方顺亭 李晶 王玉磊 杨清凯 荣玉良
中国汽车技术研究中心有限公司 天津市 300300
随着汽车电子技术的飞速发展,汽车集成了越来越多先进功能的电气系统。这些功能的开发和集成,不仅极大地提高了汽车驾驶的舒适性、主被动安全性能、驾驶辅助以及动态控制性能,但高度集成化的电气系统也给汽车驾驶的安全埋下了安全的隐患。为保证车辆安全相关电子电气系统在安全周期内功能安全的正常运行,汽车功能安全已成为人们越来越关注的问题。国际电工委员会(IEC)于2000 年5月发布了IEC61508《电气/ 电子/ 可编程电子安全系统的功能安全》标准,此标准目的是针对以电子为基础的安全系统建立了一套统一的、合理的技术方案。在此背景下,国际标准化组织在2011 年11 月颁布了ISO26262《道路车辆电气系统功能安全》。该标准涉及具有一个或多个电子、电气系统且最大总质量在3.5t 以内的乘用车,用以解决有电子、电气相关的安全系统故障可能会引发的危害,包括这些系统间的相互作用和影响。
我国修改采用ISO26262 于2017 年发布首个面向汽车领域的功能安全标准GB/T 34590-2017《道路车辆 功能安全》。该标准针对道路车辆电子电气系统提供了适当的要求和流程并给出避免风险的指导。从整车再到部件,受安全性及GB 17675-1999《汽车转向系基本要求》的限制,GB 17675-2021《汽车转向系 基本要求》代替了旧标准,增加了附录B“对转向电子控制系统的功能安全要求”,从功能安全的角度提出了明确的安全性要求。本标准附录B 功能安全要求部分,规定了转向电子控制系统在功能安全方面的文档、安全策略及验证确认的要求。本文依据GB 17675-2021《汽车转向系 基本要求》附录B 依据转向电子控制系统功能安全要求就危害分析和风险评估、安全分析进行简要概述,并对某款带有电动助力转向系统乘用车开展了转向功能安全试验验证。
转向电子控制系统通常由控制器、传感器和执行器等独立的功能组件构成,并通过传输链相互连接。以电动助力转向(EPS)为例,其要素清单组建的架构图如图1 所示。扭矩传感和角度传感器采集驾驶员施加在方向盘上的操纵力距和转动角度信号,CAN 总线中读出整车当前行驶的车速信号,这些信号都传递到ECU,ECU 根据内置的控制策略,计算出目标力矩,通过电信号传递给电机,电机经减速机构将助力力矩作用在机械式转向系统上,与驾驶员的操纵力矩一同克服转向阻力矩,实现车辆的转向。
图1 EPS 系统架构图
对于潜在风险,ISO26262 依据严重度(S)、暴露概率(E)和可控制性(C)的不同程度进行评估ASIL 等级(汽车安全完整性等级)。严重度,指危险发生后交通参与者包括驾驶员、乘客、行人以及车辆的损害程度;暴露率,指人员和车辆暴露在不同场景下系统失效可能发生的概率;可控制性,指危险发生后驾驶员通过采取措施对危害的控制能力。其中,ASIL等级分为A、B、C、D 四个等级,A 为最低等级,D 为最高等级,等级越高对系统的安全性要求则越高。严重程度、暴露概率和可控制性的等级的描述如表1 所示,风险等级的确定如表2 所示。
表1 严重度、暴露概率、可控制性的等级划分
表2 ASIL 等级的确定
表2 的QM 代表质量管理,表示按照质量管理体系开发系统或功能即可,不考虑安全设计要求。
首先要对危害进行识别,即应用足够充分的技术手段确定危害,并在整车层面上观察到的行为或条件来定义危害。常用的危害识别方法有故障模式影响分析(FEMA)、安全检查列表(SCL)、危险与可操作性分析(HAZOP)等。危险与可操作性分析(HAZOP)是一种探索型的分析方法,从相关项功能层面出发,通过引导词分析特定功能异常可能导致的危害。本文以HAZOP 方法为例,表 3 给出了电动转向助力功能的HAZOP 分析。
表3 电动转向助力功能的HAZOP 分析
结合运行场景维度将转向助力功能的异常表现映射到整车层面危害,表4 以车辆直行和转弯为例。
表4 整车层面危害分析
基于上述ASIL 等级评定原则,结合车辆运行场景,得到每一事件对应的ASIL等级,下面以个别场景工况为例得出整车危害分析和风险评估分析示例,如表5所 示。
表5 电动助力转向功能的危害分析和风险评估分析示例
通过对转向电子控制系统的危害分析和风险评估得出最高层面的安全要求,即安全目标。针对表4 和表5 中的相关危害,表6 给出了包含安全度量的电动助力转向功能安全目标示例,其中安全度量可根据侧向加速度、横摆角速度、方向盘力矩等技术参数体现,也可增加主观感受评价安全措施效果。根据得出的安全目标,映射到相应的转向电子控制系统的架构要素或外部措施上,并进一步细化至技术安全和软硬件要求,完成V 型开发流程的左侧开发设计阶段。
表6 电动助力转向系统功能安全目标
为确保转向电子控制系统的功能安全开发结果满足相应的安全要求,需在整车层面开展功能安全验证试验,现针对上述的安全目标,分别选取软硬件故障开展试验验证。基于图1 架构图,制造某一要素出现故障,其他要素均正常运行,再结合整车的运行工况,对其安全措施进行试验验证。如“角度传感器”要素提供了错误的“转角信号”,会造成EPS 主控单元发出错误的指令,导致错误的转向。结合整车运行场景——运行条件、车辆状态、驾驶模式等,针对可造成的非预期侧向运动、车辆侧向运动控制丧失、转向沉重等整车危害,开展验证试验,其中,表7 为试验的部分测试结果。通过对大量的软硬件故障注入的测试应例试验,车辆均可控,满足功能安全目标要求。
表7 电动助力转向系统功能安全验证
本文针对转向电子控制系统功能安全设计开发V 模型左侧流程的进行了简要概述,通过危害分析和风险评估提出了对应的安全目标和安全度量,并根据GB17675-2021《汽车转向系 基本要求》附录B 关于转向电子控制系统功能安全的相关要求,对样车开展了软硬件故障注入试验,以验证其功能安全的可靠性。