新能源汽车“三电”系统功能安全技术现状分析

彭忆强，芦文峰，邓鹏毅，王洪荣，马媛媛, 徐 磊，何 波，杨丽蓉

(1.西华大学汽车与交通学院，四川成都 610039；2.四川汽车关键零部件协同创新中心，四川成都610039； 3.汽车测控与安全四川省重点实验室，四川成都610039；4.中国汽车工程研究院股份有限公司，重庆401122)

随着越来越多的电子电气测量、控制设备应用于过程控制领域，电子电气设备的功能安全问题逐渐成为该领域的重点研究内容。

功能安全定义为：在电子电气系统中，不能存在由功能异常表现引起的危害，从而产生不合理的风险，其本质在于控制这些不合理风险的产生。

为此，工业领域的研究人员在分析、比较、综合和验证的基础上，制定并逐步完善了功能安全标准，使之成为避免电子电气系统功能异常而引起相关危害的有效手段。到目前为止，功能安全标准的发展可分为3个阶段[1]。

第1阶段：20世纪90年代，德国、美国等针对工业领域对测量和控制设备应考虑的基本安全性要求，颁布了功能安全相关标准(DIN V 19250和ISA S 84.01)。

第2阶段：2000年，国际电工委员会(IEC)综合德国和美国国家标准，颁布《电子/电气/可编程电子安全相关系统(E/E/PE)的功能安全》(IEC61508)。

第3阶段：从2005年起，考虑到汽车工业的分布式开发模式、各零部件的安全生命周期不同、汽车产品大规模批量生产等明显区别于其他工业技术领域的特点，IEC61508作为功能安全基础标准，并不完全适用于汽车工业；因此，国际标准化组织(ISO)在IEC61508的基础上，历时6年，专门制定了针对汽车电子电气系统的道路车辆功能安全标准ISO 26262，并于2011年正式发布了第1版[2]。

道路车辆功能安全标准分为10个部分，分别为功能安全术语，功能安全管理，功能安全概念阶段，产品开发系统、硬件、软件，具备功能安全性能的电控系统产品的生产、运行，具备功能安全性能的产品的支持过程，汽车安全完整性等级导向和安全导向分析等9个方面进行规范性描述。最后一个部分(第10部分)是对如何运用功能安全标准进行的指南性说明。总体上看，道路车辆功能安全标准从体系和流程方面指导了如何研发、生产、运行维护满足功能安全要求的汽车产品，但是，从技术层面如何具体实现满足功能安全要求的产品设计和验证，这是标准所没有统一规定的。

随着汽车电子电气产品与技术的迭代更新，经过近几年来的实践，汽车功能安全标准的应用者和研究者，提炼总结出更多新的应用原则或技术途径，为此，ISO计划将于2018年发布ISO 26262第2版。全国汽车标准化技术委员会主持了我国对ISO 26262的采纳工作，从2012年起立项制定中国版的道路车辆功能安全标准，2016年底完成了报批稿，2017年10月颁布，2018年5月实施。

ISO 26262标准适用于最大总质量不超过3.5 t的量产乘用车，其上安装有一个或多个电子电气系统，并且这些系统与车辆的安全运行相关。同时，这些系统必须具备实时监测和自诊断功能，保证系统故障发生时能过渡到安全状态。

功能安全标准ISO 26262的颁布，给汽车产业技术的发展带来了许多挑战[3-5]，主要体现在对故障发生时的危险分析、风险评估和产品的成本控制2方面。

在危险分析和风险评估结果方面，ISO 26262标准提供的基于严重性(S)、曝光率(E)、可控性(C)3个参数的风险评估方法基本上属于定性分析。在汽车行业分布式开发模式中，OEM(original equipment manufacturer：原始设备生产商)应当将危险分析和风险评估结果提供给供应商作为项目输入，并作为输出确认的标准之一；然而不同OEM确定的危险分析和风险评估结果可能有差异，而且供应商在进行项目先期预研时，可能无法获得准确的正式输入条件，只能根据经验进行系列假设完成分析，权衡多种因素以确定平台解决方案。

