汪 沖，李鐵華，米進(jìn)財(cái)，胡 海，潘米甸

（工業(yè)和信息化部電子第五研究所 賽寶質(zhì)量安全檢測(cè)中心，廣州 510610）

ISO 26262對(duì)電動(dòng)汽車電磁兼容性的影響

汪 沖，李鐵華，米進(jìn)財(cái)，胡 海，潘米甸

（工業(yè)和信息化部電子第五研究所 賽寶質(zhì)量安全檢測(cè)中心，廣州 510610）

隨著化石燃料的逐漸枯竭和尾氣排放法規(guī)的逐漸嚴(yán)格，電動(dòng)汽車逐漸得到了市場(chǎng)的認(rèn)可，但是與此同時(shí)，電動(dòng)汽車的安全和可靠性問題也越來越嚴(yán)峻。汽車功能安全標(biāo)準(zhǔn)ISO 26262對(duì)電動(dòng)汽車的功能安全相關(guān)的要求進(jìn)行了規(guī)定。對(duì)ISO 26262中對(duì)EMC的要求進(jìn)行了梳理總結(jié)，并研究了其與現(xiàn)存EMC標(biāo)準(zhǔn)的關(guān)系。最后，提出了電動(dòng)汽車改進(jìn)EMC性能的方法和途徑，從而更好地符合ISO 26262標(biāo)準(zhǔn)。

功能安全；ISO 26262；電磁兼容；電動(dòng)汽車

引言

電動(dòng)汽車在減少排放和降低油耗方面非常有優(yōu)勢(shì)，但是電動(dòng)汽車的安全運(yùn)行依賴于車載電子設(shè)備的有效控制和不同子系統(tǒng)之間的相互協(xié)調(diào)。分散在電動(dòng)汽車各個(gè)控制單元的功能的數(shù)量和復(fù)雜性也正在不斷增加。功能安全，即不存在由于電氣電子部件的不正常運(yùn)行的危險(xiǎn)導(dǎo)致的不可接受的風(fēng)險(xiǎn)，正在成為電動(dòng)汽車開發(fā)過程中的一個(gè)關(guān)鍵因素。在功能安全標(biāo)準(zhǔn)ISO 26262被提出后，功能安全相關(guān)問題的重要性正在變得越來越重要。ISO 26262標(biāo)準(zhǔn)對(duì)EMC的要求分散在汽車產(chǎn)品開發(fā)的各個(gè)階段，并沒有集中的規(guī)定。本文對(duì)ISO 26262標(biāo)準(zhǔn)中與EMC有關(guān)的條文進(jìn)行了總結(jié)和樹立，并且將ISO 26262與現(xiàn)存的汽車EMC標(biāo)準(zhǔn)，包括國際標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)進(jìn)行了比較研究，提出了電動(dòng)汽車改進(jìn)EMC性能的方法和途徑。

1 ISO 26262與當(dāng)前汽車EMC標(biāo)準(zhǔn)的對(duì)比

1.1 ISO 26262標(biāo)準(zhǔn)中涉及到的EMC要求

EMC在ISO 26262的10個(gè)部分中的5個(gè)部分有涉及到的條文，如表1所示。從表1可以看出，除了第5部分的測(cè)試要求之外，在硬件組件的分析與設(shè)計(jì)中有很多條文涉及到了EMC可能造成的失效。在量產(chǎn)車輛的開發(fā)過程早期階段就發(fā)現(xiàn)和修正問題是確保產(chǎn)品成本低且品種可靠的保證。而EMC是ISO 26262標(biāo)準(zhǔn)中進(jìn)行安全分析時(shí)必須考慮的因素之一。

危害分析和風(fēng)險(xiǎn)評(píng)估是ISO 26262標(biāo)準(zhǔn)的一個(gè)重要部分。EMC是造成危害的潛在因素之一，但是并未在標(biāo)準(zhǔn)中單獨(dú)列出。第3部分確定了每一項(xiàng)功能的汽車安全完整性等級(jí)(ASIL)，并為了減少導(dǎo)致產(chǎn)生不合理風(fēng)險(xiǎn)的失效可能性提出了最低限度的要求。ISO 262362劃分了由A到D的安全需求等級(jí)，ASIL D等級(jí)具有最嚴(yán)格的要求，ASIL A則具有最低的要求。另外，還有一個(gè)質(zhì)量管理等級(jí)(QM)，該等級(jí)用來表示ISO 26262沒有相關(guān)的要求。

