彭憶強(qiáng)，蘆文峰，鄧鵬毅，王洪榮，馬媛媛, 徐 磊，何 波，楊麗蓉

(1.西華大學(xué)汽車與交通學(xué)院，四川成都 610039；2.四川汽車關(guān)鍵零部件協(xié)同創(chuàng)新中心，四川成都610039； 3.汽車測(cè)控與安全四川省重點(diǎn)實(shí)驗(yàn)室，四川成都610039；4.中國汽車工程研究院股份有限公司，重慶401122)

隨著越來越多的電子電氣測(cè)量、控制設(shè)備應(yīng)用于過程控制領(lǐng)域，電子電氣設(shè)備的功能安全問題逐漸成為該領(lǐng)域的重點(diǎn)研究內(nèi)容。

功能安全定義為：在電子電氣系統(tǒng)中，不能存在由功能異常表現(xiàn)引起的危害，從而產(chǎn)生不合理的風(fēng)險(xiǎn)，其本質(zhì)在于控制這些不合理風(fēng)險(xiǎn)的產(chǎn)生。

為此，工業(yè)領(lǐng)域的研究人員在分析、比較、綜合和驗(yàn)證的基礎(chǔ)上，制定并逐步完善了功能安全標(biāo)準(zhǔn)，使之成為避免電子電氣系統(tǒng)功能異常而引起相關(guān)危害的有效手段。到目前為止，功能安全標(biāo)準(zhǔn)的發(fā)展可分為3個(gè)階段[1]。

第1階段：20世紀(jì)90年代，德國、美國等針對(duì)工業(yè)領(lǐng)域?qū)y(cè)量和控制設(shè)備應(yīng)考慮的基本安全性要求，頒布了功能安全相關(guān)標(biāo)準(zhǔn)(DIN V 19250和ISA S 84.01)。

第2階段：2000年，國際電工委員會(huì)(IEC)綜合德國和美國國家標(biāo)準(zhǔn)，頒布《電子/電氣/可編程電子安全相關(guān)系統(tǒng)(E/E/PE)的功能安全》(IEC61508)。

第3階段：從2005年起，考慮到汽車工業(yè)的分布式開發(fā)模式、各零部件的安全生命周期不同、汽車產(chǎn)品大規(guī)模批量生產(chǎn)等明顯區(qū)別于其他工業(yè)技術(shù)領(lǐng)域的特點(diǎn)，IEC61508作為功能安全基礎(chǔ)標(biāo)準(zhǔn)，并不完全適用于汽車工業(yè)；因此，國際標(biāo)準(zhǔn)化組織(ISO)在IEC61508的基礎(chǔ)上，歷時(shí)6年，專門制定了針對(duì)汽車電子電氣系統(tǒng)的道路車輛功能安全標(biāo)準(zhǔn)ISO 26262，并于2011年正式發(fā)布了第1版[2]。

道路車輛功能安全標(biāo)準(zhǔn)分為10個(gè)部分，分別為功能安全術(shù)語，功能安全管理，功能安全概念階段，產(chǎn)品開發(fā)系統(tǒng)、硬件、軟件，具備功能安全性能的電控系統(tǒng)產(chǎn)品的生產(chǎn)、運(yùn)行，具備功能安全性能的產(chǎn)品的支持過程，汽車安全完整性等級(jí)導(dǎo)向和安全導(dǎo)向分析等9個(gè)方面進(jìn)行規(guī)范性描述。最后一個(gè)部分(第10部分)是對(duì)如何運(yùn)用功能安全標(biāo)準(zhǔn)進(jìn)行的指南性說明?？傮w上看，道路車輛功能安全標(biāo)準(zhǔn)從體系和流程方面指導(dǎo)了如何研發(fā)、生產(chǎn)、運(yùn)行維護(hù)滿足功能安全要求的汽車產(chǎn)品，但是，從技術(shù)層面如何具體實(shí)現(xiàn)滿足功能安全要求的產(chǎn)品設(shè)計(jì)和驗(yàn)證，這是標(biāo)準(zhǔn)所沒有統(tǒng)一規(guī)定的。

隨著汽車電子電氣產(chǎn)品與技術(shù)的迭代更新，經(jīng)過近幾年來的實(shí)踐，汽車功能安全標(biāo)準(zhǔn)的應(yīng)用者和研究者，提煉總結(jié)出更多新的應(yīng)用原則或技術(shù)途徑，為此，ISO計(jì)劃將于2018年發(fā)布ISO 26262第2版。全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)主持了我國對(duì)ISO 26262的采納工作，從2012年起立項(xiàng)制定中國版的道路車輛功能安全標(biāo)準(zhǔn)，2016年底完成了報(bào)批稿，2017年10月頒布，2018年5月實(shí)施。

ISO 26262標(biāo)準(zhǔn)適用于最大總質(zhì)量不超過3.5 t的量產(chǎn)乘用車，其上安裝有一個(gè)或多個(gè)電子電氣系統(tǒng)，并且這些系統(tǒng)與車輛的安全運(yùn)行相關(guān)。同時(shí)，這些系統(tǒng)必須具備實(shí)時(shí)監(jiān)測(cè)和自診斷功能，保證系統(tǒng)故障發(fā)生時(shí)能過渡到安全狀態(tài)。

功能安全標(biāo)準(zhǔn)ISO 26262的頒布，給汽車產(chǎn)業(yè)技術(shù)的發(fā)展帶來了許多挑戰(zhàn)[3-5]，主要體現(xiàn)在對(duì)故障發(fā)生時(shí)的危險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估和產(chǎn)品的成本控制2方面。

在危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估結(jié)果方面，ISO 26262標(biāo)準(zhǔn)提供的基于嚴(yán)重性(S)、曝光率(E)、可控性(C)3個(gè)參數(shù)的風(fēng)險(xiǎn)評(píng)估方法基本上屬于定性分析。在汽車行業(yè)分布式開發(fā)模式中，OEM(original equipment manufacturer：原始設(shè)備生產(chǎn)商)應(yīng)當(dāng)將危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估結(jié)果提供給供應(yīng)商作為項(xiàng)目輸入，并作為輸出確認(rèn)的標(biāo)準(zhǔn)之一；然而不同OEM確定的危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估結(jié)果可能有差異，而且供應(yīng)商在進(jìn)行項(xiàng)目先期預(yù)研時(shí)，可能無法獲得準(zhǔn)確的正式輸入條件，只能根據(jù)經(jīng)驗(yàn)進(jìn)行系列假設(shè)完成分析，權(quán)衡多種因素以確定平臺(tái)解決方案。

