推土機(jī)轉(zhuǎn)向制動功能安全設(shè)計

盧朋珍 孫曉鵬 劉中秀 李苑瑋

（濰柴動力股份有限公司 電控研究院 山東省濰坊市 261040）

近幾年，隨著智能駕駛技術(shù)的發(fā)展，功能安全逐漸映入人們眼簾，對功能安全產(chǎn)品及系統(tǒng)的需求更加迫切。為建設(shè)功能安全保證體系，國家質(zhì)量監(jiān)督檢驗檢疫總局和國家標(biāo)準(zhǔn)化管理委員會于2010年12月23日批準(zhǔn)發(fā)布了GB25684.1-13——2010《土方機(jī)械安全》系列標(biāo)準(zhǔn)和GB16710-2010《土方機(jī)械噪聲限值》14 項強(qiáng)制性國家標(biāo)準(zhǔn)，并已于2012年1月1日起正式實行[1]。這些標(biāo)準(zhǔn)的實施對土方機(jī)械功能提出了安全要求，為構(gòu)建土方機(jī)械功能安全保證體系奠定了基礎(chǔ)。土方機(jī)械在設(shè)計開發(fā)過程中考慮功能安全對提高整車系統(tǒng)安全性有重要意義。

1 風(fēng)險分析

功能安全是由一個或多個安全控制系統(tǒng)（SCS）實現(xiàn)的，安全控制系統(tǒng)（SCS）中與功能安全相關(guān)的部件稱為控制系統(tǒng)安全有關(guān)部件（SRP/CS）[2]。它們可以由硬件或軟件組成，可以是控制系統(tǒng)的獨(dú)立或集成部分，應(yīng)包括在機(jī)器控制系統(tǒng)安全分析的方法程序中。

轉(zhuǎn)向制動功能安全相關(guān)部件發(fā)生故障或者失效后可能造成的危害即轉(zhuǎn)向制動功能風(fēng)險分析。危害有很多類型，如人身傷害或財產(chǎn)損失等等。功能安全里的危害僅僅指對駕駛員或者路人造成的健康傷害。換句話說，功能安全開發(fā)目的是避免傷人，而不是降低財產(chǎn)損失。其次有些危害在特定場景下才會造成傷害，因此風(fēng)險分析既要考慮功能故障也要考慮駕駛場景。

2 安全等級評估

ISO19014 采用車輛安全完整性等級（ASIL）來判斷系統(tǒng)功能安全程度。由ASILA- ASILD 和QM 五個等級組成，如表1所示。ASIL 等級評估過程要求對于每個危害事件從嚴(yán)重度（S）、暴露度（E）、可控度（C）3 個維度進(jìn)行分析[3]。嚴(yán)重度是指危害事件對駕駛員、乘客或行人造成的人身傷害的程度，分為S0、S1、S2、S3 四個等級；暴露度E 是指危害事件在運(yùn)行場景中的暴露概率，分為 E0、E1、E2 三個等級；可控度C 是指危害事件發(fā)生時駕駛員、乘客或行人能夠充分控制危害事件以避免傷害的可能性，其分為C0、C1、C2、C3 四個等級。與ISO26262 不同，可控度分析由危害發(fā)生后有無降級手段（AC）、危害發(fā)生的可預(yù)知性（AW）、危害發(fā)生后駕駛員反應(yīng)性（AR）三個因素確定，如表2所示。

通過風(fēng)險分析本文提煉出4 條和轉(zhuǎn)向制動功能相關(guān)的危害事件分別為轉(zhuǎn)向失效、突發(fā)轉(zhuǎn)向、制動失效、突發(fā)制動，結(jié)合失效場景對其進(jìn)行安全等級評估如表3所示，其中制動失效危害等級最高為d，其在軟件設(shè)計時要求采取一系列保護(hù)措施保證在制動失效發(fā)生時，不傷害人或盡可能減少對人的傷害。

表1：風(fēng)險矩陣

表2：可控度矩陣

3 功能安全分析

制動和轉(zhuǎn)向功能是兩個安全控制系統(tǒng)，要構(gòu)建兩個安全控制系統(tǒng)SCS 安全保障體系，要考慮和該系統(tǒng)相關(guān)的所有因素，如傳感器、控制裝置和執(zhí)行器。

