第七届(2019)道路车辆功能安全标准及应用国际研讨会

整车信息安全标准与测试方法探讨马文博1刘冬乐21.中国汽车技术研究中心有限公司，天津，3003002.中汽科技（北京）有限公司，北京，100000摘要：汽车智能化发展对汽车信息安全提出了更高要求，完善汽车信息安全标准体系，能够有效管理车辆信息安全。

为此，针对智能网联汽车信息安全问题，梳理了国内外相关现行标准，分析了整车信息安全测试方法，为汽车信息安全的标准制定及测试提供参考。

关键词：汽车信息安全；标准；测试方法；智能网联中图分类号：U467.5收稿日期：2023-07-15DOI：10 19999/j cnki 1004-0226 2023 10 0271前言随着智能化的发展，汽车产业成为国民经济的支柱产业。

汽车智能化给人类带来便捷的同时也存在诸多隐患：2021年4月6日，某车内摄像头高清画面被黑客曝光冲上微博热搜；2022年5月17日，某车钥匙系统被破解，10s内可远程盗走车辆；2020年某车企共享高端车被盗，临时停止了在地区的共享汽车服务；2015年，黑客远程攻击JEEP导致召回140多万辆汽车［1］。

汽车一旦爆发网络安全，将危及财产安全、隐私安全、人身安全，出台汽车信息安全相关标准和法规，完善汽车信息安全技术标准体系，建立统一的标准检测方法，有助于国家安全及社会稳定。

2国内外信息安全法规及标准动态对于汽车信息安全的威胁包括云端威胁、网络传输威胁、车载终端威胁、生态互联威胁四个层面，主要受攻击零部件包括CAN总线、IVI、T-box、云平台、手机APP，对应信息安全风险系数为68%、67%、52%、49%、38%。

世界各国高度重视汽车网络安全，积极推出汽车信息安全政策法规。

2 1国外标准动态对于汽车信息安全标准法规建设，国外起步较早，目前已经出现很多网络信息安全标准［2］。

如表1所示，美国SAE（美国与国际汽车工程师学会）针对汽车在生产过程中全生命周期出现的信息安全问题，制定了SAE J2186-2019和SAE J2836-2018标准，旨在将信息安全融入整个车机系统的开发及更新。

浅谈FMEA在汽车功能安全应用摘要：在汽车行业中，FMEA是一种非常好的质量提升工具。

FMEA分为设计FMEA和过程FMEA，二者实施流程是一样的，都是分为定义功能、故障模式的分析、故障原因的分析、预防/探测措施的制定、风险分析到补偿措施的制定等六个步骤。

本文围绕汽车功能安全方面此质量工具的应用。

关键词：FMEA，质量提升，功能安全Abstract: In the automobile industry, FMEA is a very good quality improvement tool. FMEA is pided into design FMEA and process FMEA, the implementation process of the two is the same, are pided into the definition of function, failure mode analysis, failure cause analysis, prevention/detection measures, risk analysis to the development of compensation measures and other six steps. This paper focuses on the application of this quality tool in automobile functional safety.Key word：FMEA,Quality improvement，Functional safetyFMEA, Fault Modes and Effects Analysis，也称失效模式及影响分析（后果分析），该方法是研究产品的每个组成部分可能存在的故障模式并确定各个故障模式对产品其他组成部分和产品要求功能的影响的一种定性可靠分析法。

公路交通工程安全防护设施的作用和质量控制探讨摘要：近年来，在整个公路交通工程系统中,，安全防护设施扮演着十分重要的角色，安全防护设施能够发挥对公路交通安全的指挥作用，有效地规范交通秩序，从而维护交通运输的安全与高效。

基于此，本文分析了公路交通工程安全防护设施的作用，并分析了公路交通工程安全防护设施施工质量控制对策。

关键词：公路交通工程；安全防护设施；作用；质量控制安全设施属于公路交通工程的重中之重，想要提升交通工程安全设施的质量，就需要对安全设施的作用有深刻认识。

道路通行人员的安全是由安全设施设计的合理与否来决定的，假如设计不合理，那么就会生成极为严重的后果，公路反射镜、公路监控系统等诸多道路安全设施，在一定程度上保护了道路使用人员的安全。

同时，提升道路使用人员的安全意识也是极为重要的，健全的交通设施能够迅速通知道路使用人员的路况现状，使道路使用人员可以提前做好准备，提升道路交通的安全性。

一、公路交通工程安全防护设施的内容（一）护栏基于护栏在公路上的位置存在差异，因此能够把其划分成两个类别：其一，路侧护栏;其二，中央分隔带护栏。

它们的功能便是预防车辆在行驶时发生失控情况和道路两边的物体发生碰撞，如果针对护栏的构造来进行分类的话，那么护栏能分成三类：其一，混凝土护栏;其二，波形梁护栏;其三，缆索护栏。

（二）路侧的发光标志由于在一些特别的时间和特别的气候环境内，光线亮度会受到制约，这就会造成驾驶员的能见度过低，为了有效处置这个问题，在工程内能够运用把荧光材料和反光膜融合的发光标志来处置这个问题。

在我国的交通工程内，对于发光标志的运用是极为广泛的，驾驶员在驾驶汽车时，能够很轻易地就发现发光标志，这有助于帮助驾驶员对接下来的道路情况有清晰地认知，这就有效地提升了行车的安全性。

