基于ISO 26262的甲醇/柴油噴射控制系統功能安全概念開發

董自遠，李捷輝

(江蘇大學 汽車與交通工程學院，江蘇 鎮江 212013)

0 引言

隨著汽車智能化、信息化技術快速發展，汽車電子/電氣(E/E)系統集成度和復雜性日益增加，軟硬件隨機失效的風險也在不斷提高。為提高汽車安全性，國際標準化組織在《Functional safety of electrical/electronic/programmable electronic safety-related systems》(IEC 61508)[1]基礎上，針對汽車E/E系統的特點，制定并頒布《Road vehicles-Function safety》(ISO 26262，本文簡稱標準)[2]。

化石能源短缺阻礙內燃機的發展，甲醇是理想的替代燃料。在直列四缸高壓共軌柴油機進氣道上加裝噴醇器[3]，在低速工況時，采用純柴油工作模式，在中高速工況時，采用雙燃料工作模式，采用進氣道多點噴射方式，由柴油引燃甲醇燃燒。

功能安全概念開發是整車功能安全開發過程中重要環節，近年來，國內外學者對此開展一系列研究。馬行等[4]開發車道偏離預警系統功能安全概念，搭建UML模型，進行仿真測試；Huang等[5]開發線控轉向系統功能安全概念，提出多項功能安全要求，構建反饋轉矩損失和轉向能力損失故障樹；Mauborgne等[6]提出操作危害性分析方法和系統安全需求相關模型，并應用在車輛突然加速、剎車失靈危害事件上。

本文參照標準的要求，針對甲醇/柴油噴射控制系統，定義其相關項，進行危害分析和風險評估，得到ASIL等級和安全目標，開發功能安全概念，在Isograph軟件中搭建FTA故障樹模型，驗證功能安全概念正確性。

1 概念階段開發流程

概念階段開發流程第1步為相關項定義，其中相關項為能夠實現整車或部分整車功能的系統，相關項定義需要描述待開發系統結構，明確系統內要素功能交互作用和功能架構，劃分邊界條件。

第2步為危害分析和風險評估(HARA)，危害分析目標是得到整車級危害，風險評估根據嚴重度(S)、暴露率(E)、可控度(C)對整車級危害進行分類，并確定汽車安全完整性等級 (ASIL)和功能全目標(SG)。

第3步為功能安全概念，提出系統功能安全要求，并根據ASIL分解規則，將其分配到要素中去，更新系統功能架構，樹立安全機制(SM)，確定安全狀態，從而提高系統容錯能力，減輕故障影響，增強系統的穩定性和可靠性。

2 相關項定義

本文需要定義的相關項為甲醇/柴油噴射控制系統，此系統根據發動機所處工況控制甲醇/柴油噴射量、噴射時刻。

甲醇/柴油噴射控制功能架構如圖1所示，甲醇供給裝置、高壓共軌裝置、電源、整車CAN總線為外部環境要素。甲醇供給裝置、高壓共軌裝置為甲醇/柴油提供噴射壓力，電源處理電路將24 V電壓轉換成5、12、48 V電壓，CAN通信模塊發送報文到整車CAN總線，傳遞發動機工況信息。

圖1 甲醇/柴油噴射控制系統功能架構Fig.1 Functional architecture of methanol/diesel injection control system

傳感器、MCU、相關電路、執行器為系統內部要素，系統接收曲軸位置傳感器信號、凸輪軸位置傳感器信號，計算發動機轉速、確定噴醇和噴油時刻；接收進氣壓力溫度、冷卻水溫度傳感器信號判斷發動機工況；接收油門位置傳感器和制動踏板開關傳感器信號，確定駕駛員加減速需求，增加或減少燃料噴射量；接收甲醇壓力、軌壓傳感器信號，分別監測甲醇軌內壓力、調節軌壓。MCU輸出噴醇控制信號經噴醇驅動芯片驅動噴醇器；輸出噴油控制信號經噴油驅動芯片驅動噴油器，輸出軌壓控制信號經噴油驅動芯片驅動燃油計量閥；系統根據發動機轉速和工況調節燃料噴射量，計算輸出轉矩。

3 危害分析和風險評估(HARA)