因此，在運(yùn)用ISO 26262標(biāo)準(zhǔn)實(shí)際開發(fā)過程中，OEM與供應(yīng)商往往存在分歧。雖然，針對(duì)某個(gè)安全相關(guān)系統(tǒng)的功能安全定義能達(dá)成一致，但是在ASIL(automotive safety integrity level：汽車安全完整性等級(jí))分解及分配過程中雙方對(duì)ASIL分解公式如何選取或者對(duì)于分解后ASIL如何分配可能會(huì)產(chǎn)生分歧，如ASIL C可分解為ASIL C+QM或ASIL B+ASIL A。如何選擇分解公式或選定分解公式后，究竟誰來承擔(dān)哪個(gè)等級(jí)的開發(fā)工作，實(shí)際開發(fā)過程中上述分歧經(jīng)常出現(xiàn)且難以解決。

在成本控制方面，汽車產(chǎn)品面臨越來越嚴(yán)格的安全管理法規(guī)要求，碰撞安全、行人保護(hù)、新能源汽車電池安全等的解決方案需要大量投入。功能安全標(biāo)準(zhǔn)ISO 26262正式出臺(tái)，給OEM和供應(yīng)商提出了更高的要求，這意味著必須投入人力、物力，開發(fā)符合功能安全相關(guān)要求的電控系統(tǒng)。

制訂符合ISO 26262標(biāo)準(zhǔn)要求的功能安全解決方案已經(jīng)成為汽車電子產(chǎn)品研發(fā)過程中的共同關(guān)注點(diǎn)，而新能源汽車面臨比傳統(tǒng)汽車更嚴(yán)峻的“三電”系統(tǒng)可靠性和安全性問題，已多次出現(xiàn)因新能源汽車“三電”系統(tǒng)的功能安全問題，引起的車輛召回事件。

因此，功能安全標(biāo)準(zhǔn)的實(shí)施將對(duì)新能源汽車產(chǎn)業(yè)“三電”技術(shù)的發(fā)展起到促進(jìn)作用。

下面將介紹在汽車電子電氣系統(tǒng)開發(fā)過程中，應(yīng)用ISO 26262的基本方法或流程。然后，重點(diǎn)分析新能源汽車“三電”系統(tǒng)中功能安全技術(shù)的應(yīng)用現(xiàn)狀。

1 基于ISO 26262標(biāo)準(zhǔn)的汽車電子電氣系統(tǒng)開發(fā)流程

ISO 26262標(biāo)準(zhǔn)為汽車電子電氣系統(tǒng)提供了從概念設(shè)計(jì)、產(chǎn)品開發(fā)到批產(chǎn)后各階段的整個(gè)生命周期中與功能安全相關(guān)的工作流程和管理流程的基礎(chǔ)。

在概念設(shè)計(jì)階段，要基于系統(tǒng)定義和系統(tǒng)初步架構(gòu)，分析可能存在的功能安全風(fēng)險(xiǎn)并評(píng)估風(fēng)險(xiǎn)的等級(jí)。然后根據(jù)功能安全風(fēng)險(xiǎn)，定義安全目標(biāo)和針對(duì)每個(gè)安全目標(biāo)的功能安全概念。

在產(chǎn)品開發(fā)階段，ISO 26262標(biāo)準(zhǔn)繼承汽車工業(yè)中常用的V型流程[6]來定義相關(guān)安全活動(dòng)，基本開發(fā)流程如圖1所示。V型的左側(cè)包括技術(shù)安全需求的制訂、系統(tǒng)設(shè)計(jì)，V型的右側(cè)包括系統(tǒng)集成、安全確認(rèn)和發(fā)布。硬件和軟件的開發(fā)同樣遵循相似的V型開發(fā)流程。

圖1 符合ISO 26262標(biāo)準(zhǔn)的基本開發(fā)流程

在生產(chǎn)、運(yùn)行、維護(hù)和報(bào)廢的全生命周期階段，ISO 26262通過規(guī)定過程參數(shù)一致性、合格的生產(chǎn)/運(yùn)行/維護(hù)工具、嚴(yán)格的生產(chǎn)/運(yùn)行/維護(hù)流程、標(biāo)準(zhǔn)的使用信息等，保障滿足功能安全技術(shù)要求的汽車電控產(chǎn)品的功能安全性能目標(biāo)。同時(shí)，ISO 26262還通過對(duì)于支持過程需要的開發(fā)接口、安全要求定義、配置、變更、驗(yàn)證、軟硬件工具/組件等方面進(jìn)行詳細(xì)的規(guī)范，其性質(zhì)類似于質(zhì)量管理體系的相近特征，保證電控產(chǎn)品的功能安全性能的一致性和可靠性。

2 動(dòng)力電源方面的功能安全技術(shù)

新能源汽車動(dòng)力電源主要由電能/能量存儲(chǔ)單元、能量轉(zhuǎn)換模塊及發(fā)電單元(燃料電池、發(fā)動(dòng)機(jī)-發(fā)電機(jī))、電源管理系統(tǒng)、熱管理系統(tǒng)、安全管理系統(tǒng)、內(nèi)外部封裝系統(tǒng)、連接裝置等構(gòu)成[7]。

目前，主流新能源汽車二次電池的電能存儲(chǔ)單元主要包括鎳氫電池、鋰離子電池。動(dòng)力電源系統(tǒng)的安全管理技術(shù)的實(shí)施需要高精度、復(fù)雜的電池管理系統(tǒng)(BMS)，應(yīng)該具有以下基本功能：

1)動(dòng)力電池碰撞斷電保護(hù)；

2)動(dòng)力電池高壓電安全防護(hù)；

3)動(dòng)力電池充放電安全管理；

4)動(dòng)力電池濫用防護(hù)；

5)動(dòng)力電池故障診斷處理；

6)動(dòng)力電池系統(tǒng)的高性能封裝。

因此，相應(yīng)的功能安全要求很高，重點(diǎn)體現(xiàn)在以下幾方面。

2.1 動(dòng)力電池碰撞斷電保護(hù)