（三）交通安全标志如若想对公路结构给予保护，使道路的畅通性有所保障，公路交通安全标志是必不可少的。

对于交通标志而言，其能够分成许多种类，比如：车道标志、车距标志等等。

V2X标准分析及测试方法探讨——中国汽车技术研究中心有限公司秦孔建智能网联部仅供参加2019中国汽车工程学会年会暨展览会的会代表阅读，请勿外传！3LTE-V2X 测试方法4NR-V2X 法规现状目录2LTE-V2X 国内外标准及法规现状5NR-V2X 测试方法1C-V2X 基本概念仅供参加 2019 中国汽车工程学会年会暨展览会的会代表阅读，请勿外传！1.1 定义V2X是用于车辆与车辆(V2V)、车辆与基础设施(V2I)、车辆与网络（V2N ）、车辆与人(V2P)之间进行通信的无线通信技术。

V2XV2V Vehicle-to-VehicleV2IVehicle-to-InfrastructureV2NVehicle-to-NetworkV2PVehicle-to-Pedestrian技术本质：对外界发出/收取电磁波信号，获取信息。

工信部2025年目标30% 80% 20%效率提升事故率降低碳排放减少车联网优势典型场景/应用非视距识别远距离通信互联网连接雨雪雾天气红绿灯识别仅供参加2019中国汽车工程学会年会暨展会代表阅读，请勿外传！1.1 定义C-V2X:cellular-V2X ，以蜂窝通信技术为基础的V2X ，3GPP 标准分为LTE-V2X 和NR-V2X 两个阶段。

目前两种无线通信技术：☐DSRC ——基于IEEE 802.11p 标准☐LTE-V2X ——基于3GPP R14 LTE-Apro 标准PC5：V2V/V2I/V2P 直连通信接口短距离（位置、速度、轨迹等信息）Uu ：eNB 与UE 之间通信接口长距离（交通、天气、事故等信息）仅供参加 2019 中国汽车工程学会年会暨展会代表阅读，请勿外传！1.2 典型应用场景分类应用通信类型（Hz）（ms）(m)(m)低时延、高频率前向碰撞预警V2V10100 1.5300盲区/变道辅助V2V10100 1.5150紧急制动预警V2V10100 1.5150逆向超车碰撞预警V2V10100 1.5300闯红灯预警I2V10100 1.5150交叉路口碰撞预警V2V/I2V101005150左转辅助V2V/I2V101005150高优先级车辆让行/紧急车辆信号优先权V2V/V2I101005300弱势交通参与者预警V2P/I2V101005150车辆失控预警V2V101005300异常车辆提醒V2V101005150道路危险状况提示I2V101005300高时延、低频率基于信号灯的车速引导I2V2200 1.5150限速预警I2V15005300车内标牌I2V15005150前方拥堵提醒I2V15005150智能汽车近场支付V2I15005150信息服务交通安全交通效率自动驾驶仅供参加2019中国汽车工程学会年会暨展会代表阅读，请勿外传！2.1 国家支持力度主导部委发文名称发文内容进展发改委《智能网联汽车创新发展战略》2020年：大城市、高速路LTE-V2X覆盖率90%；2025年：高级别智能汽车实现规模化应用，“人-车-路-云”高度协同，5G-V2X基本满足ICV需要；2035年：全民共享“安全、高效、绿色、文明”的智能汽车社会2018年1月5日发布征求意见稿，2018年1月20日收到100多条建议正式稿等待国务院审批工信部国标委《国家车联网产业标准体系建设指南》明确要求LTE-V2X作为广域和中短程智能网联汽车关键技术2018年6月8日发布工信部《车联网（智能网联汽车）产业发展行动计划》2020年，实现LTE-V2X在部分城市主要道路和高速公路的覆盖，开展5G-V2X示范应用；车联网用户渗透率达到30%以上2018年12月25日发布，后续细化并分解到相关司局作为考核指标仅供参加2019中国汽车工程学会年会暨展会代表阅读，请勿外传！2.2 国家标准化管理委员会ICV相关专业标准技术委员会SAC TC业务指导部秘书处业务范围国家标准化管理委员会TC114汽车标委会工业和信息化部中国汽车技术研究中心有限公司汽车、摩托车等专业领域的标准化工作，对接ISO/TC 22国际归口，下设30个专业分标委，2017年12月29日获批成立ICV分标委。

