基于预期功能安全的转向系统台架测试评价研究

范学 邹圣星 汤志鑫 陆宏国

【摘  要】ADAS系统普及对功能安全提出了新挑战。本文对LKA系统进行功能安全分解，继而利用预期功能对执行器EPS功能安全目标及安全需求进行SOTIF安全区域确认，并梳理测试用例及验证方式，利用转向五通道试验台及dSPACE控制器搭建EPS_LKA HIL台架，首次实现模拟实车加载的系统级别HIL测试，发现不满足预期功能安全的风险项，并协助整改。本次研究将很好地补充我司EPS_LKA系统台架验证手段，并为后续建立符合预期功能安全开发和评价提供前期的数据支撑。

【关键词】LKA；APA；预期功能安全；台架测试研究

中图分类号：U463.6    文献标志码：A    文章编号：1003-8639（ 2023 ）04-0072-05

【Abstract】The more popular the ADAS system is，the bigger challenge it brings to the vehicle safety. This paper，based on driving-assist function incorporated into the company's new flatbed car，used the method of HARA analysis，and work with the safety goals and safety requirements of LKA and APA system to complete the SOTIF safety region verification and sort out test method. By using the original MTS steering equipment and dSPACE controller，set up a suit of test system for EPS_LKA and APA system. The test bench can load as real car and carry on the system level of HIL test first time. Through the test，we find the issue which obeyed the SOTIF，and guidance the products improving，and have completed the test system of the steering system and provide a clear basis for system development and test.

【Key words】LKA；APA；SOTIF；bench test research

1  前言

随着车辆电动化、智能化的发展，预期功能安全越来越受到各厂商的重视。下文将介绍汽车功能安全体系，以及在功能安全体系指导下，对LKA功能安全分析、测试用例策划和验证方法进行举例说明。

2  预期功能安全的理论

ISO针对功能安全制定标准体系及分工，见表1。

2.1  汽车预期功能安全的核心

SOTIF应对ADAS挑战，作为FUSA的扩展，也不再仅关注电子电器失效造成的危害，而SOTIF的两个核心点可概括为：预期功能安全不足及人为误用[2]。预期功能安全及功能安全标准体系差异如图1所示。

SOTIF意义在于通过场景、情景及事件的排列组合有效划分事件所处区域的位置，通过合理验证，将已知不安全区域转为安全区域，并发现未知不安全区域，如图2所示。

2.2  预期功能安全开发流程及验证方式

从行业共识来看，SOTIF体系与FUSA体系并无冲突，二者共同为全类型ADAS功能在故障和非故障情况下安全运行提供支撑，因此应结合二者，共同构建产品V型开发验证流程，如图3所示。鉴于预期功能安全HARA的评价指标未明确，SOTIF的HARA可以借鉴FUSA的HARA，产品开发及验证过程应是软硬件开发与测试同步执行，但SOTIF应着眼于确定合理验证，将已知不安全转为安全，并发现未知不安全区域。

ADAS系统三大核心问题：场景感知能力、决策算法合理性、执行层能力。SOTIF典型驗证和确认方法可参照表2。

3  整车LKA预期功能安全分解

LKA系统中，EPS是实现功能的关键执行器。与传统EPS系统比，除提供助力外，EPS_LKA不仅需响应LKA控制器力矩请求，还为LKA横向控制策略实现安全冗余。因此，对执行器EPS_LKA进行验证，首先需对所属系统整体进行功能安全分解，获取相关功能安全目标及功能安全需求，划分并确认所属预期功能安全区域，制定验证工况，从而制定对应的EPS_LKA模块的验证方法。

下文将以某车型LKA功能为基础，借鉴FUSA功能安全分解流程，先以对LKA分解为示例获取系统功能安全目标及功能安全需求。

3.1  LKA要素及功能定义

LKA网络拓扑[4]如图4所示。经分析，LKA的主要功能要素及要素功能描述分别在表3中被给出。

通过对整车上LKA功能进行归纳和总结，整车实现的功能见表4。

3.2  HAZOP分析

采取HAZOP方法进行系统功能失效分析，功能层面失效表现形式关键词有：功能丧失、过度、延时、不足、间歇性、无规律、相反、错误、驾驶员无法接管、无法识别变道信息。下文展示利用HAZOP方法对LKA系统功能进行失效分析。整车坐标系六自由度运动如图5所示。

