基于ISO 26262的甲醇/柴油喷射控制系统功能安全概念开发

董自远，李捷辉

(江苏大学 汽车与交通工程学院，江苏 镇江 212013)

0 引言

随着汽车智能化、信息化技术快速发展，汽车电子/电气(E/E)系统集成度和复杂性日益增加，软硬件随机失效的风险也在不断提高。为提高汽车安全性，国际标准化组织在《Functional safety of electrical/electronic/programmable electronic safety-related systems》(IEC 61508)[1]基础上，针对汽车E/E系统的特点，制定并颁布《Road vehicles-Function safety》(ISO 26262，本文简称标准)[2]。

化石能源短缺阻碍内燃机的发展，甲醇是理想的替代燃料。在直列四缸高压共轨柴油机进气道上加装喷醇器[3]，在低速工况时，采用纯柴油工作模式，在中高速工况时，采用双燃料工作模式，采用进气道多点喷射方式，由柴油引燃甲醇燃烧。

功能安全概念开发是整车功能安全开发过程中重要环节，近年来，国内外学者对此开展一系列研究。马行等[4]开发车道偏离预警系统功能安全概念，搭建UML模型，进行仿真测试；Huang等[5]开发线控转向系统功能安全概念，提出多项功能安全要求，构建反馈转矩损失和转向能力损失故障树；Mauborgne等[6]提出操作危害性分析方法和系统安全需求相关模型，并应用在车辆突然加速、刹车失灵危害事件上。

本文参照标准的要求，针对甲醇/柴油喷射控制系统，定义其相关项，进行危害分析和风险评估，得到ASIL等级和安全目标，开发功能安全概念，在Isograph软件中搭建FTA故障树模型，验证功能安全概念正确性。

1 概念阶段开发流程

概念阶段开发流程第1步为相关项定义，其中相关项为能够实现整车或部分整车功能的系统，相关项定义需要描述待开发系统结构，明确系统内要素功能交互作用和功能架构，划分边界条件。

第2步为危害分析和风险评估(HARA)，危害分析目标是得到整车级危害，风险评估根据严重度(S)、暴露率(E)、可控度(C)对整车级危害进行分类，并确定汽车安全完整性等级 (ASIL)和功能全目标(SG)。

第3步为功能安全概念，提出系统功能安全要求，并根据ASIL分解规则，将其分配到要素中去，更新系统功能架构，树立安全机制(SM)，确定安全状态，从而提高系统容错能力，减轻故障影响，增强系统的稳定性和可靠性。

2 相关项定义

本文需要定义的相关项为甲醇/柴油喷射控制系统，此系统根据发动机所处工况控制甲醇/柴油喷射量、喷射时刻。

甲醇/柴油喷射控制功能架构如图1所示，甲醇供给装置、高压共轨装置、电源、整车CAN总线为外部环境要素。甲醇供给装置、高压共轨装置为甲醇/柴油提供喷射压力，电源处理电路将24 V电压转换成5、12、48 V电压，CAN通信模块发送报文到整车CAN总线，传递发动机工况信息。

图1 甲醇/柴油喷射控制系统功能架构Fig.1 Functional architecture of methanol/diesel injection control system

传感器、MCU、相关电路、执行器为系统内部要素，系统接收曲轴位置传感器信号、凸轮轴位置传感器信号，计算发动机转速、确定喷醇和喷油时刻；接收进气压力温度、冷却水温度传感器信号判断发动机工况；接收油门位置传感器和制动踏板开关传感器信号，确定驾驶员加减速需求，增加或减少燃料喷射量；接收甲醇压力、轨压传感器信号，分别监测甲醇轨内压力、调节轨压。MCU输出喷醇控制信号经喷醇驱动芯片驱动喷醇器；输出喷油控制信号经喷油驱动芯片驱动喷油器，输出轨压控制信号经喷油驱动芯片驱动燃油计量阀；系统根据发动机转速和工况调节燃料喷射量，计算输出转矩。

3 危害分析和风险评估(HARA)

