引言
ISO 26262 最初是为汽车设计的,但随着摩托车电子系统的日益复杂,如何确保摩托车、踏板车等两轮车辆的功能安全成为重要问题。ISO 26262-12 摩托车部分专门针对两轮车辆的功能安全进行了适应性修改和补充。
想象一个真实场景:某摩托车厂商的电动踏板车采用了先进的电子制动系统(CBS),但在雨天湿滑路面上,由于系统对两轮车辆特性的考虑不足,导致制动时后轮抱死,造成车辆侧翻事故。
这个案例告诉我们:**摩托车和汽车在动力学特性、使用场景、安全需求等方面存在显著差异,需要对 ISO 26262 进行适应性修改。**这正是 ISO 26262-12 摩托车部分的核心使命。
摩托车和汽车的差异
动力学差异
1. 稳定性
| 特性 | 汽车 | 摩托车 |
|---|---|---|
| 稳定性 | 四轮稳定,自稳定性高 | 两轮不稳定,需要动态平衡 |
| 倾斜角度 | 无倾斜,固定姿态 | 可倾斜,最大倾斜角可达 45° |
| 转向方式 | 前轮转向 | 前轮转向 + 车身倾斜 |
2. 制动特性
| 特性 | 汽车 | 摩托车 |
|---|---|---|
| 制动方式 | 四轮独立制动 | 前后轮协同制动 |
| 制动力分配 | 固定比例或动态分配 | 需要考虑负载转移 |
| 制动稳定性 | 相对稳定 | 容易抱死侧翻 |
3. 操控特性
| 特性 | 汽车 | 摩托车 |
|---|---|---|
| 转向响应 | 相对平缓 | 敏捷,需要精确控制 |
| 负载转移 | 相对均匀 | 显著,特别是加速和制动时 |
| 驾驶姿态 | 固定 | 随速度和路况变化 |
使用场景差异
1. 使用环境
汽车:
- 主要在道路上行驶
- 相对受控的环境
摩托车:
- 道路行驶
- 越野环境
- 更复杂的环境条件
2. 驾驶员因素
汽车:
- 驾驶员在车内,受保护
- 碰撞时,车身提供保护
摩托车:
- 驾驶员暴露在外,无保护
- 碰撞时,直接承受冲击
3. 使用模式
汽车:
- 相对固定
- 主要是通勤和长途
摩托车:
- 更加多样化
- 包括通勤、休闲、竞技
安全需求差异
1. 安全目标的差异
汽车:
- 防止碰撞
- 保护乘员
摩托车:
- 防止碰撞
- 防止翻车
- 保护驾驶员
2. ASIL 确定的差异
由于摩托车驾驶员暴露在外,同样的危害在摩托车上可能更加严重。
示例:制动失效
汽车:
- 严重性:S3
- 暴露率:E4
- 可控性:C2
- ASIL:C
摩托车:
- 严重性:S3(同样严重,但后果更严重)
- 暴露率:E4
- 可控性:C3(更难控制)
- ASIL:D
3. 安全机制的差异
汽车:
- 可以采用更复杂的安全机制
- 更多的冗余空间
摩托车:
- 受限于空间和成本
- 需要更简洁有效的安全机制
摩托车特定的安全需求
制动系统
1. 联动制动(CBS)
联动制动系统是摩托车特有的制动系统,可以同时控制前后轮的制动力。
安全目标:
“CBS 系统的故障不得导致制动性能的显著降低,ASIL B”
安全机制:
- 前后轮制动力分配算法
- 压力传感器监测
- 阀门故障检测
2. ABS(防抱死制动系统)
摩托车的 ABS 系统需要考虑两轮车辆的特性。
安全目标:
“ABS 系统的故障不得导致制动性能的显著降低或车轮锁死,ASIL C”
安全机制:
- 车轮速度传感器
- 压力传感器
- 算法优化(考虑倾斜角度)
动力系统
1. 发动机控制
摩托车的发动机控制需要考虑:
- 驾驶员姿态
- 负载转移
- 稳定性控制
安全目标:
“发动机控制系统的故障不得导致动力突然丧失或增加,ASIL B”
安全机制:
- 节气位置传感器
- 发动机转速传感器
- 扭矩限制
2. 电动车系统
电动摩托车/踏板车的安全需求:
安全目标:
“电池管理系统的故障不得导致起火、爆炸或动力突然丧失,ASIL C”