3.3  危害及场景定义

3.3.1  系统的异常表现

使用HAZOP分析方法得出LKA系统在车道居中、偏离告警等几方面可能的异常表现，分析可能导致的整车层面危害，表5为LKA系统功能异常表现的部分案例。

3.3.2  整车层面的危害

上述问题在整车层面功能异常表现的危害见表6。

3.4  驾驶场景及工况定义

参照SAE J2980：2018 Considerations for ISO 26262 ASIL Hazard Classification中场景概括如下，如图6所示。

3.5  ASIL等级：（Automotive Safety Integrity Level）定义

基于上述Hazard、工况和环境，进行排列组合，然后对Hazard与工况及环境进行compliance分析，可进行相应ASIL等级定义。ASIL等级分解图如图7所示。

3.6  系统危害分析和风险评估（HARA分析）

根据HARA进行分类、总结，从而得到LKA的功能安全目标，如图8所示。

3.7  系统安全目标的和安全需求

综上，得出LKA系统功能安全目标见表7。

4  EPS_LKA的预期功能安全测试分析及测试用例策划

上述功能安全目标及安全需求需进行安全区域划分，以SR2区域确认为例，确认流程如图9所示。图9中，①功能定义为开启LKA时不进行脱手检测。②功能危害进行识别和评估：高速路开启LKA，突发非预期转向，但驾驶员发生脱手。上述①②引发危害及风险能否被评审通过，如未通过，进行③触发事件分析预估是否正确识别道线标记，如不能，则④功能提升：加脱手检测。如果符合区域2（已知不安全），则⑤定义验证和确认策略。如符合区域3（未知不安全），则⑥～⑦功能安全区域的确认，最后是⑦SOTIF确认验收。

SOTIF验证和确认过程主要是对区域2和区域3的探测和转化过程。EPS_LKA作为关键执行机构之一，测试用例测试参考图10。EPS_LKA功能安全部分用例及期望结果见表8。

4.1  EPS_LKA台架测试系统搭建和介绍

自建LKA测试系统，EPS_LKA预期功能安全测试系统控制原理如图11所示。

4.2  搭建LKA、APA测试系统模型

模型构架案例如图12～图14所示。搭建的测试控制软件界面如图15所示。

5  试验结果分析

以某版本系统为例，测试发现LKA模式下不符合的部分案例如下，试验过程如图11所示。

5.1  问题1：LKA驾驶员脱手判定时长过长

1）测试方法：轉向系统按实车装配，用台架对转向系统模拟实车加载，并为系统供电，试验人员先手扶方向盘通过自检再脱手模拟驾驶员未手扶方向盘状态。通过LKA系统测试工程向EPS_LKA模块发送模拟MPC控制器规划的目标路径（发送虚拟零扭矩请求时），利用MTS测试系统及dSPACE控制器分别回采系统响应。

2）测试结果：实测系统扭矩为0.18N·m扭矩下保持24.8s，EPS_LKA报文状态位跳变，系统跳出LKA状态，测试结果见图16，高车速状态下，MPC异常时有7～10s时间差显然存在较高功能安全风险。

5.2  问题2：LKA驾驶员脱手力矩判定值不合理

1）测试方法：转向系统按实车装配，用台架对转向系统模拟实车加载，并为系统供电，试验人员先手扶方向盘通过自检后再脱手模拟驾驶员未手扶方向盘状态。通过LKA系统测试工程向EPS_LKA模块发送模拟MPC控制器规划的目标路径（发送虚拟连续0.1N·m正弦请求时），利用MTS测试系统及dSPACE控制器分别回采系统响应。

2）测试结果：驾驶员脱手状态下，系统扭矩均值在0.4N·m，EPS_LKA无法检测到脱手状态，如图17所示，存在严重安全风险。

6  结论

本文主要研究预期功能安全问题，并利用我司现有转向五轴试验系统及dSPACE控制器来完成EPS_LKA测试台架搭建，并发现了系统不足，为我司EPS_LKA模式功能开发验证提供了更多有效验证的手段。

参考文献：

[1] ISO 26262，Road Vehicles——Functional Safety[S]. 2011.

[2] ISO 21448，Road Vehicles——Safety of the intended functionality[S]. 2019.

[3] 尚世亮，崔海峰，郭梦鸽，等. 自动化测试在SOTIF开发中的应用[J]. 汽车技术，2018（11）：23-26.

[4] 吴建康. LKA与LC系统控制软件开发与集成测试研究[D]. 长春：吉林大学，2018.

（编辑  凌  波）