ISO 26262：2018與摩托車功能安全

郭凌崧 姚 珍 戴 磊

（1-天津內(nèi)燃機研究所（天津摩托車技術中心） 天津 300072 2-宗申產(chǎn)業(yè)集團有限公司 3-江蘇林海動力機械集團有限公司）

引言

隨著汽車技術的發(fā)展和與安全相關的電氣/電子（E/E）系統(tǒng)在汽車上的廣泛應用，汽車工業(yè)對電氣/電子系統(tǒng)功能安全標準的需求越來越迫切。ISO（國際標準化組織）在IEC 61508 的基礎上，制定了專門針對汽車電氣/電子系統(tǒng)的功能安全標準ISO 26262：2011，并于2011 年正式發(fā)布，以滿足道路車輛對電氣/電子系統(tǒng)的特殊需求。該標準的頒布和應用是汽車電子行業(yè)的重大進步，已在全球汽車電子功能安全領域獲得廣泛應用，并得到各國汽車行業(yè)的廣泛認可。我國通過對該國際標準的學習、吸收，轉(zhuǎn)化形成了相應的國家標準GB/T 34590-2017《道路車輛功能安全》。

基于對ISO 26262：2011 標準實施的經(jīng)驗、適用范圍的拓展、過程方法的改進，特別是新能源汽車和智能輔助駕駛與智能網(wǎng)聯(lián)汽車高速發(fā)展所帶來的挑戰(zhàn)，為更好地適應不斷更新的技術需求，ISO 對ISO 26262：2011 進行了完善并形成新版本，于2018 年12 月以ISO 26262：2018 的名義正式發(fā)布。相比于ISO 26262：2011，ISO 26262：2018 的變化包括：

1）內(nèi)容方面，根據(jù)ISO 26262：2011 實施所獲得的經(jīng)驗，將各部分進行了相應的轉(zhuǎn)化和調(diào)整，將適用范圍從乘用車向其它類型道路車輛拓展；

2）結(jié)構方面，增加了第11 部分“Guideline on application of ISO 26262 to semiconductors（半導體應用指南）[1]”和第12 部分“Adaptation of ISO 26262 for motorcycles”（摩托車的適用性）[2]”等相應內(nèi)容。

摩托車是道路交通體系中的重要成員之一，摩托車行駛的安全性越來越重要。隨著電氣/電子技術在摩托車上越來越廣泛的應用以及電動摩托車的快速發(fā)展，需要使用適當?shù)陌踩嚓P技術來避免由與汽車相同的電氣/電子系統(tǒng)的隨機（硬件）或系統(tǒng)（軟件）故障引起的不合理風險。

為提高功能安全要求對摩托車的適用性，ISO 26262：2018 將功能安全的理論和概念納入摩托車，并依照摩托車的特點對功能安全的通用要求進行裁剪，通過應用功能安全要求來實現(xiàn)生產(chǎn)更安全的摩托車的目的，對提高摩托車運行安全水平并保障所有道路交通參與者的出行安全具有重要意義。

1 適用范圍與主要概念

摩托車功能安全標準ISO 26262：2018 Part 12 的主要目的是給出道路車輛功能安全對摩托車的適用性。

1.1 適用范圍

該標準適用于除輕便摩托車以外的量產(chǎn)摩托車上包含一個或多個電氣/電子系統(tǒng)的、與安全相關的系統(tǒng)，不適用于特殊用途車輛，如為殘疾駕駛者設計的車輛上安裝的特殊電氣/電子系統(tǒng)。

該標準僅適用于由電氣/電子安全相關系統(tǒng)的故障所引起的可能危害（包括這些系統(tǒng)相互作用而引起的可能危害）以及直接由電氣/電子安全相關系統(tǒng)的故障所引起的危害。

1.2 主要概念

功能安全中所說的安全（safety）是指沒有不合理的風險；而風險（risk）是指傷害發(fā)生的概率及其嚴重程度。ISO 26262 將功能安全（functional safety）定義為避免因電氣/電子系統(tǒng)故障而導致的不合理風險[3]，在GB/T 34590-2016《道路車輛功能安全》中描述為不存在由電氣/電子系統(tǒng)的功能異常表現(xiàn)引起的危害而導致不合理的風險[1]。

考慮到產(chǎn)品的功能安全必須對產(chǎn)品進行危害分析與風險評估，ISO 26262 將道路車輛的危害分析與風險評估（hazard analysis and risk assessment，HARA）定義為為了避免不合理的風險，對相關項的危害事件進行識別和歸類的方法以及定義防止和減輕相關危害的安全目標和汽車安全完整性等級（automotive safety integrity level，ASIL）的方法[3]。為了進行HARA以獲得汽車安全完整性等級，必須根據(jù)各種與危險事件有關的情景和充分理由適當?shù)毓烙媷乐囟?、暴露概率和可控? 個重要參數(shù)。ASIL 是指對應的A、B、C 和D 共4 個等級中的每一等級都定義了ISO 26262 所述的對相關項或要素的必要要求和安全措施，以避免出現(xiàn)不合理的風險。其中，D 代表最高嚴格等級，A 代表最低嚴格等級。

