基于ISO26262的商用車電動(dòng)助力轉(zhuǎn)向功能安全設(shè)計(jì)

徐闖, 譚雁清

(1.天津市松正電動(dòng)汽車技術(shù)股份有限公司研發(fā)中心, 天津 300100；2.東北大學(xué)秦皇島分?？刂乒こ虒W(xué)院，河北秦皇島 066004)

0 引言

安全性一直是汽車行業(yè)發(fā)展的關(guān)鍵詞。汽車電子科技的迅猛發(fā)展，使得汽車上集成的電氣系統(tǒng)越來(lái)越多。這些電氣系統(tǒng)在極大地提高了汽車的主動(dòng)、被動(dòng)安全性能及駕駛舒適性的同時(shí)，也帶來(lái)了系統(tǒng)失效后的高風(fēng)險(xiǎn)。如何保證汽車上高度集成化的電氣系統(tǒng)的安全，進(jìn)而保證整車的安全，成為備受關(guān)注的課題。

在這一背景下，國(guó)際標(biāo)準(zhǔn)化組織在2005年11月開(kāi)始制定相關(guān)標(biāo)準(zhǔn)，并于2011年11月正式頒布《道路車輛電氣系統(tǒng)功能安全標(biāo)準(zhǔn)-ISO26262》，以下簡(jiǎn)稱ISO26262。此標(biāo)準(zhǔn)主要應(yīng)用于相關(guān)的安全系統(tǒng)，該系統(tǒng)包括安裝在總質(zhì)量在3.5 t以內(nèi)的一系列乘用車上的一個(gè)或者多個(gè)電子、電氣系統(tǒng)，主要涉及解決由電子、電氣相關(guān)的安全系統(tǒng)故障現(xiàn)象可能引起的危害，包括這些系統(tǒng)間的相互影響[1-2]。

目前在商用車特別是新能源商用車領(lǐng)域，雖然沒(méi)有強(qiáng)制要求相關(guān)電氣系統(tǒng)必須符合ISO26262的要求，但是在設(shè)計(jì)中即貫徹ISO26262的流程和方法，能夠幫助開(kāi)發(fā)出更安全、更具競(jìng)爭(zhēng)力的產(chǎn)品[3-4]。作者基于ISO26262標(biāo)準(zhǔn)，在商用車電動(dòng)助力轉(zhuǎn)向產(chǎn)品設(shè)計(jì)之初進(jìn)行功能安全設(shè)計(jì)，為后續(xù)的產(chǎn)品開(kāi)發(fā)提供依據(jù)。

1 功能安全標(biāo)準(zhǔn)ISO26262

ISO26262除關(guān)注車輛電氣系統(tǒng)外，還提供了一個(gè)基于其他技術(shù)的與安全相關(guān)的框架。在此標(biāo)準(zhǔn)中，提出了一個(gè)汽車安全壽命周期(管理、開(kāi)發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、停止工作)的概念。

ISO26262說(shuō)明了如何確定汽車風(fēng)險(xiǎn)等級(jí)ASIL(Automotive Safety Integration Level，汽車安全完整性等級(jí))的具體方法，規(guī)定了風(fēng)險(xiǎn)等級(jí)，即ASIL等級(jí)分別為A、B、C、D。其中A是最低級(jí)，D是最高級(jí)，等級(jí)越高對(duì)系統(tǒng)安全性的要求越高，不同風(fēng)險(xiǎn)等級(jí)的安全問(wèn)題將以普通功能為導(dǎo)向,和產(chǎn)品的開(kāi)發(fā)活動(dòng)實(shí)現(xiàn)有機(jī)結(jié)合。

具體而言，先綜合系統(tǒng)的使用工況和環(huán)境因素，識(shí)別出潛在風(fēng)險(xiǎn)；再依據(jù)嚴(yán)重程度、暴露概率和可控制性的不同程度完成風(fēng)險(xiǎn)等級(jí)的判定。嚴(yán)重程度、暴露概率和可控制性的等級(jí)劃分如表1所示，風(fēng)險(xiǎn)等級(jí)的判定依據(jù)如表2所示。在表1中，ISO26262的建議是S0、E0及C0等級(jí)程度極低。

表1 嚴(yán)重性、暴露概率和可控制性的等級(jí)劃分

表2 風(fēng)險(xiǎn)等級(jí)的判定依據(jù)

在表2中，QM(Quality Management)表示質(zhì)量管理，表示按照質(zhì)量管理體系開(kāi)發(fā)系統(tǒng)或功能就足夠了，不用考慮額外的安全相關(guān)設(shè)計(jì)。A、B、C、D分別代表ISO26262標(biāo)準(zhǔn)中的功能安全等級(jí)ASIL A、ASIL B、ASIL C、ASIL D。

2 電動(dòng)助力轉(zhuǎn)向的危害分析和風(fēng)險(xiǎn)評(píng)估

對(duì)電動(dòng)助力轉(zhuǎn)向產(chǎn)品進(jìn)行系統(tǒng)的危害分析和風(fēng)險(xiǎn)評(píng)估，其目的是對(duì)系統(tǒng)的危害因素進(jìn)行識(shí)別和分類，制定相應(yīng)的安全目標(biāo)，并采取有效的預(yù)防對(duì)策。