安全机制:
- 电池电压监测
- 电池温度监测
- 充电保护
- 放电保护
转向系统
1. 转向助力
部分高端摩托车采用转向助力系统。
安全目标:
“转向助力系统的故障不得导致转向力的突然完全丧失,ASIL A”
安全机制:
- 电机电流监测
- 转矩传感器监测
- 手动备份
信息娱乐系统
1. 仪表盘
摩托车的仪表盘需要考虑:
- 阳光下的可读性
- 驾驶员的注意力分散
安全目标:
“仪表盘的故障不得导致关键信息丢失或误导,ASIL A”
安全机制:
- 冗余显示
- 报警系统
摩托车特定的危害分析
摩托车特定的危害
1. 侧翻
危害描述:车辆在行驶或制动时侧翻。
运行场景:
- 湿滑路面
- 紧急制动
- 高速转弯
风险评估:
| 参数 | 汽车评估 | 摩托车评估 |
|---|---|---|
| 严重性(S) | S2(严重伤害) | S3(危及生命) |
| 暴露率(E) | E2(低) | E3(中) |
| 可控性(C) | C2(正常) | C3(难于控制) |
| ASIL | A | C |
安全目标:
“制动系统不得导致车轮锁死和车辆侧翻,ASIL C”
2. 前轮摆动(Wobble)
危害描述:车辆高速行驶时前轮发生剧烈摆动。
运行场景:
- 高速行驶
- 路面不平
- 前轮轮胎磨损
风险评估:
| 参数 | 评估 |
|---|---|
| 严重性(S) | S3(危及生命) |
| 暴露率(E) | E2(低) |
| 可控性(C) | C2(正常到难于控制) |
| ASIL | B |
安全目标:
“前轮摆动抑制系统的故障不得导致摆动加剧,ASIL B”
3. 后轮跳跳(Chatter)
危害描述:车辆加速时后轮发生跳跳。
运行场景:
- 大扭矩加速
- 湿滑路面
- 砂石路面
风险评估:
| 参数 | 评估 |
|---|---|
| 严重性(S) | S2(严重伤害) |
| 暴露率(E) | E3(中) |
| 可控性(C) | C2(正常) |
| ASIL | B |
安全目标:
“扭矩控制系统的故障不得导致后轮跳跳,ASIL B”
摩托车特定的 ASIL 确定
示例 1:CBS 系统的 ASIL 确定
危害:CBS 系统故障导致制动失效
场景描述:在高速公路上行驶时,需要紧急制动,但 CBS 系统失效,导致制动力不足。
风险评估:
严重性(S):
- 制动距离显著增加
- 可能导致碰撞
- 驾驶员暴露在外,风险更高
- 结论:S3
暴露率(E):
- 每次驾驶都会使用制动系统
- 高速行驶常见
- 结论:E4
可控性(C):
- 两轮车辆制动不稳定
- 容易抱死侧翻
- 驾驶员难以控制
- 结论:C3
ASIL 确定: $$ \text{ASIL} = f(S3, E4, C3) = \text{ASIL D} $$
安全目标:
“CBS 系统的故障不得导致制动性能的显著降低,ASIL D”
示例 2:电动摩托车电池系统的 ASIL 确定
危害:电池管理系统故障导致起火
场景描述:在充电过程中,电池管理系统故障,导致电池过充起火。
风险评估:
严重性(S):
- 电池起火可能导致严重伤害
- 摩托车停放位置不确定
- 可能波及周围环境
- 结论:S3
暴露率(E):
- 充电场景常见
- 城市通勤每日充电
- 结论:E4
可控性(C):
- 驾驶员可能在附近
- 可以断开电源
- 但起火后难以控制
- 结论:C2
ASIL 确定: $$ \text{ASIL} = f(S3, E4, C2) = \text{ASIL C} $$
安全目标:
“电池管理系统的故障不得导致起火,ASIL C”
摩托车特定的安全机制
制动安全机制
1. 倾斜角度传感器
摩托车在倾斜时,制动特性不同。
倾斜角度传感器的应用:
- 检测车辆倾斜角度
- 调整 ABS 算法
- 优化制动力分配
安全目标:
“倾斜角度传感器的故障不得导致制动算法错误,ASIL B”
安全机制:
- 冗余传感器
- 传感器故障检测
- 默认值降级
2. 轮速传感器
摩托车的轮速传感器需要考虑:
- 前后轮转速差异
- 轮胎打滑
安全目标:
“轮速传感器的故障不得导致 ABS 算法错误,ASIL B”
安全机制:
- 双通道轮速传感器
- 传感器故障检测
- 传感器一致性检查
动力安全机制
1. 扭矩限制
摩托车需要考虑:
- 负载转移
- 牵引力控制
- 稳定性控制
安全目标:
“扭矩限制系统的故障不得导致动力突然增加,ASIL B”
安全机制:
- 轮速监测
- 节气位置监测
- 扭矩限制算法
2. 电动车安全机制
电动摩托车/踏板车的安全机制:
电池安全机制:
- 电池电压监测
- 电池温度监测
- 电池均衡
电机安全机制:
- 电机电流监测
- 电机温度监测
- 电机故障检测
充电安全机制:
- 充电电流监测
- 充电电压监测
- 充电温度监测
转向安全机制
1. 转向稳定控制
摩托车的转向稳定控制需要考虑:
- 侧倾力矩
- 转向力矩
- 稳定性
安全目标:
“转向稳定控制系统的故障不得导致转向不稳定,ASIL A”
安全机制:
- IMU(惯性测量单元)
- 转向角传感器
- 稳定性算法
摩托车特定的测试和验证
测试环境的特殊性
1. 测试场地
摩托车测试需要考虑:
- 直线道路
- 弯道测试
- 湿滑路面
- 越野环境
2. 测试设备
摩托车测试的特殊设备:
- 倾斜角度测试台
- 摆动测试台
- 牵引力测试台
测试用例
制动系统测试
| 测试用例 | 测试目的 | 测试条件 | 预期结果 |
|---|---|---|---|
| TC-1 | 正常制动 | 干燥路面,直线行驶 | 制动平稳,无侧翻 |
| TC-2 | 湿滑路面制动 | 湿滑路面,直线行驶 | ABS 正常工作,无锁死 |
| TC-3 | 转弯制动 | 弯道行驶 | ABS 考虑倾斜角度,无侧翻 |
| TC-4 | 紧急制动 | 高速行驶 | ABS 正常工作,制动距离合理 |
| TC-5 | CBS 故障测试 | 模拟 CBS 故障 | 系统进入安全状态,制动基本功能可用 |
动力系统测试
| 测试用例 | 测试目的 | 测试条件 | 预期结果 |
|---|---|---|---|
| TC-6 | 正常加速 | 干燥路面,直线行驶 | 加速平稳,无跳跳 |
| TC-7 | 湿滑路面加速 | 湿滑路面 | 牵引力控制正常工作,无打滑 |
| TC-8 | 电动车充电测试 | 标准充电条件 | 充电正常,不过充 |
转向系统测试
| 测试用例 | 测试目的 | 测试条件 | 预期结果 |
|---|---|---|---|
| TC-9 | 正常转向 | 干燥路面,直线行驶 | 转向平顺,无摆动 |
| TC-10 | 高速摆动测试 | 高速行驶,路面不平 | 摆动抑制系统正常工作 |
| TC-11 | 转弯稳定性测试 | 弯道行驶 | 转向稳定控制正常工作 |
实战案例:电动踏板车的功能安全实施
让我们以一个实际项目为例,展示摩托车功能安全的完整实施流程。
项目背景
某厂商正在开发一款电动踏板车,最高时速 50 km/h,用于城市通勤。
第一步:危害分析
系统组件:
- 电池管理系统(BMS)
- 电机控制器(MC)
- 制动系统(CBS)
- 仪表盘
危害识别:
| 组件 | 危害描述 | 运行场景 | 严重性 | 暴露率 | 可控性 | ASIL |
|---|---|---|---|---|---|---|
| BMS | 电池过充 | 充电 | S3 | E4 | C2 | C |
| BMS | 电池过热 | 高温环境 | S3 | E3 | C2 | B |