摩托車的功能安全引入了已有汽車功能安全的大部分基礎概念和基本理論，如：

1）嚴重度（severity，S）。與汽車的嚴重度S 含義相同，是對可能發(fā)生在潛在危害事件中的一人或多人的傷害程度的預估。在危害分析和風險評估中，參數(shù)S 代表潛在傷害的嚴重程度。嚴重度分級如表1所示[1]。

表1 嚴重度分級

2）暴露概率（exposure，E）。與汽車的暴露概率E含義相同，是處于某種行駛狀況下發(fā)生所分析的失效模式可能導致的危害程度。在危險分析和風險評估中，參數(shù)E 表示潛在暴露在運行中的情況。與行駛狀況相關的暴露概率等級如表2 所示[2]。

表2 與行駛狀況相關的暴露概率等級

3）可控性（controllability，C）。與汽車的可控性C含義相同，通過所涉及人員的及時反應（可能具備外部措施的支持）避免特定的傷害或者損傷的能力。可控性評估是指對危害事件發(fā)生時具有代表性的駕駛員能夠保持或恢復對摩托車的控制，或者其他處于潛在風險的人員能夠充分控制危害事件以避免特定傷害的概率預估?？煽匦缘燃壏诸惾? 所示[2]。

表3 可控性等級

4）摩托車安全完整性等級（motorcycle safety integrity level，MSIL）。與汽車的安全完整性等級ASIL含義相似，對應的A、B、C 和D 共4 個等級中的每一等級都定義了ISO 26262 中相關項或要素必要的風險降低要求，以及由此轉(zhuǎn)換為ASIL 等級后的安全措施，以避免特別是摩托車中相關項或要素不合理的殘余風險。其中，D 代表最高嚴格等級，A 代表最低嚴格等級，QM（質(zhì)量管理）不是一個MSIL 等級。摩托車安全完整性等級MSIL 的確定如表4 所示[2]。

表4 摩托車安全完整性等級MSIL 的確定

2 摩托車的功能安全

對摩托車進行危害分析與風險評估（HARA）的目的是通過評估危害事件對車手（駕駛員）、乘員、車輛附近人員或周邊車輛中人員可能產(chǎn)生的潛在傷害來確定相應危害的嚴重度等級，最終獲得對整車安全完整性等級的評價，判斷相應的安全措施對該摩托車產(chǎn)品安全目標的適應程度，以避免不合理的風險。

由于摩托車產(chǎn)品的開發(fā)流程和技術方案不同于常規(guī)汽車，其動態(tài)行為與ISO 26262：2018 覆蓋范圍內(nèi)的其他車輛的結(jié)構、動力性及操縱特性等方面的差別很大，而且摩托車危害事件的可控性一般更強調(diào)車手的處置能力，需要根據(jù)摩托車的特性對常規(guī)的風險評估方法進行一定程度的修改，以便最大程度地適應摩托車特性下的特定危害事件。因此，ASIL分級不適用于摩托車，需要使用摩托車的安全完整性等級MSIL 作為摩托車的HARA 輸出。

為應用ISO 26262：2018 其他部分中的概念，保持與ISO 26262：2018 總體要求的一致性，并適應國際摩托車行業(yè)總體的技術水平與適應能力，在應用MSIL 分級確定某一摩托車的安全完整性等級后，還需建立MSIL 與ASIL 分級間的對應關系，以便將獲得的MSIL 等級對應到相應的ASIL 等級，從而使摩托車能夠作為道路車輛在ISO 26262：2018 的整體覆蓋下獲得統(tǒng)一的ASIL 評級和認定。需要注意的是，所示的由MSIL 等級確定的ASIL 等級顯示的是對整車層面功能安全的最低要求。

其中，根據(jù)嚴重度、暴露概率和可控性的分級組合，為每個危害事件確定了4 個MSIL 等級：MSIL A，MSIL B，MSIL C 和MSIL D，其中MSIL A 是最低的安全完整性等級，MSIL D 是最高的安全完整性等級。

QM 等級表示質(zhì)量控制過程足以管理已識別的風險，不需要符合ISO 26262：2018 的要求。如果某些系統(tǒng)（例如某些駕駛員輔助系統(tǒng)）的失效不影響車輛的安全運行，或者如果某個意外可以通過常規(guī)的車手動作來避免，則不需要進行MSIL 分級。MSIL 與ASIL 的對應如表5 所示[2]。

表5 MSIL 與ASIL 的對應

ISO 26262：2018 的附錄A 提供了摩托車實施ISO 26262：2018 相應要求的概覽與工作流程；附錄B 給出了危害分析和風險評估的一般解釋；附錄C則提供了在傳統(tǒng)產(chǎn)品開發(fā)條件下考慮摩托車動力學的可控性評估技術示例。

