD 低阻 / 维修工命令 / 严重故障
执行者：主 MCU → 栅极驱动 IC → 功率级（或 STO 链路相反走）
完成判据： $V_{D C}$ < 60 V 持续 > 100 ms
必须与 STO 互不冲突：主动放电通过 PWM 实现，STO 阻止 PWM；架构上要分开两个安全通道

被动放电（Bleeder，备用方案）

做法：DC-link 永久并联大电阻（典型 10–100 kΩ）。

V(t) = V_0 exp(-t / RC) 典型 1.5 mF × 50 kΩ = 75 s（到 37 % 初值）；远慢于 5 s 目标。仅作为主动放电失效时的备份。

设计陷阱：Bleeder 常年功耗 $V^{2} / R$ 。800 V × 800 V / 50 kΩ = 12.8 W 持续损耗——一年 ~110 kWh 无谓能耗。因此 Bleeder 阻值不能太小。

4.3 主动放电的失效模式与缓解

主动放电自身失效是 ASIL D 的高 AP 项——放电电阻烧、控制信号丢、放电管损坏都会让 ECE R100 5s 限值超标。所以放电链路必须有冗余。

失效	缓解
主 MCU 死锁 → 不发 ASC 命令	SBC 看门狗超时 → 独立命令栅极驱动；备份 Bleeder
栅极驱动 IC 失效	6 管 DESAT 自锁 + 独立 STO；备份 Bleeder
电机相间断线 → ASC 失效	放电回路改走栅极-体二极管路径或 Bleeder
维修工切断 12 V	维修前必须"冷下电"，12 V 保持 60 s 让放电完成

5. Pyro Fuse（爆炸熔断器）

工作原理：小爆炸装置（烟火药）被碰撞 airbag 信号触发 → 瞬间（< 2 ms）物理切断 HV 母线汇流排（铜排被剪断）。

典型参数（Sensata / Bosch / Mersen 量产）：

响应时间：< 2 ms（比接触器 10–30 ms 快一个量级）
切断电流：2–10 kA
电压等级：400 V 或 800 V 专型
一次性使用（打过就得换）

位置：通常在电池包正极主回路；也可在逆变器 HV+ 输入。

触发源：

整车 airbag ECU 的 crash signal（优先级最高）
电池包内压力/温度异常（热失控前）
BMS 诊断到严重短路（I > 1 kA 持续 > 1 ms）

为什么需要 Pyro：HV 接触器机械触点粘连后无法断开；碰撞场景下几十毫秒内就会发生更严重事故。Pyro Fuse 是"最后一道物理开关"。

ASIL 贡献：Pyro 触发链路通常 ASIL B(D) 或 C；作为 HVIL / IMD / Active Discharge 之外的第四道防线。

Tesla Model 3 量产（2018 起）是业界示范；如今几乎所有 800 V 平台都配 Pyro。

6. HV 接触器粘连检测

接触器是 HV 链路的机械开关（LEV200 / TE LEVxx / Panasonic AEP2）。最主要失效 = 触点粘连焊死，控制线断电后仍导通。

6.1 三种检测手段

接触器粘连检测三种手段对应不同时机——上电前微电流测、运行中阻抗监测、下电后回测。EV 通常组合使用:上电前 + 下电后,中间运行中持续监测。

手段	原理	时机
预充后对比	闭合前 $V_{l ink}$ 应接近 0；若 $V_{l ink}$ 已 ≈ $V_{ba t}$ → 粘连	上电预充阶段
断开后监测	接触器命令断开后 $V_{l ink}$ 应按 RC 衰减；若长时间保持 → 粘连	下电阶段
辅助触点	主触点 + 辅助触点机械联动，读辅助触点状态	运行中

6.2 粘连处理

接触器粘连不同时机不同处理策略——上电前禁上电、运行中限功率 + 准备 fallback、下电后报警维修。这条策略让粘连不会立即失控但要求维修介入。

上电前检测到粘连 → 禁止高压上电；报警维修
运行中检测到粘连（辅助触点状态不一致） → 继续运行但禁止下次断开；进入降额模式
下电时检测到粘连 → 触发 Pyro Fuse 强制切断

7. HV 上下电时序

HV 上下电严格按"先低压后高压、先 pre-charge 后主接触器"序列——任何顺序错误会导致大涌流损坏接触器或 DC-link 电容。下面给标准时序。

上电阶段（从钥匙 ON 到主接触器闭合）：

IMD + HVIL 自检 通过 → 允许上电
预充：先闭合预充继电器（带限流电阻，通常 100 Ω），避免主电容大电流冲击造成触点烧蚀
$V_{l ink}$ 上升到 95% $V_{ba t}$ 时闭合主接触器，断开预充继电器
进入正常运行

下电阶段：

命令断开主接触器 + 预充继电器
立即触发 ASC 主动放电（并联进行）
监测 $V_{l ink}$ 降到 < 60 V（< 5 s）
监测接触器粘连（辅助触点 + $V_{l ink}$ 行为）
如检测到粘连：视严重度，必要时触发 Pyro Fuse
标记 done，允许维修 / 下次上电