| MC | 电机突然加速 | 低速行驶 | S2 | E3 | C2 | B |
| MC | 电机突然停止 | 高速行驶 | S3 | E4 | C3 | D |
| CBS | 制动失效 | 高速行驶 | S3 | E4 | C3 | D |
| 仪表盘 | 速度显示错误 | 正常行驶 | S1 | E4 | C1 | QM |
第二步:功能安全概念
安全目标:
SG-1:
“BMS 的故障不得导致电池过充,ASIL C”
SG-2:
“MC 的故障不得导致电机突然停止,ASIL D”
SG-3:
“CBS 的故障不得导致制动失效,ASIL D”
功能安全需求(FSR):
FSR-1.1:
“BMS 应在每个充电周期监测电池电压,并在超过 4.2V 时切断充电”
FSR-2.1:
“MC 应在每个控制周期监测电机电流,并在超过阈值时限制扭矩”
FSR-3.1:
“CBS 应在每个制动周期监测前后轮制动力,并在异常时进入安全状态”
第三步:系统架构设计
系统架构:
电池组
│
┌─────┴─────┐
│ BMS │
│ │
充电接口 电池监测
│ │
└─────┬────┘
│
┌─────┴─────┐
│ MC │
│ │
电机控制 电机监测
│ │
└─────┬────┘
│
后轮电机
│
┌─────┴─────┐
│ CBS │
│ │
前轮制动 后轮制动
第四步:硬件安全需求(HSR)
BMS HSR:
HSR-1.1.1:
“BMS 应使用双通道电压监测,每个通道独立”
HSR-1.1.2:
“BMS 应使用冗余 MCU,主/备通道”
MC HSR:
HSR-2.1.1:
“MC 应使用独立于 CPU 的看门狗定时器”
HSR-2.1.2:
“MC 应使用双通道电流监测”
第五步:软件安全需求(SSR)
BMS SSR:
SSR-1.1.1:
“BMS 应每 10 ms 读取一次电池电压”
SSR-1.1.2:
“BMS 应在检测到过充时,在 100 ms 内切断充电”
MC SSR:
SSR-2.1.1:
“MC 应每 10 ms 读取一次电机电流”
SSR-2.1.2:
“MC 应在检测到过流时,在 50 ms 内限制扭矩”
第六步:FMEDA 分析
BMS FMEDA:
| 组件 | 失效模式 | 失效率(FIT) | 单点/潜在 | 安全机制 | 覆盖率 |
|---|---|---|---|---|---|
| MCU1 | CPU 挂死 | 10 | 单点 | 看门狗 | 95% |
| MCU2 | CPU 挂死 | 10 | 单点 | 看门狗 | 95% |
| 电压传感器 | 开路 | 5 | 单点 | 冗余传感器 | 100% |
| 电压传感器 | 短路 | 5 | 单点 | 冗余传感器 | 100% |
| 电压传感器 | 漂移 | 3 | 潜在 | 双通道比较 | 80% |
SPFM 计算:
$$ \sum \lambda_{\text{SPF}} = 10 + 10 + 5 + 5 = 30 \text{ FIT} $$
$$ \sum \lambda_{\text{RF}} = 10 \times (1 - 0.95) + 10 \times (1 - 0.95) = 0.5 + 0.5 = 1 \text{ FIT} $$
$$ \text{SPFM} = \frac{30 - 1}{30} \times 100% = 96.67% $$
LFM 计算:
$$ \sum \lambda_{\text{LF}} = 3 \text{ FIT} $$
$$ \sum \lambda_{\text{RF}} = 3 \times (1 - 0.8) = 0.6 \text{ FIT} $$
