電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法_第1頁
電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法_第2頁
電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法_第3頁
電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法_第4頁
電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法_第5頁
已閱讀5頁,還剩46頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

ICS43.040

CCST35

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

`

電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及

試驗(yàn)方法

Functionalsafetyrequirementsandtestingmethodsfordrivemotorsystemofelectric

vehicles

(征求意見稿)

(本草案完成時(shí)間:2022年3月20日)

在提交反饋意見時(shí),請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC114)歸口。

本文件起草單位:

本文件主要起草人:

II

GB/TXXXXX—XXXX

電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法

1范圍

本文件規(guī)定了電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)(以下簡稱“驅(qū)動(dòng)電機(jī)系統(tǒng)”)的功能安全要求及試驗(yàn)方法。

本文件適用于電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng),其他類型的驅(qū)動(dòng)電機(jī)系統(tǒng)可參照?qǐng)?zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,

僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本

文件。

GB/T34590-XXXX(所有部分)道路車輛功能安全(ISO26262:2018,MOD)

GB/T18488-XXXX電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)

GB18384-2020電動(dòng)汽車安全要求

3術(shù)語和定義

GB/T34590.1-XXXX界定的以及下列術(shù)語和定義適用于本文件。

驅(qū)動(dòng)電機(jī)系統(tǒng)drivemotorsystem

安裝在電動(dòng)汽車上,為車輛行駛提供驅(qū)動(dòng)力、實(shí)現(xiàn)機(jī)械能與電能間相互轉(zhuǎn)化的系統(tǒng)。

[來源:GB/T18488—XXXX,X.X.X]

驅(qū)動(dòng)電機(jī)drivemotor

將電能轉(zhuǎn)換成機(jī)械能為車輛行駛提供驅(qū)動(dòng)力的電氣裝置,該裝置也可具備機(jī)械能轉(zhuǎn)化成電能的功能。

[來源:GB/T18488—XXXX,X.X.X]

驅(qū)動(dòng)電機(jī)控制器drivemotorcontroller

控制動(dòng)力電源與驅(qū)動(dòng)電機(jī)之間能量傳輸?shù)难b置,由控制信號(hào)接口電路、驅(qū)動(dòng)電機(jī)控制電路和驅(qū)動(dòng)電

路組成。

[來源:GB/T18488—XXXX,X.X.X]

4一般要求

除非特別說明,驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全技術(shù)開發(fā)、流程開發(fā)等要求應(yīng)參照GB/T34590-XXXX(所有

部分)執(zhí)行。

5相關(guān)項(xiàng)定義

1

GB/TXXXXX—XXXX

總則

應(yīng)按照GB/T34590.3-XXXX的要求進(jìn)行相關(guān)項(xiàng)定義,相關(guān)項(xiàng)指實(shí)現(xiàn)整車層面功能或部分功能的系統(tǒng)

或系統(tǒng)組合。

注:相關(guān)項(xiàng)及其范圍可根據(jù)具體情況定義。附錄A給出了以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)的功能概念和相關(guān)項(xiàng)邊界和接口

示例。

功能概念

驅(qū)動(dòng)電機(jī)系統(tǒng)的功能性要求還應(yīng)滿足GB/T18488-XXXX、GB18384-2020。

注:附錄A給出了驅(qū)動(dòng)電機(jī)系統(tǒng)輸出驅(qū)動(dòng)轉(zhuǎn)矩、輸出制動(dòng)轉(zhuǎn)矩的功能概念描述。

運(yùn)行條件和環(huán)境約束

為滿足車輛安全運(yùn)行,需要明確相關(guān)項(xiàng)的運(yùn)行條件及環(huán)境約束,可包含(如適用):

a)外部環(huán)境,例如:溫度、濕度、路況、天氣等;

b)驅(qū)動(dòng)電機(jī)系統(tǒng)處于驅(qū)動(dòng)模式、制動(dòng)模式、待機(jī)模式等,或者驅(qū)動(dòng)電機(jī)系統(tǒng)處于工作狀態(tài)或者

非工作狀態(tài);

c)相關(guān)項(xiàng)與整車其他相關(guān)項(xiàng)的依賴關(guān)系、接口關(guān)系等。

6危害分析和風(fēng)險(xiǎn)評(píng)估

總則

根據(jù)第5章相關(guān)項(xiàng)定義,按照GB/T34590.3-XXXX,基于車輛使用場景,分析識(shí)別驅(qū)動(dòng)電機(jī)系統(tǒng)中因

故障而引起的危害并對(duì)危害進(jìn)行歸類,定義相應(yīng)的汽車安全完整性等級(jí)(ASIL),制定防止危害事件發(fā)生

或減輕危害程度的安全目標(biāo),以避免不合理的風(fēng)險(xiǎn)。

注:以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的示例見附錄A。

安全目標(biāo)

