GBT 43254-2023 電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法

電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法2023-11-27發(fā)布國家標(biāo)準(zhǔn)化管理委員會(huì)I前言 12規(guī)范性引用文件 13術(shù)語和定義 l4一般要求 15相關(guān)項(xiàng)定義 25.1總體要求 25.2功能概念 25.3運(yùn)行條件和環(huán)境約束 26危害分析和風(fēng)險(xiǎn)評(píng)估 26.1總則 26.2安全目標(biāo) 27功能安全要求 37.1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩 37.2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大 47.3防止電機(jī)轉(zhuǎn)矩輸出方向反向 57.4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩 67.5防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩 77.6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大 97.7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩 8功能安全驗(yàn)證和確認(rèn) 8.1總體要求 8.2功能安全驗(yàn)證 8.3功能安全確認(rèn) 附錄A(資料性)以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)的危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)示例 23A.1相關(guān)項(xiàng)定義 A.2相關(guān)項(xiàng)在整車層面上的危害識(shí)別 A.3場景分析 A.4ASIL等級(jí)的導(dǎo)出 A.5安全目標(biāo)和安全狀態(tài) 附錄B(資料性)故障容錯(cuò)時(shí)間間隔(FTTI)確定方法示例 B.1故障容錯(cuò)時(shí)間間隔的定義說明 B.2電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大故障FTTI定義示例 參考文獻(xiàn) ⅢGB/T43254—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC114)歸口。本文件起草單位：中國汽車技術(shù)研究中心有限公司、泛亞汽車技術(shù)中心有限公司、中國長安汽車集團(tuán)有限公司、蘇州匯川聯(lián)合動(dòng)力系統(tǒng)有限公司、極氪汽車(寧波杭州灣新區(qū))有限公司、株洲中車時(shí)代電氣股份有限公司、北京汽車研究總院有限公司、合肥巨一動(dòng)力系統(tǒng)有限公司、中汽研新能源汽車檢驗(yàn)中心(天津)有限公司、上海大郡動(dòng)力控制技術(shù)有限公司、中車時(shí)代電動(dòng)汽車股份有限公司、中國第一汽車股份有限公司、上海海拉電子有限公司、蔚來汽車(安徽)有限公司、比亞迪汽車工業(yè)有限公司、廣州汽車集團(tuán)股份有限公司、重慶長安新能源汽車科技有限公司、上海友道智途科技有限公司、上海汽車電驅(qū)動(dòng)有限公司、華為數(shù)字能源技術(shù)有限公司、蜂巢傳動(dòng)系統(tǒng)(江蘇)有限公司、舍弗勒(中國)有限公司、上海汽車集團(tuán)股份有限公司技術(shù)中心、深圳市英威騰電動(dòng)汽車驅(qū)動(dòng)技術(shù)有限公司、華域麥格納電驅(qū)動(dòng)系統(tǒng)有限公司、上海金脈電子科技有限公司、一汽-大眾汽車有限公司、上汽大眾汽車有限公司、緯湃科技投資(中國)有限公司、中汽創(chuàng)智科技有限公司、聯(lián)合汽車電子有限公司、采埃孚(中國)投資有限公司、吉利汽車研究院(寧波)有限公司、嵐圖汽車科技有限公司、廣東美的白色家電技術(shù)創(chuàng)新中心有限公司、上汽通用五菱汽車股份有限公司、合眾新能源汽車有限公司、北京車和家汽車科技有限公司、智馬達(dá)汽車有限公司。1電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法1范圍本文件規(guī)定了電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)(以下簡稱“驅(qū)動(dòng)電機(jī)系統(tǒng)”)的功能安全要求及試驗(yàn)方法。本文件適用于電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)，其他類型的驅(qū)動(dòng)電機(jī)系統(tǒng)參照?qǐng)?zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB18384—2020電動(dòng)汽車安全要求GB/T18488(所有部分)電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)GB/T34590.1～34590.12—2022道路車輛功能安全3術(shù)語和定義GB/T34590.1—2022界定的以及下列術(shù)語和定義適用于本文件。驅(qū)動(dòng)電機(jī)系統(tǒng)drivemotorsystem安裝在電動(dòng)汽車上，為車輛行駛提供驅(qū)動(dòng)力、實(shí)現(xiàn)機(jī)械能與電能間相互轉(zhuǎn)化的系統(tǒng)。注：包括驅(qū)動(dòng)電機(jī)，驅(qū)動(dòng)電機(jī)控制器及它們工作必需的輔助裝置。輔助裝置包含與驅(qū)動(dòng)電機(jī)集成于一體的變速裝置。[來源：GB/T19596—2017,定義3.1.2.1.10,有驅(qū)動(dòng)電機(jī)drivemotor將電能轉(zhuǎn)換成機(jī)械能為車輛行駛提供驅(qū)動(dòng)力的電氣裝置，該裝置也具備機(jī)械能轉(zhuǎn)化成電能的功能。控制動(dòng)力電源與驅(qū)動(dòng)電機(jī)之間能量傳輸?shù)难b置，由控制信號(hào)接口電路、驅(qū)動(dòng)電機(jī)控制電路、驅(qū)動(dòng)電路功率電子模塊等組成。[來源：GB/T19596—2017,定4一般要求除非特別說明，驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全技術(shù)開發(fā)、流程開發(fā)等要求應(yīng)按照GB/T34590.1~34590.12—2022執(zhí)行。25相關(guān)項(xiàng)定義5.1總體要求應(yīng)按照GB/T34590.3—2022的要求進(jìn)行相關(guān)項(xiàng)定義，相關(guān)項(xiàng)指實(shí)現(xiàn)整車層面功能或部分功能的系統(tǒng)或系統(tǒng)組合。注：相關(guān)項(xiàng)及其范圍根據(jù)具體情況定義。附錄A給出了以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)的功能概念和相關(guān)項(xiàng)邊界和接口示例。5.2功能概念為滿足車輛安全運(yùn)行，確保車輛內(nèi)部、外部人員以及車輛環(huán)境的安全，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)的安全運(yùn)行進(jìn)行監(jiān)控和保護(hù)。驅(qū)動(dòng)電機(jī)系統(tǒng)的功能性要求還應(yīng)滿足GB/T18488(所有部分)、GB18384—2020中的功能要求。注：附錄A給出了驅(qū)動(dòng)電機(jī)系統(tǒng)輸出驅(qū)動(dòng)轉(zhuǎn)矩、輸出制動(dòng)轉(zhuǎn)矩的功能概念描述。5.3運(yùn)行條件和環(huán)境約束為滿足車輛安全運(yùn)行，需要明確相關(guān)項(xiàng)的運(yùn)行條件及環(huán)境約束，可包含(如適用):b)驅(qū)動(dòng)電機(jī)系統(tǒng)處于驅(qū)動(dòng)模式、制動(dòng)模式、待機(jī)模式等，或者驅(qū)動(dòng)電機(jī)系統(tǒng)處于工作狀態(tài)或者非工作狀態(tài)；c)相關(guān)項(xiàng)與整車其他相關(guān)項(xiàng)的依賴關(guān)系、接口關(guān)系等。6危害分析和風(fēng)險(xiǎn)評(píng)估根據(jù)第5章相關(guān)項(xiàng)定義，按照GB/T34590.3—2022,基于車輛使用場景，分析識(shí)別驅(qū)動(dòng)電機(jī)系統(tǒng)中因故障而引起的危害并對(duì)危害進(jìn)行歸類，定義相應(yīng)的汽車安全完整性等級(jí)(ASIL),制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)，以避免不合理的風(fēng)險(xiǎn)。注：以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的示例見附錄A。6.2安全目標(biāo)通過危害分析和風(fēng)險(xiǎn)評(píng)估確定的驅(qū)動(dòng)電機(jī)系統(tǒng)的安全目標(biāo)及其屬性，應(yīng)至少包含表1所列的內(nèi)容。表1驅(qū)動(dòng)電機(jī)系統(tǒng)的安全目標(biāo)及其屬性序號(hào)安全目標(biāo)ASIL安全狀態(tài)故障容錯(cuò)時(shí)間間隔(FTTI)1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩A發(fā)出警示見7.1.32防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.2.33防止電機(jī)轉(zhuǎn)矩輸出方向反向C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.3.34防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.4.35防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩A發(fā)出警示見7.5.36防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.6.37防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩C發(fā)出警示，終止轉(zhuǎn)矩輸出見7.7.3注：發(fā)出警示，指的是驅(qū)動(dòng)電機(jī)系統(tǒng)發(fā)出故障標(biāo)志信息。整車端警示可由整車制造商做出定義。3如果出現(xiàn)與表1所列的要求不一致的情況，應(yīng)具備相應(yīng)的證據(jù)來證明驅(qū)動(dòng)電機(jī)系統(tǒng)不會(huì)因功能異常表現(xiàn)而導(dǎo)致不合理的整車危害風(fēng)險(xiǎn)。