3.1 危害分析

標準中規定，可應用FMEA或HAZOP方法分析相關項，得到整車級危害。甲醇/柴油噴射控制系統包含要素較多、工作狀況復雜，具有2種工作模式，任一要素功能失效在不同工況下，可能導致不同的整車級危害。本文參照FMEA方法的DFMEA方法[8]，結合系統結構、系統功能、及其內部要素之間聯系和相互作用，構造出失效模型，如圖2所示。運用此模型進行分析，得到系統級危害和整車級危害，如表1所示。

圖2 系統失效模型Fig.2 Failure model of system

表1 甲醇/柴油噴射控制系統危害分析Table 1 Hazard analysisofmethanol/diesel injection control system

此模型從系統要素功能單點失效出發，任一失效都具備失效起因(FC)、失效模式(FM)、失效危害(FH)。失效起點通常為系統某個要素功能失效，通過失效鏈A傳遞至子系統、系統，導致系統級危害。整車失效起因為子系統功能失效，通過失效鏈B傳遞至系統、整車，導致整車級危害。

失效起因有功能喪失、功能超范圍、非預期功能等形式。在失效鏈A中，功能喪失失效形式為信號處理電路不能接收和輸出信號、驅動芯片及其高低邊驅動電路不能接收和處理信號等，功能超范圍失效形式為傳感器電壓或電流信號偏高/偏低、噴油或噴醇控制信號脈寬過大/過小、電源過壓/欠壓等，非預期功能失效形式為噴醇控制信號異常輸出、制動踏板開關信號異常輸出等，如在低速工況下輸出噴醇控制信號。在失效鏈B中，失效起因為子系統功能失效，功能喪失形式為不噴醇/不噴油，功能超范圍失效形式為噴醇量或噴油量異常增減，非預期功能失效為異常不受控噴醇，如在低速工況下噴醇。

失效模式為子系統或系統不能實現預期功能的方式。在失效鏈A中，失效模式為甲醇噴射控制系統或柴油噴射控制系統異常工作模式，即單一噴射控制系統功能失效。在失效鏈B中，失效模式為甲醇/柴油噴射控制系統功能失效，即2種噴射功能同時失效。失效危害為不同失效模式下可能會造成的事故后果。在失效鏈A中，失效危害為要素失效、子系統失效造成的系統級危害。在失效鏈B中，失效危害為系統失效造成的整車級危害。

3.2 風險評估

根據危害分析結果得出整車級危害，對其進行歸納，得出5個危害事件。在風險評估時，按照標準的要求，考慮其最壞潛在事故場景，本文完成5個危害事件的風險評估，如表2所示。以危害ID為Haza0005：車輛不能馬上減速事件為例，闡述風險評估過程。

表2 危害事件的風險評估Table 2 Risk assessment of hazard events

風險評估需要確定危害事件ASIL等級，ASIL等級越高，此危害事件失效對應風險越大，對系統安全性要求和設計要求就越嚴格。風險評估過程需要參照ASIL矩陣，根據S、E、C等級，確定危害事件ASIL等級，其原理可表示為1個模型，其原理如式(1)所示：

f(R)={S,E,C}

(1)

式中：R為危害事件的風險；S表示危害事件嚴重度等級；E表示危害事件暴露率等級；C表示危害事件發生時所有相關人員對危害可控度等級。

車輛不能馬上減速最壞潛在事故場景為：裝有本系統的重卡在國道上行駛，車速為72 km/h[9],不能馬上響應駕駛員減速需求，正面撞向行人。

嚴重度S代表危害事件對駕駛員、乘客、行人造成的傷害程度，用S0～S3 4個等級來表示，等級越高，造成傷害程度越高。國際自動機工程師學會頒布的《Considerations for ISO 26262 ASIL Hazard Classification》(SAEJ 2980)[10]規定，當碰撞時車輛速度大于40 km/h且碰撞類型為正面碰撞時，嚴重度S等級為S3。文獻[11]中規則集規定，當車輛大于16 km/h且行人速度大于2 km/h時，嚴重度S等級為S3，此場景車速為72 km/h，碰撞時行人速度大于2 km/h的占比區間約為90%[12]，因此，嚴重度S等級為S3。文獻[13]中基于碰撞事故數據庫評估嚴重度S方法規定，車速為70～100 km/h的商用車與行人發生碰撞時，嚴重度S等級為S3。因此，Haza0005危害事件嚴重度S等級為S3。