單獨(dú)為一個(gè)EMC干擾因素設(shè)置一個(gè)ASIL級(jí)別是不可能的，但是，存在一些特定的危害，這些危害只會(huì)由EMC引發(fā)。與大部分EMC標(biāo)準(zhǔn)中通過限值來判斷部件是否符合標(biāo)準(zhǔn)不同， 并沒有特定的限值來判定特定的組件或者系統(tǒng)是否符合要求。車輛的每一種組件都必須進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，并依此來確定合適的安全需求等級(jí)，如表2所示。安全經(jīng)理和EMC團(tuán)隊(duì)需要向進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的小組提供EMC相關(guān)的危害因素的輸入。盡可能多地找出可能導(dǎo)致失效的EMC因素是一件耗費(fèi)時(shí)間的事情。幾乎所有的干擾因素都可以通過辨別電子信號(hào)的失效模式而確認(rèn)出來了。一個(gè)例外是靜電放電（ESD）。靜電放電的電壓水平和脈沖特性都非常獨(dú)特，可能會(huì)導(dǎo)致未知的危害。

表2 ASIL等級(jí)判定表

舉一個(gè)ASIL等級(jí)判定的例子，ESD會(huì)造成特殊的危害，例如導(dǎo)致正在運(yùn)行中的線束中的一個(gè)安全相關(guān)的關(guān)鍵信號(hào)的性能下降。如果該安全相關(guān)的關(guān)鍵信號(hào)是來自于與汽車加速相關(guān)的動(dòng)力總成電子電氣組件之中，那么該事件就具有S3的嚴(yán)重程度（會(huì)造成生命威脅的危害）和C3的可控性（難于控制）。然而，由于ESD導(dǎo)致的危害可能僅僅是E2的暴露率（低于1%的平均運(yùn)行時(shí)間）或者E1的暴露率（對(duì)于大多數(shù)司機(jī)來說發(fā)生的次數(shù)小于一年一次）。這樣就可以確定這項(xiàng)功能的功能安全需求等級(jí)為ASILB或者ASIL A。

1.2 ISO 26262包含的EMC標(biāo)準(zhǔn)

表3 ISO 26262涉及的EMC標(biāo)準(zhǔn)

表3列出了ISO 26262標(biāo)準(zhǔn)中列出的所需通過的EMC測(cè)試。從表中可以看到ISO 7637-3也被加入到了標(biāo)準(zhǔn)中，表中的項(xiàng)目是當(dāng)前大部分OEM廠商采用的通用測(cè)試標(biāo)準(zhǔn)。另外，IEC 61000-6-1中的四個(gè)表格中所列出的試驗(yàn)也通常被整車廠內(nèi)部標(biāo)準(zhǔn)所覆蓋，而且整車廠標(biāo)準(zhǔn)常常在場(chǎng)強(qiáng)和頻率范圍限值上都比國際標(biāo)準(zhǔn)要嚴(yán)格。IEC 61000-6-1的第四個(gè)表格專門針對(duì)與交流電源連接的高壓部件，例如與電網(wǎng)相連的高壓電池充電器。第8項(xiàng)，IEC 61508，是不限于汽車行業(yè)的任何電子電氣系統(tǒng)的通用功能安全規(guī)范。它并沒有任何針對(duì)乘用車EMC問題的特殊規(guī)定，然而該標(biāo)準(zhǔn)卻引用了一個(gè)通用的EMC和功能安全標(biāo)準(zhǔn)IEC 61000-1-2。該標(biāo)準(zhǔn)并未提出另外的EMC測(cè)試類型，但是卻建議提高一些通用標(biāo)準(zhǔn)的嚴(yán)酷等級(jí)。

在大部分情況下，OEM廠商的EMC標(biāo)準(zhǔn)都達(dá)到或者超過了ISO 26262規(guī)定的EMC測(cè)試要求。在某些特殊的情況下，在上述OEM廠商的EMC要求和ISO 26262的要求相比甚至更為嚴(yán)格。每一個(gè)OEM廠商都應(yīng)該根據(jù)ISO 26262來評(píng)估自己的規(guī)范從而確保與標(biāo)準(zhǔn)的兼容。