根據(jù)GB/T 31498—2015《電動(dòng)汽車碰撞后安全要求》[8],電動(dòng)汽車碰撞后安全評(píng)價(jià)標(biāo)準(zhǔn)主要包括：1)整車母線電壓、母線搭鐵電壓滿足交流不大于30 V和直流不大于60 V；2)電能要求高壓母線上的殘余總電能應(yīng)小于0.2 J；3)碰撞后車輛所有高壓設(shè)備應(yīng)有IPXXB級(jí)別的物理防護(hù)；4)高壓絕緣電阻滿足GB/T 18384.3-2001《電動(dòng)汽車安全要求》[9]；5)動(dòng)力電池電解液泄漏量、動(dòng)力電池移動(dòng)位移應(yīng)滿足相應(yīng)的要求；6)碰撞發(fā)生后30 min內(nèi)不得起火、爆炸。

因此，開發(fā)符合ISO 26262標(biāo)準(zhǔn)的動(dòng)力電池碰撞斷電保護(hù)系統(tǒng)的關(guān)鍵在于盡量縮短響應(yīng)時(shí)間(包括碰撞信號(hào)的采集、確認(rèn)以及執(zhí)行器執(zhí)行整車切斷高壓電指令的時(shí)間)，響應(yīng)時(shí)間越短，系統(tǒng)安全性越高。

在ISO 26262標(biāo)準(zhǔn)中，要求的電氣安全防護(hù)涉及主動(dòng)保護(hù)和被動(dòng)保護(hù)2種方式。

與碰撞斷電保護(hù)相關(guān)的主動(dòng)安全保護(hù)方案主要有3種[10]。

1)利用CAN總線通信實(shí)現(xiàn)碰撞斷電保護(hù)。安全氣囊ECU(SRS ECU)采集碰撞傳感器發(fā)送的碰撞信號(hào)后，判斷該碰撞信號(hào)是否達(dá)到閾值。在確認(rèn)達(dá)到閾值后，置相應(yīng)控制引腳為低電位。主控制器監(jiān)測(cè)到SRS ECU信號(hào)引腳電平變化(由高變低)，同時(shí)以一定速率向BMS發(fā)送碰撞報(bào)文。當(dāng)BMS接收到3幀以上有效碰撞報(bào)文后，即切斷整車高壓回路。

2)用PWM波實(shí)現(xiàn)碰撞斷電保護(hù)。為避免方案1)中SRS ECU信號(hào)引腳電平受外界電磁干擾出現(xiàn)碰撞誤報(bào)警情況，采用具有一定時(shí)序的PWM波替代SRS ECU碰撞信號(hào)。當(dāng)BMS連續(xù)檢測(cè)到2個(gè)以上完整的PWM碰撞脈沖后，確認(rèn)碰撞發(fā)生，立即切斷整車高壓回路。

方案3)是方案1)和2)的綜合：采用信號(hào)冗余確保碰撞保護(hù)。SRS ECU同時(shí)發(fā)送PWM波和CAN報(bào)文至BMS，當(dāng)BMS判定兩路碰撞信號(hào)中，任一路信號(hào)有效，即執(zhí)行切斷高壓電指令。

與碰撞斷電保護(hù)相關(guān)的被動(dòng)安全保護(hù)方案是：將碰撞開關(guān)串入高壓互鎖回路(HVIL)，慣性開關(guān)在碰撞發(fā)生時(shí)被觸發(fā)，切斷HVIL回路。

除了上述的電氣安全防護(hù)措施外，動(dòng)力電池組碰撞斷電保護(hù)設(shè)計(jì)還應(yīng)考慮結(jié)構(gòu)安全防護(hù)，如采用U形安裝支架、防撞加強(qiáng)筋、防撞支架等。

2.2 動(dòng)力電池高壓電安全防護(hù)

在GB/T 18384.1—2001以及IEC 60479—1：2005中，對(duì)電動(dòng)汽車高壓安全提出的要求如下：1)接觸電壓不允許超過36 V(人體安全電壓)且漏電電流不允許超過30 mA·s(人體安全閾值)；2)絕緣電阻阻值除以標(biāo)稱電壓值的最低值為100 Ω/V，最好大于500 Ω/V；3)接通時(shí)需進(jìn)行預(yù)充電，避免瞬態(tài)高壓電沖擊；4)確保高壓接觸器斷開時(shí)間在20 ms內(nèi)；5)電源斷開1 s后，任何可觸及的導(dǎo)電部分和地之間的交流峰值不能高于42.4 V，直流電壓應(yīng)低于60 V，且存儲(chǔ)能量應(yīng)小于20 J。

為達(dá)到上述技術(shù)要求，一些研發(fā)人員結(jié)合ISO 26262的實(shí)施流程，開展了相關(guān)的研究工作。一些典型的文獻(xiàn)分析如下。

在文獻(xiàn)[11]中，分析了電動(dòng)汽車動(dòng)力電池系統(tǒng)高壓功能存在的3種潛在失效模式：1)高壓電使能失效，導(dǎo)致車輛失去動(dòng)力；2)高壓電關(guān)斷失效，導(dǎo)致高壓回路始終帶電，存在觸電危險(xiǎn)；3)高壓回路狀態(tài)監(jiān)控失效，導(dǎo)致高壓回路超出極限狀態(tài)。按照ISO 26262標(biāo)準(zhǔn)要求，對(duì)與上述3種失效模式相關(guān)的高壓安全的功能(BMS控制器整體功能安全、高壓互鎖、碰撞開關(guān)、繼電器控制/診斷以及絕緣檢測(cè))進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估，確定ASIL等級(jí)分別為ASIL C、ASIL A、ASIL A、ASIL B、QM。同時(shí)，定義了相應(yīng)的功能安全目標(biāo)，提出相應(yīng)的技術(shù)安全需求，對(duì)提高車輛動(dòng)力電池高壓安全有著積極作用，可作為后續(xù)開發(fā)工作的必要輸入。

在文獻(xiàn)[12]中，基于ISO 26262標(biāo)準(zhǔn)要求，對(duì)電動(dòng)汽車車用電池包高壓繼電器存在的影響駕駛員生命安全的失效形式進(jìn)行了危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估。按照ASIL評(píng)級(jí)方法，確定高壓繼電器功能安全等級(jí)為ASIL C，相應(yīng)的功能安全目標(biāo)為避免非預(yù)期高壓繼電器的失效。設(shè)計(jì)過程中采用監(jiān)控診斷作為安全機(jī)制來保證高壓繼電器功能安全，基于安全機(jī)制進(jìn)行了ASIL分解。其分解方案為：監(jiān)控傳感器和故障診斷邏輯控制器按照ASIL C等級(jí)開發(fā)，其余傳感器和控制器的ASIL等級(jí)為QM。在ASIL分解基礎(chǔ)上，分析了故障診斷的硬件原理，進(jìn)行了故障檢測(cè)軟件設(shè)計(jì)。經(jīng)試驗(yàn)測(cè)試表明，所采用的控制方法能夠保證高壓繼電器達(dá)到功能安全ASIL C等級(jí)。

