空氣懸架的功能安全分析

中圖分類號：U469.7 文獻標志碼：A DOI：10.19822/j.cnki.1671-6329.20240216

【歡迎引用】.空氣懸架的功能安全分析[J].汽車文摘，2025（5）：16-26.

【Citeths paperXIANGYLIUYH，ZHANGLFunctionalSafetyAnalysisofAir Suspension]AutomotiveDigest（Chinese）2025（5）：16-26.

Functional Safety Analysis of Air Suspension

【Abstract】 Inorder to enhance thesafetyofvehiclesequipped with air suspensionand topreventinjuries toroad users caused byair suspension failures during operation， afunctional safety analysis of theair suspension systemis conduced.BasedontheISO26262functionalsafetystandard，relevantitemsofthe airsuspensionsystemaredefinedand ahazard analysisandrisk assessmentmethodareusedtoderive thefunctionalsafetyobjectives fortheair suspension. These functional safety objectives are then decomposed step by step to the subsystemand hardware/software levels， establishingacompletesafetyarchitectureCombining thevehiclerolovertheoreticalmodel，theriskofvehiclerolloveris analyzed，along withtheimpactofair suspensionheightadjustmentontherollmomentarmandlateralloadtransferrate.A gradedresponsemechanismisproposed：if the suspensionfailsbutthereis norollverrisk，analarmistriggredand continuousmonitoringismaintained；ifthereisaroloverrisk，theheightadjustmentfunctionisforciblystoppedtoensure the systementers asafestate.Thedesignedstrategyeffectivelybalancesfunctionalsafety withsystem availabilityensuring the functional safety of the air suspension and the overall stability of the vehicle.

Key words： Air suspension， Functional safety， Lateral stability， Hazard analysis and risk assessment

0引言

空氣懸架作為一種先進的懸架系統，能夠通過主動調節懸架高度與阻尼特性，顯著提升車輛的行駛平順性和操縱穩定性，因此被廣泛應用于中高端乘用車型。國際標準化組織頒布的IS026262：2018《道路車輛功能安全》（RoadVehicles—FunctionalSafety）標準，為汽車電子電氣系統的功能安全開發提供了重要依據，特別加強了對新能源汽車安全性的規范要求該標準要求電子電氣系統在設計過程中，需要兼顧基本功能實現與功能安全保障，以避免系統功能性故障，確保系統在發生故障時能夠維持安全狀態或將風險控制在可接受范圍2。IS026262對安全相關功能進行了明確定義和系統化要求3，基于功能安全設計的汽車空氣懸架將具有更高的安全性和可靠性。

隨著廣大用戶對新能源汽車功能安全要求的不斷提升，功能安全開發方法已成為國內外學者和工程師進行汽車系統設計的重要依據。李波等對中國功能安全發展現狀及趨勢進行了分析，提出了合理的量化安全準則，強調在設計開發初期就應確保車輛不會因系統故障對駕乘人員及周邊環境造成不可接受的風險。伍理勛等通過危害分析與風險評估方法，確定了電動汽車電機控制器的安全目標和汽車安全完整性等級（Automotive SafetyIntegrityLevel，ASIL）。蘇晨曦[6]基于功能安全開發流程，對電子換擋系統進行了安全分析，并設計了相應的控制器的軟硬件架構。Nouri等，通過對比研究指出，相較于IEC61508標準，ISO26262更適用于汽車領域，并有效解決了前者的局限性問題。Rivastava等詳細闡述了ISO26262標準閘述了功能安全標準在電動助力轉向系統（ElectricPowerAssistedSteering，EPAS）電子控制單元（ElectronicControlUnit，ECU）設計中的具體應用。Lee等開發了一種符合IS026262要求的電動助力轉向（ElectricPouerSteering，EPS）模塊，并設計了相應的軟硬件架構。Ikram的研究表明，空氣懸架通過多軸氣壓調節可實現行駛工況自適應高度調節功能。Termous 等[則通過集成控制策略，協同控制主動懸架、主動轉向和差動制動系統，進一步提升了車輛行駛穩定性。

