李赛赛，梁 东，郭瑞玲，王景先，杨 畅

乘用车转向功能安全主客观测试评价方法

李赛赛，梁 东，郭瑞玲，王景先，杨 畅

（中汽研汽车检验中心（天津）有限公司，天津 300300）

文章依托某款转向系统装配有电动助力转向系统（EPS）的车型，根据ISO 26262－10:2018定义的功能安全测试要求，对其转向系统进行危害分析、定义安全目标和导出测试用例，通过故障注入的方法对转向系统的安全机制进行客观有效性和符合性验证；设计了合理有效的主观评价打分标准，驾驶员依据真实驾驶感受对安全机制触发后转向操作的舒适性和可操控性进行评价；实验结果表明，通过主客观相结合的测试评价方法，可以实现对转向系统功能安全的综合验证和评估。

转向系统；功能安全；故障注入；主客观评价

汽车转向系统是关乎汽车操纵稳定性和主动安全性的关键系统总成，在转向系统部件电子化、智能化为驾驶员带来轻便性和可操控性的同时，其失效对驾驶员、乘员、行人带来的危害也越来越严重。因此，如何合理有效地设计安全机制和实现转向系统功能安全的综合评估也成了重中之重[1-2]。

《道路车辆功能安全》（ISO 26262－10:2018）标准为汽车电子集成部件、系统功能安全生命周期提供了理念和必要支持[3]，根据ISO 26262－10:2018中的危害分析和风险评估方法[4-6]，可以客观有效解析转向系统因故障发生可能造成失效危害和风险的事件，确定事件的安全等级和安全目标。客观确定危害事件的安全目标或接受准测并不能较好聚焦于用户视角以迎合终端消费者，在面向消费端时，主观感受往往在产品的综合评价中占据着重要位置。因此，在确定安全目标时，需要结合确切有效的主观评价方法，形成主客观综合测试接受准测，以切实有效的评价验证转向系统设计的正确性和合理性。

1 功能安全分析

1.1 危害识别场景分析

在对危害进行识别前，需要立足于危害所对应的特定的场景进行分析。立足于场景的分析有利于更真实模拟消费者在驾驶时发生故障对应所处的危险事件和运行模式，有助于考量系统安全机制在极端或者边界场景下发生故障的整车表现是否符合预期，以及有助于评价不同运行场景及工况下危害事件对消费者所带来的驾驶主观体感。因此，通过多维度的场景分析可以全面的考量和还原真实故障发生时对应的运行场景。

在危害模式识别时，需要系统地确定在不同场景下危害故障所导致的危害事件。利用失效模式和效果分析（Failure Mode and Effect Analysis, FMEA）分析方法，来确定危害模式和影响[7]。通常在整车级表现的一种危害模式和影响，往往有多种失效元件的潜在原因，在进行危害识别时，仅考虑单点失效。

1.2 ASIL等级确定

ISO 26262－10:2018标准中提出在针对部件、系统、整车进行潜在危害事件分析时，需要根据严重度（S）、暴露度（E）和可控度（C）将汽车安全完整性等级（Automotive Safety Integration Level, ASIL）划分为A、B、C、D四个等级，其安全等级要求由左往右依次增加。严重度（S）、暴露度（E）和可控度（C）中各等级描述如表1所示。

表1 S、E、C等级描述

等级描述等级描述等级描述 S0无伤害E1非常低的概率C0完全可控 S1轻度和中度伤害E2低概率（<1%）C1简单可控（>99%） S2严重伤害（有存活可能）E3中等概率（<10%）C2一般可控（90%～99%） S3致命伤害E4高概率（>10%）C3不可控（<90%）

在经过评审得到各危害事件S、E、C的具体等级后，ASIL可由S、E、C排列组合得到对应的安全等级，对应等级如表2所示。

每一个危害事件都将有一个ASIL等级与之对应，该等级将作为贯穿系统整个安全机制生命周期的技术要求，转向电子控制系统相关危害的安全要求如表3所示。转向系统安全机制需能够满足标准要求的功能安全要求，以及为实现安全目标而制定的故障报警、冗余功能及降级策略等。