通過危害分析和風(fēng)險(xiǎn)評(píng)估確定的驅(qū)動(dòng)電機(jī)系統(tǒng)的安全目標(biāo)及其屬性,應(yīng)至少包含表1所列的內(nèi)容。

表1驅(qū)動(dòng)電機(jī)系統(tǒng)的安全目標(biāo)及其屬性

序號(hào)安全目標(biāo)ASIL安全狀態(tài)FTTI

1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩A發(fā)出警示見7.1.3

2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大C發(fā)出警示,終止轉(zhuǎn)矩輸出見7.2.3

3防止電機(jī)轉(zhuǎn)矩輸出方向反向C發(fā)出警示,終止轉(zhuǎn)矩輸出見7.3.3

4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩C發(fā)出警示,終止轉(zhuǎn)矩輸出見7.4.3

5防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩A發(fā)出警示見7.5.3

6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大C發(fā)出警示,終止轉(zhuǎn)矩輸出見7.6.3

7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩C發(fā)出警示,終止轉(zhuǎn)矩輸出見7.7.3

如果出現(xiàn)與表1所列的要求不一致的情況,應(yīng)具備相應(yīng)的證據(jù)來證明驅(qū)動(dòng)電機(jī)系統(tǒng)不會(huì)因功能異常

表現(xiàn)而導(dǎo)致不合理的整車危害風(fēng)險(xiǎn)。應(yīng)至少包括如下證據(jù):

a)全部整車危害風(fēng)險(xiǎn)已被考慮,并制定了合理的安全目標(biāo);

b)所制定的安全目標(biāo)針對(duì)目標(biāo)市場是適用和充分的。

2

GB/TXXXXX—XXXX

7功能安全要求

防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩

7.1.1一般要求

整車控制器(VCU或其他控制器,取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工

作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性,當(dāng)檢測到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故

障處理來避免違背安全目標(biāo)。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)避免無法輸出驅(qū)動(dòng)轉(zhuǎn)矩,除非對(duì)應(yīng)故障將導(dǎo)致更嚴(yán)重的整車危害。

當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)在故障容錯(cuò)時(shí)間間隔(FTTI)內(nèi)進(jìn)

入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值可以由最大加速能力、可達(dá)到最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出,可由整車制造

商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。

7.1.2運(yùn)行模式

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于驅(qū)動(dòng)工作狀態(tài)。

7.1.3故障容錯(cuò)時(shí)間間隔(FTTI)

無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖1所示,應(yīng)根據(jù)分析、測試等方式給出。

注1:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔的確定方法見附錄B。

注2:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

圖1無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔

7.1.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過警示駕駛員來進(jìn)入安全狀態(tài),在無

法輸出驅(qū)動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。

7.1.5報(bào)警和降級(jí)概念

3

GB/TXXXXX—XXXX

當(dāng)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志和原因等信息,用于整車實(shí)

現(xiàn)駕駛員警告功能。

防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大

7.2.1一般要求

整車控制器(VCU或其他控制器,取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工

作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性,當(dāng)檢測到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故

障處理來避免違背安全目標(biāo)。

當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)在FTTI時(shí)間內(nèi)進(jìn)入安全狀

態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩過大的安全閾值可以由最大加速能力、可達(dá)到最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出,可由

整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。

7.2.2運(yùn)行模式

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。

7.2.3故障容錯(cuò)時(shí)間間隔(FTTI)

非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔,如圖2所示,應(yīng)根據(jù)分析、測試等方式給出。

注:非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

圖2非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔

7.2.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)通過警示駕駛員并終止轉(zhuǎn)矩

輸出來進(jìn)入安全狀態(tài),在非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全

狀態(tài)。

注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。

7.2.5報(bào)警和降級(jí)概念

當(dāng)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大相關(guān)故障發(fā)生時(shí),在保證FTTI時(shí)間內(nèi)進(jìn)入安全狀態(tài)的前提下,可進(jìn)行

轉(zhuǎn)矩降額等處理;驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志和原因等信息,用于整車實(shí)現(xiàn)駕駛員警告功能。

4

GB/TXXXXX—XXXX

防止電機(jī)轉(zhuǎn)矩輸出方向反向

7.3.1一般要求

整車控制器(VCU或其他控制器,取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工

作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性,當(dāng)檢測到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故

障處理來避免違背安全目標(biāo)。

當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出轉(zhuǎn)矩方向與請(qǐng)求方向相反時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)在FTTI時(shí)間內(nèi)進(jìn)入安全狀態(tài),當(dāng)

相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。

7.3.2運(yùn)行模式

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。

7.3.3故障容錯(cuò)時(shí)間間隔(FTTI)

驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的故障容錯(cuò)時(shí)間間隔,如圖3所示,應(yīng)根據(jù)分析、測試等方式給出。

注:驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

圖3驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的故障容錯(cuò)時(shí)間間隔

7.3.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過警示駕駛員并終止轉(zhuǎn)矩輸

出來進(jìn)入安全狀態(tài),在驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀

態(tài)。

注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。

7.3.5報(bào)警和降級(jí)概念

當(dāng)驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志和原因等信息,用

于整車實(shí)現(xiàn)駕駛員警告功能。

防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩

7.4.1一般要求

整車控制器(VCU或其他控制器,取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工

作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。

5

GB/TXXXXX—XXXX

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性,當(dāng)檢測到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故

障處理來避免違背安全目標(biāo)。

當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)在FTTI時(shí)間內(nèi)進(jìn)入安全狀

態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值可以由最大加速能力、可達(dá)到最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出,可由整車制

造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。

7.4.2運(yùn)行模式

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于非驅(qū)動(dòng)工作狀態(tài)且車輛處于靜止?fàn)顟B(tài)。

7.4.3故障容錯(cuò)時(shí)間間隔(FTTI)

非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖4所示,應(yīng)根據(jù)分析、測試等方式給出。

注:非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

圖4非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔

7.4.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過警示駕駛員并終止轉(zhuǎn)矩輸出來進(jìn)

入安全狀態(tài),在非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。

7.4.5報(bào)警和降級(jí)概念

當(dāng)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志和原因等信息,用于整車

實(shí)現(xiàn)駕駛員警告功能。

防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩

7.5.1一般要求

整車控制器(VCU或其他控制器,取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工

作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性,當(dāng)檢測到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故

障處理來避免違背安全目標(biāo)。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)避免無法輸出制動(dòng)轉(zhuǎn)矩,除非對(duì)應(yīng)故障將導(dǎo)致更嚴(yán)重的整車危害。

6

GB/TXXXXX—XXXX

當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出制動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)在FTTI時(shí)間內(nèi)進(jìn)入安全狀態(tài),當(dāng)相

關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:無法輸出制動(dòng)轉(zhuǎn)矩的安全閾值可以由最大制動(dòng)能力等整車參數(shù)指標(biāo)推導(dǎo)得出,可由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)

供應(yīng)商協(xié)商確認(rèn)。

故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。

7.5.2運(yùn)行模式

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。

7.5.3故障容錯(cuò)時(shí)間間隔(FTTI)

無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖5所示,應(yīng)根據(jù)分析、測試等方式給出。

注:無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

圖5無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔

7.5.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)無法輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過警示駕駛員來進(jìn)入安全狀態(tài),在無

法輸出制動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。

7.5.5報(bào)警和降級(jí)概念

當(dāng)無法輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志和原因等信息,用于整車實(shí)

現(xiàn)駕駛員警告功能。

防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大

7.6.1一般要求

整車控制器(VCU或其他控制器,取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工

作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性,當(dāng)檢測到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故

障處理來避免違背安全目標(biāo)。

當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出過大的制動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)在FTTI時(shí)間內(nèi)進(jìn)入安

全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的安全閾值可以由整車質(zhì)量、運(yùn)行車速等整車參數(shù)指標(biāo)推導(dǎo)得出,可由整車制造商

7

GB/TXXXXX—XXXX

與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。

7.6.2運(yùn)行模式

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。

7.6.3故障容錯(cuò)時(shí)間間隔(FTTI)

非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔,如圖6所示,應(yīng)根據(jù)分析、測試等方式給出。

注:非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

圖6非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔

7.6.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)通過警示駕駛員并終止轉(zhuǎn)矩

輸出來進(jìn)入安全狀態(tài),在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全

狀態(tài)。

注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。

7.6.5報(bào)警和降級(jí)概念

當(dāng)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大相關(guān)故障發(fā)生時(shí),在保證FTTI時(shí)間內(nèi)進(jìn)入安全狀態(tài)的前提下,可進(jìn)行

制動(dòng)轉(zhuǎn)矩降額等處理;驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志和原因等信息,用于整車實(shí)現(xiàn)駕駛員警告功能。

防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩

7.7.1一般要求

整車控制器(VCU或其他控制器,取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工

作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性,當(dāng)檢測到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故

障處理來避免違背安全目標(biāo)。

當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的制動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)在FTTI時(shí)間內(nèi)進(jìn)入安全狀

態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩的安全閾值可以由最大加速能力、可達(dá)到最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出,可由整車

制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。

8

GB/TXXXXX—XXXX

7.7.2運(yùn)行模式

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于非制動(dòng)工作狀態(tài)且車輛處于靜止?fàn)顟B(tài)。