應(yīng)至少包括如下證據(jù)：a)考慮了全部整車危害風(fēng)險(xiǎn)，并制定了合理的安全目標(biāo)；b)所制定的安全目標(biāo)針對(duì)目標(biāo)市場是適用和充分的。7功能安全要求7.1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩7.1.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性，當(dāng)檢測到異常時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)避免無法輸出驅(qū)動(dòng)轉(zhuǎn)矩，除非對(duì)應(yīng)故障將導(dǎo)致更嚴(yán)重的整車危害。當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，當(dāng)相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值由最大加速能力、可達(dá)到的最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出，由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。7.1.2運(yùn)行模式驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于驅(qū)動(dòng)工作狀態(tài)。7.1.3故障容錯(cuò)時(shí)間間隔(FTTI)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔，如圖1所示，應(yīng)根據(jù)分析、測試等方式給出。注1:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔的確定方法見附錄B。注2:無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。注3:降級(jí)可以是緊急運(yùn)行概念的一部分。4驅(qū)動(dòng)轉(zhuǎn)矩低于驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值故障容鋯時(shí)問間隔驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值實(shí)施了安全機(jī)制正常運(yùn)行故障操測時(shí)間間隔故障響應(yīng)時(shí)問間隔安全狀態(tài)實(shí)施了具有緊急運(yùn)行的安全機(jī)制進(jìn)入緊急運(yùn)行f正常運(yùn)行故障探測時(shí)問問隔故障響應(yīng)時(shí)問問隔緊急塔行時(shí)問問隔驅(qū)動(dòng)轉(zhuǎn)矩低于安全闕值探測到驅(qū)動(dòng)轉(zhuǎn)矩過低探測到驅(qū)動(dòng)轉(zhuǎn)矩過低進(jìn)入安全狀態(tài)收障導(dǎo)致危害進(jìn)入安全狀態(tài)無安企機(jī)制安全狀態(tài)圖1無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔7.1.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示來進(jìn)入安全狀態(tài)，在無法輸出驅(qū)動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。7.1.5報(bào)警和降級(jí)概念當(dāng)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。7.2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性，當(dāng)檢測到異常時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩高于安全閾值時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，當(dāng)相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩過大的安全閾值由最大加速能力、可達(dá)到的最高車速等整車參數(shù)指標(biāo)推導(dǎo)得出，由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。57.2.3故障容錯(cuò)時(shí)間間隔(FTTI)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔，如圖2所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全闕值無安全機(jī)制故障導(dǎo)致危害故障容錯(cuò)時(shí)間間隔非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)實(shí)施了安全機(jī)制正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)間間隔安全狀態(tài)實(shí)施了具有緊急壇行的安全機(jī)制進(jìn)入緊急運(yùn)行正常運(yùn)行故障探測時(shí)問問隔故障響應(yīng)時(shí)問間隔緊急運(yùn)行時(shí)間間隔安全狀態(tài)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)短超過安全闕值探測到非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩過大探測到非預(yù)期輸山驅(qū)動(dòng)轉(zhuǎn)矩過人進(jìn)入安全狀態(tài)進(jìn)入安全狀態(tài)圖2非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔7.2.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài)，在非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。7.2.5報(bào)警和降級(jí)概念當(dāng)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大相關(guān)故障發(fā)生時(shí)，在確保能進(jìn)入安全狀態(tài)的前提下，可先進(jìn)行轉(zhuǎn)矩降額等處理。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。7.3防止電機(jī)轉(zhuǎn)矩輸出方向反向7.3.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性，當(dāng)檢測到異常時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出轉(zhuǎn)矩方向與請(qǐng)求方向相反時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，當(dāng)相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。6驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。7.3.3故障容錯(cuò)時(shí)間間隔(FTTI)驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的故障容錯(cuò)時(shí)間間隔，如圖3所示，應(yīng)根據(jù)分析、測試等方式給出。注：驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩方向反向的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。求方向相反故障容錯(cuò)時(shí)問間隔正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)間間隔安全狀態(tài)實(shí)施了具有緊急運(yùn)行的安全機(jī)制進(jìn)入緊急運(yùn)行—■正常運(yùn)行探測到轉(zhuǎn)矩輸出方求方向相反轉(zhuǎn)矩輸出方向請(qǐng)求方向相反故障響應(yīng)時(shí)間間隔故障探測時(shí)間間隔緊急運(yùn)行時(shí)間間隔實(shí)施了安全機(jī)制進(jìn)入安全狀態(tài)進(jìn)入安全狀態(tài)故障導(dǎo)致危害無安全機(jī)制安全狀念圖3驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向的故障容錯(cuò)時(shí)間間隔7.3.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài)，在驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。7.3.5報(bào)警和降級(jí)概念當(dāng)驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出方向反向的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。7.4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性，當(dāng)檢測到異常時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的驅(qū)動(dòng)轉(zhuǎn)矩高于安全閾值時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，當(dāng)相關(guān)故7障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。7.4.2運(yùn)行模式驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于非驅(qū)動(dòng)工作狀態(tài)且車輛處于靜止?fàn)顟B(tài)。7.4.3故障容錯(cuò)時(shí)間間隔(FTTI)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔，如圖4所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值無安全機(jī)制故障容錯(cuò)時(shí)問問隔非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)間間隔安全狀態(tài)實(shí)施了其有緊急塔行的安全機(jī)制進(jìn)入緊急運(yùn)行正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)間間隔緊急運(yùn)行時(shí)間間隔安全狀態(tài)驅(qū)動(dòng)轉(zhuǎn)矩非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值探測到非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩實(shí)施了安全機(jī)制故障導(dǎo)致危害進(jìn)入安全狀態(tài)進(jìn)入安全狀態(tài)圖4非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔7.4.