ISO 26262對電動汽車電磁兼容性的影響

汪 沖，李鐵華，米進財，胡 海，潘米甸

（工業和信息化部電子第五研究所 賽寶質量安全檢測中心，廣州 510610）

ISO 26262對電動汽車電磁兼容性的影響

汪 沖，李鐵華，米進財，胡 海，潘米甸

（工業和信息化部電子第五研究所 賽寶質量安全檢測中心，廣州 510610）

隨著化石燃料的逐漸枯竭和尾氣排放法規的逐漸嚴格，電動汽車逐漸得到了市場的認可，但是與此同時，電動汽車的安全和可靠性問題也越來越嚴峻。汽車功能安全標準ISO 26262對電動汽車的功能安全相關的要求進行了規定。對ISO 26262中對EMC的要求進行了梳理總結，并研究了其與現存EMC標準的關系。最后，提出了電動汽車改進EMC性能的方法和途徑，從而更好地符合ISO 26262標準。

功能安全；ISO 26262；電磁兼容；電動汽車

引言

電動汽車在減少排放和降低油耗方面非常有優勢，但是電動汽車的安全運行依賴于車載電子設備的有效控制和不同子系統之間的相互協調。分散在電動汽車各個控制單元的功能的數量和復雜性也正在不斷增加。功能安全，即不存在由于電氣電子部件的不正常運行的危險導致的不可接受的風險，正在成為電動汽車開發過程中的一個關鍵因素。在功能安全標準ISO 26262被提出后，功能安全相關問題的重要性正在變得越來越重要。ISO 26262標準對EMC的要求分散在汽車產品開發的各個階段，并沒有集中的規定。本文對ISO 26262標準中與EMC有關的條文進行了總結和樹立，并且將ISO 26262與現存的汽車EMC標準，包括國際標準和企業標準進行了比較研究，提出了電動汽車改進EMC性能的方法和途徑。

1 ISO 26262與當前汽車EMC標準的對比

1.1 ISO 26262標準中涉及到的EMC要求

EMC在ISO 26262的10個部分中的5個部分有涉及到的條文，如表1所示。從表1可以看出，除了第5部分的測試要求之外，在硬件組件的分析與設計中有很多條文涉及到了EMC可能造成的失效。在量產車輛的開發過程早期階段就發現和修正問題是確保產品成本低且品種可靠的保證。而EMC是ISO 26262標準中進行安全分析時必須考慮的因素之一。

危害分析和風險評估是ISO 26262標準的一個重要部分。EMC是造成危害的潛在因素之一，但是并未在標準中單獨列出。第3部分確定了每一項功能的汽車安全完整性等級(ASIL)，并為了減少導致產生不合理風險的失效可能性提出了最低限度的要求。ISO 262362劃分了由A到D的安全需求等級，ASIL D等級具有最嚴格的要求，ASIL A則具有最低的要求。另外，還有一個質量管理等級(QM)，該等級用來表示ISO 26262沒有相關的要求。

單獨為一個EMC干擾因素設置一個ASIL級別是不可能的，但是，存在一些特定的危害，這些危害只會由EMC引發。與大部分EMC標準中通過限值來判斷部件是否符合標準不同， 并沒有特定的限值來判定特定的組件或者系統是否符合要求。車輛的每一種組件都必須進行危害分析和風險評估，并依此來確定合適的安全需求等級，如表2所示。安全經理和EMC團隊需要向進行危害分析和風險評估的小組提供EMC相關的危害因素的輸入。盡可能多地找出可能導致失效的EMC因素是一件耗費時間的事情。幾乎所有的干擾因素都可以通過辨別電子信號的失效模式而確認出來了。一個例外是靜電放電（ESD）。靜電放電的電壓水平和脈沖特性都非常獨特，可能會導致未知的危害。

表2 ASIL等級判定表

舉一個ASIL等級判定的例子，ESD會造成特殊的危害，例如導致正在運行中的線束中的一個安全相關的關鍵信號的性能下降。如果該安全相關的關鍵信號是來自于與汽車加速相關的動力總成電子電氣組件之中，那么該事件就具有S3的嚴重程度（會造成生命威脅的危害）和C3的可控性（難于控制）。然而，由于ESD導致的危害可能僅僅是E2的暴露率（低于1%的平均運行時間）或者E1的暴露率（對于大多數司機來說發生的次數小于一年一次）。這樣就可以確定這項功能的功能安全需求等級為ASILB或者ASIL A。

