GBT 43254-2023 電動汽車用驅(qū)動電機系統(tǒng)功能安全要求及試驗方法

電動汽車用驅(qū)動電機系統(tǒng)功能安全要求及試驗方法2023-11-27發(fā)布國家標準化管理委員會I前言 12規(guī)范性引用文件 13術(shù)語和定義 l4一般要求 15相關(guān)項定義 25.1總體要求 25.2功能概念 25.3運行條件和環(huán)境約束 26危害分析和風險評估 26.1總則 26.2安全目標 27功能安全要求 37.1防止電機無法輸出驅(qū)動轉(zhuǎn)矩 37.2防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大 47.3防止電機轉(zhuǎn)矩輸出方向反向 57.4防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩 67.5防止電機無法輸出制動轉(zhuǎn)矩 77.6防止電機非預(yù)期的輸出制動轉(zhuǎn)矩過大 97.7防止電機非預(yù)期的輸出制動轉(zhuǎn)矩 8功能安全驗證和確認 8.1總體要求 8.2功能安全驗證 8.3功能安全確認 附錄A(資料性)以驅(qū)動電機系統(tǒng)為相關(guān)項的危害分析和風險評估(HARA)示例 23A.1相關(guān)項定義 A.2相關(guān)項在整車層面上的危害識別 A.3場景分析 A.4ASIL等級的導出 A.5安全目標和安全狀態(tài) 附錄B(資料性)故障容錯時間間隔(FTTI)確定方法示例 B.1故障容錯時間間隔的定義說明 B.2電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大故障FTTI定義示例 參考文獻 ⅢGB/T43254—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標準化技術(shù)委員會(SAC/TC114)歸口。本文件起草單位：中國汽車技術(shù)研究中心有限公司、泛亞汽車技術(shù)中心有限公司、中國長安汽車集團有限公司、蘇州匯川聯(lián)合動力系統(tǒng)有限公司、極氪汽車(寧波杭州灣新區(qū))有限公司、株洲中車時代電氣股份有限公司、北京汽車研究總院有限公司、合肥巨一動力系統(tǒng)有限公司、中汽研新能源汽車檢驗中心(天津)有限公司、上海大郡動力控制技術(shù)有限公司、中車時代電動汽車股份有限公司、中國第一汽車股份有限公司、上海海拉電子有限公司、蔚來汽車(安徽)有限公司、比亞迪汽車工業(yè)有限公司、廣州汽車集團股份有限公司、重慶長安新能源汽車科技有限公司、上海友道智途科技有限公司、上海汽車電驅(qū)動有限公司、華為數(shù)字能源技術(shù)有限公司、蜂巢傳動系統(tǒng)(江蘇)有限公司、舍弗勒(中國)有限公司、上海汽車集團股份有限公司技術(shù)中心、深圳市英威騰電動汽車驅(qū)動技術(shù)有限公司、華域麥格納電驅(qū)動系統(tǒng)有限公司、上海金脈電子科技有限公司、一汽-大眾汽車有限公司、上汽大眾汽車有限公司、緯湃科技投資(中國)有限公司、中汽創(chuàng)智科技有限公司、聯(lián)合汽車電子有限公司、采埃孚(中國)投資有限公司、吉利汽車研究院(寧波)有限公司、嵐圖汽車科技有限公司、廣東美的白色家電技術(shù)創(chuàng)新中心有限公司、上汽通用五菱汽車股份有限公司、合眾新能源汽車有限公司、北京車和家汽車科技有限公司、智馬達汽車有限公司。1電動汽車用驅(qū)動電機系統(tǒng)功能安全要求及試驗方法1范圍本文件規(guī)定了電動汽車用驅(qū)動電機系統(tǒng)(以下簡稱“驅(qū)動電機系統(tǒng)”)的功能安全要求及試驗方法。本文件適用于電動汽車用驅(qū)動電機系統(tǒng)，其他類型的驅(qū)動電機系統(tǒng)參照執(zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB18384—2020電動汽車安全要求GB/T18488(所有部分)電動汽車用驅(qū)動電機系統(tǒng)GB/T34590.1～34590.12—2022道路車輛功能安全3術(shù)語和定義GB/T34590.1—2022界定的以及下列術(shù)語和定義適用于本文件。驅(qū)動電機系統(tǒng)drivemotorsystem安裝在電動汽車上，為車輛行駛提供驅(qū)動力、實現(xiàn)機械能與電能間相互轉(zhuǎn)化的系統(tǒng)。注：包括驅(qū)動電機，驅(qū)動電機控制器及它們工作必需的輔助裝置。輔助裝置包含與驅(qū)動電機集成于一體的變速裝置。[來源：GB/T19596—2017,定義3.1.2.1.10,有驅(qū)動電機drivemotor將電能轉(zhuǎn)換成機械能為車輛行駛提供驅(qū)動力的電氣裝置，該裝置也具備機械能轉(zhuǎn)化成電能的功能?？刂苿恿﹄娫磁c驅(qū)動電機之間能量傳輸?shù)难b置，由控制信號接口電路、驅(qū)動電機控制電路、驅(qū)動電路功率電子模塊等組成。[來源：GB/T19596—2017,定4一般要求除非特別說明，驅(qū)動電機系統(tǒng)功能安全技術(shù)開發(fā)、流程開發(fā)等要求應(yīng)按照GB/T34590.1~34590.12—2022執(zhí)行。25相關(guān)項定義5.1總體要求應(yīng)按照GB/T34590.3—2022的要求進行相關(guān)項定義，相關(guān)項指實現(xiàn)整車層面功能或部分功能的系統(tǒng)或系統(tǒng)組合。注：相關(guān)項及其范圍根據(jù)具體情況定義。附錄A給出了以驅(qū)動電機系統(tǒng)為相關(guān)項的功能概念和相關(guān)項邊界和接口示例。5.2功能概念為滿足車輛安全運行，確保車輛內(nèi)部、外部人員以及車輛環(huán)境的安全，驅(qū)動電機系統(tǒng)應(yīng)對驅(qū)動電機的安全運行進行監(jiān)控和保護。驅(qū)動電機系統(tǒng)的功能性要求還應(yīng)滿足GB/T18488(所有部分)、GB18384—2020中的功能要求。注：附錄A給出了驅(qū)動電機系統(tǒng)輸出驅(qū)動轉(zhuǎn)矩、輸出制動轉(zhuǎn)矩的功能概念描述。5.3運行條件和環(huán)境約束為滿足車輛安全運行，需要明確相關(guān)項的運行條件及環(huán)境約束，可包含(如適用):b)驅(qū)動電機系統(tǒng)處于驅(qū)動模式、制動模式、待機模式等，或者驅(qū)動電機系統(tǒng)處于工作狀態(tài)或者非工作狀態(tài)；c)相關(guān)項與整車其他相關(guān)項的依賴關(guān)系、接口關(guān)系等。6危害分析和風險評估根據(jù)第5章相關(guān)項定義，按照GB/T34590.3—2022,基于車輛使用場景，分析識別驅(qū)動電機系統(tǒng)中因故障而引起的危害并對危害進行歸類，定義相應(yīng)的汽車安全完整性等級(ASIL),制定防止危害事件發(fā)生或減輕危害程度的安全目標，以避免不合理的風險。注：以驅(qū)動電機系統(tǒng)為相關(guān)項進行危害分析和風險評估的示例見附錄A。6.2安全目標通過危害分析和風險評估確定的驅(qū)動電機系統(tǒng)的安全目標及其屬性，應(yīng)至少包含表1所列的內(nèi)容。表1驅(qū)動電機系統(tǒng)的安全目標及其屬性序號安全目標ASIL安全狀態(tài)故障容錯時間間隔(FTTI)1防止電機無法輸出驅(qū)動轉(zhuǎn)矩A發(fā)出警示見7.1.32防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.2.33防止電機轉(zhuǎn)矩輸出方向反向C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.3.34防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.4.35防止電機無法輸出制動轉(zhuǎn)矩A發(fā)出警示見7.5.36防止電機非預(yù)期的輸出制動轉(zhuǎn)矩過大C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.6.37防止電機非預(yù)期的輸出制動轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.7.3注：發(fā)出警示，指的是驅(qū)動電機系統(tǒng)發(fā)出故障標志信息。整車端警示可由整車制造商做出定義。3如果出現(xiàn)與表1所列的要求不一致的情況，應(yīng)具備相應(yīng)的證據(jù)來證明驅(qū)動電機系統(tǒng)不會因功能異常表現(xiàn)而導致不合理的整車危害風險。應(yīng)至少包括如下證據(jù)：a)考慮了全部整車危害風險，并制定了合理的安全目標；b)所制定的安全目標針對目標市場是適用和充分的。7功能安全要求7.1防止電機無法輸出驅(qū)動轉(zhuǎn)矩7.1.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動電機控制器(MCU)的工作模式請求、轉(zhuǎn)矩指令等信號的正確性和完整性。驅(qū)動電機系統(tǒng)應(yīng)檢測這些信號的正確性和完整性，當檢測到異常時，驅(qū)動電機系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標。驅(qū)動電機系統(tǒng)應(yīng)避免無法輸出驅(qū)動轉(zhuǎn)矩，除非對應(yīng)故障將導致更嚴重的整車危害。當驅(qū)動電機系統(tǒng)輸出驅(qū)動轉(zhuǎn)矩低于安全閾值時，驅(qū)動電機系統(tǒng)應(yīng)進入安全狀態(tài)，當相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：無法輸出驅(qū)動轉(zhuǎn)矩的安全閾值由最大加速能力、可達到的最高車速等整車參數(shù)指標推導得出，由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。