混合动力汽车驻车系统的功能安全概念
2021-09-10李相华王林叶锦
李相华 王林 叶锦
为解决现有驻车控制技术中的驻车安全问题,从ISO 26262标准要求出发,针对混合动力汽车驻车系统进行失效分析和风险评估,给出了系统级别的安全目标,提出了驻车系统的功能安全监控概念,为后续产品的安全开发提供了安全依据。
驻车系统;功能安全;安全概念
0 前言
随着新能源汽车电动化和智能化的快速发展,越来越多的辅助驾驶或者自动驾驶功能出現在车辆上,用户可以更加便捷地使用车辆。驻车系统是车辆实现停车的重要保证,也是辅助驾驶或自动驾驶功能实现量产落地的重要执行机构。辅助驾驶或自动驾驶产品的安全可靠,需要满足ISO 26262标准的功能安全要求[1],否则会直接影响到车辆的使用安全和驾驶员的人身安全。
ISO 26262标准是国际标准化组织在2011年提出的,专用于汽车行业电控系统的安全开发,为车辆电子电器系统的整个生命周期的安全性和可靠性提供了技术要求和方法保障[2]。在2017年,国内汽车行业实现了国际标准的国内转化,并发布了GB/T 34590标准。驻车系统作为车辆电子电气系统的一部分,需要从功能安全角度分析和评估其系统失效的影响,并设计相应的功能安全监控概念,确保驻车系统的执行过程安全可靠。
为解决现有驻车控制技术中未考虑的系统失效或故障情况下如何确保驻车安全的问题,本文从ISO 26262标准要求出发,针对混合动力汽车驻车系统进行失效分析和风险评估,给出了系统级别的安全目标,最后设计完成了驻车系统的功能安全监控概念,为后续产品开发和技术层面的安全设计提供了依据。本研究为国家重点研发计划(2018YFB0105803):新型高性价比混合动力总成开发基金项目。
1 驻车系统
驻车系统一般安装在混合动力汽车的电驱动箱的传动轴端,包括驻车控制器、驻车电机、驻车执行总成及驻车齿轮等结构。驻车系统的结构示意如图1所示。驻车系统的主要功能是在接收到驾驶员的进驻车和退驻车操作时,控制器控制驻车电机工作,推动执行机构运动,实现棘爪进驻车和退驻车。
驾驶员的进驻车和退驻车操作,一般是由外部换档杆模块(SCU)检测,并通过控制器局域网络(CAN)通讯发送给驻车控制器。在接收到进退驻车请求后,驻车控制器结合车速等车辆其他状态信息,控制驻车电机运动使执行机构向驻车位置或空档位置移动,实现进退驻车。然后,驻车控制器将驻车系统的状态通过CAN通讯反馈到仪表等设备,将信息传递给驾驶员。驻车系统的边界条件如图2所示。
2 失效分析与风险评估
失效分析与风险评估的目的是发现和评估出驻车控制系统中有哪些潜在失效会对车辆运行产生人身安全的风险。失效分析常用的方法工具有危险可操作性分析(HAZOP)、功能危险性分析(FHA)、头脑风暴,以及售后故障调查等[3]。本文采用HAZOP方法对系统失效进行分析。结合驻车控制系统的特点,使用的引导词和得出的失效模式如表1所示。
依据驻车控制系统的特点,进驻车卡滞失效是与无法进驻车失效相同的,退驻车卡滞失效是与无法退驻车失效相同的。因此,把相同或者相似的功能失效进行合并描述,最后形成的驻车控制系统的功能失效如表2所示。
在进行风险评估时,须将系统的潜在失效结合到场景中评估其对车辆运行的影响。
运行场景包括了道路条件、运行环境、车辆状态和驾驶员操作等因素。驻车系统的运行场景比较简单,比如坡道上进驻车、车辆正常行驶时退驻车等。结合驻车系统的失效模式和运行场景,可以综合形成驻车系统的危害事件。然后,针对每个危害事件,依据ISO 26262标准要求,从严重度S、暴露度E和可控度C 3个角度进行风险评估,并得到汽车安全完整性等级(ASIL)。驻车系统的风险评估的示例如表3所示。