因此，在运用ISO 26262标准实际开发过程中，OEM与供应商往往存在分歧。虽然，针对某个安全相关系统的功能安全定义能达成一致，但是在ASIL(automotive safety integrity level：汽车安全完整性等级)分解及分配过程中双方对ASIL分解公式如何选取或者对于分解后ASIL如何分配可能会产生分歧，如ASIL C可分解为ASIL C+QM或ASIL B+ASIL A。如何选择分解公式或选定分解公式后，究竟谁来承担哪个等级的开发工作，实际开发过程中上述分歧经常出现且难以解决。

在成本控制方面，汽车产品面临越来越严格的安全管理法规要求，碰撞安全、行人保护、新能源汽车电池安全等的解决方案需要大量投入。功能安全标准ISO 26262正式出台，给OEM和供应商提出了更高的要求，这意味着必须投入人力、物力，开发符合功能安全相关要求的电控系统。

制订符合ISO 26262标准要求的功能安全解决方案已经成为汽车电子产品研发过程中的共同关注点，而新能源汽车面临比传统汽车更严峻的“三电”系统可靠性和安全性问题，已多次出现因新能源汽车“三电”系统的功能安全问题，引起的车辆召回事件。

因此，功能安全标准的实施将对新能源汽车产业“三电”技术的发展起到促进作用。

下面将介绍在汽车电子电气系统开发过程中，应用ISO 26262的基本方法或流程。然后，重点分析新能源汽车“三电”系统中功能安全技术的应用现状。

1 基于ISO 26262标准的汽车电子电气系统开发流程

ISO 26262标准为汽车电子电气系统提供了从概念设计、产品开发到批产后各阶段的整个生命周期中与功能安全相关的工作流程和管理流程的基础。

在概念设计阶段，要基于系统定义和系统初步架构，分析可能存在的功能安全风险并评估风险的等级。然后根据功能安全风险，定义安全目标和针对每个安全目标的功能安全概念。

在产品开发阶段，ISO 26262标准继承汽车工业中常用的V型流程[6]来定义相关安全活动，基本开发流程如图1所示。V型的左侧包括技术安全需求的制订、系统设计，V型的右侧包括系统集成、安全确认和发布。硬件和软件的开发同样遵循相似的V型开发流程。

图1 符合ISO 26262标准的基本开发流程

在生产、运行、维护和报废的全生命周期阶段，ISO 26262通过规定过程参数一致性、合格的生产/运行/维护工具、严格的生产/运行/维护流程、标准的使用信息等，保障满足功能安全技术要求的汽车电控产品的功能安全性能目标。同时，ISO 26262还通过对于支持过程需要的开发接口、安全要求定义、配置、变更、验证、软硬件工具/组件等方面进行详细的规范，其性质类似于质量管理体系的相近特征，保证电控产品的功能安全性能的一致性和可靠性。

2 动力电源方面的功能安全技术

新能源汽车动力电源主要由电能/能量存储单元、能量转换模块及发电单元(燃料电池、发动机-发电机)、电源管理系统、热管理系统、安全管理系统、内外部封装系统、连接装置等构成[7]。

目前，主流新能源汽车二次电池的电能存储单元主要包括镍氢电池、锂离子电池。动力电源系统的安全管理技术的实施需要高精度、复杂的电池管理系统(BMS)，应该具有以下基本功能：

1)动力电池碰撞断电保护；

2)动力电池高压电安全防护；

3)动力电池充放电安全管理；

4)动力电池滥用防护；

5)动力电池故障诊断处理；

6)动力电池系统的高性能封装。

因此，相应的功能安全要求很高，重点体现在以下几方面。

2.1 动力电池碰撞断电保护

根据GB/T 31498—2015《电动汽车碰撞后安全要求》[8],电动汽车碰撞后安全评价标准主要包括：1)整车母线电压、母线搭铁电压满足交流不大于30 V和直流不大于60 V；2)电能要求高压母线上的残余总电能应小于0.2 J；3)碰撞后车辆所有高压设备应有IPXXB级别的物理防护；4)高压绝缘电阻满足GB/T 18384.3-2001《电动汽车安全要求》[9]；5)动力电池电解液泄漏量、动力电池移动位移应满足相应的要求；6)碰撞发生后30 min内不得起火、爆炸。