ISO 26262主要用于處理與允許車輛即使在故障狀態(tài)下仍能進(jìn)入安全狀態(tài)的機(jī)制相關(guān)的功能安全關(guān)鍵電路。這些失效，以及失效過程中提供安全的機(jī)制，或多或少都與EMC相關(guān)。如何理解ISO 26262的特性，并將它們高效地應(yīng)用到汽車EMC相關(guān)的開發(fā)及測(cè)試過程中，是當(dāng)前汽車行業(yè)面臨的一個(gè)重要挑戰(zhàn)。

例如，ISO 26262要求在開發(fā)過程中不論是供應(yīng)上還是OEM廠商，安全相關(guān)活動(dòng)的計(jì)劃和定義都應(yīng)該由安全經(jīng)理來處理。這樣就需要安全經(jīng)理和EMC團(tuán)隊(duì)要進(jìn)行協(xié)調(diào)與溝通?；诎踩c影響分析，安全經(jīng)理可以要求提供附加的情況說明或者待測(cè)設(shè)備（DUT）。這些決定要具體情況具體分析。此外，安全經(jīng)理還有職責(zé)與EMC團(tuán)隊(duì)在功能安全關(guān)鍵信號(hào)確認(rèn)與監(jiān)控進(jìn)行協(xié)作。安全經(jīng)理必須積極地參與測(cè)試計(jì)劃的創(chuàng)建，并且審查測(cè)試結(jié)果。安全經(jīng)理必須能夠總覽特定元器件的安全情況并能在EMC團(tuán)隊(duì)的協(xié)助下提供確保測(cè)試順利進(jìn)行的相關(guān)指導(dǎo)。

1.3 行業(yè)經(jīng)驗(yàn)

在ISO 26262第5部分中提到一個(gè)避免常見設(shè)計(jì)錯(cuò)誤的方法就是采用已有的經(jīng)驗(yàn)。 汽車行業(yè)在過去超過30年的量產(chǎn)汽車制造過程中積累了大量的EMC相關(guān)的設(shè)計(jì)和制造經(jīng)驗(yàn)。電動(dòng)汽車向傳統(tǒng)的動(dòng)力總成引入了新的部件。然而，處理與電動(dòng)汽車動(dòng)力總成功能安全相關(guān)的故障其實(shí)與處理節(jié)氣門或者其他線控技術(shù)相似，線控技術(shù)從1980年代概念出現(xiàn)之后汽車行業(yè)已經(jīng)積累了大量的經(jīng)驗(yàn)。電動(dòng)汽車動(dòng)力總成控制器與電氣節(jié)氣門控制器在功能安全方面有相似的考慮，因?yàn)樗鼈兌紩?huì)直接影響車輛的加速和制動(dòng)。在1990年代晚期，德國的OEM和供應(yīng)商聯(lián)合體制定了電子節(jié)氣門控制器的一系列功能安全指南。這些指南也經(jīng)常被修改以與電動(dòng)汽車動(dòng)力總成相適應(yīng)。在很多情況下，功能安全相關(guān)的項(xiàng)目一般包括扭矩監(jiān)控考慮，CAN信號(hào)丟失策略，使能進(jìn)入安全運(yùn)行狀態(tài)以及降扭矩策略。

2 EMC的功能安全

根據(jù)ISO 26262標(biāo)準(zhǔn)，硬件開發(fā)過程必須采用汽車工業(yè)最新的技術(shù)標(biāo)準(zhǔn)。這樣就要求在進(jìn)行功能安全相關(guān)的EMC設(shè)計(jì)與開發(fā)時(shí)也必須采用最新的標(biāo)準(zhǔn)。然而，當(dāng)前在汽車工業(yè)中并沒有專門的EMC功能安全相關(guān)的標(biāo)準(zhǔn)。一般采用通用的工業(yè)標(biāo)準(zhǔn)，IEC 61000-2-2與其他相關(guān)的技術(shù)文件一同來評(píng)估電動(dòng)汽車總成的特性。IEC 61000-1-2是IEC 61508標(biāo)準(zhǔn)的補(bǔ)充，用來為系統(tǒng)與設(shè)備提供一個(gè)實(shí)現(xiàn)合適的安全相關(guān)的EMC性能的方法。