7.1.2運行模式驅(qū)動電機系統(tǒng)應(yīng)處于驅(qū)動工作狀態(tài)。7.1.3故障容錯時間間隔(FTTI)無法輸出驅(qū)動轉(zhuǎn)矩的故障容錯時間間隔，如圖1所示，應(yīng)根據(jù)分析、測試等方式給出。注1:無法輸出驅(qū)動轉(zhuǎn)矩的故障容錯時間間隔的確定方法見附錄B。注2:無法輸出驅(qū)動轉(zhuǎn)矩的故障容錯時間間隔由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。注3:降級可以是緊急運行概念的一部分。4驅(qū)動轉(zhuǎn)矩低于驅(qū)動轉(zhuǎn)矩低于安全閾值故障容鋯時問間隔驅(qū)動轉(zhuǎn)矩低于安全閾值實施了安全機制正常運行故障操測時間間隔故障響應(yīng)時問間隔安全狀態(tài)實施了具有緊急運行的安全機制進入緊急運行f正常運行故障探測時問問隔故障響應(yīng)時問問隔緊急塔行時問問隔驅(qū)動轉(zhuǎn)矩低于安全闕值探測到驅(qū)動轉(zhuǎn)矩過低探測到驅(qū)動轉(zhuǎn)矩過低進入安全狀態(tài)收障導致危害進入安全狀態(tài)無安企機制安全狀態(tài)圖1無法輸出驅(qū)動轉(zhuǎn)矩的故障容錯時間間隔7.1.4安全狀態(tài)的進入和退出當確認無法輸出驅(qū)動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)通過發(fā)出故障警示來進入安全狀態(tài)，在無法輸出驅(qū)動轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確定。7.1.5報警和降級概念當無法輸出驅(qū)動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)應(yīng)反饋故障標志信息。7.2防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動電機控制器(MCU)的工作模式請求、轉(zhuǎn)矩指令等信號的正確性和完整性。驅(qū)動電機系統(tǒng)應(yīng)檢測這些信號的正確性和完整性，當檢測到異常時，驅(qū)動電機系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標。當驅(qū)動電機系統(tǒng)非預(yù)期輸出的驅(qū)動轉(zhuǎn)矩高于安全閾值時，驅(qū)動電機系統(tǒng)應(yīng)進入安全狀態(tài)，當相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：非預(yù)期輸出的驅(qū)動轉(zhuǎn)矩過大的安全閾值由最大加速能力、可達到的最高車速等整車參數(shù)指標推導得出，由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。驅(qū)動電機系統(tǒng)應(yīng)處于工作狀態(tài)。57.2.3故障容錯時間間隔(FTTI)非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大的故障容錯時間間隔，如圖2所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大的故障容錯時間間隔由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。非預(yù)期輸出驅(qū)動轉(zhuǎn)非預(yù)期輸出驅(qū)動轉(zhuǎn)矩超過安全闕值無安全機制故障導致危害故障容錯時間間隔非預(yù)期輸出驅(qū)動轉(zhuǎn)實施了安全機制正常運行故障探測時間間隔故障響應(yīng)時間間隔安全狀態(tài)實施了具有緊急壇行的安全機制進入緊急運行正常運行故障探測時問問隔故障響應(yīng)時問間隔緊急運行時間間隔安全狀態(tài)非預(yù)期輸出驅(qū)動轉(zhuǎn)短超過安全闕值探測到非預(yù)期輸出驅(qū)動轉(zhuǎn)矩過大探測到非預(yù)期輸山驅(qū)動轉(zhuǎn)矩過人進入安全狀態(tài)進入安全狀態(tài)圖2非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大的故障容錯時間間隔7.2.4安全狀態(tài)的進入和退出當確認非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)應(yīng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進入安全狀態(tài)，在非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確定。7.2.5報警和降級概念當非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大相關(guān)故障發(fā)生時，在確保能進入安全狀態(tài)的前提下，可先進行轉(zhuǎn)矩降額等處理。驅(qū)動電機系統(tǒng)應(yīng)反饋故障標志信息。7.3防止電機轉(zhuǎn)矩輸出方向反向7.3.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動電機控制器(MCU)的工作模式請求、轉(zhuǎn)矩指令等信號的正確性和完整性。驅(qū)動電機系統(tǒng)應(yīng)檢測這些信號的正確性和完整性，當檢測到異常時，驅(qū)動電機系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標。當驅(qū)動電機系統(tǒng)輸出轉(zhuǎn)矩方向與請求方向相反時，驅(qū)動電機系統(tǒng)應(yīng)進入安全狀態(tài)，當相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。6驅(qū)動電機系統(tǒng)應(yīng)處于工作狀態(tài)。7.3.3故障容錯時間間隔(FTTI)驅(qū)動電機輸出轉(zhuǎn)矩方向反向的故障容錯時間間隔，如圖3所示，應(yīng)根據(jù)分析、測試等方式給出。注：驅(qū)動電機輸出轉(zhuǎn)矩方向反向的故障容錯時間間隔由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。求方向相反故障容錯時問間隔正常運行故障探測時間間隔故障響應(yīng)時間間隔安全狀態(tài)實施了具有緊急運行的安全機制進入緊急運行—■正常運行探測到轉(zhuǎn)矩輸出方求方向相反轉(zhuǎn)矩輸出方向請求方向相反故障響應(yīng)時間間隔故障探測時間間隔緊急運行時間間隔實施了安全機制進入安全狀態(tài)進入安全狀態(tài)故障導致危害無安全機制安全狀念圖3驅(qū)動電機轉(zhuǎn)矩輸出方向反向的故障容錯時間間隔7.3.4安全狀態(tài)的進入和退出當確認驅(qū)動電機轉(zhuǎn)矩輸出方向反向的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進入安全狀態(tài)，在驅(qū)動電機轉(zhuǎn)矩輸出方向反向相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確定。7.3.5報警和降級概念當驅(qū)動電機轉(zhuǎn)矩輸出方向反向的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)應(yīng)反饋故障標志信息。7.4防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動電機控制器(MCU)的工作模式請求、轉(zhuǎn)矩指令等信號的正確性和完整性。驅(qū)動電機系統(tǒng)應(yīng)檢測這些信號的正確性和完整性，當檢測到異常時，驅(qū)動電機系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標。當驅(qū)動電機系統(tǒng)非預(yù)期輸出的驅(qū)動轉(zhuǎn)矩高于安全閾值時，驅(qū)動電機系統(tǒng)應(yīng)進入安全狀態(tài)，當相關(guān)故7障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：非預(yù)期輸出驅(qū)動轉(zhuǎn)矩的安全閾值由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。7.4.2運行模式驅(qū)動電機系統(tǒng)應(yīng)處于非驅(qū)動工作狀態(tài)且車輛處于靜止狀態(tài)。7.4.3故障容錯時間間隔(FTTI)非預(yù)期輸出驅(qū)動轉(zhuǎn)矩的故障容錯時間間隔，如圖4所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期輸出驅(qū)動轉(zhuǎn)矩的故障容錯時間間隔由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。非預(yù)期輸出驅(qū)動轉(zhuǎn)非預(yù)期輸出驅(qū)動轉(zhuǎn)矩超過安全閾值無安全機制故障容錯時問問隔非預(yù)期輸出驅(qū)動轉(zhuǎn)矩超過安全閾值正常運行故障探測時間間隔故障響應(yīng)時間間隔安全狀態(tài)實施了其有緊急塔行的安全機制進入緊急運行正常運行故障探測時間間隔故障響應(yīng)時間間隔緊急運行時間間隔安全狀態(tài)驅(qū)動轉(zhuǎn)矩非預(yù)期輸出驅(qū)動轉(zhuǎn)矩超過安全閾值探測到非預(yù)期輸出驅(qū)動轉(zhuǎn)矩實施了安全機制故障導致危害進入安全狀態(tài)進入安全狀態(tài)圖4非預(yù)期輸出驅(qū)動轉(zhuǎn)矩的故障容錯時間間隔7.4.4安全狀態(tài)的進入和退出當確認非預(yù)期輸出驅(qū)動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進入安全狀態(tài)，在非預(yù)期輸出驅(qū)動轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確定。