基于HAZOP的EHB电子液压制动系统危险事件识别方法
2022-12-02张志波
李 海,付 旺,张志波,丛 林
(1. 北京福田戴姆勒汽车有限公司,北京 101400;2. 中汽研汽车检验中心(天津)有限公司,天津 300300)
0 引言
汽车技术朝着“新四化”(智能化、网联化、电动化、共享化)快速发展,无论是传统汽车还是新能源汽车,都装备了高度集成化、智能化的控制系统,汽车功能安全问题变得越来越复杂,同时伴随着人们对汽车安全的重视程度越来越高,汽车功能安全成为目前汽车安全的关键因素,汽车关键部件系统的危险事件识别作为汽车功能安全的基础成为了保证汽车功能安全的重要环节之一[1-2]。
汽车功能安全能够从研发设计源头解决因电子控制系统故障导致的汽车危害行为,进而避免道路交通事故的发生,因此功能安全技术已成为汽车行业进行汽车功能风险评估和危害分析,保障汽车安全的关键技术之一。全面准确的汽车危险事件识别、严格技术规范和严谨的功能安全开发流程能够降低和避免来自系统失效和硬件随机失效造成的风险,大大提高汽车电子系统的安全性和可靠性[3]。
1 汽车功能安全分析方法
1.1 失效模式影响与诊断分析FMEDA (Failure mode effect and diagnostic analysis)
FMEDA是在汽车产品设计阶段和过程设计阶段,对构成汽车产品的子系统、零件,对生产过程的各个工序逐一进行逐级详细的分析,罗列出所有潜在的失效模式并分析其可能导致的后果,从而在产品设计开发阶段设计预先采取必要的措施,以提高产品的质量和可靠性。FMEDA是产品设计定量分析的基础,可以用来分析整个系统或者某个安全独立单元[4]。
1.2 故障树分析(Fault Tree Analysis, FTA)
FTA是一种自上向下的可靠性分析方法,从需要分析的顶层事件开始,将一切可能出现的故障按照既定的标准分门别类,用故障树形状的图形表示出来,用逻辑推导逐步推导出导致故障发生的基本事件[5]。FTA分析方法在系统可靠性分析、安全性分析和风险评价中具有重要作用和地位,此分析方法既可用于定性分析又可定量分析,是复杂系统安全性、可靠性分析与预测的最重要和最有效的方法之一。
1.3 潜在失效模式与后果分析(Failure Modes and Effects Analysis,FMEA)
FMEA是用来预测潜在失效模式的发生和失效所带来的影响,从而管理过程的风险,是一种可靠性分析方法,也是风险分析的方法之一。它可对各种可能的风险进行评估分析,揭示可能出现的故障,并预测该故障对于整体系统的影响,以便在现有技术的基础上消除这些风险或者将风险减小到可接受的水平。FMEA的优势在于它给出了系统中重要失效模式在系统中的概括描述,同时它迫使设计者评估他所设计的系统的可靠性。
1.4 相关的失效分析DFA(dependent failure analysis)
DFA的目标是通过分析识别出相关项的共因失效和级联失效,识别可能会导致违反安全要求或安全目标的故障,在必要时对两类失效进行限制或者消除,从而保证相关项的独立性和免于干扰的能力。DFA的目的是找出安全的弱点,为ASIL分解和共存提供依据。
1.5 危险与可操作性分析(HAZOP,Hazard and Operability Analysis)
HAZOP主要用于查找生产过程中可能发生的风险危险和它出现的原因,并制定可靠的预防措施,是一种可以应用到汽车功能安全领域的分析方法[6]。可通过对相关项的结构化分析辨别出与预期功能的偏差,并对产生偏差的原因进行深入分析,判断偏差造成的危害风险。通过选用不同的引导词,HAZOP有助于结构化和系统地检查相关项在整车层面的运行情况。
HAZOP分析在系统安全评价领域是应用广、专业程度高的定性分析评价技术,经过不断改进与完善,现已广泛应用于各类工艺过程和项目的风险评估工作中,尤其在汽车产品的设计和开发过程中,通过建立适当的引导词,能够完整全面的得到可能发生的危险事件[7]。
2 制动系统危险事件识别方法
2.1 相关项定义
电子液压制动(EHB)系统是目前国内外各大汽车制造厂的主要研究领域之一,并且随着汽车电动化、网络化新四化的兴起,EHB系统开始逐渐普及。