因此，开发符合ISO 26262标准的动力电池碰撞断电保护系统的关键在于尽量缩短响应时间(包括碰撞信号的采集、确认以及执行器执行整车切断高压电指令的时间)，响应时间越短，系统安全性越高。

在ISO 26262标准中，要求的电气安全防护涉及主动保护和被动保护2种方式。

与碰撞断电保护相关的主动安全保护方案主要有3种[10]。

1)利用CAN总线通信实现碰撞断电保护。安全气囊ECU(SRS ECU)采集碰撞传感器发送的碰撞信号后，判断该碰撞信号是否达到阈值。在确认达到阈值后，置相应控制引脚为低电位。主控制器监测到SRS ECU信号引脚电平变化(由高变低)，同时以一定速率向BMS发送碰撞报文。当BMS接收到3帧以上有效碰撞报文后，即切断整车高压回路。

2)用PWM波实现碰撞断电保护。为避免方案1)中SRS ECU信号引脚电平受外界电磁干扰出现碰撞误报警情况，采用具有一定时序的PWM波替代SRS ECU碰撞信号。当BMS连续检测到2个以上完整的PWM碰撞脉冲后，确认碰撞发生，立即切断整车高压回路。

方案3)是方案1)和2)的综合：采用信号冗余确保碰撞保护。SRS ECU同时发送PWM波和CAN报文至BMS，当BMS判定两路碰撞信号中，任一路信号有效，即执行切断高压电指令。

与碰撞断电保护相关的被动安全保护方案是：将碰撞开关串入高压互锁回路(HVIL)，惯性开关在碰撞发生时被触发，切断HVIL回路。

除了上述的电气安全防护措施外，动力电池组碰撞断电保护设计还应考虑结构安全防护，如采用U形安装支架、防撞加强筋、防撞支架等。

2.2 动力电池高压电安全防护

在GB/T 18384.1—2001以及IEC 60479—1：2005中，对电动汽车高压安全提出的要求如下：1)接触电压不允许超过36 V(人体安全电压)且漏电电流不允许超过30 mA·s(人体安全阈值)；2)绝缘电阻阻值除以标称电压值的最低值为100 Ω/V，最好大于500 Ω/V；3)接通时需进行预充电，避免瞬态高压电冲击；4)确保高压接触器断开时间在20 ms内；5)电源断开1 s后，任何可触及的导电部分和地之间的交流峰值不能高于42.4 V，直流电压应低于60 V，且存储能量应小于20 J。

为达到上述技术要求，一些研发人员结合ISO 26262的实施流程，开展了相关的研究工作。一些典型的文献分析如下。

在文献[11]中，分析了电动汽车动力电池系统高压功能存在的3种潜在失效模式：1)高压电使能失效，导致车辆失去动力；2)高压电关断失效，导致高压回路始终带电，存在触电危险；3)高压回路状态监控失效，导致高压回路超出极限状态。按照ISO 26262标准要求，对与上述3种失效模式相关的高压安全的功能(BMS控制器整体功能安全、高压互锁、碰撞开关、继电器控制/诊断以及绝缘检测)进行危险分析和风险评估，确定ASIL等级分别为ASIL C、ASIL A、ASIL A、ASIL B、QM。同时，定义了相应的功能安全目标，提出相应的技术安全需求，对提高车辆动力电池高压安全有着积极作用，可作为后续开发工作的必要输入。

在文献[12]中，基于ISO 26262标准要求，对电动汽车车用电池包高压继电器存在的影响驾驶员生命安全的失效形式进行了危险分析和风险评估。按照ASIL评级方法，确定高压继电器功能安全等级为ASIL C，相应的功能安全目标为避免非预期高压继电器的失效。设计过程中采用监控诊断作为安全机制来保证高压继电器功能安全，基于安全机制进行了ASIL分解。其分解方案为：监控传感器和故障诊断逻辑控制器按照ASIL C等级开发，其余传感器和控制器的ASIL等级为QM。在ASIL分解基础上，分析了故障诊断的硬件原理，进行了故障检测软件设计。经试验测试表明，所采用的控制方法能够保证高压继电器达到功能安全ASIL C等级。

