汽车转向系统功能安全验证方法的研究
2024-07-05王龙李景伟王建磊葛丽敏付朝辉
王龙 李景伟 王建磊 葛丽敏 付朝辉
摘 要:为了验证汽车转向系统功能安全需求已经被关联控制器正确实现,本文提供了一种基于实车的转向系统故障测试方法,注入的故障类型是Torque sensor故障注入。本文通过研究汽车转向系统的功能安全设计需求,包括汽车转向系统功能安全目标,HARA分析,功能安全概念等,提取出故障注入的典型测试验证场景。基于设计的故障注入场景,需进行实车的改制,包括方向盘的改制,以及BOB盒等安装。实车注入故障后,为了验证整车的功能安全目标达成,给出了一套评判的标准,研究转向系统故障注入后,可在FTTI时间内进入功能安全目标状态,并且实车是可控的。
关键词:功能安全 功能安全目标 HARA分析 功能安全概念 故障注入
随着汽车电动化、智能化的发展,越来越多的汽车都配备了电动助力转向系统,取代了之前的机械液压助力系统。引入电子电器系统之后,和整车其他ECU的交互变得越来越多,功能也变得复杂。如不同驾驶模式的助力类型,以及可以选择助力轻重等设计。功能越复杂,对于功能的稳定性,以及出现非预期故障时,功能的可靠性显得尤为重要。由于功能安全设计缺陷导致的汽车召回事件也时有发生。如2015年6月11日至2016年9月14日生产的部分绅宝X25汽车,共计58497辆。车辆由于转向助力控制模块软件设计问题,在极端使用条件下不能对转向助力电机进行有效热保护,车辆可能会出现转向助力失效,存在安全隐患。2016年4月7日至2017年3月31日生产的部分绅宝X35汽车,共计102179辆。车辆在长期高温暴晒的极端条件下,车辆转向机构内时钟弹簧的内部支架可能出现高温变形,转动方向盘时会发生内部线路卷曲、弯折的情况,导致安全气囊故障灯常亮[1]。为了避免因转向系统功能安全的设计缺陷导致的车辆功能异常,本文将基于转向系统的功能安全设计,对故障注入类的测试场景开发,并进行相关的验证工作,保证车辆转向系统的功能安全目标的实现。
1 转向系统及ISO26262简介
电动助力转向系统又称EPS系统,是从传统机械转向系统的基础上发展起来的,是一种直接依靠电机提供辅助扭矩的动力转向系统。EPS该系统主要由信号传感器(包括扭矩传感器、角度传感器、车速传感器)、转向辅助机构(电机、离合器、减速传动机构)和
ISO 26262为汽车安全提供了一个生命周期(管理、开发、生产、经营、服务、报废)理念,并在这些生命周期阶段中提供必要的支持。该标准涵盖功能安全方面的整体开发过程(包括需求规划、设计、实施、集成、验证、确认和配置)。
ISO 26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级(Automotive Safety Integrity Level 汽车安全完整性等级ASIL),其中D级为最高等级,需要最苛刻的安全需求。伴随着ASIL等级的增加,针对系统硬件和软件开发流程的要求也随之增强。对系统供应商而言,除了需要满足现有的高质量要求外还必须满足这些因为安全等级增加而提出的更高的要求[3]。
ASIL(Automotive Safety Integration Level,汽车安全完整性等级)是在概念设计阶段通过对功能安全风险的评估中得到的,如果系统的功能安全风险越大,对应的安全要求就越高,则具有更高等级的ASIL, ASIL分为A、B、C、D四个级别,其中ASIL D级为最高汽车安全完整性等级,需要最苛刻的安全需求。安全目标是系统的最高级别的安全需求,ASIL等级决定了对系统安全性的要求,ASIL等级越高,对系统的安全性要求越高,为实现安全付出的代价越高,意味着硬件的诊断覆盖率越高,开发流程越严格,相应的开发成本增加、开发周期延长,技术要求严格[4]。
2 测试用例开发及实车改制
依据汽车转向系统的结构,实车有3路Torque sensor,因此设计了表1测试场景。
Torque sensor故障注入试验中通过引入BOB盒,断开Torque senor与转向器之间的信号线。所需要的试验设备有力矩方向盘、陀螺仪、CANoe等工具。测试之前需将原车方向盘拆掉,将力矩方向盘通过联轴器嵌套在转向管柱上面。陀螺仪安装牢固,并且使用前要进行设置及标定工作。力矩方向盘在进行数据记录前需要进行力矩和方向盘转角的清零工作。并确认CANOE总线设备和实车连接无问题。
