《新能源汽车动力域控制器功能安全技术要求与测试规范》征求意见稿

3T/CWDPAXXX—2025新能源汽车动力域控制器功能安全技术要求与测试规范本文件规定了新能源汽车动力域控制器的缩略语、功能安全总体要求、功能安全技术要求、功能安全测试方法及功能安全性评定等内容。本文件适用于电动汽车、插电式混合动力汽车等新能源汽车的动力域控制器功能安全开发、验证和评定。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T21437.2道路车辆电气/电子部件对传导和耦合引起的电骚扰试验方法第2部分：沿电源线的电瞬态传导发射和抗扰性GB/T24343工业机械电气设备绝缘电阻试验规范GB/T27930非车载传导式充电机与电动汽车之间的数字通信协议GB/T34590.1道路车辆功能安全第1部分：术语GB/T34590.2道路车辆功能安全第2部分：功能安全管理GB/T34590.5道路车辆功能安全第5部分：产品开发：硬件层面GB/T34590.6道路车辆功能安全第6部分：产品开发：软件层面ISO26262-4道路车辆—功能安全—第4部分：系统级产品开发（Roadvehicles—Functionalsafety—Part4:Productdevelopmentatthesystemlevel）3术语和定义GB/T34590.1界定的以及下列术语和定义适用于本文件。3.1动力域控制器powerdomaincontroller新能源汽车中负责动力统筹控制的电子控制单元，包括控制逻辑、通信及执行器驱动等功能。3.2功能安全functionalsafety系统在合理使用条件下，能够实现相关安全目标并降低风险的能力。4缩略语下列缩略语适用于本文件：a）ASIL：汽车安全完整性等级（AutomotiveSafetyIntegrityLevel）；b）DC：诊断覆盖率（DiagnosticCoverage）；c）MCU：电机控制器（MotorControlUnit）；d）SOC：电池荷电状态（StateOfCharge）；e）VCU：整车控制器（VehicleControlUnit）。T/CWDPAXXX—202545功能安全总体要求5.1安全目标与ASIL等级5.1.1控制器的安全目标为：避免因控制器功能失效导致动力系统异常输出（如意外加速、动力中断、高压漏电等）。5.1.2按照ISO26262-4规定的风险评估方法确定ASIL等级，控制器的整体ASIL等级应不低于ASILB，承担驱动电机直接控制、高压安全管理核心功能的控制器，ASIL等级应不低于ASILC。5.2功能安全设计5.2.1系统架构应采用模块化设计，关键子系统应具备冗余和故障隔离能力，以降低单点故障造成的风5.2.2控制器应具备故障检测与监控能力，包括关键传感器、执行器及通信信号。5.2.3对于ASILC及以上等级控制器，硬件冗余设计和安全机制应支持系统安全目标的实现。5.3故障处理要求5.3.1控制器在关键故障情况下应能够进入安全状态或实施分级安全降级控制。5.3.2系统应在故障检测后及时响应，并记录故障信息，同时通过人机界面或通信网络向驾驶员或上位控制系统发出警示。6功能安全技术要求6.1硬件功能安全要求6.1.1一般要求硬件功能安全一般要求如下：a）动力域控制器的硬件设计应按照GB/T34590.5的要求进行硬件安全分析，并形成完整硬件安全工作产品；b）硬件架构应支持安全目标的实现，并与所确定的ASIL等级一致；c）硬件随机故障指标应满足下列要求：——单点故障指标应不低于90%；——潜在故障指标应不低于60%；——硬件故障容错时间间隔应不大于所对应安全目标允许值。