基本信息
標(biāo)準(zhǔn)簡(jiǎn)介
標(biāo)準(zhǔn)目錄
中文樣稿
Foreword
Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This document is developed in accordance with the rules given in GB/T 1.1-2020 Directives for standardization - Part 1: Rules for the structure and drafting of standardizing documents.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights.
This document was proposed by the Ministry of Industry and Information Technology of the People's Republic of China.
This document is under the jurisdiction of the National Technical Committee of Auto Standardization (SAC/TC 114).
Functional safety requirements and testing methods for drive motor system of electric vehicles
1 Scope
This document specifies the functional safety requirements and testing methods for drive motor system of electric vehicles (hereinafter referred to as "drive motor system").
This document is applicable to the drive motor system of electric vehicles, and may serve as a reference for other types of drive motor systems.
2 Normative references
The following documents contain requirements which, through reference in this text, constitute provisions of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB 18384-2020 Electric vehicles safety requirements
GB/T 18488 (All parts) Drive motor system for electric vehicles
GB/T 34590.1~34590.12-2022 Road vehicles - Functional safety
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 34590.1-2022 and the following apply.
3.1
drive motor system
system installed on an electric vehicle to provide driving force for the vehicle and realize mutual conversion between mechanical energy and electric energy
Note: Drive motors, drive motor controllers and auxiliary devices necessary for their operation are included. The auxiliary devices include variable speed devices integrated with the drive motor.
[Source: GB/T 19596-2017, 3.1.2.1.10, modified]
3.2
drive motor
electrical device that converts electric energy into mechanical energy to provide driving force for vehicle, which also has the function of converting mechanical energy into electric energy
[Source: GB/T 19596-2017, 3.2.1.1.2.1, modified]
3.3
drive motor controller
device for controlling the energy transmission between the power source and the drive motor, which is composed of a control signal interface circuit, a drive motor control circuit, a drive circuit power electronic module, etc.
[Source: GB/T 19596-2017, 3.2.1.2, modified]
4 General requirements
Unless otherwise specified, the requirements for functional safety technology development and process development of drive motor system shall be implemented according to GB/T 34590.1 to 34590.12-2022.
ICS 43.040
CCS T 35
GB
中年人民共和國國家標(biāo)準(zhǔn)
GB/T 43254—2023
電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全
要求及試驗(yàn)方法
Functional safety requirements and testing methods for drive motor system of
electric vehicles
2023-11-27發(fā)布 2024-06-01實(shí)施
國家市場(chǎng)監(jiān)督管理總局
國家標(biāo)準(zhǔn)化管理委員會(huì) 分布
前言
本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。
本文件由中華人民共和國工業(yè)和信息化部提出。
本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 114)歸口。
電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全
要求及試驗(yàn)方法
1 范圍
本文件規(guī)定了電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)(以下簡(jiǎn)稱“驅(qū)動(dòng)電機(jī)系統(tǒng)”)的功能安全要求及試驗(yàn)方法。
本文件適用于電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng),其他類型的驅(qū)動(dòng)電機(jī)系統(tǒng)參照?qǐng)?zhí)行。
2 規(guī)范性引用文件
下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB 18384—2020 電動(dòng)汽車安全要求
GB/T 18488(所有部分) 電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)
GB/T 34590.1~34590.12—2022 道路車輛 功能安全
3 術(shù)語和定義
GB/T 34590.1—2022界定的以及下列術(shù)語和定義適用于本文件。
3.1
驅(qū)動(dòng)電機(jī)系統(tǒng) drive motor system
安裝在電動(dòng)汽車上,為車輛行駛提供驅(qū)動(dòng)力、實(shí)現(xiàn)機(jī)械能與電能間相互轉(zhuǎn)化的系統(tǒng)。
注:包括驅(qū)動(dòng)電機(jī),驅(qū)動(dòng)電機(jī)控制器及它們工作必需的輔助裝置。輔助裝置包含與驅(qū)動(dòng)電機(jī)集成于一體的變速裝置。
[來源:GB/T 19596—2017,定義3.1.2.1.10,有修改]
3.2
驅(qū)動(dòng)電機(jī) drive motor
將電能轉(zhuǎn)換成機(jī)械能為車輛行駛提供驅(qū)動(dòng)力的電氣裝置,該裝置也具備機(jī)械能轉(zhuǎn)化成電能的功能。
[來源:GB/T 19596—2017,定義3.2.1.1.2.1,有修改]
3.3
驅(qū)動(dòng)電機(jī)控制器 drive motor controller
控制動(dòng)力電源與驅(qū)動(dòng)電機(jī)之間能量傳輸?shù)难b置,由控制信號(hào)接口電路、驅(qū)動(dòng)電機(jī)控制電路、驅(qū)動(dòng)電路功率電子模塊等組成。
[來源:GB/T 19596—2017,定義3.2.1.2,有修改]
4 一般要求
除非特別說明,驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全技術(shù)開發(fā)、流程開發(fā)等要求應(yīng)按照GB/T 34590.1~34590.12—2022執(zhí)行。
