基本信息
標準簡介
標準目錄
中文樣稿
Foreword
Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This document is developed in accordance with the rules given in GB/T 1.1-2020 Directives for standardization - Part 1: Rules for the structure and drafting of standardizing documents.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights.
This document was proposed by the Ministry of Industry and Information Technology of the People's Republic of China.
This document is under the jurisdiction of the National Technical Committee of Auto Standardization (SAC/TC 114).
Functional safety requirements and testing methods for drive motor system of electric vehicles
1 Scope
This document specifies the functional safety requirements and testing methods for drive motor system of electric vehicles (hereinafter referred to as "drive motor system").
This document is applicable to the drive motor system of electric vehicles, and may serve as a reference for other types of drive motor systems.
2 Normative references
The following documents contain requirements which, through reference in this text, constitute provisions of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB 18384-2020 Electric vehicles safety requirements
GB/T 18488 (All parts) Drive motor system for electric vehicles
GB/T 34590.1~34590.12-2022 Road vehicles - Functional safety
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 34590.1-2022 and the following apply.
3.1
drive motor system
system installed on an electric vehicle to provide driving force for the vehicle and realize mutual conversion between mechanical energy and electric energy
Note: Drive motors, drive motor controllers and auxiliary devices necessary for their operation are included. The auxiliary devices include variable speed devices integrated with the drive motor.
[Source: GB/T 19596-2017, 3.1.2.1.10, modified]
3.2
drive motor
electrical device that converts electric energy into mechanical energy to provide driving force for vehicle, which also has the function of converting mechanical energy into electric energy
[Source: GB/T 19596-2017, 3.2.1.1.2.1, modified]
3.3
drive motor controller
device for controlling the energy transmission between the power source and the drive motor, which is composed of a control signal interface circuit, a drive motor control circuit, a drive circuit power electronic module, etc.
[Source: GB/T 19596-2017, 3.2.1.2, modified]
4 General requirements
Unless otherwise specified, the requirements for functional safety technology development and process development of drive motor system shall be implemented according to GB/T 34590.1 to 34590.12-2022.
ICS 43.040
CCS T 35
GB
中年人民共和國國家標準
GB/T 43254—2023
電動汽車用驅動電機系統功能安全
要求及試驗方法
Functional safety requirements and testing methods for drive motor system of
electric vehicles
2023-11-27發布 2024-06-01實施
國家市場監督管理總局
國家標準化管理委員會 分布
前言