6.1.2电源与供电安全要求电源与供电安全要求如下：a）动力域控制器应能够在GB/T34590.2规定的供电范围内正常工作：——对12V系统，正常工作电压范围应为9V～16V；——对24V系统，正常工作电压范围应为18V～32V；b）当电源电压低于或高于正常工作范围时，控制器应在100ms内进入安全状态，并记录故障信息。6.1.3硬件冗余与安全机制硬件冗余与安全机制要求如下：a）对于ASILC及以上等级的控制器，关键硬件单元宜采用下列冗余或容错设计之一：——双MCU锁步结构；——双通道采集与比较；——冗余电源或驱动链路；b）冗余单元的故障检测时间应不大于50ms，切换时间应不大于10ms，切换期间输出偏差不应超过额定值的5%；c）硬件中应设置看门狗、电压监控、存储器校验等安全机制。6.1.4电磁兼容与绝缘安全电磁兼容与绝缘安全要求如下：T/CWDPAXXX—20255a）在80MHz～1GHz频率范围内，经受30V/m的电磁辐射测试，控制器功能应正常，无异常动作或失b）高压端与外壳间绝缘电阻在1000VDC测试条件下应不低于100MΩ;c）当绝缘电阻低于50MΩ时，应进入安全状态并发出告警。6.2软件功能安全要求6.2.1一般要求软件功能安全一般要求如下：a）软件开发应符合GB/T34590.6的要求；b）软件架构应分层设计，包括但不限于硬件抽象层、基础软件层、功能应用层以及功能安全管理模块。6.2.2软件故障诊断软件故障诊断要求如下：a）软件应具备对以下内容的故障诊断能力：——传感器输入；——执行器输出；——内部通信与任务调度；——存储器与程序完整性；b）诊断覆盖率应满足表1的要求。表1不同ASIL等级诊断覆盖率要求ASIL等级诊断覆盖率ABCD6.2.3软件运行安全软件运行安全要求如下：a）关键任务周期抖动不应超过周期值的10%；b）当检测到程序跑飞、死循环或堆栈溢出时，应通过看门狗触发复位，并进入安全状态；c）软件更新应采用完整性验证机制，不应允许未授权软件在系统中运行。6.2.4数据安全数据安全要求如下：a）关键数据（如故障码、里程、标定参数）应具有掉电保持能力、完整性校验及防篡改机制；b）EEPROM或Flash的数据保持时间不应小于10年。6.3系统协同与通信功能安全要求6.3.1一般要求一般要求如下：a）动力域控制器应与整车控制器、电池管理系统、电机控制器等协同系统保持功能安全一致，保证系统级安全目标的实现；b）系统协同功能安全应覆盖以下异常或故障场景：——驱动力请求异常；——高压系统异常；——通信中断或数据错误；——多系统故障叠加。6.3.2通信安全要求通信安全要求如下：a）动力域控制器应支持CAN、CANFD或汽车以太网通信，并应符合GB/T27930的要求；b）通信数据应采取超时检测、序列计数、CRC校验及报文合理性检查；T/CWDPAXXX—20256c）当通信中断时间超过100ms时，控制器应进入安全降级状态并限制动力输出。6.3.3扭矩与驱动请求安全扭矩与驱动请求安全要求如下：a）在以下异常情况下，系统不应输出不受控驱动力：——加速踏板信号不一致；——制动信号有效；——碰撞信号有效；——BMS禁止放电指令有效；b）当系统进入降级状态时，动力输出扭矩不应超过最大额定扭矩的30%。6.3.4BMS的协同安全BMS的协同安全要求如下：a）动力域控制器应遵循BMS提供的充放电允许范围及安全限制；b）当发生下列情况时，应立即限制或切断动力输出：——SOC＜5%；——电池包温度超过60℃;——电池单体过压或欠压；——绝缘监测异常。6.3.5安全状态与故障记录安全状态与故障记录要求如下：a）控制器应具备安全状态管理功能，可根据故障或异常切换至安全模式或安全降级模式；b）故障发生后，应记录故障代码、时间戳、系统工作状态、相关传感器及执行器数据。