3T/CWDPAXXX—2025新能源汽車動力域控制器功能安全技術(shù)要求與測試規(guī)范本文件規(guī)定了新能源汽車動力域控制器的縮略語、功能安全總體要求、功能安全技術(shù)要求、功能安全測試方法及功能安全性評定等內(nèi)容。本文件適用于電動汽車、插電式混合動力汽車等新能源汽車的動力域控制器功能安全開發(fā)、驗證和評定。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T21437.2道路車輛電氣/電子部件對傳導(dǎo)和耦合引起的電騷擾試驗方法第2部分：沿電源線的電瞬態(tài)傳導(dǎo)發(fā)射和抗擾性GB/T24343工業(yè)機(jī)械電氣設(shè)備絕緣電阻試驗規(guī)范GB/T27930非車載傳導(dǎo)式充電機(jī)與電動汽車之間的數(shù)字通信協(xié)議GB/T34590.1道路車輛功能安全第1部分：術(shù)語GB/T34590.2道路車輛功能安全第2部分：功能安全管理GB/T34590.5道路車輛功能安全第5部分：產(chǎn)品開發(fā)：硬件層面GB/T34590.6道路車輛功能安全第6部分：產(chǎn)品開發(fā)：軟件層面ISO26262-4道路車輛—功能安全—第4部分：系統(tǒng)級產(chǎn)品開發(fā)（Roadvehicles—Functionalsafety—Part4:Productdevelopmentatthesystemlevel）3術(shù)語和定義GB/T34590.1界定的以及下列術(shù)語和定義適用于本文件。3.1動力域控制器powerdomaincontroller新能源汽車中負(fù)責(zé)動力統(tǒng)籌控制的電子控制單元，包括控制邏輯、通信及執(zhí)行器驅(qū)動等功能。3.2功能安全functionalsafety系統(tǒng)在合理使用條件下，能夠?qū)崿F(xiàn)相關(guān)安全目標(biāo)并降低風(fēng)險的能力。4縮略語下列縮略語適用于本文件：a）ASIL：汽車安全完整性等級（AutomotiveSafetyIntegrityLevel）；b）DC：診斷覆蓋率（DiagnosticCoverage）；c）MCU：電機(jī)控制器（MotorControlUnit）；d）SOC：電池荷電狀態(tài)（StateOfCharge）；e）VCU：整車控制器（VehicleControlUnit）。T/CWDPAXXX—202545功能安全總體要求5.1安全目標(biāo)與ASIL等級5.1.1控制器的安全目標(biāo)為：避免因控制器功能失效導(dǎo)致動力系統(tǒng)異常輸出（如意外加速、動力中斷、高壓漏電等）。5.1.2按照ISO26262-4規(guī)定的風(fēng)險評估方法確定ASIL等級，控制器的整體ASIL等級應(yīng)不低于ASILB，承擔(dān)驅(qū)動電機(jī)直接控制、高壓安全管理核心功能的控制器，ASIL等級應(yīng)不低于ASILC。5.2功能安全設(shè)計5.2.1系統(tǒng)架構(gòu)應(yīng)采用模塊化設(shè)計，關(guān)鍵子系統(tǒng)應(yīng)具備冗余和故障隔離能力，以降低單點故障造成的風(fēng)5.2.2控制器應(yīng)具備故障檢測與監(jiān)控能力，包括關(guān)鍵傳感器、執(zhí)行器及通信信號。5.2.3對于ASILC及以上等級控制器，硬件冗余設(shè)計和安全機(jī)制應(yīng)支持系統(tǒng)安全目標(biāo)的實現(xiàn)。