ChinaAutoRegs｜GB/T 43254-2023英文版翻译《电动汽车用驱动电机系统功能安全要求及试验方法》

　　GB/T 43254-2023英文版翻译 电动汽车用驱动电机系统功能安全要求及试验方法

　　附录A （资料性）以驱动电机系统为相关项的危害分析和风险评估（HARA）示例 23

　　本文件规定了电动汽车用驱动电机系统（以下简称“驱动电机系统”）的功能安全要求及试验方法。

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。

　　GB/T 34590.1-2022界定的以及下列术语和定义适用于本文件。

　　安装在电动汽车上，为车辆行驶提供驱动力、实现机械能与电能间相互转化的系统。

　　注；包括驱动电机，驱动电机控制器及它们工作必需的辅助装置。辅助装置包含与驱动电机集成于一体的变速 装置。

　　将电能转换成机械能为车辆行驶提供驱动力的电气装置，该装置也具备机械能转化成电能的功能。

　　控制动力电源与驱动电机之间能量传输的装置，由控制信号接口电路、驱动电机控制电路、驱动电 路功率电子模块等组成。

　　除非特别说明，驱动电机系统功能安全技术开发、流程开发等要求应按照GB/T 34590. 1 ~ 34590.12—2022 执行。

　　应按照GB/T 34590.3-2022的要求进行相关项定义，相关项指实现整车层面功能或部分功能的 系统或系统组合。

　　注：相关项及其范围根据具体情况定义。附录A给出了以驱动电机系统为相关项的功能概念和相关项边界和接口 示例。

　　为满足车辆安全运行，确保车辆内部、外部人员以及车辆环境的安全，驱动电机系统应对驱动电机 的安全运行进行监控和保护。驱动电机系统的功能性要求还应满足GB/T 18488（所有部分）、 GB 18384—2020中的功能要求。

　　为满足车辆安全运行，需要明确相关项的运行条件及环境约束，可包含（如适用）；

　　b）驱动电机系统处于驱动模式、制动模式、待机模式等，或者驱动电机系统处于工作状态或者非 工作状态；

　　根据第5章相关项定义，按照GB/T 34590.3—2022,基于车辆使用场景，分析识别驱动电机系统中 因故障而引起的危害并对危害进行归类，定义相应的汽车安全完整性等级（ASIL）,制定防止危害事件 发生或减轻危害程度的安全目标，以避免不合理的风险。

　　通过危害分析和风险评估确定的驱动电机系统的安全目标及其属性,应至少包含表1所列的内容。

　　如果出现与表1所列的要求不一致的情况，应具备相应的证据来证明驱动电机系统不会因功能异 常表现而导致不合理的整车危害风险。应至少包括如下证据：

　　整车控制器（VCU）或其他控制器（取决于整车电子架构）应确保发送给驱动电机控制器（MCU）的 工作模式请求、转矩指令等信号的正确性和完整性。

　　驱动电机系统应检测这些信号的正确性和完整性，当检测到异常时，驱动电机系统应执行合理的故 障处理来避免违背安全目标。

　　驱动电机系统应避免无法输出驱动转矩，除非对应故障将导致更严重的整车危害。

　　当驱动电机系统输出驱动转矩低于安全阈值时，驱动电机系统应进入安全状态，当相关故障退出或 消除条件未满足时,不应退出安全状态。

　　注：无法输出驱动转矩的安全阈值由最大加速能力、可达到的最高车速等整车参数指标推导得出，由整车制造商与 驱动电机系统供应商协商确认。

　　无法输出驱动转矩的故障容错时间间隔，如图1所示，应根据分析、测试等方式给出。

　　注2：无法输出驱动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。

　　当确认无法输出驱动转矩的相关故障发生时,驱动电机系统通过发出故障警示来进入安全状态，在 无法输出驱动转矩相关故障退出或消除条件未满足时,不应退出安全状态。

　　整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。

　　驱动电机系统应检测这些信号的正确性和完整性，当检测到异常时，驱动电机系统应执行合理的故 障处理来避免违背安全目标。

　　当驱动电机系统非预期输出的驱动转矩高于安全阈值时，驱动电机系统应进入安全状态，当相关故 障退出或消除条件未满足时，不应退出安全状态。

　　注：非预期输出的驱动转矩过大的安全阈值由最大加速能力、可达到的最高车速等整车参数指标推导得出，由整车 制造商与驱动电机系统供应商协商确认。

　　非预期的输出驱动转矩过大的故障容错时间间隔，如图2所示，应根据分析、测试等方式给出。

　　注：非预期的输出驱动转矩过大的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。

　　当确认非预期的输出驱动转矩过大的相关故障发生时，驱动电机系统应通过发出故障警示并终止 转矩输出来进入安全状态，在非预期的输出驱动转矩过大相关故障退出或消除条件未满足时，不应退出 安全状态。