表2 ASIL等级确定

严重度暴露度可控度 C1C2C3 S1E1QMQMQM E2QMQMQM E3QMQMA E4QMAB S2E1QMQMQM E2QMQMA E3QMAB E4ABC S3E1QMQMA E2QMAB E3ABC E4BCD

注：QM表示满足质量管理要求即可。

表3 转向电子控制系统相关危害的安全要求

序号整车危害ASIL等级安全目标 1非预期侧向运动D车辆非预期的侧向运动应满足非预期侧向运动的安全度量 2非预期地失去侧向运动控制D应确保驾驶员对车辆侧向运动的控制能力，相应转向操纵力应满足非预期失去转向控制的安全度量 3失去助力情况下的转向沉重QM或A转向操纵力应满足转向沉重的安全度量

注：安全度量应基于目标市场来确定。

2 转向系统功能安全主客观测试评价方法

2.1 转向系统分析

转向系统已由最初的纯机械转向系统发展成为现行应用最为广泛的电动助力转向系统（Elec- trical Power Steering, EPS）[8]，如图1所示。转向系统通常由电子控制单元（Electronic Control Unit, ECU）控制器、传感器、执行器、电气连接部件和机械传动部件组成。传感器、控制器和执行电机工作时由整车电（12 V）进行供电，在驾驶员操纵转向盘进行转向时，转向系统中的转角传感器和扭矩传感器实时捕捉驾驶员转向角度和转向手力矩值，并分别转化为转角和扭矩电信号发送至ECU控制器。ECU控制器接收并处理转角和扭矩电信号，结合整车控制器局域网（Controller Area Network, CAN）信号传输的速度信号，识别出驾驶员转向意图并使电驱模块对转向电机发送对应的转向助力矩指令从而使执行机构进行转向助力动作，同时，通过电驱模块对电机位置的实时采样，实现ECU控制器对转向电机的精确控制，使转向电机能够完全按照既定指令带动转向拉杆实现助力转向[1,9]。

图1 转向系统架构示意图

对图1转向系统架构示意图进行分析后，可以得到转向系统易发生故障的四种类型：1）传感器信号故障，如扭矩信号偏置/卡滞等；2）CAN信号故障，如速度信号丢失/偏移等；3）校验类错误，如循环冗余校验（Cyclic Redundancy Check, CRC）和CheckSum校验等；4）电源故障（电源短路/短路/电压过高/电压过低）。根据这四种故障类型，可以快速地、有针对性地对转向系统故障各单元进行梳理并形成测试用例。

2.2 故障注入测试

2.2.1故障注入测试方法

为了分析转向系统的安全机制是否符合功能安全的技术要求，需要对各子部件及系统中最可能违背安全目标的关键单点故障进行针对性测试，此测试方法为故障注入测试方法[10]。

故障注入测试类型主要包括以下三类：

1）并行式测试：在系统运行的时候注入电压等干扰信号，改变原始信号的波形，造成故障信号，如扭矩传感器和转角传感器故障。图2(a)表示将正常值更改为恒定值；图2(b)表示在正常值上增加偏移量；图2(c)表示在正常值上增加振荡；图2(d)表示通过振荡值改变正常值；图2(e)表示将增益加到正常值上。

2）ECU内部制造错误代码：修改ECU内部算法逻辑造成故障，如CRC校验。

3）中断式测试：在系统中加入硬件节点，制造通断类故障，如电源断开故障。

为实现以上故障注入类型，并且保证尽量少改变原车系统，本文设计了线束连接故障测试盒（Break-Out Box, BOB）、Sent板卡和EPS控制器线束，串联在整车控制器和EPS控制器之间，以实现转向系统故障注入。在利用故障注入设备对车辆转向系统的传感器、通讯、供电等关键单元及节点进行单点故障模拟时，在整车层面，转向系统需要能够在故障注入后能够及时探测故障并触发安全机制并切换安全降级模式或紧急运行模式，保证车辆状态在可控范围内。