7.4.5報警和降級概念當非預(yù)期輸出驅(qū)動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)應(yīng)反饋故障標志信息。7.5防止電機無法輸出制動轉(zhuǎn)矩7.5.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動電機控制器(MCU)的工作模式請求、轉(zhuǎn)矩指令等信號的正確性和完整性。驅(qū)動電機系統(tǒng)應(yīng)檢測這些信號的正確性和完整性，當檢測到異常時，驅(qū)動電機系統(tǒng)應(yīng)執(zhí)行合理的故8障處理來避免違背安全目標。驅(qū)動電機系統(tǒng)應(yīng)避免無法輸出制動轉(zhuǎn)矩，除非對應(yīng)故障將導致更嚴重的整車危害。當驅(qū)動電機系統(tǒng)輸出制動轉(zhuǎn)矩低于安全閾值時，驅(qū)動電機系統(tǒng)應(yīng)進入安全狀態(tài)，當相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：無法輸出制動轉(zhuǎn)矩的安全閾值由最大制動能力等整車參數(shù)指標推導得出，由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。驅(qū)動電機系統(tǒng)應(yīng)處于工作狀態(tài)。無法輸出制動轉(zhuǎn)矩的故障容錯時間間隔，如圖5所示，應(yīng)根據(jù)分析、測試等方式給出。注：無法輸出制動轉(zhuǎn)矩的故障容錯時間間隔由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。制動轉(zhuǎn)矩低于制動轉(zhuǎn)矩低于安全閾值故障容錯時間間隔制動轉(zhuǎn)矩低丁安全閾值正常運行故障探測時間間隔故障響應(yīng)時間間隔安全狀態(tài)實施了具有紫急運行安全機制正常運行故障探測時間間隔故障響應(yīng)時間間隔緊急運行時間間隔安全狀態(tài)安全閾值探測到制動轉(zhuǎn)矩過低操測到制動轉(zhuǎn)矩過低實施了安全機制故障導致危害進入安全狀態(tài)進入安全狀態(tài)圖5無法輸出制動轉(zhuǎn)矩的故障容錯時間間隔7.5.4安全狀態(tài)的進入和退出當確認無法輸出制動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)通過發(fā)出故障警示來進入安全狀態(tài)，在無法輸出制動轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確定。7.5.5報警和降級概念當無法輸出制動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)應(yīng)反饋故障標志信息。97.6防止電機非預(yù)期的輸出制動轉(zhuǎn)矩過大7.6.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動電機控制器(MCU)的工作模式請求、轉(zhuǎn)矩指令等信號的正確性和完整性。驅(qū)動電機系統(tǒng)應(yīng)檢測這些信號的正確性和完整性，當檢測到異常時，驅(qū)動電機系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標。當驅(qū)動電機系統(tǒng)非預(yù)期輸出過大的制動轉(zhuǎn)矩高于安全閾值時，驅(qū)動電機系統(tǒng)應(yīng)進入安全狀態(tài)，當相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：非預(yù)期的輸出制動轉(zhuǎn)矩過大的安全閾值由整車質(zhì)量、運行車速等整車參數(shù)指標推導得出，由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。7.6.2運行模式驅(qū)動電機系統(tǒng)應(yīng)處于工作狀態(tài)。7.6.3故障容錯時間間隔(FTTI)非預(yù)期的輸出制動轉(zhuǎn)矩過大的故障容錯時間間隔，如圖6所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期的輸出制動轉(zhuǎn)矩過大的故障容錯時間間隔由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。非預(yù)期輸出制動轉(zhuǎn)非預(yù)期輸出制動轉(zhuǎn)矩超過安全閾值無安全機制故障容錯時間間隔非預(yù)期輸出制動轉(zhuǎn)矩超過安全閾值正帶運行故障探測時問間踞故障響應(yīng)時間間隔安全狀態(tài)實施了具有緊急運行的安全機制故障探測時問間隔:非預(yù)期輸小制動轉(zhuǎn)矩超過安全閾們探測到非預(yù)切輸出探測到非預(yù)期輸故障響應(yīng)時間間隔緊急運行時間間隔實施了安全機制進入安全狀態(tài)故障導致危害安全狀態(tài)正常運行圖6非預(yù)期的輸出制動轉(zhuǎn)矩過大的故障容錯時間間隔7.6.4安全狀態(tài)的進入和退出當確認非預(yù)期的輸出制動轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)應(yīng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進入安全狀態(tài)，在非預(yù)期的輸出制動轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確定。7.6.5報警和降級概念當非預(yù)期的輸出制動轉(zhuǎn)矩過大相關(guān)故障發(fā)生時，在確保能進入安全狀態(tài)的前提下，可先進行制動轉(zhuǎn)矩降額等處理。驅(qū)動電機系統(tǒng)應(yīng)反饋故障標志信息。7.7防止電機非預(yù)期的輸出制動轉(zhuǎn)矩整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動電機控制器(MCU)的工作模式請求、轉(zhuǎn)矩指令等信號的正確性和完整性。驅(qū)動電機系統(tǒng)應(yīng)檢測這些信號的正確性和完整性，當檢測到異常時，驅(qū)動電機系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標。當驅(qū)動電機系統(tǒng)非預(yù)期輸出的制動轉(zhuǎn)矩高于安全閾值時，驅(qū)動電機系統(tǒng)應(yīng)進入安全狀態(tài)，當相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：非預(yù)期的輸出制動轉(zhuǎn)矩的安全閾值由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。故障探測、響應(yīng)、處理應(yīng)在FTTI時間內(nèi)完成。驅(qū)動電機系統(tǒng)應(yīng)處于非制動工作狀態(tài)且車輛處于靜止狀態(tài)。7.7.3故障容錯時間間隔(FTTI)非預(yù)期輸出制動轉(zhuǎn)矩的故障容錯時間間隔，如圖7所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期輸出制動轉(zhuǎn)矩的故障容錯時間間隔由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確認。矩超過安全閾值無安全機制收障容錯時間間隔實施了安全機制進入安全狀態(tài)正常運行故障探測時間間隔故障響應(yīng)時間問隔安全狀態(tài)實施了具有緊急運行的安全機制進入緊急運行正常運行故障探測時間間隔故障響應(yīng)時問間隔緊急運行時間問隔安全狀態(tài)探測到非預(yù)期輸山制動轉(zhuǎn)矩探測到非預(yù)期輸出制動轉(zhuǎn)矩非預(yù)期輸出制動轉(zhuǎn)矩超過安全閾值非預(yù)期輸出制動轉(zhuǎn)矩超過安全閾值故障導致危害3進入安全狀態(tài)圖7非預(yù)期輸出制動轉(zhuǎn)矩的故障容錯時間間隔7.7.4安全狀態(tài)的進入和退出當確認非預(yù)期輸出制動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進入安全狀態(tài)，在非預(yù)期輸出制動轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動電機系統(tǒng)供應(yīng)商協(xié)商確定。7.7.5報警和降級概念當非預(yù)期輸出制動轉(zhuǎn)矩的相關(guān)故障發(fā)生時，驅(qū)動電機系統(tǒng)應(yīng)反饋故障標志信息。8功能安全驗證和確認8.1總體要求功能安全驗證是確定功能安全要求的完整性和正確性，應(yīng)在驅(qū)動電機系統(tǒng)層面進行驗證，目的是證明功能安全要求：a)與驗證活動的結(jié)果的一致性與符合性；b)實現(xiàn)的正確性。本文件主要給出基于測試的功能安全驗證方法，測試可在模擬環(huán)境下進行。真實環(huán)境下的測試，本文件不作具體要求。功能安全確認是確認安全目標得到充分實現(xiàn)且在系統(tǒng)及整車層面功能減輕或避免危害事件的發(fā)生。應(yīng)在驅(qū)動電機系統(tǒng)或整車層面對功能安全目標的實現(xiàn)進行確認，目的包括：a)證明安全目標在整車層面的實現(xiàn)是正確的、完整的并得到完全實現(xiàn)；b)安全目標能夠預(yù)防或減輕危害分析和風險評估中識別的危害事件及風險。