基于ISO26262的商用車電動助力轉向功能安全設計

徐闖, 譚雁清

(1.天津市松正電動汽車技術股份有限公司研發中心, 天津 300100；2.東北大學秦皇島分校控制工程學院，河北秦皇島 066004)

0 引言

安全性一直是汽車行業發展的關鍵詞。汽車電子科技的迅猛發展，使得汽車上集成的電氣系統越來越多。這些電氣系統在極大地提高了汽車的主動、被動安全性能及駕駛舒適性的同時，也帶來了系統失效后的高風險。如何保證汽車上高度集成化的電氣系統的安全，進而保證整車的安全，成為備受關注的課題。

在這一背景下，國際標準化組織在2005年11月開始制定相關標準，并于2011年11月正式頒布《道路車輛電氣系統功能安全標準-ISO26262》，以下簡稱ISO26262。此標準主要應用于相關的安全系統，該系統包括安裝在總質量在3.5 t以內的一系列乘用車上的一個或者多個電子、電氣系統，主要涉及解決由電子、電氣相關的安全系統故障現象可能引起的危害，包括這些系統間的相互影響[1-2]。

目前在商用車特別是新能源商用車領域，雖然沒有強制要求相關電氣系統必須符合ISO26262的要求，但是在設計中即貫徹ISO26262的流程和方法，能夠幫助開發出更安全、更具競爭力的產品[3-4]。作者基于ISO26262標準，在商用車電動助力轉向產品設計之初進行功能安全設計，為后續的產品開發提供依據。

1 功能安全標準ISO26262

ISO26262除關注車輛電氣系統外，還提供了一個基于其他技術的與安全相關的框架。在此標準中，提出了一個汽車安全壽命周期(管理、開發、生產、運行、服務、停止工作)的概念。

ISO26262說明了如何確定汽車風險等級ASIL(Automotive Safety Integration Level，汽車安全完整性等級)的具體方法，規定了風險等級，即ASIL等級分別為A、B、C、D。其中A是最低級，D是最高級，等級越高對系統安全性的要求越高，不同風險等級的安全問題將以普通功能為導向,和產品的開發活動實現有機結合。

具體而言，先綜合系統的使用工況和環境因素，識別出潛在風險；再依據嚴重程度、暴露概率和可控制性的不同程度完成風險等級的判定。嚴重程度、暴露概率和可控制性的等級劃分如表1所示，風險等級的判定依據如表2所示。在表1中，ISO26262的建議是S0、E0及C0等級程度極低。

表1 嚴重性、暴露概率和可控制性的等級劃分

表2 風險等級的判定依據

在表2中，QM(Quality Management)表示質量管理，表示按照質量管理體系開發系統或功能就足夠了，不用考慮額外的安全相關設計。A、B、C、D分別代表ISO26262標準中的功能安全等級ASIL A、ASIL B、ASIL C、ASIL D。

2 電動助力轉向的危害分析和風險評估

對電動助力轉向產品進行系統的危害分析和風險評估，其目的是對系統的危害因素進行識別和分類，制定相應的安全目標，并采取有效的預防對策。

依據前文介紹的ISO26262中系統進行危害分析和風險評估的方法，結合商用車電動助力轉向的使用工況和環境因素，對其進行風險識別，結果如表3所示。針對表3中識別出的潛在風險，進一步進行分析與評估，結果如表4所示。

表3 商用車電動助力轉向風險識別

表4商用車電動助力轉向功能安全分析

風險序 號可能的原因嚴重性暴露率可控性ASIL等級1控制器故障S3E4C3ASIL D2傳感器故障S3E4C3ASIL D3助力過大S2E4C2ASIL B轉向失效或4助力過小S2E3C2ASIL A非預期轉向5左右助力不對稱S1E3C2QM6回正不足S1E3C2QM7回正超調S1E3C2QM8車速信號異常S1E3C2QM

3 電動助力轉向的功能安全設計

通過商用車電動助力轉向功能安全分析，得出商用車電動助力轉向的安全目標：防止轉向失效或非預期轉向，功能安全等級為ASIL D。同時明確了兩個ASIL D等級的安全需求：防止控制器故障和防止傳感器故障。

依據ISO26262的功能安全分解原則，ASIL D 應該被分解為：一個ASIL C(D)和一個ASIL A(D)；一個ASIL B(D)和一個 ASIL B(D)；一個ASIL D(D) 和一個QM(D)。

在實際設計中，為防止控制器故障，將控制器設計成了兩套冗余的控制系統：控制系統A和控制系統B。正常工作時，控制系統B作為監控系統對控制系統A的運行情況進行監控。在判定控制系統A失效后，控制系統B當即接管，同時控制系統A退出運行，保證系統正常工作。以此，將ASIL D分解為一個ASIL B(D)和一個 ASIL B(D)。

對于傳感器故障，直接選用市場上已經量產的符合ISO26262標準ASIL D等級要求的傳感器產品，以縮短開發周期、節省研發費用。其滿足ASIL D等級要求的實現方法是在傳感器內部集成了兩套獨立的模塊，分別具備完整的信號采集、信號處理、信號傳輸的功能，實現了將ASIL D分解為一個ASIL B(D)和一個 ASIL B(D)的設計目標。

功能安全分解過程如圖1所示。

圖1 商用車電動助力轉向功能安全分解

4 結論

ISO26262標準主要應用于汽車行業中的電子系統，目的是提高汽車電子、電氣系統的功能安全，進而提高整車的安全性能。其核心價值在于提供了系統的功能安全開發流程，這使得它不僅僅局限在汽車電子領域，而能為更多領域的產品開發提供借鑒和方法論指導。

作者在商用車電動助力轉向產品開發中，基于ISO26262標準，在商用車電動助力轉向產品設計之初進行功能安全設計，制定了產品的頂層架構，為后續的開發工作提供了依據，在縮短產品開發周期的同時大大提升了產品的安全性。

參考文獻:

[1]劉佳熙,郭輝,李君.汽車電子電氣系統的功能安全標準ISO26262[J].上海汽車,2011(10):57-61.

[2]袁蘭秀.汽車電子電氣系統功能安全標準ISO26262的幾點探討[J].科技資訊,2013(8):245.

[3]還宏生.汽車設計中的安全要求及ISO26262標準[J].汽車零部件,2012(10):41-43.

HUAN H S.Vehicle Safety Relevant Function Design & ISO26262[J].Automobile Parts,2012(10):41-43.

[4]盧靜.功能安全標準ISO26262在汽車電子電器開發中的應用[J].電子世界,2016(20):124-125.