盡管空氣懸架系統能顯著改善車輛行駛性能，且功能安全的應用可有效提升系統安全性和可追溯性，但當前針對空氣懸架功能安全設計的研究仍較為圓乏。本文基于IS026262功能安全標準系統化設計，旨在實現兼具舒適性和安全性的懸架系統解決方案。

1相關項定義

空氣懸架系統可主動調節懸架高度與剛度等參數，可顯著提升駕乘舒適性及操控性。與傳統被動懸架系統相比，空氣懸架的主要區別體現在以下3個方面：采用可調氣壓的空氣彈簧取代傳統鋼制螺旋彈簧作為彈性元件；新增了空氣壓縮機（氣泵）及儲氣罐等氣壓供給裝置；配備了高度傳感器、ECU及電磁閥等組成的閉環控制系統。該空氣懸架系統整車布置方案如圖1所示。

1.1 整車級功能

空氣懸架系統能夠基于駕駛模式選擇、車輛動態工況及行駛速度等參數，實時調節最優車身高度。該系統通過高度可調功能顯著提升了車輛對不同駕駛場景的適應性，可適應更多的駕駛工況，其整車級功能如表1所示。

駕駛員可通過旋鈕設置整車駕駛模式，為保證行駛過程中車輛的安全性，系統采用分級高度調整策略進行模式切換。各預設擋位定義如下：啟示擋（Entry）、飛行擋（Aero）、一般道路擋（NRH）、高擋1？High/R1 、高擋 2（High/R2 ）、越野高擋3（Off_RoadHigh/R3），其擋位高度如圖2所示。

當駕駛員激活車速自適應調節功能時，系統將基于實時車速動態調整懸架高度。高速工況：在車速 gt;80km/h 且持續15s以上，懸架高度自動下降到Aero高度，以優化空氣動力學性能。中速工況：車速？50km/h 且持續5s以上，懸架高度調節到NRH高度，如圖3所示。

以運動模式為例，空氣懸架系統忽視當前懸架高度隨速調節開閉狀態，默認懸架高度根據當前車速自動調節。如果懸架初始高度位置在NRH，當駕駛模式切換到運動模式時，懸架高度自動調節到 高度，如圖4所示。

1.2功能分配

根據空氣懸架系統整車級功能定義，提出空氣懸架系統的系統架構，如圖5所示。空氣懸架主要由壓縮機、儲氣罐、空氣彈簧以及動力與電機控制單元組成，其外部結構有車身域控制器、電子制動控制模塊、電機控制模塊、信號采集模塊、儀表控制模塊組成，其功能分配如表2、表3所示。

2危害分析與風險評估

2.1功能安全標準ISO26262開發流程

ISO26262適用于道路車輛生命周期的功能安全開發，其開發流程可分為以下3個階段：概念階段、系統階段和軟硬件階段。在概念階段通過危害分析和風險評估得到整車級功能安全需求，隨后在系統階段和軟硬件階段將功能安全需求分配到對應的系統并逐級分解落實各軟硬件功能，最后對軟硬件、系統、整車級進行測試驗證。道路汽車功能安全開發層級如圖6所示。

從電動汽車整車層級分析功能與非功能需求，并根據初始整車電控系統架構定義相關項（Item）范圍并描述各項功能。在不同工況和駕駛場景下對整車危害引起的風險進行評估，評估主要包括以下3個方面：工況和駕駛場景的暴露度（Exposure-OperationalSituation，E）；危害發生時的嚴重度（Severity，S）；危害發生時駕駛員避免風險的可控度（Controllability，C）。通過3個維度綜合評定汽車安全完整性等級（ASIL）。根據系統對人身安全的影響程度，將安全完整性劃分為4個等級：ASILA、ASILB、ASILC和ASILD。ASILA為最低的安全完整性等級，適用于對人身安全影響最小的系統。在ASILA級別下，系統的故障會對人身安全產生較小的風險。ASILB適用于一些對人身安全造成適中風險的系統。在ASILB級別下，系統的故障會對人身安全產生中等風險。ASILC適用于一些具有較高安全要求的系統。在ASILC級別下，系統的故障會對人身安全產生較大風險。ASILD為最高的安全完整性等級，適用于對人身安全影響最大的系統。在ASILD級別下，系統的故障會對人身安全產生最嚴重的風險。ASILA、B、C、D都是與功能安全相關的，質量管理（QualityManagement，QM）為非安全相關功能，無需遵循ASIL流程，僅需通過ISO9001等質量管理認證。每個ASIL級別都有不同的安全完整性要求和相關的安全性分析、驗證方法，以確保系統在不同的風險水平下達到功能安全性，如表4所示。