以危害事件HE-4为例,停车场景暴露度非常高的可评为E4,但考虑到在坡道上停车且前后方有行人的情况,将2种场景叠加后的暴露度评估为E3;溜车撞倒行人会直接危害到行人人身安全,严重度为S3;对于可控度,最坏情况是驾驶员不在车内,几乎无法控制车辆,评估为C4;最终得到风险等级为ASIL-C。
依据危害事件和风险评估结果,可得出系统层面的安全目标如表4所示。
安全目标作为1个产品或系统最高层面的安全要求,按照ISO 26262标准要求,包括ASIL等级、故障容错时间(FTTI)及安全状态等属性要求。依据工程开发经验,FTTI参数与系统功能设计方法有关,在安全目标阶段可以不给出,而是在功能安全概念阶段依据系统初始功能设计、安全状态进行计算和分解。另外FTTI分析过程复杂且涉及到具体驻车结构参数。在此,本文不作进一步分析阐述。
3 功能安全监控概念
功能安全概念的目的是根据上文提出的安全目标,分析并得到实现这些目标的设计措施和安全要求,然后分配到具体的实施系统要素,优化系统功能架构,形成整体的安全概念。
功能安全概念的开发思路包括以下3个步骤。(1)针对每1项安全目标,使用故障树分析(FTA)方法,逐层分析并识别出系统初始架构中违背安全目标的潜在失效或故障。(2)针对识别到每1条失效或故障,提出安全措施或安全机制,具体可从如下维度考虑:① 故障规避措施;②故障探测措施;③进入或退出安全状态的条件;④故障容错措施;⑤降级或报警措施;⑥避免潜伏故障等措施。(3)将提出的安全措施或安全机制分配到系统初始功能架构要素中,优化完善系统初始功能架构。
在此,需要特别说明的是,在提出安全措施或安全机制时,不需要局限在本系统范围内,也可由其他技术措施或外部电控系统实现。比如本文提出的SG-2:系统应避免非预期进驻车,可通过提出机械层面的技术措施来实现,可通过改进驻车结构总成的机械设计,实现车速大于5 km/h时限制驻车棘爪啮合进驻车齿轮的情况。另外,在功能安全概念开发过程中,需要同时考虑到外部系统的安全要求。
3.1 功能安全要求的导出
下面以本文提出的SG-3为例详细阐述功能安全要求的导出。如图3所示,首先使用FTA方法分析得出的违背SG-3的失效情况。针对这些失效情况,驻车系统需要增加退驻车执行监控功能,部分功能安全要求如表5所示。
针对FSR-3要求,技术人员从功能实现角度进一步细化提出需要系统层面增加的部分安全功能(表6),从输入、控制和输出角度分别提出安全要求。
针对新增加的驻车执行监控的功能,使用FTA进一步分析(图3)。从故障探测措施、进入或退出安全状态的条件提出的部分安全机制如表7所示。
3.2 功能安全要求的分配
如图4所示,功能安全要求分配到系统初始架构要素中,实现要求与具体实施要素的关联。同时,技术人员须对初始系统架构进行优化和完善,形成整体的安全概念。
在得出功能安全需求后,技术人员在产品开发阶段将依据这些功能安全需求和功能安全概念进行进一步细化,分析得到更加详细的技术实施细节并分配到软硬件,进而实现产品的开发。
4 结语
本文依据ISO 26262标准,针对混合动力汽车中 驻车系统进行了失效分析和风险评估,给出系统层面的安全目标,然后详细阐述了功能安全概念的开发思路,并通过FTA方法,给出功能安全要求和功能安全概念,为后续产品的安全开发提供了依据。实际工程经验也表明,正确完整的功能安全概念可以系统性的识别相关产品的失效问题,解决工程开发中未能考虑到的安全因素问题。
[1]吴小萍, 姚文博, 谭艳军, 等. 基于道路汽车功能安全标准要求的7DCT驻车位置传感器新策略设计[J]. 汽车电器,2019(1): 39-40, 43.
[2]ISO 26262 Road vehicles-functional safety[S].国际标准化组织, 2011.
[3]王林, 赵鑫, 任倩萌. 混合动力汽车电驱动系统的功能安全概念设计[J]. 上海汽车, 2018(11): 4-8, 18.