5 相關(guān)項(xiàng)定義
5.1 總體要求
應(yīng)按照GB/T 34590.3—2022的要求進(jìn)行相關(guān)項(xiàng)定義,相關(guān)項(xiàng)指實(shí)現(xiàn)整車層面功能或部分功能的系統(tǒng)或系統(tǒng)組合。
注:相關(guān)項(xiàng)及其范圍根據(jù)具體情況定義。附錄A給出了以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)的功能概念和相關(guān)項(xiàng)邊界和接口示例。
5.2 功能概念
為滿足車輛安全運(yùn)行,確保車輛內(nèi)部、外部人員以及車輛環(huán)境的安全,驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)的安全運(yùn)行進(jìn)行監(jiān)控和保護(hù)。驅(qū)動(dòng)電機(jī)系統(tǒng)的功能性要求還應(yīng)滿足GB/T 18488(所有部分)、GB 18384—2020中的功能要求。
注:附錄A給出了驅(qū)動(dòng)電機(jī)系統(tǒng)輸出驅(qū)動(dòng)轉(zhuǎn)矩、輸出制動(dòng)轉(zhuǎn)矩的功能概念描述。
5.3 運(yùn)行條件和環(huán)境約束
為滿足車輛安全運(yùn)行,需要明確相關(guān)項(xiàng)的運(yùn)行條件及環(huán)境約束,可包含(如適用):
a)外部環(huán)境,例如溫度、濕度、路況、天氣等;
b)驅(qū)動(dòng)電機(jī)系統(tǒng)處于驅(qū)動(dòng)模式、制動(dòng)模式、待機(jī)模式等,或者驅(qū)動(dòng)電機(jī)系統(tǒng)處于工作狀態(tài)或者非工作狀態(tài);
c)相關(guān)項(xiàng)與整車其他相關(guān)項(xiàng)的依賴關(guān)系、接口關(guān)系等。
6 危害分析和風(fēng)險(xiǎn)評(píng)估
6.1 總則
根據(jù)第5章相關(guān)項(xiàng)定義,按照GB/T 34590.3—2022,基于車輛使用場(chǎng)景,分析識(shí)別驅(qū)動(dòng)電機(jī)系統(tǒng)中因故障而引起的危害并對(duì)危害進(jìn)行歸類,定義相應(yīng)的汽車安全完整性等級(jí)(ASIL),制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo),以避免不合理的風(fēng)險(xiǎn)。
注:以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的示例見附錄A。
6.2 安全目標(biāo)
通過危害分析和風(fēng)險(xiǎn)評(píng)估確定的驅(qū)動(dòng)電機(jī)系統(tǒng)的安全目標(biāo)及其屬性,應(yīng)至少包含表1所列的內(nèi)容。
表1 驅(qū)動(dòng)電機(jī)系統(tǒng)的安全目標(biāo)及其屬性
序號(hào) 安全目標(biāo) ASIL 安全狀態(tài) 故障容錯(cuò)時(shí)間間隔(FTTI)
1 防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩 A 發(fā)出警示 見7.1.3
2 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大 C 發(fā)出警示,終止轉(zhuǎn)矩輸出 見7.2.3
3 防止電機(jī)轉(zhuǎn)矩輸出方向反向 C 發(fā)出警示,終止轉(zhuǎn)矩輸出 見7.3.3
4 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩 C 發(fā)出警示,終止轉(zhuǎn)矩輸出 見7.4.3
5 防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩 A 發(fā)出警示 見7.5.3
6 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大 C 發(fā)出警示,終止轉(zhuǎn)矩輸出 見7.6.3
7 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩 C 發(fā)出警示,終止轉(zhuǎn)矩輸出 見7.7.3
注:發(fā)出警示,指的是驅(qū)動(dòng)電機(jī)系統(tǒng)發(fā)出故障標(biāo)志信息。整車端警示可由整車制造商做出定義。
如果出現(xiàn)與表1所列的要求不一致的情況,應(yīng)具備相應(yīng)的證據(jù)來證明驅(qū)動(dòng)電機(jī)系統(tǒng)不會(huì)因功能異常表現(xiàn)而導(dǎo)致不合理的整車危害風(fēng)險(xiǎn)。應(yīng)至少包括如下證據(jù):
a)考慮了全部整車危害風(fēng)險(xiǎn),并制定了合理的安全目標(biāo);
b)所制定的安全目標(biāo)針對(duì)目標(biāo)市場(chǎng)是適用和充分的。
7 功能安全要求
7.1 防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩
7.1.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)這些信號(hào)的正確性和完整性,當(dāng)檢測(cè)到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)避免無法輸出驅(qū)動(dòng)轉(zhuǎn)矩,除非對(duì)應(yīng)故障將導(dǎo)致更嚴(yán)重的整車危害。
當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值由最大加速能力、可達(dá)到的最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出,由整車制造商與軀動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
故障探測(cè)、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。
7.1.2 運(yùn)行模式
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于驅(qū)動(dòng)工作狀態(tài)。
7.1.3 故障容錯(cuò)時(shí)間間隔(FTTI)
無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖1所示,應(yīng)根據(jù)分析、測(cè)試等方式給出。
注1:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔的確定方法見附錄B。
注2:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
注3:降級(jí)可以是緊急運(yùn)行概念的一部分。
驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值
無安全機(jī)制
故障導(dǎo)致危害
故障容錯(cuò)時(shí)間間隔
驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值
探測(cè)到驅(qū)動(dòng)轉(zhuǎn)矩過低
進(jìn)入安全狀態(tài)
實(shí)施了安全機(jī)制
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
安全狀態(tài)
實(shí)施了具有緊急運(yùn)行的安全機(jī)制
驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值
探測(cè)到驅(qū)動(dòng)轉(zhuǎn)矩過低
進(jìn)入緊急運(yùn)行
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
緊急運(yùn)行時(shí)間間隔
安企狀態(tài)
圖1 無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔
7.1.4 安全狀態(tài)的進(jìn)入和退出
當(dāng)確認(rèn)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示來進(jìn)入安全狀態(tài),在無法輸出驅(qū)動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。
7.1.5 報(bào)警和降級(jí)概念
當(dāng)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。
7.2 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大
7.2.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)這些信號(hào)的正確性和完整性,當(dāng)檢測(cè)到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。
當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩過大的安全閾值由最大加速能力、可達(dá)到的最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出,由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