7.7.3故障容錯(cuò)時(shí)間間隔(FTTI)

非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖7所示,應(yīng)根據(jù)分析、測試等方式給出。

注:非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。

圖7非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔

7.7.4安全狀態(tài)的進(jìn)入和退出

當(dāng)確認(rèn)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過警示駕駛員并終止轉(zhuǎn)矩輸出來進(jìn)

入安全狀態(tài),在非預(yù)期輸出制動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。

7.7.5報(bào)警和降級(jí)概念

當(dāng)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志和原因等信息,用于整車

實(shí)現(xiàn)駕駛員警告功能。

8功能安全驗(yàn)證和確認(rèn)

總則

功能安全驗(yàn)證是確定功能安全要求的完整性和正確性,應(yīng)在驅(qū)動(dòng)電機(jī)系統(tǒng)層面進(jìn)行驗(yàn)證,目的是證

明功能安全要求:

a)與驗(yàn)證活動(dòng)的結(jié)果的一致性與符合性;

b)實(shí)現(xiàn)的正確性。

本文件中主要給出基于測試的功能安全驗(yàn)證方法,測試可在模擬環(huán)境下進(jìn)行。真實(shí)環(huán)境下的測試,

本文件不作具體要求。

功能安全確認(rèn)是確認(rèn)安全目標(biāo)得到充分實(shí)現(xiàn)且在系統(tǒng)及整車層面功能減輕或避免危害事件的發(fā)生。

應(yīng)在驅(qū)動(dòng)電機(jī)系統(tǒng)或整車層面對(duì)功能安全目標(biāo)的實(shí)現(xiàn)進(jìn)行確認(rèn),目的包括:

a)證明安全目標(biāo)在整車層面的實(shí)現(xiàn)是正確的、完整的并得到完全實(shí)現(xiàn);

b)安全目標(biāo)能夠預(yù)防或減輕危害分析和風(fēng)險(xiǎn)評(píng)估中識(shí)別的危害事件及風(fēng)險(xiǎn)。

功能安全驗(yàn)證

9

GB/TXXXXX—XXXX

8.2.1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩

8.2.1.1測試目的

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)在FTTI時(shí)間

內(nèi)進(jìn)入安全狀態(tài),在無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

8.2.1.2測試對(duì)象

測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.2.1.3測試要求

模擬環(huán)境下測試應(yīng)滿足如下要求:

a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)測試應(yīng)針對(duì)7.1.2規(guī)定的運(yùn)行模式,所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在兩個(gè)象限(驅(qū)動(dòng)

工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如:低轉(zhuǎn)矩和低

轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;

c)應(yīng)通過注入故障的方式進(jìn)行測試,注入的故障會(huì)導(dǎo)致系統(tǒng)降級(jí)從而丟失驅(qū)動(dòng)轉(zhuǎn)矩;

d)測試應(yīng)使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),并發(fā)出報(bào)警信息;

e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.1.4測試結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測試:

a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);

b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);

c)測試對(duì)象未能發(fā)出正確的報(bào)警信息;

d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。

8.2.1.5測試通過準(zhǔn)則

測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:

a)測試對(duì)象在注入故障后進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安全狀

態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;

b)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。

8.2.2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大

8.2.2.1測試目的

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài),當(dāng)電機(jī)非預(yù)期的輸出過大的驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值時(shí),使驅(qū)動(dòng)

電機(jī)系統(tǒng)在FTTI時(shí)間內(nèi)進(jìn)入安全狀態(tài),在非預(yù)期的輸出過大的驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),

不應(yīng)退出安全狀態(tài)。

8.2.2.2測試對(duì)象

測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.2.2.3測試要求

10

GB/TXXXXX—XXXX

模擬環(huán)境下測試應(yīng)滿足如下要求:

a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)測試應(yīng)針對(duì)7.2.2規(guī)定的運(yùn)行模式,所選擇的測試工況點(diǎn)應(yīng)包括電機(jī)在兩個(gè)象限(驅(qū)動(dòng)工況

對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如:低轉(zhuǎn)矩和低轉(zhuǎn)速、

高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等,以確保安全機(jī)制的有效性;

c)應(yīng)通過注入故障的方式進(jìn)行測試,注入的故障所引起的非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩值應(yīng)至少包括

低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;

d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)

進(jìn)行監(jiān)控;

e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.2.4測試結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測試:

a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);

b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);

c)測試對(duì)象未能發(fā)出正確的報(bào)警信息;

d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。

8.2.2.5測試通過準(zhǔn)則

測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:

a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安

全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;

b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;

c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。

8.2.3防止電機(jī)轉(zhuǎn)矩輸出方向相反

8.2.3.1測試目的

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài),當(dāng)電機(jī)轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)在