7功能安全测试方法7.1硬件功能安全测试7.1.1电源与供电测试应按照以下方法进行：a）工作电压范围测试：在试验台架条件下，使用可调直流电源分别对12V系统和24V系统施加规定电压范围（12V：9V～16V，24V：18V～32V），在不同电压点记录控制器启动状态、运行状态、输出状态及异常响应时间；b）过压/欠压保护测试：分别施加高于和低于正常工作范围的电压，连续保持规定时间，记录控制器进入安全状态所需时间，并核对故障信息存储情况及降级控制行为。7.1.2硬件冗余与安全机制测试应按照以下方法进行：a）冗余单元故障注入测试：模拟关键硬件单元故障，测量冗余单元检测时间和切换时间，记录切换过程中的输出偏差；b）看门狗与安全机制测试：通过软件设置或硬件注入方式引入任务阻塞、程序跑飞等异常，触发看门狗动作，记录复位行为、安全状态切换过程及恢复情况。7.1.3电磁兼容与绝缘测试应按照以下方法进行：a)电磁辐射与抗扰度测试：应按照GB/T21437.2的规定执行；b）绝缘电阻测试：应按照GB/T24343的规定执行。7.2软件功能安全测试7.2.1软件故障诊断测试应按照以下方法进行：a）诊断覆盖率验证：通过注入传感器异常、执行器异常、通信中断、存储器错误等故障，验证诊断覆盖率是否满足表1中各ASIL等级要求，诊断覆盖率应按照式（1）计算；T/CWDPAXXX—20257式中：λDD——被检测到的危险故障数；λDU——未被检测到的危险故障数；b）关键任务响应测试：监测周期性任务调度抖动，在制造程序跑飞、死循环、堆栈溢出等异常情况下，记录看门狗复位行为及系统进入安全状态所需时间。7.2.2软件更新与数据安全测试应按照以下方法进行：a)更新完整性测试：在软件升级过程中人为制造通信中断或断电情形，检查系统是否能够恢复至更新前版本，并验证更新后系统功能是否正常；b）数据保持测试：通过反复上电/掉电循环、长期存储模拟等方式，对EEPROM/Flash中关键数据进行读取比对，验证其保持时间、完整性校验及防篡改功能。7.3系统协同与通信功能安全测试7.3.1系统协同测试应按照以下方法进行：a）多系统功能协同测试：在台架或整车条件下，与VCU、BMS、MCU等系统联调，模拟驱动力请求异常、高压异常及多系统故障，记录动力输出控制行为及系统安全状态变化；b）扭矩与驱动请求异常测试：注入加速踏板信号不一致、制动有效、碰撞信号有效、BMS禁止放电等异常，记录动力输出变化及扭矩限制值。7.3.2通信安全测试应按照以下方法进行：a）通信完整性测试：对CAN/CANFD/汽车以太网施加报文丢失、超时等情况，验证当通信中断超过100ms时系统进入安全降级状态的行为；b）异常报文与延迟注入测试：模拟异常报文、延迟或数据错误，记录系统的识别能力、处置策略及响应时间。7.3.3BMS协同安全测试应按照以下方法进行：a）SOC、温度及电压异常测试：模拟SOC＜5%、电池温度＞60℃、电池单体过压或欠压、绝缘监测异常，记录控制器是否实施功率限制或切断输出；b）安全状态记录验证：在上述试验过程中，读取故障存储及事件记录，核对故障代码、时间戳及状态量是否完整一致。8功能安全性评定8.1评定指标8.1.1定性指标控制器的设计应符合第5章和第6章规定的安全目标、ASIL等级、硬件冗余、软件诊断及系统协同要8.1.2定量指标诊断覆盖率、冗余切换响应时间、软件关键任务周期抖动等。8.2评定规则8.2.1完成所有硬件、软件及系统协同功能安全测试后，依据测试数据计算各项定量指标，并检查定性指标的满足情况。8.2.2若所有定性指标满足要求，且定量指标均符合第6章技术要求，则评定该控制器功能安全性合格；若有一项或以上指标不满足要求，则评定为不合格。T/CWDPAXXX—20258