基本信息
标准简介
标准目录
中文样稿
Foreword
Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This document is developed in accordance with the rules given in GB/T 1.1-2020 Directives for standardization - Part 1: Rules for the structure and drafting of standardizing documents.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights.
This document was proposed by the Ministry of Industry and Information Technology of the People's Republic of China.
This document is under the jurisdiction of the National Technical Committee of Auto Standardization (SAC/TC 114).
Functional safety requirements and testing methods for drive motor system of electric vehicles
1 Scope
This document specifies the functional safety requirements and testing methods for drive motor system of electric vehicles (hereinafter referred to as "drive motor system").
This document is applicable to the drive motor system of electric vehicles, and may serve as a reference for other types of drive motor systems.
2 Normative references
The following documents contain requirements which, through reference in this text, constitute provisions of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB 18384-2020 Electric vehicles safety requirements
GB/T 18488 (All parts) Drive motor system for electric vehicles
GB/T 34590.1~34590.12-2022 Road vehicles - Functional safety
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 34590.1-2022 and the following apply.
3.1
drive motor system
system installed on an electric vehicle to provide driving force for the vehicle and realize mutual conversion between mechanical energy and electric energy
Note: Drive motors, drive motor controllers and auxiliary devices necessary for their operation are included. The auxiliary devices include variable speed devices integrated with the drive motor.
[Source: GB/T 19596-2017, 3.1.2.1.10, modified]
3.2
drive motor
electrical device that converts electric energy into mechanical energy to provide driving force for vehicle, which also has the function of converting mechanical energy into electric energy
[Source: GB/T 19596-2017, 3.2.1.1.2.1, modified]
3.3
drive motor controller
device for controlling the energy transmission between the power source and the drive motor, which is composed of a control signal interface circuit, a drive motor control circuit, a drive circuit power electronic module, etc.
[Source: GB/T 19596-2017, 3.2.1.2, modified]
4 General requirements
Unless otherwise specified, the requirements for functional safety technology development and process development of drive motor system shall be implemented according to GB/T 34590.1 to 34590.12-2022.
ICS 43.040
CCS T 35
GB
中年人民共和国国家标准
GB/T 43254—2023
电动汽车用驱动电机系统功能安全
要求及试验方法
Functional safety requirements and testing methods for drive motor system of
electric vehicles
2023-11-27发布 2024-06-01实施
国家市场监督管理总局
国家标准化管理委员会 分布
前言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国汽车标准化技术委员会(SAC/TC 114)归口。
电动汽车用驱动电机系统功能安全
要求及试验方法
1 范围
本文件规定了电动汽车用驱动电机系统(以下简称“驱动电机系统”)的功能安全要求及试验方法。
本文件适用于电动汽车用驱动电机系统,其他类型的驱动电机系统参照执行。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 18384—2020 电动汽车安全要求
GB/T 18488(所有部分) 电动汽车用驱动电机系统
GB/T 34590.1~34590.12—2022 道路车辆 功能安全
3 术语和定义
GB/T 34590.1—2022界定的以及下列术语和定义适用于本文件。
3.1
驱动电机系统 drive motor system
安装在电动汽车上,为车辆行驶提供驱动力、实现机械能与电能间相互转化的系统。
注:包括驱动电机,驱动电机控制器及它们工作必需的辅助装置。辅助装置包含与驱动电机集成于一体的变速装置。
[来源:GB/T 19596—2017,定义3.1.2.1.10,有修改]
3.2
驱动电机 drive motor
将电能转换成机械能为车辆行驶提供驱动力的电气装置,该装置也具备机械能转化成电能的功能。
[来源:GB/T 19596—2017,定义3.2.1.1.2.1,有修改]
3.3
驱动电机控制器 drive motor controller
控制动力电源与驱动电机之间能量传输的装置,由控制信号接口电路、驱动电机控制电路、驱动电路功率电子模块等组成。
[来源:GB/T 19596—2017,定义3.2.1.2,有修改]
4 一般要求
除非特别说明,驱动电机系统功能安全技术开发、流程开发等要求应按照GB/T 34590.1~34590.12—2022执行。
5 相关项定义
5.1 总体要求
应按照GB/T 34590.3—2022的要求进行相关项定义,相关项指实现整车层面功能或部分功能的系统或系统组合。
注:相关项及其范围根据具体情况定义。附录A给出了以驱动电机系统为相关项的功能概念和相关项边界和接口示例。
5.2 功能概念
为满足车辆安全运行,确保车辆内部、外部人员以及车辆环境的安全,驱动电机系统应对驱动电机的安全运行进行监控和保护。驱动电机系统的功能性要求还应满足GB/T 18488(所有部分)、GB 18384—2020中的功能要求。
注:附录A给出了驱动电机系统输出驱动转矩、输出制动转矩的功能概念描述。
5.3 运行条件和环境约束
为满足车辆安全运行,需要明确相关项的运行条件及环境约束,可包含(如适用):
a)外部环境,例如温度、湿度、路况、天气等;
b)驱动电机系统处于驱动模式、制动模式、待机模式等,或者驱动电机系统处于工作状态或者非工作状态;
c)相关项与整车其他相关项的依赖关系、接口关系等。
6 危害分析和风险评估
6.1 总则
根据第5章相关项定义,按照GB/T 34590.3—2022,基于车辆使用场景,分析识别驱动电机系统中因故障而引起的危害并对危害进行归类,定义相应的汽车安全完整性等级(ASIL),制定防止危害事件发生或减轻危害程度的安全目标,以避免不合理的风险。
注:以驱动电机系统为相关项进行危害分析和风险评估的示例见附录A。
6.2 安全目标
通过危害分析和风险评估确定的驱动电机系统的安全目标及其属性,应至少包含表1所列的内容。
表1 驱动电机系统的安全目标及其属性
序号 安全目标 ASIL 安全状态 故障容错时间间隔(FTTI)
1 防止电机无法输出驱动转矩 A 发出警示 见7.1.3
2 防止电机非预期的输出驱动转矩过大 C 发出警示,终止转矩输出 见7.2.3
3 防止电机转矩输出方向反向 C 发出警示,终止转矩输出 见7.3.3
4 防止电机非预期的输出驱动转矩 C 发出警示,终止转矩输出 见7.4.3
5 防止电机无法输出制动转矩 A 发出警示 见7.5.3
6 防止电机非预期的输出制动转矩过大 C 发出警示,终止转矩输出 见7.6.3
7 防止电机非预期的输出制动转矩 C 发出警示,终止转矩输出 见7.7.3
注:发出警示,指的是驱动电机系统发出故障标志信息。整车端警示可由整车制造商做出定义。
如果出现与表1所列的要求不一致的情况,应具备相应的证据来证明驱动电机系统不会因功能异常表现而导致不合理的整车危害风险。应至少包括如下证据:
a)考虑了全部整车危害风险,并制定了合理的安全目标;
b)所制定的安全目标针对目标市场是适用和充分的。
7 功能安全要求
7.1 防止电机无法输出驱动转矩
7.1.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故障处理来避免违背安全目标。
驱动电机系统应避免无法输出驱动转矩,除非对应故障将导致更严重的整车危害。
当驱动电机系统输出驱动转矩低于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或消除条件未满足时,不应退出安全状态。
注:无法输出驱动转矩的安全阈值由最大加速能力、可达到的最高车速等整车参数指标推导得出,由整车制造商与躯动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.1.2 运行模式
驱动电机系统应处于驱动工作状态。
7.1.3 故障容错时间间隔(FTTI)
无法输出驱动转矩的故障容错时间间隔,如图1所示,应根据分析、测试等方式给出。
注1:无法输出驱动转矩的故障容错时间间隔的确定方法见附录B。
注2:无法输出驱动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
注3:降级可以是紧急运行概念的一部分。
驱动转矩低于安全阈值
无安全机制
故障导致危害
故障容错时间间隔
驱动转矩低于安全阈值
探测到驱动转矩过低
进入安全状态
实施了安全机制
正常运行
故障探测时间间隔
故障响应时间间隔
安全状态
实施了具有紧急运行的安全机制
驱动转矩低于安全阈值
探测到驱动转矩过低
进入紧急运行
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
紧急运行时间间隔
安企状态
图1 无法输出驱动转矩的故障容错时间间隔
7.1.4 安全状态的进入和退出
当确认无法输出驱动转矩的相关故障发生时,驱动电机系统通过发出故障警示来进入安全状态,在无法输出驱动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.1.5 报警和降级概念
当无法输出驱动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.2 防止电机非预期的输出驱动转矩过大
7.2.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故障处理来避免违背安全目标。
当驱动电机系统非预期输出的驱动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或消除条件未满足时,不应退出安全状态。
注:非预期输出的驱动转矩过大的安全阈值由最大加速能力、可达到的最高车速等整车参数指标推导得出,由整车制造商与驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.2.2 运行模式
驱动电机系统应处于工作状态。
7.2.3 故障容错时间间隔(FTTI)
非预期的输出驱动转矩过大的故障容错时间间隔,如图2所示,应根据分析、测试等方式给出。
注:非预期的输出驱动转矩过大的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