FTTI時(shí)間內(nèi)進(jìn)入安全狀態(tài),在電機(jī)轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反的故障退出或消除條件未滿足時(shí),不應(yīng)

退出安全狀態(tài)。

8.2.3.2測試對(duì)象

測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.2.3.3測試要求

模擬環(huán)境下測試應(yīng)滿足如下要求:

a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)測試應(yīng)針對(duì)7.3.2規(guī)定的運(yùn)行模式,所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在四個(gè)象限運(yùn)行工

況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如:低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)

矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;

c)應(yīng)通過注入故障的方式進(jìn)行測試,注入的故障所引起的轉(zhuǎn)矩反向安全閾值應(yīng)至少包括低于安

全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;

11

GB/TXXXXX—XXXX

d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)

進(jìn)行監(jiān)控;

e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.3.4測試結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測試:

a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);

b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);

c)測試對(duì)象未能發(fā)出正確的報(bào)警信息;

d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。

8.2.3.5測試通過準(zhǔn)則

測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:

a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安

全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;

b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;

c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。

8.2.4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩

8.2.4.1測試目的

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài),當(dāng)電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系

統(tǒng)在FTTI時(shí)間內(nèi)進(jìn)入安全狀態(tài),在非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安

全狀態(tài)。

8.2.4.2測試對(duì)象

測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.2.4.3測試要求

模擬環(huán)境下測試應(yīng)滿足如下要求:

a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)測試應(yīng)針對(duì)7.4.2規(guī)定的運(yùn)行模式,所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在四個(gè)象限運(yùn)行工

況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如:低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)

矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;

c)應(yīng)通過注入故障的方式進(jìn)行測試,注入的故障所引起的非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值應(yīng)至

少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;

d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)

進(jìn)行監(jiān)控;

e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.4.4測試結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測試:

a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);

12

GB/TXXXXX—XXXX

b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);

c)測試對(duì)象未能發(fā)出正確的報(bào)警信息;

d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。

8.2.4.5測試通過準(zhǔn)則

測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:

a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安

全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;

b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;

c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。

8.2.5防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩

8.2.5.1測試目的

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出制動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)在FTTI時(shí)間

內(nèi)進(jìn)入安全狀態(tài),在無法輸出制動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

8.2.5.2測試對(duì)象

測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.2.5.3測試要求

模擬環(huán)境下測試應(yīng)滿足如下要求:

a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)測試應(yīng)針對(duì)7.5.2規(guī)定的運(yùn)行模式,所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在兩個(gè)象限(制動(dòng)

工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如:低轉(zhuǎn)矩和低

轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;

c)應(yīng)通過注入故障的方式進(jìn)行測試,注入的故障會(huì)導(dǎo)致系統(tǒng)降級(jí)從而丟失制動(dòng)轉(zhuǎn)矩;

d)測試應(yīng)使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),并發(fā)出報(bào)警信息;

e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.5.4測試結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測試:

a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);

b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);

c)測試對(duì)象未能發(fā)出正確的報(bào)警信息;

d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。

8.2.5.5測試通過準(zhǔn)則

測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:

a)測試對(duì)象在注入故障后進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安全狀

態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;

b)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。

8.2.6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大

13

GB/TXXXXX—XXXX

8.2.6.1測試目的

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出制動(dòng)轉(zhuǎn)矩超過安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)在FTTI時(shí)間

內(nèi)進(jìn)入安全狀態(tài),在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

8.2.6.2測試對(duì)象

測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.2.6.3測試要求

模擬環(huán)境下測試應(yīng)滿足如下要求:

a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)測試應(yīng)針對(duì)7.6.2規(guī)定的運(yùn)行模式,所選擇的測試工況點(diǎn)應(yīng)包括電機(jī)在第二和第四象限運(yùn)行

工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如:低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低

轉(zhuǎn)矩和高轉(zhuǎn)速等,以確保安全機(jī)制的有效性;

注:制動(dòng)定義為電機(jī)工作在第二和第四象限。

c)應(yīng)通過注入故障的方式進(jìn)行測試,注入的故障所引起的非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大安全閾值

應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;

d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)

進(jìn)行監(jiān)控;

e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.6.4測試結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測試:

a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);

b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);

c)測試對(duì)象未能發(fā)出正確的報(bào)警信息;

d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。

8.2.6.5測試通過準(zhǔn)則

測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:

a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安

全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;

b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;

c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。

8.2.7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩

8.2.7.1測試目的

驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出制動(dòng)轉(zhuǎn)矩超過安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)在FTTI時(shí)間

內(nèi)進(jìn)入安全狀態(tài),在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。

8.2.7.2測試對(duì)象

測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

14

GB/TXXXXX—XXXX

8.2.7.3測試要求

模擬環(huán)境下測試應(yīng)滿足如下要求:

a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)測試應(yīng)針對(duì)7.7.2規(guī)定的運(yùn)行模式,所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在四個(gè)象限運(yùn)行工