1.2 ISO 26262包含的EMC標準

表3 ISO 26262涉及的EMC標準

表3列出了ISO 26262標準中列出的所需通過的EMC測試。從表中可以看到ISO 7637-3也被加入到了標準中，表中的項目是當前大部分OEM廠商采用的通用測試標準。另外，IEC 61000-6-1中的四個表格中所列出的試驗也通常被整車廠內部標準所覆蓋，而且整車廠標準常常在場強和頻率范圍限值上都比國際標準要嚴格。IEC 61000-6-1的第四個表格專門針對與交流電源連接的高壓部件，例如與電網相連的高壓電池充電器。第8項，IEC 61508，是不限于汽車行業的任何電子電氣系統的通用功能安全規范。它并沒有任何針對乘用車EMC問題的特殊規定，然而該標準卻引用了一個通用的EMC和功能安全標準IEC 61000-1-2。該標準并未提出另外的EMC測試類型，但是卻建議提高一些通用標準的嚴酷等級。

在大部分情況下，OEM廠商的EMC標準都達到或者超過了ISO 26262規定的EMC測試要求。在某些特殊的情況下，在上述OEM廠商的EMC要求和ISO 26262的要求相比甚至更為嚴格。每一個OEM廠商都應該根據ISO 26262來評估自己的規范從而確保與標準的兼容。

ISO 26262主要用于處理與允許車輛即使在故障狀態下仍能進入安全狀態的機制相關的功能安全關鍵電路。這些失效，以及失效過程中提供安全的機制，或多或少都與EMC相關。如何理解ISO 26262的特性，并將它們高效地應用到汽車EMC相關的開發及測試過程中，是當前汽車行業面臨的一個重要挑戰。

例如，ISO 26262要求在開發過程中不論是供應上還是OEM廠商，安全相關活動的計劃和定義都應該由安全經理來處理。這樣就需要安全經理和EMC團隊要進行協調與溝通。基于安全與影響分析，安全經理可以要求提供附加的情況說明或者待測設備（DUT）。這些決定要具體情況具體分析。此外，安全經理還有職責與EMC團隊在功能安全關鍵信號確認與監控進行協作。安全經理必須積極地參與測試計劃的創建，并且審查測試結果。安全經理必須能夠總覽特定元器件的安全情況并能在EMC團隊的協助下提供確保測試順利進行的相關指導。

1.3 行業經驗

在ISO 26262第5部分中提到一個避免常見設計錯誤的方法就是采用已有的經驗。 汽車行業在過去超過30年的量產汽車制造過程中積累了大量的EMC相關的設計和制造經驗。電動汽車向傳統的動力總成引入了新的部件。然而，處理與電動汽車動力總成功能安全相關的故障其實與處理節氣門或者其他線控技術相似，線控技術從1980年代概念出現之后汽車行業已經積累了大量的經驗。電動汽車動力總成控制器與電氣節氣門控制器在功能安全方面有相似的考慮，因為它們都會直接影響車輛的加速和制動。在1990年代晚期，德國的OEM和供應商聯合體制定了電子節氣門控制器的一系列功能安全指南。這些指南也經常被修改以與電動汽車動力總成相適應。在很多情況下，功能安全相關的項目一般包括扭矩監控考慮，CAN信號丟失策略，使能進入安全運行狀態以及降扭矩策略。

2 EMC的功能安全

根據ISO 26262標準，硬件開發過程必須采用汽車工業最新的技術標準。這樣就要求在進行功能安全相關的EMC設計與開發時也必須采用最新的標準。然而，當前在汽車工業中并沒有專門的EMC功能安全相關的標準。一般采用通用的工業標準，IEC 61000-2-2與其他相關的技術文件一同來評估電動汽車總成的特性。IEC 61000-1-2是IEC 61508標準的補充，用來為系統與設備提供一個實現合適的安全相關的EMC性能的方法。

由于IEC 61000-1-2對于工業中的所有電子系統來說是通用的，它僅能提供視力測試方法和一般測試嚴酷等級要求。它非常依賴于經驗和知識來提出和改進參數，對于在最可能的使用環境中的特定產品。如前文所述，汽車行業在EMC方面一般都相互協作從而可以通過大批量的量產汽車獲得經驗，并在測試標準上進行統一。與其他行業不同，汽車行業在EMC測試標準中有很大一部分的內容是從大量的現場經驗中提煉的。所以很容易理解OEM廠商標準的測試水平和測試方法基本上都與IEC 61000-1-2中敘述的要求一致。除了環境因素和老化因素之外，IEC 61000-1-2中推薦的EMC測試基本上都在汽車行業中得到了廣泛的采用。

將環境因素例如溫度和濕度引入EMC測試是不常見的。通常情況下，EMC測試實驗室和設備不合適進行汽車行業要求的全溫度范圍試驗。然而，當在現場EMC測試中評估電動汽車動力總成的性能時卻不能忽略這一點。盡管標準的汽車測試要求汽車零部件必須在極端環境條件下，并且必須在完整環境測試范圍下能夠正常地工作。