$$ \text{LFM} = \frac{3 - 0.6}{3} \times 100% = 80% $$
结论:
- SPFM = 96.67%,满足 ASIL C 要求(≥ 97%?不,97%是要求吗?让我检查)
摩托车 ASIL 要求可能略有不同,但通常与汽车一致:
| ASIL 等级 | SPFM 要求 | LFM 要求 |
|---|---|---|
| ASIL C | ≥ 97% | ≥ 80% |
所以 SPFM = 96.67% 不满足 ASIL C 要求,需要改进。
第七步:测试和验证
测试计划:
| 测试项 | 测试方法 | 验收标准 |
|---|---|---|
| BMS 过充保护 | 充电测试,监测电压 | 在 4.2V 时切断充电 |
| BMS 故障容错 | 模拟 MCU1 故障 | 切换到 MCU2 |
| MC 过流保护 | 模拟过流 | 限制扭矩 |
| MC 故障容错 | 模拟看门狗超时 | 系统复位 |
| CBS 制动测试 | 道路测试 | 制动平稳,无侧翻 |
常见错误和最佳实践
常见错误
忽视摩托车和汽车的差异
- 直接应用汽车的标准
- 不考虑摩托车特性
危害分析不完整
- 未识别摩托车特定的危害
- 如侧翻、摆动、跳跳
安全机制不适合
- 使用汽车复杂的安全机制
- 不考虑摩托车的空间和成本限制
测试不充分
- 不进行湿滑路面测试
- 不进行倾斜角度测试
最佳实践
充分考虑摩托车特性
- 动力学特性
- 使用场景
- 安全需求
识别摩托车特定的危害
- 侧翻
- 摆动
- 跳跳
设计适合摩托车的安全机制
- 简洁有效
- 考虑空间和成本限制
- 考虑驾驶员因素
进行充分的测试
- 湿滑路面测试
- 倾斜角度测试
- 各种路况测试
与摩托车厂商密切合作
- 了解摩托车特性
- 参与设计和测试
- 建立长期合作关系
总结
ISO 26262-12 摩托车部分提供了将 ISO 26262 标准应用于摩托车、踏板车等两轮车辆的适应性框架。通过本文的深入解读和丰富的案例实践,我们掌握了:
摩托车和汽车的差异:
- 动力学差异(稳定性、制动特性、操控特性)
- 使用场景差异(使用环境、驾驶员因素、使用模式)
- 安全需求差异(安全目标、ASIL 确定、安全机制)
摩托车特定的安全需求:
- 制动系统(CBS、ABS)
- 动力系统(发动机控制、电动车系统)
- 转向系统(转向助力)
- 信息娱乐系统(仪表盘)
摩托车特定的危害分析:
- 侧翻
- 前轮摆动(Wobble)
- 后轮跳跳(Chatter)
- 摩托车特定的 ASIL 确定
摩托车特定的安全机制:
- 制动安全机制(倾斜角度传感器、轮速传感器)
- 动力安全机制(扭矩限制、电动车安全机制)
- 转向安全机制(转向稳定控制)
摩托车特定的测试和验证:
- 测试环境的特殊性
- 测试用例(制动系统、动力系统、转向系统)
实战案例:
- 电动踏板车的功能安全实施完整实践
常见错误和最佳实践:
- 常见错误的总结
- 最佳实践的总结
核心要点:
- 摩托车和汽车存在显著差异,需要对 ISO 26262 进行适应性修改
- 摩托车特定的危害(侧翻、摆动、跳跳)必须被识别和分析
- 摩托车的安全机制需要简洁有效,考虑空间和成本限制
- 充分的测试(包括湿滑路面、倾斜角度等)是确保摩托车安全的关键
- 与摩托车厂商密切合作,了解摩托车特性,建立长期合作关系
系列文章总结:
通过这一系列的文章,我们系统地解读了 ISO 26262 标准,从词汇、管理到概念、系统、硬件、软件、生产运行、支持过程、ASIL 导向分析、指南、半导体,最后到摩托车,完整地覆盖了汽车功能安全的各个方面。
希望这一系列文章能够帮助读者深入理解和应用 ISO 26262 标准,在汽车电子和摩托车电子的安全工程中发挥重要作用。