3 测试实施及报告分析
3.1 Torque sensor一路信号故障注入
Torque sensor有三路信号,将其中一路Torque sensor信号注入故障。需设定三个信号来表征故障注入时刻,如下表中绿色线表征。将其中的一路信号断开,其值从0会变成175。同时SteerErrReq会从NoReq变成SteerErrReq3_SteerAssiUrgentSrvRqrd表示助力水平会下降。实车测试转向助力有下降但并不是很明显,主观感受上并未感觉到变化。到滚筒直径约0.7处时,借重力使材料落下。分布在滚筒内不同部分的物料,由于其颗粒不同,其下落的时间、落点及滚动的距离不同,而使物料相互穿叉、翻拌、混合,达到扩散均匀,其工作原理见图2。
3.2 Torque sensor先断一路再断第二路信号故障注入
将Torque sensor先断一路信号再断第二路信号,那么表征信号通断的值都会同时从0变成175。SteerErrReq的值在断一路信号的时候从NoReq变成SteerErrReq3_SteerAssiUrgentSrvRqrd,表示助力水平下降,断第二路信号的时候会再变成SteerErrReq3_SteerErrStopSfty,表示转向系统最后会变为无助力状态,在变成无助力的瞬间,能明显感觉到手力发生变化。但处于可控范围内,如图3所示:
3.3 Torque sensor 二路信号故障注入
Torque sensor两路信号同时断开,表示信号通断的值会从0会变成175。同时SteerErrReq会从NoReq变成SteerErrReq3_SteerErrStopSfty,手力慢慢变重直到10s后丢失助力。如图4所示:
3.4 Torque sensor三路信号故障注入
将Torque sensor三路信号全部同时断开,那么表征三路信号通断的值都会同时从0变成175。SteerErrReq的值会直接从NoReq变成SteerErrReq3_SteerErrStopSfty,表示转向系统最后会变为无助力状态,在变成无助力的瞬间,能明显感觉到手力发生变化,且方向盘角度也发生明显的变化。但处于可控范围内,如图5所示:
3.5 Torque sensor先断两路信号3S后再断第三路信号
Torque sensor同时断两路信号3秒后断第三路信号,那么表征两路信号通断的值都会同时从0变成175。第三路信号值不变。SteerErrReq的值会直接从NoReq变成SteerErrReq3_SteerErrStopSfty,这时助力会变小,手力会慢慢的增加,断开第三路信号,第三路信号值发生变化,SteerErrReq仍为SteerErrStopSfty,这时手力突然变重,系统很快会变为无助力状态,在变成无助力的瞬间,能明显感觉到手力发生变化。但处于可控范围内,如图6所示:
4 结语
(1)汽车转向系统的功能安全验证需通过实车故障注入类测试,验证其FTTI时间及功能安全状态是否达成。
(2)通过上述故障注入试验可以发现无论是何种试验,最恶劣的情况就是助力丢失,但即便是助力丢失仍然在可控范围内,并未违反功能安全目标,因此被测电动助力转向系统在Torque sensor故障的时候功能安全目标可达成。
(3) 在实车上关于FTTI的测试有些无法去很好的度量,后续可以加入软件仿真测试,更加精确的评估。
(4)实车上进行功能安全故障注入类的测试,危险性较高,需要在专业试验场地进行。
(5)功能安全的故障注入类测试要更加关注驾驶人员对车辆的可控性,也需要一定的样本量。
参考文献:
[1]王宇,郭魁元,张宏伟,张通,秦孔建.基于HAZOP分析的EPS系统整车级功能安全测试方法研究[J].中国汽车 China Auto ,2021:24-30.
[2]蒋玲,苏婷,朱虹.浅谈汽车电动助力转向系统[J].前沿探讨,2012:31-33.
[3]纪宏岩,崔书超,孙灿,张进明.基于ISO26262的道路车辆功能安全开发流程解读[J].通用技术,2016(07):57-59.
[4] ISO 26262-9,Road vehicles—Functional safety—Part9:Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented.