轉(zhuǎn)向功能安全概念分析和試驗(yàn)研究

方順亭 李晶 王玉磊 楊清凱 榮玉良

中國汽車技術(shù)研究中心有限公司 天津市 300300

1 引言

隨著汽車電子技術(shù)的飛速發(fā)展，汽車集成了越來越多先進(jìn)功能的電氣系統(tǒng)。這些功能的開發(fā)和集成，不僅極大地提高了汽車駕駛的舒適性、主被動安全性能、駕駛輔助以及動態(tài)控制性能，但高度集成化的電氣系統(tǒng)也給汽車駕駛的安全埋下了安全的隱患。為保證車輛安全相關(guān)電子電氣系統(tǒng)在安全周期內(nèi)功能安全的正常運(yùn)行，汽車功能安全已成為人們越來越關(guān)注的問題。國際電工委員會（IEC）于2000 年5月發(fā)布了IEC61508《電氣/ 電子/ 可編程電子安全系統(tǒng)的功能安全》標(biāo)準(zhǔn)，此標(biāo)準(zhǔn)目的是針對以電子為基礎(chǔ)的安全系統(tǒng)建立了一套統(tǒng)一的、合理的技術(shù)方案。在此背景下，國際標(biāo)準(zhǔn)化組織在2011 年11 月頒布了ISO26262《道路車輛電氣系統(tǒng)功能安全》。該標(biāo)準(zhǔn)涉及具有一個或多個電子、電氣系統(tǒng)且最大總質(zhì)量在3.5t 以內(nèi)的乘用車，用以解決有電子、電氣相關(guān)的安全系統(tǒng)故障可能會引發(fā)的危害，包括這些系統(tǒng)間的相互作用和影響。

我國修改采用ISO26262 于2017 年發(fā)布首個面向汽車領(lǐng)域的功能安全標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛 功能安全》。該標(biāo)準(zhǔn)針對道路車輛電子電氣系統(tǒng)提供了適當(dāng)?shù)囊蠛土鞒滩⒔o出避免風(fēng)險的指導(dǎo)。從整車再到部件，受安全性及GB 17675-1999《汽車轉(zhuǎn)向系基本要求》的限制，GB 17675-2021《汽車轉(zhuǎn)向系 基本要求》代替了舊標(biāo)準(zhǔn)，增加了附錄B“對轉(zhuǎn)向電子控制系統(tǒng)的功能安全要求”，從功能安全的角度提出了明確的安全性要求。本標(biāo)準(zhǔn)附錄B 功能安全要求部分，規(guī)定了轉(zhuǎn)向電子控制系統(tǒng)在功能安全方面的文檔、安全策略及驗(yàn)證確認(rèn)的要求。本文依據(jù)GB 17675-2021《汽車轉(zhuǎn)向系 基本要求》附錄B 依據(jù)轉(zhuǎn)向電子控制系統(tǒng)功能安全要求就危害分析和風(fēng)險評估、安全分析進(jìn)行簡要概述，并對某款帶有電動助力轉(zhuǎn)向系統(tǒng)乘用車開展了轉(zhuǎn)向功能安全試驗(yàn)驗(yàn)證。

2 轉(zhuǎn)向功能安全概述

2.1 基本原理

轉(zhuǎn)向電子控制系統(tǒng)通常由控制器、傳感器和執(zhí)行器等獨(dú)立的功能組件構(gòu)成，并通過傳輸鏈相互連接。以電動助力轉(zhuǎn)向（EPS）為例，其要素清單組建的架構(gòu)圖如圖1 所示。扭矩傳感和角度傳感器采集駕駛員施加在方向盤上的操縱力距和轉(zhuǎn)動角度信號，CAN 總線中讀出整車當(dāng)前行駛的車速信號，這些信號都傳遞到ECU，ECU 根據(jù)內(nèi)置的控制策略，計算出目標(biāo)力矩，通過電信號傳遞給電機(jī)，電機(jī)經(jīng)減速機(jī)構(gòu)將助力力矩作用在機(jī)械式轉(zhuǎn)向系統(tǒng)上，與駕駛員的操縱力矩一同克服轉(zhuǎn)向阻力矩，實(shí)現(xiàn)車輛的轉(zhuǎn)向。

圖1 EPS 系統(tǒng)架構(gòu)圖

2.2 ASIL 等級的確定

對于潛在風(fēng)險，ISO26262 依據(jù)嚴(yán)重度（S）、暴露概率（E）和可控制性（C）的不同程度進(jìn)行評估ASIL 等級（汽車安全完整性等級）。嚴(yán)重度，指危險發(fā)生后交通參與者包括駕駛員、乘客、行人以及車輛的損害程度；暴露率，指人員和車輛暴露在不同場景下系統(tǒng)失效可能發(fā)生的概率；可控制性，指危險發(fā)生后駕駛員通過采取措施對危害的控制能力。其中，ASIL等級分為A、B、C、D 四個等級，A 為最低等級，D 為最高等級，等級越高對系統(tǒng)的安全性要求則越高。嚴(yán)重程度、暴露概率和可控制性的等級的描述如表1 所示，風(fēng)險等級的確定如表2 所示。

