赵建军

(同济大学汽车学院，上海 200092)

安全气囊功能安全分析

赵建军

(同济大学汽车学院，上海 200092)

基于道路车辆系统设计功能安全ISO26262，分析安全气囊的功能安全目标和等级，设计功能安全架构，根据ASIL安全等级对单点故障度量SPF和潜在故障度量LF提出设计要求，给出计算分析方法。

安全气囊；ISO26262标准；功能安全

0 引言

目前国内安全气囊的设计配置较低。随着汽车的普及，人们对汽车的安全性能越来越重视，而安全气囊则是人们主要关注的安全产品。汽车碰撞法规和C-NCAP对汽车安全提出了新的要求，新一代安全气囊产品将大大提升汽车的安全性能要求。道路车辆系统设计功能安全ISO26262标准被美国和欧洲整车厂广泛采用，欧洲政府计划于2015年将ISO26262标准正式纳入汽车法规；作为安全保护产品的安全气囊更是重点应用的产品。依据ISO26262标准开发新一代安全气囊控制器将是未来国内安全气囊控制器开发的趋势。

文中主要阐述安全气囊控制器的安全系统架构和依据ISO26262标准功能安全设计，指出功能安全设计的计算方法。内容分为以下3个部分：(1)功能安全设计目标的设定；(2)功能安全框架的设计；(3)功能安全设计的计算方法。

1 功能安全设计目标

安全气囊产品有以下几个功能安全目标：

(1)碰撞状况下确保相应安全气囊打开，保护乘员安全；

(2)驾驶状况下应避免驾驶员和副驾驶员安全气囊意外打开，影响行车安全；

(3)驾驶状况下应避免除驾驶员和副驾驶员安全气囊外其他安全气囊打开；

(4)应避免车辆安全气囊报废功能意外打开。

这些功能安全目标的安全等级要求是什么呢？根据ISO26262标准，功能安全分为等级QM、ASIL A、ASIL B、ASIL C、ASIL D，其中QM为质量管理，等级最低，不需功能安全计算，ASIL D等级最高，其等级要求和IEC 61508的对应关系如图1所示。

功能安全的等级是由3个因素决定，严重度、暴露度和可控度。严重度的评价表如1所示，暴露度的评价表如2所示，可控度的评价表如3所示。

表1 严重度评价表

表2 暴露度评价表

表3 可控度评价表

要确定功能安全目标的安全等级，首先需要确定以上3个因素的指标，然后可以根据功能安全的等级评价表确定该功能的安全等级，功能安全的等级评价表如表4所示。

(1)驾驶状况下应避免驾驶员和副驾驶员安全气囊意外打开，影响行车安全。根据表5分析，其功能安全等级为ASIL D。

(2)碰撞状况下确保相应安全气囊打开，保护乘员安全。根据表6分析，其功能安全等级为ASIL A。

(3)驾驶状况下应避免除驾驶员和副驾驶员安全气囊外其他安全气囊打开。根据表7分析，其功能安全等级为ASIL B。

(4)应避免车辆安全气囊报废功能意外打开。根据表8分析，其功能安全等级为ASIL D。

表4 功能安全的等级评价表

表5 驾驶状况下应避免驾驶员安全气囊意外打开的安全评估表

表6 碰撞状况下确保相应安全气囊打开的安全评估表

表7 驾驶状况下应避免除驾驶员安全气囊外其他安全气囊打开的安全评估表

表8 应避免车辆安全气囊报废功能意外打开的安全评估表

小结： 根据以上分析，安全气囊控制器的功能安全设计目标应为ASIL D。

根据ISO26262，硬件设计目标如表9所示。

表9 安全气囊硬件设计目标

其中单点失效度量的计算公式为：

SPFM=1-∑λRF/∑λSR式中：所有安全相关的失效率为∑λSR，所有单点残余失效为∑λRF。

潜在失效度量的计算公式为：

LFM=1-∑λMPF/(∑λSR-∑λRF)