在文献[13]中，针对纯电动汽车高压回路安全监控问题进行了功能安全研究，设计了一种基于STM32 ARM Cortex-M3内核单片机以及CAN总线技术的监测系统，并在纯电动汽车驻停过程中，采用高压回路故障诊断与安全监测策略保证上电、运行、断电全过程的高压用电安全。具体策略如下：1)上电过程控制策略。高压回路监测系统在监测到纯电动汽车有效启动命令上电后，若蓄电池储能充足、电压正常且电路无互锁、短路及绝缘等故障，则预充电系统执行预充电指令。若在规定时间内完成预充电，系统进一步接通高压回路，否则禁止接通高压回路。2)运行过程诊断策略。车辆在预充电结束且高压回路成功接通后，在进入正常运转的同时，启动实时故障诊断功能。利用计算模型实时循环检测与高压安全直接相关的绝缘电阻、电压、电流等重要电气参数。当车辆发生绝缘故障、高压环路互锁、高压环路故障、高低压故障、短路或车辆碰撞、侧翻时，及时断开高压回路，同时点亮故障报警灯。3)断开控制策略。系统接收到正常断开信号进入断电管理状态，首先检测动力电池组的温度，在温度值许可情况下切断主接触器直接完成断电。若温度过高，强制降温至许可值，再切断高压回路，最后完成系统余电泄放。

从上述文献分析可知，在实际工程应用中，采用加强基本防护、继电器控制、碰撞开关、高压互锁、高速断电管理、高压回路安全监测、高压电系统状态参数在线监测等措施来满足ISO 26262标准规定的动力电池高压安全防护要求。

2.3 动力电池充放电安全管理

动力电池充放电安全功能主要由充电系统、整车控制器(VCU)、BMS和电机控制器(MCU)配合保障。MCU提供电能使用/回收相关信息；BMS提供电池系统的状态/故障信息；VCU汇总以上信息，对充放电相关参数(功率、电流、电压、温度等)解耦处理后，进行电池安全逻辑判断，再将充放电指令发送至电能管理系统。电能管理系统(由VCU、BMS、MCU的相关功能部分和充电机构成)根据VCU的指令完成满足动力电池安全管理的充放电动作。

为符合ISO 26262标准的实施流程，需要对充放电过程中可能存在的故障及影响程度进行分析。

充电过程中(包括plug-in和电能回收)，可将电池故障分级作为主要参数制定相应的安全管理策略。1)针对某些对安全不构成影响的轻微故障(如单体电压差大于10 mV，不超过20 mV)，可以报警，而不限制充电参数；2)针对某些故障(如SOC偏离设定值、电池温度高于设定值等)，在报警的同时，适当降低充电功率；3)针对某些危险故障(如反接、极高压、短路、温度极高、温升极快、冒烟、着火等)，应立即断电[14]。

放电过程中，安全管理策略由VCU采集BMS、MCU提供的电池状态和驱动状态信号，解析驾驶意图，发出动态调节指令，使得电池的放电强度、SOC/SOH/SOF相关参数在标定范围内运行。

为了从起始状态起，有效管控电池组的安全，必须采取实时的故障诊断措施，并采用合理的安全管理策略，才能满足ISO 26262标准规定的充电安全的要求。

2.4 动力电池滥用防护

电池滥用包括短路、过放、火烧、浸水、振动、撞击、挤压、针刺、跌落、过流/过压充电、高/低温充放电等。在电池使用过程中，应设法避免滥用工况出现。在电芯及电池系统设计、制造过程中，应该采用本质安全的材料与方法来满足ISO 26262标准所规定的电池容忍滥用工况的要求[15]。

2.5 动力电池故障诊断处理

电池故障诊断处理属于主动安全防护技术。通过采集风速、车速/加速度、电池电压/电流/温度场/氢氧气浓度等信号，由BMS进行数据分析，计算出绝缘电阻模型、SOC/SOH/SOF模型、电池滥用、电池组热模型等模型后，输出相应控制信号[16-17]。

为满足ISO 26262标准的要求，故障诊断处理至少应该包含以下基本项目：电池温度过高/低、单体及模块电压过高/低、单体一致性偏差过大、充放电功率过大等。根据整车设计与电池系统的具体要求，纳入故障诊断的项目还应包括总电压过高/低、SOC值高/低、内外部通信接口故障、电池连接松动等故障[18]。

