2025年3月26日-28日，2025商用車產業發展會議在湖北省十堰市舉辦。本次會議由中國汽車工業協會主辦，以“開辟新賽道，匯聚新動能——發展商用車產業新質生產力”為主題，采用“1+1+6+N”模式，即1場閉門會議，1場開幕式暨主旨會議，6個主題分會場和其他相關對接、展示等活動，旨在深入分析商用車發展面臨的新機遇、新挑戰，探討商用車產業未來發展的新趨勢、新方向。其中，在3月27日下午舉辦的“主題分會場三：商用車安全與可靠性技術”上，招商局檢測車輛技術研究院有限公司、智能安全測試研究室主任曾杰發表精彩演講。以下內容為現場發言實錄

感謝本次會議的主辦方，感謝各位業界同仁，大家下午好！我是曾杰，來自招商局車研。今天我要分享的主題是：商用車功能安全開發及測試驗證經驗和我們的一些思考。

我本人主要是長期從事功能安全這塊的研究工作，接下來主要從五個方面向大家進行介紹。

首先是公司介紹，我們招商車研是一家主要做法規測試業務的公司。

我們主要有五大業務方向：法規檢測、委托、工程技術研發、標準制定、政策咨詢。

招商車研在功能安全這塊的服務領域，我們現在已經授權了多項的法規的資質，包括未來我們成立了招商致遠的認證公司，正在做功能安全體系認證方面的業務，推出了相關的產品。

這是我們開發方面的驗證實例，包括我們有硬件在環、整車在環、實車測試。

接下來進行行業趨勢挑戰的介紹。功能安全和預期功能安全，在系統電子電氣架構故障下面的時候可能會導致的一些危害或者是風險，而預期功能安全主要是性能的局限性或人為的誤用。功能安全理論上來講我們可以通過冗余的設計或者是降低我們系統操作的極限的限值去進行不合理風險的避免，而預期功能安全的問題可能會長期存在。

商用車電子電氣架構進展的趨勢，從理論上來講現在也是從分布式的域控向域集中的架構進行發展，這樣帶來的優勢就是各個功能之間的協調會變得更好，同時我們把OTA的優勢也加入到了集中架構下面去。在未來，高端商用車我們也相信中央集中式的架構也會給我們帶來非常多的優勢，包括可以減少線束的使用。

EI架構高暴露度的風險，因為電子電氣系統架構越復雜，我們可能會帶來更多的功能安全問題的暴露，這一塊增加功能安全設計和測試的成本也會提升。第二個是通信方面的風險，有可能發生通信上面的錯誤，我們要做更多的測試和驗證。第三方面是單點失效的風險，比如說現在集中式的架構，假設ECU發生了單點失效，這塊我們可能會加強整個冗余設計。第四個方面是OTA的可靠性，這塊可能會帶來刷寫失敗的風險。

我們總結了功能安全開發領域里面，商用車與乘用車有一些區別。第一個就是商用車的運行場景和乘用車是不太一樣的，商用車更加面向于比如說干線的物流或者是重載的運營模式，它的運行環境更加復雜，可能會帶來更高暴露度的功能安全的問題。第二個就是安全目標可能會存在一些不同，因為乘用車的設計可能更多考慮的是安全和舒適之間的平衡，商用車要關注一些基礎方面的東西。第三個就是側重點可能不太一樣，商用車更多要關注的是基礎，比如說轉向、制動方面的安全冗余的設計，而乘用車要注重的是駕駛體驗。

商用車的功能安全設計可能會帶來三個方面的挑戰，第一個最主要的就是開發成本的上升，做功能安全地在主機廠的內部體系里面是比較被討厭的一幫人，因為它的價值在某些程度上是不易于被展現的，反而會給產品開發帶來更多制約的因素，比如說芯片會上更高的等級，一些冗余設計就會帶來更多的生產成本的問題，還有培養一個功能安全專門的開發團隊也是一種挑戰。第二個是我們的設計難度，因為這塊有一些創新的設計在里面，我們團隊必須要有相關的設計背景。第三個就是駕駛體驗方面的限制，比如說我們假如思考了功能安全的問題在里面過后，比如說AEB，它可能的最大減速度的限制會被限制在一個合理的范圍之內。