推土機(jī)無方向盤，轉(zhuǎn)向和行駛方向控制主要通過手柄X 軸方向和Y 軸方向分別對轉(zhuǎn)向離合器和行駛方向離合器進(jìn)行控制實現(xiàn)，由控制系統(tǒng)架構(gòu)圖知，轉(zhuǎn)向裝置接收來自手柄的正向控制指令同時根據(jù)轉(zhuǎn)向離合器壓力狀態(tài)確定實際控制狀態(tài)，形成一個閉環(huán)系統(tǒng)，由實際壓力與需求開度進(jìn)行PID 控制計算出轉(zhuǎn)向電磁閥需求電流，驅(qū)動轉(zhuǎn)向離合器電磁閥動作，此過程與轉(zhuǎn)向相關(guān)的主要部件有手柄、轉(zhuǎn)向離合器壓力傳感器、轉(zhuǎn)向電磁閥。制動控制則是依據(jù)腳制動踏板和鎖車桿即我們?nèi)粘５氖謩x狀態(tài)控制制動離合器實現(xiàn)，此過程與制動相關(guān)的主要部件有腳踏板、制動離合器壓力傳感器、制動電磁閥、鎖車桿。

本文采用故障樹的方法針對危害事件以層層遞進(jìn)的方式進(jìn)行安全分析，安全分析的目標(biāo)在于找出所有可能導(dǎo)致該危害事件發(fā)生的危險源，此處的危險源可以是安全相關(guān)部件也可以是具體的軟件缺陷。轉(zhuǎn)向和制動功能的安全分析如圖1、圖2所示。

表3：安全等級評估

表4：功能優(yōu)化項

圖1：轉(zhuǎn)向功能安全分析

圖2：制動功能安全分析

4 功能優(yōu)化

根據(jù)安全分析結(jié)果，針對危險源從降低危害事件發(fā)生的嚴(yán)重度或暴露度，增強(qiáng)危害發(fā)生的可控度三方面考慮，進(jìn)行轉(zhuǎn)向制動功能優(yōu)化。如表4所示，電磁閥故障、壓力傳感器故障等這一類可以通過軟件進(jìn)行檢測的硬件故障，須在軟件設(shè)計時開發(fā)對應(yīng)的故障診斷系統(tǒng)如DOP 診斷（判斷執(zhí)行器的線束連接或內(nèi)部驅(qū)動電路有無對電源短路、對地短路、開路故障）和SRC 校驗（根據(jù)傳感器特性，對輸入信號進(jìn)行上下限值檢驗），當(dāng)故障發(fā)生后需進(jìn)行降級保護(hù)措施增強(qiáng)危害事件可控度；此外針對可以檢測到的危險場景，例如高速行駛時突發(fā)轉(zhuǎn)向，從危害事件暴露度方面考慮增設(shè)高速行駛禁止轉(zhuǎn)向邏輯降低其發(fā)生的概率；對于控制器異常斷電這類軟件無法及時檢測到的故障，要考慮故障發(fā)生后增設(shè)保護(hù)裝置降低其嚴(yán)重度，該控制系統(tǒng)為此安裝了防急停閥，防急停閥是一個常開閥，在有供電時其不工作，只有斷電時才會起作用，其工作后會限制制動泵沖油，起到斷電緩慢制動的效果。但是并不是所有故障我們都能檢測和預(yù)防，例如手柄卡滯和鎖車桿卡滯無法用軟件探測只能依賴駕駛員判斷，當(dāng)故障發(fā)生后駕駛員可以通過踩剎車、降檔等操作主動降級。對于標(biāo)定曲線和PID 參數(shù)不合理缺陷需在整車調(diào)試或臺架性能實驗過程中進(jìn)行數(shù)據(jù)優(yōu)化。

5 結(jié)束語

本文通過介紹推土機(jī)轉(zhuǎn)向制動功能安全開發(fā)流程旨在為土方機(jī)械功能安全開發(fā)提供參考。在軟件開發(fā)設(shè)計階段基于ISO 19014 土方機(jī)械功能安全國際標(biāo)準(zhǔn)進(jìn)行風(fēng)險分析和風(fēng)險等級評估可以明確高風(fēng)險事件，為功能安全開發(fā)和軟件優(yōu)化設(shè)計指明方向。同時在進(jìn)行安全分析過程中能增強(qiáng)軟件開發(fā)者的安全意識，通過逐層遞進(jìn)式分析方法可以分析出諸多隱含的單點(diǎn)失效故障，進(jìn)一步提高了產(chǎn)品的可靠性和安全性。