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài)，在非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。7.4.5報(bào)警和降級(jí)概念當(dāng)非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。7.5防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩7.5.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性，當(dāng)檢測到異常時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故8障處理來避免違背安全目標(biāo)。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)避免無法輸出制動(dòng)轉(zhuǎn)矩，除非對(duì)應(yīng)故障將導(dǎo)致更嚴(yán)重的整車危害。當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)輸出制動(dòng)轉(zhuǎn)矩低于安全閾值時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，當(dāng)相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：無法輸出制動(dòng)轉(zhuǎn)矩的安全閾值由最大制動(dòng)能力等整車參數(shù)指標(biāo)推導(dǎo)得出，由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔，如圖5所示，應(yīng)根據(jù)分析、測試等方式給出。注：無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。制動(dòng)轉(zhuǎn)矩低于制動(dòng)轉(zhuǎn)矩低于安全閾值故障容錯(cuò)時(shí)間間隔制動(dòng)轉(zhuǎn)矩低丁安全閾值正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)間間隔安全狀態(tài)實(shí)施了具有紫急運(yùn)行安全機(jī)制正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)間間隔緊急運(yùn)行時(shí)間間隔安全狀態(tài)安全閾值探測到制動(dòng)轉(zhuǎn)矩過低操測到制動(dòng)轉(zhuǎn)矩過低實(shí)施了安全機(jī)制故障導(dǎo)致危害進(jìn)入安全狀態(tài)進(jìn)入安全狀態(tài)圖5無法輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔7.5.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)無法輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示來進(jìn)入安全狀態(tài)，在無法輸出制動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。7.5.5報(bào)警和降級(jí)概念當(dāng)無法輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。97.6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大7.6.1一般要求整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性，當(dāng)檢測到異常時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出過大的制動(dòng)轉(zhuǎn)矩高于安全閾值時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，當(dāng)相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的安全閾值由整車質(zhì)量、運(yùn)行車速等整車參數(shù)指標(biāo)推導(dǎo)得出，由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。7.6.2運(yùn)行模式驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于工作狀態(tài)。7.6.3故障容錯(cuò)時(shí)間間隔(FTTI)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔，如圖6所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。非預(yù)期輸出制動(dòng)轉(zhuǎn)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值無安全機(jī)制故障容錯(cuò)時(shí)間間隔非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值正帶運(yùn)行故障探測時(shí)問間踞故障響應(yīng)時(shí)間間隔安全狀態(tài)實(shí)施了具有緊急運(yùn)行的安全機(jī)制故障探測時(shí)問間隔:非預(yù)期輸小制動(dòng)轉(zhuǎn)矩超過安全閾們探測到非預(yù)切輸出探測到非預(yù)期輸故障響應(yīng)時(shí)間間隔緊急運(yùn)行時(shí)間間隔實(shí)施了安全機(jī)制進(jìn)入安全狀態(tài)故障導(dǎo)致危害安全狀態(tài)正常運(yùn)行圖6非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障容錯(cuò)時(shí)間間隔7.6.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài)，在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。7.6.5報(bào)警和降級(jí)概念當(dāng)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大相關(guān)故障發(fā)生時(shí)，在確保能進(jìn)入安全狀態(tài)的前提下，可先進(jìn)行制動(dòng)轉(zhuǎn)矩降額等處理。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。7.7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩整車控制器(VCU)或其他控制器(取決于整車電子架構(gòu))應(yīng)確保發(fā)送給驅(qū)動(dòng)電機(jī)控制器(MCU)的工作模式請(qǐng)求、轉(zhuǎn)矩指令等信號(hào)的正確性和完整性。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測這些信號(hào)的正確性和完整性，當(dāng)檢測到異常時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)執(zhí)行合理的故障處理來避免違背安全目標(biāo)。當(dāng)驅(qū)動(dòng)電機(jī)系統(tǒng)非預(yù)期輸出的制動(dòng)轉(zhuǎn)矩高于安全閾值時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，當(dāng)相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩的安全閾值由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。故障探測、響應(yīng)、處理應(yīng)在FTTI時(shí)間內(nèi)完成。驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)處于非制動(dòng)工作狀態(tài)且車輛處于靜止?fàn)顟B(tài)。7.7.3故障容錯(cuò)時(shí)間間隔(FTTI)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔，如圖7所示，應(yīng)根據(jù)分析、測試等方式給出。注：非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確認(rèn)。矩超過安全閾值無安全機(jī)制收障容錯(cuò)時(shí)間間隔實(shí)施了安全機(jī)制進(jìn)入安全狀態(tài)正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)間問隔安全狀態(tài)實(shí)施了具有緊急運(yùn)行的安全機(jī)制進(jìn)入緊急運(yùn)行正常運(yùn)行故障探測時(shí)間間隔故障響應(yīng)時(shí)問間隔緊急運(yùn)行時(shí)間問隔安全狀態(tài)探測到非預(yù)期輸山制動(dòng)轉(zhuǎn)矩探測到非預(yù)期輸出制動(dòng)轉(zhuǎn)矩非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值非預(yù)期輸出制動(dòng)轉(zhuǎn)矩超過安全閾值故障導(dǎo)致危害3進(jìn)入安全狀態(tài)圖7非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的故障容錯(cuò)時(shí)間間隔7.7.4安全狀態(tài)的進(jìn)入和退出當(dāng)確認(rèn)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)通過發(fā)出故障警示并終止轉(zhuǎn)矩輸出來進(jìn)入安全狀態(tài)，在非預(yù)期輸出制動(dòng)轉(zhuǎn)矩相關(guān)故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。注：故障退出或消除條件由整車制造商與驅(qū)動(dòng)電機(jī)系統(tǒng)供應(yīng)商協(xié)商確定。7.7.5報(bào)警和降級(jí)概念當(dāng)非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的相關(guān)故障發(fā)生時(shí)，驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)反饋故障標(biāo)志信息。8功能安全驗(yàn)證和確認(rèn)8.1總體要求功能安全驗(yàn)證是確定功能安全要求的完整性和正確性，應(yīng)在驅(qū)動(dòng)電機(jī)系統(tǒng)層面進(jìn)行驗(yàn)證，目的是證明功能安全要求：a)與驗(yàn)證活動(dòng)的結(jié)果的一致性與符合性；b)實(shí)現(xiàn)的正確性。本文件主要給出基于測試的功能安全驗(yàn)證方法，測試可在模擬環(huán)境下進(jìn)行。真實(shí)環(huán)境下的測試，本文件不作具體要求。功能安全確認(rèn)是確認(rèn)安全目標(biāo)得到充分實(shí)現(xiàn)且在系統(tǒng)及整車層面功能減輕或避免危害事件的發(fā)生。應(yīng)在驅(qū)動(dòng)電機(jī)系統(tǒng)或整車層面對(duì)功能安全目標(biāo)的實(shí)現(xiàn)進(jìn)行確認(rèn)，目的包括：a)證明安全目標(biāo)在整車層面的實(shí)現(xiàn)是正確的、完整的并得到完全實(shí)現(xiàn)；b)安全目標(biāo)能夠預(yù)防或減輕危害分析和風(fēng)險(xiǎn)評(píng)估中識(shí)別的危害事件及風(fēng)險(xiǎn)。8.2功能安全驗(yàn)證8.2.1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當(dāng)輸出驅(qū)動(dòng)轉(zhuǎn)矩低于安全閾值時(shí)，使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，在無法輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)測試應(yīng)針對(duì)7.1.2規(guī)定的運(yùn)行模式，所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在兩個(gè)象限(驅(qū)動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況，且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn)，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合，以確保安全機(jī)制的有效性；c)應(yīng)通過注入故障的方式進(jìn)行測試，注入的故障所引起的無法輸出驅(qū)動(dòng)轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型；d)測試應(yīng)使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，并發(fā)出報(bào)警信息；e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束模擬環(huán)境下測試：a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)；c)測試對(duì)象未能發(fā)出正確的報(bào)警信息；d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件：a)測試對(duì)象在注入故障后進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求；b)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。8.2.2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當(dāng)電機(jī)非預(yù)期的輸出過大的驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值時(shí)，使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，在非預(yù)期的輸出過大的驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)測試應(yīng)針對(duì)7.2.2規(guī)定的運(yùn)行模式，所選擇的測試工況點(diǎn)應(yīng)包括電機(jī)在兩個(gè)象限(驅(qū)動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況，且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn)，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等，以確保安全機(jī)制的有效性；c)應(yīng)通過注入故障的方式進(jìn)行測試，注入的故障所引起的非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型；d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行監(jiān)控；e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束模擬環(huán)境下測試：a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)；c)測試對(duì)象未能發(fā)出正確的報(bào)警信息；d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件：a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求；b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值；c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。8.2.3防止電機(jī)轉(zhuǎn)矩輸出方向相反驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當(dāng)電機(jī)轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反時(shí)，使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，在電機(jī)轉(zhuǎn)矩輸出方向與請(qǐng)求方向相反的故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)測試應(yīng)針對(duì)7.3.2規(guī)定的運(yùn)行模式，所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在四個(gè)象限運(yùn)行工況，且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn)，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合，以確保安全機(jī)制的有效性；c)應(yīng)通過注入故障的方式進(jìn)行測試，注入的故障所引起的轉(zhuǎn)矩反向安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型；d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束模擬環(huán)境下測試：a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)；c)測試對(duì)象未能發(fā)出正確的報(bào)警信息；d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件：a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求；b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值；c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。8.2.4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當(dāng)電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩超過安全閾值時(shí)，使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，在非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)測試應(yīng)針對(duì)7.4.2規(guī)定的運(yùn)行模式，所選擇的測試工況點(diǎn)應(yīng)使得驅(qū)動(dòng)電機(jī)系統(tǒng)處于非驅(qū)動(dòng)且靜止的工作狀態(tài)；c)應(yīng)通過注入故障的方式進(jìn)行測試，注入的故障所引起的非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩的安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型；d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行監(jiān)控；e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束模擬環(huán)境下測試：a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)；c)測試對(duì)象未能發(fā)出正確的報(bào)警信息；d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件：a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求；b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值；c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。