3.1 危害分析

标准中规定，可应用FMEA或HAZOP方法分析相关项，得到整车级危害。甲醇/柴油喷射控制系统包含要素较多、工作状况复杂，具有2种工作模式，任一要素功能失效在不同工况下，可能导致不同的整车级危害。本文参照FMEA方法的DFMEA方法[8]，结合系统结构、系统功能、及其内部要素之间联系和相互作用，构造出失效模型，如图2所示。运用此模型进行分析，得到系统级危害和整车级危害，如表1所示。

图2 系统失效模型Fig.2 Failure model of system

表1 甲醇/柴油喷射控制系统危害分析Table 1 Hazard analysisofmethanol/diesel injection control system

此模型从系统要素功能单点失效出发，任一失效都具备失效起因(FC)、失效模式(FM)、失效危害(FH)。失效起点通常为系统某个要素功能失效，通过失效链A传递至子系统、系统，导致系统级危害。整车失效起因为子系统功能失效，通过失效链B传递至系统、整车，导致整车级危害。

失效起因有功能丧失、功能超范围、非预期功能等形式。在失效链A中，功能丧失失效形式为信号处理电路不能接收和输出信号、驱动芯片及其高低边驱动电路不能接收和处理信号等，功能超范围失效形式为传感器电压或电流信号偏高/偏低、喷油或喷醇控制信号脉宽过大/过小、电源过压/欠压等，非预期功能失效形式为喷醇控制信号异常输出、制动踏板开关信号异常输出等，如在低速工况下输出喷醇控制信号。在失效链B中，失效起因为子系统功能失效，功能丧失形式为不喷醇/不喷油，功能超范围失效形式为喷醇量或喷油量异常增减，非预期功能失效为异常不受控喷醇，如在低速工况下喷醇。

失效模式为子系统或系统不能实现预期功能的方式。在失效链A中，失效模式为甲醇喷射控制系统或柴油喷射控制系统异常工作模式，即单一喷射控制系统功能失效。在失效链B中，失效模式为甲醇/柴油喷射控制系统功能失效，即2种喷射功能同时失效。失效危害为不同失效模式下可能会造成的事故后果。在失效链A中，失效危害为要素失效、子系统失效造成的系统级危害。在失效链B中，失效危害为系统失效造成的整车级危害。

3.2 风险评估

根据危害分析结果得出整车级危害，对其进行归纳，得出5个危害事件。在风险评估时，按照标准的要求，考虑其最坏潜在事故场景，本文完成5个危害事件的风险评估，如表2所示。以危害ID为Haza0005：车辆不能马上减速事件为例，阐述风险评估过程。

表2 危害事件的风险评估Table 2 Risk assessment of hazard events

风险评估需要确定危害事件ASIL等级，ASIL等级越高，此危害事件失效对应风险越大，对系统安全性要求和设计要求就越严格。风险评估过程需要参照ASIL矩阵，根据S、E、C等级，确定危害事件ASIL等级，其原理可表示为1个模型，其原理如式(1)所示：

f(R)={S,E,C}

(1)

式中：R为危害事件的风险；S表示危害事件严重度等级；E表示危害事件暴露率等级；C表示危害事件发生时所有相关人员对危害可控度等级。

车辆不能马上减速最坏潜在事故场景为：装有本系统的重卡在国道上行驶，车速为72 km/h[9],不能马上响应驾驶员减速需求，正面撞向行人。

严重度S代表危害事件对驾驶员、乘客、行人造成的伤害程度，用S0～S3 4个等级来表示，等级越高，造成伤害程度越高。国际自动机工程师学会颁布的《Considerations for ISO 26262 ASIL Hazard Classification》(SAEJ 2980)[10]规定，当碰撞时车辆速度大于40 km/h且碰撞类型为正面碰撞时，严重度S等级为S3。文献[11]中规则集规定，当车辆大于16 km/h且行人速度大于2 km/h时，严重度S等级为S3，此场景车速为72 km/h，碰撞时行人速度大于2 km/h的占比区间约为90%[12]，因此，严重度S等级为S3。文献[13]中基于碰撞事故数据库评估严重度S方法规定，车速为70～100 km/h的商用车与行人发生碰撞时，严重度S等级为S3。因此，Haza0005危害事件严重度S等级为S3。