在文獻(xiàn)[13]中，針對(duì)純電動(dòng)汽車高壓回路安全監(jiān)控問題進(jìn)行了功能安全研究，設(shè)計(jì)了一種基于STM32 ARM Cortex-M3內(nèi)核單片機(jī)以及CAN總線技術(shù)的監(jiān)測(cè)系統(tǒng)，并在純電動(dòng)汽車駐停過程中，采用高壓回路故障診斷與安全監(jiān)測(cè)策略保證上電、運(yùn)行、斷電全過程的高壓用電安全。具體策略如下：1)上電過程控制策略。高壓回路監(jiān)測(cè)系統(tǒng)在監(jiān)測(cè)到純電動(dòng)汽車有效啟動(dòng)命令上電后，若蓄電池儲(chǔ)能充足、電壓正常且電路無互鎖、短路及絕緣等故障，則預(yù)充電系統(tǒng)執(zhí)行預(yù)充電指令。若在規(guī)定時(shí)間內(nèi)完成預(yù)充電，系統(tǒng)進(jìn)一步接通高壓回路，否則禁止接通高壓回路。2)運(yùn)行過程診斷策略。車輛在預(yù)充電結(jié)束且高壓回路成功接通后，在進(jìn)入正常運(yùn)轉(zhuǎn)的同時(shí)，啟動(dòng)實(shí)時(shí)故障診斷功能。利用計(jì)算模型實(shí)時(shí)循環(huán)檢測(cè)與高壓安全直接相關(guān)的絕緣電阻、電壓、電流等重要電氣參數(shù)。當(dāng)車輛發(fā)生絕緣故障、高壓環(huán)路互鎖、高壓環(huán)路故障、高低壓故障、短路或車輛碰撞、側(cè)翻時(shí)，及時(shí)斷開高壓回路，同時(shí)點(diǎn)亮故障報(bào)警燈。3)斷開控制策略。系統(tǒng)接收到正常斷開信號(hào)進(jìn)入斷電管理狀態(tài)，首先檢測(cè)動(dòng)力電池組的溫度，在溫度值許可情況下切斷主接觸器直接完成斷電。若溫度過高，強(qiáng)制降溫至許可值，再切斷高壓回路，最后完成系統(tǒng)余電泄放。

從上述文獻(xiàn)分析可知，在實(shí)際工程應(yīng)用中，采用加強(qiáng)基本防護(hù)、繼電器控制、碰撞開關(guān)、高壓互鎖、高速斷電管理、高壓回路安全監(jiān)測(cè)、高壓電系統(tǒng)狀態(tài)參數(shù)在線監(jiān)測(cè)等措施來滿足ISO 26262標(biāo)準(zhǔn)規(guī)定的動(dòng)力電池高壓安全防護(hù)要求。

2.3 動(dòng)力電池充放電安全管理

動(dòng)力電池充放電安全功能主要由充電系統(tǒng)、整車控制器(VCU)、BMS和電機(jī)控制器(MCU)配合保障。MCU提供電能使用/回收相關(guān)信息；BMS提供電池系統(tǒng)的狀態(tài)/故障信息；VCU匯總以上信息，對(duì)充放電相關(guān)參數(shù)(功率、電流、電壓、溫度等)解耦處理后，進(jìn)行電池安全邏輯判斷，再將充放電指令發(fā)送至電能管理系統(tǒng)。電能管理系統(tǒng)(由VCU、BMS、MCU的相關(guān)功能部分和充電機(jī)構(gòu)成)根據(jù)VCU的指令完成滿足動(dòng)力電池安全管理的充放電動(dòng)作。

為符合ISO 26262標(biāo)準(zhǔn)的實(shí)施流程，需要對(duì)充放電過程中可能存在的故障及影響程度進(jìn)行分析。

充電過程中(包括plug-in和電能回收)，可將電池故障分級(jí)作為主要參數(shù)制定相應(yīng)的安全管理策略。1)針對(duì)某些對(duì)安全不構(gòu)成影響的輕微故障(如單體電壓差大于10 mV，不超過20 mV)，可以報(bào)警，而不限制充電參數(shù)；2)針對(duì)某些故障(如SOC偏離設(shè)定值、電池溫度高于設(shè)定值等)，在報(bào)警的同時(shí)，適當(dāng)降低充電功率；3)針對(duì)某些危險(xiǎn)故障(如反接、極高壓、短路、溫度極高、溫升極快、冒煙、著火等)，應(yīng)立即斷電[14]。

放電過程中，安全管理策略由VCU采集BMS、MCU提供的電池狀態(tài)和驅(qū)動(dòng)狀態(tài)信號(hào)，解析駕駛意圖，發(fā)出動(dòng)態(tài)調(diào)節(jié)指令，使得電池的放電強(qiáng)度、SOC/SOH/SOF相關(guān)參數(shù)在標(biāo)定范圍內(nèi)運(yùn)行。

為了從起始狀態(tài)起，有效管控電池組的安全，必須采取實(shí)時(shí)的故障診斷措施，并采用合理的安全管理策略，才能滿足ISO 26262標(biāo)準(zhǔn)規(guī)定的充電安全的要求。

2.4 動(dòng)力電池濫用防護(hù)

電池濫用包括短路、過放、火燒、浸水、振動(dòng)、撞擊、擠壓、針刺、跌落、過流/過壓充電、高/低溫充放電等。在電池使用過程中，應(yīng)設(shè)法避免濫用工況出現(xiàn)。在電芯及電池系統(tǒng)設(shè)計(jì)、制造過程中，應(yīng)該采用本質(zhì)安全的材料與方法來滿足ISO 26262標(biāo)準(zhǔn)所規(guī)定的電池容忍濫用工況的要求[15]。

2.5 動(dòng)力電池故障診斷處理

電池故障診斷處理屬于主動(dòng)安全防護(hù)技術(shù)。通過采集風(fēng)速、車速/加速度、電池電壓/電流/溫度場/氫氧氣濃度等信號(hào)，由BMS進(jìn)行數(shù)據(jù)分析，計(jì)算出絕緣電阻模型、SOC/SOH/SOF模型、電池濫用、電池組熱模型等模型后，輸出相應(yīng)控制信號(hào)[16-17]。