3 電動汽車功能安全的EMC考慮

電動汽車動力總成通常會被分配一個非常高的ASIL等級，因為它們直接與車輛的驅動相關，而且非常容易受到干擾而產生危險。一些關鍵信號，包括速度傳感器，電流和電壓傳感器，扭矩相關的消息信號，以及在故障狀態下關閉動力總成的相關信號，都需要進行EMC測試。另外，動力總成的類型也需要進行考慮，例如，驅動電機的種類。永磁同步電機由于會產生反向電動勢，會產生額外的危險。如果永磁同步電機的斷開系統沒有恰當地工作的話，在制動時產生的大的反向電動勢超過直流母線電壓時，就會產生非常大的電流。在EMC試驗過程中，不僅要監控安全相關的關鍵信號，還要監控車輛對于故障的安全響應。所有的這些潛在危險都應該在危害分析和風險評估以及FMEA過程中進行定義和辨識。這些潛在的危險應該包含入組件或者系統的安全概念設計中。

ISO 26262并沒有對現有的EMC體系引入革命性的改變，但是卻引入了一些附加的設計準則和要求。以下這些項目是將現有EMC的流程與ISO 26262標準進行兼容所要求進行改進的：

1）在EMC測試和開發工程師以及安全經理之間保持安全相關關鍵事項的同步。再進行開發之前需要進行一個項目啟動會，并且在隨后的開發過程中二者要保持溝通。

2）將由于EMC問題造成的失效故障反饋給危害分析和風險評估小組。驗證提出的EMC故障會被故障注入試驗覆蓋。尤其是一些共性因素故障一定要辨別出來。分析每一項安全功能與極端溫度等環境因素的關系，判斷是否需要額外的方法和測試手段。

3）建立一個專門監控和測試安全相關的關鍵信號和功能的計劃。當EMC規范允許使用更高等級的要求時，這些要求也應該被應用到功能安全相關的項目上。必須重點關注使用冗余手段使車輛進入安全狀態的機制。

4）EMC相關的文檔，包括測試報告和數據記錄必須進行存檔，并且能夠追溯。安全經理必須隨時保持對任何不符合ISO 26262標準的問題的知悉。

5）在EMC測試中引入老化的因素。與其他OEM廠商進行合作，共享相關的經驗。

6）使用ISO 26262標準要求的EMC測試標準來進行EMC測試，如表3所示。

表4總結了普通的EMC測試流程與考慮了ISO 26262標準要求的升級版EMC測試流程之間的區別。

表4 根據ISO26262標準進行升級后的調整

[1] ISO 26262-2011. Road vehicles -- Functional safety [S].

[2] IEC 61508:2010.Functional safety of electrical/electronic/ programmable electronic safety-related systems[S].

[3] IEC 61000-1-2:2008. General - Methodology for the achievement of functional safety of electrical and electronic systems including equipment with regard to electromagnetic phenomena[S].

[4]郭遠東, 王春霞. ISO 26262 對汽車電子產品 EMC 的影響[J]. 電子產品可靠性與環境試驗, 2014, 32(2).

[5]劉佳熙, 郭輝, 李君. 汽車電子電氣系統的功能安全標準 ISO 26262 [J]. 上海汽車, 2011, 10: 017.

4 結論

1）電動汽車由于其動力總成的特殊性，對EMC有更高的要求。ISO 26262功能安全標準通過引用目前的EMC標準，并針對汽車的功能安全進行了改進與升級。

2）遵循ISO 26262功能安全標準來進行EMC相關的設計與開發測試，可以更全面地實現汽車的功能安全。

Inf uences of ISO 26262 to the EMC of Electric Vehicle

WANG Chong, LI Tie-hua, MI Jin-cai, HU Hai, PAN Mi-dian
（Quality Inspection and Testing Center, China CEPREI Laboratory, Guangzhou 510610）

With the gradual strict emissions regulations and the gradual depletion of fossil fuels, and as the emission regulations become stricter and stricter, and the fossil fuels gets exhausting, electric vehicle is becoming more and more popular. By the meantime, the safety and reliability of electric vehicle is getting more severe. The functional safety standard ISO 26262 defines the functional safety regulations of vehicles, including electric vehicle. This paper summarizes the requirements on EMC of electric vehicle and compares these requirements with current EMC standards. In the end, the methods to improve the electric vehicle’s EMC performance is proposed to better comply with ISO 26262.

functional safety; ISO 26262; EMC; electric vehicle

TN03；U463.6

A

1004-7204（2014）04-0089-04

汪沖（1989-），男（漢族），湖北天門人，工業和信息化部電子第五研究所賽寶質量安全檢測中心工程師．主要從事汽車電子電磁兼容檢測與研究工作。