暴露率E代表危害事件在特定环境场景发生可能性，用E0～E4 5个等级表示，等级越高，危害发生的概率越大。暴露率E需通过场景持续时间占比或发生频率来确定。在危害事件Haza0005中，若系统内要素故障，只有在急减速工况下才会导致危害事件发生，因此应通过场景发生频率来确定E等级，根据ISO 26262-3-2018附录B.2中参考表格，此类场景1个月内会发生多次，因此，本危害事件暴露E等级为E4。

可控性C代表故障发生后，驾驶员、乘客、行人等相关人员及时采取措施避免危害事件发生的可能性，用C0～C3 4个等级表示，等级越高，危害越难控制。在危害事件Haza0005中，要求驾驶员快速远离正常行驶路径的物体，且安装本系统车辆均为大型商用车，车辆质量和体积较大，不到90%的驾驶员或事故参与人员能够避免此类伤害，因此，本危害事件可控度C等级为C3。

4 功能安全概念与验证

4.1 功能安全概念

根据甲醇/柴油喷射控制系统HARA分析结果，得到4个安全目标，本文以SG0004-立刻响应减速需求为例，开发功能安全概念[14]。为满足SG0004对于安全的要求，系统应正确接收油门位置、制动踏板开关传感器信号，检测输入信号故障，正确判定减速需求，快速减少喷油量、喷醇量，并检测输出信号故障和执行器故障，在故障条件下进入对应安全状态，提示驾驶员车辆故障信息。

在图1系统功能架构基础上，为与SG0004-安全目标相关的要素分配功能安全要求，同时制定安全机制，更新系统功能架构，如图3所示。功能安全要求有其对应ASIL等级，为降低系统性失效概率，当2组要素间不存在共因失效和级联失效，充分独立和冗余时，可利用ASIL分解规则[15]将高安全等级分解为低安全等级，若要素之间不存在独立性，需继承安全目标ASIL等级。

图3 更新后的甲醇/柴油喷射控制系统功能架构Fig.3 Updated functional architecture of methanol/diesel injection control system

安全状态表示系统中不存在不可接受风险的工作状态，在安全状态下，系统的功能有预期运行、降级运行、关闭3种模式。当安全机制探测到系统存在故障后，应在故障处理时间间隔(FTTI)内进入安全状态，SG0004对应系统安全状态如表3所示。

表3 系统安全状态Table 3 Safety status of system

系统功能安全要求如表4所示，此系统架构输入量为油门位置开度和制动踏板开关，在功能上互相独立、冗余，反映驾驶员减速需求，“正确输入有关减速需求信号”功能安全要求为ASILD等级，分解为ASILB(D)等级“正确输入油门位置开度”和ASILB(D)等级“正确输入制动踏板开关”，确立ASILD等级检测油门位置、制动踏板开关逻辑一致的安全机制，若逻辑不一致，转入安全状态Sast0003。

表4 SG0004的功能安全要求Table 4 Functional safety requirements of SG0004

表4(续)

ASILB(D)等级的“正确输入油门位置开度”可分解为同为ASILA(D)等级的“正确输入油门位置1开度”和正确输入油门位置2开度，确立ASILD等级的“验证2路油门位置开度电压一致性”安全机制，若2路油门位置开度不一致，转入安全状态Sast0002。实现油门位置开度电压输入功能硬件要素为2路油门位置传感器和模拟量信号处理电路，经过ASIL分解后，能够降低硬件要素对于单点故障度量和潜在故障度量的要求，减小硬件要素开发难度的同时提高系统可靠性。输入制动踏板开关功能安全要求和油门位置开度要求类似，不再赘述。

喷醇驱动芯片接收减少喷醇量要求，经高/低边驱动电路控制喷醇，电源为高/低驱动电路供电，实现喷醇功能的所有要素均按照ASILD等级开发。信号回采模块检测驱动芯片输出PWM脉宽和驱动电流变化，若检测到喷醇驱动芯片或驱动电路产生故障，关闭喷醇功能，进入安全状态Sast0001。