由于IEC 61000-1-2對(duì)于工業(yè)中的所有電子系統(tǒng)來說是通用的，它僅能提供視力測(cè)試方法和一般測(cè)試嚴(yán)酷等級(jí)要求。它非常依賴于經(jīng)驗(yàn)和知識(shí)來提出和改進(jìn)參數(shù)，對(duì)于在最可能的使用環(huán)境中的特定產(chǎn)品。如前文所述，汽車行業(yè)在EMC方面一般都相互協(xié)作從而可以通過大批量的量產(chǎn)汽車獲得經(jīng)驗(yàn)，并在測(cè)試標(biāo)準(zhǔn)上進(jìn)行統(tǒng)一。與其他行業(yè)不同，汽車行業(yè)在EMC測(cè)試標(biāo)準(zhǔn)中有很大一部分的內(nèi)容是從大量的現(xiàn)場(chǎng)經(jīng)驗(yàn)中提煉的。所以很容易理解OEM廠商標(biāo)準(zhǔn)的測(cè)試水平和測(cè)試方法基本上都與IEC 61000-1-2中敘述的要求一致。除了環(huán)境因素和老化因素之外，IEC 61000-1-2中推薦的EMC測(cè)試基本上都在汽車行業(yè)中得到了廣泛的采用。

將環(huán)境因素例如溫度和濕度引入EMC測(cè)試是不常見的。通常情況下，EMC測(cè)試實(shí)驗(yàn)室和設(shè)備不合適進(jìn)行汽車行業(yè)要求的全溫度范圍試驗(yàn)。然而，當(dāng)在現(xiàn)場(chǎng)EMC測(cè)試中評(píng)估電動(dòng)汽車動(dòng)力總成的性能時(shí)卻不能忽略這一點(diǎn)。盡管標(biāo)準(zhǔn)的汽車測(cè)試要求汽車零部件必須在極端環(huán)境條件下，并且必須在完整環(huán)境測(cè)試范圍下能夠正常地工作。

3 電動(dòng)汽車功能安全的EMC考慮

電動(dòng)汽車動(dòng)力總成通常會(huì)被分配一個(gè)非常高的ASIL等級(jí)，因?yàn)樗鼈冎苯优c車輛的驅(qū)動(dòng)相關(guān)，而且非常容易受到干擾而產(chǎn)生危險(xiǎn)。一些關(guān)鍵信號(hào)，包括速度傳感器，電流和電壓傳感器，扭矩相關(guān)的消息信號(hào)，以及在故障狀態(tài)下關(guān)閉動(dòng)力總成的相關(guān)信號(hào)，都需要進(jìn)行EMC測(cè)試。另外，動(dòng)力總成的類型也需要進(jìn)行考慮，例如，驅(qū)動(dòng)電機(jī)的種類。永磁同步電機(jī)由于會(huì)產(chǎn)生反向電動(dòng)勢(shì)，會(huì)產(chǎn)生額外的危險(xiǎn)。如果永磁同步電機(jī)的斷開系統(tǒng)沒有恰當(dāng)?shù)毓ぷ鞯脑?，在制?dòng)時(shí)產(chǎn)生的大的反向電動(dòng)勢(shì)超過直流母線電壓時(shí)，就會(huì)產(chǎn)生非常大的電流。在EMC試驗(yàn)過程中，不僅要監(jiān)控安全相關(guān)的關(guān)鍵信號(hào)，還要監(jiān)控車輛對(duì)于故障的安全響應(yīng)。所有的這些潛在危險(xiǎn)都應(yīng)該在危害分析和風(fēng)險(xiǎn)評(píng)估以及FMEA過程中進(jìn)行定義和辨識(shí)。這些潛在的危險(xiǎn)應(yīng)該包含入組件或者系統(tǒng)的安全概念設(shè)計(jì)中。

ISO 26262并沒有對(duì)現(xiàn)有的EMC體系引入革命性的改變，但是卻引入了一些附加的設(shè)計(jì)準(zhǔn)則和要求。以下這些項(xiàng)目是將現(xiàn)有EMC的流程與ISO 26262標(biāo)準(zhǔn)進(jìn)行兼容所要求進(jìn)行改進(jìn)的：

1）在EMC測(cè)試和開發(fā)工程師以及安全經(jīng)理之間保持安全相關(guān)關(guān)鍵事項(xiàng)的同步。再進(jìn)行開發(fā)之前需要進(jìn)行一個(gè)項(xiàng)目啟動(dòng)會(huì)，并且在隨后的開發(fā)過程中二者要保持溝通。