2.6 动力电池高性能封装

动力电池系统的高性能封装关键技术在于主被动安全保障与轻量化的多目标约束优化。主动安全保障包括前述的各种维持电池系统工作在高效区间的装置和电池温度维持系统。被动安全系统包括碰撞感知、RESS系统及其连接回路的电压与残余能量控制、电池单体及系统减振吸能装置、可燃/有害气体主动检测及排放、电池系统封装内部气压平衡装置等[19-20]。

3 动力驱动方面的功能安全技术

新能源汽车电驱系统性能决定着整车性能。新能源汽车电驱系统与普通电气传动系统相比应该具有高转矩-惯量比和宽调速范围、较高效率区域、加减速性能好、可靠性高等特点。

ISO 26262功能安全标准颁布以来，新能源汽车电驱系统的故障诊断、容错策略得到越来越多研发者的重视，大多数OEM厂商已开始针对ISO 26262标准开展功能安全的设计研究。虽然应用于电驱系统功能安全的全面解决方案还没有，但是已有一些相关设计的案例[21]。

文献[22]分析了新能源电动汽车电机驱动系统失效模式分类和失效机制，基于电动汽车电驱系统的特殊性，将故障分为硬性和软性两类故障，提出对软性故障进行容错的思路。

文献[23]采用失效模式影响和诊断分析(FMEDA)方法分析永磁同步电机(PMSM)常见故障。在整车仿真环境中，针对极限工况，仿真分析了PMSM故障时整车行为，完成ISO 26262标准下PMSM的ASIL评级工作，所得结论具有一定的客观性，可为电机和整车控制单元设计与开发提供参考。

文献[24]基于ISO 26262标准提出一种电动汽车电机控制系统安全监控设计方案。此方案通过硬件和软件两级监控来实现安全监控功能。在硬件系统设计方面，除电机控制芯片外，单独设立了安全监控芯片。在硬件电路设计方面，采用SPI、GPIO、CAN等通信手段，保证系统的实时性。在软件设计方面，电机控制芯片的安全监控功能由电机控制芯片自检和监控芯片共同完成，安全监控算法包括自检算法和周期测试算法等。软硬件两级监控设计使得电机驱动系统安全监控功能不但能够实时监控电机负载的运行情况，而且还能对电机控制芯片的运行状态进行监控；因此，故障诊断全面，覆盖率高，可提高电机驱动系统运行的安全性与可靠性，使其达到ASIL C等级。

文献[25]基于ISO 26262标准，定义了一种影响驾驶安全的危险事件：“车用驱动电机系统的实际输出转矩大幅偏离转矩指令”，评估分析了与此事件相关的S、E、C 3个参数，确定该事件的ASIL等级可达到ASIL C。通过分析发现：电动汽车电驱系统在接收来自VCU转矩指令Tvcu到实际输出转矩Te的过程中，与转矩传递相关的各功能模块出现单点故障都会导致“Te大幅度偏离Tvcu”的发生。为此，采用信息、软件、硬件冗余等方法，将此事件转化为多点故障，通过增加完善的故障检测功能及实时故障处理措施，使其达到ISO 26262标准规定的ASIL C安全等级要求。

为保证电驱动系统的正常运行，通常采用冗余措施来提高系统的可靠性及安全等级。电动汽车电驱动系统常用的冗余措施包括以下几个方面[23-24,26]。

1)CAN通信：在CAN通信报文中增加CRC 校验码，以提高通信数据传送的安全性。

2)电压采样：采用硬件成本较低的分压电路，同时采样3个驱动桥臂上的母线电压，能够显著提高电压采样的可靠性。

3)电流采样：同时采样三相电流，在监测电流不平衡问题的同时，可确保当其中一相电流采样故障时，仍能够维持电驱动系统正常运转。

4)旋转变压器：在旋转变压器中加入低成本低精度的霍尔传感器，基于其实现正弦波控制。可在旋转变压器故障时，维持驱动电机系统正常工作，也可采用无位置传感器方法，基于采样电流和电压，估计转矩位置角，当旋转变压器故障时，车辆在无位置传感器模式下可跛行靠边停车。