本文件按照GB/T 1.1—2020《標準化工作導則 第1部分:標準化文件的結構和起草規則》的規定起草。
請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。
本文件由中華人民共和國工業和信息化部提出。
本文件由全國汽車標準化技術委員會(SAC/TC 114)歸口。
電動汽車用驅動電機系統功能安全
要求及試驗方法
1 范圍
本文件規定了電動汽車用驅動電機系統(以下簡稱“驅動電機系統”)的功能安全要求及試驗方法。
本文件適用于電動汽車用驅動電機系統,其他類型的驅動電機系統參照執行。
2 規范性引用文件
下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB 18384—2020 電動汽車安全要求
GB/T 18488(所有部分) 電動汽車用驅動電機系統
GB/T 34590.1~34590.12—2022 道路車輛 功能安全
3 術語和定義
GB/T 34590.1—2022界定的以及下列術語和定義適用于本文件。
3.1
驅動電機系統 drive motor system
安裝在電動汽車上,為車輛行駛提供驅動力、實現機械能與電能間相互轉化的系統。
注:包括驅動電機,驅動電機控制器及它們工作必需的輔助裝置。輔助裝置包含與驅動電機集成于一體的變速裝置。
[來源:GB/T 19596—2017,定義3.1.2.1.10,有修改]
3.2
驅動電機 drive motor
將電能轉換成機械能為車輛行駛提供驅動力的電氣裝置,該裝置也具備機械能轉化成電能的功能。
[來源:GB/T 19596—2017,定義3.2.1.1.2.1,有修改]
3.3
驅動電機控制器 drive motor controller
控制動力電源與驅動電機之間能量傳輸的裝置,由控制信號接口電路、驅動電機控制電路、驅動電路功率電子模塊等組成。
[來源:GB/T 19596—2017,定義3.2.1.2,有修改]
4 一般要求
除非特別說明,驅動電機系統功能安全技術開發、流程開發等要求應按照GB/T 34590.1~34590.12—2022執行。
5 相關項定義
5.1 總體要求
應按照GB/T 34590.3—2022的要求進行相關項定義,相關項指實現整車層面功能或部分功能的系統或系統組合。
注:相關項及其范圍根據具體情況定義。附錄A給出了以驅動電機系統為相關項的功能概念和相關項邊界和接口示例。
5.2 功能概念
為滿足車輛安全運行,確保車輛內部、外部人員以及車輛環境的安全,驅動電機系統應對驅動電機的安全運行進行監控和保護。驅動電機系統的功能性要求還應滿足GB/T 18488(所有部分)、GB 18384—2020中的功能要求。
注:附錄A給出了驅動電機系統輸出驅動轉矩、輸出制動轉矩的功能概念描述。
5.3 運行條件和環境約束
為滿足車輛安全運行,需要明確相關項的運行條件及環境約束,可包含(如適用):
a)外部環境,例如溫度、濕度、路況、天氣等;
b)驅動電機系統處于驅動模式、制動模式、待機模式等,或者驅動電機系統處于工作狀態或者非工作狀態;
c)相關項與整車其他相關項的依賴關系、接口關系等。
6 危害分析和風險評估
6.1 總則
根據第5章相關項定義,按照GB/T 34590.3—2022,基于車輛使用場景,分析識別驅動電機系統中因故障而引起的危害并對危害進行歸類,定義相應的汽車安全完整性等級(ASIL),制定防止危害事件發生或減輕危害程度的安全目標,以避免不合理的風險。
注:以驅動電機系統為相關項進行危害分析和風險評估的示例見附錄A。
6.2 安全目標
通過危害分析和風險評估確定的驅動電機系統的安全目標及其屬性,應至少包含表1所列的內容。
表1 驅動電機系統的安全目標及其屬性
序號 安全目標 ASIL 安全狀態 故障容錯時間間隔(FTTI)
1 防止電機無法輸出驅動轉矩 A 發出警示 見7.1.3
2 防止電機非預期的輸出驅動轉矩過大 C 發出警示,終止轉矩輸出 見7.2.3
3 防止電機轉矩輸出方向反向 C 發出警示,終止轉矩輸出 見7.3.3
4 防止電機非預期的輸出驅動轉矩 C 發出警示,終止轉矩輸出 見7.4.3
5 防止電機無法輸出制動轉矩 A 發出警示 見7.5.3
6 防止電機非預期的輸出制動轉矩過大 C 發出警示,終止轉矩輸出 見7.6.3
7 防止電機非預期的輸出制動轉矩 C 發出警示,終止轉矩輸出 見7.7.3
注:發出警示,指的是驅動電機系統發出故障標志信息。整車端警示可由整車制造商做出定義。
如果出現與表1所列的要求不一致的情況,應具備相應的證據來證明驅動電機系統不會因功能異常表現而導致不合理的整車危害風險。應至少包括如下證據:
a)考慮了全部整車危害風險,并制定了合理的安全目標;
b)所制定的安全目標針對目標市場是適用和充分的。
7 功能安全要求
7.1 防止電機無法輸出驅動轉矩
7.1.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構)應確保發送給驅動電機控制器(MCU)的工作模式請求、轉矩指令等信號的正確性和完整性。
驅動電機系統應檢測這些信號的正確性和完整性,當檢測到異常時,驅動電機系統應執行合理的故障處理來避免違背安全目標。
驅動電機系統應避免無法輸出驅動轉矩,除非對應故障將導致更嚴重的整車危害。
當驅動電機系統輸出驅動轉矩低于安全閾值時,驅動電機系統應進入安全狀態,當相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:無法輸出驅動轉矩的安全閾值由最大加速能力、可達到的最高車速等整車參數指標推導得出,由整車制造商與軀動電機系統供應商協商確認。
故障探測、響應、處理應在FTTI時間內完成。
7.1.2 運行模式
驅動電機系統應處于驅動工作狀態。
7.1.3 故障容錯時間間隔(FTTI)
無法輸出驅動轉矩的故障容錯時間間隔,如圖1所示,應根據分析、測試等方式給出。
注1:無法輸出驅動轉矩的故障容錯時間間隔的確定方法見附錄B。
注2:無法輸出驅動轉矩的故障容錯時間間隔由整車制造商與驅動電機系統供應商協商確認。
注3:降級可以是緊急運行概念的一部分。
驅動轉矩低于安全閾值
無安全機制
故障導致危害
故障容錯時間間隔
驅動轉矩低于安全閾值
探測到驅動轉矩過低
進入安全狀態
實施了安全機制
正常運行
故障探測時間間隔
故障響應時間間隔
安全狀態
實施了具有緊急運行的安全機制
驅動轉矩低于安全閾值
探測到驅動轉矩過低
進入緊急運行
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
緊急運行時間間隔
安企狀態
圖1 無法輸出驅動轉矩的故障容錯時間間隔
7.1.4 安全狀態的進入和退出