故障探測(cè)、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。
7.2.2 運(yùn)行模式
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。
7.2.3 故障容錯(cuò)時(shí)間間隔(FTTI)
非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔,如圖2所示,應(yīng)根據(jù)分析、測(cè)試等方式給出。
注:非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值
故障導(dǎo)致危害
無安全機(jī)制
故障容錯(cuò)時(shí)間間隔
非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩過大
實(shí)施了安全機(jī)制
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
安全狀態(tài)
實(shí)施了具有緊急運(yùn)行的安全機(jī)制
非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩過大
進(jìn)入緊急運(yùn)行
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
緊急運(yùn)行時(shí)間間隔
安全狀態(tài)
圖2 非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔
7.2.4 安全狀態(tài)的進(jìn)入和退出
當(dāng)確認(rèn)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài),在非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。
7.2.5 報(bào)警和降級(jí)概念
當(dāng)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大相關(guān)故障發(fā)生時(shí),在確保能進(jìn)入安全狀態(tài)的前提下,可先進(jìn)行轉(zhuǎn)矩降額等處理。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。
7.3 防止電機(jī)轉(zhuǎn)矩輸出方向反向
7.3.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)這些信號(hào)的正確性和完整性,當(dāng)檢測(cè)到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。
當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出轉(zhuǎn)矩方向與請(qǐng)求方向相反時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
故障探測(cè)、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。
7.3.2 運(yùn)行模式
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。
7.3.3 故障容錯(cuò)時(shí)間間隔(FTTI)
驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的故障容錯(cuò)時(shí)間間隔,如圖3所示,應(yīng)根據(jù)分析、測(cè)試等方式給出。
注:驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反
無安全機(jī)制
故障導(dǎo)致危害
故障容錯(cuò)時(shí)間間隔
轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反
探測(cè)到轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反
實(shí)施了安全機(jī)制
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
安全狀態(tài)
實(shí)施了具有緊急運(yùn)行的安全機(jī)制
轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反
探測(cè)到轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反
進(jìn)入緊急運(yùn)行
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
緊急運(yùn)行時(shí)間間隔
安全狀態(tài)
圖3 驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向的故障容錯(cuò)時(shí)間間隔
7.3.4 安全狀態(tài)的進(jìn)入和退出
當(dāng)確認(rèn)驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài),在驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。
7.3.5 報(bào)警和降級(jí)概念
當(dāng)驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。
7.4 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩
7.4.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)這些信號(hào)的正確性和完整性,當(dāng)檢測(cè)到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。
當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
故障探測(cè)、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。
7.4.2 運(yùn)行模式
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于非驅(qū)動(dòng)工作狀態(tài)且車輛處于靜止?fàn)顟B(tài)。
7.4.3 故障容錯(cuò)時(shí)間間隔(FTTI)
非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖4所示,應(yīng)根據(jù)分析、測(cè)試等方式給出。
注:非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值
故障導(dǎo)致危害
無安全機(jī)制
故障容錯(cuò)時(shí)間間隔
非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩
實(shí)施了安全機(jī)制
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
安全狀態(tài)
實(shí)施了具有緊急運(yùn)行的安全機(jī)制
非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩
進(jìn)入緊急運(yùn)行
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
緊急運(yùn)行時(shí)間間隔
安全狀態(tài)
圖4 非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔
7.4.4 安全狀態(tài)的進(jìn)入和退出
當(dāng)確認(rèn)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài),在非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。
7.4.5 報(bào)警和降級(jí)概念
當(dāng)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。
7.5 防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩
7.5.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)這些信號(hào)的正確性和完整性,當(dāng)檢測(cè)到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)避免無法輸出制動(dòng)轉(zhuǎn)矩,除非對(duì)應(yīng)故障將導(dǎo)致更嚴(yán)重的整車危害。
當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出制動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:無法輸出制動(dòng)轉(zhuǎn)矩的安全閾值由最大制動(dòng)能力等整車參數(shù)指標(biāo)推導(dǎo)得出,由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
故障探測(cè)、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。
7.5.2 運(yùn)行模式
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。
7.5.3 故障容錯(cuò)時(shí)間間隔(FTTI)
無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖5所示,應(yīng)根據(jù)分析、測(cè)試等方式給出。
注:無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
制動(dòng)轉(zhuǎn)矩低于安全閾值
無安全機(jī)制
故障導(dǎo)致危害
故障容錯(cuò)時(shí)間間隔
制動(dòng)轉(zhuǎn)矩低于安全閾值
探測(cè)到制動(dòng)轉(zhuǎn)矩過低
實(shí)施了安全機(jī)制
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)時(shí)間隔
安全狀態(tài)
實(shí)施了具有緊急運(yùn)行安全機(jī)制
制動(dòng)轉(zhuǎn)矩低于安全閾值
探測(cè)到制動(dòng)轉(zhuǎn)矩過低
進(jìn)入緊急運(yùn)行
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
緊急運(yùn)行時(shí)間間隔
安全狀態(tài)
圖5 無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔
7.5.4 安全狀態(tài)的進(jìn)入和退出
當(dāng)確認(rèn)無法輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示來進(jìn)入安全狀態(tài),在無法輸出制動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。
7.5.5 報(bào)警和降級(jí)概念
當(dāng)無法輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。
7.6 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大
7.6.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)這些信號(hào)的正確性和完整性,當(dāng)檢測(cè)到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。
當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出過大的制動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的安全閾值由整車質(zhì)量、運(yùn)行車速等整車參數(shù)指標(biāo)推導(dǎo)得出,由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
故障探測(cè)、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。
7.6.2 運(yùn)行模式
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。
7.6.3 故障容錯(cuò)時(shí)間間隔(FTTI)
非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔,如圖6所示,應(yīng)根據(jù)分析、測(cè)試等方式給出。
注:非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值
無安全機(jī)制
故障導(dǎo)致危害
故障容錯(cuò)時(shí)間間隔
非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出制動(dòng)轉(zhuǎn)矩過大
實(shí)施了安全機(jī)制
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
安全狀態(tài)
實(shí)施了具有緊急運(yùn)行的安全機(jī)制
非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出制動(dòng)轉(zhuǎn)矩過大
進(jìn)入緊急運(yùn)行
進(jìn)入安全狀態(tài)
圖6 非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔
7.6.4 安全狀態(tài)的進(jìn)入和退出
當(dāng)確認(rèn)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài),在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。
7.6.5 報(bào)警和降級(jí)概念
當(dāng)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大相關(guān)故障發(fā)生時(shí),在確保能進(jìn)入安全狀態(tài)的前提下,可先進(jìn)行制動(dòng)轉(zhuǎn)矩降額等處理。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。
7.7 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩
7.7.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)這些信號(hào)的正確性和完整性,當(dāng)檢測(cè)到異常時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。
當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的制動(dòng)轉(zhuǎn)矩高于安全閾值時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài),當(dāng)相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩的安全閾值由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
故障探測(cè)、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。
7.7.2 運(yùn)行模式
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于非制動(dòng)工作狀態(tài)且車輛處于靜止?fàn)顟B(tài)。
7.7.3 故障容錯(cuò)時(shí)間間隔(FTTI)
非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔,如圖7所示,應(yīng)根據(jù)分析、測(cè)試等方式給出。
注:非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。
非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值
無安全機(jī)制
故障導(dǎo)致危害
故障容錯(cuò)時(shí)間間隔
非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出制動(dòng)轉(zhuǎn)矩
實(shí)施了安全機(jī)制
進(jìn)入安全狀態(tài)
正常運(yùn)行
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
安全狀態(tài)
實(shí)施了具有緊急運(yùn)行的安全機(jī)制
非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值
探測(cè)到非預(yù)期輸出制動(dòng)轉(zhuǎn)矩
進(jìn)入緊急運(yùn)行
進(jìn)入安全狀態(tài)
正常運(yùn)行
緊急運(yùn)行時(shí)間間隔
故障探測(cè)時(shí)間間隔
故障響應(yīng)時(shí)間間隔
圖7 非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔
7.7.4 安全狀態(tài)的進(jìn)入和退出
當(dāng)確認(rèn)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài),在非預(yù)期輸出制動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
注:故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。
7.7.5 報(bào)警和降級(jí)概念
當(dāng)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí),驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。
8 功能安全驗(yàn)證和確認(rèn)
8.1 總體要求
功能安全驗(yàn)證是確定功能安全要求的完整性和正確性,應(yīng)在驅(qū)動(dòng)電機(jī)系統(tǒng)層面進(jìn)行驗(yàn)證,目的是證明功能安全要求:
a)與驗(yàn)證活動(dòng)的結(jié)果的一致性與符合性;
b)實(shí)現(xiàn)的正確性。