3 功能安全對摩托車的影響

隨著技術的進步和法規(guī)、市場等各方要求的提高，越來越多的電氣/電子系統(tǒng)應用于摩托車，電動摩托車直接采用了電力驅(qū)動方式。對于燃油摩托車，包括燃油噴射系統(tǒng)、電子油門、車載監(jiān)測系統(tǒng)OBD、防抱死制動系統(tǒng)ABS、聯(lián)合制動系統(tǒng)CBS、LED 前照燈、緊急告警系統(tǒng)、加熱手柄等；對于電動摩托車，還包括動力電池、驅(qū)動電機、充電器、整車控制器、DC/DC 轉(zhuǎn)換器等。越來越龐大且復雜的硬件技術、軟件內(nèi)容和機電一體化的實施，越來越多地涉及系統(tǒng)安全工程領域，并帶來了越來越大的系統(tǒng)故障、隨機故障等安全風險。

以近光狀態(tài)的前照燈為例，前照燈的主體功能是在夜間或較差天氣等較暗的視場條件下為車手照亮行駛前方路況及周邊環(huán)境，更高級別的功能是向車手提供對進近場景變化以及車輛行駛方向變化的預測評估；同時也是對包括對向車輛在內(nèi)的其他道路參與者進行本車進近的動態(tài)提示。當前照燈系統(tǒng)出現(xiàn)非預期的系統(tǒng)故障或隨機故障，使前照燈突然由“近光”狀態(tài)變?yōu)椤跋纭被颉斑h光”狀態(tài)時，會造成車手自身對視場變化的不適應，車輛行駛方向變化的預測提示可能消失，場景內(nèi)包括對向車輛在內(nèi)的其他道路參與者對本車的進近狀態(tài)可能出現(xiàn)誤判，從而導致對該運行場景下所有潛在交通參與者可能造成嚴重度不同的危害，構成安全風險。

德國BMW 公司的Karl Viktor Schaller 等人以摩托車的驅(qū)動特性為例，用圖1 所示的卡姆摩擦圓模型[4]對摩托車的功能安全做了簡明扼要的解構。圖1中，綠色垂直矢量為摩托車（正常）行駛的驅(qū)動力，該力與加速度成正比；綠色的水平矢量代表摩托車（正常）行駛時所受的側(cè)向力。整車行駛的合力是上述2個側(cè)向力的矢量和（綠色虛線）。只要該合力及2 個矢量（綠色）均位于綠色圓圈內(nèi)，該車輛系統(tǒng)即是穩(wěn)定的（即處于功能安全狀態(tài)，如圖1 中點①所示）。

圖1 摩托車功能安全概念示意圖

若因電子油門（E-Gas）系統(tǒng)引發(fā)車輛意外加速，即出現(xiàn)故障。將這個非預期的自動加速形成的額外矢量標為紅色，當該紅色非預期加速矢量與原有各矢量合成時，會導致新的矢量，超出原有的安全范圍（綠色圓環(huán)區(qū)域）并進入橙色不可控區(qū)域，成為一個可能會帶來潛在危害風險的故障（圖1 中點②）。

對于發(fā)生故障的車輛是否仍然可控，取決于是否可快速識別安全故障并能夠通過各種措施（如安全機制）使安全狀態(tài)得到改善（圖1 中點③，即圖中的黃色矢量）。

圖1 所示的關系圖簡明描述了功能安全的重要性以及功能安全產(chǎn)生作用的區(qū)域。由硬件（HW）和軟件（SW）構成的電氣/電子系統(tǒng)功能應受到系統(tǒng)的安全功能監(jiān)測，以確保故障能夠及時被檢測到，且車輛在發(fā)生故障時能夠被調(diào)整轉(zhuǎn)換至一種可控的、安全的狀態(tài)。

4 結(jié)束語

1）隨著技術進步、電氣/電子（E/E）系統(tǒng)與摩托車的融合更加深入和全面，電氣/電子系統(tǒng)的失效風險對摩托車的影響越來越大，ISO 26262：2018 將摩托車功能安全納入體系顯得非常重要。

2）摩托車的功能安全與常規(guī)汽車的功能安全有很大差別，應根據(jù)摩托車的特質(zhì)深入研究，合理運用和拓展功能安全理論，提高摩托車整車安全性。

3）應該在充分理解功能安全相關原理和掌握摩托車本質(zhì)特性的基礎上，從相應E/E 系統(tǒng)的軟硬件著手，通過制訂安全概念、安全目標、安全措施，進行危害分析與風險評估、安全完整性等級評定以及安全文化建設，將功能安全的系統(tǒng)理論貫穿到包括摩托車產(chǎn)品設計在內(nèi)的摩托車產(chǎn)品安全壽命周期的全方位全過程中。