收稿日期：２０１９－１０－１７基金项目：天津市交通运输科技发展计划项目（２０１８－２７）作者简介：刘凌飞（１９９３ ），女，硕士研究生，研究方向为新能源汽车与汽车电子控制技术㊂Ｅ⁃ｍａｉｌ：ｌｉｕｌｉｎｇｆｅｉ１１３０＠１６３ ｃｏｍ㊂ＤＯＩ：１０ １９４６６／ｊ ｃｎｋｉ １６７４－１９８６ ２０１９ １１ ００７基于ＩＳＯ２６２６２标准的ＢＭＳ（ＡＳＩＬＣ）功能安全设计刘凌飞１，李小鹏１，徐征１，沈圣智２（１．天津职业技术师范大学汽车与交通学院，天津３００２２２；２．天津动核芯科技有限公司，天津３００３５０）摘要：随着新能源汽车的发展逐步趋于电气化和智能化，其电子控制器的数量不断增加，电子控制器的功能安全成为影响新能源汽车安全性的首要问题㊂旨在将标准ＩＳＯ２６２６２－３：２０１８的开发要求，应用到动力电池管理系统的功能安全开发中㊂通过对动力电池的管理系统进行功能和结构分析，结合应用场景和危险辨识分析得到系统的潜在危害，提出了电池管理系统（ＢＭＳ）的安全目标及功能安全需求㊂根据动力电池过放危害，进行危害分析与风险评估以确定ＢＭＳ的汽车完整性等级（ＡＳＩＬ），并提出了一种分解其ＡＳＩＬ以降低开发成本的方法㊂关键词：新能源汽车；ＢＭＳ；ＩＳＯ２６２６２标准；ＡＳＩＬ中图分类号：Ｕ４６９㊀㊀文献标志码：Ｂ㊀㊀文章编号：１６７４－１９８６（２０１９）１１－０３０－０４ＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙＤｅｓｉｇｎｏｆＢＭＳ（ＡＳＩＬＣ）ＢａｓｅｄｏｎＩＳＯ２６２６２ＳｔａｎｄａｒｄＬＩＵＬｉｎｇｆｅｉ１，ＬＩＸｉａｏｐｅｎｇ１，ＸＵＺｈｅｎｇ１，ＳＨＥＮＳｈｅｎｇｚｈｉ２（１．ＳｃｈｏｏｌｏｆＡｕｔｏｍａｔｉｏｎａｎｄＴｒａｎｓｐｏｒｔａｔｉｏｎ，ＴｉａｎｊｉｎＵｎｉｖｅｒｓｉｔｙｏｆＴｅｃｈｎｏｌｏｇｙａｎｄＥｄｕｃａｔｉｏｎ，Ｔｉａｎｊｉｎ３００２２２，Ｃｈｉｎａ；２．ＴｉａｎｊｉｎＤｏｎｇＨｅＸｉｎＴｅｃｈｎｏｌｏｇｙＣｏ．，Ｌｔｄ．，Ｔｉａｎｊｉｎ３００３５０，Ｃｈｉｎａ）Ａｂｓｔｒａｃｔ：Ａｓｔｈｅｄｅｖｅｌｏｐｍｅｎｔｏｆｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅｓｇｒａｄｕａｌｌｙｂｅｃｏｍｅｓｅｌｅｃｔｒｉｆｉｅｄａｎｄｉｎｔｅｌｌｉｇｅｎｔ，ｔｈｅｎｕｍｂｅｒｏｆｅｌｅｃｔｒｏｎｉｃｃｏｎｔｒｏｌｌｅｒｓｉｓｉｎｃｒｅａｓｉｎｇ，ｔｈｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｏｆｔｈｅｅｌｅｃｔｒｏｎｉｃｃｏｎｔｒｏｌｌｅｒｉｓｔｈｅｆｉｒｓｔｐｒｏｂｌｅｍｔｏａｆｆｅｃｔｔｈｅｓａｆｅｔｙｏｆｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅｓ．ＡｉｍｓｔｏａｐｐｌｙｄｅｖｅｌｏｐｍｅｎｔｒｅｑｕｉｒｅｍｅｎｔｓｏｆＩＳＯ２６２６２－３：２０１８ｔｏｔｈｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｄｅｖｅｌｏｐｍｅｎｔｏｆｐｏｗｅｒｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍｓ．Ｔｈｒｏｕｇｈｔｈｅｆｕｎｃｔｉｏｎａｌａｎｄｓｔｒｕｃｔｕｒａｌａｎａｌｙｓｉｓｏｆｔｈｅｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍｏｆｔｈｅｐｏｗｅｒｂａｔｔｅｒｙ，ｃｏｍｂｉｎｅｄｗｉｔｈｔｈｅｓｃｅｎｅａｎａｌｙｓｉｓａｎｄｈａｚａｒｄｉｄｅｎｔｉｆｉｃａｔｉｏｎｔｏｄｅｒｉｖｅｔｈｅｐｏｔｅｎｔｉａｌｈａｚａｒｄｏｆｔｈｅｓｙｓｔｅｍ，ｔｈｅｓａｆｅｔｙｏｂｊｅｃｔｉｖｅｓａｎｄｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｒｅｑｕｉｒｅｍｅｎｔｓｏｆｔｈｅｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍ（ＢＭＳ）ｗｅｒｅｐｒｏｐｏｓｅｄ，ａｎｄｔｈｅｈａｚａｒｄｗａｓｂａｓｅｄｏｎｔｈｅｏｖｅｒ⁃ｄｉｓｃｈａｒｇｅｏｆｔｈｅｐｏｗｅｒｂａｔｔｅｒｙ．Ｈａｚａｒｄａｎａｌｙｓｉｓａｎｄｒｉｓｋａｓｓｅｓｓｍｅｎｔｏｆｏｖｅｒ⁃ｄｉｓｃｈａｒｇｅｏｆｐｏｗｅｒｂａｔｔｅｒｙｔｏｄｅｔｅｒｍｉｎｅｔｈｅａｕｔｏｍｏｔｉｖｅｓａｆｅｔｙｉｎｔｅｇｒａｔｉｏｎｌｅｖｅｌ（ＡＳＩＬ）ｏｆＢＭＳａｎｄｐｒｏｐｏｓｅａｗａｙｔｏｄｅｃｏｍｐｏｓｅｉｔｓＡＳＩＬｔｏｒｅｄｕｃｅｄｅｖｅｌｏｐｍｅｎｔｃｏｓｔｓ．