本文件主要給出基于測(cè)試的功能安全驗(yàn)證方法,測(cè)試可在模擬環(huán)境下進(jìn)行。真實(shí)環(huán)境下的測(cè)試,本文件不作具體要求。
功能安全確認(rèn)是確認(rèn)安全目標(biāo)得到充分實(shí)現(xiàn)且在系統(tǒng)及整車層面功能減輕或避免危害事件的發(fā)生。應(yīng)在驅(qū)動(dòng)電機(jī)系統(tǒng)或整車層面對(duì)功能安全目標(biāo)的實(shí)現(xiàn)進(jìn)行確認(rèn),目的包括:
a)證明安全目標(biāo)在整車層面的實(shí)現(xiàn)是正確的、完整的并得到完全實(shí)現(xiàn);
b)安全目標(biāo)能夠預(yù)防或減輕危害分析和風(fēng)險(xiǎn)評(píng)估中識(shí)別的危害事件及風(fēng)險(xiǎn)。
8.2 功能安全驗(yàn)證
8.2.1 防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩
8.2.1.1 測(cè)試目的
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),在無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
8.2.1.2 測(cè)試對(duì)象
測(cè)試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.2.1.3 測(cè)試要求
模擬環(huán)境下測(cè)試滿足如下要求:
a)影響測(cè)試對(duì)象功能并與測(cè)試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)測(cè)試應(yīng)針對(duì)7.1.2規(guī)定的運(yùn)行模式,所選擇的測(cè)試工況點(diǎn)應(yīng)至少包括電機(jī)在兩個(gè)象限(驅(qū)動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;
c)應(yīng)通過注入故障的方式進(jìn)行測(cè)試,注入的故障所引起的無法輸出驅(qū)動(dòng)轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;
d)測(cè)試應(yīng)使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),并發(fā)出報(bào)警信息;
e)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.2.1.4 測(cè)試結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測(cè)試:
a)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);
b)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);
c)測(cè)試對(duì)象未能發(fā)出正確的報(bào)警信息;
d)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。
8.2.1.5 測(cè)試通過準(zhǔn)則
測(cè)試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:
a)測(cè)試對(duì)象在注入故障后進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;
b)測(cè)試對(duì)象發(fā)出了正確的故障報(bào)警信息。
8.2.2 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大
8.2.2.1 測(cè)試目的
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)輸出轉(zhuǎn)矩狀態(tài),當(dāng)電機(jī)非預(yù)期的輸出過大的驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),在非預(yù)期的輸出過大的驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
8.2.2.2 測(cè)試對(duì)象
測(cè)試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.2.2.3 測(cè)試要求
模擬環(huán)境下測(cè)試滿足如下要求:
a)影響測(cè)試對(duì)象功能并與測(cè)試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)測(cè)試應(yīng)針對(duì)7.2.2規(guī)定的運(yùn)行模式,所選擇的測(cè)試工況點(diǎn)應(yīng)包括電機(jī)在兩個(gè)象限(驅(qū)動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等,以確保安全機(jī)制的有效性;
c)應(yīng)通過注入故障的方式進(jìn)行測(cè)試,注入的故障所引起的非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;
d)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行監(jiān)控;
e)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.2.2.4 測(cè)試結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測(cè)試:
a)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);
b)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);
c)測(cè)試對(duì)象未能發(fā)出正確的報(bào)警信息;
d)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。
8.2.2.5 測(cè)試通過準(zhǔn)則
測(cè)試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:
a)測(cè)試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;
b)測(cè)試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;
c)測(cè)試對(duì)象發(fā)出了正確的故障報(bào)警信息。
8.2.3 防止電機(jī)轉(zhuǎn)矩輸出方向相反
8.2.3.1 測(cè)試目的
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)輸出轉(zhuǎn)矩狀態(tài),當(dāng)電機(jī)轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),在電機(jī)轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
8.2.3.2 測(cè)試對(duì)象
測(cè)試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.2.3.3 測(cè)試要求
模擬環(huán)境下測(cè)試滿足如下要求:
a)影響測(cè)試對(duì)象功能并與測(cè)試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)測(cè)試應(yīng)針對(duì)7.3.2規(guī)定的運(yùn)行模式,所選擇的測(cè)試工況點(diǎn)應(yīng)至少包括電機(jī)在四個(gè)象限運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;
c)應(yīng)通過注入故障的方式進(jìn)行測(cè)試,注入的故障所引起的轉(zhuǎn)矩反向安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;
d)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行監(jiān)控;
e)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.2.3.4 測(cè)試結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測(cè)試:
a)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);
b)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);
c)測(cè)試對(duì)象未能發(fā)出正確的報(bào)警信息;
d)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。
8.2.3.5 測(cè)試通過準(zhǔn)則
測(cè)試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:
a)測(cè)試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;
b)測(cè)試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;
c)測(cè)試對(duì)象發(fā)出了正確的故障報(bào)警信息。
8.2.4 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩
8.2.4.1 測(cè)試目的
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)輸出轉(zhuǎn)矩狀態(tài),當(dāng)電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾
值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),在非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
8.2.4.2 測(cè)試對(duì)象
測(cè)試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.2.4.3 測(cè)試要求
模擬環(huán)境下測(cè)試滿足如下要求:
a)影響測(cè)試對(duì)象功能并與測(cè)試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)測(cè)試應(yīng)針對(duì)7.4.2規(guī)定的運(yùn)行模式,所選擇的測(cè)試工況點(diǎn)應(yīng)使得驅(qū)動(dòng)電機(jī)系統(tǒng)處于非驅(qū)動(dòng)且靜止的工作狀態(tài);
c)應(yīng)通過注入故障的方式進(jìn)行測(cè)試,注入的故障所引起的非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;
d)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行監(jiān)控;
e)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.2.4.4 測(cè)試結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測(cè)試:
a)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);
b)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);
c)測(cè)試對(duì)象未能發(fā)出正確的報(bào)警信息;
d)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。
8.2.4.5 測(cè)試通過準(zhǔn)則
測(cè)試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:
a)測(cè)試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;
b)測(cè)試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;
c)測(cè)試對(duì)象發(fā)出了正確的故障報(bào)警信息。
8.2.5 防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩
8.2.5.1 測(cè)試目的
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出制動(dòng)轉(zhuǎn)矩低于安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),在無法輸出制動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
8.2.5.2 測(cè)試對(duì)象
測(cè)試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.2.5.3 測(cè)試要求
模擬環(huán)境下測(cè)試滿足如下要求:
a)影響測(cè)試對(duì)象功能并與測(cè)試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)測(cè)試應(yīng)針對(duì)7.5.2規(guī)定的運(yùn)行模式,所選擇的測(cè)試工況點(diǎn)應(yīng)至少包括電機(jī)在兩個(gè)象限(制動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合,以確保安全機(jī)制的有效性;
c)應(yīng)通過注入故障的方式進(jìn)行測(cè)試,注入的故障所引起的無法輸出制動(dòng)轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;
d)測(cè)試應(yīng)使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),并發(fā)出報(bào)警信息;
e)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.2.5.4 測(cè)試結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測(cè)試:
a)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);
b)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);
c)測(cè)試對(duì)象未能發(fā)出正確的報(bào)警信息;
d)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。
8.2.5.5 測(cè)試通過準(zhǔn)則
測(cè)試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:
a)測(cè)試對(duì)象在注入故障后進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;
b)測(cè)試對(duì)象發(fā)出了正確的故障報(bào)警信息。
8.2.6 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大
8.2.6.1 測(cè)試目的
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出制動(dòng)轉(zhuǎn)矩超過安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
8.2.6.2 測(cè)試對(duì)象
測(cè)試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.2.6.3 測(cè)試要求
模擬環(huán)境下測(cè)試滿足如下要求:
a)影響測(cè)試對(duì)象功能并與測(cè)試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)測(cè)試應(yīng)針對(duì)7.6.2規(guī)定的運(yùn)行模式,所選擇的測(cè)試工況點(diǎn)應(yīng)包括電機(jī)在兩個(gè)象限(制動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況,且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn),例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等,以確保安全機(jī)制的有效性;
c)應(yīng)通過注入故障的方式進(jìn)行測(cè)試,注入的故障所引起的非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;
d)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行監(jiān)控;
e)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.2.6.4 測(cè)試結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測(cè)試:
a)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);
b)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);
c)測(cè)試對(duì)象未能發(fā)出正確的報(bào)警信息;
d)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。
8.2.6.5 測(cè)試通過準(zhǔn)則
測(cè)試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:
a)測(cè)試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;
b)測(cè)試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;
c)測(cè)試對(duì)象發(fā)出了正確的故障報(bào)警信息。
8.2.7 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩
8.2.7.1 測(cè)試目的
驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測(cè)輸出轉(zhuǎn)矩狀態(tài),當(dāng)輸出制動(dòng)轉(zhuǎn)矩超過安全閾值時(shí),使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài),在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí),不應(yīng)退出安全狀態(tài)。
8.2.7.2 測(cè)試對(duì)象
測(cè)試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.2.7.3 測(cè)試要求
模擬環(huán)境下測(cè)試滿足如下要求:
a)影響測(cè)試對(duì)象功能并與測(cè)試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)測(cè)試應(yīng)針對(duì)7.7.2規(guī)定的運(yùn)行模式,所選擇的測(cè)試工況點(diǎn)應(yīng)使得驅(qū)動(dòng)電機(jī)系統(tǒng)處于非制動(dòng)且靜止的工作狀態(tài);
c)應(yīng)通過注入故障的方式進(jìn)行測(cè)試,注入的故障所引起的非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型;
d)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行監(jiān)控;
e)測(cè)試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.2.7.4 測(cè)試結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束模擬環(huán)境下測(cè)試:
a)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài);
b)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài);
c)測(cè)試對(duì)象未能發(fā)出正確的報(bào)警信息;
d)測(cè)試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài)。
8.2.7.5 測(cè)試通過準(zhǔn)則
測(cè)試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件:
a)測(cè)試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求;
b)測(cè)試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值;
c)測(cè)試對(duì)象發(fā)出了正確的故障報(bào)警信息。
8.3 功能安全確認(rèn)
8.3.1 防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩
8.3.1.1 目的
確認(rèn)安全目標(biāo)“防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效發(fā)出關(guān)于電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩導(dǎo)致車輛驅(qū)動(dòng)力喪失的故障警示。
8.3.1.2 確認(rèn)對(duì)象
確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.3.1.3 確認(rèn)要求
a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況;
注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。
c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;
注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如不能輸出驅(qū)動(dòng)轉(zhuǎn)矩。
d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;
e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;
f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.3.1.4 確認(rèn)結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):
a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且發(fā)出故障警示車輛處于驅(qū)動(dòng)力喪失狀態(tài);
b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);
c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。
8.3.1.5 確認(rèn)通過準(zhǔn)則
確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且發(fā)出故障警示車輛處于驅(qū)動(dòng)力喪失狀態(tài)。
8.3.2 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大
8.3.2.1 目的
確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大導(dǎo)致車輛加速度過大。
8.3.2.2 確認(rèn)對(duì)象
確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.3.2.3 確認(rèn)要求
確認(rèn)滿足如下要求:
a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況;
注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。
c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;
注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大。
d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;
e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;
f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.3.2.4 確認(rèn)結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):
a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài):
b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);
c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。
8.3.2.5 確認(rèn)通過準(zhǔn)則
確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。
8.3.3 防止電機(jī)轉(zhuǎn)矩輸出方向反向
8.3.3.1 目的
確認(rèn)安全目標(biāo)“防止電機(jī)轉(zhuǎn)矩輸出方向反向”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)轉(zhuǎn)矩輸出方向反向?qū)е萝囕v加速度方向相反。
8.3.3.2 確認(rèn)對(duì)象
確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.3.3.3 確認(rèn)要求
確認(rèn)滿足如下要求:
a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況;
注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。
c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;
注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)轉(zhuǎn)矩輸出方向反向。
d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;
e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;
f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.3.3.4 確認(rèn)結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):
a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài);
b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);
c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。
8.3.3.5 確認(rèn)通過準(zhǔn)則
確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。
8.3.4 防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩
8.3.4.1 目的
確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩導(dǎo)致車輛從靜止?fàn)顟B(tài)非預(yù)期啟動(dòng)、車輛非預(yù)期的加速。
8.3.4.2 確認(rèn)對(duì)象
確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.3.4.3 確認(rèn)要求
確認(rèn)滿足如下要求:
a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況;
注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。
c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;
注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩。
d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;
e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;
f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.3.4.4 確認(rèn)結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):
a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài);
b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);
c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。
8.3.4.5 確認(rèn)通過準(zhǔn)則
確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。
8.3.5 防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩
8.3.5.1 目的
確認(rèn)安全目標(biāo)“防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩導(dǎo)致車輛減速度過小。
8.3.5.2 確認(rèn)對(duì)象
確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.3.5.3 確認(rèn)要求
確認(rèn)滿足如下要求:
a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況;
注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。
c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;
注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩。
d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;
e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;
f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.3.5.4 確認(rèn)結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):
a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),并且發(fā)出故障警示車輛處于制動(dòng)力降低狀態(tài);
b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);
c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。
8.3.5.5 確認(rèn)通過準(zhǔn)則
確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),并且發(fā)出故障警示車輛處于制動(dòng)力降低狀態(tài)。
8.3.6 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大
8.3.6.1 目的
確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大導(dǎo)致車輛減速度過大。
8.3.6.2 確認(rèn)對(duì)象
確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.3.6.3 確認(rèn)要求
確認(rèn)滿足如下要求:
a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況;
注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。
c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;
注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大。
d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;
e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;
f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.3.6.4 確認(rèn)結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):
a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài);
b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);
c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。
8.3.6.5 確認(rèn)通過準(zhǔn)則
確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。
8.3.7 防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩
8.3.7.1 目的
確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn),并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩導(dǎo)致車輛非預(yù)期倒車。
8.3.7.2 確認(rèn)對(duì)象
確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。
8.3.7.3 確認(rèn)要求
確認(rèn)滿足如下要求:
a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài);
b)確認(rèn)應(yīng)在整車層面進(jìn)行,至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng),基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況;
注:車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。
c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式;
注:典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常,如電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩。
d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控;確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控;
e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。
8.3.7.4 確認(rèn)結(jié)束條件
當(dāng)符合以下任一條件時(shí),結(jié)束確認(rèn):
a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),并無意外退出安全狀態(tài),且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài);
b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),意外退出安全狀態(tài);
c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。
8.3.7.5 確認(rèn)通過準(zhǔn)則
確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài),無意外退出安全狀態(tài),且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。