接下來介紹一下商用車功能安全開發方面的思考。

第一個我們要考慮的是商用車它本身的功能安全開發和乘用車開發的差異性，也就是從應用場景進行分析，我們的載荷，包括冗余架構的設計，因為乘用車它可能會采用更加靈活的一些冗余設計，而商用車更加偏向于可靠性方面的設計，比如說剛才萬安的領導也介紹過，EMB的功能安全設計的方法。在乘用車，我在前兩個月審查了比亞迪仰望系列的線控轉向制動系統，因為當前沒有一個標準去過公告，仰望系列相當于線控轉向系統，它的功能安全目標的實現，假設我們在發生線控轉向失效的時候靠的四個獨立驅動的電機實現扭矩轉向，即使在失效情況下仍然可以把車輛在某一個橫向加速度控制范圍之內靠邊停車這種安全目標的實現。

從功能安全開發的角度出發，我們認為主要遵從的體系還是ISO26262和34590的方法。

在功能安全概念設計、功能安全等級的確定，最終會導出相關系統的需求。

舉個例子，整車在做HARA分析的時候，要關注駕駛員的操作，在這些場景下面進行危害場景的分析，包括嚴重度、暴露度、可控度。在嚴重度這塊可以使用一些歷史的經驗，包括碰撞的數據，比如說追尾卡車，追尾其他車型的測試結果。暴露度可以根據我們長期開發過程當中的一些歷史的經驗去把失效的概率給暴露出來。可控度可以根據當前的一些測試結果，比如說現在我們的可控度的測試，我們在乘用車上面已經做了非常多的工作，但商用車可控度測試驗證非常困難，我之前也做了ESC主觀方面的評價，有可能會導致這種車型的翻車。

在功能安全概念階段的設計過后，我們會導出一些安全目標，導出安全目標過后，我們會根據我們系統具體的架構輸出我們功能安全的需求，下沉到每一個子系統的層面，這樣我們就可以把整個功能安全的理念給執行下去。

在功能安全概念設計階段有一個非常重要的指標，就是故障的FTTI的容錯時間，它表示從故障發生到相關項可能發生危害事件最短的時間間隔，比如說我舉的例子叫非移區轉向，這個事件最短容錯時間的計算有三種方法：第一種就是基于理論分析的方法進行計算，比如說我們列一些動力學的公式進行計算；第二種方法叫故障注入的方法；第三種是直接根據前面的開發經驗進行FTTI的計算。

在軟硬件設計層面，硬件層面還是要去做一些硬件的功能安全概念實現的設計，包括分析硬件潛在失效的模式和影響。在軟件層面要去協同軟件功能的設計，包括軟件機制的設計。最重要的就是軟硬件的結合，這樣可以降低我們的成本。因為功能安全設計不是一味去做冗余或者是去做軟件方面的監控，更多的是一種成本方面的考慮。

因為自動駕駛在商用車和乘用車它的應用都非常多，特別是在不同自動駕駛等級下面這個功能安全設計需求是完全不一樣的。比如說我們在L1、L2駕駛輔助系統層面的時候，責任核心是在人員，即使我們發生了一些功能失效，人員應該也及時進行接管，這一塊主要考慮的就是駕駛員的可控度，如果我們的可控度越高，理論上來講在發生危害事件的時候功能安全等級就會越低。在L3這個系統的時候有一個非常關鍵的臨界點，就是我們駕駛責任的轉移，比如說從L2到L3，L3的責任里面有一個人機共駕的過程，這一塊就需要把駕駛的責任部分歸屬給車輛或者是駕駛員，這里面就需要設計后備策略，這塊即使我們發生了故障，這個后備策略在芯片里面也有一個類似于備份去進行執行。L3可以做的是什么？因為它危害的等級也會非常高。

這是我之前做的一些總結，在底盤、轉向、智能域各個域情況下不同設計功能安全等級的推薦，包括剛才說的線控制動、線控轉向，理論上來說這都是D等級的設計。包括L2這塊有一個系統需要值得注意的就是AES，它的功能安全等級的設計應該就是D等級的，因為它的極限超重的速度非常高，假設發生了故障這塊帶來的危害非常嚴重。另外就是L3、L4功能安全的關鍵機制的設計，L2可以做一些傳感器的交叉校驗，L3需要的就是安全獨立監控的芯片，包括更高等級的就要做更多的資信度的評估、備份冗余設計在里面。

