基于功能安全硬件指標的轉向系統方案

李 兵, 張小樂, 羅 毅

聯創汽車電子有限公司,上海 201206)

0 引 言

隨著汽車技術的發展，車載電子電氣系統越來越多，功能越來越復雜。為了確保車輛電子電氣系統的安全性，ISO組織于2011年發布了ISO 26262-2011標準，用于指導車輛電子電氣系統的功能安全開發，2018年發布了ISO 26262-2018的第二版[1]，對標準進行了完善，同時該標準也適用于摩托車和商用車以及半導體的開發。中國也于2017年正式發布了關于汽車功能安全的標準GB/T 34590-2017[2]，汽車電子電氣系統的功能安全開發越來越受到重視。

功能安全標準中將失效分為系統性失效和隨機硬件失效。根據功能安全等級，對系統性失效提出了不同的要求，對隨機硬件失效也提出了不同的硬件架構度量指標。目前中國國內對功能安全標準的研究[3]以及轉向系統功能安全分析有部分成果[4-5]，對商用車、線控轉向系統的安全設計也有研究[1,6]，但對如何滿足功能安全標準中硬件指標相關文獻較少。為此，本文對如何滿足功能安全標準的硬件指標進行了相關分析，并通過分析計算驗證系統滿足功能安全的硬件指標。

1 轉向系統功能安全等級和硬件指標要求

根據功能安全標準，要確定電子電氣系統的功能安全等級和功能安全目標，需要完成系統的相關項定義，定義需包括系統的功能、接口、環境條件、法規要求和已知的可能危害等。電動助力轉向(EPS)系統通常使用無刷電機或有刷電機提供轉向助力，本文以無刷電機EPS系統為例進行分析。典型無刷EPS系統示意圖如圖1所示。

圖1 典型無刷EPS系統示意圖

EPS系統的主要功能是控制電機提供助力，輔助駕駛員進行轉向操作。EPS控制器根據轉向扭矩傳感器和轉角傳感器的信號以及車輛總線信號，計算出目標電機指令，然后根據電機位置傳感器和電流傳感器的信號控制無刷電機提供目標輸出。根據危害分析和風險評估方法，由嚴重度S暴露度E和可控度C 3個評分可得到EPS系統的整車危害，進而得到汽車安全完整性等級(ASIL)和功能安全目標，文獻[1,3]均提到了對EPS系統的功能安全分析。根據文獻[3]，EPS功能安全等級和功能安全目標如表1所示。

表1 EPS功能安全等級和功能安全目標[3]

對于功能安全目標1和2，EPS系統的安全狀態可定義為關閉電機輸出，此時轉向系統恢復機械轉向，駕駛員仍可通過方向盤正常駕駛車輛，保證車輛安全。對于功能安全目標3和4，功能安全等級為QM或ASIL A，EPS系統的安全狀態也可以為關閉電機輸出，保證機械轉向能力。

上述EPS功能安全等級包括ASIL D ASIL A和QM，按照功能安全標準[2]ASIL D等級對應的硬件指標要求：單點故障度量(SPFM)>99%，潛伏故障度量(LFM)>90%，隨機硬件失效概率度量(PMHF)<10硬件失效率(FIT)。QM和ASIL A無硬件指標要求。

2 硬件指標的計算方法

功能安全標準ISO 26262-2018和GB/T 34590-2017中定義了硬件指標的具體計算方法和過程，文獻[7]中也對實踐中如何進行功能安全硬件指標的計算提出了部分建議。

根據功能安全標準需使用失效模式、影響及其診斷分析FMEDA和定量故障樹分析(FTA)方法對硬件指標進行計算，計算過程簡言之就是對系統中所有安全相關的元器件進行失效率FIT的計算，通過對診斷覆蓋率和故障類型進行分析，可以得到不同類型故障的FIT數值，最后將結果進行匯總就可以得到系統的SPFM、LFM、PMHF。