暴露率E代表危害事件在特定環境場景發生可能性，用E0～E4 5個等級表示，等級越高，危害發生的概率越大。暴露率E需通過場景持續時間占比或發生頻率來確定。在危害事件Haza0005中，若系統內要素故障，只有在急減速工況下才會導致危害事件發生，因此應通過場景發生頻率來確定E等級，根據ISO 26262-3-2018附錄B.2中參考表格，此類場景1個月內會發生多次，因此，本危害事件暴露E等級為E4。

可控性C代表故障發生后，駕駛員、乘客、行人等相關人員及時采取措施避免危害事件發生的可能性，用C0～C3 4個等級表示，等級越高，危害越難控制。在危害事件Haza0005中，要求駕駛員快速遠離正常行駛路徑的物體，且安裝本系統車輛均為大型商用車，車輛質量和體積較大，不到90%的駕駛員或事故參與人員能夠避免此類傷害，因此，本危害事件可控度C等級為C3。

4 功能安全概念與驗證

4.1 功能安全概念

根據甲醇/柴油噴射控制系統HARA分析結果，得到4個安全目標，本文以SG0004-立刻響應減速需求為例，開發功能安全概念[14]。為滿足SG0004對于安全的要求，系統應正確接收油門位置、制動踏板開關傳感器信號，檢測輸入信號故障，正確判定減速需求，快速減少噴油量、噴醇量，并檢測輸出信號故障和執行器故障，在故障條件下進入對應安全狀態，提示駕駛員車輛故障信息。

在圖1系統功能架構基礎上，為與SG0004-安全目標相關的要素分配功能安全要求，同時制定安全機制，更新系統功能架構，如圖3所示。功能安全要求有其對應ASIL等級，為降低系統性失效概率，當2組要素間不存在共因失效和級聯失效，充分獨立和冗余時，可利用ASIL分解規則[15]將高安全等級分解為低安全等級，若要素之間不存在獨立性，需繼承安全目標ASIL等級。

圖3 更新后的甲醇/柴油噴射控制系統功能架構Fig.3 Updated functional architecture of methanol/diesel injection control system

安全狀態表示系統中不存在不可接受風險的工作狀態，在安全狀態下，系統的功能有預期運行、降級運行、關閉3種模式。當安全機制探測到系統存在故障后，應在故障處理時間間隔(FTTI)內進入安全狀態，SG0004對應系統安全狀態如表3所示。

表3 系統安全狀態Table 3 Safety status of system

系統功能安全要求如表4所示，此系統架構輸入量為油門位置開度和制動踏板開關，在功能上互相獨立、冗余，反映駕駛員減速需求，“正確輸入有關減速需求信號”功能安全要求為ASILD等級，分解為ASILB(D)等級“正確輸入油門位置開度”和ASILB(D)等級“正確輸入制動踏板開關”，確立ASILD等級檢測油門位置、制動踏板開關邏輯一致的安全機制，若邏輯不一致，轉入安全狀態Sast0003。

表4 SG0004的功能安全要求Table 4 Functional safety requirements of SG0004

表4(續)

ASILB(D)等級的“正確輸入油門位置開度”可分解為同為ASILA(D)等級的“正確輸入油門位置1開度”和正確輸入油門位置2開度，確立ASILD等級的“驗證2路油門位置開度電壓一致性”安全機制，若2路油門位置開度不一致，轉入安全狀態Sast0002。實現油門位置開度電壓輸入功能硬件要素為2路油門位置傳感器和模擬量信號處理電路，經過ASIL分解后，能夠降低硬件要素對于單點故障度量和潛在故障度量的要求，減小硬件要素開發難度的同時提高系統可靠性。輸入制動踏板開關功能安全要求和油門位置開度要求類似，不再贅述。

噴醇驅動芯片接收減少噴醇量要求，經高/低邊驅動電路控制噴醇，電源為高/低驅動電路供電，實現噴醇功能的所有要素均按照ASILD等級開發。信號回采模塊檢測驅動芯片輸出PWM脈寬和驅動電流變化，若檢測到噴醇驅動芯片或驅動電路產生故障，關閉噴醇功能，進入安全狀態Sast0001。

