基于整車動力學的EMB 線控制動系統功能安全概念設計

摘 要：為了提高面向智能車輛的電子機械制動（EMB）系統的安全性與魯棒性，開展了相應的功能安全概念設計。在ISO 26262標準的基礎上，并結合產品開發現狀，采用故障注入的仿真方法，獲得了車身在EMB失效時的運行規律，為故障發生時危害的嚴重度和可控性評判提供了數據支撐，有效解決了EMB系統數據庫不足的問題，并實現了嚴重度和可控性的量化分析。開展了危害分析與風險評估（HARA），得到了10個功能安全目標及其對應的汽車安全完整性等級（ASIL），制定了EMB系統的功能安全架構和需求。結果表明：本概念分析方法，可為其它全新智能駕駛電子系統的功能安全開發，提供參考。

關鍵詞： 智能車輛；電子機械制動（EMB）；功能安全；汽車安全完整性等級（ASIL）；概念設計

中圖分類號： U 462.3+3 文獻標識碼： A DOI： 10.3969/j.issn.1674-8484.2024.06.004

電動智能化汽車以其操控簡單、響應速度快等特點，深受年輕用戶喜歡[1]，但傳統的制動系統已經不能滿足智能化汽車制動的要求，因此線控制動系統（brake-by-wire system，BBWS） 成為當下的研究熱點之一。其中，電子機械制動 （electronic mechanical brake，EMB） 系統[2] 用作為汽車制動的終極解決方案，采用了電子控制取代了傳統的液壓控制，使得信號傳遞更加迅速，結構更加簡單。然而，由于執行器和系統的復雜程度增高，并且EMB 系統取消了傳統車輛的液壓備份[3]，系統發生故障的風險也隨之升高，一旦制動發生失效，將會造成無法預估的后果；所以EMB 系統的安全可靠性成為其發展的關鍵因素。為此，需要針對EMB 系統進行功能安全開發。

國際標準化組織（International Organization forStandardization，ISO） 基于IEC61508，在2011 年發布了道路車輛功能安全標準ISO 26262 [4]，旨在排除非電子方面的影響后，從電子電氣角度出發，考慮汽車的使用安全性和控制系統的可靠性。相應地，中國發布了GB T34590-2022 標準[5]，用于定義道路車輛上由電子、電氣和軟件組件組成的安全相關系統在安全生命周期內的所有活動[6]。

自標準發布以來，國內外眾多學者以及企業做了功能安全相關的研究和開發工作。S. Khastgir 等人提出了一種提高分析可靠性和客觀性的方法，該方法通過對嚴重度、暴露率、可控性等3 個參數創建規則集，來得到汽車安全完整性等級[7]。LEU Kuen-Long 等人對智能線控制動系統（intelligent BBWS，IBBWS） 進行功能安全的設計及分析，并使用故障樹分析（fault treeanalysis，FTA） 和失效模式與影響分析（failure modeand effect analysis，FMEA） 對IBBWS 進行安全設計，以滿足所需的汽車安全完整性等級（automotive safetyintegrity level，ASIL） [8]。王俊明闡述了功能安全標準概念階段的內容和要求，并以車道保持輔助系統（lanekeepingassistance，LKA） 為例完成了功能安全概念設計[9]。榮芩等人對線控轉向（steer-by-wire，SBW） 系統進行功能安全概念設計，采用規則集的方法進行危害分析和風險評估（hazard analysis and risk assessment，HARA） 分析，得到了汽車在中高速行駛時應避免無法轉向和非駕駛員轉向的2 個安全目標，并提出了該系統的功能安全概念[10]。

目前針對EMB 系統功能安全開發的公開報道較少。程潔等人對EMB 系統進行了功能安全分析與系統安全機制設計，并對設計的安全機制進行故障注入試驗，以證明其有效性[11]。但其在進行HARA 分析時，未明確指出如何得到嚴重度、暴露率和可控性等3 個評價指標的數值，用以對汽車安全完整性等級（ASIL）評級。

通常，在做汽車功能安全概念分析時，多采用失效模式與影響分析（FMEA）、故障樹分析（FTA） 等理論方法[12] 來分析失效及其影響，并據此得到安全目標以及安全要求。但是面對智能駕駛汽車這一復雜系統，在不同場景下，失效的影響和危害通常不能準確預知和完整歸納。在數據庫和經驗不足的情況下，很難對失效模式和故障場景進行全面匯總，從而造成功能安全需求無法完整定義，并造成概念設計缺陷。

為開發面向智能車輛的線控制動系統EMB 系統功能安全概念，本文作者提出一種基于故障注入（faultinject，FI） 仿真試驗的功能安全評估方法，用于重構EMB 失效時的車輛運行規律，以此為基礎，分析其危害和風險，并作為功能安全分析方法的補充。根據仿真結果來完成失效影響分析、安全目標定義以及安全需求等概念階段開發工作，可望為EMB 系統功能安全的完整性開發提供參考。

1 概念階段流程分析

本文根據ISO 26262-3 概念階段開發流程[4]，采用基于線控制動系統仿真的功能安全概念設計，與傳統概念階段的定性開發流程相比，本文增加了故障注入仿真試驗，可以支撐風險評估以及ASIL 等級劃分的定量開發，具體的流程如圖1 所示，首先進行EMB系統的相關項定義，明確EMB 系統的系統架構。然后對EMB 系統車輛的運行場景以及失效模式進行分析，并采用危害與可操作分析（hazard and operabilityanalysis，HAZOP） 方法得到系統功能的失效形式，并由此生成故障列表進行故障注入仿真試驗、量化風險指標、最后根據仿真結果進行HARA 分析得到功能安全目標、提出功能安全概念。