8.2.5防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當(dāng)輸出制動(dòng)轉(zhuǎn)矩低于安全閾值時(shí)，使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，在無法輸出制動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)測試應(yīng)針對(duì)7.5.2規(guī)定的運(yùn)行模式，所選擇的測試工況點(diǎn)應(yīng)至少包括電機(jī)在兩個(gè)象限(制動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況，且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn)，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等組合，以確保安全機(jī)制的有效性；c)應(yīng)通過注入故障的方式進(jìn)行測試，注入的故障所引起的無法輸出制動(dòng)轉(zhuǎn)矩值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型；d)測試應(yīng)使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，并發(fā)出報(bào)警信息；e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束模擬環(huán)境下測試：a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)；c)測試對(duì)象未能發(fā)出正確的報(bào)警信息；d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件：a)測試對(duì)象在注入故障后進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求；b)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。8.2.6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當(dāng)輸出制動(dòng)轉(zhuǎn)矩超過安全閾值時(shí)，使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大的故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)測試應(yīng)針對(duì)7.6.2規(guī)定的運(yùn)行模式，所選擇的測試工況點(diǎn)應(yīng)包括電機(jī)在兩個(gè)象限(制動(dòng)工況對(duì)應(yīng)的兩個(gè)象限)運(yùn)行工況，且在每個(gè)象限內(nèi)應(yīng)選取典型的工作點(diǎn)，例如低轉(zhuǎn)矩和低轉(zhuǎn)速、高轉(zhuǎn)矩和高轉(zhuǎn)速、低轉(zhuǎn)矩和高轉(zhuǎn)速等，以確保安全機(jī)制的有效性；c)應(yīng)通過注入故障的方式進(jìn)行測試，注入的故障所引起的非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型；d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束模擬環(huán)境下測試：a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)；c)測試對(duì)象未能發(fā)出正確的報(bào)警信息；d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件：a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求；b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值；c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。8.2.7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)檢測輸出轉(zhuǎn)矩狀態(tài)，當(dāng)輸出制動(dòng)轉(zhuǎn)矩超過安全閾值時(shí)，使驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)，在非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩的故障退出或消除條件未滿足時(shí)，不應(yīng)退出安全狀態(tài)。測試對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。模擬環(huán)境下測試滿足如下要求：a)影響測試對(duì)象功能并與測試結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)測試應(yīng)針對(duì)7.7.2規(guī)定的運(yùn)行模式，所選擇的測試工況點(diǎn)應(yīng)使得驅(qū)動(dòng)電機(jī)系統(tǒng)處于非制動(dòng)且靜止的工作狀態(tài)；c)應(yīng)通過注入故障的方式進(jìn)行測試，注入的故障所引起的非預(yù)期輸出制動(dòng)轉(zhuǎn)矩的安全閾值應(yīng)至少包括低于安全閾值、達(dá)到安全閾值和高于安全閾值三個(gè)類型；d)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間、狀態(tài)切換、報(bào)警信息)進(jìn)行e)測試應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束模擬環(huán)境下測試：a)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)；b)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)；c)測試對(duì)象未能發(fā)出正確的報(bào)警信息；d)測試對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)。測試通過準(zhǔn)則應(yīng)同時(shí)滿足如下條件：a)測試對(duì)象在注入故障后可以進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且從注入故障到進(jìn)入安全狀態(tài)的時(shí)間間隔應(yīng)小于或等于故障容錯(cuò)時(shí)間間隔要求；b)測試對(duì)象進(jìn)入安全狀態(tài)時(shí)的轉(zhuǎn)矩滿足設(shè)計(jì)要求的安全閾值；c)測試對(duì)象發(fā)出了正確的故障報(bào)警信息。8.3功能安全確認(rèn)8.3.1防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩確認(rèn)安全目標(biāo)“防止電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn)，并能夠有效發(fā)出關(guān)于電機(jī)無法輸出驅(qū)動(dòng)轉(zhuǎn)矩導(dǎo)致車輛驅(qū)動(dòng)力喪失的故障警示。確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。確認(rèn)滿足如下要求：a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng)，基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況；注：車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注：典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常，如不能輸出驅(qū)動(dòng)轉(zhuǎn)矩。d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。8.3.1.4確認(rèn)結(jié)束條件當(dāng)符合以下任一條件時(shí)，結(jié)束確認(rèn)：a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于驅(qū)動(dòng)力喪失狀態(tài)；b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于驅(qū)動(dòng)力喪失狀態(tài)。8.3.2防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大”得到正確實(shí)現(xiàn)，并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大導(dǎo)致車輛加速度過大。確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。確認(rèn)滿足如下要求：a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng)，基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況；注：車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注：典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常，如電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩過大。d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束確認(rèn)：a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.3防止電機(jī)轉(zhuǎn)矩輸出方向反向確認(rèn)安全目標(biāo)“防止電機(jī)轉(zhuǎn)矩輸出方向反向”得到正確實(shí)現(xiàn)，并能夠有效預(yù)防由于電機(jī)轉(zhuǎn)矩輸出方向反向?qū)е萝囕v加速度方向相反。確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。確認(rèn)滿足如下要求：a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng)，基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況；注：車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注：典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常，如電機(jī)轉(zhuǎn)矩輸出方向反向。d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束確認(rèn)：a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.4防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn)，并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩導(dǎo)致車輛從靜止?fàn)顟B(tài)非預(yù)期啟動(dòng)、車輛非預(yù)期的加速。確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。