　　当非预期的输出驱动转矩过大相关故障发生时，在确保能进入安全状态的前提下，可先进行转矩降 额等处理。驱动电机系统应反馈故障标志信息。

　　整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。

　　驱动电机系统应检测这些信号的正确性和完整性，当检测到异常时，驱动电机系统应执行合理的故 障处理来避免违背安全目标。

　　当驱动电机系统输出转矩方向与请求方向相反时，驱动电机系统应进入安全状态，当相关故障退出 或消除条件未满足时，不应退出安全状态。

　　驱动电机输出转矩方向反向的故障容错时间间隔，如图3所示，应根据分析、测试等方式给出。 注：驱动电机输出转矩方向反向的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。

　　当确认驱动电机转矩输出方向反向的相关故障发生时,驱动电机系统通过发出故障警示并终止转 矩输出来进入安全状态，在驱动电机转矩输出方向反向相关故障退出或消除条件未满足时，不应退出安 全状态。

　　当驱动电机转矩输出方向反向的相关故障发生时，驱动电机系统应反馈故障标志信息。

　　整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。

　　驱动电机系统应检测这些信号的正确性和完整性，当检测到异常时，驱动电机系统应执行合理的故 障处理来避免违背安全目标。

　　当驱动电机系统非预期输出的驱动转矩高于安全阈值时，驱动电机系统应进入安全状态，当相关故

　　注：非预期输出驱动转矩的安全阈值由整车制造商与驱动电机系统供应商协商确认。 故障探测、响应、处理应在FTTI时间内完成.

　　非预期输出驱动转矩的故障容错时间间隔，如图4所示，应根据分析、测试等方式给出。 注：非预期输出驱动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。

　　当确认非预期输出驱动转矩的相关故障发生时,驱动电机系统通过发出故障警示并终止转矩输出 来进入安全状态，在非预期输出驱动转矩相关故障退出或消除条件未满足时，不应退出安全状态。

　　整车控制器（VCU）或其他控制器（取决于整车电子架构）应确保发送给驱动电机控制器（MCU）的 工作模式请求、转矩指令等信号的正确性和完整性。

　　驱动电机系统应检测这些信号的正确性和完整性，当检测到异常时，驱动电机系统应执行合理的故

　　驱动电机系统应避免无法输出制动转矩，除非对应故障将导致更严重的整车危害。

　　当驱动电机系统输出制动转矩低于安全阈值时，驱动电机系统应进入安全状态，当相关故障退出或 消除条件未满足时，不应退出安全状态。

　　注：无法输出制动转矩的安全阚值由最大制动能力等整车参数指标推导得出，由整车制造商与驱动电机系统供应 商协商确认。

　　无法输出制动转矩的故障容错时间间隔，如图5所示，应根据分析、测试等方式给出。 注：无法输出制动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。

　　当确认无法输出制动转矩的相关故障发生时,驱动电机系统通过发出故障警示来进入安全状态，在 无法输出制动转矩相关故障退出或消除条件未满足时,不应退出安全状态。

　　整车控制器（VCU）或其他控制器（取决于整车电子架构）应确保发送给驱动电机控制器（MCU）的 工作模式请求、转矩指令等信号的正确性和完整性。

　　驱动电机系统应检测这些信号的正确性和完整性，当检测到异常时，驱动电机系统应执行合理的故 障处理来避免违背安全目标。

　　当驱动电机系统非预期输出过大的制动转矩高于安全阈值时，驱动电机系统应进入安全状态，当相 关故障退出或消除条件未满足时,不应退出安全状态。

　　注：非预期的输出制动转矩过大的安全阈值由整车质量、运行车速等整车参数指标推导得出，由整车制造商与驱动 电机系统供应商协商确认.