2.2.2故障注入测试系统

本文搭建了故障注入测试系统。故障注入测试系统如图3所示，主要包括上位机、Delta电源（220 V）移动电源、Vector（VN1640）、EPS-BOB、陀螺仪（RT3000）、方向盘测力计组成。

上位机：对特定总线信号进行故障信息编辑（如超出范围、信号偏离、信号振荡、信号卡滞）并发送信号，接受故障注入指令并发送；检测故障注入后系统安全机制的容错时间间隔（ Fault Tolerant Time Interval, FTTI）[11]、监测总线状态以及录入总线数据。

Delta电源：对EPS供电，同时可以实现EPS供电电压和供电电流调节，通过上位机编辑电压、电流值模拟电源类（断路、短路）故障注入。

BOB：对应整车控制器和EPS 控制器引脚，通过接插件的插拔模拟信号丢失故障。

陀螺仪（RT3000）：在一定测试场景下，采集整车在故障注入前后30 s内的横摆角速度、侧向加速度、航偏角、横向偏移量。

方向盘测力计：在一定测试场景下，采集方向盘的角速度和手力矩。

2.3 主观测试评价方法

2.3.1主观评价定义和作用

主观评价是在一定的运行工况下，由专业驾驶员结合自身感官并依据主观评价标准对车辆量化评价[12-13]。在功能安全测试评价中，运用主观评价可以快速评估系统安全机制舒适性和可执行性，可以有效地模拟在发生故障后安全机制介入时车辆反应对消费者的驾驶干扰程度，有利于协助企业对安全机制进行进一步改良和升级。

图3 故障注入测试系统

2.3.2主观评价项目和方法

本文将转向功能安全测试与主观评价的相关项进行提炼，导出为整车反应、汽车行驶轨迹、方向盘手力矩三项，综合反映了故障发生后车辆的可控性和舒适性，并最终将其作为主观评价的相关项指标。

将主观评价指标：整车反应、汽车行驶轨迹、方向盘手力矩，根据专业驾驶员对故障注入后车辆可能发生的状态所对应的体感进行细致分级，1分作为最小分度值，共分6级，如表4所示。其中，分数1为最低等级，表示最恶劣的体感，不可控，可能导致车辆失控或者伤人；分数6为最高等级，表示最好体感，与故障注入前无明显差别。

表4 主观评价依据

分数整车反应汽车行驶轨迹方向盘手力矩 1无法控制车辆轨迹严重偏离车道强烈干扰（伤手） 2有强烈反应（驾驶员难以控制）轨迹显著偏离行驶车道有强干扰（可能伤手） 3有明显反应（强侧向风感）有明显轨迹偏差（在行驶车道内）手力有变化（强干扰但是不至于伤手） 4反应温和（侧向风感）有轨迹偏差（在行驶车道内）手力有变化（有干扰） 5有反应（驾驶员能感知）有察觉轨迹偏差手力有变化 6无明显反应无轨迹偏差手力无明显反应变化