確認(rèn)滿足如下要求：a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng)，基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況；注：車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注：典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常，如電機(jī)非預(yù)期的輸出驅(qū)動(dòng)轉(zhuǎn)矩。d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束確認(rèn)：a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示且車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.5防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩確認(rèn)安全目標(biāo)“防止電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn)，并能夠有效預(yù)防由于電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩導(dǎo)致車輛減速度過小。確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。確認(rèn)滿足如下要求：a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng)，基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況；注：車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注：典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常，如電機(jī)無法輸出制動(dòng)轉(zhuǎn)矩。d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束確認(rèn)：a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于制動(dòng)力降低狀態(tài)；b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，并且發(fā)出故障警示車輛處于制動(dòng)力降低狀態(tài)。8.3.6防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大”得到正確實(shí)現(xiàn)，并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大導(dǎo)致車輛減速度過大。確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。確認(rèn)滿足如下要求：a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng)，基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況；注：車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注：典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常，如電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩過大。d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；f)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束確認(rèn)：a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。8.3.7防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩確認(rèn)安全目標(biāo)“防止電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩”得到正確實(shí)現(xiàn)，并能夠有效預(yù)防由于電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩導(dǎo)致車輛非預(yù)期倒車。確認(rèn)對(duì)象為驅(qū)動(dòng)電機(jī)系統(tǒng)。確認(rèn)滿足如下要求：a)影響確認(rèn)對(duì)象功能并與確認(rèn)結(jié)果相關(guān)的所有設(shè)備都應(yīng)處于正常運(yùn)行狀態(tài)；b)確認(rèn)應(yīng)在整車層面進(jìn)行，至少包含真實(shí)的驅(qū)動(dòng)電機(jī)系統(tǒng)，基于車輛的實(shí)際工況或者模擬的車輛實(shí)際工況；注：車輛的實(shí)際工況至少包含危害分析和風(fēng)險(xiǎn)評(píng)估中最嚴(yán)苛工況。c)確認(rèn)應(yīng)包含違背安全目標(biāo)的典型失效模式；注：典型失效模式包含危害分析和風(fēng)險(xiǎn)評(píng)估中導(dǎo)出該安全目標(biāo)的功能異常，如電機(jī)非預(yù)期的輸出制動(dòng)轉(zhuǎn)矩。d)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)入安全狀態(tài)的過程(例如安全閾值、時(shí)間和狀態(tài)切換)進(jìn)行監(jiān)控；確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控；e)確認(rèn)應(yīng)對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)退出安全狀態(tài)的條件進(jìn)行監(jiān)控。當(dāng)符合以下任一條件時(shí)，結(jié)束確認(rèn)：a)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，并無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)；b)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，意外退出安全狀態(tài)；c)確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)未進(jìn)入安全狀態(tài)。確認(rèn)對(duì)象在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，無意外退出安全狀態(tài)，且發(fā)出故障警示車輛處于終止轉(zhuǎn)矩輸出狀態(tài)。(資料性)以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)的危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)示例A.1相關(guān)項(xiàng)定義A.1.1功能概念A(yù).1.1.1輸出驅(qū)動(dòng)轉(zhuǎn)矩該功能旨在驅(qū)動(dòng)電機(jī)控制器基于整車控制器給出的驅(qū)動(dòng)轉(zhuǎn)矩指令，結(jié)合驅(qū)動(dòng)電機(jī)當(dāng)前轉(zhuǎn)速、負(fù)荷等狀態(tài)控制驅(qū)動(dòng)電機(jī)輸出給定的驅(qū)動(dòng)轉(zhuǎn)矩。該功能旨在驅(qū)動(dòng)電機(jī)控制器基于整車控制器給出的制動(dòng)轉(zhuǎn)矩指令，結(jié)合驅(qū)動(dòng)電機(jī)當(dāng)前轉(zhuǎn)速、負(fù)荷等狀態(tài)控制驅(qū)動(dòng)電機(jī)輸出給定的制動(dòng)轉(zhuǎn)矩。A.1.2驅(qū)動(dòng)電機(jī)系統(tǒng)的邊界和接口按照GB/T34590.3—2022中5.4.2的要求，定義驅(qū)動(dòng)電機(jī)系統(tǒng)相關(guān)項(xiàng)與其他相關(guān)項(xiàng)的邊界和接口。-低壓信號(hào)一機(jī)械鏈接總線通信逆變模塊冷卻泵冷卻回路電機(jī)溫度信號(hào)電機(jī)位置信號(hào)外殼(MCT.)車架正極十。低壓蓄電池CAN總線正極+高壓蕃電池(BMS)整車控制器驅(qū)動(dòng)電機(jī)系統(tǒng)誠速器電機(jī)注1:圖A.1中的示例所示系統(tǒng)為由蓄電池、電機(jī)控制器、電機(jī)和單減速器構(gòu)成的動(dòng)力總成系統(tǒng)，此系統(tǒng)可用于將電能轉(zhuǎn)換為機(jī)械能驅(qū)動(dòng)汽車行進(jìn)的純電動(dòng)汽車，同時(shí)該動(dòng)力總成系統(tǒng)具備制動(dòng)能量回收功能。注2:圖A.1中的示例為搭載在A級(jí)乘用車上的驅(qū)動(dòng)電機(jī)系統(tǒng)，其他車型參考本附錄示例進(jìn)行分析。注3:圖A.1中的示例使用VCU作為獨(dú)立的整車控制單元，接收油門、制動(dòng)、擋位等信息，并轉(zhuǎn)換為所需要的轉(zhuǎn)矩輸出請(qǐng)求。該示例不考慮VCU與MCU集成等新型或特殊的整車控制架構(gòu)形式。注4:圖A.1中的示例使用CAN通信作為驅(qū)動(dòng)電機(jī)系統(tǒng)的通信形式，采用如CAN-FD、FlexRay等其他通信形式的車型參考本附錄。注5:本附錄中的電機(jī)僅以電動(dòng)汽車常用的永磁同步電機(jī)為例，使用如異步電機(jī)、電勵(lì)磁同步電機(jī)等電機(jī)類型的車型參考本附錄分析。電機(jī)控制器的工作模式僅考慮轉(zhuǎn)矩控制模式，不考慮轉(zhuǎn)速控制和電壓控制的工作模式。A.2相關(guān)項(xiàng)在整車層面上的危害識(shí)別A.2.1識(shí)別驅(qū)動(dòng)電機(jī)系統(tǒng)的功能異常表現(xiàn)按照GB/T34590.3—2022第6章的要求，應(yīng)用危害與可操作性分析(HAZOP)方法識(shí)別驅(qū)動(dòng)電機(jī)系統(tǒng)的功能異常表現(xiàn)，見表A.1。