　　非预期的输出制动转矩过大的故障容错时间间隔，如图6所示，应根据分析、测试等方式给出。

　　注：非预期的输出制动转矩过大的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。

　　当确认非预期的输出制动转矩过大的相关故障发生时，驱动电机系统应通过发出故障警示并终止 转矩输出来进入安全状态，在非预期的输出制动转矩过大相关故障退出或消除条件未满足时，不应退出 安全状态。

　　当非预期的输出制动转矩过大相关故障发生时，在确保能进入安全状态的前提下，可先进行制动转 矩降额等处理。驱动电机系统应反馈故障标志信息。

　　整车控制器(VCU)或其他控制器(取决于整车电子架构)应确保发送给驱动电机控制器(MCU)的 工作模式请求、转矩指令等信号的正确性和完整性。

　　驱动电机系统应检测这些信号的正确性和完整性，当检测到异常时，驱动电机系统应执行合理的故 障处理来避免违背安全目标。

　　当驱动电机系统非预期输出的制动转矩高于安全阈值时，驱动电机系统应进入安全状态，当相关故 障退出或消除条件未满足时,不应退出安全状态。

　　注：非预期的输出制动转矩的安全阈值由整车制造商与驱动电机系统供应商协商确认。

　　非预期输出制动转矩的故障容错时间间隔，如图7所示，应根据分析、测试等方式给出。

　　注：非预期输出制动转矩的故障容错时间间隔由整车制造商与驱动电机系统供应商协商确认。

　　当确认非预期输出制动转矩的相关故障发生时,驱动电机系统通过发出故障警示并终止转矩输出 来进入安全状态，在非预期输出制动转矩相关故障退出或消除条件未满足时,不应退出安全状态。

　　功能安全验证是确定功能安全要求的完整性和正确性，应在驱动电机系统层面进行验证，目的是证 明功能安全要求；

　　本文件主要给出基于测试的功能安全验证方法,测试可在模拟环境下进行。真实环境下的测试，本 文件不作具体要求。

　　功能安全确认是确认安全目标得到充分实现且在系统及整车层面功能减轻或避免危害事件的发 生。应在驱动电机系统或整车层面对功能安全目标的实现进行确认，目的包括：

　　驱动电机系统应检测输出转矩状态，当输出驱动转矩低于安全阈值时，使驱动电机系统进入安全状 态，在无法输出驱动转矩的故障退出或消除条件未满足时，不应退出安全状态。

　　b）测试应针对7.1.2规定的运行模式,所选择的测试工况点应至少包括电机在两个象限（驱动工 况对应的两个象限）运行工况，且在每个象限内应选取典型的工作点，例如低转矩和低转速、 高转矩和高转速、低转矩和高转速等组合，以确保安全机制的有效性；

　　c）应通过注入故障的方式进行测试，注入的故障所引起的无法输出驱动转矩值应至少包括低于 安全阈值、达到安全阈值和高于安全阈值三个类型；

　　a）测试对象在注入故障后进入安全状态，并无意外退出安全状态，且从注入故障到进入安全状态 的时间间隔应小于或等于故障容错时间间隔要求；

　　驱动电机系统应检测输出转矩状态，当电机非预期的输出过大的驱动转矩超过安全阚值时，使驱动 电机系统进入安全状态，在非预期的输出过大的驱动转矩的故障退出或消除条件未满足时，不应退出安 全状态。

　　b）测试应针对722规定的运行模式，所选择的测试工况点应包括电机在两个象限（驱动工况对 应的两个象限）运行工况，且在每个象限内应选取典型的工作点，例如低转矩和低转速、高转 矩和高转速、低转矩和高转速等，以确保安全机制的有效性；

　　c）应通过注入故障的方式进行测试，注入的故障所引起的非预期的输出驱动转矩值应至少包括 低于安全阈值、达到安全阈值和高于安全阈值三个类型；

　　d）测试应对驱动电机系统进入安全状态的过程（例如安全阈值、时间、状态切换、报警信息）进行 监控；

　　a）测试对象在注入故障后可以进入安全状态，并无意外退出安全状态，且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求；

　　驱动电机系统应检测输出转矩状态，当电机转矩输出方向与请求方向相反时，使驱动电机系统进入 安全状态，在电机转矩输出方向与请求方向相反的故障退出或消除条件未满足时，不应退出安全状态。

　　b）测试应针对7.3.2规定的运行模式，所选择的测试工况点应至少包括电机在四个象限运行工 况，且在每个象限内应选取典型的工作点，例如低转矩和低转速、高转矩和高转速低转矩和 高转速等组合，以确保安全机制的有效性；

　　c）应通过注入故障的方式进行测试，注入的故障所引起的转矩反向安全阈值应至少包括低于安 全阈值、达到安全阈值和高于安全阈值三个类型；

　　d）测试应对驱动电机系统进入安全状态的过程（例如安全阈值、时间、状态切换、报警信息）进行 监控；

　　a）测试对象在注入故障后可以进入安全状态，并无意外退出安全状态，且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求；

