GB/T 43254-2023英文版翻译 电动汽车用驱动电机系统功能安全要求及试验方法

发表于

ChinaAutoRegs|GB/T 43254-2023英文版翻译《电动汽车用驱动电机系统功能安全要求及试验方法》
Functional safety requirements and testing methods for drive motor system of electric vehicles

GBT 43254-2023 英文版翻译(样页预览)

CONTENTS

 

Foreword

1 Scope

2 Normative References

3 Terms and Definitions

4 General Requirements

5 Item Definition

6 Hazard Analysis and Risk Assessment (HARA)

7 Functional Safety Requirements

8 Verification and Validation of Functional Safety

Annex A (Informative) Example of Hazard Analysis and Risk Assessment (HARA) By Taking the Drive Motor System as the Item

Annex B (Informative) Example of Procedure for Determining the Fault Tolerant Time Interval (FTTI)

Bibliography

1范围
本文件规定了电动汽车用驱动电机系统(以下简称“驱动电机系统”)的功能安全要求及试验方法。
本文件适用于电动汽车用驱动电机系统,其他类型的驱动电机系统参照执行。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。
GB 18384—2020 电动汽车安全要求
GB/T 18488(所有部分)电动汽车用驱动电机系统
GB/T 34590.1〜34590.12—2022道路车辆功能安全
3术语和定义
GB/T 34590.1-2022界定的以及下列术语和定义适用于本文件。
3.1
驱动电机系统 drive motor system
安装在电动汽车上,为车辆行驶提供驱动力、实现机械能与电能间相互转化的系统。
注;包括驱动电机,驱动电机控制器及它们工作必需的辅助装置。辅助装置包含与驱动电机集成于一体的变速 装置。
[来源:GB/T 19596—2017,定义 3.1.2.1.10,有修改[
3.2
驱动电机 drive motor
将电能转换成机械能为车辆行驶提供驱动力的电气装置,该装置也具备机械能转化成电能的功能。
[来源:GB/T 19596—2017,定义 3.2.LL2.1,有修改[
3.3
驱动电机控制器 drive motor controller
控制动力电源与驱动电机之间能量传输的装置,由控制信号接口电路、驱动电机控制电路、驱动电 路功率电子模块等组成。
[来源:GB/T 19596—2017,定义 3.2.1.2,有修改[
4 一般要求
除非特别说明,驱动电机系统功能安全技术开发、流程开发等要求应按照GB/T 34590. 1 ~ 34590.12—2022 执行。
5相关项定义
5.1 总体要求
应按照GB/T 34590.3-2022的要求进行相关项定义,相关项指实现整车层面功能或部分功能的 系统或系统组合。
注:相关项及其范围根据具体情况定义。附录A给出了以驱动电机系统为相关项的功能概念和相关项边界和接口 示例。
5.2 功能概念
为满足车辆安全运行,确保车辆内部、外部人员以及车辆环境的安全,驱动电机系统应对驱动电机 的安全运行进行监控和保护。驱动电机系统的功能性要求还应满足GB/T 18488(所有部分)、 GB 18384—2020中的功能要求。
注;附录A给出了驱动电机系统输出驱动转矩、输出制动转矩的功能概念描述。
5.3 运行条件和环境约束
为满足车辆安全运行,需要明确相关项的运行条件及环境约束,可包含(如适用);
a)外部环境,例如温度、湿度、路况、天气等;
b)驱动电机系统处于驱动模式、制动模式、待机模式等,或者驱动电机系统处于工作状态或者非 工作状态;
c)相关项与整车其他相关项的依赖关系、接口关系等。
6危害分析和风险评估
6.1 总则
根据第5章相关项定义,按照GB/T 34590.3—2022,基于车辆使用场景,分析识别驱动电机系统中 因故障而引起的危害并对危害进行归类,定义相应的汽车安全完整性等级(ASIL),制定防止危害事件 发生或减轻危害程度的安全目标,以避免不合理的风险。
注:以驱动电机系统为相关项进行危害分析和风险评估的示例见附录A。
6.2 安全目标
通过危害分析和风险评估确定的驱动电机系统的安全目标及其属性,应至少包含表1所列的内容。
表1驱动电机系统的安全目标及其属性
如果出现与表1所列的要求不一致的情况,应具备相应的证据来证明驱动电机系统不会因功能异 常表现而导致不合理的整车危害风险。应至少包括如下证据:
a)考虑了全部整车危害风险,并制定了合理的安全目标;
b)所制定的安全目标针对目标市场是适用和充分的。
7功能安全要求
7.1防止电机无法输出驱动转矩
7.1.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故 障处理来避免违背安全目标。
驱动电机系统应避免无法输出驱动转矩,除非对应故障将导致更严重的整车危害。
当驱动电机系统输出驱动转矩低于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或 消除条件未满足时,不应退出安全状态。
注:无法输出驱动转矩的安全阈值由最大加速能力、可达到的最高车速等整车参数指标推导得出,由整车制造商与 驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.1.2 运行模式
驱动电机系统应处于驱动工作状态。
7.1.3 故障容错时间间隔(FTTI)
无法输出驱动转矩的故障容错时间间隔,如图1所示,应根据分析、测试等方式给出。
注1:无法输出驱动转矩的故障容错时间间隔的确定方法见附录B。
注2:无法输出驱动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
注3;降级可以是紧急运行概念的一部分。
7.1.4 安全状态的进入和退出
当确认无法输出驱动转矩的相关故障发生时,驱动电机系统通过发出故障警示来进入安全状态,在 无法输出驱动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.1.5 报警和降级概念
当无法输出驱动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.2防止电机非预期的输出驱动转矩过大
7.2.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故 障处理来避免违背安全目标。
当驱动电机系统非预期输出的驱动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相关故 障退出或消除条件未满足时,不应退出安全状态。
注:非预期输出的驱动转矩过大的安全阈值由最大加速能力、可达到的最高车速等整车参数指标推导得出,由整车 制造商与驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.2.2 运行模式
驱动电机系统应处于工作状态。
7.2.3 故障容错时间间隔(FTTI)
非预期的输出驱动转矩过大的故障容错时间间隔,如图2所示,应根据分析、测试等方式给出。
注:非预期的输出驱动转矩过大的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
1.1.4 安全状态的进入和退出
当确认非预期的输出驱动转矩过大的相关故障发生时,驱动电机系统应通过发出故障警示并终止 转矩输出来进入安全状态,在非预期的输出驱动转矩过大相关故障退出或消除条件未满足时,不应退出 安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
1.1.5 报警和降级概念
当非预期的输出驱动转矩过大相关故障发生时,在确保能进入安全状态的前提下,可先进行转矩降 额等处理。驱动电机系统应反馈故障标志信息。
7.3 防止电机转矩输出方向反向
7.3.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故 障处理来避免违背安全目标。
当驱动电机系统输出转矩方向与请求方向相反时,驱动电机系统应进入安全状态,当相关故障退出 或消除条件未满足时,不应退出安全状态。
故障探测、响应、处理应在FTTI时间内完成。
7.3.2 运行模式
驱动电机系统应处于工作状态。
7.3.3 故障容错时间间隔(FTH)
驱动电机输出转矩方向反向的故障容错时间间隔,如图3所示,应根据分析、测试等方式给出。 注:驱动电机输出转矩方向反向的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
7.3.4 安全状态的进入和退出
当确认驱动电机转矩输出方向反向的相关故障发生时,驱动电机系统通过发出故障警示并终止转 矩输出来进入安全状态,在驱动电机转矩输出方向反向相关故障退出或消除条件未满足时,不应退出安 全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.3.5 报警和降级概念
当驱动电机转矩输出方向反向的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.4 防止电机非预期的输出驱动转矩
7.4.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故 障处理来避免违背安全目标。
当驱动电机系统非预期输出的驱动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相关故
障退出或消除条件未满足时,不应退出安全状态。
注:非预期输出驱动转矩的安全阈值由整车制造商与驱动电机系统供应商协商确认。 故障探测、响应、处理应在FTTI时间内完成.
7.4.2 运行模式
驱动电机系统应处于非驱动工作状态且车辆处于静止状态。
7.4.3 故障容错时间间隔(FTH)
非预期输出驱动转矩的故障容错时间间隔,如图4所示,应根据分析、测试等方式给出。 注:非预期输出驱动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
7.4.4 安全状态的进入和退出
当确认非预期输出驱动转矩的相关故障发生时,驱动电机系统通过发出故障警示并终止转矩输出 来进入安全状态,在非预期输出驱动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.4.5 报警和降级概念
当非预期输出驱动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.5 防止电机无法输出制动转矩
7.5.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故
障处理来避免违背安全目标。
驱动电机系统应避免无法输出制动转矩,除非对应故障将导致更严重的整车危害。
当驱动电机系统输出制动转矩低于安全阈值时,驱动电机系统应进入安全状态,当相关故障退出或 消除条件未满足时,不应退出安全状态。
注:无法输出制动转矩的安全阚值由最大制动能力等整车参数指标推导得出,由整车制造商与驱动电机系统供应 商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.5.2 运行模式
驱动电机系统应处于工作状态。
7.5.3 故障容错时间间隔(FTTI)
无法输出制动转矩的故障容错时间间隔,如图5所示,应根据分析、测试等方式给出。 注:无法输出制动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
7.5.4 安全状态的进入和退出
当确认无法输出制动转矩的相关故障发生时,驱动电机系统通过发出故障警示来进入安全状态,在 无法输出制动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.5.5 报警和降级概念
当无法输出制动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
7.6 防止电机非预期的输出制动转矩过大
7.6.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故 障处理来避免违背安全目标。
当驱动电机系统非预期输出过大的制动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相 关故障退出或消除条件未满足时,不应退出安全状态。
注:非预期的输出制动转矩过大的安全阈值由整车质量、运行车速等整车参数指标推导得出,由整车制造商与驱动 电机系统供应商协商确认.
故障探测、响应、处理应在FTTI时间内完成。
7.6.2 运行模式
驱动电机系统应处于工作状态。
7.6.3 故障容错时间间隔(FTTI)
非预期的输出制动转矩过大的故障容错时间间隔,如图6所示,应根据分析、测试等方式给出。
注:非预期的输出制动转矩过大的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
7.6.4 安全状态的进入和退出
当确认非预期的输出制动转矩过大的相关故障发生时,驱动电机系统应通过发出故障警示并终止 转矩输出来进入安全状态,在非预期的输出制动转矩过大相关故障退出或消除条件未满足时,不应退出 安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.6.5 报警和降级概念
当非预期的输出制动转矩过大相关故障发生时,在确保能进入安全状态的前提下,可先进行制动转 矩降额等处理。驱动电机系统应反馈故障标志信息。
7.7 防止电机非预期的输出制动转矩
7.7.1 一般要求
整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。
驱动电机系统应检测这些信号的正确性和完整性,当检测到异常时,驱动电机系统应执行合理的故 障处理来避免违背安全目标。
当驱动电机系统非预期输出的制动转矩高于安全阈值时,驱动电机系统应进入安全状态,当相关故 障退出或消除条件未满足时,不应退出安全状态。
注:非预期的输出制动转矩的安全阈值由整车制造商与驱动电机系统供应商协商确认。
故障探测、响应、处理应在FTTI时间内完成。
7.7.2 运行模式
驱动电机系统应处于非制动工作状态且车辆处于静止状态。
7.7.3 故障容错时间间隔(FTTD
非预期输出制动转矩的故障容错时间间隔,如图7所示,应根据分析、测试等方式给出。
注:非预期输出制动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。
7.7.4 安全状态的进入和退出
当确认非预期输出制动转矩的相关故障发生时,驱动电机系统通过发出故障警示并终止转矩输出 来进入安全状态,在非预期输出制动转矩相关故障退出或消除条件未满足时,不应退出安全状态。
注:故障退出或消除条件由整车制造商与驱动电机系统供应商协商确定。
7.7.5 报警和降级概念
当非预期输出制动转矩的相关故障发生时,驱动电机系统应反馈故障标志信息。
8功能安全疆证和确认
8.1 总体要求
功能安全验证是确定功能安全要求的完整性和正确性,应在驱动电机系统层面进行验证,目的是证 明功能安全要求;
a)与验证活动的结果的一致性与符合性;
b)实现的正确性。
本文件主要给出基于测试的功能安全验证方法,测试可在模拟环境下进行。真实环境下的测试,本 文件不作具体要求。
功能安全确认是确认安全目标得到充分实现且在系统及整车层面功能减轻或避免危害事件的发 生。应在驱动电机系统或整车层面对功能安全目标的实现进行确认,目的包括:
a)证明安全目标在整车层面的实现是正确的、完整的并得到完全实现;
b)安全目标能够预防或减轻危害分析和风险评估中识别的危害事件及风险。
8.2 功能安全验证
8.2.1 防止电机无法输出驱动转矩
8.2.1.1 测试目的
驱动电机系统应检测输出转矩状态,当输出驱动转矩低于安全阈值时,使驱动电机系统进入安全状 态,在无法输出驱动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.1.2 测试对象
测试对象为驱动电机系统。
8.2.1.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.1.2规定的运行模式,所选择的测试工况点应至少包括电机在两个象限(驱动工 况对应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、 高转矩和高转速、低转矩和高转速等组合,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的无法输出驱动转矩值应至少包括低于 安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应使驱动电机系统进入安全状态,并发出报警信息;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.1.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试;
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.1.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后进入安全状态,并无意外退出安全状态,且从注入故障到进入安全状态 的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象发出了正确的故障报警信息。
8.2.2 防止电机非预期的输出驱动转矩过大
8.2.2.1 测试目的
驱动电机系统应检测输出转矩状态,当电机非预期的输出过大的驱动转矩超过安全阚值时,使驱动 电机系统进入安全状态,在非预期的输出过大的驱动转矩的故障退出或消除条件未满足时,不应退出安 全状态。
8.2.2.2 测试对象
测试对象为驱动电机系统。
8.2.2.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对722规定的运行模式,所选择的测试工况点应包括电机在两个象限(驱动工况对 应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转 矩和高转速、低转矩和高转速等,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期的输出驱动转矩值应至少包括 低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行 监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.2.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.2.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.3 防止电机转矩输出方向相反
8.2.3.1 测试目的
驱动电机系统应检测输出转矩状态,当电机转矩输出方向与请求方向相反时,使驱动电机系统进入 安全状态,在电机转矩输出方向与请求方向相反的故障退出或消除条件未满足时,不应退出安全状态。
8.2.3.2 测试对象
测试对象为驱动电机系统。
8.2.3.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.3.2规定的运行模式,所选择的测试工况点应至少包括电机在四个象限运行工 况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转矩和高转速’低转矩和 高转速等组合,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的转矩反向安全阈值应至少包括低于安 全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行 监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.3.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.3.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.4 防止电机非预期的输出驱动转矩
8.2.4.1 测试目的
驱动电机系统应检测输出转矩状态,当电机非预期的输出驱动转矩超过安全阈值时,使驱动电机系 统进入安全状态,在非预期的输出驱动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.4.2 测试对象
测试对象为驱动电机系统。
82.4.3测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对742规定的运行模式,所选择的测试工况点应使得驱动电机系统处于非驱动且 静止的工作状态;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期输出驱动转矩的安全阈值应至 少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行 监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.4.4测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
O测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.245测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.5防止电机无法输出制动转矩
1.1.1.1 测试目的
驱动电机系统应检测输出转矩状态,当输出制动转矩低于安全阈值时,使驱动电机系统进入安全状 态,在无法输出制动转矩的故障退出或消除条件未满足时,不应退出安全状态。
1.1.1.2 测试对象
测试对象为驱动电机系统。
1.1.1.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.5.2规定的运行模式,所选择的测试工况点应至少包括电机在两个象限(制动工 况对应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、 高转矩和高转速、低转矩和高转速等组合,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的无法输出制动转矩值应至少包括低于 安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应使驱动电机系统进入安全状态,并发出报警信息;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
1.1.1.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试;
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
1.1.1.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后进入安全状态,并无意外退出安全状态;且从注入故障到进入安全状态 的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象发出了正确的故障报警信息。
8.2.6 防止电机非预期的输出制动转矩过大
8.2.6.1 测试目的
驱动电机系统应检测输出转矩状态,当输出制动转矩超过安全阚值时,使驱动电机系统进入安全状 态,在非预期的输出制动转矩过大的故障退出或消除条件未满足时,不应退出安全状态。
8.2.6.2 测试对象
测试对象为驱动电机系统。
8.2.6.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.6.2规定的运行模式,所选择的测试工况点应包括电机在两个象限(制动工况对 应的两个象限)运行工况,且在每个象限内应选取典型的工作点,例如低转矩和低转速、高转 矩和高转速、低转矩和高转速等,以确保安全机制的有效性;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期的输出制动转矩过大安全阈值 应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行
15
监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.6.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.6.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.2.7 防止电机非预期的输出制动转矩
8.2.7.1 测试目的
驱动电机系统应检测输出转矩状态,当输出制动转矩超过安全阈值时,使驱动电机系统进入安全状 态,在非预期的输出制动转矩的故障退出或消除条件未满足时,不应退出安全状态。
8.2.7.2 测试对象
测试对象为驱动电机系统。
8.2.7.3 测试要求
模拟环境下测试满足如下要求:
a)影响测试对象功能并与测试结果相关的所有设备都应处于正常运行状态;
b)测试应针对7.7.2规定的运行模式,所选择的测试工况点应使得驱动电机系统处于非制动且 静止的工作状态;
c)应通过注入故障的方式进行测试,注入的故障所引起的非预期输出制动转矩的安全阈值应至 少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型;
d)测试应对驱动电机系统进入安全状态的过程(例如安全阈值、时间、状态切换、报警信息)进行 监控;
e)测试应对驱动电机系统退出安全状态的条件进行监控。
8.2.7.4 测试结束条件
当符合以下任一条件时,结束模拟环境下测试:
a)测试对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态;
b)测试对象在故障容错时间间隔内未进入安全状态;
c)测试对象未能发出正确的报警信息;
d)测试对象在故障容错时间间隔内进入安全状态,意外退出安全状态。
8.2.7.5 测试通过准则
测试通过准则应同时满足如下条件:
a)测试对象在注入故障后可以进入安全状态,并无意外退出安全状态,且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求;
b)测试对象进入安全状态时的转矩满足设计要求的安全阈值;
c)测试对象发出了正确的故障报警信息。
8.3功能安全确认
8.3.1 防止电机无法输出驱动转矩
8.3.1.1 目的
确认安全目标“防止电机无法输出驱动转矩”得到正确实现,并能够有效发出关于电机无法输出驱 动转矩导致车辆驱动力丧失的故障警示。
8.3.1.2 确认对象
确认对象为驱动电机系统。
8.3.1.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况.
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如不能输出驱动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阚值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.1.4 确认结京条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示车 辆处于驱动力丧失状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.1.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示车辆处于 驱动力丧失状态。
8.3.2 防止电机非预期的输出驱动转矩过大
8.3.2.1 目的
确认安全目标“防止电机非预期的输出驱动转矩过大”得到正确实现,并能够有效预防由于电机非 预期的输出驱动转矩过大导致车辆加速度过大。
8.3.2.2 确认对象
确认对象为驱动电机系统。
8.3.2.3 确认要求
确认满足如下要求:
a) 影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况;
注;车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出驱动转矩 过大。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值,时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.2.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,且发出故障警示车辆 处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态.
8.3.2.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,且发出故障警示车辆处于终 止转矩输出状态。
8.3.3 防止电机转矩输出方向反向
8.3.3.1 目的
确认安全目标“防止电机转矩输出方向反向”得到正确实现,并能够有效预防由于电机转矩输出方 向反向导致车辆加速度方向相反。
8.3.3.2 确认对象
确认对象为驱动电机系统。
8.3.3.3 确认要求
确认满足如下要求:
18
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机转矩输出方向反向。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.3.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示且 车辆处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.3.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示且车辆处 于终止转矩输出状态。
8.3.4 防止电机非预期的输出驱动转矩
8.3.4.1 目的
确认安全目标“防止电机非预期的输出驱动转矩”得到正确实现,并能够有效预防由于电机非预期 的输出驱动转矩导致车辆从静止状态非预期启动、车辆非预期的加速。
8.3.4.2 确认对象
确认对象为驱动电机系统。
8.3.4.3 确认要求
确认满足如下要求:
a)影响确认对象功熊并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出驱动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.4.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示且 车辆处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.4.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示且车辆处 于终止转矩输出状态。
8.3.5 防止电机无法输出制动转矩
8.3.5.1 目的
确认安全目标“防止电机无法输出制动转矩”得到正确实现,并能够有效预防由于电机无法输出制 动转矩导致车辆减速度过小。
8.3.5.2 确认对象
确认对象为驱动电机系统。
8.3.5.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机无法输出制动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.5.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示车 辆处于制动力降低状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态.
8.3.5.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,并且发出故障警示车辆处于 制动力降低状态。
8.3.6 防止电机非预期的输出制动转矩过大
8.3.6.1 目的
确认安全目标“防止电机非预期的输出制动转矩过大”得到正确实现,并能够有效预防由于电机非
20
预期的输出制动转矩过大导致车辆减速度过大。
8.3.S.2确认对象
确认对象为驱动电机系统。
8.3.6.3 确认要求
确认满足如下要求:
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态;
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出制动转矩 过大。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;
e)确认应对驱动电机系统的状态进行监控;
f)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.6.4 确认结京条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,且发出故障警示车辆 处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.6.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,且发出故障警示车辆处于终 止转矩输出状态。
8.3.7 防止电机非预期的输出制动转矩
8.3.7.1 目的
确认安全目标“防止电机非预期的输出制动转矩”得到正确实现,并能够有效预防由于电机非预期 的输出制动转矩导致车辆非预期倒车。
8.3.7.2 确认对象
确认对象为驱动电机系统。
8.3.7.3 确认要求
确认满足如下要求;
a)影响确认对象功能并与确认结果相关的所有设备都应处于正常运行状态’
b)确认应在整车层面进行,至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况;
注:车辆的实际工况至少包含危害分析和风险评估中最严苛工况。
c)确认应包含违背安全目标的典型失效模式;
注:典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机非预期的输出制动转矩。
d)确认应对驱动电机系统进入安全状态的过程(例如安全阈值、时间和状态切换)进行监控;确 认应对驱动电机系统的状态进行监控;
e)确认应对驱动电机系统退出安全状态的条件进行监控。
8.3.7.4 确认结束条件
当符合以下任一条件时,结束确认:
a)确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,且发出故障警示车辆 处于终止转矩输出状态;
b)确认对象在故障容错时间间隔内进入安全状态,意外退出安全状态;
c)确认对象在故障容错时间间隔内未进入安全状态。
8.3.7.5 确认通过准则
确认对象在故障容错时间间隔内进入安全状态,无意外退出安全状态,且发出故障警示车辆处于终 止转矩输出状态。

现成译文,到款即发。
任取样页验证译文质量。
提供正规增值税电子发票。
请联系手机/微信: 13306496964/Email: standardtrans@foxmail.com 获取完整译文。
本英文译本为纯人工专业精翻版本,保证语法术语准确率和专业度!
专业源于专注|ChinaAutoRegs 始终专注于汽车标准翻译领域!迄今为止已翻译上千个国内外汽车标准法规!独家打造千万级汽车专业术语库和记忆库。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注