依據(jù)前文介紹的ISO26262中系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的方法，結(jié)合商用車電動(dòng)助力轉(zhuǎn)向的使用工況和環(huán)境因素，對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別，結(jié)果如表3所示。針對(duì)表3中識(shí)別出的潛在風(fēng)險(xiǎn)，進(jìn)一步進(jìn)行分析與評(píng)估，結(jié)果如表4所示。

表3 商用車電動(dòng)助力轉(zhuǎn)向風(fēng)險(xiǎn)識(shí)別

表4商用車電動(dòng)助力轉(zhuǎn)向功能安全分析

風(fēng)險(xiǎn)序 號(hào)可能的原因嚴(yán)重性暴露率可控性ASIL等級(jí)1控制器故障S3E4C3ASIL D2傳感器故障S3E4C3ASIL D3助力過(guò)大S2E4C2ASIL B轉(zhuǎn)向失效或4助力過(guò)小S2E3C2ASIL A非預(yù)期轉(zhuǎn)向5左右助力不對(duì)稱S1E3C2QM6回正不足S1E3C2QM7回正超調(diào)S1E3C2QM8車速信號(hào)異常S1E3C2QM

3 電動(dòng)助力轉(zhuǎn)向的功能安全設(shè)計(jì)

通過(guò)商用車電動(dòng)助力轉(zhuǎn)向功能安全分析，得出商用車電動(dòng)助力轉(zhuǎn)向的安全目標(biāo)：防止轉(zhuǎn)向失效或非預(yù)期轉(zhuǎn)向，功能安全等級(jí)為ASIL D。同時(shí)明確了兩個(gè)ASIL D等級(jí)的安全需求：防止控制器故障和防止傳感器故障。

依據(jù)ISO26262的功能安全分解原則，ASIL D 應(yīng)該被分解為：一個(gè)ASIL C(D)和一個(gè)ASIL A(D)；一個(gè)ASIL B(D)和一個(gè) ASIL B(D)；一個(gè)ASIL D(D) 和一個(gè)QM(D)。

在實(shí)際設(shè)計(jì)中，為防止控制器故障，將控制器設(shè)計(jì)成了兩套冗余的控制系統(tǒng)：控制系統(tǒng)A和控制系統(tǒng)B。正常工作時(shí)，控制系統(tǒng)B作為監(jiān)控系統(tǒng)對(duì)控制系統(tǒng)A的運(yùn)行情況進(jìn)行監(jiān)控。在判定控制系統(tǒng)A失效后，控制系統(tǒng)B當(dāng)即接管，同時(shí)控制系統(tǒng)A退出運(yùn)行，保證系統(tǒng)正常工作。以此，將ASIL D分解為一個(gè)ASIL B(D)和一個(gè) ASIL B(D)。

對(duì)于傳感器故障，直接選用市場(chǎng)上已經(jīng)量產(chǎn)的符合ISO26262標(biāo)準(zhǔn)ASIL D等級(jí)要求的傳感器產(chǎn)品，以縮短開(kāi)發(fā)周期、節(jié)省研發(fā)費(fèi)用。其滿足ASIL D等級(jí)要求的實(shí)現(xiàn)方法是在傳感器內(nèi)部集成了兩套獨(dú)立的模塊，分別具備完整的信號(hào)采集、信號(hào)處理、信號(hào)傳輸?shù)墓δ?，?shí)現(xiàn)了將ASIL D分解為一個(gè)ASIL B(D)和一個(gè) ASIL B(D)的設(shè)計(jì)目標(biāo)。

功能安全分解過(guò)程如圖1所示。

圖1 商用車電動(dòng)助力轉(zhuǎn)向功能安全分解

4 結(jié)論

ISO26262標(biāo)準(zhǔn)主要應(yīng)用于汽車行業(yè)中的電子系統(tǒng)，目的是提高汽車電子、電氣系統(tǒng)的功能安全，進(jìn)而提高整車的安全性能。其核心價(jià)值在于提供了系統(tǒng)的功能安全開(kāi)發(fā)流程，這使得它不僅僅局限在汽車電子領(lǐng)域，而能為更多領(lǐng)域的產(chǎn)品開(kāi)發(fā)提供借鑒和方法論指導(dǎo)。

作者在商用車電動(dòng)助力轉(zhuǎn)向產(chǎn)品開(kāi)發(fā)中，基于ISO26262標(biāo)準(zhǔn)，在商用車電動(dòng)助力轉(zhuǎn)向產(chǎn)品設(shè)計(jì)之初進(jìn)行功能安全設(shè)計(jì)，制定了產(chǎn)品的頂層架構(gòu)，為后續(xù)的開(kāi)發(fā)工作提供了依據(jù)，在縮短產(chǎn)品開(kāi)發(fā)周期的同時(shí)大大提升了產(chǎn)品的安全性。

參考文獻(xiàn):

[1]劉佳熙,郭輝,李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)ISO26262[J].上海汽車,2011(10):57-61.

[2]袁蘭秀.汽車電子電氣系統(tǒng)功能安全標(biāo)準(zhǔn)ISO26262的幾點(diǎn)探討[J].科技資訊,2013(8):245.

[3]還宏生.汽車設(shè)計(jì)中的安全要求及ISO26262標(biāo)準(zhǔn)[J].汽車零部件,2012(10):41-43.

HUAN H S.Vehicle Safety Relevant Function Design & ISO26262[J].Automobile Parts,2012(10):41-43.

[4]盧靜.功能安全標(biāo)準(zhǔn)ISO26262在汽車電子電器開(kāi)發(fā)中的應(yīng)用[J].電子世界,2016(20):124-125.