郭凌崧 姚 珍 戴 磊

（1-天津内燃机研究所（天津摩托车技术中心） 天津 300072 2-宗申产业集团有限公司 3-江苏林海动力机械集团有限公司）

引言

随着汽车技术的发展和与安全相关的电气/电子（E/E）系统在汽车上的广泛应用，汽车工业对电气/电子系统功能安全标准的需求越来越迫切。ISO（国际标准化组织）在IEC 61508 的基础上，制定了专门针对汽车电气/电子系统的功能安全标准ISO 26262：2011，并于2011 年正式发布，以满足道路车辆对电气/电子系统的特殊需求。该标准的颁布和应用是汽车电子行业的重大进步，已在全球汽车电子功能安全领域获得广泛应用，并得到各国汽车行业的广泛认可。我国通过对该国际标准的学习、吸收，转化形成了相应的国家标准GB/T 34590-2017《道路车辆功能安全》。

基于对ISO 26262：2011 标准实施的经验、适用范围的拓展、过程方法的改进，特别是新能源汽车和智能辅助驾驶与智能网联汽车高速发展所带来的挑战，为更好地适应不断更新的技术需求，ISO 对ISO 26262：2011 进行了完善并形成新版本，于2018 年12 月以ISO 26262：2018 的名义正式发布。相比于ISO 26262：2011，ISO 26262：2018 的变化包括：

1）内容方面，根据ISO 26262：2011 实施所获得的经验，将各部分进行了相应的转化和调整，将适用范围从乘用车向其它类型道路车辆拓展；

2）结构方面，增加了第11 部分“Guideline on application of ISO 26262 to semiconductors（半导体应用指南）[1]”和第12 部分“Adaptation of ISO 26262 for motorcycles”（摩托车的适用性）[2]”等相应内容。

摩托车是道路交通体系中的重要成员之一，摩托车行驶的安全性越来越重要。随着电气/电子技术在摩托车上越来越广泛的应用以及电动摩托车的快速发展，需要使用适当的安全相关技术来避免由与汽车相同的电气/电子系统的随机（硬件）或系统（软件）故障引起的不合理风险。

为提高功能安全要求对摩托车的适用性，ISO 26262：2018 将功能安全的理论和概念纳入摩托车，并依照摩托车的特点对功能安全的通用要求进行裁剪，通过应用功能安全要求来实现生产更安全的摩托车的目的，对提高摩托车运行安全水平并保障所有道路交通参与者的出行安全具有重要意义。

1 适用范围与主要概念

摩托车功能安全标准ISO 26262：2018 Part 12 的主要目的是给出道路车辆功能安全对摩托车的适用性。

1.1 适用范围

该标准适用于除轻便摩托车以外的量产摩托车上包含一个或多个电气/电子系统的、与安全相关的系统，不适用于特殊用途车辆，如为残疾驾驶者设计的车辆上安装的特殊电气/电子系统。

该标准仅适用于由电气/电子安全相关系统的故障所引起的可能危害（包括这些系统相互作用而引起的可能危害）以及直接由电气/电子安全相关系统的故障所引起的危害。

1.2 主要概念

功能安全中所说的安全（safety）是指没有不合理的风险；而风险（risk）是指伤害发生的概率及其严重程度。ISO 26262 将功能安全（functional safety）定义为避免因电气/电子系统故障而导致的不合理风险[3]，在GB/T 34590-2016《道路车辆功能安全》中描述为不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险[1]。

考虑到产品的功能安全必须对产品进行危害分析与风险评估，ISO 26262 将道路车辆的危害分析与风险评估（hazard analysis and risk assessment，HARA）定义为为了避免不合理的风险，对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和汽车安全完整性等级（automotive safety integrity level，ASIL）的方法[3]。为了进行HARA以获得汽车安全完整性等级，必须根据各种与危险事件有关的情景和充分理由适当地估计严重度、暴露概率和可控性3 个重要参数。ASIL 是指对应的A、B、C 和D 共4 个等级中的每一等级都定义了ISO 26262 所述的对相关项或要素的必要要求和安全措施，以避免出现不合理的风险。其中，D 代表最高严格等级，A 代表最低严格等级。