當確認無法輸出驅動轉矩的相關故障發生時,驅動電機系統通過發出故障警示來進入安全狀態,在無法輸出驅動轉矩相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:故障退出或消除條件由整車制造商與驅動電機系統供應商協商確定。
7.1.5 報警和降級概念
當無法輸出驅動轉矩的相關故障發生時,驅動電機系統應反饋故障標志信息。
7.2 防止電機非預期的輸出驅動轉矩過大
7.2.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構)應確保發送給驅動電機控制器(MCU)的工作模式請求、轉矩指令等信號的正確性和完整性。
驅動電機系統應檢測這些信號的正確性和完整性,當檢測到異常時,驅動電機系統應執行合理的故障處理來避免違背安全目標。
當驅動電機系統非預期輸出的驅動轉矩高于安全閾值時,驅動電機系統應進入安全狀態,當相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:非預期輸出的驅動轉矩過大的安全閾值由最大加速能力、可達到的最高車速等整車參數指標推導得出,由整車制造商與驅動電機系統供應商協商確認。
故障探測、響應、處理應在FTTI時間內完成。
7.2.2 運行模式
驅動電機系統應處于工作狀態。
7.2.3 故障容錯時間間隔(FTTI)
非預期的輸出驅動轉矩過大的故障容錯時間間隔,如圖2所示,應根據分析、測試等方式給出。
注:非預期的輸出驅動轉矩過大的故障容錯時間間隔由整車制造商與驅動電機系統供應商協商確認。
非預期輸出驅動轉矩超過安全閾值
故障導致危害
無安全機制
故障容錯時間間隔
非預期輸出驅動轉矩超過安全閾值
探測到非預期輸出驅動轉矩過大
實施了安全機制
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
安全狀態
實施了具有緊急運行的安全機制
非預期輸出驅動轉矩超過安全閾值
探測到非預期輸出驅動轉矩過大
進入緊急運行
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
緊急運行時間間隔
安全狀態
圖2 非預期的輸出驅動轉矩過大的故障容錯時間間隔
7.2.4 安全狀態的進入和退出
當確認非預期的輸出驅動轉矩過大的相關故障發生時,驅動電機系統應通過發出故障警示并終止轉矩輸出來進入安全狀態,在非預期的輸出驅動轉矩過大相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:故障退出或消除條件由整車制造商與驅動電機系統供應商協商確定。
7.2.5 報警和降級概念
當非預期的輸出驅動轉矩過大相關故障發生時,在確保能進入安全狀態的前提下,可先進行轉矩降額等處理。驅動電機系統應反饋故障標志信息。
7.3 防止電機轉矩輸出方向反向
7.3.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構)應確保發送給驅動電機控制器(MCU)的工作模式請求、轉矩指令等信號的正確性和完整性。
驅動電機系統應檢測這些信號的正確性和完整性,當檢測到異常時,驅動電機系統應執行合理的故障處理來避免違背安全目標。
當驅動電機系統輸出轉矩方向與請求方向相反時,驅動電機系統應進入安全狀態,當相關故障退出或消除條件未滿足時,不應退出安全狀態。
故障探測、響應、處理應在FTTI時間內完成。
7.3.2 運行模式
驅動電機系統應處于工作狀態。
7.3.3 故障容錯時間間隔(FTTI)
驅動電機輸出轉矩方向反向的故障容錯時間間隔,如圖3所示,應根據分析、測試等方式給出。
注:驅動電機輸出轉矩方向反向的故障容錯時間間隔由整車制造商與驅動電機系統供應商協商確認。
轉矩輸出方向與請求方向相反
無安全機制
故障導致危害
故障容錯時間間隔
轉矩輸出方向與請求方向相反
探測到轉矩輸出方向與請求方向相反
實施了安全機制
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
安全狀態
實施了具有緊急運行的安全機制
轉矩輸出方向與請求方向相反
探測到轉矩輸出方向與請求方向相反
進入緊急運行
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
緊急運行時間間隔
安全狀態
圖3 驅動電機轉矩輸出方向反向的故障容錯時間間隔
7.3.4 安全狀態的進入和退出
當確認驅動電機轉矩輸出方向反向的相關故障發生時,驅動電機系統通過發出故障警示并終止轉矩輸出來進入安全狀態,在驅動電機轉矩輸出方向反向相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:故障退出或消除條件由整車制造商與驅動電機系統供應商協商確定。
7.3.5 報警和降級概念
當驅動電機轉矩輸出方向反向的相關故障發生時,驅動電機系統應反饋故障標志信息。
7.4 防止電機非預期的輸出驅動轉矩
7.4.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構)應確保發送給驅動電機控制器(MCU)的工作模式請求、轉矩指令等信號的正確性和完整性。
驅動電機系統應檢測這些信號的正確性和完整性,當檢測到異常時,驅動電機系統應執行合理的故障處理來避免違背安全目標。
當驅動電機系統非預期輸出的驅動轉矩高于安全閾值時,驅動電機系統應進入安全狀態,當相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:非預期輸出驅動轉矩的安全閾值由整車制造商與驅動電機系統供應商協商確認。
故障探測、響應、處理應在FTTI時間內完成。
7.4.2 運行模式
驅動電機系統應處于非驅動工作狀態且車輛處于靜止狀態。
7.4.3 故障容錯時間間隔(FTTI)
非預期輸出驅動轉矩的故障容錯時間間隔,如圖4所示,應根據分析、測試等方式給出。
注:非預期輸出驅動轉矩的故障容錯時間間隔由整車制造商與驅動電機系統供應商協商確認。
非預期輸出驅動轉矩超過安全閾值
故障導致危害
無安全機制
故障容錯時間間隔
非預期輸出驅動轉矩超過安全閾值
探測到非預期輸出驅動轉矩
實施了安全機制
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
安全狀態
實施了具有緊急運行的安全機制
非預期輸出驅動轉矩超過安全閾值
探測到非預期輸出驅動轉矩
進入緊急運行
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
緊急運行時間間隔
安全狀態
圖4 非預期輸出驅動轉矩的故障容錯時間間隔