況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如:低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)

矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;

c)應(yīng)通過注入故障的方式進(jìn)行測試,注入的故障所引起的非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的安全閾值應(yīng)至

少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;

d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)

進(jìn)行監(jiān)控;

e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.2.7.4測試結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測試:

a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);

b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);

c)測試對(duì)象未能發(fā)出正確的報(bào)警信息;

d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。

8.2.7.5測試通過準(zhǔn)則

測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:

a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安

全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;

b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;

c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。

功能安全確認(rèn)

8.3.1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩

8.3.1.1目的

確認(rèn)安全目標(biāo)“防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效警示駕駛員關(guān)于電機(jī)無法

輸出驅(qū)動(dòng)轉(zhuǎn)矩導(dǎo)致車輛驅(qū)動(dòng)力的喪失。

8.3.1.2確認(rèn)對(duì)象

確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.3.1.3確認(rèn)要求

確認(rèn)應(yīng)滿足如下要求:

a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車

輛實(shí)際工況;

注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。

15

GB/TXXXXX—XXXX

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;

注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如不能輸出驅(qū)動(dòng)轉(zhuǎn)矩。

d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;

e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;

f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.3.1.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):

a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且警示駕駛員車

輛處于驅(qū)動(dòng)力喪失狀態(tài);

b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);

c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.3.1.5確認(rèn)通過準(zhǔn)則

確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且警示駕駛員車輛處于驅(qū)

動(dòng)力喪失狀態(tài)。

8.3.2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大

8.3.2.1目的

確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非

預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大導(dǎo)致車輛加速度過大。

8.3.2.2確認(rèn)對(duì)象

確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.3.2.3確認(rèn)要求

確認(rèn)應(yīng)滿足如下要求:

a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車

輛實(shí)際工況;

注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;

注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大。

d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控。

e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控。

f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.3.2.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):

a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且警示駕駛員車輛

處于終止轉(zhuǎn)矩輸出狀態(tài);

b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);

16

GB/TXXXXX—XXXX

c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.3.2.5確認(rèn)通過準(zhǔn)則

確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),且警示駕駛員車輛處于終止

轉(zhuǎn)矩輸出狀態(tài)。

8.3.3防止電機(jī)轉(zhuǎn)矩輸出方向反向

8.3.3.1目的

確認(rèn)安全目標(biāo)“防止電機(jī)轉(zhuǎn)矩輸出方向反向”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)轉(zhuǎn)矩輸出方

向反向?qū)е萝囕v加速度方向相反。

8.3.3.2確認(rèn)對(duì)象

確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.3.3.3確認(rèn)要求

確認(rèn)應(yīng)滿足如下要求:

a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車

輛實(shí)際工況;

注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;

注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)轉(zhuǎn)矩輸出方向反向。

d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;

e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;

f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.3.3.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):

a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且警示駕駛員且

車輛處于終止轉(zhuǎn)矩輸出狀態(tài);

b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);

c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.3.3.5確認(rèn)通過準(zhǔn)則

確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且警示駕駛員且車輛處于

終止轉(zhuǎn)矩輸出狀態(tài)。

8.3.4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩

8.3.4.1目的

確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非預(yù)期

的輸出驅(qū)動(dòng)轉(zhuǎn)矩導(dǎo)致車輛從靜止?fàn)顟B(tài)非預(yù)期啟動(dòng)、車輛非預(yù)期的加速。

17

GB/TXXXXX—XXXX

8.3.4.2確認(rèn)對(duì)象

確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.3.4.3確認(rèn)要求

確認(rèn)應(yīng)滿足如下要求:

a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車

輛實(shí)際工況;

注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;

注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩。

d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;

e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;

f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.3.4.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):

a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且警示駕駛員且

車輛處于終止轉(zhuǎn)矩輸出狀態(tài);

b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);

c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.3.4.5確認(rèn)通過準(zhǔn)則

確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且警示駕駛員且車輛處于

終止轉(zhuǎn)矩輸出狀態(tài)。

8.3.5防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩

8.3.5.1目的

確認(rèn)安全目標(biāo)“防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)無法輸出制

動(dòng)轉(zhuǎn)矩導(dǎo)致車輛制動(dòng)力降低。

8.3.5.2確認(rèn)對(duì)象

確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.3.5.3確認(rèn)要求

確認(rèn)應(yīng)滿足如下要求:

a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車

輛實(shí)際工況;

注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;