摩托车的功能安全引入了已有汽车功能安全的大部分基础概念和基本理论，如：

1）严重度（severity，S）。与汽车的严重度S 含义相同，是对可能发生在潜在危害事件中的一人或多人的伤害程度的预估。在危害分析和风险评估中，参数S 代表潜在伤害的严重程度。严重度分级如表1所示[1]。

表1 严重度分级

2）暴露概率（exposure，E）。与汽车的暴露概率E含义相同，是处于某种行驶状况下发生所分析的失效模式可能导致的危害程度。在危险分析和风险评估中，参数E 表示潜在暴露在运行中的情况。与行驶状况相关的暴露概率等级如表2 所示[2]。

表2 与行驶状况相关的暴露概率等级

3）可控性（controllability，C）。与汽车的可控性C含义相同，通过所涉及人员的及时反应（可能具备外部措施的支持）避免特定的伤害或者损伤的能力。可控性评估是指对危害事件发生时具有代表性的驾驶员能够保持或恢复对摩托车的控制，或者其他处于潜在风险的人员能够充分控制危害事件以避免特定伤害的概率预估。可控性等级分类如3 所示[2]。

表3 可控性等级

4）摩托车安全完整性等级（motorcycle safety integrity level，MSIL）。与汽车的安全完整性等级ASIL含义相似，对应的A、B、C 和D 共4 个等级中的每一等级都定义了ISO 26262 中相关项或要素必要的风险降低要求，以及由此转换为ASIL 等级后的安全措施，以避免特别是摩托车中相关项或要素不合理的残余风险。其中，D 代表最高严格等级，A 代表最低严格等级，QM（质量管理）不是一个MSIL 等级。摩托车安全完整性等级MSIL 的确定如表4 所示[2]。

表4 摩托车安全完整性等级MSIL 的确定

2 摩托车的功能安全

对摩托车进行危害分析与风险评估（HARA）的目的是通过评估危害事件对车手（驾驶员）、乘员、车辆附近人员或周边车辆中人员可能产生的潜在伤害来确定相应危害的严重度等级，最终获得对整车安全完整性等级的评价，判断相应的安全措施对该摩托车产品安全目标的适应程度，以避免不合理的风险。

由于摩托车产品的开发流程和技术方案不同于常规汽车，其动态行为与ISO 26262：2018 覆盖范围内的其他车辆的结构、动力性及操纵特性等方面的差别很大，而且摩托车危害事件的可控性一般更强调车手的处置能力，需要根据摩托车的特性对常规的风险评估方法进行一定程度的修改，以便最大程度地适应摩托车特性下的特定危害事件。因此，ASIL分级不适用于摩托车，需要使用摩托车的安全完整性等级MSIL 作为摩托车的HARA 输出。

为应用ISO 26262：2018 其他部分中的概念，保持与ISO 26262：2018 总体要求的一致性，并适应国际摩托车行业总体的技术水平与适应能力，在应用MSIL 分级确定某一摩托车的安全完整性等级后，还需建立MSIL 与ASIL 分级间的对应关系，以便将获得的MSIL 等级对应到相应的ASIL 等级，从而使摩托车能够作为道路车辆在ISO 26262：2018 的整体覆盖下获得统一的ASIL 评级和认定。需要注意的是，所示的由MSIL 等级确定的ASIL 等级显示的是对整车层面功能安全的最低要求。

其中，根据严重度、暴露概率和可控性的分级组合，为每个危害事件确定了4 个MSIL 等级：MSIL A，MSIL B，MSIL C 和MSIL D，其中MSIL A 是最低的安全完整性等级，MSIL D 是最高的安全完整性等级。

QM 等级表示质量控制过程足以管理已识别的风险，不需要符合ISO 26262：2018 的要求。如果某些系统（例如某些驾驶员辅助系统）的失效不影响车辆的安全运行，或者如果某个意外可以通过常规的车手动作来避免，则不需要进行MSIL 分级。MSIL 与ASIL 的对应如表5 所示[2]。