非预期输出驱动转矩超过安全阈值
故障导致危害
无安全机制
故障容错时间间隔
非预期输出驱动转矩超过安全阈值
探测到非预期输出驱动转矩过大
实施了安全机制
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
安全状态
实施了具有紧急运行的安全机制
非预期输出驱动转矩超过安全阈值
探测到非预期输出驱动转矩过大
进入紧急运行
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
紧急运行时间间隔
安全状态
图2 非预期的输出驱动转矩过大的故障容错时间间隔
7.2.4 安全状态的进入和退出
当确认非预期的输出驱动转矩过大的相关故障发生时,驱动电机系统应通过发出故障警示并终止转矩输出来进入安全状态,在非预期的输出驱动转矩过大相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.2.5 报警和降级概念
当非预期的输出驱动转矩过大相关故障发生时,在确保能进入安全状态的前提下,可先进行转矩降额等处理。驱动电机系统应反馈故障标志信息。
7.3 防止电机转矩输出方向反向
7.3.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故障处理来避免违背安全目标。
当驱动电机系统输出转矩方向与请求方向相反时,驱动电机系统应进入安全状态,当相关故障退出或消除条件未满足时,不应退出安全状态。
故障探测、响应、处理应在FTTI时间内完成。
7.3.2 运行模式
驱动电机系统应处于工作状态。
7.3.3 故障容错时间间隔(FTTI)
驱动电机输出转矩方向反向的故障容错时间间隔,如图3所示,应根据分析、测试等方式给出。
注:驱动电机输出转矩方向反向的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
转矩输出方向与请求方向相反
无安全机制
故障导致危害
故障容错时间间隔
转矩输出方向与请求方向相反
探测到转矩输出方向与请求方向相反
实施了安全机制
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
安全状态
实施了具有紧急运行的安全机制
转矩输出方向与请求方向相反
探测到转矩输出方向与请求方向相反
进入紧急运行
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
紧急运行时间间隔
安全状态
图3 驱动电机转矩输出方向反向的故障容错时间间隔
7.3.4 安全状态的进入和退出
当确认驱动电机转矩输出方向反向的相关故障发生时,驱动电机系统通过发出故障警示并终止转矩输出来进入安全状态,在驱动电机转矩输出方向反向相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.3.5 报警和降级概念
当驱动电机转矩输出方向反向的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.4 防止电机非预期的输出驱动转矩
7.4.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故障处理来避免违背安全目标。
当驱动电机系统非预期输出的驱动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或消除条件未满足时,不应退出安全状态。
注:非预期输出驱动转矩的安全阈值由整车制造商与驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.4.2 运行模式
驱动电机系统应处于非驱动工作状态且车辆处于静止状态。
7.4.3 故障容错时间间隔(FTTI)
非预期输出驱动转矩的故障容错时间间隔,如图4所示,应根据分析、测试等方式给出。
注:非预期输出驱动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
非预期输出驱动转矩超过安全阈值
故障导致危害
无安全机制
故障容错时间间隔
非预期输出驱动转矩超过安全阈值
探测到非预期输出驱动转矩
实施了安全机制
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
安全状态
实施了具有紧急运行的安全机制
非预期输出驱动转矩超过安全阈值
探测到非预期输出驱动转矩
进入紧急运行
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
紧急运行时间间隔
安全状态
图4 非预期输出驱动转矩的故障容错时间间隔
7.4.4 安全状态的进入和退出
当确认非预期输出驱动转矩的相关故障发生时,驱动电机系统通过发出故障警示并终止转矩输出来进入安全状态,在非预期输出驱动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.4.5 报警和降级概念
当非预期输出驱动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.5 防止电机无法输出制动转矩
7.5.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故障处理来避免违背安全目标。
驱动电机系统应避免无法输出制动转矩,除非对应故障将导致更严重的整车危害。
当驱动电机系统输出制动转矩低于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或消除条件未满足时,不应退出安全状态。
注:无法输出制动转矩的安全阈值由最大制动能力等整车参数指标推导得出,由整车制造商与驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.5.2 运行模式
驱动电机系统应处于工作状态。
7.5.3 故障容错时间间隔(FTTI)
无法输出制动转矩的故障容错时间间隔,如图5所示,应根据分析、测试等方式给出。
注:无法输出制动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
制动转矩低于安全阈值
无安全机制
故障导致危害
故障容错时间间隔
制动转矩低于安全阈值
探测到制动转矩过低
实施了安全机制
进入安全状态
正常运行
故障探测时间间隔
故障响应时时间隔
安全状态
实施了具有紧急运行安全机制
制动转矩低于安全阈值
探测到制动转矩过低
进入紧急运行
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
紧急运行时间间隔
安全状态
图5 无法输出制动转矩的故障容错时间间隔
7.5.4 安全状态的进入和退出
当确认无法输出制动转矩的相关故障发生时,驱动电机系统通过发出故障警示来进入安全状态,在无法输出制动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.5.5 报警和降级概念
当无法输出制动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.6 防止电机非预期的输出制动转矩过大