根據文獻[7]，對于ASIL D目標的單點故障需要選取覆蓋率高的診斷機制，即診斷覆蓋率達到99%，這樣通常可滿足系統整體單點故障度量>99%的要求。在此基礎上對于潛伏故障也盡可能進行診斷，通常也可滿足系統LFM>90%的要求。選取高診斷覆蓋率的單點故障安全機制和潛伏故障安全機制同樣有助于系統滿足PMHF的要求。

3 轉向系統設計方案

圖2是一種滿足ASIL D功能安全等級的EPS系統設計方案。包括扭矩和轉角傳感器、CAN通信、電源等外部接口，控制器內部有微控制器、電源芯片、驅動芯片和驅動橋，以及相分離驅動和相分離電路，還有執行器三相無刷電機以及電機位置傳感器和電流傳感器。以下對各部件滿足功能安全要求的設計方案進行簡單說明。

圖2 EPS系統設計方案

3.1 安全路徑

如前所述，EPS系統的功能安全最高等級是ASIL D，安全狀態是關閉電機助力，使系統進入安全狀態的方式稱為安全路徑。

在圖2的EPS系統中設計有2條安全路徑。其中，虛線標注的即為安全路徑。一條安全路徑通過微控制器關閉電機驅動電路并使能相分離電路，使電機輸出關閉。另一條由帶看門狗功能的電源芯片實現，當微控制器無法正確運行時，看門狗電路可以發現該故障并通過電路關閉電機驅動電路并使能相分離電路，使電機輸出關閉。

2條安全路徑的設計可以保證發生任意故障時，系統均可以進入安全狀態。同時，方案中需保證系統斷電及初始化時安全路徑處于關閉狀態。

3.2 扭矩傳感器

由EPS基本工作原理可知，扭矩傳感器信號如出錯可能直接違反功能安全目標1，因此該傳感器與該功能安全目標的實現密切相關，由第2節可知，對于該部件需選擇診斷覆蓋率達到99%的安全機制。

表2 傳感器安全機制診斷覆蓋率[2]

根據GB/T 34590標準第五部分附錄D(表2)，對于傳感器選擇D.2.6.1，D.2.6.5，D.2.10.2等安全機制可以實現高診斷覆蓋率,即99%。在該EPS系統中，對于扭矩傳感器選擇兩通道的設計方案，即D.2.6.5，可滿足扭矩傳感器的高診斷覆蓋率要求。

該EPS系統中扭矩傳感器信號如圖3所示。2個通道的信號斜率相反，差異化的設計方案可以降低共因失效概率。

圖3 扭矩傳感器信號示意圖

3.3 微控制器

微控制器是EPS系統的核心器件，對于微控制器的處理單元、存儲器、片上通信等均需要考慮可能的失效模式和對應的安全機制。本文EPS系統的微控制器選用成熟芯片供應商提供的滿足ASIL D等級的微控制器，包含鎖步核、ECC存儲、內部通信保護及時鐘監控、電源監控等多種安全機制以及SMU故障處理模塊。通過選用ASIL D的芯片來滿足對于微控制器高診斷覆蓋率的要求。

電壓異常或微控制器損壞時微控制器自身無法保證其輸出的安全，需要外部電壓監控電路和外部看門狗電路對微控制器進行監控。

3.4 電源芯片和看門狗

為了保證系統滿足功能安全要求，除了微控制器內部各安全機制之外，還需要對微控制器的供電采用適當的安全機制，同時需要通過看門狗功能對微控制器的程序運行進行監控。

對于微控制器的供電，可選用帶輸出電壓監控(安全機制D.2.8.2，表3)的電源芯片；對于程序運行監控，可選用對程序序列的時間和邏輯監控的組合(安全機制D.2.9.4，表4)。本文EPS系統選擇了帶看門狗和電源監控的電源芯片，同時該芯片具備安全路徑功能，在上述安全機制檢測到相應故障時，可直接關閉電機輸出，保證系統進入安全狀態。

表3 電源安全機制診斷覆蓋率[2]