式中：所有多点失效为∑λMPF。

单点失效是指此失效模式可以直接导致整个系统违反安全目标，而多点失效是指此失效模式和其他失效模式共同作用才能导致整个系统违反安全目标。

功能安全ASIL D的要求如下： 单点失效率SPF应大于99%，潜在的失效率LPF应该大于90%。

2 功能安全框架的设计

根据以上分析，以驾驶员安全气囊为例，安全气囊系统设计要求为ASIL D，其功能安全架构如图2所示。整个系统分为输入部分、控制部分和执行部分，输入部分有加速度传感器、驾驶员安全带、驾驶员座位传感器，预碰撞信号；控制部分是安全气囊控制器；执行部分有驾驶员安全气囊模块和安全气囊指示灯。单一加速度传感器功能安全等级可以达到ASIL B，2个或2个以上的传感器冗余设计的功能安全等级可以达到ASIL D(ASIL B+ASIL B=ASIL D)。而控制器和安全气囊模块的功能安全等级都要求达到ASIL D。

安全气囊的控制器的逻辑架构设计如图3所示。主微处理芯片μC1从2个独立的传感器采集加速度信息，进行算法运算，只有2个传感器的运算都满足点火要求，并且辅助微处理器μC2的运算也满足点火要求，主微处理器μC1才会发出点火指令给驱动点火电路。 辅助微处理器μC2会发出使能信号给驱动点火电路，同时控制FET电路打开使能量通过FET到达驱动点火回路。

3 功能安全硬件失效计算方法

如何判断安全气囊控制器是否满足功能安全ASIL D的等级呢？需要对功能安全相关电路进行硬件失效的计算，其计算方法如下所述。

安全目标1：驾驶状况下应避免驾驶员和副驾驶员安全气囊意外打开，影响行车安全，其功能安全等级为ASIL D。其安全相关电路如图4所示，需要对电源电路、传感器电路、驱动点火电路、高端安全开关电路、主微处理器电路、安全辅助微处理器电路分别作硬件失效计算。其中灰色电路模块如CAN电路、LIN接口电路、指示灯电路等失效不会影响安全目标1，是非安全相关电路，所以不需要对其进行计算分析。

根据相关功能列出相关电路元器件，分析每一个元器件的失效模式和失效分布；如表10所示，陶瓷电容的失效可能为开路、短路、容量减小和容量增加4种失效模式，其中失效时短路的可能性为70%。而如表11所示的陶瓷电容CK的失效率为2×10-9h-1。

表10 某型号陶瓷电容和贴片电阻的失效模式和失效分布

表11 某型号陶瓷电容和贴片电阻的失效率

然后分析元器件的每种失效模式对电路功能的影响，所有硬件安全因素相关的失效为Σλ，所有单点失效为ΣλSPF，所有剩余失效为ΣλRF，然后计算SPF=1-(ΣλSPF+ΣλRF)/Σλ；最后确定该功能SPF是否满足相应ASIL安全等级要求，如果不满足，需要对电路进行改进，使其符合相应ASIL安全等级要求。

对于单点失效率，首先列出电路所有元器件、元器件每一种失效模式和故障分布率；分析元器件的失效模式是否可以直接导致整个系统违反安全目标，如果是，则改器件的失效模式为单点失效；阐述是否有安全机制可以降低该单点失效概率及其覆盖范围，最后计算其残余的单点失效率λRF。

对于多点故障率ΣλMPF计算，同样首先列出电路所有元器件、元器件每一种失效模式和故障分布率；分析元器件的失效

模式和其他故障同时发生是否导致整个系统违反安全目标，如果是，则改器件的失效模式为多点失效故障；阐述是否有安全机制可以降低该失效概率及其覆盖范围，最后计算其残余的多点失效率λMPF。