5)解码芯片：软件解码作为冗余措施，在解码芯片故障后，可切换至软件解码计算模式得到位置角。

6)软件计算：软件计算涉及采样计算、转矩-电流查表、矢量控制等计算环节。采用双核汽车级芯片，以双核锁步模式运行主控芯片中关键模块，使两个内核在相同周期执行相同指令，在每个时钟周期校验二者运行偏差，从而实现安全状态控制。

7)驱动电路、功率模块和电机绕组。采用多相电机系统方案，控制精度有所下降且系统成本明显上升。

4 电控技术方面的功能安全技术

新能源汽车电控技术不仅需要完成驾驶员操作意图解析及传递、主回路能量优化控制功能，而且还延伸到了电动辅助部件控制及其能量使用优化管理、整车级安全管理控制、网络信息管理控制等。

为满足ISO 26262标准要求，在进行VCU的研发过程中，研发人员需要对相关系统或零部件故障进行分析，采取软、硬件冗余等措施，保证VCU的功能安全，相关实例如下。

在文献[27]中，参照ISO 26262标准，设计了整车控制单元双VCU架构：主VCU采用32位单片机，辅VCU功能相对简单，选用16位单片机，主辅VCU通信实现系统级安全监控和保护功能。同时，针对VCU的功能模块硬件电路，如电源管理模块、CAN通信模块、输入信号采集模块，采用芯片温度范围控制、部件冗余设计、系统电磁兼容设计等元器件级可靠性设计和系统级可靠性设计相结合的方法，来确保VCU的可靠性。

文献[28]在整车控制单元硬件设计中分析了各个模块的功能，然后对各功能模块进行详细设计，分析了模块中电子元器件可能存在的失效模式、失效机制，以及每种失效模式下的影响及危害，并对电路中关键电路及微控制器设计冗余电路，有效提高了整车控制单元的可靠性。

在文献[29]中，基于ISO 26262标准，针对电动汽车VCU存在的3种影响驾驶安全的危险事件：1)非驾驶员意愿的加速或减速；2)不响应驾驶员的操作指令；3)失去对车辆其它用电附件的控制能力，采用FMEDA、故障树分析(FTA)等方法进行评估分析，确定上述3种危险事件的ASIL等级分别为ASIL D、ASIL B、QM(保证产品质量即可达到)，提出了指导整车控制单元前期设计过程中的3个功能安全目标。同时，采用双VCU架构，进一步完善VCU的安全机制。

在采用双VCU架构时，还应考虑一些功能安全机制，包括：1)基于冗余和异构原则，主辅VCU在设计时，分别采用不同内核的芯片，避免共因失效；2)SPI问答机制，即主辅VCU之间相互传递生命信号；3)SPI冗余，降低因SPI单点故障导致VCU出现功能失效的概率[29-31]。

对于与VCU密切相关的一些传感器或执行机构信号，如加速踏板信号，应采集故障主要包括传感器供电故障、传感器本身故障、线束与连接器故障、采集模块故障等。而常用功能安全机制包括：1)VCU对外部传感器供电检测；2)双路冗余的传感器及信号采集电路；3)主辅VCU同时采集相关信号，通过SPI相互通信周期性校验自身采集信号的有效性[32-33]。

针对VCU与其他控制单元，进行CAN通信。常用的功能安全机制有：1)采用CAN使能逻辑，避免主/辅MCU工作异常影响正常CAN通信机制；2)设置主MCU对辅MCU的CAN通信使能为“双控”，即使用2个独立的引脚，输出经“与”运算后再对辅MCU的CAN通信进行使能控制；3)主MCU采用不同方法编写两套独立关闭辅MCU CAN通信决策程序，以实现辅MCU CAN通信的冗余[29,34-35]。

整车控制单元在驱动电机、动力电池组初次故障时，可优先采用如下失效处理原则作出适当故障响应。1)变量缺省原则。车辆行驶工况下，当动力电池组与整车控制单元通信故障时，取整车控制单元检测到的最后一次SOC值作为缺省值，并以此SOC值为基础进行系统控制。2)转矩限制原则。整车控制单元检测到电机温度传感器故障时，为避免电机因大电流驱动过热，适当降低驱动电机力矩输出，进入降功率行驶模式[36-37]。

