基于ISO26262的商用车电动助力转向功能安全设计
2018-07-09徐闯谭雁清
徐闯, 谭雁清
(1.天津市松正电动汽车技术股份有限公司研发中心, 天津 300100;2.东北大学秦皇岛分校控制工程学院,河北秦皇岛 066004)
0 引言
安全性一直是汽车行业发展的关键词。汽车电子科技的迅猛发展,使得汽车上集成的电气系统越来越多。这些电气系统在极大地提高了汽车的主动、被动安全性能及驾驶舒适性的同时,也带来了系统失效后的高风险。如何保证汽车上高度集成化的电气系统的安全,进而保证整车的安全,成为备受关注的课题。
在这一背景下,国际标准化组织在2005年11月开始制定相关标准,并于2011年11月正式颁布《道路车辆电气系统功能安全标准-ISO26262》,以下简称ISO26262。此标准主要应用于相关的安全系统,该系统包括安装在总质量在3.5 t以内的一系列乘用车上的一个或者多个电子、电气系统,主要涉及解决由电子、电气相关的安全系统故障现象可能引起的危害,包括这些系统间的相互影响[1-2]。
目前在商用车特别是新能源商用车领域,虽然没有强制要求相关电气系统必须符合ISO26262的要求,但是在设计中即贯彻ISO26262的流程和方法,能够帮助开发出更安全、更具竞争力的产品[3-4]。作者基于ISO26262标准,在商用车电动助力转向产品设计之初进行功能安全设计,为后续的产品开发提供依据。
1 功能安全标准ISO26262
ISO26262除关注车辆电气系统外,还提供了一个基于其他技术的与安全相关的框架。在此标准中,提出了一个汽车安全寿命周期(管理、开发、生产、运行、服务、停止工作)的概念。
ISO26262说明了如何确定汽车风险等级ASIL(Automotive Safety Integration Level,汽车安全完整性等级)的具体方法,规定了风险等级,即ASIL等级分别为A、B、C、D。其中A是最低级,D是最高级,等级越高对系统安全性的要求越高,不同风险等级的安全问题将以普通功能为导向,和产品的开发活动实现有机结合。
具体而言,先综合系统的使用工况和环境因素,识别出潜在风险;再依据严重程度、暴露概率和可控制性的不同程度完成风险等级的判定。严重程度、暴露概率和可控制性的等级划分如表1所示,风险等级的判定依据如表2所示。在表1中,ISO26262的建议是S0、E0及C0等级程度极低。
表1 严重性、暴露概率和可控制性的等级划分
表2 风险等级的判定依据
在表2中,QM(Quality Management)表示质量管理,表示按照质量管理体系开发系统或功能就足够了,不用考虑额外的安全相关设计。A、B、C、D分别代表ISO26262标准中的功能安全等级ASIL A、ASIL B、ASIL C、ASIL D。
2 电动助力转向的危害分析和风险评估
对电动助力转向产品进行系统的危害分析和风险评估,其目的是对系统的危害因素进行识别和分类,制定相应的安全目标,并采取有效的预防对策。
依据前文介绍的ISO26262中系统进行危害分析和风险评估的方法,结合商用车电动助力转向的使用工况和环境因素,对其进行风险识别,结果如表3所示。针对表3中识别出的潜在风险,进一步进行分析与评估,结果如表4所示。
表3 商用车电动助力转向风险识别
表4商用车电动助力转向功能安全分析
风险序 号可能的原因严重性暴露率可控性ASIL等级1控制器故障S3E4C3ASIL D2传感器故障S3E4C3ASIL D3助力过大S2E4C2ASIL B转向失效或4助力过小S2E3C2ASIL A非预期转向5左右助力不对称S1E3C2QM6回正不足S1E3C2QM7回正超调S1E3C2QM8车速信号异常S1E3C2QM
3 电动助力转向的功能安全设计
通过商用车电动助力转向功能安全分析,得出商用车电动助力转向的安全目标:防止转向失效或非预期转向,功能安全等级为ASIL D。同时明确了两个ASIL D等级的安全需求:防止控制器故障和防止传感器故障。
依据ISO26262的功能安全分解原则,ASIL D 应该被分解为:一个ASIL C(D)和一个ASIL A(D);一个ASIL B(D)和一个 ASIL B(D);一个ASIL D(D) 和一个QM(D)。
在实际设计中,为防止控制器故障,将控制器设计成了两套冗余的控制系统:控制系统A和控制系统B。正常工作时,控制系统B作为监控系统对控制系统A的运行情况进行监控。在判定控制系统A失效后,控制系统B当即接管,同时控制系统A退出运行,保证系统正常工作。以此,将ASIL D分解为一个ASIL B(D)和一个 ASIL B(D)。
对于传感器故障,直接选用市场上已经量产的符合ISO26262标准ASIL D等级要求的传感器产品,以缩短开发周期、节省研发费用。其满足ASIL D等级要求的实现方法是在传感器内部集成了两套独立的模块,分别具备完整的信号采集、信号处理、信号传输的功能,实现了将ASIL D分解为一个ASIL B(D)和一个 ASIL B(D)的设计目标。
功能安全分解过程如图1所示。
图1 商用车电动助力转向功能安全分解
4 结论
ISO26262标准主要应用于汽车行业中的电子系统,目的是提高汽车电子、电气系统的功能安全,进而提高整车的安全性能。其核心价值在于提供了系统的功能安全开发流程,这使得它不仅仅局限在汽车电子领域,而能为更多领域的产品开发提供借鉴和方法论指导。
作者在商用车电动助力转向产品开发中,基于ISO26262标准,在商用车电动助力转向产品设计之初进行功能安全设计,制定了产品的顶层架构,为后续的开发工作提供了依据,在缩短产品开发周期的同时大大提升了产品的安全性。
参考文献:
[1]刘佳熙,郭辉,李君.汽车电子电气系统的功能安全标准ISO26262[J].上海汽车,2011(10):57-61.
[2]袁兰秀.汽车电子电气系统功能安全标准ISO26262的几点探讨[J].科技资讯,2013(8):245.
[3]还宏生.汽车设计中的安全要求及ISO26262标准[J].汽车零部件,2012(10):41-43.
HUAN H S.Vehicle Safety Relevant Function Design & ISO26262[J].Automobile Parts,2012(10):41-43.
[4]卢静.功能安全标准ISO26262在汽车电子电器开发中的应用[J].电子世界,2016(20):124-125.