2.2危害分析

根據整車級功能定義可將駕駛模式調節、分級調節、隨速調節歸納為：高速時降低懸架高度、懸架自動高度調節、手動調節。采用IS026262推薦的分析方法，對以下失效模式進行危害分析：功能丟失、功能不足預期、功能超出預期、功能方向錯誤、功能非預期激活、功能卡滯，如表5所示。

2.3 風險評估及安全目標

結合危害分析與風險評估（HazardAnalysisandRiskAssessment，HARA）和ASIL功能安全分析法，可確立相關項的安全目標（SafetyGoals），從而有效規避不合理風險。通過對危害事件進行系統性的評估，確定安全目標并為其分配ASIL等級。由危害分析可知，在“高速工況懸架高度下降功能不足\"或“懸架高度自動調節方向錯誤”等功能失效時，將直接導致車輛失穩這一高風險危害。結合駕駛場景、環境條件、危險人員等因素確定功能安全目標及其ASIL等級、安全狀態和故障容錯時間。

基于表6所示的工況分析，在濕潤高速公路轉彎場景下，空氣懸架系統存在以下典型功能安全風險：（1）若高度調節功能失效、卡滯或高度調節錯誤則會使空氣懸架無法按需調低或出現反向調高，從而違反功能安全目標SG01。（2）車輛在濕潤的高速公路轉彎時，若高度調節錯誤、卡滯則會使空氣懸架左右側或前后側高度差過大，從而違反功能安全目標SG02。（3）車輛在濕潤的高速公路轉彎或加速時，若空氣懸架非預期高度調節，則會違反功能安全目標SG03。

3功能安全及技術安全要求

基于危害分析與風險評估（HARA）的系統性研究，本文對空氣懸架系統的潛在失效模式及其風險進行了全面評估，并據此確立了關鍵安全目標及其對應的汽車安全完整性等級（ASIL）。為了實現既定的安全目標（SG01-SG03），必須通過嚴格的需求分解流程，將高層安全目標轉化為實施的功能安全需求（FunctionSafetyRequirement，FSR）。如圖7所示，本研究采用形式化的需求映射方法，從安全目標SG01、SG02和SG03逐級推導出具體的功能安全需求。系統內部及外部均繼承安全目標的ASILB安全等級要求。為了確保系統內外部建立相應輸入、輸出的安全機制，系統發生故障時對應的控制器可以復位，違反安全目標使系統進人安全狀態。

3.1 系統層級

在系統開發階段，基于既定的功能安全需求，本研究設計并實現了一套符合ASILB等級要求的系統架構方案。如圖5所示，該架構采用模塊化設計理念，將功能安全需求系統性地分解至各功能模塊，確保安全機制的完整性和可追溯性。

根據功能安全需求，系統邊界內強相關的有空氣懸架的ECU、應用軟件、空氣懸架控制模塊、電子控制模塊、接口、傳感器等組件或系統。其功能安全需求描述如表7所示。

3.2 硬件層級

硬件設計階段將系統階段設計進一步細化，使系統階段設計可追溯，保證系統在硬件層面能夠應對各類故障，使系統安全穩定運行。本文硬件功能安全設計基于ASILB等級要求，結合安全目標與技術安全需求，可量化硬件需求。部分組件見表8。