表5 MSIL 与ASIL 的对应

ISO 26262：2018 的附录A 提供了摩托车实施ISO 26262：2018 相应要求的概览与工作流程；附录B 给出了危害分析和风险评估的一般解释；附录C则提供了在传统产品开发条件下考虑摩托车动力学的可控性评估技术示例。

3 功能安全对摩托车的影响

随着技术的进步和法规、市场等各方要求的提高，越来越多的电气/电子系统应用于摩托车，电动摩托车直接采用了电力驱动方式。对于燃油摩托车，包括燃油喷射系统、电子油门、车载监测系统OBD、防抱死制动系统ABS、联合制动系统CBS、LED 前照灯、紧急告警系统、加热手柄等；对于电动摩托车，还包括动力电池、驱动电机、充电器、整车控制器、DC/DC 转换器等。越来越庞大且复杂的硬件技术、软件内容和机电一体化的实施，越来越多地涉及系统安全工程领域，并带来了越来越大的系统故障、随机故障等安全风险。

以近光状态的前照灯为例，前照灯的主体功能是在夜间或较差天气等较暗的视场条件下为车手照亮行驶前方路况及周边环境，更高级别的功能是向车手提供对进近场景变化以及车辆行驶方向变化的预测评估；同时也是对包括对向车辆在内的其他道路参与者进行本车进近的动态提示。当前照灯系统出现非预期的系统故障或随机故障，使前照灯突然由“近光”状态变为“熄灭”或“远光”状态时，会造成车手自身对视场变化的不适应，车辆行驶方向变化的预测提示可能消失，场景内包括对向车辆在内的其他道路参与者对本车的进近状态可能出现误判，从而导致对该运行场景下所有潜在交通参与者可能造成严重度不同的危害，构成安全风险。

德国BMW 公司的Karl Viktor Schaller 等人以摩托车的驱动特性为例，用图1 所示的卡姆摩擦圆模型[4]对摩托车的功能安全做了简明扼要的解构。图1中，绿色垂直矢量为摩托车（正常）行驶的驱动力，该力与加速度成正比；绿色的水平矢量代表摩托车（正常）行驶时所受的侧向力。整车行驶的合力是上述2个侧向力的矢量和（绿色虚线）。只要该合力及2 个矢量（绿色）均位于绿色圆圈内，该车辆系统即是稳定的（即处于功能安全状态，如图1 中点①所示）。

图1 摩托车功能安全概念示意图

若因电子油门（E-Gas）系统引发车辆意外加速，即出现故障。将这个非预期的自动加速形成的额外矢量标为红色，当该红色非预期加速矢量与原有各矢量合成时，会导致新的矢量，超出原有的安全范围（绿色圆环区域）并进入橙色不可控区域，成为一个可能会带来潜在危害风险的故障（图1 中点②）。

对于发生故障的车辆是否仍然可控，取决于是否可快速识别安全故障并能够通过各种措施（如安全机制）使安全状态得到改善（图1 中点③，即图中的黄色矢量）。

图1 所示的关系图简明描述了功能安全的重要性以及功能安全产生作用的区域。由硬件（HW）和软件（SW）构成的电气/电子系统功能应受到系统的安全功能监测，以确保故障能够及时被检测到，且车辆在发生故障时能够被调整转换至一种可控的、安全的状态。

4 结束语

1）随着技术进步、电气/电子（E/E）系统与摩托车的融合更加深入和全面，电气/电子系统的失效风险对摩托车的影响越来越大，ISO 26262：2018 将摩托车功能安全纳入体系显得非常重要。

2）摩托车的功能安全与常规汽车的功能安全有很大差别，应根据摩托车的特质深入研究，合理运用和拓展功能安全理论，提高摩托车整车安全性。

3）应该在充分理解功能安全相关原理和掌握摩托车本质特性的基础上，从相应E/E 系统的软硬件着手，通过制订安全概念、安全目标、安全措施，进行危害分析与风险评估、安全完整性等级评定以及安全文化建设，将功能安全的系统理论贯穿到包括摩托车产品设计在内的摩托车产品安全寿命周期的全方位全过程中。