為滿足ISO 26262標(biāo)準(zhǔn)的要求，故障診斷處理至少應(yīng)該包含以下基本項(xiàng)目：電池溫度過高/低、單體及模塊電壓過高/低、單體一致性偏差過大、充放電功率過大等。根據(jù)整車設(shè)計(jì)與電池系統(tǒng)的具體要求，納入故障診斷的項(xiàng)目還應(yīng)包括總電壓過高/低、SOC值高/低、內(nèi)外部通信接口故障、電池連接松動(dòng)等故障[18]。

2.6 動(dòng)力電池高性能封裝

動(dòng)力電池系統(tǒng)的高性能封裝關(guān)鍵技術(shù)在于主被動(dòng)安全保障與輕量化的多目標(biāo)約束優(yōu)化。主動(dòng)安全保障包括前述的各種維持電池系統(tǒng)工作在高效區(qū)間的裝置和電池溫度維持系統(tǒng)。被動(dòng)安全系統(tǒng)包括碰撞感知、RESS系統(tǒng)及其連接回路的電壓與殘余能量控制、電池單體及系統(tǒng)減振吸能裝置、可燃/有害氣體主動(dòng)檢測(cè)及排放、電池系統(tǒng)封裝內(nèi)部氣壓平衡裝置等[19-20]。

3 動(dòng)力驅(qū)動(dòng)方面的功能安全技術(shù)

新能源汽車電驅(qū)系統(tǒng)性能決定著整車性能。新能源汽車電驅(qū)系統(tǒng)與普通電氣傳動(dòng)系統(tǒng)相比應(yīng)該具有高轉(zhuǎn)矩-慣量比和寬調(diào)速范圍、較高效率區(qū)域、加減速性能好、可靠性高等特點(diǎn)。

ISO 26262功能安全標(biāo)準(zhǔn)頒布以來，新能源汽車電驅(qū)系統(tǒng)的故障診斷、容錯(cuò)策略得到越來越多研發(fā)者的重視，大多數(shù)OEM廠商已開始針對(duì)ISO 26262標(biāo)準(zhǔn)開展功能安全的設(shè)計(jì)研究。雖然應(yīng)用于電驅(qū)系統(tǒng)功能安全的全面解決方案還沒有，但是已有一些相關(guān)設(shè)計(jì)的案例[21]。

文獻(xiàn)[22]分析了新能源電動(dòng)汽車電機(jī)驅(qū)動(dòng)系統(tǒng)失效模式分類和失效機(jī)制，基于電動(dòng)汽車電驅(qū)系統(tǒng)的特殊性，將故障分為硬性和軟性兩類故障，提出對(duì)軟性故障進(jìn)行容錯(cuò)的思路。

文獻(xiàn)[23]采用失效模式影響和診斷分析(FMEDA)方法分析永磁同步電機(jī)(PMSM)常見故障。在整車仿真環(huán)境中，針對(duì)極限工況，仿真分析了PMSM故障時(shí)整車行為，完成ISO 26262標(biāo)準(zhǔn)下PMSM的ASIL評(píng)級(jí)工作，所得結(jié)論具有一定的客觀性，可為電機(jī)和整車控制單元設(shè)計(jì)與開發(fā)提供參考。

文獻(xiàn)[24]基于ISO 26262標(biāo)準(zhǔn)提出一種電動(dòng)汽車電機(jī)控制系統(tǒng)安全監(jiān)控設(shè)計(jì)方案。此方案通過硬件和軟件兩級(jí)監(jiān)控來實(shí)現(xiàn)安全監(jiān)控功能。在硬件系統(tǒng)設(shè)計(jì)方面，除電機(jī)控制芯片外，單獨(dú)設(shè)立了安全監(jiān)控芯片。在硬件電路設(shè)計(jì)方面，采用SPI、GPIO、CAN等通信手段，保證系統(tǒng)的實(shí)時(shí)性。在軟件設(shè)計(jì)方面，電機(jī)控制芯片的安全監(jiān)控功能由電機(jī)控制芯片自檢和監(jiān)控芯片共同完成，安全監(jiān)控算法包括自檢算法和周期測(cè)試算法等。軟硬件兩級(jí)監(jiān)控設(shè)計(jì)使得電機(jī)驅(qū)動(dòng)系統(tǒng)安全監(jiān)控功能不但能夠?qū)崟r(shí)監(jiān)控電機(jī)負(fù)載的運(yùn)行情況，而且還能對(duì)電機(jī)控制芯片的運(yùn)行狀態(tài)進(jìn)行監(jiān)控；因此，故障診斷全面，覆蓋率高，可提高電機(jī)驅(qū)動(dòng)系統(tǒng)運(yùn)行的安全性與可靠性，使其達(dá)到ASIL C等級(jí)。

文獻(xiàn)[25]基于ISO 26262標(biāo)準(zhǔn)，定義了一種影響駕駛安全的危險(xiǎn)事件：“車用驅(qū)動(dòng)電機(jī)系統(tǒng)的實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”，評(píng)估分析了與此事件相關(guān)的S、E、C 3個(gè)參數(shù)，確定該事件的ASIL等級(jí)可達(dá)到ASIL C。通過分析發(fā)現(xiàn)：電動(dòng)汽車電驅(qū)系統(tǒng)在接收來自VCU轉(zhuǎn)矩指令Tvcu到實(shí)際輸出轉(zhuǎn)矩Te的過程中，與轉(zhuǎn)矩傳遞相關(guān)的各功能模塊出現(xiàn)單點(diǎn)故障都會(huì)導(dǎo)致“Te大幅度偏離Tvcu”的發(fā)生。為此，采用信息、軟件、硬件冗余等方法，將此事件轉(zhuǎn)化為多點(diǎn)故障，通過增加完善的故障檢測(cè)功能及實(shí)時(shí)故障處理措施，使其達(dá)到ISO 26262標(biāo)準(zhǔn)規(guī)定的ASIL C安全等級(jí)要求。

為保證電驅(qū)動(dòng)系統(tǒng)的正常運(yùn)行，通常采用冗余措施來提高系統(tǒng)的可靠性及安全等級(jí)。電動(dòng)汽車電驅(qū)動(dòng)系統(tǒng)常用的冗余措施包括以下幾個(gè)方面[23-24,26]。