為了在硬件出現故障時使系統及時轉換至硬件安全狀態，部分針對故障的硬件功能安全保護如下：

（1）電磁安全開關使能：ECU硬件應具有高低兩側控制的電磁線圈，失效保護線與獨立安全開關的命令必須可以激活電磁安全開關。

（2）微控制器（MicroControllerUnit，MCU）：微控制器發生故障時應進人微安全控制狀態，禁用電磁線圈高低側驅動器與電機高低側驅動器等。

（3）微處理器誤差：當微處理器觸發安全管理單元（SafetyManagementUnit，SMU）硬件安全完整性故障時，引腳狀態為低電平。

3.3 軟件層級

基于系統階段功能安全需求級，軟件功能可分為QM等級與ASIL等級。將懸架應用程序監控、安全信號輸入、I/O微控制器監控、ECU信號檢測、中央處理器（CentralProcessingUnit，CPU）完整性監控、ECU外設完整性監控、內存保護、看門狗等ASILB等級軟件模塊，與硬件診斷等QM等級的軟件模塊做基于AUTOSAR架構的分區，使軟件系統確保QM和ASILB分區之間的互不干擾，且可以資源共享和定時通信，其安全分區軟件架構如圖8所示。

部分空氣懸架監管級別策略：

（1）監控上升與下降狀態、車輛狀態和駕駛員命令，以確定是否存在危險狀況。（2）監視QM軟件操作，以確定在發生內部硬件故障時是否采取了適當的危害緩解措施。（3）如果存在危險并且QM軟件無法減輕，則根據故障啟動系統安全狀態或車輛緩解措施。（4）監測車身高度等橫向穩定性參數，判斷車輛側翻風險，防止車輛側翻。

微控制器監控電平提供了檢驗處理器完整性的功能，這些監控功能包括鎖步長監控單元、內存檢查、程序序列執行檢查。故障被報告給安全管理單元，以便采取適當的措施，內部監控安全機制如表9所示。

4車輛側翻運動學與安全狀態策略

前文基于道路車輛功能安全IS026262，對車輛空氣懸架進行了分析。在相關項定義中闡述了空氣懸架的整車級功能，將其功能分配到空氣懸架的各子系統及其相關的外部模塊。通過危害分析與風險評估得出空氣懸架的功能安全自標，進一步的分析得出系統的功能安全需求以及軟硬件安全需求。為了更加準確的識別空氣懸架系統違反功能安全目標時對整車的影響，判失效影響是否會導致車輛失穩側翻，以防止系統過于敏感的進入安全狀態，本章將對車輛進行運動學分析以優化安全狀態策略。

4.1空氣彈簧建模

4.3.2空氣懸架車輛側傾力臂

上述車輛動力學模型默認車輛的懸架不會主動調節高度，所以需要結合側傾力臂的定義與空氣懸架主動調節高度的特性重新推導側傾力臂的運動學公式。

其中，側傾中心為車廂側傾軸線通過車廂在前后軸處橫斷面上的瞬時轉動中心[15]。懸架的高度與結構決定了側傾中心。側傾力臂為靜止狀態下，簧上質心到側傾軸的鉛錘距離。為了便于研究，假設空氣懸架的位移垂直于地面，則簧載質量的側傾運動如圖11所示。

結合側傾力臂定義可知，側傾中心、簧載質量質心、側傾中心高度和懸架結構共同決定了側傾力臂的大小，且在運動過程中不發生改變，則：

對于車輛不同的行駛狀態，一般會設置相應的橫向載荷轉移率聞值以防止車輛發生側翻。隨著車輛行駛速度的增加車輛的側翻風險也會隨之增加，所以設定的聞值也應該隨之減小。從安全角度出發，本文規定車速低于 20km/h 時，橫向載荷轉移率的聞值為0.9，車速在 20～60km/h 時橫向載荷轉移率的閾值為0.8，車速在 60km/h 以上時橫向載荷轉移率的閾值為0.7，如表8所示。在各車速下若橫向載荷轉移率大于設定閾值時則說明車輛存在側翻風險。

