基于整车动力学的EMB 线控制动系统功能安全概念设计

摘 要：为了提高面向智能车辆的电子机械制动（EMB）系统的安全性与鲁棒性，开展了相应的功能安全概念设计。在ISO 26262标准的基础上，并结合产品开发现状，采用故障注入的仿真方法，获得了车身在EMB失效时的运行规律，为故障发生时危害的严重度和可控性评判提供了数据支撑，有效解决了EMB系统数据库不足的问题，并实现了严重度和可控性的量化分析。开展了危害分析与风险评估（HARA），得到了10个功能安全目标及其对应的汽车安全完整性等级（ASIL），制定了EMB系统的功能安全架构和需求。结果表明：本概念分析方法，可为其它全新智能驾驶电子系统的功能安全开发，提供参考。

关键词： 智能车辆；电子机械制动（EMB）；功能安全；汽车安全完整性等级（ASIL）；概念设计

中图分类号： U 462.3+3 文献标识码： A DOI： 10.3969/j.issn.1674-8484.2024.06.004

电动智能化汽车以其操控简单、响应速度快等特点，深受年轻用户喜欢[1]，但传统的制动系统已经不能满足智能化汽车制动的要求，因此线控制动系统（brake-by-wire system，BBWS） 成为当下的研究热点之一。其中，电子机械制动 （electronic mechanical brake，EMB） 系统[2] 用作为汽车制动的终极解决方案，采用了电子控制取代了传统的液压控制，使得信号传递更加迅速，结构更加简单。然而，由于执行器和系统的复杂程度增高，并且EMB 系统取消了传统车辆的液压备份[3]，系统发生故障的风险也随之升高，一旦制动发生失效，将会造成无法预估的后果；所以EMB 系统的安全可靠性成为其发展的关键因素。为此，需要针对EMB 系统进行功能安全开发。

国际标准化组织（International Organization forStandardization，ISO） 基于IEC61508，在2011 年发布了道路车辆功能安全标准ISO 26262 [4]，旨在排除非电子方面的影响后，从电子电气角度出发，考虑汽车的使用安全性和控制系统的可靠性。相应地，中国发布了GB T34590-2022 标准[5]，用于定义道路车辆上由电子、电气和软件组件组成的安全相关系统在安全生命周期内的所有活动[6]。

自标准发布以来，国内外众多学者以及企业做了功能安全相关的研究和开发工作。S. Khastgir 等人提出了一种提高分析可靠性和客观性的方法，该方法通过对严重度、暴露率、可控性等3 个参数创建规则集，来得到汽车安全完整性等级[7]。LEU Kuen-Long 等人对智能线控制动系统（intelligent BBWS，IBBWS） 进行功能安全的设计及分析，并使用故障树分析（fault treeanalysis，FTA） 和失效模式与影响分析（failure modeand effect analysis，FMEA） 对IBBWS 进行安全设计，以满足所需的汽车安全完整性等级（automotive safetyintegrity level，ASIL） [8]。王俊明阐述了功能安全标准概念阶段的内容和要求，并以车道保持辅助系统（lanekeepingassistance，LKA） 为例完成了功能安全概念设计[9]。荣芩等人对线控转向（steer-by-wire，SBW） 系统进行功能安全概念设计，采用规则集的方法进行危害分析和风险评估（hazard analysis and risk assessment，HARA） 分析，得到了汽车在中高速行驶时应避免无法转向和非驾驶员转向的2 个安全目标，并提出了该系统的功能安全概念[10]。

目前针对EMB 系统功能安全开发的公开报道较少。程洁等人对EMB 系统进行了功能安全分析与系统安全机制设计，并对设计的安全机制进行故障注入试验，以证明其有效性[11]。但其在进行HARA 分析时，未明确指出如何得到严重度、暴露率和可控性等3 个评价指标的数值，用以对汽车安全完整性等级（ASIL）评级。

通常，在做汽车功能安全概念分析时，多采用失效模式与影响分析（FMEA）、故障树分析（FTA） 等理论方法[12] 来分析失效及其影响，并据此得到安全目标以及安全要求。但是面对智能驾驶汽车这一复杂系统，在不同场景下，失效的影响和危害通常不能准确预知和完整归纳。在数据库和经验不足的情况下，很难对失效模式和故障场景进行全面汇总，从而造成功能安全需求无法完整定义，并造成概念设计缺陷。

为开发面向智能车辆的线控制动系统EMB 系统功能安全概念，本文作者提出一种基于故障注入（faultinject，FI） 仿真试验的功能安全评估方法，用于重构EMB 失效时的车辆运行规律，以此为基础，分析其危害和风险，并作为功能安全分析方法的补充。根据仿真结果来完成失效影响分析、安全目标定义以及安全需求等概念阶段开发工作，可望为EMB 系统功能安全的完整性开发提供参考。

1 概念阶段流程分析

本文根据ISO 26262-3 概念阶段开发流程[4]，采用基于线控制动系统仿真的功能安全概念设计，与传统概念阶段的定性开发流程相比，本文增加了故障注入仿真试验，可以支撑风险评估以及ASIL 等级划分的定量开发，具体的流程如图1 所示，首先进行EMB系统的相关项定义，明确EMB 系统的系统架构。然后对EMB 系统车辆的运行场景以及失效模式进行分析，并采用危害与可操作分析（hazard and operabilityanalysis，HAZOP） 方法得到系统功能的失效形式，并由此生成故障列表进行故障注入仿真试验、量化风险指标、最后根据仿真结果进行HARA 分析得到功能安全目标、提出功能安全概念。