8. FMEDA 视角

8.1 关键 Safety Mechanism 清单

HV 安全 SM 覆盖 7 类失效模式——隔离失效(IMD)、粘连(检测)、短路(快保护)、过温(降功率)、过压(钳位)、欠压(下电)、通信失效(冗余)。每类 DC 不同。

功能	SM	典型 DC
连接器断开	HVIL 脉冲环 + 应答超时	99 %
绝缘下降	IMD 双极注入 + 周期自检	95 – 99 %
母线残能	Active Discharge (ASC3)	99 %
放电失效备份	Passive Bleeder	80 %
接触器粘连	辅助触点 + $V_{l ink}$ 对比	95 %
碰撞	Pyro Fuse（物理切断）	99 %（触发即断）
预充失效	$V_{l ink}$ 上升曲线 + 超时	95 %
12V 掉电	SBC UV/OV + 备用超级电容	90 %

8.2 ASIL D 的组合使用

单独任何一项都达不到 ASIL D；四件套（HVIL + IMD + Active Discharge + Pyro）协同才能达到 SPFM ≥ 99 %、LFM ≥ 90 %、PMHF < 10 FIT。

9. 标准速查

HV 安全国际、欧/美/中三地有平行标准——ECE R100 欧、FMVSS 305 美、GB 18384 中、ISO 6469 行业。各市场卖必过当地标准,不能一份代替。

标准	范围	关键条款
ECE R100 Rev.2	欧洲整车 HV 安全	§5.1 绝缘要求、§5.1.1 接触电流限值
ISO 6469-3:2021	EV HV 系统安全	§6.2 绝缘阻抗、§6.4 HV 断开程序
ISO 26262 Part 3–5	功能安全 V&V	HARA / ASIL / FMEDA
UL 2580	北美 EV 电池	机械/电气/热滥用
GB 18384.3-2015	中国 EV HV 安全	与 ISO 6469-3 对齐
SAE J1772	充电接口 + 等待时间	5 s 放电来源
IEC 60664-1	绝缘配合	爬电距离 / 空气间隙
IEC 61140	接触电压	60 V DC SELV
AIS-138（印度）	EV HV	R100 区域版

10. 常见设计陷阱

HV 安全5 个常见陷阱——HVIL 单点失效、IMD 误报频繁、放电链冗余不足、上下电时序竞态、粘连检测不全面。这些都是 DV 阶段难暴露,要靠 PFMEA 评审挖。

陷阱	描述	解决
HVIL 用静态电平	短路到地/电源无法识别	改 PWM 挑战-应答协议
IMD 单端注入	对称漏电识别不到	选差模注入（Bender IR155 类）
主动放电 = STO 错位	同一个栅极 Enable 既要 STO 又要 ASC，冲突	架构上 STO 与 ASC 分开两条通道
Bleeder 阻值太小	年度能耗 > 100 kWh	阻值 ≥ 10 kΩ，只做备份
只靠接触器粘连检测	粘连后没有物理切断能力	加 Pyro Fuse 作为最后防线
预充未完成就闭合主触	大电流冲击烧触点 → 粘连	$V_{l ink}$ ≥ 95 % 再切主
Pyro 误触发	一次性器件，误触发得换总成	触发链路走 airbag ECU（已 ASIL D）

核心要点

HV 安全 ≠ 绝缘：HVIL / IMD / Active Discharge / Pyro Fuse 四件套缺一不可。
60 V DC / 5 s 是业界底线：IEC 61140 / ECE R100 / SAE J1772 各自给出来源，整合到 Safety Goal。
HVIL 必须脉冲协议，静态电平识别不了短路失效；响应时间 ≤ 50 ms。
IMD 推荐差模注入（Bender 类）；单端注入识别不了对称漏电失效。
主动放电走 ASC3 通过逆变器耗能，5 s 内把 480 J @ 800 V 耗到 < 60 V；Passive Bleeder 只是备份。
Pyro Fuse 响应 < 2 ms，是最后的物理开关——接触器粘连时唯一能救命的手段；一次性、需重装。
预充 + 主 + 粘连检测 是 HV 上下电的三段式；每段都有诊断点位。
FMEDA 四件套协同才能达到 ASIL D 的 SPFM/LFM/PMHF 组合门槛。
常见陷阱：HVIL 静态、IMD 单端、ASC/STO 共通道、Bleeder 常耗过大、没装 Pyro。
跟着 ECE R100 + ISO 6469-3 + ISO 26262 三套标准走，覆盖欧洲 / 通用 / 功能安全三维。

Cross-references

← 索引
功能安全（Functional Safety） — HARA / ASIL / FMEDA / DFA
扭矩安全（Torque Safety ASIL D） — 扭矩侧 Safety Goal
热安全（Thermal Safety） — 热侧 Safety Goal
EMC 与绝缘配合 — IEC 60664 爬电/间隙
功率电子学 — DC-link 能量与拓扑
栅极驱动（Gate Driver） — ASC 与 STO 的栅极实现
ISO 7637 瞬态测试 — 电气瞬态抗扰度
AEC-Q 车规认证 — IMD / 接触器 / Pyro 器件资格
汽车电子 — E/E 架构中的 HV 域