　　驱动电机系统应检测输出转矩状态，当电机非预期的输出驱动转矩超过安全阈值时，使驱动电机系 统进入安全状态，在非预期的输出驱动转矩的故障退出或消除条件未满足时,不应退出安全状态。

　　b）测试应针对742规定的运行模式，所选择的测试工况点应使得驱动电机系统处于非驱动且 静止的工作状态；

　　c）应通过注入故障的方式进行测试，注入的故障所引起的非预期输出驱动转矩的安全阈值应至 少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型；

　　d）测试应对驱动电机系统进入安全状态的过程（例如安全阈值、时间、状态切换、报警信息）进行 监控；

　　a）测试对象在注入故障后可以进入安全状态，并无意外退出安全状态，且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求；

　　驱动电机系统应检测输出转矩状态，当输出制动转矩低于安全阈值时，使驱动电机系统进入安全状 态，在无法输出制动转矩的故障退出或消除条件未满足时，不应退出安全状态。

　　b）测试应针对7.5.2规定的运行模式,所选择的测试工况点应至少包括电机在两个象限（制动工 况对应的两个象限）运行工况，且在每个象限内应选取典型的工作点，例如低转矩和低转速、 高转矩和高转速、低转矩和高转速等组合，以确保安全机制的有效性；

　　c）应通过注入故障的方式进行测试，注入的故障所引起的无法输出制动转矩值应至少包括低于 安全阈值、达到安全阈值和高于安全阈值三个类型；

　　a）测试对象在注入故障后进入安全状态，并无意外退出安全状态;且从注入故障到进入安全状态 的时间间隔应小于或等于故障容错时间间隔要求；

　　驱动电机系统应检测输出转矩状态，当输出制动转矩超过安全阚值时，使驱动电机系统进入安全状 态，在非预期的输出制动转矩过大的故障退出或消除条件未满足时,不应退出安全状态。

　　b）测试应针对7.6.2规定的运行模式，所选择的测试工况点应包括电机在两个象限（制动工况对 应的两个象限）运行工况，且在每个象限内应选取典型的工作点，例如低转矩和低转速、高转 矩和高转速、低转矩和高转速等，以确保安全机制的有效性；

　　c）应通过注入故障的方式进行测试，注入的故障所引起的非预期的输出制动转矩过大安全阈值 应至少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型；

　　d）测试应对驱动电机系统进入安全状态的过程（例如安全阈值、时间、状态切换、报警信息）进行

　　a）测试对象在注入故障后可以进入安全状态，并无意外退出安全状态，且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求；

　　驱动电机系统应检测输出转矩状态，当输出制动转矩超过安全阈值时，使驱动电机系统进入安全状 态，在非预期的输出制动转矩的故障退出或消除条件未满足时,不应退出安全状态。