7.6.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故障处理来避免违背安全目标。
当驱动电机系统非预期输出过大的制动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或消除条件未满足时,不应退出安全状态。
注:非预期的输出制动转矩过大的安全阈值由整车质量、运行车速等整车参数指标推导得出,由整车制造商与驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.6.2 运行模式
驱动电机系统应处于工作状态。
7.6.3 故障容错时间间隔(FTTI)
非预期的输出制动转矩过大的故障容错时间间隔,如图6所示,应根据分析、测试等方式给出。
注:非预期的输出制动转矩过大的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
非预期输出制动转矩超过安全阈值
无安全机制
故障导致危害
故障容错时间间隔
非预期输出制动转矩超过安全阈值
探测到非预期输出制动转矩过大
实施了安全机制
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
安全状态
实施了具有紧急运行的安全机制
非预期输出制动转矩超过安全阈值
探测到非预期输出制动转矩过大
进入紧急运行
进入安全状态
图6 非预期的输出制动转矩过大的故障容错时间间隔
7.6.4 安全状态的进入和退出
当确认非预期的输出制动转矩过大的相关故障发生时,驱动电机系统应通过发出故障警示并终止转矩输出来进入安全状态,在非预期的输出制动转矩过大相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.6.5 报警和降级概念
当非预期的输出制动转矩过大相关故障发生时,在确保能进入安全状态的前提下,可先进行制动转矩降额等处理。驱动电机系统应反馈故障标志信息。
7.7 防止电机非预期的输出制动转矩
7.7.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故障处理来避免违背安全目标。
当驱动电机系统非预期输出的制动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或消除条件未满足时,不应退出安全状态。
注:非预期的输出制动转矩的安全阈值由整车制造商与驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.7.2 运行模式
驱动电机系统应处于非制动工作状态且车辆处于静止状态。
7.7.3 故障容错时间间隔(FTTI)
非预期输出制动转矩的故障容错时间间隔,如图7所示,应根据分析、测试等方式给出。
注:非预期输出制动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
非预期输出制动转矩超过安全阈值
无安全机制
故障导致危害
故障容错时间间隔
非预期输出制动转矩超过安全阈值
探测到非预期输出制动转矩
实施了安全机制
进入安全状态
正常运行
故障探测时间间隔
故障响应时间间隔
安全状态
实施了具有紧急运行的安全机制
非预期输出制动转矩超过安全阈值
探测到非预期输出制动转矩
进入紧急运行
进入安全状态
正常运行
紧急运行时间间隔
故障探测时间间隔
故障响应时间间隔
图7 非预期输出制动转矩的故障容错时间间隔
7.7.4 安全状态的进入和退出
当确认非预期输出制动转矩的相关故障发生时,驱动电机系统通过发出故障警示并终止转矩输出来进入安全状态,在非预期输出制动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.7.5 报警和降级概念
当非预期输出制动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
8 功能安全验证和确认
8.1 总体要求
功能安全验证是确定功能安全要求的完整性和正确性,应在驱动电机系统层面进行验证,目的是证明功能安全要求:
a)与验证活动的结果的一致性与符合性;
b)实现的正确性。
本文件主要给出基于测试的功能安全验证方法,测试可在模拟环境下进行。真实环境下的测试,本文件不作具体要求。
功能安全确认是确认安全目标得到充分实现且在系统及整车层面功能减轻或避免危害事件的发生。应在驱动电机系统或整车层面对功能安全目标的实现进行确认,目的包括:
a)证明安全目标在整车层面的实现是正确的、完整的并得到完全实现;
b)安全目标能够预防或减轻危害分析和风险评估中识别的危害事件及风险。
8.2 功能安全验证
8.2.1 防止电机无法输出驱动转矩
8.2.1.1 测试目的
驱动电机系统应检测输出转矩状态,当输出驱动转矩低于安全阈值时,使驱动电机系统进入安全状态,在无法输出驱动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.1.2 测试对象
测试对象为驱动电机系统。
8.2.1.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.1.2规定的运行模式,所选择的测试工况点应至少包括电机在两个象限(驱动工况对应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转矩和高转速、低转矩和高转速等组合,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的无法输出驱动转矩值应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应使驱动电机系统进入安全状态,并发出报警信息;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.1.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.1.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后进入安全状态,并无意外退出安全状态,且从注入故障到进入安全状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象发出了正确的故障报警信息。
8.2.2 防止电机非预期的输出驱动转矩过大
8.2.2.1 测试目的
驱动电机系统应检测输出转矩状态,当电机非预期的输出过大的驱动转矩超过安全阈值时,使驱动电机系统进入安全状态,在非预期的输出过大的驱动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.2.2 测试对象
测试对象为驱动电机系统。