表1 嚴(yán)重度、暴露概率、可控制性的等級劃分

表2 ASIL 等級的確定

表2 的QM 代表質(zhì)量管理，表示按照質(zhì)量管理體系開發(fā)系統(tǒng)或功能即可，不考慮安全設(shè)計要求。

3 轉(zhuǎn)向系統(tǒng)的危害分析和風(fēng)險評估

首先要對危害進(jìn)行識別，即應(yīng)用足夠充分的技術(shù)手段確定危害，并在整車層面上觀察到的行為或條件來定義危害。常用的危害識別方法有故障模式影響分析（FEMA）、安全檢查列表（SCL）、危險與可操作性分析（HAZOP）等。危險與可操作性分析（HAZOP）是一種探索型的分析方法，從相關(guān)項(xiàng)功能層面出發(fā)，通過引導(dǎo)詞分析特定功能異?？赡軐?dǎo)致的危害。本文以HAZOP 方法為例，表 3 給出了電動轉(zhuǎn)向助力功能的HAZOP 分析。

表3 電動轉(zhuǎn)向助力功能的HAZOP 分析

結(jié)合運(yùn)行場景維度將轉(zhuǎn)向助力功能的異常表現(xiàn)映射到整車層面危害，表4 以車輛直行和轉(zhuǎn)彎為例。

表4 整車層面危害分析

基于上述ASIL 等級評定原則，結(jié)合車輛運(yùn)行場景，得到每一事件對應(yīng)的ASIL等級，下面以個別場景工況為例得出整車危害分析和風(fēng)險評估分析示例，如表5所 示。

表5 電動助力轉(zhuǎn)向功能的危害分析和風(fēng)險評估分析示例

4 轉(zhuǎn)向電子控制系統(tǒng)功能安全目標(biāo)

通過對轉(zhuǎn)向電子控制系統(tǒng)的危害分析和風(fēng)險評估得出最高層面的安全要求，即安全目標(biāo)。針對表4 和表5 中的相關(guān)危害，表6 給出了包含安全度量的電動助力轉(zhuǎn)向功能安全目標(biāo)示例，其中安全度量可根據(jù)側(cè)向加速度、橫擺角速度、方向盤力矩等技術(shù)參數(shù)體現(xiàn)，也可增加主觀感受評價安全措施效果。根據(jù)得出的安全目標(biāo)，映射到相應(yīng)的轉(zhuǎn)向電子控制系統(tǒng)的架構(gòu)要素或外部措施上，并進(jìn)一步細(xì)化至技術(shù)安全和軟硬件要求，完成V 型開發(fā)流程的左側(cè)開發(fā)設(shè)計階段。

表6 電動助力轉(zhuǎn)向系統(tǒng)功能安全目標(biāo)

5 功能安全驗(yàn)證

為確保轉(zhuǎn)向電子控制系統(tǒng)的功能安全開發(fā)結(jié)果滿足相應(yīng)的安全要求，需在整車層面開展功能安全驗(yàn)證試驗(yàn)，現(xiàn)針對上述的安全目標(biāo)，分別選取軟硬件故障開展試驗(yàn)驗(yàn)證?；趫D1 架構(gòu)圖，制造某一要素出現(xiàn)故障，其他要素均正常運(yùn)行，再結(jié)合整車的運(yùn)行工況，對其安全措施進(jìn)行試驗(yàn)驗(yàn)證。如“角度傳感器”要素提供了錯誤的“轉(zhuǎn)角信號”，會造成EPS 主控單元發(fā)出錯誤的指令，導(dǎo)致錯誤的轉(zhuǎn)向。結(jié)合整車運(yùn)行場景——運(yùn)行條件、車輛狀態(tài)、駕駛模式等，針對可造成的非預(yù)期側(cè)向運(yùn)動、車輛側(cè)向運(yùn)動控制喪失、轉(zhuǎn)向沉重等整車危害，開展驗(yàn)證試驗(yàn)，其中，表7 為試驗(yàn)的部分測試結(jié)果。通過對大量的軟硬件故障注入的測試應(yīng)例試驗(yàn)，車輛均可控，滿足功能安全目標(biāo)要求。

表7 電動助力轉(zhuǎn)向系統(tǒng)功能安全驗(yàn)證

6 結(jié)束語

本文針對轉(zhuǎn)向電子控制系統(tǒng)功能安全設(shè)計開發(fā)V 模型左側(cè)流程的進(jìn)行了簡要概述，通過危害分析和風(fēng)險評估提出了對應(yīng)的安全目標(biāo)和安全度量，并根據(jù)GB17675-2021《汽車轉(zhuǎn)向系 基本要求》附錄B 關(guān)于轉(zhuǎn)向電子控制系統(tǒng)功能安全的相關(guān)要求，對樣車開展了軟硬件故障注入試驗(yàn)，以驗(yàn)證其功能安全的可靠性。