1)CAN通信：在CAN通信報(bào)文中增加CRC 校驗(yàn)碼，以提高通信數(shù)據(jù)傳送的安全性。

2)電壓采樣：采用硬件成本較低的分壓電路，同時(shí)采樣3個(gè)驅(qū)動(dòng)橋臂上的母線電壓，能夠顯著提高電壓采樣的可靠性。

3)電流采樣：同時(shí)采樣三相電流，在監(jiān)測(cè)電流不平衡問題的同時(shí)，可確保當(dāng)其中一相電流采樣故障時(shí)，仍能夠維持電驅(qū)動(dòng)系統(tǒng)正常運(yùn)轉(zhuǎn)。

4)旋轉(zhuǎn)變壓器：在旋轉(zhuǎn)變壓器中加入低成本低精度的霍爾傳感器，基于其實(shí)現(xiàn)正弦波控制?？稍谛D(zhuǎn)變壓器故障時(shí)，維持驅(qū)動(dòng)電機(jī)系統(tǒng)正常工作，也可采用無位置傳感器方法，基于采樣電流和電壓，估計(jì)轉(zhuǎn)矩位置角，當(dāng)旋轉(zhuǎn)變壓器故障時(shí)，車輛在無位置傳感器模式下可跛行靠邊停車。

5)解碼芯片：軟件解碼作為冗余措施，在解碼芯片故障后，可切換至軟件解碼計(jì)算模式得到位置角。

6)軟件計(jì)算：軟件計(jì)算涉及采樣計(jì)算、轉(zhuǎn)矩-電流查表、矢量控制等計(jì)算環(huán)節(jié)。采用雙核汽車級(jí)芯片，以雙核鎖步模式運(yùn)行主控芯片中關(guān)鍵模塊，使兩個(gè)內(nèi)核在相同周期執(zhí)行相同指令，在每個(gè)時(shí)鐘周期校驗(yàn)二者運(yùn)行偏差，從而實(shí)現(xiàn)安全狀態(tài)控制。

7)驅(qū)動(dòng)電路、功率模塊和電機(jī)繞組。采用多相電機(jī)系統(tǒng)方案，控制精度有所下降且系統(tǒng)成本明顯上升。

4 電控技術(shù)方面的功能安全技術(shù)

新能源汽車電控技術(shù)不僅需要完成駕駛員操作意圖解析及傳遞、主回路能量優(yōu)化控制功能，而且還延伸到了電動(dòng)輔助部件控制及其能量使用優(yōu)化管理、整車級(jí)安全管理控制、網(wǎng)絡(luò)信息管理控制等。

為滿足ISO 26262標(biāo)準(zhǔn)要求，在進(jìn)行VCU的研發(fā)過程中，研發(fā)人員需要對(duì)相關(guān)系統(tǒng)或零部件故障進(jìn)行分析，采取軟、硬件冗余等措施，保證VCU的功能安全，相關(guān)實(shí)例如下。

在文獻(xiàn)[27]中，參照ISO 26262標(biāo)準(zhǔn)，設(shè)計(jì)了整車控制單元雙VCU架構(gòu)：主VCU采用32位單片機(jī)，輔VCU功能相對(duì)簡單，選用16位單片機(jī)，主輔VCU通信實(shí)現(xiàn)系統(tǒng)級(jí)安全監(jiān)控和保護(hù)功能。同時(shí)，針對(duì)VCU的功能模塊硬件電路，如電源管理模塊、CAN通信模塊、輸入信號(hào)采集模塊，采用芯片溫度范圍控制、部件冗余設(shè)計(jì)、系統(tǒng)電磁兼容設(shè)計(jì)等元器件級(jí)可靠性設(shè)計(jì)和系統(tǒng)級(jí)可靠性設(shè)計(jì)相結(jié)合的方法，來確保VCU的可靠性。

文獻(xiàn)[28]在整車控制單元硬件設(shè)計(jì)中分析了各個(gè)模塊的功能，然后對(duì)各功能模塊進(jìn)行詳細(xì)設(shè)計(jì)，分析了模塊中電子元器件可能存在的失效模式、失效機(jī)制，以及每種失效模式下的影響及危害，并對(duì)電路中關(guān)鍵電路及微控制器設(shè)計(jì)冗余電路，有效提高了整車控制單元的可靠性。

在文獻(xiàn)[29]中，基于ISO 26262標(biāo)準(zhǔn)，針對(duì)電動(dòng)汽車VCU存在的3種影響駕駛安全的危險(xiǎn)事件：1)非駕駛員意愿的加速或減速；2)不響應(yīng)駕駛員的操作指令；3)失去對(duì)車輛其它用電附件的控制能力，采用FMEDA、故障樹分析(FTA)等方法進(jìn)行評(píng)估分析，確定上述3種危險(xiǎn)事件的ASIL等級(jí)分別為ASIL D、ASIL B、QM(保證產(chǎn)品質(zhì)量即可達(dá)到)，提出了指導(dǎo)整車控制單元前期設(shè)計(jì)過程中的3個(gè)功能安全目標(biāo)。同時(shí)，采用雙VCU架構(gòu)，進(jìn)一步完善VCU的安全機(jī)制。

在采用雙VCU架構(gòu)時(shí)，還應(yīng)考慮一些功能安全機(jī)制，包括：1)基于冗余和異構(gòu)原則，主輔VCU在設(shè)計(jì)時(shí)，分別采用不同內(nèi)核的芯片，避免共因失效；2)SPI問答機(jī)制，即主輔VCU之間相互傳遞生命信號(hào)；3)SPI冗余，降低因SPI單點(diǎn)故障導(dǎo)致VCU出現(xiàn)功能失效的概率[29-31]。

對(duì)于與VCU密切相關(guān)的一些傳感器或執(zhí)行機(jī)構(gòu)信號(hào)，如加速踏板信號(hào)，應(yīng)采集故障主要包括傳感器供電故障、傳感器本身故障、線束與連接器故障、采集模塊故障等。而常用功能安全機(jī)制包括：1)VCU對(duì)外部傳感器供電檢測(cè)；2)雙路冗余的傳感器及信號(hào)采集電路；3)主輔VCU同時(shí)采集相關(guān)信號(hào)，通過SPI相互通信周期性校驗(yàn)自身采集信號(hào)的有效性[32-33]。

針對(duì)VCU與其他控制單元，進(jìn)行CAN通信。常用的功能安全機(jī)制有：1)采用CAN使能邏輯，避免主/輔MCU工作異常影響正常CAN通信機(jī)制；2)設(shè)置主MCU對(duì)輔MCU的CAN通信使能為“雙控”，即使用2個(gè)獨(dú)立的引腳，輸出經(jīng)“與”運(yùn)算后再對(duì)輔MCU的CAN通信進(jìn)行使能控制；3)主MCU采用不同方法編寫兩套獨(dú)立關(guān)閉輔MCU CAN通信決策程序，以實(shí)現(xiàn)輔MCU CAN通信的冗余[29,34-35]。

整車控制單元在驅(qū)動(dòng)電機(jī)、動(dòng)力電池組初次故障時(shí)，可優(yōu)先采用如下失效處理原則作出適當(dāng)故障響應(yīng)。1)變量缺省原則。車輛行駛工況下，當(dāng)動(dòng)力電池組與整車控制單元通信故障時(shí)，取整車控制單元檢測(cè)到的最后一次SOC值作為缺省值，并以此SOC值為基礎(chǔ)進(jìn)行系統(tǒng)控制。2)轉(zhuǎn)矩限制原則。整車控制單元檢測(cè)到電機(jī)溫度傳感器故障時(shí)，為避免電機(jī)因大電流驅(qū)動(dòng)過熱，適當(dāng)降低驅(qū)動(dòng)電機(jī)力矩輸出，進(jìn)入降功率行駛模式[36-37]。

整車控制單元實(shí)際工作過程中，可以將電池故障分級(jí)、電機(jī)故障分級(jí)作為主要參數(shù)，制定相應(yīng)的安全管理策略。1)輕微故障。主要是指用電附件故障，由于其對(duì)駕駛特性影響較小，點(diǎn)亮故障報(bào)警燈，提示駕駛員即可。2)制動(dòng)能量回收故障。一般由制動(dòng)踏板傳感器故障引起，其信號(hào)難以反應(yīng)駕駛員真實(shí)的駕駛意圖，關(guān)閉制動(dòng)能量回收功能的同時(shí)應(yīng)點(diǎn)亮故障報(bào)警燈。3)車輛II級(jí)故障。驅(qū)動(dòng)系統(tǒng)II級(jí)故障，應(yīng)執(zhí)行降功率策略；電池系統(tǒng)II級(jí)故障，SOC值低于預(yù)設(shè)值時(shí)，執(zhí)行“跛行回家”策略，SOC高于預(yù)設(shè)值時(shí)，執(zhí)行降功率策略。4)嚴(yán)重故障。執(zhí)行下電停車指令[38-39]。

5 結(jié)論

新能源汽車的核心系統(tǒng)：“三電”系統(tǒng)的可靠性和安全性，是目前新能源汽車推廣過程中，必須面臨和妥善解決的關(guān)鍵性技術(shù)難題。

ISO 26262《道路車輛功能安全》標(biāo)準(zhǔn)從技術(shù)、流程、管理3個(gè)角度和概念、系統(tǒng)、軟硬件3個(gè)層面，系統(tǒng)闡述了汽車電控產(chǎn)品在設(shè)計(jì)、開發(fā)、生產(chǎn)、運(yùn)行、維護(hù)直至報(bào)廢的全生命周期中所涉及的技術(shù)、流程管控要求，對(duì)于提升新能源汽車電控系統(tǒng)產(chǎn)品的安全技術(shù)水平，進(jìn)而改善新能源汽車的安全性具有重要意義。

通過本文的綜合分析，目前新能源汽車“三電”系統(tǒng)功能安全技術(shù)的研究與應(yīng)用現(xiàn)狀如下：

1)動(dòng)力電源方面，從控制角度看：①應(yīng)運(yùn)用足夠的手段保證 BMS 整體可靠運(yùn)行，正確并及時(shí)地監(jiān)控系統(tǒng)狀態(tài)并控制高壓回路；②應(yīng)使高壓互鎖功能覆蓋所有的高壓元件并反映高壓回路的完整狀態(tài)，否則快速切斷高壓輸出；③應(yīng)保證碰撞時(shí)能夠快速并準(zhǔn)確地切斷高壓輸出；④繼電器控制和診斷邏輯應(yīng)該能夠確保繼電器按照要求正確地動(dòng)作，同時(shí)一旦出現(xiàn)異常動(dòng)作應(yīng)當(dāng)能夠及時(shí)地響應(yīng)。以上措施，可使得電池系統(tǒng)滿足功能安全標(biāo)準(zhǔn)ISO 26262的要求。

2)在電驅(qū)動(dòng)方面，采用冗余設(shè)計(jì)(信息冗余、軟件冗余、硬件冗余)可以在一定程度上提高新能源汽車驅(qū)動(dòng)系統(tǒng)功能安全。在采取上述冗余措施的同時(shí)，還應(yīng)該結(jié)合單點(diǎn)故障指標(biāo)來考慮硬件的失效率。同時(shí)，應(yīng)采取措施，對(duì)系統(tǒng)故障進(jìn)行實(shí)時(shí)檢測(cè)，依據(jù)合理的安全策略來進(jìn)行故障處理，才能進(jìn)一步保障驅(qū)動(dòng)系統(tǒng)的功能安全。

3)在電控技術(shù)方面，新能源汽車電控系統(tǒng)的硬件應(yīng)采用高性能專用控制芯片(高性能微處理器)和雙核架構(gòu)(32位主控系統(tǒng)+16/8位監(jiān)控診斷系統(tǒng))。在軟件方面，應(yīng)在標(biāo)準(zhǔn)化軟件架構(gòu)(如AUTOSAR、OSEK系統(tǒng))的基礎(chǔ)上，采用多種通信手段，如CAN/Flexray+WiFi+移動(dòng)通信網(wǎng)等，以及軟件冗余等措施，以保障功能安全的要求和信息高度綜合化的需求。

[1]史學(xué)玲.功能安全標(biāo)準(zhǔn)的歷史過程與發(fā)展趨勢(shì)[J].儀器儀表標(biāo)準(zhǔn)化與計(jì)量,2006(2):6.

[2]Road Vehicles-Functional Safety-Part1, Part2, Part3, Part4, Part5, Part6, Part7, Part8, Part9, Part10：ISO26262-1, 2, 3, 4, 5, 6, 7, 8, 9, 10-2011[S].2011.

[3]CLARK L, MILNE S.功能安全對(duì)于汽車供應(yīng)鏈的挑戰(zhàn)[J].電子產(chǎn)品世界,2016(10):27.

[4]劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)：ISO 26262[J].上海汽車, 2011(10):57.

[5]HAMANN R, SAULER J,KRISO S.et al. Application of ISO 26262 in Reality[J].SAE 2009-01-0758.

[6]彭憶強(qiáng).基于模型的汽車電控單元仿真測(cè)試技術(shù)研究[J].中國測(cè)試技術(shù), 2006(6):15.

[7]鄧鵬毅，彭憶強(qiáng)，蔡云,等.新能源汽車關(guān)鍵技術(shù)及發(fā)展趨勢(shì)[J].西華大學(xué)學(xué)報(bào)(自然科學(xué)版),2017,36(4):34.

[8]電動(dòng)汽車碰撞后安全要求：GB/T 31498—2015[S]. 2015.

[9]電動(dòng)汽車安全要求第2部分：功能安全和故障防護(hù)：GB/T 18384.3—2001[S].2001.

[10]廉玉波，伍星馳，王洪軍，等.動(dòng)力電池碰撞斷電保護(hù)技術(shù)分析[C]//2014中國汽車工程學(xué)會(huì)年會(huì)論文集.上海：中國汽車工程學(xué)會(huì)，2014:134-137.

[11]朱葉.基于ISO 26262的動(dòng)力電池系統(tǒng)高壓功能安全概念[J].Automobile Parts,2013(10): 97.

[12]印凱，朱建新，張?bào)汨?基于ISO 26262的車用電池包高壓繼電器控制方法設(shè)計(jì)[J].傳動(dòng)技術(shù),2016(3):45.

[13]張俊，謝偉東.純電動(dòng)汽車高壓回路安全監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].機(jī)電工程,2013(3):364.

[14]胡銀全，劉和平，劉平,等.電動(dòng)汽車用磷酸鐵鋰電池充電特性的分析[J].汽車工程,2013(4):293.

[15]李凱，王奐.電動(dòng)汽車用動(dòng)力電池環(huán)境下的安全性能[J].安全與電磁兼容,2013(2):18.

[16]RESSLER G. Application of systemsafety engineering processes to advanced battery safety[J].SAE International Journal of Engines,2011(1):1921.

[17]劉碧軍，楊林，朱建新,等.電動(dòng)汽車高壓電安全測(cè)試系統(tǒng)的研究[J].汽車工程,2005(4):274.

[18]曹寶健，謝先宇，魏學(xué)哲.電動(dòng)汽車鋰電池管理系統(tǒng)故障診斷研究[J].上海汽車,2012(12):8.

[19]方謀，趙驍，李建軍,等.電動(dòng)車用鋰離子蓄電池模塊的安全性問題[J].新材料產(chǎn)業(yè),2014(3): 45.

[20]閻冬,馬宏珺，杜凱,等.豐田車載動(dòng)力電池安全技術(shù)路線[J].科技創(chuàng)新導(dǎo)報(bào),2016(5):32.

[21]溫旭輝.電動(dòng)汽車電機(jī)驅(qū)動(dòng)技術(shù)現(xiàn)狀與發(fā)展綜述[J].電力電子,2013(2):5.

[22]于海，劉志強(qiáng)，崔淑梅.電動(dòng)汽車電機(jī)驅(qū)動(dòng)系統(tǒng)故障與失效模式分析[J].電力電子技術(shù),2011(12):69.

[23]鄔肖鵬，劉飛，熊璐,等.ISO 26262標(biāo)準(zhǔn)下永磁同步電機(jī)故障對(duì)整車安全性的分析[J].汽車技術(shù),2013(2):13.

[24]王瑛，蔡交明.電動(dòng)汽車電機(jī)控制系統(tǒng)安全監(jiān)控功能的設(shè)計(jì)與實(shí)現(xiàn)[J].汽車電子,2014(4):37.

[25]莊興明，張琴.基于ISO 26262標(biāo)準(zhǔn)的車用驅(qū)動(dòng)電機(jī)系統(tǒng)設(shè)計(jì)研究[J].研究與開發(fā),2016(4):18.

[26]HABLI I, IBARRA I, RIVETT R.et al.Model-based assurance for justifying automotivefunctionalsafety[J].SAE 2010-01-0209.

[27]宋雪靜.基于雙MCU的純電動(dòng)汽車整車控制器硬件設(shè)計(jì)[J].設(shè)計(jì)研究,2015(5):33.

[28]朱鋒.純電動(dòng)車整車控制器設(shè)計(jì)與失效性分析方法研究[D].哈爾濱：哈爾濱工業(yè)大學(xué),2012.

[29]杜德清.電動(dòng)汽車VCU故障診斷系統(tǒng)開發(fā)與測(cè)試[D].長春：吉林大學(xué),2016.

[30]尚世亮，王雷雷，趙向東.基于ISO 26262的車輛電子電氣系統(tǒng)故障注入測(cè)試方法[J].汽車技術(shù),2015(12):49.

[31]CHEN Y,WANG J. Desgin and experimental evalua-tions on energy efficient control allocation methods for over-actuated electric vehicles: longitudinal motioncase[J]. IEEE/ASMETransaction on Mechatronics, 2014(2): 538.

[32]郭遠(yuǎn)東，王春霞.ISO 26262對(duì)汽車電子產(chǎn)品EMC的影響[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn),2014(2):32.

[33]SHORT M,PONT M J，HUANG Q.Development of a hardware-in-the-Looptest facility for distributed embedded systems[R].Leicester,LE1 7RH, United Kingdom: Embedded Systems Laboratory (University of Leicester), 2004.

[34]GUO K H, DING H T, ZHANG J W.Development of a longitudinal and lateral driver modle for autonomous vehicle control[J].International Ournal of Vehicle Design,2004(1):50.

[35]BAGO M, MARIJAN S, PERIC N. Modeling controller area network communication[C]//The 5th IEEE International Conference on Industrial Informatics. Vienna: IEEE,2007，485-490.

[36]李偉.純電動(dòng)汽車加速踏板信號(hào)自診斷及失效保護(hù)策略[J].建設(shè)機(jī)械技術(shù)與管理，2013(5):100.

[37]嚴(yán)洪江.混合動(dòng)力控制單元加速踏板信號(hào)電路硬件功能安全設(shè)計(jì)與驗(yàn)證[J].工業(yè)控制計(jì)算機(jī),2016(9):39.

[38]崔書超，柴智，南金瑞.基于CAN總線的純電動(dòng)汽車故障診斷系統(tǒng)[J].車輛與動(dòng)力技術(shù)，2012(2):44.

[39]陳正，王文揚(yáng)，陳祥威.新能源汽車實(shí)時(shí)監(jiān)控管理系統(tǒng)的設(shè)計(jì)[J].裝備制造技術(shù),2014(12):203.