表A.1HAZOP分析示例功能引導(dǎo)詞功能喪失在有需求時(shí)，提供錯(cuò)誤的功能非預(yù)期的功能(在無需求時(shí)，提供功能)輸出卡滯在固定值上(功能不能按照需求更新)錯(cuò)誤的功能(多于預(yù)期)錯(cuò)誤的功能(少于預(yù)期)錯(cuò)誤的功能(方向相反)輸出驅(qū)動(dòng)轉(zhuǎn)矩(含零轉(zhuǎn)矩)不能輸出驅(qū)動(dòng)轉(zhuǎn)矩實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)矩大于期望值實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)矩小于期望值輸出轉(zhuǎn)矩方向與期望值反向非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩輸出轉(zhuǎn)矩量無法更新輸出制動(dòng)轉(zhuǎn)矩不能輸出制動(dòng)轉(zhuǎn)矩實(shí)際輸出制動(dòng)轉(zhuǎn)矩大于期望值實(shí)際輸出制動(dòng)轉(zhuǎn)矩小于期望值輸出轉(zhuǎn)矩方向與期望值反向非預(yù)期輸出制動(dòng)轉(zhuǎn)矩輸出轉(zhuǎn)矩量無法更新A.2.2分析驅(qū)動(dòng)電機(jī)系統(tǒng)的功能異常表現(xiàn)導(dǎo)致的整車層面危害按照GB/T34590.3—2022第6章的要求，根據(jù)A.2.1中驅(qū)動(dòng)電機(jī)系統(tǒng)的功能異常表現(xiàn)，分析可能導(dǎo)致的整車層面危害(最嚴(yán)重的情況),見表A.2。表A.2整車層面危害(最嚴(yán)重的情況)驅(qū)動(dòng)電機(jī)系統(tǒng)功能異常表現(xiàn)的影響整車層面的危害(最嚴(yán)重的情況)不能輸出驅(qū)動(dòng)轉(zhuǎn)矩車輛驅(qū)動(dòng)力喪失實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)矩大于期望值車輛加速度過大實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)矩小于期望值車輛加速能力不足非預(yù)期輸出驅(qū)動(dòng)轉(zhuǎn)矩車輛從靜止?fàn)顟B(tài)非預(yù)期啟動(dòng)、車輛非預(yù)期的加速不能輸出制動(dòng)轉(zhuǎn)矩車輛制動(dòng)力降低實(shí)際輸出制動(dòng)轉(zhuǎn)矩大于期望值車輛減速度過大實(shí)際輸出制動(dòng)轉(zhuǎn)矩小于期望值車輛制動(dòng)力降低非預(yù)期輸出制動(dòng)轉(zhuǎn)矩車輛非預(yù)期倒車表A.2整車層面危害(最嚴(yán)重的情況)(續(xù))驅(qū)動(dòng)電機(jī)系統(tǒng)功能異常表現(xiàn)的影響整車層面的危害(最嚴(yán)重的情況)輸出轉(zhuǎn)矩方向與期望值反向車輛加速度方向相反輸出轉(zhuǎn)矩量無法更新車輛非預(yù)期加、減速或車輛運(yùn)動(dòng)反向根據(jù)第5章運(yùn)行條件和環(huán)境約束要求，分析典型的車輛運(yùn)行場景，見表A.3。表A.3典型的車輛運(yùn)行場景示例場景編號(hào)典型場景正常行駛(高速路、城市或鄉(xiāng)村道路、住宅區(qū)或人口密集區(qū)等)2超車行駛(高速路或城市多車道路、鄉(xiāng)村或單車道路等)3轉(zhuǎn)彎行駛(十字路口、匝道等)4靜止起步(十字路口、停車場、坡道等)5高速匝道并入6坡道行駛(上下坡、坡道駐車等)A.4ASIL等級(jí)的導(dǎo)出以驅(qū)動(dòng)電機(jī)系統(tǒng)為相關(guān)項(xiàng)開展典型危害的危害分析和風(fēng)險(xiǎn)評(píng)估(HARA),ASIL等級(jí)。分析過程見表A.4。并確定危害事件的GB/T43254—2023GB/T43254—2023表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_01_la(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在高速或城市多車道道路上超車運(yùn)行時(shí)突然丟失動(dòng)力(踩油門無響應(yīng)),后方或側(cè)方有車輛在與后方或側(cè)方車輛相對(duì)車速較小的情況下(△v<20km/h),與后方或側(cè)方車輛發(fā)生碰撞碰撞時(shí)兩車的相對(duì)速度偏低，可能造成駕駛員輕度或中度受傷，但不會(huì)危及生命前后車保持較低相對(duì)車速的持續(xù)時(shí)間大于10%平均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速較低，大于99%駕駛員可以控制車輛減速或完成停車HZD_01_1b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后方或側(cè)方車輛相對(duì)車速中等的情況下(20km/h≤△v≤40km/h),與后方或側(cè)方車輛發(fā)生碰撞碰撞時(shí)兩車的相對(duì)速度中等，可能造成駕駛員較為嚴(yán)重的受傷，但不會(huì)危及生命10%平均駕駛時(shí)由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速中等，大于90%駕駛員可以控制車輛減速或完成停車AHZD_01_1c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后方或側(cè)方車輛相對(duì)車速較高的情況下(△v>40km/h),與后方或側(cè)方車輛發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度較高，可能造成駕駛員較為嚴(yán)重的受傷，甚至危及生命前后車保持較高相對(duì)車速的持續(xù)均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速較高，大于90%駕駛員可以控制車輛減速或完成停車A表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))號(hào)危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_01_2a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛正常駕駛過程中突然丟失動(dòng)應(yīng)),后方有車輛跟隨在與后車相對(duì)車速較小的后車發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度偏低，可能造成駕駛員輕度或中度受傷，但不會(huì)危及生命正常駕駛過程中，前后車保持較低相對(duì)車速的持續(xù)時(shí)間大于10%平均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速較低，大于控制車輛減速或完成停車HZD_01_2b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對(duì)車速中等的情況下(20km/h≤△v≤40km/h),與后車發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度中等，可能造成駕駛員較為嚴(yán)重的受傷，但不會(huì)危及生命正常駕駛過程中，前后車保持中等相對(duì)車速的持續(xù)10%平均駕駛時(shí)由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速中等，大于控制車輛減速或完成停車AHZD_01_2c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對(duì)車速較高的情況下(△v>40km/h),與后車發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度較高，可能造成駕駛員較為嚴(yán)重的受傷，甚至危及生命正常駕駛過程中，前后車保持較高相對(duì)車速的持續(xù)均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速較高，大于90%駕駛員可以控制車輛減速或完成停車A8表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_01_3a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在十字路口轉(zhuǎn)向過程中突然丟失動(dòng)力(踩油門無響應(yīng)),對(duì)向有來車對(duì)向車道車輛以相較于左轉(zhuǎn)車輛較低的相對(duì)車速駛過路口(△v<20km/h),左轉(zhuǎn)車輛無法按照預(yù)期的速度通過對(duì)向車道，可能導(dǎo)致發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度偏低，可能造成駕駛員輕度或中度受傷，但不會(huì)危及生命穿越十字路口左轉(zhuǎn)，對(duì)向車輛與轉(zhuǎn)彎車輛保持較低相對(duì)車速的持續(xù)均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)對(duì)向車輛和左轉(zhuǎn)車輛相對(duì)車99%駕駛員可以控制車輛減速或完成停車HZD_01_3b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無對(duì)向車道車輛以相較于左轉(zhuǎn)車輛中等的相對(duì)車速駛過路口(20km/h≤△v≤40km/h),左轉(zhuǎn)車輛無法按照預(yù)期的速度通過對(duì)向車道，可能導(dǎo)致發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度中等，可能造成駕駛員較為嚴(yán)重的受傷，但不會(huì)危及生命穿越十字路口左轉(zhuǎn)，對(duì)向車輛與轉(zhuǎn)彎車輛保持中等相對(duì)車速的持續(xù)均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)對(duì)向車輛和左轉(zhuǎn)車輛相對(duì)車90%駕駛員可以控制車輛減速或完成停車HZD_01_3c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無對(duì)向車道車輛以相較于左轉(zhuǎn)車輛較高的相對(duì)車速駛過路口(△v>40km/h),左轉(zhuǎn)車輛無法按照預(yù)期的速度通過對(duì)向車道，可能導(dǎo)致發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度較高，可能造成駕駛員較為嚴(yán)重的受傷，甚至危及生命穿越十字路口左轉(zhuǎn)，對(duì)向車輛與轉(zhuǎn)彎車輛保持較高相對(duì)車速的持續(xù)均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速較高，大于99%駕駛員可以控制車輛減速或完成停車表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))品危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_01_4a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在城市或鄉(xiāng)村道路借道超車運(yùn)行時(shí)，在借道過程中突然丟失動(dòng)力(踩油門無響應(yīng)),對(duì)向車道有來車在與對(duì)向車道車輛相對(duì)車20km/h),與對(duì)向車道車輛發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度