7.4.4 安全狀態的進入和退出
當確認非預期輸出驅動轉矩的相關故障發生時,驅動電機系統通過發出故障警示并終止轉矩輸出來進入安全狀態,在非預期輸出驅動轉矩相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:故障退出或消除條件由整車制造商與驅動電機系統供應商協商確定。
7.4.5 報警和降級概念
當非預期輸出驅動轉矩的相關故障發生時,驅動電機系統應反饋故障標志信息。
7.5 防止電機無法輸出制動轉矩
7.5.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構)應確保發送給驅動電機控制器(MCU)的工作模式請求、轉矩指令等信號的正確性和完整性。
驅動電機系統應檢測這些信號的正確性和完整性,當檢測到異常時,驅動電機系統應執行合理的故障處理來避免違背安全目標。
驅動電機系統應避免無法輸出制動轉矩,除非對應故障將導致更嚴重的整車危害。
當驅動電機系統輸出制動轉矩低于安全閾值時,驅動電機系統應進入安全狀態,當相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:無法輸出制動轉矩的安全閾值由最大制動能力等整車參數指標推導得出,由整車制造商與驅動電機系統供應商協商確認。
故障探測、響應、處理應在FTTI時間內完成。
7.5.2 運行模式
驅動電機系統應處于工作狀態。
7.5.3 故障容錯時間間隔(FTTI)
無法輸出制動轉矩的故障容錯時間間隔,如圖5所示,應根據分析、測試等方式給出。
注:無法輸出制動轉矩的故障容錯時間間隔由整車制造商與驅動電機系統供應商協商確認。
制動轉矩低于安全閾值
無安全機制
故障導致危害
故障容錯時間間隔
制動轉矩低于安全閾值
探測到制動轉矩過低
實施了安全機制
進入安全狀態
正常運行
故障探測時間間隔
故障響應時時間隔
安全狀態
實施了具有緊急運行安全機制
制動轉矩低于安全閾值
探測到制動轉矩過低
進入緊急運行
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
緊急運行時間間隔
安全狀態
圖5 無法輸出制動轉矩的故障容錯時間間隔
7.5.4 安全狀態的進入和退出
當確認無法輸出制動轉矩的相關故障發生時,驅動電機系統通過發出故障警示來進入安全狀態,在無法輸出制動轉矩相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:故障退出或消除條件由整車制造商與驅動電機系統供應商協商確定。
7.5.5 報警和降級概念
當無法輸出制動轉矩的相關故障發生時,驅動電機系統應反饋故障標志信息。
7.6 防止電機非預期的輸出制動轉矩過大
7.6.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構)應確保發送給驅動電機控制器(MCU)的工作模式請求、轉矩指令等信號的正確性和完整性。
驅動電機系統應檢測這些信號的正確性和完整性,當檢測到異常時,驅動電機系統應執行合理的故障處理來避免違背安全目標。
當驅動電機系統非預期輸出過大的制動轉矩高于安全閾值時,驅動電機系統應進入安全狀態,當相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:非預期的輸出制動轉矩過大的安全閾值由整車質量、運行車速等整車參數指標推導得出,由整車制造商與驅動電機系統供應商協商確認。
故障探測、響應、處理應在FTTI時間內完成。
7.6.2 運行模式
驅動電機系統應處于工作狀態。
7.6.3 故障容錯時間間隔(FTTI)
非預期的輸出制動轉矩過大的故障容錯時間間隔,如圖6所示,應根據分析、測試等方式給出。
注:非預期的輸出制動轉矩過大的故障容錯時間間隔由整車制造商與驅動電機系統供應商協商確認。
非預期輸出制動轉矩超過安全閾值
無安全機制
故障導致危害
故障容錯時間間隔
非預期輸出制動轉矩超過安全閾值
探測到非預期輸出制動轉矩過大
實施了安全機制
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
安全狀態
實施了具有緊急運行的安全機制
非預期輸出制動轉矩超過安全閾值
探測到非預期輸出制動轉矩過大
進入緊急運行
進入安全狀態
圖6 非預期的輸出制動轉矩過大的故障容錯時間間隔
7.6.4 安全狀態的進入和退出
當確認非預期的輸出制動轉矩過大的相關故障發生時,驅動電機系統應通過發出故障警示并終止轉矩輸出來進入安全狀態,在非預期的輸出制動轉矩過大相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:故障退出或消除條件由整車制造商與驅動電機系統供應商協商確定。
7.6.5 報警和降級概念
當非預期的輸出制動轉矩過大相關故障發生時,在確保能進入安全狀態的前提下,可先進行制動轉矩降額等處理。驅動電機系統應反饋故障標志信息。
7.7 防止電機非預期的輸出制動轉矩
7.7.1 一般要求
整車控制器(VCU)或其他控制器(取決于整車電子架構)應確保發送給驅動電機控制器(MCU)的工作模式請求、轉矩指令等信號的正確性和完整性。
驅動電機系統應檢測這些信號的正確性和完整性,當檢測到異常時,驅動電機系統應執行合理的故障處理來避免違背安全目標。
當驅動電機系統非預期輸出的制動轉矩高于安全閾值時,驅動電機系統應進入安全狀態,當相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:非預期的輸出制動轉矩的安全閾值由整車制造商與驅動電機系統供應商協商確認。
故障探測、響應、處理應在FTTI時間內完成。
7.7.2 運行模式
驅動電機系統應處于非制動工作狀態且車輛處于靜止狀態。
7.7.3 故障容錯時間間隔(FTTI)
非預期輸出制動轉矩的故障容錯時間間隔,如圖7所示,應根據分析、測試等方式給出。
注:非預期輸出制動轉矩的故障容錯時間間隔由整車制造商與驅動電機系統供應商協商確認。
非預期輸出制動轉矩超過安全閾值
無安全機制
故障導致危害
故障容錯時間間隔
非預期輸出制動轉矩超過安全閾值
探測到非預期輸出制動轉矩
實施了安全機制
進入安全狀態
正常運行
故障探測時間間隔
故障響應時間間隔
安全狀態
實施了具有緊急運行的安全機制
非預期輸出制動轉矩超過安全閾值
探測到非預期輸出制動轉矩
進入緊急運行
進入安全狀態
正常運行
緊急運行時間間隔
故障探測時間間隔
故障響應時間間隔
圖7 非預期輸出制動轉矩的故障容錯時間間隔
7.7.4 安全狀態的進入和退出
當確認非預期輸出制動轉矩的相關故障發生時,驅動電機系統通過發出故障警示并終止轉矩輸出來進入安全狀態,在非預期輸出制動轉矩相關故障退出或消除條件未滿足時,不應退出安全狀態。
