李洪雷，詹德凯，高 越

（华晨汽车工程研究院电子集成室，辽宁 沈阳 110141）

1 电子转向锁的控制原理

1）电子转向锁的控制分析 无钥匙进入及一键起动系统代替传统汽车的机械钥匙及点火锁。网络拓扑图如图1所示。

该系统由5个模块组成。ESCL（electric steering column lock，电子转向锁）在该系统中用来替代传统的点火锁，作为整车防盗器件用以转向管柱的锁止。也就是电子转向锁在收到上锁请求，并确认满足上锁的各项条件时，在相应控制器控制下，电子转向锁会自动弹出锁舌，将转向管柱锁死，使之失去转向功能。当电子转向锁收到解锁请求，并确认满足解锁条件时，电子转向锁会自动收回锁舌，恢复转向管柱的转向功能。该器件是集机械锁止结构和电子控制单元为一体的产品。在这个网络里，PEPS（passive entry passive start，无钥匙进入及起动）通过LIN总线，并作为LIN总线控制的主控节点对从节点ESCL进行上锁和解锁的动作控制。

出于防盗安全考虑，在PEPS发送解锁命令时需

2）功能安全分析 上锁功能本身只是一项基本功能，但是在非期望时间出现上锁动作将是一件非常危险的事情。如果是在用户驾车高速行驶过程中突然出现上锁动作，导致转向失灵，极有可能出现车毁人亡的严重后果。依照ISO 26262道路车辆功能安全标准，对电子转向锁误上锁这项功能进行ASIL等级评估。

第1步，进行严重度评估，高速行驶时上锁误动作对用户直接导致的最终后果为Class S3致命伤害。

第2步，进行暴露度评估，高速行驶时上锁误动作致使用户暴露在危险中的机率按照表1评估是 E4高发生机率。

表1 暴露度评估表

第3步，进行可控能力评估，高速行驶时避免上锁误动作的控制能力按照表2评估是C3难以控制。

表2 可控性评估表

第4步，根据以上三方面的评估，按照表3的排列分析得出结论：该事件需要按照安全等级ASIL D进行安全设计。

表3 安全程度等级定义表

综上对电子转向锁上锁误动作这一事件的分析，该系统的控制应该按照功能安全等级ASIL D的标准进行软硬件的设计。但是按照该标准设计，无论从技术还是从成本角度考虑都很难实现，所以我们可将较高的ASIL等级要求拆分为2个较低的ASIL等级要求。

3）功能安全高ASIL等级划分为低ASIL等级 在2）的分析中，车辆高速行驶时上锁误动作一旦发生，严重度是无法降低的，而驾驶者暴露在危险当中的几率也将是无法降低的，然而避免该事件发生的控制措施还是可实现的。在无钥匙进入及一键起动系统中，如果可以将1个控制器PEPS对ESCL进行控制更改为2个控制器同时对其控制，无论哪一个控制器单方失效将无法导致误动作发生。那么该设计方案将大大提高该系统对电子转向锁上锁误动作的控制能力。

根据电子转向锁硬件框图 （图2）及 上锁命令&供电有效 =1=锁电机动作 对图2控制原理的描述，不难分析出可将电子转向锁的电机控制和电机供电分由2个模块来控制，如图3所示。

按照图3控制原理的调整，电子转向锁的动作控制已经完全分由BCM、PEPS 2个模块来控制。那么，控制器BCM或PEPS单一故障将不可能引起电子转向锁的误动作。因此根据表2可以得出，该事件的发生将很容易被控制住。可控度完全可以达到C1。那么，该功能的ASIL等级将会降为ASIL B。按照ASIL B进行设计，将大大降低了对电子转向锁硬件和软件的要求，进而也达到了成本的控制要求。

2 总结

在该无钥匙进入及一键起动系统中的电子转向锁上锁误动作这一事件中，应用了ISO 26262道路车辆功能安全标准的系统分析方法，对其控制原理进行分析改进，使得整个系统的设计不仅得到了优化，大大提高了可靠性，同时也为电子转向锁这一部件的设计标准降低了级别，达到了满足高可靠性、低成本的要求。

［1］ISO 26262， Road vehicles-Functional safety［S］.