2）將由于EMC問題造成的失效故障反饋給危害分析和風(fēng)險(xiǎn)評(píng)估小組。驗(yàn)證提出的EMC故障會(huì)被故障注入試驗(yàn)覆蓋。尤其是一些共性因素故障一定要辨別出來。分析每一項(xiàng)安全功能與極端溫度等環(huán)境因素的關(guān)系，判斷是否需要額外的方法和測(cè)試手段。

3）建立一個(gè)專門監(jiān)控和測(cè)試安全相關(guān)的關(guān)鍵信號(hào)和功能的計(jì)劃。當(dāng)EMC規(guī)范允許使用更高等級(jí)的要求時(shí)，這些要求也應(yīng)該被應(yīng)用到功能安全相關(guān)的項(xiàng)目上。必須重點(diǎn)關(guān)注使用冗余手段使車輛進(jìn)入安全狀態(tài)的機(jī)制。

4）EMC相關(guān)的文檔，包括測(cè)試報(bào)告和數(shù)據(jù)記錄必須進(jìn)行存檔，并且能夠追溯。安全經(jīng)理必須隨時(shí)保持對(duì)任何不符合ISO 26262標(biāo)準(zhǔn)的問題的知悉。

5）在EMC測(cè)試中引入老化的因素。與其他OEM廠商進(jìn)行合作，共享相關(guān)的經(jīng)驗(yàn)。

6）使用ISO 26262標(biāo)準(zhǔn)要求的EMC測(cè)試標(biāo)準(zhǔn)來進(jìn)行EMC測(cè)試，如表3所示。

表4總結(jié)了普通的EMC測(cè)試流程與考慮了ISO 26262標(biāo)準(zhǔn)要求的升級(jí)版EMC測(cè)試流程之間的區(qū)別。

表4 根據(jù)ISO26262標(biāo)準(zhǔn)進(jìn)行升級(jí)后的調(diào)整

[1] ISO 26262-2011. Road vehicles -- Functional safety [S].

[2] IEC 61508:2010.Functional safety of electrical/electronic/ programmable electronic safety-related systems[S].

[3] IEC 61000-1-2:2008. General - Methodology for the achievement of functional safety of electrical and electronic systems including equipment with regard to electromagnetic phenomena[S].

[4]郭遠(yuǎn)東, 王春霞. ISO 26262 對(duì)汽車電子產(chǎn)品 EMC 的影響[J]. 電子產(chǎn)品可靠性與環(huán)境試驗(yàn), 2014, 32(2).

[5]劉佳熙, 郭輝, 李君. 汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn) ISO 26262 [J]. 上海汽車, 2011, 10: 017.

4 結(jié)論

1）電動(dòng)汽車由于其動(dòng)力總成的特殊性，對(duì)EMC有更高的要求。ISO 26262功能安全標(biāo)準(zhǔn)通過引用目前的EMC標(biāo)準(zhǔn)，并針對(duì)汽車的功能安全進(jìn)行了改進(jìn)與升級(jí)。

2）遵循ISO 26262功能安全標(biāo)準(zhǔn)來進(jìn)行EMC相關(guān)的設(shè)計(jì)與開發(fā)測(cè)試，可以更全面地實(shí)現(xiàn)汽車的功能安全。

Inf uences of ISO 26262 to the EMC of Electric Vehicle

WANG Chong, LI Tie-hua, MI Jin-cai, HU Hai, PAN Mi-dian
（Quality Inspection and Testing Center, China CEPREI Laboratory, Guangzhou 510610）

With the gradual strict emissions regulations and the gradual depletion of fossil fuels, and as the emission regulations become stricter and stricter, and the fossil fuels gets exhausting, electric vehicle is becoming more and more popular. By the meantime, the safety and reliability of electric vehicle is getting more severe. The functional safety standard ISO 26262 defines the functional safety regulations of vehicles, including electric vehicle. This paper summarizes the requirements on EMC of electric vehicle and compares these requirements with current EMC standards. In the end, the methods to improve the electric vehicle’s EMC performance is proposed to better comply with ISO 26262.

functional safety; ISO 26262; EMC; electric vehicle

TN03；U463.6

A

1004-7204（2014）04-0089-04

汪沖（1989-），男（漢族），湖北天門人，工業(yè)和信息化部電子第五研究所賽寶質(zhì)量安全檢測(cè)中心工程師．主要從事汽車電子電磁兼容檢測(cè)與研究工作。