转向功能安全客观测试的危险场景应能够包含主观评价所使用的工况[14]：

1）直线行驶：在选定车道内，驾驶员操控车辆进行直线形式，在达到预期车20、60、120 km/h并保持15 s后进行故障注入。

2）变道行驶：在选定车道内，驾驶员操控车辆进行直线形式，在达到预期车20、60、120 km/h并保持5 s后，进行向左或向右变道操作的同时进行故障注入。

3）转向行驶：在故障注入时，驾驶员操控车辆以60 km/h的速度进行转向（转向圆半径≤60 m），在转向过程中进行故障注入。

2.4 测试用例

为了有效验证安全机制的有效性、舒适性和可行性、结合转向系统特征，对最易发生、最关键的单点故障进行故障注入测试，形成了本测试用例，测试用例部分描述如表5所示。

表5 测试用例示例

序号整车危害类别故障类型运行场景车速/(km/h)测试用例描述接受准则 01非预期的侧向运动扭矩传感器偏置6 N∙m直行201、主观评价分值2、通过故障注入故障，持续时间500 ms3、通过观察仪表EPS故障灯是否常亮4、通过力矩方向盘测试方向盘手力值5、通过力矩测试方向盘角度值6、故障注入取消后，重启发动机后观察仪表EPS故障灯是否消失1、主观评价车辆可控2、转向手力矩≤55 N∙m3、最大侧向加速度值小于0.3g4、故障注入后故障灯亮起5、FTTI≤65 ms6、直行时，从故障注入开始持续1 s内车辆横向移动＜0.6 m7、故障注入消除后，重启车辆后仪表EPS故障灯消除 0260 03120 04转弯60 05电机位置传感器偏置0.1变道20 0660 07120 08转弯60 09失去助力情况下的转向沉重EPS电源断开变道201、主观评价分值2、电源线断开，持续时间5 000 ms3、故障注入后变换车道4、通过力矩方向盘测试方向盘手力值5、通过力矩测试方向盘角度值 1060 11120 12转弯60

3 测试结果

本文根据以上分析，参照测试用例对某款车型进行了针对性转向系统故障注入实车测试，测试结果抽取直线工况高速部分如表6所示。

表6 实车故障注入测试结果

序号整车测试结果序号整车测试结果 03主观评价分值/分604主观评价分值/分4 转向手力矩≤55 N∙m4.01转向手力矩≤55 N∙m39.50 最大侧向加速度值小于0.3g0.14g故障注入后故障灯亮起故障灯亮起 故障注入后故障灯亮起故障灯亮起 FTTI/ms24FTTI/ms32 从故障注入开始持续1 s内车辆横向移动＜0.6 m0.25故障注入消除后，重启车辆后仪表EPS故障灯消除重启车辆后仪表EPS故障灯消除 故障注入消除后，重启车辆后仪表EPS故障灯消除重启车辆后仪表EPS故障灯消除 07主观评价分值/分508主观评价分值/分4 转向手力矩≤55 N∙m11.18转向手力矩≤55 N∙m35.18 故障注入后故障灯亮起故障灯亮起故障注入后故障灯亮起故障灯亮起 FTTI/ms32FTTI/ms32 故障注入消除后，重启车辆后仪表EPS故障灯消除重启车辆后仪表EPS故障灯消除故障注入消除后，重启车辆后仪表EPS故障灯消除重启车辆后仪表EPS故障灯消除 11主观评价分值/分412主观评价分值/分4 转向手力矩≤55 N∙m21.14转向手力矩≤55 N∙m37.25 故障注入后故障灯亮起故障灯亮起故障注入后故障灯亮起故障灯亮起 FTTI/ms24FTTI/ms24 故障注入消除后，重启车辆后仪表EPS故障灯消除重启车辆后仪表EPS故障灯消除故障注入消除后，重启车辆后仪表EPS故障灯消除重启车辆后仪表EPS故障灯消除

由表6实车故障注入测试结果可知，整车在经过扭矩传感器信号偏置、电机位置传感器偏置、电源断开等典型故障单元故障注入后，驾驶员的主观评价分值均大于或等于4分，转向手力矩均处于小于或等于55 N·m范围内，直行工况下的横向位移均小于0.6 m，并且FTTI值满足安全机制设计要求。由此可知在车辆在故障注入后未出现不受控和偏离车道等不受驾驶员控制的反应，无呈现影响驾驶员或伤害驾驶员的现象，并且有相应的故障灯亮起，符合功能安全标准要求。

4 结论

本文提出了一种基于故障注入的乘用车转向功能安全主客观测试评价方法，依据ISO 26262－10:2018的标准规范对转向系统进行了危害识别场景分析并导出测试用例；通过搭建基于故障注入的功能安全测试系统，和依据整车反应、汽车行驶轨迹、方向盘手力矩作为转向功能安全相关项主观评价指标的评分制主观评价方法，对转向系统的安全机制的有效性、舒适性和可行性进行验证，注入测试方法。测试结果表明，车辆在故障注入后未出现不受控和偏离车道等不受驾驶员控制的反应，无呈现影响驾驶员或伤害驾驶员的现象，并且有相应的故障灯亮起，符合功能安全标准要求。因此，该转向功能安全测试评价方法可以实现对真实车辆转向功能安全机制的有效性、舒适性和可行性的全范围验证和评估，有助于企业对于转向功能安全机制的更新、迭代和确认。

[1] 方顺亭,李晶,王玉磊,等.转向功能安全概念分析和试验研究[J].时代汽车,2022(20):177-180.