Ｋｅｙｗｏｒｄｓ：Ｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅ；Ｂａｔｔｅｒｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍ（ＢＭＳ）；ＩＳＯ２６２６２Ｓｔａｎｄａｒｄ；Ａｕｔｏｍｏｔｉｖｅｓａｆｅｔｙｉｎｔｅｇｒａｔｉｏｎｌｅｖｅｌ（ＡＳＩＬ）０㊀引言随着汽车上电子／电气（Ｅ／Ｅ）系统的复杂性不断提高，系统失效和随机硬件失效的风险也不断增加㊂据不完全统计，截至２０１９年上半年，由于动力蓄电池所引发的电动汽车自燃事故已高达４０余起㊂动力蓄电池系统作为新能源汽车的能源系统，承担能量的存储与释放，其内部的电子控制器的功能安全直接影响动力蓄电池的安全性㊂为提高汽车的安全性，针对汽车功能安全，国际标准化组织ＩＳＯ于２０１８年发布了第二版ＩＳＯ２６２６２道路车辆功能安全标准［１］㊂电池管理系统（ＢａｔｔｅｒｙＭａｎａｇｅｍｅｎｔＳｙｓｔｅｍ，ＢＭＳ）作为动力蓄电池的核心电子控制器，在其系统功能安全设计过程中应用ＩＳＯ２６２６２标准要求，将有利于提高其安全性㊂本文作者根据ＩＳＯ２６２６２标准中的危害分析和风险评估方法，介绍了汽车完整性等级（ＡｕｔｏｍｏｔｉｖｅＳａｆｅｔｙＩｎｔｅｇｒａｔｉｏｎＬｅｖｅｌ，ＡＳＩＬ）的确定方法，介绍了ＡＳＩＬ分解的原则，并以ＢＭＳ的等级确定及分解为示例进行介绍㊂１㊀道路车辆功能安全标准ＩＳＯ２６２６２２０１８年基于ＩＥＣ６１５０８安全相关电气／电子／可编程电子系统功能安全，ＩＳＯ２６２６２被制定㊂它是针对公路车辆内的电子／电气系统的汽车开发行业标准［１］，包括了汽车电子电气在安全生命周期的开发过程中与安全相关的所有活动的要求㊂从而确保具备安全功能的电子产品的性能，在车辆使用过程中，即使出现功能性失效的情况，车辆也不会发生危险㊂ＩＳＯ２６２６２：２０１８标准体系由１２个子标准组成，其中Ｒｏａｄｖｅｈｉｃｌｅｓ：Ｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙ：Ｐａｒｔ１２是针对摩托车定制的［１］㊂Ｐａｒｔ１ Ｐａｒｔ１１的内容如图１所示，其中第４㊁５㊁６部分，兼容 Ｖ 形开发流程图［４］，其结构框图如图１所示㊂图１㊀ＩＳＯ２６２６２：２０１８标准结构依据ＩＳＯ２６２６２标准进行功能安全设计时，需要进行危害分析和风险评估㊂根据系统的功能，可采用ＨＡＺＯＰ㊁ＦＭＥＡ㊁头脑风暴等方法，结合故障可能会出现的情景进行功能故障分析㊂功能故障和驾驶场景的组合称作危害事件㊂危害事件确定后，依据严重度㊁暴露率和可控性评估危害事件的风险级别 汽车完整性等级（ＡＳＩＬ）㊂其中，严重度是驾驶员㊁乘员或者行人等涉险人员在危害事件中遭受伤害的程度；暴露率是指人员处于失效系统所致的危害场景中的概率；可控性是指驾驶员或其他涉险人员通过相应的应急措施，避免事故或伤害的可能性㊂这３个因子的分类及等级评定如表１所示㊂ＡＳＩＬ设置有４个等级，如表２所示㊂其中Ｄ等级的级别最高㊁Ａ等级最低；ＱＭ表示质量管理，表示只需按照质量管理体系进行系统或功能的开发，不再需要考虑其他安全相关的设计［２］㊂ＡＳＩＬ等级越高，意味着对系统安全性的要求越高㊂表１㊀严重度㊁暴露率㊁可控性分类㊀㊀㊀㊀㊀㊀严重度㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀暴露率㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀可控性㊀㊀㊀㊀㊀㊀㊀等级描述等级描述等级描述Ｓ０无伤害Ｅ１很低的概率（＜１％）Ｃ０完全可控（＞９９％驾驶员）Ｓ１轻度和中度伤害Ｅ２低概率（１％）Ｃ１简单可控（＞９９％驾驶员）Ｓ２严重伤害（有生还可能）Ｅ３中度概率（１％ １０％）Ｃ２一般可控（＞９９％驾驶员）Ｓ３致命伤害Ｅ４高概率（＞１０％）Ｃ３很难控制（＜９９％驾驶员）表２㊀ＡＳＩＬ等级确定严重性等级危险可能性等级可控性等级Ｃ１Ｃ２Ｃ３Ｓ１Ｅ１ＱＭＱＭＱＭＥ２ＱＭＱＭＱＭＥ３ＱＭＱＭＡＥ４ＱＭＡＢＳ２Ｅ１ＱＭＱＭＱＭＥ２ＱＭＱＭＡＥ３ＱＭＡＢＥ４ＡＢＣＳ３Ｅ１ＱＭＱＭＱＭＥ２ＱＭＡＢＥ３ＡＢＣＥ４ＢＣＤ可将风险Ｒ描述为危险事件的功能函数Ｆ㊂风险Ｒ与危害事件的发生频率ｆ㊁通过人的及时反应而避免损害或损伤的可控性Ｃ以及潜在的严重程度Ｓ有关，其函数可表示为Ｒ＝Ｆ（ｆ，Ｃ，Ｓ）（１）式中ｆ是危害事件的暴露率Ｅ发生概率λ的函数㊂发生的频率ｆ由以下２个因素确定：（１）需要考虑危害事件的发生频繁度和危害事件涉及的人数，该因素可用危害事件的暴露率Ｅ来代替㊂（２）可能导致危险事件的产品故障率λ，该因素受限于硬件随机故障和系统性故障㊂其表达式如式（２）所示㊂ｆ＝Ｅλ（２）２㊀ＢＭＳ的等级评定２ １㊀市场车型定位ＢＭＳ是保护动力电池的使用安全和使用寿命的控制系统㊂通常具有上电自检，对电压㊁电流㊁温度数据进行采样监测，均衡管理，绝缘监控，状态估计（ＳＯＣ㊁ＳＯＨ等），高压回路控制，故障诊断，通信，热管理等功能［３］㊂ＢＭＳ需时刻监控电池的状态，通过检测单体电池的电压㊁电流及温度值，估算动力电池的ＳＯＣ㊁ＳＯＨ等值，以确定动力电池的安全状态㊂ＢＭＳ内部的逻辑计算与控制策略可以防止电池出现过度充电和过度放电的现象，缓解电池组的不一致性，提高电池的利用率［４］，保障动力蓄电池的使用安全㊂动力电池系统的ＢＭＳ控制模块，可分为数据采集与数据通信㊁处理模块，如图２所示㊂该系统由一个主控单元和多个从控单元组成，其中从控单元主要负责单体电压信号采集与均衡处理，主控单元主要负责数据的运算处理㊁系统高压通断㊁热管理及与ＶＣＵ进行信息交互等㊂图２㊀电动汽车的动力电池系统２ ２㊀ＢＭＳ的危害分析与风险评估对ＢＭＳ进行危害分析与风险评估时，可将ＢＭＳ作为一个独立单元，在不考虑其他整车要素的情况下进行㊂首先要对ＢＭＳ的功能及结构进行分析，可以采用概念阶段所定义的安全生命周期的方法来定义ＢＭＳ的工作环境和工作状况㊂根据ＢＭＳ的工作状态，分析其失效或故障状态下可能发生的危害㊂针对ＢＭＳ的危害至少确定一个安全目标，再根据ＢＭＳ的安全目标确定其ＡＳＩＬ等级㊂安全目标是最高层面的安全要求，也是危害分析和风险评估的结果［１］㊂结合ＢＭＳ在动力电池系统中的工作状态，ＢＭＳ电子控制器的危险动作主要包含过充㊁过放㊁低温充电㊁过度冷却／加热㊁接触器非正常断开／接合㊁过流等㊂以ＢＭＳ失效为例，该危险事件的危害有：（１）在行驶过程中，ＢＭＳ失效出现电池过放，引起电池组内部短路和电池包着火㊂（２）高速行驶过程中，高压回路被切断，导致车辆失去动力［２］㊂（３）车辆充电时，由于ＢＭＳ失效不能保护动力电池，发生过充现象等㊂高速行驶㊁充电是每天都会发生的事情㊂对于不同的失效危害可采取相应的措施，如车辆失去动力后，驾驶员可依靠惯性将车辆驶离主车道，将车辆停靠在路边等待维修处理；车辆充电时着火，驾驶员及乘客可通过门窗逃生等，以保障车辆上人员的生命安全㊂即使危害相同，在不同场景下发生的风险也是不同的，所以需要对不同的驾驶场景进行针对性分析㊂为了简化问题，文中仅对 高速行驶过程中，ＢＭＳ失效引发电池组过放 这种功能故障进行风险评估㊂根据以上分析，ＢＭＳ风险评估结果如表３所示㊂驾驶场景是正常道路高速行驶㊂对于同一个安全目标，如果出现评估的ＡＳＩＬ等级不同时，要选择最高的ＡＳＩＬ评定值㊂城市工况低速行驶时，其ＡＳＩＬ的等级会比高速行驶的评定等级低㊂通过以上分析，得出ＢＭＳ系统的安全目标为防止电池过放，ＡＳＩＬ等级为Ｃ㊂安全目标确定后，即可确定ＢＭＳ在系统级别的安全需求，安全需求需继承安全目标的ＡＳＩＬ等级，并分配至ＢＭＳ的硬件和软件设计中㊂根据ＢＭＳ的ＡＳＩＬＣ的等级要求，在其硬件及软件的开发设计过程中，需要继承ＡＳＩＬＣ等级的设计需求㊂表３㊀ＢＭＳ风险评估评估项结果及描述可控性分类说明驾驶员可将车辆驶离主车道并停车，通过车门㊁车窗逃生分类值Ｃ３严重度分类说明电池组着火，对行人及驾驶员造成严重伤害分类值Ｓ２暴露率分类说明高速㊁加速行驶每天都会发生分类值Ｅ４ＡＳＩＬＣ３　ＢＭＳ的ＡＳＩＬ分解ＩＳＯ２６２６２规定，应为每一个安全目标定义至少一项功能安全需求，每条功能安全需求从相关的安全目标继承最高的ＡＳＩＬ，然后将功能安全需求分配给相关项㊂由于在实际的生产过程中需要考虑生产成本，ＡＳＩＬ的等级越高生产成本越高［５］㊂为了降低安全目标的实施成本，可将一个高ＡＳＩＬ等级的安全目标分解为两个相互独立的较低级的安全目标㊂ＩＳＯ２６２６２标准的第９部分中提出了在满足安全目标的前提下降低ＡＳＩＬ等级的ＡＳＩＬ分解方法［１］㊂３ １㊀ＡＳＩＬ的分解原则如果将一个安全需求分解为两个冗余的安全需求，则原来的安全需求的ＡＳＩＬ等级可以分解到两个冗余的安全需求上［１］㊂由于只有当两个安全需求同时不达标时，才会引发系统失效，所以冗余安全需求的ＡＳＩＬ等级可以比原始的ＡＳＩＬ等级低㊂ＡＳＩＬ分解时，分解对象应具有独立性，否则冗余单元需遵循原始的等级进行开发［１］㊂下面介绍ＢＭＳ的ＡＳＩＬ分解过程㊂假设ＢＭＳ的功能实现过程中，将传感器测量到的电压㊁电流及温度信号作为ＢＭＳ的输入信号，分别记为Ｓ１㊁Ｓ２㊁Ｓ３㊂这３个输入信号是由相互独立的传感器分别检测出的㊂ＭＣＵ将运算后的输入信号，转化为触发信息并发送给执行器㊂其功能的架构示意如图３所示㊂假设经过危害分析和风险评估后，ＢＭＳ的ＡＳＩＬ等级为ＡＳＩＬＣ，安全目标为避免非预期触发执行器，那么ＢＭＳ的各个部分均继承ＢＭＳ的ＡＳＩＬ，即传感器㊁ＭＣＵ㊁执行器都需要按照ＡＳＩＬＣ的等级开发，如图３所示㊂图３㊀ＡＳＩＬ等级在ＢＭＳ功能架构上的分配ＡＳＩＬ的分解可以在功能安全概念㊁系统设计㊁硬件设计㊁软件设计阶段等多个阶段进行㊂在将一个高ＡＳＩＬ分解为几个较低级的ＡＳＩＬ部分时，分解部分的括号里的字母为原始需求的ＡＳＩＬ等级㊂例如ＡＳＩＬＣ等级分为ＡＳＩＬＢ（Ｃ）和ＡＳＩＬＡ（Ｃ）两个分部分，或者ＡＳＩＬＣ等级还可以分解为ＡＳＩＬＣ（Ｃ）和ＡＳＩＬＱＭ（Ｃ）等，如图４所示㊂ＡＳＩＬ等级可分多次进行分解，比如ＡＳＩＬＣ分解为ＡＳＩＬＢ（Ｃ）和ＡＳＩＬＡ（Ｃ），ＡＳＩＬＢ（Ｃ）还可以分解为ＡＳＩＬＢ（Ｃ）和ＱＭ（Ｃ）［１］，如图５所示㊂图４㊀ＡＳＩＬＣ分解原理图５㊀ＡＳＩＬＢ分解原理３ ２㊀ＢＭＳ的ＡＳＩＬ分解以预防过放功能为例，在动力电池运行过程中，为了防止动力电池出现过放现象，可以通过ＢＭＳ计算出动力电池的ＳＯＣ，并判断ＳＯＣ值是否在安全范围内［４］㊂如果电池的ＳＯＣ过低，就存在电池过放的趋势，需要将该信息发送给其他控制单元，以提示整车做出对应措施㊂除此之外，当ＢＭＳ检测到电池处于深度放电的状态时，可以断开高压回路，以阻断放电电流㊂因此，为达到防止电池组中的一个或多个电池深度放电的安全目标，需要达到以下安全需求：（１）确定电池组的ＳＯＣ并传达给其他控制器㊂如果电池组的ＳＯＣ不在规定的操作范围内，系统需要跟踪到电池的能量流并做出反应㊂此外，如果超出了电池组ＳＯＣ的限定值，则应将该信息传达到车辆的其他系统㊂（２）如果检测到深度放电状态，则应在较短的时间内切断放电电流㊂为保护电池免受损坏并防止深度放电（深度放电可使电池内部短路并导致热事件和火灾）引起的危险后果，如果检测到深度放电状态，系统应切断放电电流㊂根据以上需求分析，结合ＢＭＳ的工作环境及ＢＭＳ与内㊁外部部件之间的联系进行需求分配㊂假设动力电池的负载只有驱动电机，那么ＢＭＳ需要实现与电池组及电力电子控制单元之间的交流，即处理电池组内电芯的数据，接收电力电子控制单元的信息，根据数据进行决策判断㊂因此，可将ＢＭＳ的安全目标分解为断开高压回路和负载需求降为零，且这两个功能安全需求是相互独立的㊂将ＢＭＳ的ＡＳＩＬＣ等级分别分配至ＢＭＳ及其他电力电子控制器的功能需求，分解情况如图６所示㊂图６㊀预防过放目标的ＡＳＩＬ分解经过分解后，较高的ＡＳＩＬＣ的ＢＭＳ安全目标，被分解为按照ＡＳＩＬＢ（Ｃ）等级设计的ＢＭＳ功能安全需求及按照ＡＳＩＬＡ（Ｃ）等级设计的电力电子控制器㊂通过对功能安全需求的分配与分解，使得ＢＭＳ功能逻辑及开发变得简单，整体成本得以降低㊂４㊀结语以ＢＭＳ为例介绍了ＩＳＯ２６２６２标准中安全目标及其ＡＳＩＬ等级确定的方法㊂如果产品的安全需求的ＡＳＩＬ等级较高，成本高，可通过ＡＳＩＬ分解以降低ＡＳＩＬ等级，降低生产成本㊂在分解的过程中，遵循安全目标的ＡＳＩＬ等级在被开发阶段的安全需求继承的原则㊂以ＢＭＳ预防过放为例，介绍了ＡＳＩＬ的分解原则和步骤㊂通过对功能及结构进行分析，对系统的架构进行调整，实现了ＡＳＩＬ的分解㊂为针对ＡＳＩＬ等级高而带来的开发成本高㊁开发周期长及技术要求高等方面的问题，提供了一种解决方法㊂参考文献：［１］ＲｏａｄＶｅｈｉｃｌｅｓＦｕｎｃｔｉｏｎａｌＳａｆｅｔｙ：ＩＳＯ／ＤＩＳ２６２６２［Ｓ］．ＧｅｎｅｖａＩＥＣ，２０１８．［２］朱叶．基于ＩＳＯ２６２６２的动力电池系统高压功能安全概念［Ｊ］．汽车零部件，２０１３（１０）：９７－１００．ＺＨＵＹ．ＨｉｇｈｖｏｌｔａｇｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｃｏｎｃｅｐｔａｂｏｕｔｂａｔｔｅｒｙｓｙｓｔｅｍｂａｓｅｄｏｎＩＳＯ２６２６２ｐｅｒｓｐｅｃｔｉｖｅ［Ｊ］．ＡｕｔｏｍｏｂｉｌｅＰａｒｔｓ，２０１３（１０）：９７－１００．［３］李晓宇．电动汽车电池管理系统测试平台的研制［Ｄ］．哈尔滨：哈尔滨工业大学，２０１３．［４］印凯．基于功能安全的ＢＭＳ设计方法及其可靠性的研究［Ｄ］．上海：上海交通大学，２０１７．［５］彭忆强，芦文峰，邓鹏毅，等．新能源汽车 三电 系统功能安全技术现状分析［Ｊ］．西华大学学报（自然科学版），２０１８，３７（１）：５４－６１．ＰＥＮＧＹＱ，ＬＵＷＦ，ＤＥＮＧＰＹ，ｅｔａｌ．Ａｎａｌｙｓｉｓｏｆｓｔａｔｅｏｆｔｈｅａｒｔｆｏｒｎｅｗｅｎｅｒｇｙｖｅｈｉｃｌｅｆｕｎｃｔｉｏｎａｌｓａｆｅｔｙｔｅｃｈｎｏｌｏｇｉｅｓ［Ｊ］．ＪｏｕｒｎａｌｏｆＸｉｈｕａＵｎｉｖｅｒｓｉｔｙ（ＮａｔｕｒａｌＳｃｉｅｎｃｅＥｄｉｔｉｏｎ），２０１８，３７（１）：５４－６１．。