注:故障退出或消除條件由整車制造商與驅動電機系統供應商協商確定。
7.7.5 報警和降級概念
當非預期輸出制動轉矩的相關故障發生時,驅動電機系統應反饋故障標志信息。
8 功能安全驗證和確認
8.1 總體要求
功能安全驗證是確定功能安全要求的完整性和正確性,應在驅動電機系統層面進行驗證,目的是證明功能安全要求:
a)與驗證活動的結果的一致性與符合性;
b)實現的正確性。
本文件主要給出基于測試的功能安全驗證方法,測試可在模擬環境下進行。真實環境下的測試,本文件不作具體要求。
功能安全確認是確認安全目標得到充分實現且在系統及整車層面功能減輕或避免危害事件的發生。應在驅動電機系統或整車層面對功能安全目標的實現進行確認,目的包括:
a)證明安全目標在整車層面的實現是正確的、完整的并得到完全實現;
b)安全目標能夠預防或減輕危害分析和風險評估中識別的危害事件及風險。
8.2 功能安全驗證
8.2.1 防止電機無法輸出驅動轉矩
8.2.1.1 測試目的
驅動電機系統應檢測輸出轉矩狀態,當輸出驅動轉矩低于安全閾值時,使驅動電機系統進入安全狀態,在無法輸出驅動轉矩的故障退出或消除條件未滿足時,不應退出安全狀態。
8.2.1.2 測試對象
測試對象為驅動電機系統。
8.2.1.3 測試要求
模擬環境下測試滿足如下要求:
a)影響測試對象功能并與測試結果相關的所有設備都應處于正常運行狀態;
b)測試應針對7.1.2規定的運行模式,所選擇的測試工況點應至少包括電機在兩個象限(驅動工況對應的兩個象限)運行工況,且在每個象限內應選取典型的工作點,例如低轉矩和低轉速、高轉矩和高轉速、低轉矩和高轉速等組合,以確保安全機制的有效性;
c)應通過注入故障的方式進行測試,注入的故障所引起的無法輸出驅動轉矩值應至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型;
d)測試應使驅動電機系統進入安全狀態,并發出報警信息;
e)測試應對驅動電機系統退出安全狀態的條件進行監控。
8.2.1.4 測試結束條件
當符合以下任一條件時,結束模擬環境下測試:
a)測試對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態;
b)測試對象在故障容錯時間間隔內未進入安全狀態;
c)測試對象未能發出正確的報警信息;
d)測試對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態。
8.2.1.5 測試通過準則
測試通過準則應同時滿足如下條件:
a)測試對象在注入故障后進入安全狀態,并無意外退出安全狀態,且從注入故障到進入安全狀態的時間間隔應小于或等于故障容錯時間間隔要求;
b)測試對象發出了正確的故障報警信息。
8.2.2 防止電機非預期的輸出驅動轉矩過大
8.2.2.1 測試目的
驅動電機系統應檢測輸出轉矩狀態,當電機非預期的輸出過大的驅動轉矩超過安全閾值時,使驅動電機系統進入安全狀態,在非預期的輸出過大的驅動轉矩的故障退出或消除條件未滿足時,不應退出安全狀態。
8.2.2.2 測試對象
測試對象為驅動電機系統。
8.2.2.3 測試要求
模擬環境下測試滿足如下要求:
a)影響測試對象功能并與測試結果相關的所有設備都應處于正常運行狀態;
b)測試應針對7.2.2規定的運行模式,所選擇的測試工況點應包括電機在兩個象限(驅動工況對應的兩個象限)運行工況,且在每個象限內應選取典型的工作點,例如低轉矩和低轉速、高轉矩和高轉速、低轉矩和高轉速等,以確保安全機制的有效性;
c)應通過注入故障的方式進行測試,注入的故障所引起的非預期的輸出驅動轉矩值應至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型;
d)測試應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間、狀態切換、報警信息)進行監控;
e)測試應對驅動電機系統退出安全狀態的條件進行監控。
8.2.2.4 測試結束條件
當符合以下任一條件時,結束模擬環境下測試:
a)測試對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態;
b)測試對象在故障容錯時間間隔內未進入安全狀態;
c)測試對象未能發出正確的報警信息;
d)測試對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態。
8.2.2.5 測試通過準則
測試通過準則應同時滿足如下條件:
a)測試對象在注入故障后可以進入安全狀態,并無意外退出安全狀態,且從注入故障到進入安全狀態的時間間隔應小于或等于故障容錯時間間隔要求;
b)測試對象進入安全狀態時的轉矩滿足設計要求的安全閾值;
c)測試對象發出了正確的故障報警信息。
8.2.3 防止電機轉矩輸出方向相反
8.2.3.1 測試目的
驅動電機系統應檢測輸出轉矩狀態,當電機轉矩輸出方向與請求方向相反時,使驅動電機系統進入安全狀態,在電機轉矩輸出方向與請求方向相反的故障退出或消除條件未滿足時,不應退出安全狀態。
8.2.3.2 測試對象
測試對象為驅動電機系統。
8.2.3.3 測試要求
模擬環境下測試滿足如下要求:
a)影響測試對象功能并與測試結果相關的所有設備都應處于正常運行狀態;
b)測試應針對7.3.2規定的運行模式,所選擇的測試工況點應至少包括電機在四個象限運行工況,且在每個象限內應選取典型的工作點,例如低轉矩和低轉速、高轉矩和高轉速、低轉矩和高轉速等組合,以確保安全機制的有效性;
c)應通過注入故障的方式進行測試,注入的故障所引起的轉矩反向安全閾值應至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型;
d)測試應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間、狀態切換、報警信息)進行監控;
e)測試應對驅動電機系統退出安全狀態的條件進行監控。
8.2.3.4 測試結束條件
當符合以下任一條件時,結束模擬環境下測試:
a)測試對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態;
b)測試對象在故障容錯時間間隔內未進入安全狀態;
c)測試對象未能發出正確的報警信息;
d)測試對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態。
8.2.3.5 測試通過準則
測試通過準則應同時滿足如下條件:
a)測試對象在注入故障后可以進入安全狀態,并無意外退出安全狀態,且從注入故障到進入安全狀態的時間間隔應小于或等于故障容錯時間間隔要求;
b)測試對象進入安全狀態時的轉矩滿足設計要求的安全閾值;
c)測試對象發出了正確的故障報警信息。
8.2.4 防止電機非預期的輸出驅動轉矩
8.2.4.1 測試目的
驅動電機系統應檢測輸出轉矩狀態,當電機非預期的輸出驅動轉矩超過安全閾
值時,使驅動電機系統進入安全狀態,在非預期的輸出驅動轉矩的故障退出或消除條件未滿足時,不應退出安全狀態。
8.2.4.2 測試對象
測試對象為驅動電機系統。
8.2.4.3 測試要求
模擬環境下測試滿足如下要求:
a)影響測試對象功能并與測試結果相關的所有設備都應處于正常運行狀態;
b)測試應針對7.4.2規定的運行模式,所選擇的測試工況點應使得驅動電機系統處于非驅動且靜止的工作狀態;
c)應通過注入故障的方式進行測試,注入的故障所引起的非預期輸出驅動轉矩的安全閾值應至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型;
d)測試應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間、狀態切換、報警信息)進行監控;
e)測試應對驅動電機系統退出安全狀態的條件進行監控。
8.2.4.4 測試結束條件
當符合以下任一條件時,結束模擬環境下測試:
a)測試對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態;
b)測試對象在故障容錯時間間隔內未進入安全狀態;
c)測試對象未能發出正確的報警信息;
d)測試對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態。
8.2.4.5 測試通過準則
測試通過準則應同時滿足如下條件:
a)測試對象在注入故障后可以進入安全狀態,并無意外退出安全狀態,且從注入故障到進入安全狀態的時間間隔應小于或等于故障容錯時間間隔要求;
b)測試對象進入安全狀態時的轉矩滿足設計要求的安全閾值;
c)測試對象發出了正確的故障報警信息。
8.2.5 防止電機無法輸出制動轉矩
8.2.5.1 測試目的
驅動電機系統應檢測輸出轉矩狀態,當輸出制動轉矩低于安全閾值時,使驅動電機系統進入安全狀態,在無法輸出制動轉矩的故障退出或消除條件未滿足時,不應退出安全狀態。
8.2.5.2 測試對象
測試對象為驅動電機系統。
8.2.5.3 測試要求
模擬環境下測試滿足如下要求:
a)影響測試對象功能并與測試結果相關的所有設備都應處于正常運行狀態;
b)測試應針對7.5.2規定的運行模式,所選擇的測試工況點應至少包括電機在兩個象限(制動工況對應的兩個象限)運行工況,且在每個象限內應選取典型的工作點,例如低轉矩和低轉速、高轉矩和高轉速、低轉矩和高轉速等組合,以確保安全機制的有效性;
c)應通過注入故障的方式進行測試,注入的故障所引起的無法輸出制動轉矩值應至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型;
d)測試應使驅動電機系統進入安全狀態,并發出報警信息;
e)測試應對驅動電機系統退出安全狀態的條件進行監控。
8.2.5.4 測試結束條件
當符合以下任一條件時,結束模擬環境下測試:
a)測試對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態;
b)測試對象在故障容錯時間間隔內未進入安全狀態;
c)測試對象未能發出正確的報警信息;
d)測試對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態。
8.2.5.5 測試通過準則
測試通過準則應同時滿足如下條件:
a)測試對象在注入故障后進入安全狀態,并無意外退出安全狀態;且從注入故障到進入安全狀態的時間間隔應小于或等于故障容錯時間間隔要求;
b)測試對象發出了正確的故障報警信息。
8.2.6 防止電機非預期的輸出制動轉矩過大
8.2.6.1 測試目的
驅動電機系統應檢測輸出轉矩狀態,當輸出制動轉矩超過安全閾值時,使驅動電機系統進入安全狀態,在非預期的輸出制動轉矩過大的故障退出或消除條件未滿足時,不應退出安全狀態。
8.2.6.2 測試對象
測試對象為驅動電機系統。
8.2.6.3 測試要求
模擬環境下測試滿足如下要求:
a)影響測試對象功能并與測試結果相關的所有設備都應處于正常運行狀態;
b)測試應針對7.6.2規定的運行模式,所選擇的測試工況點應包括電機在兩個象限(制動工況對應的兩個象限)運行工況,且在每個象限內應選取典型的工作點,例如低轉矩和低轉速、高轉矩和高轉速、低轉矩和高轉速等,以確保安全機制的有效性;
c)應通過注入故障的方式進行測試,注入的故障所引起的非預期的輸出制動轉矩過大安全閾值應至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型;
d)測試應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間、狀態切換、報警信息)進行監控;
e)測試應對驅動電機系統退出安全狀態的條件進行監控。
8.2.6.4 測試結束條件
當符合以下任一條件時,結束模擬環境下測試:
a)測試對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態;
b)測試對象在故障容錯時間間隔內未進入安全狀態;
c)測試對象未能發出正確的報警信息;
d)測試對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態。
8.2.6.5 測試通過準則
測試通過準則應同時滿足如下條件:
a)測試對象在注入故障后可以進入安全狀態,并無意外退出安全狀態,且從注入故障到進入安全狀態的時間間隔應小于或等于故障容錯時間間隔要求;
b)測試對象進入安全狀態時的轉矩滿足設計要求的安全閾值;
c)測試對象發出了正確的故障報警信息。
8.2.7 防止電機非預期的輸出制動轉矩
8.2.7.1 測試目的
驅動電機系統應檢測輸出轉矩狀態,當輸出制動轉矩超過安全閾值時,使驅動電機系統進入安全狀態,在非預期的輸出制動轉矩的故障退出或消除條件未滿足時,不應退出安全狀態。
8.2.7.2 測試對象
測試對象為驅動電機系統。
8.2.7.3 測試要求
模擬環境下測試滿足如下要求:
a)影響測試對象功能并與測試結果相關的所有設備都應處于正常運行狀態;
b)測試應針對7.7.2規定的運行模式,所選擇的測試工況點應使得驅動電機系統處于非制動且靜止的工作狀態;