[2] 高乐,刘秋铮,陈慧.EPS系统功能安全测试方法[J]. 电子技术与软件工程,2020(6):28-30.

[3] International Organization for Standardization.ISO 26262－10:2018 Road Vehicle-Functional Safety(all parts)[S].Switzerland:International Organization for Standardization,2018.

[4] 杨国青,厉蒋.基于ISO 26262功能安全标准的汽车电子系统测试方法(上)[J].电子产品世界,2013,20(4): 31-34,49.

[5] 杨国青,厉蒋.基于ISO 26262功能安全标准的汽车电子系统测试方法(中)[J].电子产品世界,2013,20(5): 33-34.

[6] 杨国青,厉蒋.基于ISO 26262功能安全标准的汽车电子系统测试方法(下)[J].电子产品世界,2013,20(6): 39-40,44.

[7] 张宏伟,秦孔建,王长园,等.基于故障注入的EPS系统功能安全测试方法[C]//2019中国汽车工程学会年会.北京:中国汽车工程学会,2019:788-791.

[8] 吴炜,黄迪,陈迹,等.电动助力转向系统(EPS)的功能安全相关分析初探[C]//2015中国汽车工程学会年会.北京:中国汽车工程学会,2015:209-213.

[9] 李争鹏.基于功能安全的商用车电动助力转向系统设计与验证[J].汽车与新动力,2023,6(2):51-56.

[10] 尚世亮,王雷雷,赵向东.基于ISO 26262的车辆电子电气系统故障注入测试方法[J].汽车技术,2015(12): 49-51,58.

[11] 何杰,陈慧.符合ISO 26262的EPS扭矩传感器故障容错时间间隔确定方法[C]//2015中国汽车工程学会年会.北京:中国汽车工程学会,2015:361-364.

[12] 雷斌,王景先,刘学松.乘用车动态性能商品性主观评价方法[J].汽车工程师,2020(4):11-14.

[13] 梁荣亮,雷斌,张诗敏,等.乘用车人机工程商品性主观评价方法研究[J].中国汽车,2020(8):28-33.

[14] 付越,李波,尚世亮,等.乘用车转向系统功能安全标准研究[J].中国汽车,2019(8):43-46.

Subjective and Objective Test and Evaluation Methods of Passenger Car Steering Functional Safety

LI Saisai, LIANG Dong, GUO Ruiling, WANG Jingxian, YANG Chang

( CATARC Automotive Test Center (Tianjin) Company Limited, Tianjin 300300, China )

This paper relies on a steering system equipped with electrical power steering(EPS), according to the functional safety test requirements defined by ISO 26262－10:2018, conducts hazard analysis on its steering system, defines safety objectives and derives test cases, and conducts objective effectiveness and compliance verification of steering system safety mechanism by fault injection method. A reasonable and effective subjective evaluation scoring standard is designed, and the driver evaluates the comfort and controllability of steering operation after the safety mechanism is triggered according to the real driving experience. The experimental results show that the comprehensive verification and evaluation of functional safety of steering system can be realized by combining subjective and objective test and evaluation method.

Steering system; Functional safety; Fault injection; Subjective and objective evaluation

U463.4

A

1671-7988(2023)19-149-07

10.16638/j.cnki.1671-7988.2023.019.029

李赛赛（1996－），男，硕士，助理工程师，研究方向为汽车底盘测试技术，E-mail:lisaisai@catarc.ac.cn。