EHB系统是在传统液压制动系统的基础上发展而来的,用一个集成的制动系统模块来替代传统制动系统中的制动液压管路压力调节系统和汽车防抱制动系统模块等,产生并储存制动压力,并可分别对四个轮胎的制动力矩进行单独调节,与传统的液压制动系统相比,EHB系统有了显著进步,其结构简单紧凑、制动噪声减小、提供更好的踏板感、可分析驾驶员意图判断不同的制动行为等。EHB系统的控制逻辑原理示意图如图1所示,驾驶员踩下制动踏板,踏板行程传感器、踏板力传感器将制动需求数据信息发送到控制器,综合采集到的车辆运动状态(包括车速、轮速、方向盘转角、横摆角速度等)信息,控制器进行数据处理计算和分析,当控制器判断制动系统压力不足时,控制器输出控制信号,对电磁阀进行控制,使制动管路的进液阀输入流量增大,输出液阀输出流量减小,以达到驾驶员所需的制动压力;当控制器判断制动系统需要保压时,控制器控制进液阀和出液阀的开度保持不变;当控制器判断制动系统需要减压时,控制器使进液阀输入流量减小,出液阀输出流量增大,以达到驾驶员所需的制动压力;当某几个高速开关阀控制回路失效时,控制器将切换成应急控制模式, 制动踏板力的液压管路与应急制动管路连通,踏板力直接通过液压加载在制动器上,实现车辆的应急制动。
从系统控制框图中提取出工作过程中重要的系统功能,如表1所示。
表1 EHB系统功能列表
2.2 危害分析
HAZOP分析是以系统工程为基础的一种对目标系统进行定性风险识别的方法[8]。它的基本过程是以关键词为引导,分析出设计方案或生产过程中系统运行状态的缺陷或不足,找出可能发生风险的部分。对于EHB系统,HAZOP导则中的基本引导词不能完全适用,因此结合EHB系统的功能应用需建立适用于EHB系统的引导词,利用引导词从EHB系统的功能中推导出可能发生的失效故障,并列出潜在的危害事件。本文选取“丢失、卡滞、偏大、偏小、错乱、未反应”6种引导词,针对F1、F2、F5三种功能应用进行HAZOP分析示例,如表2所示。
表2 EHB系统HAZOP分析过程
3 风险评估
3.1 功能失效
根据ISO 26262-3和GB/T 34590.3-2017《道路车辆 功能安全 第3部分》的要求,采用ASIL评级的方法从严重程度(S)、暴露率(E)和可控性(C)三个维度对分析得到的危害事件进行风险评估。严重度(S)是指在某种功能失效的情况下车内人员与车外人员的受伤害程度,S0-S3为严重程度等级,其中S3为最严重的程度等级;暴露率(E)是指某个危险事故发生的概率,E0-S4为暴露率等级,其中E4为最高的暴露率等级;可控性(C)是指危害事件即将发生时能够被避免的概率,C0-C3为可控性等级,其中C0为最可控的等级[9]。ASIL等级如表3所示,A为最低的功能安全需求等级,D为最高的功能安全需求等级,QM等级表示不需做功能安全要求。
表3 ASIL等级评价表
利用表3的ASIL等级评价表对F5功能应用可能产生的危害事件进行风险评估示例,其余功能应用可能产生的危害事件的风险评估过程类似本文不再赘述。对于车辆的制动系统,无论车辆是处于高速还是低速状态,在何种行驶环境中,制动系统失效或者产生与驾驶员意图不符的制动效果,都可能与交通参与者或与行驶环境中物体发生碰撞或造成驾驶员伤亡,并且此危害出现严重伤害概率大于10%,因此严重程度均为S3级,暴露率(E)和可控性(C)按照ISO 26262-3和GB/T 34590.3-2017的分级标准[10-11]进行风险评估,结果如表4所示。
表4 风险评估结果
4 总结与展望
本文简要介绍了常用的几种汽车功能安全分析方法,针对电子液压制动系统(EHB)基于HAZOP分析方法进行了危险事件的识别,通过绘制EHB制动系统的功能列表,建立适用于EHB系统的引导词,结合不同的行驶工况推导出可能存在的系统故障和可能造成的危害,利用ASIL评级方法对危害事件进行风险评估。本文对EHB制动系统的危险事件识别提供了方法,对于制动系统的功能安全分析具有重要意义。本文所采用的分析方法方便快捷,但所得结果受人员主观性的影响,缺乏准确的量化分析,需继续深入研究新的方法提高准确度,为汽车功能安全领域做出更多的贡献。