5.3故障處理要求5.3.1控制器在關(guān)鍵故障情況下應(yīng)能夠進(jìn)入安全狀態(tài)或?qū)嵤┓旨壈踩导壙刂啤?.3.2系統(tǒng)應(yīng)在故障檢測后及時響應(yīng)，并記錄故障信息，同時通過人機(jī)界面或通信網(wǎng)絡(luò)向駕駛員或上位控制系統(tǒng)發(fā)出警示。6功能安全技術(shù)要求6.1硬件功能安全要求6.1.1一般要求硬件功能安全一般要求如下：a）動力域控制器的硬件設(shè)計應(yīng)按照GB/T34590.5的要求進(jìn)行硬件安全分析，并形成完整硬件安全工作產(chǎn)品；b）硬件架構(gòu)應(yīng)支持安全目標(biāo)的實現(xiàn)，并與所確定的ASIL等級一致；c）硬件隨機(jī)故障指標(biāo)應(yīng)滿足下列要求：——單點故障指標(biāo)應(yīng)不低于90%；——潛在故障指標(biāo)應(yīng)不低于60%；——硬件故障容錯時間間隔應(yīng)不大于所對應(yīng)安全目標(biāo)允許值。6.1.2電源與供電安全要求電源與供電安全要求如下：a）動力域控制器應(yīng)能夠在GB/T34590.2規(guī)定的供電范圍內(nèi)正常工作：——對12V系統(tǒng)，正常工作電壓范圍應(yīng)為9V～16V；——對24V系統(tǒng)，正常工作電壓范圍應(yīng)為18V～32V；b）當(dāng)電源電壓低于或高于正常工作范圍時，控制器應(yīng)在100ms內(nèi)進(jìn)入安全狀態(tài)，并記錄故障信息。6.1.3硬件冗余與安全機(jī)制硬件冗余與安全機(jī)制要求如下：a）對于ASILC及以上等級的控制器，關(guān)鍵硬件單元宜采用下列冗余或容錯設(shè)計之一：——雙MCU鎖步結(jié)構(gòu)；——雙通道采集與比較；——冗余電源或驅(qū)動鏈路；b）冗余單元的故障檢測時間應(yīng)不大于50ms，切換時間應(yīng)不大于10ms，切換期間輸出偏差不應(yīng)超過額定值的5%；c）硬件中應(yīng)設(shè)置看門狗、電壓監(jiān)控、存儲器校驗等安全機(jī)制。6.1.4電磁兼容與絕緣安全電磁兼容與絕緣安全要求如下：T/CWDPAXXX—20255a）在80MHz～1GHz頻率范圍內(nèi)，經(jīng)受30V/m的電磁輻射測試，控制器功能應(yīng)正常，無異常動作或失b）高壓端與外殼間絕緣電阻在1000VDC測試條件下應(yīng)不低于100MΩ;c）當(dāng)絕緣電阻低于50MΩ時，應(yīng)進(jìn)入安全狀態(tài)并發(fā)出告警。6.2軟件功能安全要求6.2.1一般要求軟件功能安全一般要求如下：a）軟件開發(fā)應(yīng)符合GB/T34590.6的要求；b）軟件架構(gòu)應(yīng)分層設(shè)計，包括但不限于硬件抽象層、基礎(chǔ)軟件層、功能應(yīng)用層以及功能安全管理模塊。6.2.2軟件故障診斷軟件故障診斷要求如下：a）軟件應(yīng)具備對以下內(nèi)容的故障診斷能力：——傳感器輸入；——執(zhí)行器輸出；——內(nèi)部通信與任務(wù)調(diào)度；——存儲器與程序完整性；b）診斷覆蓋率應(yīng)滿足表1的要求。表1不同ASIL等級診斷覆蓋率要求ASIL等級診斷覆蓋率ABCD6.2.3軟件運(yùn)行安全軟件運(yùn)行安全要求如下：a）關(guān)鍵任務(wù)周期抖動不應(yīng)超過周期值的10%；b）當(dāng)檢測到程序跑飛、死循環(huán)或堆棧溢出時，應(yīng)通過看門狗觸發(fā)復(fù)位，并進(jìn)入安全狀態(tài)；c）軟件更新應(yīng)采用完整性驗證機(jī)制，不應(yīng)允許未授權(quán)軟件在系統(tǒng)中運(yùn)行。6.2.4數(shù)據(jù)安全數(shù)據(jù)安全要求如下：a）關(guān)鍵數(shù)據(jù)（如故障碼、里程、標(biāo)定參數(shù)）應(yīng)具有掉電保持能力、完整性校驗及防篡改機(jī)制；b）EEPROM或Flash的數(shù)據(jù)保持時間不應(yīng)小于10年。6.3系統(tǒng)協(xié)同與通信功能安全要求6.3.1一般要求一般要求如下：a）動力域控制器應(yīng)與整車控制器、電池管理系統(tǒng)、電機(jī)控制器等協(xié)同系統(tǒng)保持功能安全一致，保證系統(tǒng)級安全目標(biāo)的實現(xiàn)；b）系統(tǒng)協(xié)同功能安全應(yīng)覆蓋以下異?；蚬收蠄鼍埃骸?qū)動力請求異常；——高壓系統(tǒng)異常；——通信中斷或數(shù)據(jù)錯誤；——多系統(tǒng)故障疊加。6.3.2通信安全要求通信安全要求如下：a）動力域控制器應(yīng)支持CAN、CANFD或汽車以太網(wǎng)通信，并應(yīng)符合GB/T27930的要求；b）通信數(shù)據(jù)應(yīng)采取超時檢測、序列計數(shù)、CRC校驗及報文合理性檢查；T/CWDPAXXX—20256c）當(dāng)通信中斷時間超過100ms時，控制器應(yīng)進(jìn)入安全降級狀態(tài)并限制動力輸出。6.3.3扭矩與驅(qū)動請求安全扭矩與驅(qū)動請求安全要求如下：a）在以下異常情況下，系統(tǒng)不應(yīng)輸出不受控驅(qū)動力：——加速踏板信號不一致；——制動信號有效；——碰撞信號有效；——BMS禁止放電指令有效；b）當(dāng)系統(tǒng)進(jìn)入降級狀態(tài)時，動力輸出扭矩不應(yīng)超過最大額定扭矩的30%。6.3.4BMS的協(xié)同安全BMS的協(xié)同安全要求如下：a）動力域控制器應(yīng)遵循BMS提供的充放電允許范圍及安全限制；b）當(dāng)發(fā)生下列情況時，應(yīng)立即限制或切斷動力輸出：——SOC＜5%；——電池包溫度超過60℃;——電池單體過壓或欠壓；——絕緣監(jiān)測異常。6.3.5安全狀態(tài)與故障記錄安全狀態(tài)與故障記錄要求如下：a）控制器應(yīng)具備安全狀態(tài)管理功能，可根據(jù)故障或異常切換至安全模式或安全降級模式；b）故障發(fā)生后，應(yīng)記錄故障代碼、時間戳、系統(tǒng)工作狀態(tài)、相關(guān)傳感器及執(zhí)行器數(shù)據(jù)。7功能安全測試方法7.1硬件功能安全測試7.1.1電源與供電測試應(yīng)按照以下方法進(jìn)行：a）工作電壓范圍測試：在試驗臺架條件下，使用可調(diào)直流電源分別對12V系統(tǒng)和24V系統(tǒng)施加規(guī)定電壓范圍（12V：9V～16V，24V：18V～32V），在不同電壓點記錄控制器啟動狀態(tài)、運(yùn)行狀態(tài)、輸出狀態(tài)及異常響應(yīng)時間；b）過壓/欠壓保護(hù)測試：分別施加高于和低于正常工作范圍的電壓，連續(xù)保持規(guī)定時間，記錄控制器進(jìn)入安全狀態(tài)所需時間，并核對故障信息存儲情況及降級控制行為。7.1.2硬件冗余與安全機(jī)制測試應(yīng)按照以下方法進(jìn)行：a）冗余單元故障注入測試：模擬關(guān)鍵硬件單元故障，測量冗余單元檢測時間和切換時間，記錄切換過程中的輸出偏差；b）看門狗與安全機(jī)制測試：通過軟件設(shè)置或硬件注入方式引入任務(wù)阻塞、程序跑飛等異常，觸發(fā)看門狗動作，記錄復(fù)位行為、安全狀態(tài)切換過程及恢復(fù)情況。7.1.3電磁兼容與絕緣測試應(yīng)按照以下方法進(jìn)行：a)電磁輻射與抗擾度測試：應(yīng)按照GB/T21437.2的規(guī)定執(zhí)行；b）絕緣電阻測試：應(yīng)按照GB/T24343的規(guī)定執(zhí)行。7.2軟件功能安全測試7.2.1軟件故障診斷測試應(yīng)按照以下方法進(jìn)行：a）診斷覆蓋率驗證：通過注入傳感器異常、執(zhí)行器異常、通信中斷、存儲器錯誤等故障，驗證診斷覆蓋率是否滿足表1中各ASIL等級要求，診斷覆蓋率應(yīng)按照式（1）計算；T/CWDPAXXX—20257式中：λDD——被檢測到的危險故障數(shù)；λDU——未被檢測到的危險故障數(shù)；b）關(guān)鍵任務(wù)響應(yīng)測試：監(jiān)測周期性任務(wù)調(diào)度抖動，在制造程序跑飛、死循環(huán)、堆棧溢出等異常情況下，記錄看門狗復(fù)位行為及系統(tǒng)進(jìn)入安全狀態(tài)所需時間。7.2.2軟件更新與數(shù)據(jù)安全測試應(yīng)按照以下方法進(jìn)行：a)更新完整性測試：在軟件升級過程中人為制造通信中斷或斷電情形，檢查系統(tǒng)是否能夠恢復(fù)至更新前版本，并驗證更新后系統(tǒng)功能是否正常；b）數(shù)據(jù)保持測試：通過反復(fù)上電/掉電循環(huán)、長期存儲模擬等方式，對EEPROM/Flash中關(guān)鍵數(shù)據(jù)進(jìn)行讀取比對，驗證其保持時間、完整性校驗及防篡改功能。7.3系統(tǒng)協(xié)同與通信功能安全測試7.3.1系統(tǒng)協(xié)同測試應(yīng)按照以下方法進(jìn)行：a）多系統(tǒng)功能協(xié)同測試：在臺架或整車條件下，與VCU、BMS、MCU等系統(tǒng)聯(lián)調(diào)，模擬驅(qū)動力請求異常、高壓異常及多系統(tǒng)故障，記錄動力輸出控制行為及系統(tǒng)安全狀態(tài)變化；b）扭矩與驅(qū)動請求異常測試：注入加速踏板信號不一致、制動有效、碰撞信號有效、BMS禁止放電等異常，記錄動力輸出變化及扭矩限制值。7.3.2通信安全測試應(yīng)按照以下方法進(jìn)行：a）通信完整性測試：對CAN/CANFD/汽車以太網(wǎng)施加報文丟失、超時等情況，驗證當(dāng)通信中斷超過100ms時系統(tǒng)進(jìn)入安全降級狀態(tài)的行為；b）異常報文與延遲注入測試：模擬異常報文、延遲或數(shù)據(jù)錯誤，記錄系統(tǒng)的識別能力、處置策略及響應(yīng)時間。7.3.3BMS協(xié)同安全測試應(yīng)按照以下方法進(jìn)行：a）SOC、溫度及電壓異常測試：模擬SOC＜5%、電池溫度＞60℃、電池單體過壓或欠壓、絕緣監(jiān)測異常，記錄控制器是否實施功率限制或切斷輸出；b）安全狀態(tài)記錄驗證：在上述試驗過程中，讀取故障存儲及事件記錄，核對故障代碼、時間戳及狀態(tài)量是否完整一致。8功能安全性評定8.1評定指標(biāo)8.1.1定性指標(biāo)控制器的設(shè)計應(yīng)符合第5章和第6章規(guī)定的安全目標(biāo)、ASIL等級、硬件冗余、軟件診斷及系統(tǒng)協(xié)同要8.1.2定量指標(biāo)診斷覆蓋率、冗余切換響應(yīng)時間、軟件關(guān)鍵任務(wù)周期抖動等。8.2評定規(guī)則8.2.1完成所有硬件、軟件及系統(tǒng)協(xié)同功能安全測試后，依據(jù)測試數(shù)據(jù)計算各項定量指標(biāo)，并檢查定性指標(biāo)的滿足情況。8.2.2若所有定性指標(biāo)滿足要求，且定量指標(biāo)均符合第6章技術(shù)要求，則評定該控制器功能安全性合格；若有一項或以上指標(biāo)不滿足要求，則評定為不合格。T/CWDPAXXX—20258