喷油驱动芯片接收减少喷油量要求，经高/低边驱动电路控制喷油，调节共轨管压力。系统设计2个独立、冗余的喷油驱动芯片，任意1个驱动芯片均可独立控制2个喷油器和燃油计量阀，“喷油驱动芯片正确接收减少喷油量要求，驱动喷油器和燃油计量阀”功能要求为ASILD等级，可分解为2个同为ASILB(D)等级的“正确接收减少喷油量要求，通过喷油驱动芯片1或2驱动对应喷油器和燃油计量阀”和“喷油驱动芯片2正确接收减少喷油量要求，驱动喷油器和燃油计量阀”，通过ASIL分解，可降低喷油驱动芯片1和2和高低边驱动电路对于单点故障度量和潜在故障度量目标值的要求。系统通过信号回采模块监控驱动芯片输出PWM脉宽和驱动电流变化，若检测到喷油芯片或驱动电路故障，通过SPI通信关闭故障驱动芯片，使用另1路喷油驱动芯片，进入安全状态Sast0001，若2个喷油驱动芯片均故障，进入安全状态Sast0004。

电源管理模块将电源电压分别转换为5 V为MCU供电，转换48V为喷油高边电路供电，转换成12 V为喷醇高低边驱动电路供电，同时检测供电欠压、过压故障，通过SPI通信传输故障信息至MCU。当系统检测到要素故障，进入安全状态前，由于系统内此时存在故障，可认为CAN报文信息不可靠，选择通过点亮故障灯提示驾驶员故障信息。

4.2 验证

根据标准中要求，需采用安全分析方法，评估系统架构随机硬件失效指标(PMHF)与安全目标一致性，验证功能安全概念。

在Isograph软件可靠性工作平台中，对系统进行可靠性建模，搭建FTA故障树[16]模型，评估系统中要素故障率，计算PMHF是否满足ASILD等级目标值。

FTA故障树模型如图4所示，顶事件为安全目标SG0004被违反：车辆不能马上响应减速需求，中间事件为信号输入故障、喷醇故障、喷油故障、供电故障。由于篇幅限制，对输入故障和喷油故障、供电故障分页显示，但不影响计算结果。

以喷醇故障分支为例，说明故障树搭建过程。根据系统架构和与喷醇功能相关要素功能安全要求，规定存在ASILD等级安全机制，其诊断覆盖率(DC)为99%，检测喷醇器、喷醇驱动芯片、高低边驱动电路故障，若确认故障，关闭喷醇功能。若系统故障且违反安全目标，一类事件为被安全机制覆盖的故障发生时，安全机制的自身失效，即喷醇器、喷醇驱动芯片、高低边驱动电路任一要素故障，且安全机制在此时失效；另一类事件为没有被安全机制覆盖的残余故障发生，即喷醇器、喷醇驱动芯片、高低边驱动任一要素故障且此种故障没有被安全机制覆盖。

对于ASILD等级安全目标，系统PMHF值应小于1E-08/h。在SG0004中，检测喷醇故障安全机制的失效率(FR)为5E-09，故障检测时间间隔为0.5 ms，要素的失效率根据SN 29500标准进行计算，在分配时，考虑到实际因素，分配给传感器和执行器的失效率相对较高。在软件中设置以上对应参数，系统最终PMHF值为9.405E-09/h,符合ASILD等级安全要求。

5 结论

1)基于汽车功能安全标准，完成甲醇/柴油喷射控制系统的相关项的定义，分析系统结构和功能。

2)运用DFMEA方法，构造出失效模型，并对相关项进行危害分析，结合S、E、C3个指标进行风险评估，得到5个安全目标及其对应的ASIL等级。

3)针对SG0004-立刻响应减速要求,等级为ASILD等级的安全目标，开发其功能安全概念，并利用Isograph软件进行验证，结果表明：开发的系统符合ASILD等级安全要求。