噴油驅動芯片接收減少噴油量要求，經高/低邊驅動電路控制噴油，調節共軌管壓力。系統設計2個獨立、冗余的噴油驅動芯片，任意1個驅動芯片均可獨立控制2個噴油器和燃油計量閥，“噴油驅動芯片正確接收減少噴油量要求，驅動噴油器和燃油計量閥”功能要求為ASILD等級，可分解為2個同為ASILB(D)等級的“正確接收減少噴油量要求，通過噴油驅動芯片1或2驅動對應噴油器和燃油計量閥”和“噴油驅動芯片2正確接收減少噴油量要求，驅動噴油器和燃油計量閥”，通過ASIL分解，可降低噴油驅動芯片1和2和高低邊驅動電路對于單點故障度量和潛在故障度量目標值的要求。系統通過信號回采模塊監控驅動芯片輸出PWM脈寬和驅動電流變化，若檢測到噴油芯片或驅動電路故障，通過SPI通信關閉故障驅動芯片，使用另1路噴油驅動芯片，進入安全狀態Sast0001，若2個噴油驅動芯片均故障，進入安全狀態Sast0004。

電源管理模塊將電源電壓分別轉換為5 V為MCU供電，轉換48V為噴油高邊電路供電，轉換成12 V為噴醇高低邊驅動電路供電，同時檢測供電欠壓、過壓故障，通過SPI通信傳輸故障信息至MCU。當系統檢測到要素故障，進入安全狀態前，由于系統內此時存在故障，可認為CAN報文信息不可靠，選擇通過點亮故障燈提示駕駛員故障信息。

4.2 驗證

根據標準中要求，需采用安全分析方法，評估系統架構隨機硬件失效指標(PMHF)與安全目標一致性，驗證功能安全概念。

在Isograph軟件可靠性工作平臺中，對系統進行可靠性建模，搭建FTA故障樹[16]模型，評估系統中要素故障率，計算PMHF是否滿足ASILD等級目標值。

FTA故障樹模型如圖4所示，頂事件為安全目標SG0004被違反：車輛不能馬上響應減速需求，中間事件為信號輸入故障、噴醇故障、噴油故障、供電故障。由于篇幅限制，對輸入故障和噴油故障、供電故障分頁顯示，但不影響計算結果。

以噴醇故障分支為例，說明故障樹搭建過程。根據系統架構和與噴醇功能相關要素功能安全要求，規定存在ASILD等級安全機制，其診斷覆蓋率(DC)為99%，檢測噴醇器、噴醇驅動芯片、高低邊驅動電路故障，若確認故障，關閉噴醇功能。若系統故障且違反安全目標，一類事件為被安全機制覆蓋的故障發生時，安全機制的自身失效，即噴醇器、噴醇驅動芯片、高低邊驅動電路任一要素故障，且安全機制在此時失效；另一類事件為沒有被安全機制覆蓋的殘余故障發生，即噴醇器、噴醇驅動芯片、高低邊驅動任一要素故障且此種故障沒有被安全機制覆蓋。

對于ASILD等級安全目標，系統PMHF值應小于1E-08/h。在SG0004中，檢測噴醇故障安全機制的失效率(FR)為5E-09，故障檢測時間間隔為0.5 ms，要素的失效率根據SN 29500標準進行計算，在分配時，考慮到實際因素，分配給傳感器和執行器的失效率相對較高。在軟件中設置以上對應參數，系統最終PMHF值為9.405E-09/h,符合ASILD等級安全要求。

5 結論

1)基于汽車功能安全標準，完成甲醇/柴油噴射控制系統的相關項的定義，分析系統結構和功能。

2)運用DFMEA方法，構造出失效模型，并對相關項進行危害分析，結合S、E、C3個指標進行風險評估，得到5個安全目標及其對應的ASIL等級。

3)針對SG0004-立刻響應減速要求,等級為ASILD等級的安全目標，開發其功能安全概念，并利用Isograph軟件進行驗證，結果表明：開發的系統符合ASILD等級安全要求。