8.2.2.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.2.2规定的运行模式,所选择的测试工况点应包括电机在两个象限(驱动工况对应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转矩和高转速、低转矩和高转速等,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期的输出驱动转矩值应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.2.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.2.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.3 防止电机转矩输出方向相反
8.2.3.1 测试目的
驱动电机系统应检测输出转矩状态,当电机转矩输出方向与请求方向相反时,使驱动电机系统进入安全状态,在电机转矩输出方向与请求方向相反的故障退出或消除条件未满足时,不应退出安全状态。
8.2.3.2 测试对象
测试对象为驱动电机系统。
8.2.3.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.3.2规定的运行模式,所选择的测试工况点应至少包括电机在四个象限运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转矩和高转速、低转矩和高转速等组合,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的转矩反向安全阈值应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.3.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.3.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.4 防止电机非预期的输出驱动转矩
8.2.4.1 测试目的
驱动电机系统应检测输出转矩状态,当电机非预期的输出驱动转矩超过安全阈
值时,使驱动电机系统进入安全状态,在非预期的输出驱动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.4.2 测试对象
测试对象为驱动电机系统。
8.2.4.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.4.2规定的运行模式,所选择的测试工况点应使得驱动电机系统处于非驱动且静止的工作状态;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期输出驱动转矩的安全阈值应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.4.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.4.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.5 防止电机无法输出制动转矩
8.2.5.1 测试目的
驱动电机系统应检测输出转矩状态,当输出制动转矩低于安全阈值时,使驱动电机系统进入安全状态,在无法输出制动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.5.2 测试对象
测试对象为驱动电机系统。
8.2.5.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.5.2规定的运行模式,所选择的测试工况点应至少包括电机在两个象限(制动工况对应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转矩和高转速、低转矩和高转速等组合,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的无法输出制动转矩值应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应使驱动电机系统进入安全状态,并发出报警信息;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.5.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.5.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后进入安全状态,并无意外退出安全状态;且从注入故障到进入安全状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象发出了正确的故障报警信息。
8.2.6 防止电机非预期的输出制动转矩过大
8.2.6.1 测试目的
驱动电机系统应检测输出转矩状态,当输出制动转矩超过安全阈值时,使驱动电机系统进入安全状态,在非预期的输出制动转矩过大的故障退出或消除条件未满足时,不应退出安全状态。
8.2.6.2 测试对象
测试对象为驱动电机系统。
8.2.6.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.6.2规定的运行模式,所选择的测试工况点应包括电机在两个象限(制动工况对应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转矩和高转速、低转矩和高转速等,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期的输出制动转矩过大安全阈值应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.6.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.6.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.7 防止电机非预期的输出制动转矩
8.2.7.1 测试目的
驱动电机系统应检测输出转矩状态,当输出制动转矩超过安全阈值时,使驱动电机系统进入安全状态,在非预期的输出制动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.7.2 测试对象
测试对象为驱动电机系统。
8.2.7.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.7.2规定的运行模式,所选择的测试工况点应使得驱动电机系统处于非制动且静止的工作状态;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期输出制动转矩的安全阈值应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.7.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.7.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.3 功能安全确认
8.3.1 防止电机无法输出驱动转矩
