基于ISO 26262的电子换挡系统功能安全概念阶段研究

2019-06-30 11:09杨晓彤何放黄德健
企业科技与发展 2019年9期
关键词:挡位变速器危害

杨晓彤 何放 黄德健

【摘 要】文章将电子换挡系统与传统机械换挡进行对比,得出电子换挡系统是汽车今后的发展方向,但相应会带来功能安全问题;接着介绍电子换挡系统及其所带来的功能安全问题,依据标准ISO 26262概念阶段的流程对电子换挡系统进行分析,在相关项定义的基础上对系统进行危害分析和风险评估,得出相应的ASIL等级(汽车安全完整性等级)及安全目标。

【关键词】电子换挡系统;ISO 26262;功能安全概念阶段

【中图分类号】U463.212 【文献标识码】A 【文章编号】1674-0688(2019)09-0125-04

0 引言

目前,市面上绝大部分自动挡车型的挡位都是驾驶员操纵换挡器从而带动与其连接的拉索推动或拉动自动变速箱摇臂实现换挡。随着汽车电子技术的不断发展,出现了电子换挡器,其取消了机械式拉索结构,直接采用电机通过一套小减速机构带动自动变速器换挡轴实现换挡。这种电子换挡系统的优点体现在如下几个方面。总布置:避免拉索走向难布置问题。避免与风管、杯托、其他控制模块或者按键干涉问题,其他零件无需为了让出空间而采取不规则设计或者妥协设计。造型:对空间要求小且位置灵活,形式可多变,便于造型发挥。NVH:传统车辆的传动系噪音和振动可通过拉索传递到驾驶舱内,使用电子换挡可以切断此传递路径,提高整车NVH水平,特别是降低加速工况的车内噪音和振动。电子化、智能化:自动泊车、远程启动、辅助驾驶等智能驾驶技术的前提及基础。增加卖点:搭载电子换挡的车型都会把它当做卖点,增加客户储物空间,更显年轻化、科技感与豪华感。

目前,电子换挡器主要应用在高端车型和新能源车上。基于以上优点,国内各大主机厂及零部件供应商正在大力研发,电子换挡技术也将得到普遍应用。但是,国内的电子换挡系统与国外先进水平相比仍有较大差距,目前很多开发都基于满足功能性要求,而在功能安全性方面缺少足够的技术和经验。现今,ISO 26262标准已经开始广泛采用,而国内汽车主机厂及零部件供应商对于ISO 26262的理解及运用还缺少经验,因此本文将以电子换挡系统为例,介绍其在功能安全概念阶段的研究,为后续的电子换挡系统功能安全开发提供借鉴。

1 电子换挡系统介绍及其带来的安全问题

传统的自动挡车型换挡器如图1所示,它以机械零件为主,辅以简单可靠的功能按键开关(如实现M±手动模式、运动模式和经济模式等),通过物理拉索穿过前地板连接变速器的换挡摇臂,推动换挡器带动拉索可以改变换挡摇臂的角度,而换挡摇臂角度改变可带动换挡轴改变变速器液压系统PRND的油路,与TCU(变速器控制单元)配合实现挡位切换。

某车型的电子换挡系统原理图如图2所示。系统包含换挡器(GSM)、换挡控制单元(SCU)和执行器(GBA)。

换挡器(GSM)基本原理如图3所示。换挡器造型可多变,目前市场主流的有旋钮式、挡杆式、怀挡式和按键式,本文介绍的为挡杆式换挡器,其使用一个3D霍尔传感器采集二次注塑在换挡杆上的磁铁的位置状态(即驾驶员换挡意图),通过PWM将信号发送给MCU,MCU接收并判断处理以上信号换算为P、R、N、D、M的挡位发送到整车CAN总线上。其中,M挡位时需要结合方向盘上的换挡拨片信号进行处理。

执行器(GBA)基本原理如图4所示。接收SCU目标挡位指令,通过电机及一套减速增扭齿轮机构带动变速器换挡轴转动,从而改变变速器液压换挡系统油路,实现换挡,并通过其位置传感器(一般为非接触式霍尔传感器)将实际挡位信息返回给SCU。

换挡控制单元(SCU)原理如下:接收GSM的驾驶员换挡意图并经过逻辑判断处理后控制GBA换挡,并将实际挡位信号经过逻辑判断处理后通过CAN总线发送给TCU及其他整车ECU控制模块。

电子换挡系统的驾驶员目标挡位和变速器实际挡位切换由传统换挡器的纯机械触发变为CAN总线信号传递,在汽车功能安全方面存在很多潜在风险,特别是电子换挡系统的一些元器件失效或者极限工况下软件出现问题,有可能会带来人身伤害。例如,传感器失效,将正在行驶的D挡错误输出为N挡,則变速器由前进挡非预期变为空挡,导致整车动力丢失;或者由空挡非预期变为前进挡,导致动力非预期啮合,危害人身安全等。那么,电子换挡系统会涉及哪些危害,以及相应危害在特定场景下的严重度、暴露概率、可控性分别是多少?这些问题的评估是本文要重点分析的。

2 ISO 26262标准简介

安全是汽车最基本的要求,近年来随着汽车电子化、网联化、智能化的发展,整车系统中加入了越来越多的电子元器件、更加复杂的控制算法和软件逻辑,使得汽车电子电气系统失效和随机硬件失效的风险逐渐增加,因此《道路车辆功能安全》(ISO 26262)应运而生,其通过提供适当的要求和流程来避免风险,并且逐年受到行业的重视。