利用卡爾曼濾波估算車身側傾角，卡爾曼增益：

4.3.6 側翻預警時間

當車輛外部輸入保持穩定時，側翻預警時間（TimeToRollover，TTR）表示根據當前車輛動力學狀態推算至側翻發生的時間間隔9。TTR越小，表明車輛越接近側翻臨界狀態；當 時，車輛正在側翻。若車速 gt;60km/h ，通過動力學模型預測LTR達到設定閾值所需的時間，基于當前側傾角和側傾角速度計算T T R 。該時間反映了車輛在現有運動趨勢下的側翻風險，可用于主動安全系統的預警或干預。

4.3.7空氣懸架實時橫向載荷轉移率驗證

如前所述，空氣懸架車輛可通過主動調節車身高度改變側傾力臂，其側傾力臂隨懸架的調節而改變，與普通懸架車輛存在顯著差異。基于此特性，本研究推導了空氣懸架車輛的實時橫向載荷轉移率一 。為驗證 的有效性，設定車輛在高速工況下行駛，并分別進行高速過彎與“S”路線工況，即轉向盤角階躍與正弦輸人驗證，如圖13～圖16所示。

在轉向盤角階躍輸人工況下，空氣懸架車輛的 相較于一般的LTR在峰值時略有差異但對于轉向角的輸入的相應速度與變化趨勢基本相同。

在正弦角輸入工況下，空氣懸架車輛的橫向載荷轉移率也是在峰值時較小且相應速度變化趨勢基本相同， 能夠反應車輛的側翻趨勢。

4.4安全狀態策略設計

4.4.1空氣懸架功能安全目標分析

前文所述，空氣懸架的功能安全目標SG01是空氣懸架系統要避免汽車在中高速時全部懸架不能降低或者錯誤的全部調高，功能安全目標SG02是空氣懸架系統要避免汽車在中高速時因為各個懸架調節錯誤或者卡滯造成的高度差過大，功能安全自標SG03是空氣懸架系統要避免汽車在急加速或急轉彎時意外激活懸架高度調節功能。若違反安全目標則會導致車輛發生失穩側翻的風險，可將3個安全目標視為整車級安全目標車輛不應在行駛過程中側翻的分解。

本文第3章所述，分析了空氣懸架車輛橫向載荷轉移率的側翻預警時間的計算方法，本文以安全角度出發，設定側翻預警時間TTR為4s，即橫向載荷轉移率LTR以當前狀態增加到0.7時所需要的時間為4s，若小于4s則有違反整車級功能安全目標（車輛不應在行駛過程中側翻）的風險。

4.4.2安全狀態策略算法邏輯

與普通懸架不同，由于空氣懸架車輛車身高度主動可調，所以系統需要實時監測空氣懸架的調節高度以得到車輛的側傾力臂，以防止空氣懸架在車輛行駛過程中因功能使能過度或不足、功能失效、功能意外觸發而導致車身姿態不合理使得車輛發生側翻，如圖17所示為安全狀態策略算法邏輯。

通過對空氣懸架功能安全進行分析，對其系統及其軟硬件設計提出了相應的安全要求，盡量避免空氣懸架系統違反安全目標。若空氣懸架系統違反安全目標，安全狀態策略的算法思路如下：根據車速、轉向盤轉角、空氣懸架高度等數據，通過前文所述的空氣懸架車輛側翻動力學模型計算狀態變量以及側傾力臂，并利用卡爾曼估算法估算側傾角，推算出橫向載荷轉移率，最后計算出對應的側翻預警時間，若大于設定閥值則報警空氣懸架故障提醒駕駛員減速行駛并繼續實時檢測，若小于設定聞值則停止空氣懸架高度調節，以減輕失效造成的安全風險。