第四個部分主要是講功能安全測試驗證方面的一些介紹。

功能安全測試到底測試什么？有三個階段，第一個階段就是在軟硬件階段，如果在軟件階段可以做單元測試，看一下當前軟件的要求有沒有得到正確的實施。在軟件集成方面主要是驗證的是什么？所有的安全策略得到合理的解釋。第四個方面就是硬件集成的測試，包括故障注入，包括電子電氣的測試。

功能安全系統集成測試核心的目的就是驗證我們系統架構，比如說FSR定義安全措施得到了實施，并滿足安全設計的要求。整車層面的測試主要安全目標，能不能得到實施，這塊有非常多測試的方法，包括用實車測試等一系列的方法去做相關的測試驗證。

功能安全測試的方法論，比如說基于仿真測試可以做的比如可控性SIL，包括FTTI理論的計算，以及功能安全需求的驗證，實車的驗證手段，驗證安全目標的達成。

測試用例的設計方法，一條FSR也可以展開成為多條TSR，從SG到FSR到TSR這樣展開下去，一個整車的測試用例可以達到2000條以上。

功能安全的一些典型的測試方法，比如說可以通過電子電氣故障的注入，包括模擬短路開路過壓、欠壓等一些方式，還可以通過看報文進行總線攔截，模擬通信內在故障，ECU參數標定，可以標定每個電芯的電壓不平衡的場景。

這是一個典型的我們做的功能安全的用例，避免制動故障時激活NOA的功能，看這個系統退出NOA時間響應情況。

在集成測試層面我們要評價主要是評價幾個方面，功能安全集成測試評價三個方面，第一個我們是否在規定時間內進入安全狀態，是否違背功能安全需求的情況，以及是否能夠覆蓋所有功能安全需求。在安全確認可接受準則方面，可以考慮限速值，包括最大的加速度、減速度的表現，比如最終結果層面，比如會不會撞車，會不會越線，在彎道駕駛員接管的時候如果發生了撞線，這塊可能功能安全的目標是沒有達成的。

可控度數據庫的建立，剛才我在前面也講了，特別是在做分析的時候，可控度數據庫建立是非常關鍵的，因為它可以直接決定的是什么？功能安全的等級。如果我們在飛移區轉向場景下面用的是線控轉向，我們經過一些深度的分析，我們把駕駛員的可控度數據摸得非常清晰，這個邊界的數據庫拿到過后，可以把原來D等級的功能安全降到C等級去，這是一種技術的處理方式。乘用車的可控度的數據庫建立遠遠要比商用車更容易，因為商用車的試驗本身就會帶來非常多的風險，這一塊我們做乘用車做得比較多，商用車反而比較少。

最后一個總結，當前在法規趨勢里面，我們看了一下所有的法規，包括GB類的或者是公告類的，現在主要是針對功能安全采用的是附錄審核的方式，并沒有進行實質性的類似于測試。但是在下一步的比如說乘用車制動系統這一塊就會進行強制性的測試和做文件的審查。未來的趨勢也是這樣的，比如說主管部門對功能安全的問題會越來越嚴格，功能安全的標準也會越來越多，包括這次兩部委發布的通知，里面有沙盒監管，沙盒監管我有相關的經驗，在這個里面就要做深度測試，深度測試就會滲透到功能安全板塊，功能安全講的是用戶深度測試進行追蹤。

電動化、智能化、平臺化我認為是不可逆的趨勢。功能安全設計這一塊對于主機廠，特別是商用車企業挑戰是最大的，因為你要去推動企業內部建立起一個完整的功能安全開發的團隊，真正把開發、生產、管理全部執行下去，這是非常有難度的一件事情，這個也是對我們企業一個全新的挑戰。但是在未來類似于出口的法規里面，就要求功能安全是一個強制性實施的法規，包括我們出口到歐洲的產品，功能安全設計如果你用了EMB必須要進行審查。最后總結一下，功能安全設計并非強制性的追求冗余的設計，而是在風險可接受的前提下去實現成本和安全目標達成的一種平衡。

以上代表我個人的觀點，謝謝大家。

（注：本文根據現場速記整理，未經演講嘉賓審閱）