根据上述方法进行安全相关电路的功能安全失效计算，计算结果如表12所示。

表12 安全目标1硬件失效计算研究表

单点故障度量SPFM=1-(∑λRF/∑λSR)=99.76%

潜在失效度量LFM=1-∑λMPF/(∑λSR-∑λRF)=91%

安全气囊控制器的安全目标1应为ASIL D，根据硬件设计目标(见表9)，单点故障度量SPF应大于99%，潜在失效度量LPF应该大于90%。

所以安全气囊控制器的安全目标1满足功能安全设计目标ASIL D。

4 结束语

阐述了安全气囊控制器的功能安全设计目标，根据ISO26262分析了每个功能的暴露度、严重度和可控度，确定了安全气囊控制器4个安全目标及等级要求，安全气囊控制器的设计满足功能安全设计目标ASIL D。其次设计了安全气囊系统的功能安全构架和安全气囊控制器的安全控制逻辑架构，指出了功能安全的计算分析方法。

【1】BRAND A,FESER M,HAPPE J,et al.From Airbag Control Unit to Safety Controller[J].Auto Tech Review,2011,1(7):48-52.

【2】TRW Automotive Holdings Corp.TRW Cognitive Safety Strategy to be Unveiled at 2009 IAA Exhibition[J].Transportation Business Journal,2009：31-35.

【3】MATTHES G,SCHMUCKER U,LIGNITZ E,et al.Does the Frontal Airbag Avoid Thoracic Injury[J].Archives of Orthopaedic and Trauma Surgery,2006,126：541-544.

中汽学会标准化工作会议召开，团体标准工作加速推进

中国汽车工程学会(以下简称中汽学会)于2015年12月22日召开了“中国汽车工程学会标准化工作会议”，旨在加速推进中汽学会团体标准工作。中汽学会分支机构代表、中汽学会标准技术委员会委员、部分汽车及相关产业企事业单位代表共计80余人参加了会议。国家发改委产业司、工信部装备司、科技部高新司及中国科协领导到会听取了中汽学会团体标准工作开展情况总结汇报和近中期计划，并在给予充分肯定和支持基础上，对今后的发展提出了战略性、原则性的指导意见。会议由中汽学会常务副理事长兼秘书长张进华主持，由理事长付于武做大会总结。

中国汽车工程学会标准(CSAE)属于团体标准，始于2006年，是借鉴国际同类机构先进经验，并结合我国汽车工业发展实际与技术进步需求而策划、开展的一项工作，是中汽学会长期发展的一项重大业务布局。服务于行业技术进步需求是这项工作的基本宗旨，策划、组织研制“国家标准或行业标准尚未涉及，但在我国汽车技术研究和产品开发、生产等活动中急需的规范性技术文件”是这项工作的基本内容。截至目前，中汽学会已发布标准30项，在研标准项目52项，在申报项目14项。这些项目涉及汽车制动和转向、汽车材料、汽车老化和防腐、汽车油品、电动汽车及安全、智能网联汽车等技术领域。

2015年以来，团体标准发展的政策环境出现两大利好：(1)国务院颁布了“深化标准化工作改革方案” (国发[2015]13号)，提出团体标准将与国家标准、行业标准和地方标准共同成为新型国家标准体系的组成部分。(2)中央全面深化改革领导小组第十二次会议，将团体标准列为中国科协所属学会承接政府转移职能扩大试点的重点内容。良好的政策环境为团体标准发展提供了难得机遇。

(来源：中国汽车工程学会网站)

Airbag Function Safety Analysis

ZHAO Jianjun

(College of Automotive Studies，Tongji University,Shanghai 200092,China)

Based on the design functional safety of the road vehicle system ISO26262, the functional safety target and the safety level of airbag were studied, and the functional security architecture was designed. According to the automobile safety integrity level, design requirements to SPF and LF were put forward.And then the calculation analytic methods were given.

Airbags; ISO26262 standard; Function safety

2015-09-11

赵建军(1980—)，男，硕士，研究方向为汽车电子。E-mail：davidzjj@hotmail.com。