8.3.1.1 目的
确认安全目标“防止电机无法输出驱动转矩”得到正确实现,并能够有效发出关于电机无法输出驱动转矩导致车辆驱动力丧失的故障警示。
8.3.1.2 确认对象
确认对象为驱动电机系统。
8.3.1.3 确认要求
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如不能输出驱动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.1.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示车辆处于驱动力丧失状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.1.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示车辆处于驱动力丧失状态。
8.3.2 防止电机非预期的输出驱动转矩过大
8.3.2.1 目的
确认安全目标“防止电机非预期的输出驱动转矩过大”得到正确实现,并能够有效预防由于电机非预期的输出驱动转矩过大导致车辆加速度过大。
8.3.2.2 确认对象
确认对象为驱动电机系统。
8.3.2.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出驱动转矩过大。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.2.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,且发出故障警示车辆处于终止转矩输出状态:
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.2.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,且发出故障警示车辆处于终止转矩输出状态。
8.3.3 防止电机转矩输出方向反向
8.3.3.1 目的
确认安全目标“防止电机转矩输出方向反向”得到正确实现,并能够有效预防由于电机转矩输出方向反向导致车辆加速度方向相反。
8.3.3.2 确认对象
确认对象为驱动电机系统。
8.3.3.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机转矩输出方向反向。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.3.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示且车辆处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.3.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示且车辆处于终止转矩输出状态。
8.3.4 防止电机非预期的输出驱动转矩
8.3.4.1 目的
确认安全目标“防止电机非预期的输出驱动转矩”得到正确实现,并能够有效预防由于电机非预期的输出驱动转矩导致车辆从静止状态非预期启动、车辆非预期的加速。
8.3.4.2 确认对象
确认对象为驱动电机系统。
8.3.4.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出驱动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.4.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示且车辆处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.4.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示且车辆处于终止转矩输出状态。
8.3.5 防止电机无法输出制动转矩
8.3.5.1 目的
确认安全目标“防止电机无法输出制动转矩”得到正确实现,并能够有效预防由于电机无法输出制动转矩导致车辆减速度过小。
8.3.5.2 确认对象
确认对象为驱动电机系统。
8.3.5.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机无法输出制动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.5.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示车辆处于制动力降低状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.5.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示车辆处于制动力降低状态。
8.3.6 防止电机非预期的输出制动转矩过大
8.3.6.1 目的
确认安全目标“防止电机非预期的输出制动转矩过大”得到正确实现,并能够有效预防由于电机非预期的输出制动转矩过大导致车辆减速度过大。
8.3.6.2 确认对象
确认对象为驱动电机系统。
8.3.6.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出制动转矩过大。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.6.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,且发出故障警示车辆处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.6.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,且发出故障警示车辆处于终止转矩输出状态。
8.3.7 防止电机非预期的输出制动转矩
8.3.7.1 目的
确认安全目标“防止电机非预期的输出制动转矩”得到正确实现,并能够有效预防由于电机非预期的输出制动转矩导致车辆非预期倒车。
8.3.7.2 确认对象
确认对象为驱动电机系统。
8.3.7.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出制动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;确认应对驱动电机系统的状态进行监控;
e)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.7.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,且发出故障警示车辆处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.7.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,且发出故障警示车辆处于终止转矩输出状态。