表4 程序序列安全機制診斷覆蓋率[2]

3.5 電機驅動電路

電機是EPS系統中的執行器，根據GB/T 34590標準第五部分附錄D(表5)，對于執行器

表5 執行器安全機制診斷覆蓋率[2]

選擇D.2.6.1測試模式，D.2.11.1監控(即一致性測試)可以實現高的診斷覆蓋率(即99%)。在本EPS系統中，對于電機驅動電路采用了監控電機實際電流的設計方案，即D.2.11.1，該方案可以滿足對執行器的高診斷覆蓋率的要求。

3.6 電機電流傳感器

根據EPS基本工作原理可知，電流傳感器如出錯也會直接違反功能安全目標1，因此對于該部件也需選擇診斷覆蓋率達到99%的安全機制。圖4所示為電流示意圖，選擇三相/三路電流采樣的設計方案，根據基爾霍夫第一定律，電機三相電流之和始終為零，該安全機制也屬于功能安全標準中的D.2.6.5。該方案可以滿足對電流傳感器高診斷覆蓋率的要求，例如可以診斷出單個電流采樣值卡滯或漂移等故障。如出現電機對殼體漏電流等非電流傳感器故障，通過三相電流和也可以判斷系統出現異常，使系統進入安全狀態。

圖4 電流示意圖

圖5 電機位置傳感器信號示意圖

3.7 電機位置傳感器

對于采用三相無刷電機的EPS系統，電機位置傳感器若出錯也會直接違反功能安全目標1和功能安全目標2，因此該部件也需選擇診斷覆蓋率達到99%的安全機制。本文EPS系統中，電機位置傳感器也選擇了兩通道設計方案，即D.2.6.5。圖5為本文設計方案中電機位置傳感器信號示意圖。通道1為直接角度信號，通道2傳感器為磁阻傳感器，在電機軸處有磁鋼，磁鋼旋轉產生的磁場方向變化會使該傳感器輸出sin和cos兩路信號，兩路信號滿足三角函數關系，通過對兩路信號的比值sin/cos進行反正切計算也可以得到電機角度，同時2個通道差異化的設計方案也可以降低共因失效概率。該方案可以滿足對電機位置傳感器高診斷覆蓋率的要求。

3.8 系統方案總結

綜上所述，所提EPS系統各個與安全目標相關部件均選擇了高診斷覆蓋率，通過標準中FMEDA和定量FTA方法對硬件指標進行計算和分析，可得校核結果如表6所示。

表6 硬件指標校核結果

可以看出，本文EPS的系統方案滿足2個ASIL D功能安全目標的SPFM、LFM和PMHF指標，另外2個功能安全目標等級為QM和ASIL A，這2個目標無硬件指標要求。綜上，所提EPS系統滿足功能安全標準規定的隨機硬件失效的硬件指標度量。

4 結 語

汽車電子電氣系統越來越復雜，按照功能安全標準對控制器進行開發來保證車輛安全也越來越重要。本文介紹了汽車轉向系統的功能安全目標和功能安全等級，以及功能安全標準中硬件指標的基本要求和計算方法。重點分析了轉向控制器中各個硬件部件對功能安全目標的影響以及安全機制的選擇，通過對所有相關部件的安全設計可以保證控制器系統滿足功能安全硬件指標。

本文主要探討了針對隨機硬件失效的安全機制，對于系統性失效，功能安全標準中主要通過開發流程和分析評審驗證等來避免；另外針對部分系統性失效也可以采用E-Gas 3層架構或其他安全機制來監控，保證系統安全[8]。

該EPS系統方案屬于Fail Silent系統，發生失效后的安全狀態是關閉轉向電機輸出。隨著高等級自動駕駛的開發，轉向系統需要實現Fail Operational的要求，在無人駕駛中即使發生失效后仍能提供轉向功能。Fail Operational對轉向系統提出了更高的要求，需要在本文Fail Silent系統的基礎上對轉向系統進行冗余設計，從而保證自動駕駛中的整車安全[9]。