　　b）测试应针对7.7.2规定的运行模式，所选择的测试工况点应使得驱动电机系统处于非制动且 静止的工作状态；

　　c）应通过注入故障的方式进行测试，注入的故障所引起的非预期输出制动转矩的安全阈值应至 少包括低于安全阈值、达到安全阈值和高于安全阈值三个类型；

　　d）测试应对驱动电机系统进入安全状态的过程（例如安全阈值、时间、状态切换、报警信息）进行 监控；

　　a）测试对象在注入故障后可以进入安全状态，并无意外退出安全状态，且从注入故障到进入安全 状态的时间间隔应小于或等于故障容错时间间隔要求；

　　确认安全目标“防止电机无法输出驱动转矩”得到正确实现，并能够有效发出关于电机无法输出驱 动转矩导致车辆驱动力丧失的故障警示。

　　b）确认应在整车层面进行，至少包含真实的驱动电机系统，基于车辆的实际工况或者模拟的车 辆实际工况；

　　注：典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常，如不能输出驱动转矩。

　　d）确认应对驱动电机系统进入安全状态的过程（例如安全阚值、时间和状态切换）进行监控；

　　a）确认对象在故障容错时间间隔内进入安全状态，并无意外退出安全状态,并且发出故障警示车 辆处于驱动力丧失状态；

　　确认对象在故障容错时间间隔内进入安全状态，无意外退出安全状态,并且发出故障警示车辆处于 驱动力丧失状态。

　　确认安全目标“防止电机非预期的输出驱动转矩过大”得到正确实现，并能够有效预防由于电机非 预期的输出驱动转矩过大导致车辆加速度过大。

　　b）确认应在整车层面进行，至少包含真实的驱动电机系统，基于车辆的实际工况或者模拟的车 辆实际工况；

　　注：典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常，如电机非预期的输出驱动转矩 过大。

　　d）确认应对驱动电机系统进入安全状态的过程（例如安全阈值,时间和状态切换）进行监控；

　　a）确认对象在故障容错时间间隔内进入安全状态，并无意外退出安全状态,且发出故障警示车辆 处于终止转矩输出状态；

　　确认对象在故障容错时间间隔内进入安全状态，无意外退出安全状态,且发出故障警示车辆处于终 止转矩输出状态。

　　确认安全目标“防止电机转矩输出方向反向”得到正确实现，并能够有效预防由于电机转矩输出方 向反向导致车辆加速度方向相反。

　　b）确认应在整车层面进行，至少包含真实的驱动电机系统，基于车辆的实际工况或者模拟的车 辆实际工况；

　　注：典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常，如电机转矩输出方向反向。

　　d）确认应对驱动电机系统进入安全状态的过程（例如安全阈值、时间和状态切换）进行监控；

　　a）确认对象在故障容错时间间隔内进入安全状态,并无意外退出安全状态,并且发出故障警示且 车辆处于终止转矩输出状态;

　　确认对象在故障容错时间间隔内进入安全状态，无意外退出安全状态,并且发出故障警示且车辆处 于终止转矩输出状态。

　　确认安全目标“防止电机非预期的输出驱动转矩”得到正确实现，并能够有效预防由于电机非预期 的输出驱动转矩导致车辆从静止状态非预期启动、车辆非预期的加速。

　　b）确认应在整车层面进行，至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况；

　　注：典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常，如电机非预期的输出驱动转矩。

　　d）确认应对驱动电机系统进入安全状态的过程（例如安全阈值、时间和状态切换）进行监控；

　　a）确认对象在故障容错时间间隔内进入安全状态，并无意外退出安全状态,并且发出故障警示且 车辆处于终止转矩输出状态；

　　确认对象在故障容错时间间隔内进入安全状态，无意外退出安全状态,并且发出故障警示且车辆处 于终止转矩输出状态。

　　确认安全目标“防止电机无法输出制动转矩”得到正确实现，并能够有效预防由于电机无法输出制 动转矩导致车辆减速度过小。

　　b）确认应在整车层面进行，至少包含真实的驱动电机系统，基于车辆的实际工况或者模拟的车 辆实际工况；

　　注：典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常,如电机无法输出制动转矩。

　　d）确认应对驱动电机系统进入安全状态的过程（例如安全阈值、时间和状态切换）进行监控；

　　a）确认对象在故障容错时间间隔内进入安全状态，并无意外退出安全状态,并且发出故障警示车 辆处于制动力降低状态；

　　确认对象在故障容错时间间隔内进入安全状态，无意外退出安全状态,并且发出故障警示车辆处于 制动力降低状态。

　　确认安全目标“防止电机非预期的输出制动转矩过大”得到正确实现,并能够有效预防由于电机非

　　b）确认应在整车层面进行，至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况；

　　注：典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常，如电机非预期的输出制动转矩 过大。

　　d）确认应对驱动电机系统进入安全状态的过程（例如安全阈值、时间和状态切换）进行监控；

　　a）确认对象在故障容错时间间隔内进入安全状态，并无意外退出安全状态,且发出故障警示车辆 处于终止转矩输出状态；

　　确认对象在故障容错时间间隔内进入安全状态，无意外退出安全状态,且发出故障警示车辆处于终 止转矩输出状态。

　　确认安全目标“防止电机非预期的输出制动转矩”得到正确实现，并能够有效预防由于电机非预期 的输出制动转矩导致车辆非预期倒车。

　　b）确认应在整车层面进行，至少包含真实的驱动电机系统,基于车辆的实际工况或者模拟的车 辆实际工况；

　　注：典型失效模式包含危害分析和风险评估中导出该安全目标的功能异常，如电机非预期的输出制动转矩。

　　d）确认应对驱动电机系统进入安全状态的过程（例如安全阈值、时间和状态切换）进行监控；确 认应对驱动电机系统的状态进行监控；

　　a）确认对象在故障容错时间间隔内进入安全状态，并无意外退出安全状态,且发出故障警示车辆 处于终止转矩输出状态；

　　确认对象在故障容错时间间隔内进入安全状态，无意外退出安全状态,且发出故障警示车辆处于终 止转矩输出状态。

　　声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。