概念階段和系統級設計階段汽車電子轉向鎖功能安全開發設計

李洪雷，詹德凱，高 越

（華晨汽車工程研究院電子集成室，遼寧 沈陽 110141）

1 電子轉向鎖的控制原理

1）電子轉向鎖的控制分析 無鑰匙進入及一鍵起動系統代替傳統汽車的機械鑰匙及點火鎖。網絡拓撲圖如圖1所示。

該系統由5個模塊組成。ESCL（electric steering column lock，電子轉向鎖）在該系統中用來替代傳統的點火鎖，作為整車防盜器件用以轉向管柱的鎖止。也就是電子轉向鎖在收到上鎖請求，并確認滿足上鎖的各項條件時，在相應控制器控制下，電子轉向鎖會自動彈出鎖舌，將轉向管柱鎖死，使之失去轉向功能。當電子轉向鎖收到解鎖請求，并確認滿足解鎖條件時，電子轉向鎖會自動收回鎖舌，恢復轉向管柱的轉向功能。該器件是集機械鎖止結構和電子控制單元為一體的產品。在這個網絡里，PEPS（passive entry passive start，無鑰匙進入及起動）通過LIN總線，并作為LIN總線控制的主控節點對從節點ESCL進行上鎖和解鎖的動作控制。

出于防盜安全考慮，在PEPS發送解鎖命令時需

2）功能安全分析 上鎖功能本身只是一項基本功能，但是在非期望時間出現上鎖動作將是一件非常危險的事情。如果是在用戶駕車高速行駛過程中突然出現上鎖動作，導致轉向失靈，極有可能出現車毀人亡的嚴重后果。依照ISO 26262道路車輛功能安全標準，對電子轉向鎖誤上鎖這項功能進行ASIL等級評估。

第1步，進行嚴重度評估，高速行駛時上鎖誤動作對用戶直接導致的最終后果為Class S3致命傷害。

第2步，進行暴露度評估，高速行駛時上鎖誤動作致使用戶暴露在危險中的機率按照表1評估是 E4高發生機率。

表1 暴露度評估表

第3步，進行可控能力評估，高速行駛時避免上鎖誤動作的控制能力按照表2評估是C3難以控制。

表2 可控性評估表

第4步，根據以上三方面的評估，按照表3的排列分析得出結論：該事件需要按照安全等級ASIL D進行安全設計。

表3 安全程度等級定義表

綜上對電子轉向鎖上鎖誤動作這一事件的分析，該系統的控制應該按照功能安全等級ASIL D的標準進行軟硬件的設計。但是按照該標準設計，無論從技術還是從成本角度考慮都很難實現，所以我們可將較高的ASIL等級要求拆分為2個較低的ASIL等級要求。

3）功能安全高ASIL等級劃分為低ASIL等級 在2）的分析中，車輛高速行駛時上鎖誤動作一旦發生，嚴重度是無法降低的，而駕駛者暴露在危險當中的幾率也將是無法降低的，然而避免該事件發生的控制措施還是可實現的。在無鑰匙進入及一鍵起動系統中，如果可以將1個控制器PEPS對ESCL進行控制更改為2個控制器同時對其控制，無論哪一個控制器單方失效將無法導致誤動作發生。那么該設計方案將大大提高該系統對電子轉向鎖上鎖誤動作的控制能力。

根據電子轉向鎖硬件框圖 （圖2）及 上鎖命令&供電有效 =1=鎖電機動作 對圖2控制原理的描述，不難分析出可將電子轉向鎖的電機控制和電機供電分由2個模塊來控制，如圖3所示。

按照圖3控制原理的調整，電子轉向鎖的動作控制已經完全分由BCM、PEPS 2個模塊來控制。那么，控制器BCM或PEPS單一故障將不可能引起電子轉向鎖的誤動作。因此根據表2可以得出，該事件的發生將很容易被控制住。可控度完全可以達到C1。那么，該功能的ASIL等級將會降為ASIL B。按照ASIL B進行設計，將大大降低了對電子轉向鎖硬件和軟件的要求，進而也達到了成本的控制要求。

2 總結

在該無鑰匙進入及一鍵起動系統中的電子轉向鎖上鎖誤動作這一事件中，應用了ISO 26262道路車輛功能安全標準的系統分析方法，對其控制原理進行分析改進，使得整個系統的設計不僅得到了優化，大大提高了可靠性，同時也為電子轉向鎖這一部件的設計標準降低了級別，達到了滿足高可靠性、低成本的要求。

［1］ISO 26262， Road vehicles-Functional safety［S］.