c)應通過注入故障的方式進行測試,注入的故障所引起的非預期輸出制動轉矩的安全閾值應至少包括低于安全閾值、達到安全閾值和高于安全閾值三個類型;
d)測試應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間、狀態切換、報警信息)進行監控;
e)測試應對驅動電機系統退出安全狀態的條件進行監控。
8.2.7.4 測試結束條件
當符合以下任一條件時,結束模擬環境下測試:
a)測試對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態;
b)測試對象在故障容錯時間間隔內未進入安全狀態;
c)測試對象未能發出正確的報警信息;
d)測試對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態。
8.2.7.5 測試通過準則
測試通過準則應同時滿足如下條件:
a)測試對象在注入故障后可以進入安全狀態,并無意外退出安全狀態,且從注入故障到進入安全狀態的時間間隔應小于或等于故障容錯時間間隔要求;
b)測試對象進入安全狀態時的轉矩滿足設計要求的安全閾值;
c)測試對象發出了正確的故障報警信息。
8.3 功能安全確認
8.3.1 防止電機無法輸出驅動轉矩
8.3.1.1 目的
確認安全目標“防止電機無法輸出驅動轉矩”得到正確實現,并能夠有效發出關于電機無法輸出驅動轉矩導致車輛驅動力喪失的故障警示。
8.3.1.2 確認對象
確認對象為驅動電機系統。
8.3.1.3 確認要求
a)影響確認對象功能并與確認結果相關的所有設備都應處于正常運行狀態;
b)確認應在整車層面進行,至少包含真實的驅動電機系統,基于車輛的實際工況或者模擬的車輛實際工況;
注:車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。
c)確認應包含違背安全目標的典型失效模式;
注:典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常,如不能輸出驅動轉矩。
d)確認應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間和狀態切換)進行監控;
e)確認應對驅動電機系統的狀態進行監控;
f)確認應對驅動電機系統退出安全狀態的條件進行監控。
8.3.1.4 確認結束條件
當符合以下任一條件時,結束確認:
a)確認對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態,并且發出故障警示車輛處于驅動力喪失狀態;
b)確認對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態;
c)確認對象在故障容錯時間間隔內未進入安全狀態。
8.3.1.5 確認通過準則
確認對象在故障容錯時間間隔內進入安全狀態,無意外退出安全狀態,并且發出故障警示車輛處于驅動力喪失狀態。
8.3.2 防止電機非預期的輸出驅動轉矩過大
8.3.2.1 目的
確認安全目標“防止電機非預期的輸出驅動轉矩過大”得到正確實現,并能夠有效預防由于電機非預期的輸出驅動轉矩過大導致車輛加速度過大。
8.3.2.2 確認對象
確認對象為驅動電機系統。
8.3.2.3 確認要求
確認滿足如下要求:
a)影響確認對象功能并與確認結果相關的所有設備都應處于正常運行狀態;
b)確認應在整車層面進行,至少包含真實的驅動電機系統,基于車輛的實際工況或者模擬的車輛實際工況;
注:車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。
c)確認應包含違背安全目標的典型失效模式;
注:典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常,如電機非預期的輸出驅動轉矩過大。
d)確認應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間和狀態切換)進行監控;
e)確認應對驅動電機系統的狀態進行監控;
f)確認應對驅動電機系統退出安全狀態的條件進行監控。
8.3.2.4 確認結束條件
當符合以下任一條件時,結束確認:
a)確認對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態,且發出故障警示車輛處于終止轉矩輸出狀態:
b)確認對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態;
c)確認對象在故障容錯時間間隔內未進入安全狀態。
8.3.2.5 確認通過準則
確認對象在故障容錯時間間隔內進入安全狀態,無意外退出安全狀態,且發出故障警示車輛處于終止轉矩輸出狀態。
8.3.3 防止電機轉矩輸出方向反向
8.3.3.1 目的
確認安全目標“防止電機轉矩輸出方向反向”得到正確實現,并能夠有效預防由于電機轉矩輸出方向反向導致車輛加速度方向相反。
8.3.3.2 確認對象
確認對象為驅動電機系統。
8.3.3.3 確認要求
確認滿足如下要求:
a)影響確認對象功能并與確認結果相關的所有設備都應處于正常運行狀態;
b)確認應在整車層面進行,至少包含真實的驅動電機系統,基于車輛的實際工況或者模擬的車輛實際工況;
注:車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。
c)確認應包含違背安全目標的典型失效模式;
注:典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常,如電機轉矩輸出方向反向。
d)確認應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間和狀態切換)進行監控;
e)確認應對驅動電機系統的狀態進行監控;
f)確認應對驅動電機系統退出安全狀態的條件進行監控。
8.3.3.4 確認結束條件
當符合以下任一條件時,結束確認:
a)確認對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態,并且發出故障警示且車輛處于終止轉矩輸出狀態;
b)確認對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態;
c)確認對象在故障容錯時間間隔內未進入安全狀態。
8.3.3.5 確認通過準則
確認對象在故障容錯時間間隔內進入安全狀態,無意外退出安全狀態,并且發出故障警示且車輛處于終止轉矩輸出狀態。
8.3.4 防止電機非預期的輸出驅動轉矩
8.3.4.1 目的
確認安全目標“防止電機非預期的輸出驅動轉矩”得到正確實現,并能夠有效預防由于電機非預期的輸出驅動轉矩導致車輛從靜止狀態非預期啟動、車輛非預期的加速。
8.3.4.2 確認對象
確認對象為驅動電機系統。
8.3.4.3 確認要求
確認滿足如下要求:
a)影響確認對象功能并與確認結果相關的所有設備都應處于正常運行狀態;
b)確認應在整車層面進行,至少包含真實的驅動電機系統,基于車輛的實際工況或者模擬的車輛實際工況;
注:車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。
c)確認應包含違背安全目標的典型失效模式;
注:典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常,如電機非預期的輸出驅動轉矩。
d)確認應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間和狀態切換)進行監控;
e)確認應對驅動電機系統的狀態進行監控;
f)確認應對驅動電機系統退出安全狀態的條件進行監控。
8.3.4.4 確認結束條件
當符合以下任一條件時,結束確認:
a)確認對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態,并且發出故障警示且車輛處于終止轉矩輸出狀態;
b)確認對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態;
c)確認對象在故障容錯時間間隔內未進入安全狀態。
8.3.4.5 確認通過準則
確認對象在故障容錯時間間隔內進入安全狀態,無意外退出安全狀態,并且發出故障警示且車輛處于終止轉矩輸出狀態。
8.3.5 防止電機無法輸出制動轉矩
8.3.5.1 目的
確認安全目標“防止電機無法輸出制動轉矩”得到正確實現,并能夠有效預防由于電機無法輸出制動轉矩導致車輛減速度過小。
8.3.5.2 確認對象
確認對象為驅動電機系統。
8.3.5.3 確認要求
確認滿足如下要求:
a)影響確認對象功能并與確認結果相關的所有設備都應處于正常運行狀態;
b)確認應在整車層面進行,至少包含真實的驅動電機系統,基于車輛的實際工況或者模擬的車輛實際工況;
注:車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。
c)確認應包含違背安全目標的典型失效模式;
注:典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常,如電機無法輸出制動轉矩。
d)確認應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間和狀態切換)進行監控;
e)確認應對驅動電機系統的狀態進行監控;
f)確認應對驅動電機系統退出安全狀態的條件進行監控。
8.3.5.4 確認結束條件
當符合以下任一條件時,結束確認:
a)確認對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態,并且發出故障警示車輛處于制動力降低狀態;
b)確認對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態;
c)確認對象在故障容錯時間間隔內未進入安全狀態。
8.3.5.5 確認通過準則
確認對象在故障容錯時間間隔內進入安全狀態,無意外退出安全狀態,并且發出故障警示車輛處于制動力降低狀態。
8.3.6 防止電機非預期的輸出制動轉矩過大
8.3.6.1 目的
確認安全目標“防止電機非預期的輸出制動轉矩過大”得到正確實現,并能夠有效預防由于電機非預期的輸出制動轉矩過大導致車輛減速度過大。
8.3.6.2 確認對象
確認對象為驅動電機系統。
8.3.6.3 確認要求
確認滿足如下要求:
a)影響確認對象功能并與確認結果相關的所有設備都應處于正常運行狀態;
b)確認應在整車層面進行,至少包含真實的驅動電機系統,基于車輛的實際工況或者模擬的車輛實際工況;
注:車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。
c)確認應包含違背安全目標的典型失效模式;
注:典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常,如電機非預期的輸出制動轉矩過大。
d)確認應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間和狀態切換)進行監控;
e)確認應對驅動電機系統的狀態進行監控;
f)確認應對驅動電機系統退出安全狀態的條件進行監控。
8.3.6.4 確認結束條件
當符合以下任一條件時,結束確認:
a)確認對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態,且發出故障警示車輛處于終止轉矩輸出狀態;
b)確認對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態;
c)確認對象在故障容錯時間間隔內未進入安全狀態。
8.3.6.5 確認通過準則
確認對象在故障容錯時間間隔內進入安全狀態,無意外退出安全狀態,且發出故障警示車輛處于終止轉矩輸出狀態。
8.3.7 防止電機非預期的輸出制動轉矩
8.3.7.1 目的
確認安全目標“防止電機非預期的輸出制動轉矩”得到正確實現,并能夠有效預防由于電機非預期的輸出制動轉矩導致車輛非預期倒車。
8.3.7.2 確認對象
確認對象為驅動電機系統。
8.3.7.3 確認要求
確認滿足如下要求:
a)影響確認對象功能并與確認結果相關的所有設備都應處于正常運行狀態;
b)確認應在整車層面進行,至少包含真實的驅動電機系統,基于車輛的實際工況或者模擬的車輛實際工況;
注:車輛的實際工況至少包含危害分析和風險評估中最嚴苛工況。
c)確認應包含違背安全目標的典型失效模式;
注:典型失效模式包含危害分析和風險評估中導出該安全目標的功能異常,如電機非預期的輸出制動轉矩。
d)確認應對驅動電機系統進入安全狀態的過程(例如安全閾值、時間和狀態切換)進行監控;確認應對驅動電機系統的狀態進行監控;
e)確認應對驅動電機系統退出安全狀態的條件進行監控。
8.3.7.4 確認結束條件
當符合以下任一條件時,結束確認:
a)確認對象在故障容錯時間間隔內進入安全狀態,并無意外退出安全狀態,且發出故障警示車輛處于終止轉矩輸出狀態;
b)確認對象在故障容錯時間間隔內進入安全狀態,意外退出安全狀態;
c)確認對象在故障容錯時間間隔內未進入安全狀態。
8.3.7.5 確認通過準則
確認對象在故障容錯時間間隔內進入安全狀態,無意外退出安全狀態,且發出故障警示車輛處于終止轉矩輸出狀態。