注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩。

18

GB/TXXXXX—XXXX

d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;

e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;

f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.3.5.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):

a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且警示駕駛員車

輛處于制動(dòng)力降低狀態(tài);

b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);

c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.3.5.5確認(rèn)通過準(zhǔn)則

確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且警示駕駛員車輛處于制

動(dòng)力降低狀態(tài)。

8.3.6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大

8.3.6.1目的

確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非

預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大導(dǎo)致車輛減速度過大。

8.3.6.2確認(rèn)對(duì)象

確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.3.6.3確認(rèn)要求

確認(rèn)應(yīng)滿足如下要求:

a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車

輛實(shí)際工況;

注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;

注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大。

d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;

e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;

f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.3.6.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):

a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且警示駕駛員車輛

處于終止轉(zhuǎn)矩輸出狀態(tài);

b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);

c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.3.6.5確認(rèn)通過準(zhǔn)則

19

GB/TXXXXX—XXXX

確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),且警示駕駛員車輛處于終止

轉(zhuǎn)矩輸出狀態(tài)。

8.3.7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩

8.3.7.1目的

確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非預(yù)期

的輸出制動(dòng)轉(zhuǎn)矩導(dǎo)致車輛非預(yù)期倒車。

8.3.7.2確認(rèn)對(duì)象

確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。

8.3.7.3確認(rèn)要求

確認(rèn)應(yīng)滿足如下要求:

a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);

b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車

輛實(shí)際工況;

注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。

c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;

注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩。

d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如:安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;

確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;

e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。

8.3.7.4確認(rèn)結(jié)束條件

當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):

a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且警示駕駛員車輛

處于終止轉(zhuǎn)矩輸出狀態(tài);

b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);

c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。

8.3.7.5確認(rèn)通過準(zhǔn)則

確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),且警示駕駛員車輛處于終止

轉(zhuǎn)矩輸出狀態(tài)。

20

GB/TXXXXX—XXXX

A

A

附錄A

(資料性)

以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)的危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)示例

A.1相關(guān)項(xiàng)定義

A.1.1功能概念

A.1.1.1輸出驅(qū)動(dòng)轉(zhuǎn)矩

該功能旨在驅(qū)動(dòng)電機(jī)控制器基于整車控制器給出的驅(qū)動(dòng)轉(zhuǎn)矩指令,結(jié)合驅(qū)動(dòng)電機(jī)當(dāng)前轉(zhuǎn)速、負(fù)荷等

狀態(tài)控制驅(qū)動(dòng)電機(jī)輸出給定的驅(qū)動(dòng)轉(zhuǎn)矩。

A.1.1.2輸出制動(dòng)轉(zhuǎn)矩

該功能旨在驅(qū)動(dòng)電機(jī)控制器基于整車控制器給出的制動(dòng)轉(zhuǎn)矩指令,結(jié)合驅(qū)動(dòng)電機(jī)當(dāng)前轉(zhuǎn)速、負(fù)荷等

狀態(tài)控制驅(qū)動(dòng)電機(jī)輸出給定的制動(dòng)轉(zhuǎn)矩。

A.1.2驅(qū)動(dòng)電機(jī)系統(tǒng)的邊界和接口

按照GB/T34590.3-XXXX中5.4.2的要求,定義驅(qū)動(dòng)電機(jī)系統(tǒng)相關(guān)項(xiàng)與其他相關(guān)項(xiàng)的邊界和接口。

圖A.1驅(qū)動(dòng)電機(jī)系統(tǒng)相關(guān)項(xiàng)邊界和接口參考示例

注1:圖A.1中的示例所示系統(tǒng)為由蓄電池、電機(jī)控制器、電機(jī)和單減速器構(gòu)成的動(dòng)力總成系統(tǒng),此系統(tǒng)可用于將電

能轉(zhuǎn)換為機(jī)械能驅(qū)動(dòng)汽車行進(jìn)的純電動(dòng)汽車,同時(shí)該動(dòng)力總成系統(tǒng)具備制動(dòng)能量回收功能。

注2:圖A.1中的示例以搭載在A級(jí)乘用車上的驅(qū)動(dòng)電機(jī)系統(tǒng)為例,其他車型可參考本附錄示例進(jìn)行分析。

注3:圖A.1中的示例使用VCU作為獨(dú)立的整車控制單元,接收油門、制動(dòng)、檔位等信息,并轉(zhuǎn)換為所需要的轉(zhuǎn)矩輸

出請(qǐng)求。該示例不考慮VCU與MCU集成等新型或特殊的整車控制架構(gòu)形式。

21

GB/TXXXXX—XXXX

注4:圖A.1中的示例使用CAN通信作為驅(qū)動(dòng)電機(jī)系統(tǒng)的通信形式為例,采用如CAN-FD、FlexRay等其他通信形式的車

型可參考本文件。

注5:本附錄中的電機(jī)僅以電動(dòng)汽車常用的永磁同步電機(jī)為例,對(duì)使用如異步電機(jī)、電勵(lì)磁同步電機(jī)等電機(jī)類型的