8.2功能安全驗證8.2.1防止電機無法輸出驅(qū)動轉(zhuǎn)矩驅(qū)動電機系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當輸出驅(qū)動轉(zhuǎn)矩低于安全閾值時，使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，在無法輸出驅(qū)動轉(zhuǎn)矩的故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為驅(qū)動電機系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)測試應(yīng)針對7.1.2規(guī)定的運行模式，所選擇的測試工況點應(yīng)至少包括電機在兩個象限(驅(qū)動工況對應(yīng)的兩個象限)運行工況，且在每個象限內(nèi)應(yīng)選取典型的工作點，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合，以確保安全機制的有效性；c)應(yīng)通過注入故障的方式進行測試，注入的故障所引起的無法輸出驅(qū)動轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型；d)測試應(yīng)使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，并發(fā)出報警信息；e)測試應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)；c)測試對象未能發(fā)出正確的報警信息；d)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準則應(yīng)同時滿足如下條件：a)測試對象在注入故障后進入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進入安全狀態(tài)的時間間隔應(yīng)小于或等于故障容錯時間間隔要求；b)測試對象發(fā)出了正確的故障報警信息。8.2.2防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大驅(qū)動電機系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當電機非預(yù)期的輸出過大的驅(qū)動轉(zhuǎn)矩超過安全閾值時，使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，在非預(yù)期的輸出過大的驅(qū)動轉(zhuǎn)矩的故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為驅(qū)動電機系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)測試應(yīng)針對7.2.2規(guī)定的運行模式，所選擇的測試工況點應(yīng)包括電機在兩個象限(驅(qū)動工況對應(yīng)的兩個象限)運行工況，且在每個象限內(nèi)應(yīng)選取典型的工作點，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等，以確保安全機制的有效性；c)應(yīng)通過注入故障的方式進行測試，注入的故障所引起的非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型；d)測試應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間、狀態(tài)切換、報警信息)進行監(jiān)控；e)測試應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)；c)測試對象未能發(fā)出正確的報警信息；d)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準則應(yīng)同時滿足如下條件：a)測試對象在注入故障后可以進入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進入安全狀態(tài)的時間間隔應(yīng)小于或等于故障容錯時間間隔要求；b)測試對象進入安全狀態(tài)時的轉(zhuǎn)矩滿足設(shè)計要求的安全閾值；c)測試對象發(fā)出了正確的故障報警信息。8.2.3防止電機轉(zhuǎn)矩輸出方向相反驅(qū)動電機系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當電機轉(zhuǎn)矩輸出方向與請求方向相反時，使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，在電機轉(zhuǎn)矩輸出方向與請求方向相反的故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為驅(qū)動電機系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)測試應(yīng)針對7.3.2規(guī)定的運行模式，所選擇的測試工況點應(yīng)至少包括電機在四個象限運行工況，且在每個象限內(nèi)應(yīng)選取典型的工作點，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合，以確保安全機制的有效性；c)應(yīng)通過注入故障的方式進行測試，注入的故障所引起的轉(zhuǎn)矩反向安全閾值應(yīng)至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型；d)測試應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間、狀態(tài)切換、報警信息)進行e)測試應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)；c)測試對象未能發(fā)出正確的報警信息；d)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準則應(yīng)同時滿足如下條件：a)測試對象在注入故障后可以進入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進入安全狀態(tài)的時間間隔應(yīng)小于或等于故障容錯時間間隔要求；b)測試對象進入安全狀態(tài)時的轉(zhuǎn)矩滿足設(shè)計要求的安全閾值；c)測試對象發(fā)出了正確的故障報警信息。8.2.4防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩驅(qū)動電機系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩超過安全閾值時，使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，在非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩的故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為驅(qū)動電機系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)測試應(yīng)針對7.4.2規(guī)定的運行模式，所選擇的測試工況點應(yīng)使得驅(qū)動電機系統(tǒng)處于非驅(qū)動且靜止的工作狀態(tài)；c)應(yīng)通過注入故障的方式進行測試，注入的故障所引起的非預(yù)期輸出驅(qū)動轉(zhuǎn)矩的安全閾值應(yīng)至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型；d)測試應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間、狀態(tài)切換、報警信息)進行監(jiān)控；e)測試應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)；c)測試對象未能發(fā)出正確的報警信息；d)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準則應(yīng)同時滿足如下條件：a)測試對象在注入故障后可以進入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進入安全狀態(tài)的時間間隔應(yīng)小于或等于故障容錯時間間隔要求；b)測試對象進入安全狀態(tài)時的轉(zhuǎn)矩滿足設(shè)計要求的安全閾值；c)測試對象發(fā)出了正確的故障報警信息。8.2.5防止電機無法輸出制動轉(zhuǎn)矩驅(qū)動電機系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當輸出制動轉(zhuǎn)矩低于安全閾值時，使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，在無法輸出制動轉(zhuǎn)矩的故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為驅(qū)動電機系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)測試應(yīng)針對7.5.2規(guī)定的運行模式，所選擇的測試工況點應(yīng)至少包括電機在兩個象限(制動工況對應(yīng)的兩個象限)運行工況，且在每個象限內(nèi)應(yīng)選取典型的工作點，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合，以確保安全機制的有效性；c)應(yīng)通過注入故障的方式進行測試，注入的故障所引起的無法輸出制動轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型；d)測試應(yīng)使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，并發(fā)出報警信息；e)測試應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)；c)測試對象未能發(fā)出正確的報警信息；d)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準則應(yīng)同時滿足如下條件：a)測試對象在注入故障后進入安全狀態(tài)，并無意外退出安全狀態(tài)；且從注入故障到進入安全狀態(tài)的時間間隔應(yīng)小于或等于故障容錯時間間隔要求；b)測試對象發(fā)出了正確的故障報警信息。