整车控制单元实际工作过程中，可以将电池故障分级、电机故障分级作为主要参数，制定相应的安全管理策略。1)轻微故障。主要是指用电附件故障，由于其对驾驶特性影响较小，点亮故障报警灯，提示驾驶员即可。2)制动能量回收故障。一般由制动踏板传感器故障引起，其信号难以反应驾驶员真实的驾驶意图，关闭制动能量回收功能的同时应点亮故障报警灯。3)车辆II级故障。驱动系统II级故障，应执行降功率策略；电池系统II级故障，SOC值低于预设值时，执行“跛行回家”策略，SOC高于预设值时，执行降功率策略。4)严重故障。执行下电停车指令[38-39]。

5 结论

新能源汽车的核心系统：“三电”系统的可靠性和安全性，是目前新能源汽车推广过程中，必须面临和妥善解决的关键性技术难题。

ISO 26262《道路车辆功能安全》标准从技术、流程、管理3个角度和概念、系统、软硬件3个层面，系统阐述了汽车电控产品在设计、开发、生产、运行、维护直至报废的全生命周期中所涉及的技术、流程管控要求，对于提升新能源汽车电控系统产品的安全技术水平，进而改善新能源汽车的安全性具有重要意义。

通过本文的综合分析，目前新能源汽车“三电”系统功能安全技术的研究与应用现状如下：

1)动力电源方面，从控制角度看：①应运用足够的手段保证 BMS 整体可靠运行，正确并及时地监控系统状态并控制高压回路；②应使高压互锁功能覆盖所有的高压元件并反映高压回路的完整状态，否则快速切断高压输出；③应保证碰撞时能够快速并准确地切断高压输出；④继电器控制和诊断逻辑应该能够确保继电器按照要求正确地动作，同时一旦出现异常动作应当能够及时地响应。以上措施，可使得电池系统满足功能安全标准ISO 26262的要求。

2)在电驱动方面，采用冗余设计(信息冗余、软件冗余、硬件冗余)可以在一定程度上提高新能源汽车驱动系统功能安全。在采取上述冗余措施的同时，还应该结合单点故障指标来考虑硬件的失效率。同时，应采取措施，对系统故障进行实时检测，依据合理的安全策略来进行故障处理，才能进一步保障驱动系统的功能安全。

3)在电控技术方面，新能源汽车电控系统的硬件应采用高性能专用控制芯片(高性能微处理器)和双核架构(32位主控系统+16/8位监控诊断系统)。在软件方面，应在标准化软件架构(如AUTOSAR、OSEK系统)的基础上，采用多种通信手段，如CAN/Flexray+WiFi+移动通信网等，以及软件冗余等措施，以保障功能安全的要求和信息高度综合化的需求。

[1]史学玲.功能安全标准的历史过程与发展趋势[J].仪器仪表标准化与计量,2006(2):6.

[2]Road Vehicles-Functional Safety-Part1, Part2, Part3, Part4, Part5, Part6, Part7, Part8, Part9, Part10：ISO26262-1, 2, 3, 4, 5, 6, 7, 8, 9, 10-2011[S].2011.

[3]CLARK L, MILNE S.功能安全对于汽车供应链的挑战[J].电子产品世界,2016(10):27.

[4]刘佳熙，郭辉，李君.汽车电子电气系统的功能安全标准：ISO 26262[J].上海汽车, 2011(10):57.

[5]HAMANN R, SAULER J,KRISO S.et al. Application of ISO 26262 in Reality[J].SAE 2009-01-0758.

[6]彭忆强.基于模型的汽车电控单元仿真测试技术研究[J].中国测试技术, 2006(6):15.

[7]邓鹏毅，彭忆强，蔡云,等.新能源汽车关键技术及发展趋势[J].西华大学学报(自然科学版),2017,36(4):34.

[8]电动汽车碰撞后安全要求：GB/T 31498—2015[S]. 2015.

[9]电动汽车安全要求第2部分：功能安全和故障防护：GB/T 18384.3—2001[S].2001.

[10]廉玉波，伍星驰，王洪军，等.动力电池碰撞断电保护技术分析[C]//2014中国汽车工程学会年会论文集.上海：中国汽车工程学会，2014:134-137.

[11]朱叶.基于ISO 26262的动力电池系统高压功能安全概念[J].Automobile Parts,2013(10): 97.