偏低，可能造成駕駛員輕度或中度受傷，但不會(huì)危及生命借道超車，對(duì)向車輛與借道車輛保持較低相對(duì)車速的持續(xù)時(shí)間小于1%平均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)對(duì)向車輛和左轉(zhuǎn)車輛相對(duì)車99%駕駛員可以控制車輛減速或完成停車HZD_01_4b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與對(duì)向車道車輛相對(duì)車速中等的情況下(20km/h≤△v≤40km/h),與對(duì)向車道車輛發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度中等，可能造成駕駛員較為嚴(yán)重的受傷，但不會(huì)危及生命借道超車，對(duì)向車輛與借道車輛保持中等相對(duì)車速的持續(xù)時(shí)間小于1%平均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)對(duì)向車輛和左轉(zhuǎn)車輛相對(duì)車90%駕駛員可以控制車輛減速或完成停車HZD_01_4c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與對(duì)向車道車輛相對(duì)車40km/h),與對(duì)向車道車輛發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度較高，可能造成駕駛員較為嚴(yán)重的受傷，甚至危及生命借道超車，對(duì)向車輛與借道車輛保持較高相對(duì)車速的持續(xù)時(shí)間小于1%平均駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)對(duì)向車輛和左轉(zhuǎn)車輛相對(duì)車90%駕駛員可以控制車輛減速或完成停車A8表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_01_5a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在高速入口匝道并道過程中突然丟失動(dòng)力(踩油門無響應(yīng)),后方有來車在與后車相對(duì)車速較小的情況下(△v<20km/h),與后車發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度偏低，可能造成駕駛員輕度或中度受傷，但不會(huì)危及生命高速匝道并道，前后車保持較低相對(duì)車速的持續(xù)時(shí)駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速較低，大于99%駕駛員可以控制車輛減速或完成停車HZD_01_5b(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對(duì)車速中等的情況下(20km/h≤△v≤40km/h),與后車發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度中等，可能造成駕駛員較為嚴(yán)重的受傷，但不會(huì)危及生命高速匝道并道，前后車保持較低相對(duì)車速的持續(xù)時(shí)駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速中等，大于90%駕駛員可以控制車輛減速或完成停車HZD_01_5c(含零轉(zhuǎn)轉(zhuǎn)矩喪失無在與后車相對(duì)車速較高的情況下(△v>40km/h),與后車發(fā)生碰撞碰撞時(shí)兩輛車的相對(duì)速度較高，可能造成駕駛員較為嚴(yán)重的受傷，甚至危及生命高速匝道并道，前后車保持較低相對(duì)車速的持續(xù)時(shí)駕駛時(shí)間由于丟失動(dòng)力發(fā)生時(shí)前后車相對(duì)車速較高，大于90%駕駛員可以控制車輛減速或完成停車AGB/T43254—2023GB/T43254—2023表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_01_6a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在陡坡爬坡運(yùn)行時(shí)，突然丟失動(dòng)力(踩油門無響應(yīng)),后方有行人穿過在與后方行人相對(duì)距離較近的情況下，由于丟失動(dòng)力導(dǎo)致后溜，與后方行人發(fā)生碰撞由于距離較小，相對(duì)速度較小，可能造成后方輕度或中度受傷，但是考慮到可能產(chǎn)生碾壓，最壞情況下可能造成較為嚴(yán)重的受傷，甚至危及生命爬坡駕駛，且后方有來車的持續(xù)時(shí)駕駛時(shí)間由于丟失動(dòng)力導(dǎo)于90%駕駛員可以控制車輛制動(dòng)、AHZD_01_6b(含零轉(zhuǎn)出驅(qū)動(dòng)轉(zhuǎn)矩喪失無在與后方行人相對(duì)距離較遠(yuǎn)的情況下，由于丟失動(dòng)力導(dǎo)致后溜，與后方行人發(fā)生碰撞由于距離較遠(yuǎn)，相對(duì)速度較大，可能造成后方較為嚴(yán)重的受傷，甚至危及生命爬坡駕駛，且后方有行人穿越的持平均駕駛時(shí)間由于丟失動(dòng)力導(dǎo)致車輛后溜且與后方行人距離較遠(yuǎn)，大于99%駕駛員可以控制車輛制動(dòng)、鳴笛等HZD_01_7a動(dòng)轉(zhuǎn)矩(含零轉(zhuǎn)轉(zhuǎn)矩喪失無車輛在陡坡爬坡運(yùn)行時(shí)，突然丟失動(dòng)力(踩油門無響應(yīng)),后方有來車在與后車相對(duì)距離較近的情況下，由于丟失動(dòng)力導(dǎo)致后溜，與后車發(fā)生碰撞由于距離較小，相對(duì)速度較小，可能造成后車駕駛員但不會(huì)危及生命爬坡駕駛，且后方有來車的持續(xù)時(shí)駕駛時(shí)間由于丟失動(dòng)力導(dǎo)于90%駕駛員可以控制車輛制動(dòng)、HZD_01_7b(含零轉(zhuǎn)出驅(qū)動(dòng)轉(zhuǎn)矩喪失無在與后車相對(duì)距離較遠(yuǎn)的情況下，由于丟失動(dòng)力導(dǎo)致后溜，與后車發(fā)生碰撞由于距離較遠(yuǎn)，相對(duì)速度較大，可能造成后車駕駛員但不會(huì)危及生命爬坡駕駛，且后方有來車的持續(xù)時(shí)駕駛時(shí)間由于丟失動(dòng)力導(dǎo)致車輛后溜且與后車距離較近，大于99%駕駛員可以控制車輛制動(dòng)、表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_01_8a(含零轉(zhuǎn)轉(zhuǎn)矩喪失無路交叉路口，突然丟失動(dòng)力(踩油門無響應(yīng)),列車后續(xù)經(jīng)過鐵道交叉路口車輛將會(huì)與列車相撞車輛通過鐵路交叉路口等危險(xiǎn)路況時(shí)丟失動(dòng)力，產(chǎn)生特別嚴(yán)重或致命傷害車輛經(jīng)過鐵路交叉口在平均駕駛時(shí)間中的占比小由于丟失動(dòng)力導(dǎo)致車輛滯留在鐵道交叉口，大于90%駕駛員可以盡快離開車輛以避免傷害HZD_02_1a(含零轉(zhuǎn)于期望值過大車輛在人員較為密集處低速行駛與車輛附近行人發(fā)生碰撞人員較為密集處低速行駛時(shí)非預(yù)期的加速嚴(yán)重度取決于電機(jī)產(chǎn)生非預(yù)期加速的能力大多數(shù)駕駛員每天都會(huì)遭遇此駕駕駛時(shí)間中的占比大于10%輛，避免傷害CHZD_02_2a(含零轉(zhuǎn)值加速度過大在城市道路/高速公路等處正常行駛時(shí)轉(zhuǎn)向，進(jìn)入彎道行駛與車道外對(duì)象(行人/車輛/設(shè)施)碰撞偏航可能以較高速度撞向行人/車輛/設(shè)施，嚴(yán)重度取決于電機(jī)產(chǎn)生非預(yù)期加速的能力大多數(shù)駕駛員每天都會(huì)遭遇此駕駛場景，其在平均駕駛時(shí)間中的占比大于10%駕駛員的反應(yīng)時(shí)的發(fā)生CGB/T43254—2023GB/T43254—2023表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_02_3a(含零轉(zhuǎn)矩)轉(zhuǎn)矩大于期望值過大速公路等處正前方有其他車輛與前面車輛追尾中高速行駛時(shí)非預(yù)期的加速追尾撞擊時(shí)的速度差較低，通常認(rèn)為不會(huì)對(duì)駕乘人員造成危及生命的傷害。大多數(shù)駕駛員每天都會(huì)遭遇此駕駛場景，其在平均駕駛時(shí)間中的占比大于10%駕駛員可以通過踩制動(dòng)降低車速，在大多數(shù)情況下，駕駛員的反應(yīng)時(shí)間足夠避免傷害的發(fā)生BHZD_02_4a(含零轉(zhuǎn)值過大山路，前邊沒有交通以小于的正常速度下坡；或前邊沒有交通以小于的正常速度下坡；或有雪，以小于低速下坡車輛撞到其他車輛或物體，或者車輛離開路面掉落山下車輛中低速山路行駛時(shí)，非預(yù)期加速，車輛穩(wěn)定性喪失車輛撞到其他車輛或物體，或者車輛離開路面掉落山下，會(huì)發(fā)生人員生命危險(xiǎn)一般的駕駛員和車輛遇到此駕駛場景可能性較低[絕大多數(shù)駕駛員一年發(fā)生幾次(基于運(yùn)行場景頻率),絕大多數(shù)車輛在山路帶有不安全的陡峭斜坡的平均運(yùn)行時(shí)間小于1%]對(duì)于一般的駕駛員，此場景很難控制，此時(shí)由于故障功能受限(遇到非預(yù)期加速，駕駛員會(huì)比較慌亂，尤其是自行車/行人比較近的時(shí)候。少于90%的駕駛員能夠避免危害的發(fā)生)BHZD_02_4b(含零轉(zhuǎn)矩)轉(zhuǎn)矩大值過大車輛撞到其他車輛或物體，或者車輛離開路面掉落山下車輛中低速山路行駛時(shí)，非預(yù)期加速，車輛穩(wěn)定性喪失車輛撞到其他車輛或物體，或者車輛離開路面掉落山下，會(huì)發(fā)生人員生命危險(xiǎn)(車輛中速側(cè)面碰撞到一個(gè)狹窄的靜止物體，如樹干、路邊突出護(hù)欄等，影響到乘員艙；中速和其他車輛碰撞；自行車/行人事故，或者車輛離開路面掉落山下，會(huì)發(fā)生人員生命危險(xiǎn))山區(qū)駕駛中可能性相對(duì)較高(山區(qū)中車輛在山路帶有不安全的陡峭斜坡的路面平均1%～10%之間)山區(qū)駕駛員具有較豐富的經(jīng)驗(yàn)，可以降低可控度(山區(qū)駕駛員具有較豐富的經(jīng)驗(yàn)，可保持既定行駛線路)B表A.4危害分析和風(fēng)險(xiǎn)評(píng)估示例(續(xù))危害編號(hào)功能功能異常表現(xiàn)整車層面的危害假設(shè)危害的詳細(xì)描述危害事件(潛在的事故場景-考慮最嚴(yán)苛場景)ASILS理由E理由C理由ASILHZD_03_la(含零轉(zhuǎn)值過小高速超車在超車過程中后后方車輛車距過小時(shí)，將會(huì)發(fā)生碰撞發(fā)生后碰，S3:△v—2022中表B.3駕駛員的反應(yīng)時(shí)間足夠避免傷害HZD_03_2a輸出驅(qū)(含零轉(zhuǎn)于期望值過小高速正常行駛高速上正常駕駛時(shí)，后方有來車發(fā)生碰撞發(fā)生后碰，S3:△v—2022中表B.3,正常行