C-NCAP 2019年第1号2号试验结果发布
C-NCAP（中国新车评价程序）是中国政府为了提高汽车安全性能而推出的汽车碰撞测
试评级体系。

2019年的第一号和第二号试验结果已经发布，下面将对相关结果进行详细介绍。

第一号试验是关于2019款起亚KX7 SUV的测试。

这款车在正面碰撞测试中获得了5星评级，侧面碰撞测试中获得了4星评级，而针对行人保护，它获得了3星评级。

起亚KX7 SUV在C-NCAP测试中表现良好，得到了较高的评价。

C-NCAP 2019年的第一号和第二号试验结果显示，中国汽车制造商和国际汽车品牌在
汽车安全性能方面都取得了显著进步。

这也说明中国汽车市场对于汽车安全性能的重视程
度越来越高。

不仅仅是汽车制造商，政府和相关机构在推动汽车安全性能方面也起到了重要的作用。

C-NCAP评级体系的建立和持续进行的碰撞测试，有助于确保汽车在交通事故中能够提供更高的安全性能。

这对于保护乘车人员的生命安全至关重要。

尽管有了这些积极进展，我们不能忽视汽车安全性能面临的挑战。

汽车制造商需要不
断创新和改进，以应对新的安全风险和需求。

政府和相关机构也需要加大力度，加强对汽
车安全性能的监管和监测，确保汽车市场的安全性能得到持续提高。

■文/郑茂宽 张舜卿夯实智慧道路数字底座，构建车路协同新体系车路协同时代的智慧道路数字底座是一种新型的交通信息基础设施，新基建政策的出台对实现国家生态化、数字化、智能化和高速化转型有着极为重要的意义，对夯实智慧道路数字底座、构建车路协同新体系也有着深远的影响。