8.2.6防止電機非預(yù)期的輸出制動轉(zhuǎn)矩過大驅(qū)動電機系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當輸出制動轉(zhuǎn)矩超過安全閾值時，使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，在非預(yù)期的輸出制動轉(zhuǎn)矩過大的故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為驅(qū)動電機系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)測試應(yīng)針對7.6.2規(guī)定的運行模式，所選擇的測試工況點應(yīng)包括電機在兩個象限(制動工況對應(yīng)的兩個象限)運行工況，且在每個象限內(nèi)應(yīng)選取典型的工作點，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等，以確保安全機制的有效性；c)應(yīng)通過注入故障的方式進行測試，注入的故障所引起的非預(yù)期的輸出制動轉(zhuǎn)矩過大安全閾值應(yīng)至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型；d)測試應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間、狀態(tài)切換、報警信息)進行e)測試應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)；c)測試對象未能發(fā)出正確的報警信息；d)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準則應(yīng)同時滿足如下條件：a)測試對象在注入故障后可以進入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進入安全狀態(tài)的時間間隔應(yīng)小于或等于故障容錯時間間隔要求；b)測試對象進入安全狀態(tài)時的轉(zhuǎn)矩滿足設(shè)計要求的安全閾值；c)測試對象發(fā)出了正確的故障報警信息。8.2.7防止電機非預(yù)期的輸出制動轉(zhuǎn)矩驅(qū)動電機系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當輸出制動轉(zhuǎn)矩超過安全閾值時，使驅(qū)動電機系統(tǒng)進入安全狀態(tài)，在非預(yù)期的輸出制動轉(zhuǎn)矩的故障退出或消除條件未滿足時，不應(yīng)退出安全狀態(tài)。測試對象為驅(qū)動電機系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)測試應(yīng)針對7.7.2規(guī)定的運行模式，所選擇的測試工況點應(yīng)使得驅(qū)動電機系統(tǒng)處于非制動且靜止的工作狀態(tài)；c)應(yīng)通過注入故障的方式進行測試，注入的故障所引起的非預(yù)期輸出制動轉(zhuǎn)矩的安全閾值應(yīng)至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型；d)測試應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間、狀態(tài)切換、報警信息)進行e)測試應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束模擬環(huán)境下測試：a)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)；c)測試對象未能發(fā)出正確的報警信息；d)測試對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準則應(yīng)同時滿足如下條件：a)測試對象在注入故障后可以進入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進入安全狀態(tài)的時間間隔應(yīng)小于或等于故障容錯時間間隔要求；b)測試對象進入安全狀態(tài)時的轉(zhuǎn)矩滿足設(shè)計要求的安全閾值；c)測試對象發(fā)出了正確的故障報警信息。8.3功能安全確認8.3.1防止電機無法輸出驅(qū)動轉(zhuǎn)矩確認安全目標“防止電機無法輸出驅(qū)動轉(zhuǎn)矩”得到正確實現(xiàn)，并能夠有效發(fā)出關(guān)于電機無法輸出驅(qū)動轉(zhuǎn)矩導致車輛驅(qū)動力喪失的故障警示。確認對象為驅(qū)動電機系統(tǒng)。確認滿足如下要求：a)影響確認對象功能并與確認結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認應(yīng)在整車層面進行，至少包含真實的驅(qū)動電機系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注：車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。c)確認應(yīng)包含違背安全目標的典型失效模式；注：典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常，如不能輸出驅(qū)動轉(zhuǎn)矩。d)確認應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間和狀態(tài)切換)進行監(jiān)控；e)確認應(yīng)對驅(qū)動電機系統(tǒng)的狀態(tài)進行監(jiān)控；f)確認應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。8.3.1.4確認結(jié)束條件當符合以下任一條件時，結(jié)束確認：a)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于驅(qū)動力喪失狀態(tài)；b)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)；c)確認對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)。確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于驅(qū)動力喪失狀態(tài)。8.3.2防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大確認安全目標“防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大”得到正確實現(xiàn)，并能夠有效預(yù)防由于電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大導致車輛加速度過大。確認對象為驅(qū)動電機系統(tǒng)。確認滿足如下要求：a)影響確認對象功能并與確認結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認應(yīng)在整車層面進行，至少包含真實的驅(qū)動電機系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注：車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。c)確認應(yīng)包含違背安全目標的典型失效模式；注：典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常，如電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩過大。d)確認應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間和狀態(tài)切換)進行監(jiān)控；e)確認應(yīng)對驅(qū)動電機系統(tǒng)的狀態(tài)進行監(jiān)控；f)確認應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束確認：a)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)；c)確認對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)。確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.3防止電機轉(zhuǎn)矩輸出方向反向確認安全目標“防止電機轉(zhuǎn)矩輸出方向反向”得到正確實現(xiàn)，并能夠有效預(yù)防由于電機轉(zhuǎn)矩輸出方向反向?qū)е萝囕v加速度方向相反。確認對象為驅(qū)動電機系統(tǒng)。確認滿足如下要求：a)影響確認對象功能并與確認結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認應(yīng)在整車層面進行，至少包含真實的驅(qū)動電機系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注：車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。