5總結與展望

本文基于IS026262針對空氣懸架進行了功能安全分析，將功能安全自標逐級分解到軟硬件階段，建立了完整的功能安全軟硬件架構，分析了車輛側向穩定性對空氣懸架的功能安全需求與車輛行駛側向穩定性模型，基于空氣懸架高度可調節以致側傾力臂可變的橫向載荷轉移率設計了系統進人安全狀態的策略既當空氣懸架功能失效時若整車尚未有側翻風險則發送空氣懸架功能失效警報并繼續實時檢測，若整車有側翻風險則停止空氣懸架高度調節，保障空氣懸架功能安全及整車穩定性的同時也防止了系統產生不必要的功能限制。然而，本文側重于空氣懸架功能安全及整車穩定性的分析及設計方法，并未進行詳盡的驗證測試試驗，對進入安全狀態的策略進行相應的驗證分析，有待未來進行深人研究分析。

參考文獻

[1] ISO. Road Vehicles — Functional Safety： ISO 26262：2018[S].Switzerland： ISO，2018.

[2] XU G，DU X， LI Z，et al.Reliability Design of BatteryManagement System for Power Battery[J]. MicroelectronicsReliability，2018，88-90：1286-1292.

[3]郭建.基于IS026262的汽車電子功能安全：方法與應用[M].北京：機械工業出版社，2021.

[4]李波，付越，王兆，等.中國功能安全（FunctionalSafety）和預期功能安全（SOTIF）技術和標準體系研究及進展[J].中國汽車，2020（7）：34-39.

[5]伍理勛，陳建明，陳磊，等.電動汽車電機驅動控制器功能安全架構研究[J].控制與信息技術，2018（3）：1-5.

[6]蘇晨曦.基于功能安全的電子換擋器電控平臺硬件開發[D].杭州：浙江大學，2022.

[7] NOURI A，WARMUTH J.IEC 61508 and ISO 26262-AComparison Study[C]// 2021 5th International Conferenceon System Reliability and Safety （ICSRS），2021：138-142.

[8] SRIVASTAVA P，KARLE M L，KARLE U S，et al.Development of Electrical Power Assisted Steering （EPAS）Considering Safety and Reliability Aspects as per ISO26262[C]// Symposium on International AutomotiveTechnology.Pune， India： TRB，2015.

[9] LEE K J，LEE K H， MOON C， et al. Development of ActiveAir Suspension System For Small Agricultural Vehicles. BigData In Agriculture[J]. Journal of Electrical Engineering amp;Technol0gy，2015，10（4）：1915-1920.

[10] IKRAM K， NIAZ Y，HAMID S， et al. Development ofActive Air Suspension System for Small AgriculturalVehicles. Big Data In Agriculture[J]. Big Data InAgriculture（BDA）， 2020， 2（2）： 41-46.

[11] TERMOUS H， SHRAIM H，TALJ R， et al. CoordinatedControl Strategies for Active Steering， Differential Brakingand Active Suspension for Vehicle Stability， Handling andSafety Improvement[J]. Vehicle System Dynamics， 2019，57（11）：1-36.

[12]劉超.基于模型預測控制的客車電控空氣懸架車身高度控制研究[D].長春：吉林大學，2018.

[13]肖飛.基于AMESim的客車ECAS車身高度及整車姿態控制研究[D].鎮江：江蘇大學，2016.

[14]張甲樂.客車側翻穩定性分析與防側翻控制研究[D].南京：南京航空航天大學，2015.

[15]管欣，田磊，逢淑一，等.基于側傾中心的懸架導向機構模型[J].江蘇大學學報（自然科學版），2012，33（3）：249-254.

[16]曾小華，李廣含，宋大鳳，等.基于遺傳算法優化的BP神經網絡側翻預警算法[J].華南理工大學學報（自然科學版），2017，45（2）：30-38.

[17]宗長富，韓小健，趙偉強，等.基于動態LTR的客車防側翻控制[J].中國公路學報，2016，29（9）：136-142.

[18]彭丁聰.卡爾曼濾波的基本原理及應用[J].軟件導刊，2009，8（11）：32-34.

[19] YU H， GUVENC L， OZGUNER U. Heavy Duty VehicleRollover Detection and Active Roll Control[J]. VehicleSystem Dynamics，2005，38（1）：128-133.

（責任編輯 明慧）