中美自动驾驶的路线之争自动驾驶汽车通常是指一种通过计算机及自动控制系统实现无人驾驶的智能汽车，也被称为无人驾驶汽车或者轮式移动机器人。

尽管早在20世纪60年代人们就已经提出自动驾驶汽车的概念，但是真正将自动驾驶技术推进到汽车工业无法忽视地步的还是要归功于谷歌公司2009年启动的自动驾驶汽车项目。

为了更加有序地推进自动驾驶汽车的实用化，美国高速公路安全管理局(NHTSA)和国际自动机工程师学会(SAE)分别提出了自动驾驶的不同等级，并获得了全球汽车行业的公认（见表1）。

实现自动驾驶汽车的技术路径主要有2条，即单车智能和车路协同。

单车智能主要是指通过高清摄像头、激光雷达等车载传感器和智能化的决策算法来提供自动驾驶的能力，具有对道路依赖性弱、车辆升级改装容易的特点。

这是美国在人工智能领域，特别是智能化决策算法方面技术优势的集中体现。

同时，单车智能也催生了一批提供该技术的美国企业，如Waymo、优步、特斯拉等。

车路协同主要是指利用5G 等车载网络传感器配合高精地图来感知路况，从而表 1 自动驾驶技术分级说明自动驾驶分级名称定义驾驶操作周边监控接管应用场景NHTSA SAE L0L0人工驾驶由人类驾驶者全权驾驶汽车人类驾驶员人类驾驶员人类驾驶员无L1L1辅助驾驶车辆对方向盘和加减速中的一项操作提供驾驶，人类驾驶员负责其余的驾驶动作人类驾驶员和车辆人类驾驶员人类驾驶员限定场景L2L2部分自动驾驶车辆对方向盘和加减速中的多项操作提供驾驶，人类驾驶员负责其余的驾驶动作车辆人类驾驶员人类驾驶员L3L3条件自动驾驶由车辆完成绝大部分驾驶操作，人类驾驶员须保持注意力以备不时之需车辆车辆人类驾驶员L4L4高度自动驾驶由车辆完成所有驾驶操作，人类驾驶员无须保持注意力，但限定道路和环境条件车辆车辆车辆L4完全自动驾驶由车辆完成所有驾驶操作，人类驾驶员无须保持注意力车辆车辆车辆所有场景封面文章COVER STORY注：NHTSA 为美国高速公路安全管理局；SAE 为国际自动机工程师学会。

推荐性国家标准《电动汽车用电池管理系统功能安全要求及试验方法》征求意见稿编制说明1工作简况1.1.任务来源新能源汽车产业快速发展的同时所带来的诸如电动汽车冒烟、起火、爆炸等安全事故和隐患，除了电池本身设计与制造方面的缺陷，更大程度上与作为电动汽车动力电池系统的“大脑”同时也是三大核心技术之一的电池管理系统（BMS）密切相关。

电池管理系统（BMS）发生故障、功能失效将会引起电池发生过充、过放、过流、过温的风险，进而使电池内部出现放热连锁反应，引起电池温升速率急剧变化的过热现象，即热失控，导致电动汽车的自燃或爆炸，对车内外人员造成伤害，属于电控系统功能安全领域范畴，应遵循GB/T 34590《道路车辆功能安全》给出的方法，制定相应的安全措施以避免危害的发生。

2015年7月，工信部下达《关于汽车安全标准体系建设》，明确强调以功能安全技术和标准为重点，完善我国汽车安全标准体系。

2016年1月，工信部进一步提出要求，就新能源汽车电池管理系统、充电系统安全隐患与功能安全技术的关系、预防处理措施开展研究。

制定新能源汽车电控系统功能安全技术开发、测试评价标准规范。

2016年1月，工信部下达了《整车及关键电控系统功能安全ASIL等级及测试评价规范研究》（工装函[2016]190号文）的任务，由中国汽车技术研究中心牵头，组织行业开展基于我国道路交通状况、场景、驾驶习惯等因素的关键电控统S/E/C参数、ASIL等级以及功能安全测试评价规范的研究工作，研究范围涵盖转向、制动、新能源三电、ADAS系统及自动驾驶系统等。

2016年8月，质检总局、国标委、工信部印发《装备制造业标准化和质量提升规划》，提出在节能与新能源汽车领域，加快构建包括整车及关键系统部件功能安全和信息安全在内的汽车安全标准体系。

2017年7月14日，国家标准化管理委员会发布了GB/T《电动汽车用电池管理系统功能安全要求》标准制定计划（国标委综合（2017）77号），计划编号为20171041-T-339，主要起草单位包括中国汽车技术研究中心有限公司等。