c)確認應(yīng)包含違背安全目標的典型失效模式；注：典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常，如電機轉(zhuǎn)矩輸出方向反向。d)確認應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間和狀態(tài)切換)進行監(jiān)控；e)確認應(yīng)對驅(qū)動電機系統(tǒng)的狀態(tài)進行監(jiān)控；f)確認應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束確認：a)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)；c)確認對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)。確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.4防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩確認安全目標“防止電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩”得到正確實現(xiàn)，并能夠有效預(yù)防由于電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩導致車輛從靜止狀態(tài)非預(yù)期啟動、車輛非預(yù)期的加速。確認對象為驅(qū)動電機系統(tǒng)。確認滿足如下要求：a)影響確認對象功能并與確認結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認應(yīng)在整車層面進行，至少包含真實的驅(qū)動電機系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注：車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。c)確認應(yīng)包含違背安全目標的典型失效模式；注：典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常，如電機非預(yù)期的輸出驅(qū)動轉(zhuǎn)矩。d)確認應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間和狀態(tài)切換)進行監(jiān)控；e)確認應(yīng)對驅(qū)動電機系統(tǒng)的狀態(tài)進行監(jiān)控；f)確認應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束確認：a)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)；c)確認對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)。確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.5防止電機無法輸出制動轉(zhuǎn)矩確認安全目標“防止電機無法輸出制動轉(zhuǎn)矩”得到正確實現(xiàn)，并能夠有效預(yù)防由于電機無法輸出制動轉(zhuǎn)矩導致車輛減速度過小。確認對象為驅(qū)動電機系統(tǒng)。確認滿足如下要求：a)影響確認對象功能并與確認結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認應(yīng)在整車層面進行，至少包含真實的驅(qū)動電機系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注：車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。c)確認應(yīng)包含違背安全目標的典型失效模式；注：典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常，如電機無法輸出制動轉(zhuǎn)矩。d)確認應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間和狀態(tài)切換)進行監(jiān)控；e)確認應(yīng)對驅(qū)動電機系統(tǒng)的狀態(tài)進行監(jiān)控；f)確認應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束確認：a)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于制動力降低狀態(tài)；b)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)；c)確認對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)。確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于制動力降低狀態(tài)。8.3.6防止電機非預(yù)期的輸出制動轉(zhuǎn)矩過大確認安全目標“防止電機非預(yù)期的輸出制動轉(zhuǎn)矩過大”得到正確實現(xiàn)，并能夠有效預(yù)防由于電機非預(yù)期的輸出制動轉(zhuǎn)矩過大導致車輛減速度過大。確認對象為驅(qū)動電機系統(tǒng)。確認滿足如下要求：a)影響確認對象功能并與確認結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認應(yīng)在整車層面進行，至少包含真實的驅(qū)動電機系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注：車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。c)確認應(yīng)包含違背安全目標的典型失效模式；注：典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常，如電機非預(yù)期的輸出制動轉(zhuǎn)矩過大。d)確認應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間和狀態(tài)切換)進行監(jiān)控；e)確認應(yīng)對驅(qū)動電機系統(tǒng)的狀態(tài)進行監(jiān)控；f)確認應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束確認：a)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)；c)確認對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)。確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.7防止電機非預(yù)期的輸出制動轉(zhuǎn)矩確認安全目標“防止電機非預(yù)期的輸出制動轉(zhuǎn)矩”得到正確實現(xiàn)，并能夠有效預(yù)防由于電機非預(yù)期的輸出制動轉(zhuǎn)矩導致車輛非預(yù)期倒車。確認對象為驅(qū)動電機系統(tǒng)。確認滿足如下要求：a)影響確認對象功能并與確認結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運行狀態(tài)；b)確認應(yīng)在整車層面進行，至少包含真實的驅(qū)動電機系統(tǒng)，基于車輛的實際工況或者模擬的車輛實際工況；注：車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。c)確認應(yīng)包含違背安全目標的典型失效模式；注：典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常，如電機非預(yù)期的輸出制動轉(zhuǎn)矩。d)確認應(yīng)對驅(qū)動電機系統(tǒng)進入安全狀態(tài)的過程(例如安全閾值、時間和狀態(tài)切換)進行監(jiān)控；確認應(yīng)對驅(qū)動電機系統(tǒng)的狀態(tài)進行監(jiān)控；e)確認應(yīng)對驅(qū)動電機系統(tǒng)退出安全狀態(tài)的條件進行監(jiān)控。當符合以下任一條件時，結(jié)束確認：a)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，并無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，意外退出安全狀態(tài)；c)確認對象在故障容錯時間間隔內(nèi)未進入安全狀態(tài)。確認對象在故障容錯時間間隔內(nèi)進入安全狀態(tài)，無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。(資料性)以驅(qū)動電機系統(tǒng)為相關(guān)項的危害分析和風險評估(HARA)示例A.1相關(guān)項定義A.1.1功能概念A(yù).1.1.1輸出驅(qū)動轉(zhuǎn)矩該功能旨在驅(qū)動電機控制器基于整車控制器給出的驅(qū)動轉(zhuǎn)矩指令，結(jié)合驅(qū)動電機當前轉(zhuǎn)速、負荷等狀態(tài)控制驅(qū)動電機輸出給定的驅(qū)動轉(zhuǎn)矩。該功能旨在驅(qū)動電機控制器基于整車控制器給出的制動轉(zhuǎn)矩指令，結(jié)合驅(qū)動電機當前轉(zhuǎn)速、負荷等狀態(tài)控制驅(qū)動電機輸出給定的制動轉(zhuǎn)矩。