[12]印凯，朱建新，张筱瑜.基于ISO 26262的车用电池包高压继电器控制方法设计[J].传动技术,2016(3):45.

[13]张俊，谢伟东.纯电动汽车高压回路安全监测系统设计[J].机电工程,2013(3):364.

[14]胡银全，刘和平，刘平,等.电动汽车用磷酸铁锂电池充电特性的分析[J].汽车工程,2013(4):293.

[15]李凯，王奂.电动汽车用动力电池环境下的安全性能[J].安全与电磁兼容,2013(2):18.

[16]RESSLER G. Application of systemsafety engineering processes to advanced battery safety[J].SAE International Journal of Engines,2011(1):1921.

[17]刘碧军，杨林，朱建新,等.电动汽车高压电安全测试系统的研究[J].汽车工程,2005(4):274.

[18]曹宝健，谢先宇，魏学哲.电动汽车锂电池管理系统故障诊断研究[J].上海汽车,2012(12):8.

[19]方谋，赵骁，李建军,等.电动车用锂离子蓄电池模块的安全性问题[J].新材料产业,2014(3): 45.

[20]阎冬,马宏珺，杜凯,等.丰田车载动力电池安全技术路线[J].科技创新导报,2016(5):32.

[21]温旭辉.电动汽车电机驱动技术现状与发展综述[J].电力电子,2013(2):5.

[22]于海，刘志强，崔淑梅.电动汽车电机驱动系统故障与失效模式分析[J].电力电子技术,2011(12):69.

[23]邬肖鹏，刘飞，熊璐,等.ISO 26262标准下永磁同步电机故障对整车安全性的分析[J].汽车技术,2013(2):13.

[24]王瑛，蔡交明.电动汽车电机控制系统安全监控功能的设计与实现[J].汽车电子,2014(4):37.

[25]庄兴明，张琴.基于ISO 26262标准的车用驱动电机系统设计研究[J].研究与开发,2016(4):18.

[26]HABLI I, IBARRA I, RIVETT R.et al.Model-based assurance for justifying automotivefunctionalsafety[J].SAE 2010-01-0209.

[27]宋雪静.基于双MCU的纯电动汽车整车控制器硬件设计[J].设计研究,2015(5):33.

[28]朱锋.纯电动车整车控制器设计与失效性分析方法研究[D].哈尔滨：哈尔滨工业大学,2012.

[29]杜德清.电动汽车VCU故障诊断系统开发与测试[D].长春：吉林大学,2016.

[30]尚世亮，王雷雷，赵向东.基于ISO 26262的车辆电子电气系统故障注入测试方法[J].汽车技术,2015(12):49.

[31]CHEN Y,WANG J. Desgin and experimental evalua-tions on energy efficient control allocation methods for over-actuated electric vehicles: longitudinal motioncase[J]. IEEE/ASMETransaction on Mechatronics, 2014(2): 538.

[32]郭远东，王春霞.ISO 26262对汽车电子产品EMC的影响[J].电子产品可靠性与环境试验,2014(2):32.

[33]SHORT M,PONT M J，HUANG Q.Development of a hardware-in-the-Looptest facility for distributed embedded systems[R].Leicester,LE1 7RH, United Kingdom: Embedded Systems Laboratory (University of Leicester), 2004.

[34]GUO K H, DING H T, ZHANG J W.Development of a longitudinal and lateral driver modle for autonomous vehicle control[J].International Ournal of Vehicle Design,2004(1):50.

[35]BAGO M, MARIJAN S, PERIC N. Modeling controller area network communication[C]//The 5th IEEE International Conference on Industrial Informatics. Vienna: IEEE,2007，485-490.

[36]李伟.纯电动汽车加速踏板信号自诊断及失效保护策略[J].建设机械技术与管理，2013(5):100.

[37]严洪江.混合动力控制单元加速踏板信号电路硬件功能安全设计与验证[J].工业控制计算机,2016(9):39.

[38]崔书超，柴智，南金瑞.基于CAN总线的纯电动汽车故障诊断系统[J].车辆与动力技术，2012(2):44.

[39]陈正，王文扬，陈祥威.新能源汽车实时监控管理系统的设计[J].装备制造技术,2014(12):203.