ISO 26262是从《电子、电气及可编程控制器功能安全标准》(IEC 61508)派生出来的,适用于安装在乘用车上的包含一个或多个电子电气系统的与安全相关的系统,其主要提供了汽车整个生命周期的功能安全开发指导(管理、研发、生产、运行、服务、报废);提供了决定风险等级的具体评估方法(汽车安全完整性等级ASIL);提供了确保获得足够的和可接受的安全等级的有效性和确定性措施。

本文重点研究ISO 26262标准的第3部分:功能安全概念。

3 电子换挡系统功能安全概念阶段研究

3.1 相关项定义

用于定义并描述所研究系统与环境中其他系统的依赖性和互相影响,是开展后续工作的前提,主要内容如下。研究对象:电子换挡系统,包括换挡器、换挡控制单元、执行器。功能:提供目标挡位、提供实际挡位、保持当前挡位、退出当前挡位、正确显示挡位。初步架构如图5所示。系统内部接口见表1、外部接口见表2,对外信息输出接口见表3。

3.2 安全生命周期启动

基于相关项定义,分析所开发系统为全新开发还是对现有系统进行修改。若是全新开发,则根据标准严格执行每一个活动。若是对现有系统进行修改,则应对安全相关活动进行适当的剪裁。本文所研究的电子换挡系统为全新开发系统,需严格按照流程进行开发。

3.3 危害分析和风险评估

识别系统相关项中因故障引起的危害并对危害进行ASIL评级,制定防止危害事件发生或减轻危害程度的安全目标。

首先应对系统的功能逐个进行详细分析,识别出系统的每一个危害事件,接着对每一个危害事件使用“严重度”“暴露概率”“可控性”3个参数进行评估。其中,“严重度”指系统在功能失效的情况下,对驾驶人员、环境和行人的伤害程度。“暴露概率”指风险在实际环境中发生的概率。“可控性”指发生事故的情况下,驾驶员或其他涉险人员能够避免事故或伤害的可能性。这3个参数的分类见表4。

每一个危害事件的“严重度”“暴露概率”“可控性”评估出来后,按表5综合评估其ASIL等级(即汽车安全完整性等级),其中“D”为最高等级,“A”为最低等级,“QM”为质量管理,表示依据正常的质量管理体系进行开发就行,不需要涉及功能安全相关的设计。在明确每一个危害事件的ASIL等级之后,再为其制定一个安全目标,作为下一阶段的功能安全需求(FSR)和技术安全需求(TSR)的基础。

评估出系统的ASIL等级越高,ISO 26262对设计方法、安全技术、测试方法及需要达到的技术指标的要求越严格,对产品及其开发流程的审核和确认也会更严格。

针对本文所研究的电子换挡系统,根据相关项定义中该电子换挡系统的功能得出的危害有非预期出P挡、非预期进入相反挡位、非预期动力啮合、错误指示和非预期驻车。需要强调的是,同一危害在不同的驾驶场景中的风险是不相同的,因此我们需要对以上的危害置于不同的驾驶场景中逐一进行分析。本文仅选取3个危害中的某一个驾驶场景进行风险评估(见表6、表7、表8)。

表6中,我们考虑的驾驶场景是“车辆坡道驻车,驾驶员不在驾驶室内,行人在危险区域”。如果场景为司机仍在驾驶室中,则司机可通过踩刹车控制汽车的意外滑行,可控性将增加,在这种场景下评估出来的ASIL等级将会比表中的ASIL等级低。

表7中的危害对应的驾驶场景非常多,需要逐一进行分析,如“低速倒车,行人在危险区域”“车辆低速行驶,后面有车”“车辆高速行驶,后面有车”“车辆低速行驶,后面有人横穿马路”“车辆高速行驶,后面有人横穿马路”等;每一个驾驶场景对应的严重度、暴露概率、可控性都是不一样的。

对所有危害的不同驾驶场景逐一进行分析后的结果见表9。

根据标准要求,整个电子换挡系统的ASIL等级应该取所有危害项目中最高的等级,所以本文中所研究的电子换挡系统的ASIL等级为ASIL B级。为每一个具有ASIL等级的危害事件制定一个安全目标(见表9),该安全目标是电子换挡系统最高的要求,它应该描述为该系统的功能目的,而不是详细的技术解决方案,那将是下一阶段的工作内容。

3.4 功能安全概念

在安全目標的基础上进一步对危害的故障探测、驾驶员警告、安全状态、容错机制等方面提出要求,使用FMEA、FTA、HAZOP等方法制定一套完整而有效的功能安全要求,并将其分配给相关项的初步架构要素或外部措施。

4 结语

本文从主机厂的角度出发,说明了换挡器的发展趋势及电子换挡系统的优点,并指出安全性是电子换挡系统的关键,因此将ISO 26262标准中的“功能安全概念阶段”应用于电子换挡系统的开发过程中,得到了电子换挡系统的ASIL等级及其安全目标,为后续电子换挡系统功能安全的开发提供参考和借鉴。

参 考 文 献

[1]ISO 26262—3:2011(E),RoadVehicles-Functional-Safety[S].

[2]刘佳熙,郭辉,李君.汽车电子电气系统的功能安全标准(ISO 26262)[J].上海汽车,2011(10):57-61.

[3]文凯,夏珩,裴锋.基于ISO 26262的电动四驱混合动力系统功能安全概念设计[J].机电工程技术,2012(12):74-76.

[4]黄蒙,吴光强.自动变速器换挡杆电子控制器设计研究[J].测控技术,2011(4):63-66,69.

猜你喜欢
挡位变速器危害
一汽马自达6无法行驶
改扩建工程中变压器并列运行的影响
如何正确操作自动挡汽车
喝饮料的危害
喝饮料的危害
雷克萨斯
“久坐”的危害有多大你知道吗?
矫情变速
多挡电热器的挡位变换原理与方法
新面孔