A.1.2驅(qū)動電機系統(tǒng)的邊界和接口按照GB/T34590.3—2022中5.4.2的要求，定義驅(qū)動電機系統(tǒng)相關(guān)項與其他相關(guān)項的邊界和接口。-低壓信號一機械鏈接總線通信逆變模塊冷卻泵冷卻回路電機溫度信號電機位置信號外殼(MCT.)車架正極十。低壓蓄電池CAN總線正極+高壓蕃電池(BMS)整車控制器驅(qū)動電機系統(tǒng)誠速器電機注1:圖A.1中的示例所示系統(tǒng)為由蓄電池、電機控制器、電機和單減速器構(gòu)成的動力總成系統(tǒng)，此系統(tǒng)可用于將電能轉(zhuǎn)換為機械能驅(qū)動汽車行進的純電動汽車，同時該動力總成系統(tǒng)具備制動能量回收功能。注2:圖A.1中的示例為搭載在A級乘用車上的驅(qū)動電機系統(tǒng)，其他車型參考本附錄示例進行分析。注3:圖A.1中的示例使用VCU作為獨立的整車控制單元，接收油門、制動、擋位等信息，并轉(zhuǎn)換為所需要的轉(zhuǎn)矩輸出請求。該示例不考慮VCU與MCU集成等新型或特殊的整車控制架構(gòu)形式。注4:圖A.1中的示例使用CAN通信作為驅(qū)動電機系統(tǒng)的通信形式，采用如CAN-FD、FlexRay等其他通信形式的車型參考本附錄。注5:本附錄中的電機僅以電動汽車常用的永磁同步電機為例，使用如異步電機、電勵磁同步電機等電機類型的車型參考本附錄分析。電機控制器的工作模式僅考慮轉(zhuǎn)矩控制模式，不考慮轉(zhuǎn)速控制和電壓控制的工作模式。A.2相關(guān)項在整車層面上的危害識別A.2.1識別驅(qū)動電機系統(tǒng)的功能異常表現(xiàn)按照GB/T34590.3—2022第6章的要求，應(yīng)用危害與可操作性分析(HAZOP)方法識別驅(qū)動電機系統(tǒng)的功能異常表現(xiàn)，見表A.1。表A.1HAZOP分析示例功能引導詞功能喪失在有需求時，提供錯誤的功能非預(yù)期的功能(在無需求時，提供功能)輸出卡滯在固定值上(功能不能按照需求更新)錯誤的功能(多于預(yù)期)錯誤的功能(少于預(yù)期)錯誤的功能(方向相反)輸出驅(qū)動轉(zhuǎn)矩(含零轉(zhuǎn)矩)不能輸出驅(qū)動轉(zhuǎn)矩實際輸出驅(qū)動轉(zhuǎn)矩大于期望值實際輸出驅(qū)動轉(zhuǎn)矩小于期望值輸出轉(zhuǎn)矩方向與期望值反向非預(yù)期輸出驅(qū)動轉(zhuǎn)矩輸出轉(zhuǎn)矩量無法更新輸出制動轉(zhuǎn)矩不能輸出制動轉(zhuǎn)矩實際輸出制動轉(zhuǎn)矩大于期望值實際輸出制動轉(zhuǎn)矩小于期望值輸出轉(zhuǎn)矩方向與期望值反向非預(yù)期輸出制動轉(zhuǎn)矩輸出轉(zhuǎn)矩量無法更新A.2.2分析驅(qū)動電機系統(tǒng)的功能異常表現(xiàn)導致的整車層面危害按照GB/T34590.3—2022第6章的要求，根據(jù)A.2.1中驅(qū)動電機系統(tǒng)的功能異常表現(xiàn)，分析可能導致的整車層面危害(最嚴重的情況),見表A.2。表A.2整車層面危害(最嚴重的情況)驅(qū)動電機系統(tǒng)功能異常表現(xiàn)的影響整車層面的危害(最嚴重的情況)不能輸出驅(qū)動轉(zhuǎn)矩車輛驅(qū)動力喪失實際輸出驅(qū)動轉(zhuǎn)矩大于期望值車輛加速度過大實際輸出驅(qū)動轉(zhuǎn)矩小于期望值車輛加速能力不足非預(yù)期輸出驅(qū)動轉(zhuǎn)矩車輛從靜止狀態(tài)非預(yù)期啟動、車輛非預(yù)期的加速不能輸出制動轉(zhuǎn)矩車輛制動力降低實際輸出制動轉(zhuǎn)矩大于期望值車輛減速度過大實際輸出制動轉(zhuǎn)矩小于期望值車輛制動力降低非預(yù)期輸出制動轉(zhuǎn)矩車輛非預(yù)期倒車表A.2整車層面危害(最嚴重的情況)(續(xù))驅(qū)動電機系統(tǒng)功能異常表現(xiàn)的影響整車層面的危害(最嚴重的情況)輸出轉(zhuǎn)矩方向與期望值反向車輛加速度方向相反輸出轉(zhuǎn)矩量無法更新車輛非預(yù)期加、減速或車輛運動反向根據(jù)第5章運行條件和環(huán)境約束要求，分析典型的車輛運行場景，見表A.3。表A.3典型的車輛運行場景示例場景編號典型場景正常行駛(高速路、城市或鄉(xiāng)村道路、住宅區(qū)或人口密集區(qū)等)2超車行駛(高速路或城市多車道路、鄉(xiāng)村或單車道路等)3轉(zhuǎn)彎行駛(十字路口、匝道等)4靜止起步(十字路口、停車場、坡道等)5高速匝道并入6坡道行駛(上下坡、坡道駐車等)A.4ASIL等級的導出以驅(qū)動電機系統(tǒng)為相關(guān)項開展典型危害的危害分析和風險評估(HARA),ASIL等級。分析過程見表A.4。并確定危害事件的GB/T43254—2023GB/T43254—2023表A.4危害分析和風險評估示例危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_01_la(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在高速或城市多車道道路上超車運行時突然丟失動力(踩油門無響應(yīng)),后方或側(cè)方有車輛在與后方或側(cè)方車輛相對車速較小的情況下(△v<20km/h),與后方或側(cè)方車輛發(fā)生碰撞碰撞時兩車的相對速度偏低，可能造成駕駛員輕度或中度受傷，但不會危及生命前后車保持較低相對車速的持續(xù)時間大于10%平均駕駛時間由于丟失動力發(fā)生時前后車相對車速較低，大于99%駕駛員可以控制車輛減速或完成停車HZD_01_1b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后方或側(cè)方車輛相對車速中等的情況下(20km/h≤△v≤40km/h),與后方或側(cè)方車輛發(fā)生碰撞碰撞時兩車的相對速度中等，可能造成駕駛員較為嚴重的受傷，但不會危及生命10%平均駕駛時由于丟失動力發(fā)生時前后車相對車速中等，大于90%駕駛員可以控制車輛減速或完成停車AHZD_01_1c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后方或側(cè)方車輛相對車速較高的情況下(△v>40km/h),與后方或側(cè)方車輛發(fā)生碰撞碰撞時兩輛車的相對速度較高，可能造成駕駛員較為嚴重的受傷，甚至危及生命前后車保持較高相對車速的持續(xù)均駕駛時間由于丟失動力發(fā)生時前后車相對車速較高，大于90%駕駛員可以控制車輛減速或完成停車A表A.4危害分析和風險評估示例(續(xù))號危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_01_2a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛正常駕駛過程中突然丟失動應(yīng)),后方有車輛跟隨在與后車相對車速較小的后車發(fā)生碰撞碰撞時兩輛車的相對速度偏低，可能造成駕駛員輕度或中度受傷，但不會危及生命正常駕駛過程中，前后車保持較低相對車速的持續(xù)時間大于10%平均駕駛時間由于丟失動力發(fā)生時前后車相對車速較低，大于控制車輛減速或完成停車HZD_01_2b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對車速中等的情況下(20km/h≤△v≤40km/h),與后車發(fā)生碰撞碰撞時兩輛車的相對速度中等，可能造成駕駛員較為嚴重的受傷，但不會危及生命正常駕駛過程中，前后車保持中等相對車速的持續(xù)10%平均駕駛時由于丟失動力發(fā)生時前后車相對車速中等，大于控制車輛減速或完成停車AHZD_01_2c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對車速較高的情況下(△v>40km/h),與后車發(fā)生碰撞碰撞時兩輛車的相對速度較高，可能造成駕駛員較為嚴重的受傷，甚至危及生命正常駕駛過程中，前后車保持較高相對車速的持續(xù)均駕駛時間由于丟失動力發(fā)生時前后車相對車速較高，大于90%駕駛員可以控制車輛減速或完成停車A8表A.4危害分析和風險評估示例(續(xù))危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_01_3a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在十字路口轉(zhuǎn)向過程中突然丟失動力(踩油門無響應(yīng)),對向有來車對向車道車輛以相較于左轉(zhuǎn)車輛較低的相對車速駛過路口(△v<20km/h),左轉(zhuǎn)車輛無法按照預(yù)期的速度通過對向車道，可能導致發(fā)生碰撞碰撞時兩輛車的相對速度偏低，可能造成駕駛員輕度或中度受傷，但不會危及生命穿越十字路口左轉(zhuǎn)，對向車輛與轉(zhuǎn)彎車輛保持較低相對車速的持續(xù)均駕駛時間由于丟失動力發(fā)生時對向車輛和左轉(zhuǎn)車輛相對車99%駕駛員可以控制車輛減速或完成停車HZD_01_3b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無對向車道車輛以相較于左轉(zhuǎn)車輛中等的相對車速駛過路口(20km/h≤△v≤40km/h),左轉(zhuǎn)車輛無法按照預(yù)期的速度通過對向車道，可能導致發(fā)生碰撞碰撞時兩輛車的相對速度中等，可能造成駕駛員較為嚴重的受傷，但不會危及生命穿越十字路口左轉(zhuǎn)，對向車輛與轉(zhuǎn)彎車輛保持中等相對車速的持續(xù)均駕駛時間由于丟失動力發(fā)生時對向車輛和左轉(zhuǎn)車輛相對車90%駕駛員可以控制車輛減速或完成停車HZD_01_3c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無對向車道車輛以相較于左轉(zhuǎn)車輛較高的相對車速駛過路口(△v>40km/h),左轉(zhuǎn)車輛無法按照預(yù)期的速度通過對向車道，可能導致發(fā)生碰撞碰撞時兩輛車的相對速度較高，可能造成駕駛員較為嚴重的受傷，甚至危及生命穿越十字路口左轉(zhuǎn)，對向車輛與轉(zhuǎn)彎車輛保持較高相對車速的持續(xù)均駕駛時間由于丟失動力發(fā)生時前后車相對車速較高，大于99%駕駛員可以控制車輛減速或完成停車表A.4危害分析和風險評估示例(續(xù))品危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_01_4a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在城市或鄉(xiāng)村道路借道超車運行時，在借道過程中突然丟失動力(踩油門無響應(yīng)),對向車道有來車在與對向車道車輛相對車20km/h),與對向車道車輛發(fā)生碰撞碰撞時兩輛車的相對速度偏低，可能造成駕駛員輕度或中度受傷，但不會危及生命借道超車，對向車輛與借道車輛保持較低相對車速的持續(xù)時間小于1%平均駕駛時間由于丟失動力發(fā)生時對向車輛和左轉(zhuǎn)車輛相對車99%駕駛員可以控制車輛減速或完成停車HZD_01_4b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與對向車道車輛相對車速中等的情況下(20km/h≤△v≤40km/h),與對向車道車輛發(fā)生碰撞碰撞時兩輛車的相對速度中等，可能造成駕駛員較為嚴重的受傷，但不會危及生命借道超車，對向車輛與借道車輛保持中等相對車速的持續(xù)時間小于1%平均駕駛時間由于丟失動力發(fā)生時對向車輛和左轉(zhuǎn)車輛相對車90%駕駛員可以控制車輛減速或完成停車HZD_01_4c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與對向車道車輛相對車40km/h),與對向車道車輛發(fā)生碰撞碰撞時兩輛車的相對速度較高，可能造成駕駛員較為嚴重的受傷，甚至危及生命借道超車，對向車輛與借道車輛保持較高相對車速的持續(xù)時間小于1%平均駕駛時間由于丟失動力發(fā)生時對向車輛和左轉(zhuǎn)車輛相對車90%駕駛員可以控制車輛減速或完成停車A8表A.4危害分析和風險評估示例(續(xù))危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_01_5a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在高速入口匝道并道過程中突然丟失動力(踩油門無響應(yīng)),后方有來車在與后車相對車速較小的情況下(△v<20km/h),與后車發(fā)生碰撞碰撞時兩輛車的相對速度偏低，可能造成駕駛員輕度或中度受傷，但不會危及生命高速匝道并道，前后車保持較低相對車速的持續(xù)時駕駛時間由于丟失動力發(fā)生時前后車相對車速較低，大于99%駕駛員可以控制車輛減速或完成停車HZD_01_5b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對車速中等的情況下(20km/h≤△v≤40km/h),與后車發(fā)生碰撞碰撞時兩輛車的相對速度中等，可能造成駕駛員較為嚴重的受傷，但不會危及生命高速匝道并道，前后車保持較低相對車速的持續(xù)時駕駛時間由于丟失動力發(fā)生時前后車相對車速中等，大于90%駕駛員可以控制車輛減速或完成停車HZD_01_5c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對車速較高的情況下(△v>40km/h),與后車發(fā)生碰撞碰撞時兩輛車的相對速度較高，可能造成駕駛員較為嚴重的受傷，甚至危及生命高速匝道并道，前后車保持較低相對車速的持續(xù)時駕駛時間由于丟失動力發(fā)生時前后車相對車速較高，大于90%駕駛員可以控制車輛減速或完成停車AGB/T43254—2023GB/T43254—2023表A.4危害分析和風險評估示例(續(xù))危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_01_6a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在陡坡爬坡運行時，突然丟失動力(踩油門無響應(yīng)),后方有行人穿過在與后方行人相對距離較近的情況下，由于丟失動力導致后溜，與后方行人發(fā)生碰撞由于距離較小，相對速度較小，可能造成后方輕度或中度受傷，但是考慮到可能產(chǎn)生碾壓，最壞情況下可能造成較為嚴重的受傷，甚至危及生命爬坡駕駛，且后方有來車的持續(xù)時駕駛時間由于丟失動力導于90%駕駛員可以控制車輛制動、AHZD_01_6b(含零轉(zhuǎn)出驅(qū)動轉(zhuǎn)矩喪失無在與后方行人相對距離較遠的情況下，由于丟失動力導致后溜，與后方行人發(fā)生碰撞由于距離較遠，相對速度較大，可能造成后方較為嚴重的受傷，甚至危及生命爬坡駕駛，且后方有行人穿越的持平均駕駛時間由于丟失動力導致車輛后溜且與后方行人距離較遠，大于99%駕駛員可以控制車輛制動、鳴笛等HZD_01_7a動轉(zhuǎn)矩(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在陡坡爬坡運行時，突然丟失動力(踩油門無響應(yīng)),后方有來車在與后車相對距離較近的情況下，由于丟失動力導致后溜，與后車發(fā)生碰撞由于距離較小，相對速度較小，可能造成后車駕駛員但不會危及生命爬坡駕駛，且后方有來車的持續(xù)時駕駛時間由于丟失動力導于90%駕駛員可以控制車輛制動、HZD_01_7b(含零轉(zhuǎn)出驅(qū)動轉(zhuǎn)矩喪失無在與后車相對距離較遠的情況下，由于丟失動力導致后溜，與后車發(fā)生碰撞由于距離較遠，相對速度較大，可能造成后車駕駛員但不會危及生命爬坡駕駛，且后方有來車的持續(xù)時駕駛時間由于丟失動力導致車輛后溜且與后車距離較近，大于99%駕駛員可以控制車輛制動、表A.4危害分析和風險評估示例(續(xù))危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_01_8a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無路交叉路口，突然丟失動力(踩油門無響應(yīng)),列車后續(xù)經(jīng)過鐵道交叉路口車輛將會與列車相撞車輛通過鐵路交叉路口等危險路況時丟失動力，產(chǎn)生特別嚴重或致命傷害車輛經(jīng)過鐵路交叉口在平均駕駛時間中的占比小由于丟失動力導致車輛滯留在鐵道交叉口，大于90%駕駛員可以盡快離開車輛以避免傷害HZD_02_1a(含零轉(zhuǎn)于期望值過大車輛在人員較為密集處低速行駛與車輛附近行人發(fā)生碰撞人員較為密集處低速行駛時非預(yù)期的加速嚴重度取決于電機產(chǎn)生非預(yù)期加速的能力大多數(shù)駕駛員每天都會遭遇此駕駕駛時間中的占比大于10%輛，避免傷害CHZD_02_2a(含零轉(zhuǎn)值加速度過大在城市道路/高速公路等處正常行駛時轉(zhuǎn)向，進入彎道行駛與車道外對象(行人/車輛/設(shè)施)碰撞偏航可能以較高速度撞向行人/車輛/設(shè)施，嚴重度取決于電機產(chǎn)生非預(yù)期加速的能力大多數(shù)駕駛員每天都會遭遇此駕駛場景，其在平均駕駛時間中的占比大于10%駕駛員的反應(yīng)時的發(fā)生CGB/T43254—2023GB/T43254—2023表A.4危害分析和風險評估示例(續(xù))危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_02_3a(含零轉(zhuǎn)矩)轉(zhuǎn)矩大于期望值過大速公路等處正前方有其他車輛與前面車輛追尾中高速行駛時非預(yù)期的加速追尾撞擊時的速度差較低，通常認為不會對駕乘人員造成危及生命的傷害。大多數(shù)駕駛員每天都會遭遇此駕駛場景，其在平均駕駛時間中的占比大于10%駕駛員可以通過踩制動降低車速，在大多數(shù)情況下，駕駛員的反應(yīng)時間足夠避免傷害的發(fā)生BHZD_02_4a(含零轉(zhuǎn)值過大山路，前邊沒有交通以小于的正常速度下坡；或前邊沒有交通以小于的正常速度下坡；或有雪，以小于低速下坡車輛撞到其他車輛或物體，或者車輛離開路面掉落山下車輛中低速山路行駛時，非預(yù)期加速，車輛穩(wěn)定性喪失車輛撞到其他車輛或物體，或者車輛離開路面掉落山下，會發(fā)生人員生命危險一般的駕駛員和車輛遇到此駕駛場景可能性較低[絕大多數(shù)駕駛員一年發(fā)生幾次(基于運行場景頻率),絕大多數(shù)車輛在山路帶有不安全的陡峭斜坡的平均運行時間小于1%]對于一般的駕駛員，此場景很難控制，此時由于故障功能受限(遇到非預(yù)期加速，駕駛員會比較慌亂，尤其是自行車/行人比較近的時候。少于90%的駕駛員能夠避免危害的發(fā)生)BHZD_02_4b(含零轉(zhuǎn)矩)轉(zhuǎn)矩大值過大車輛撞到其他車輛或物體，或者車輛離開路面掉落山下車輛中低速山路行駛時，非預(yù)期加速，車輛穩(wěn)定性喪失車輛撞到其他車輛或物體，或者車輛離開路面掉落山下，會發(fā)生人員生命危險(車輛中速側(cè)面碰撞到一個狹窄的靜止物體，如樹干、路邊突出護欄等，影響到乘員艙；中速和其他車輛碰撞；自行車/行人事故，或者車輛離開路面掉落山下，會發(fā)生人員生命危險)山區(qū)駕駛中可能性相對較高(山區(qū)中車輛在山路帶有不安全的陡峭斜坡的路面平均1%～10%之間)山區(qū)駕駛員具有較豐富的經(jīng)驗，可以降低可控度(山區(qū)駕駛員具有較豐富的經(jīng)驗，可保持既定行駛線路)B表A.4危害分析和風險評估示例(續(xù))危害編號功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細描述危害事件(潛在的事故場景-考慮最嚴苛場景)ASILS理由E理由C理由ASILHZD_03_la(含零轉(zhuǎn)值過小高速超車在超車過程中后后方車輛車距過小時，將會發(fā)生碰撞發(fā)生后碰，S3:△v—2022中表B.3駕駛員的反應(yīng)時間足夠避免傷害HZD_03_2a輸出驅(qū)(含零轉(zhuǎn)于期望值過小高速正常行駛高速上正常駕駛時，后方有來車發(fā)生碰撞發(fā)生后碰，S3:△v—2022中表B.3,正常行