車型可參考本附錄分析。電機(jī)控制器的工作模式僅考慮轉(zhuǎn)矩控制模式,不考慮轉(zhuǎn)速控制和電壓控制的工作模

式。

A.2相關(guān)項(xiàng)在整車層面上的危害識(shí)別

A.2.1識(shí)別驅(qū)動(dòng)電機(jī)系統(tǒng)的功能異常表現(xiàn)

按照GB/T34590.3-XXXX第6章的要求,應(yīng)用危害與可操作性分析(HAZOP)方法識(shí)別驅(qū)動(dòng)電機(jī)系統(tǒng)

的功能異常表現(xiàn),見表A.1。

表A.1HAZOP分析示例

引導(dǎo)詞

在有需求時(shí),提供錯(cuò)誤的功能非預(yù)期的功能輸出卡滯在固定

功能

功能喪失錯(cuò)誤的功能(多錯(cuò)誤的功能(少錯(cuò)誤的功能(方(在無需求時(shí),值上(功能不能

于預(yù)期)于預(yù)期)向相反)提供功能)按照需求更新)

輸出驅(qū)動(dòng)轉(zhuǎn)矩不能輸出驅(qū)動(dòng)轉(zhuǎn)矩實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)輸出轉(zhuǎn)矩方向與非預(yù)期輸出驅(qū)動(dòng)輸出轉(zhuǎn)矩量無法

(含零轉(zhuǎn)矩)矩大于期望值矩小于期望值期望值反向轉(zhuǎn)矩更新

輸出制動(dòng)轉(zhuǎn)矩不能輸出制動(dòng)轉(zhuǎn)矩實(shí)際輸出制動(dòng)轉(zhuǎn)實(shí)際輸出制動(dòng)轉(zhuǎn)輸出轉(zhuǎn)矩方向與非預(yù)期輸出制動(dòng)輸出轉(zhuǎn)矩量無法

矩大于期望值矩小于期望值期望值反向轉(zhuǎn)矩更新

A.2.2分析驅(qū)動(dòng)電機(jī)系統(tǒng)的功能異常表現(xiàn)導(dǎo)致的整車層面危害

按照GB/T34590.3-XXXX第6章的要求,根據(jù)A.2.1中驅(qū)動(dòng)電機(jī)系統(tǒng)的功能異常表現(xiàn),分析可能導(dǎo)致

的整車層面危害(最嚴(yán)重的情況),見表A.2。

表A.2整車層面危害(最嚴(yán)重的情況)

驅(qū)動(dòng)電機(jī)系統(tǒng)功能異常表現(xiàn)的影響整車層面的危害(最嚴(yán)重的情況)

不能輸出驅(qū)動(dòng)轉(zhuǎn)矩車輛驅(qū)動(dòng)力喪失

實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)矩大于期望值車輛加速度過大

實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)矩小于期望值車輛加速能力不足

非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩車輛從靜止?fàn)顟B(tài)非預(yù)期啟動(dòng)、車輛非預(yù)期的加速

不能輸出制動(dòng)轉(zhuǎn)矩車輛制動(dòng)力降低

實(shí)際輸出制動(dòng)轉(zhuǎn)矩大于期望值車輛減速度過大

實(shí)際輸出制動(dòng)轉(zhuǎn)矩小于期望值車輛制動(dòng)力降低

非預(yù)期輸出制動(dòng)轉(zhuǎn)矩車輛非預(yù)期倒車

輸出轉(zhuǎn)矩方向與期望值反向車輛加速度方向相反

輸出轉(zhuǎn)矩量無法更新車輛非預(yù)期加、減速或車輛運(yùn)動(dòng)反向

A.3場景分析

根據(jù)第5章運(yùn)行條件和環(huán)境約束要求,分析典型的車輛運(yùn)行場景,見表A.3。

表A.3典型的車輛運(yùn)行場景示例

22

GB/TXXXXX—XXXX

場景編號(hào)典型場景

1正常行駛(高速路、城市或鄉(xiāng)村道路、住宅區(qū)或人口密集區(qū)等)

2超車行駛(高速路或城市多車道路、鄉(xiāng)村或單車道路等)

3轉(zhuǎn)彎行駛(十字路口、匝道等)

4靜止起步(十字路口、停車場、坡道等)

5高速匝道并入

6坡道行駛(上下坡、坡道駐車等)

A.4ASIL等級(jí)的導(dǎo)出

以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)開展典型危害的危害分析和風(fēng)險(xiǎn)評(píng)估(HARA),并確定危害事件的ASIL

等級(jí)。分析過程參見表A.4。

23

T

/

4

B

2

G

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論