基于HAZOP的EHB電子液壓制動系統(tǒng)危險事件識別方法

李 海，付 旺，張志波，叢 林

(1. 北京福田戴姆勒汽車有限公司，北京 101400；2. 中汽研汽車檢驗中心(天津)有限公司，天津 300300)

0 引言

汽車技術(shù)朝著“新四化”(智能化、網(wǎng)聯(lián)化、電動化、共享化)快速發(fā)展，無論是傳統(tǒng)汽車還是新能源汽車，都裝備了高度集成化、智能化的控制系統(tǒng)，汽車功能安全問題變得越來越復(fù)雜，同時伴隨著人們對汽車安全的重視程度越來越高，汽車功能安全成為目前汽車安全的關(guān)鍵因素，汽車關(guān)鍵部件系統(tǒng)的危險事件識別作為汽車功能安全的基礎(chǔ)成為了保證汽車功能安全的重要環(huán)節(jié)之一[1-2]。

汽車功能安全能夠從研發(fā)設(shè)計源頭解決因電子控制系統(tǒng)故障導致的汽車危害行為，進而避免道路交通事故的發(fā)生，因此功能安全技術(shù)已成為汽車行業(yè)進行汽車功能風險評估和危害分析，保障汽車安全的關(guān)鍵技術(shù)之一。全面準確的汽車危險事件識別、嚴格技術(shù)規(guī)范和嚴謹?shù)墓δ馨踩_發(fā)流程能夠降低和避免來自系統(tǒng)失效和硬件隨機失效造成的風險，大大提高汽車電子系統(tǒng)的安全性和可靠性[3]。

1 汽車功能安全分析方法

1.1 失效模式影響與診斷分析FMEDA (Failure mode effect and diagnostic analysis)

FMEDA是在汽車產(chǎn)品設(shè)計階段和過程設(shè)計階段，對構(gòu)成汽車產(chǎn)品的子系統(tǒng)、零件，對生產(chǎn)過程的各個工序逐一進行逐級詳細的分析，羅列出所有潛在的失效模式并分析其可能導致的后果，從而在產(chǎn)品設(shè)計開發(fā)階段設(shè)計預(yù)先采取必要的措施，以提高產(chǎn)品的質(zhì)量和可靠性。FMEDA是產(chǎn)品設(shè)計定量分析的基礎(chǔ)，可以用來分析整個系統(tǒng)或者某個安全獨立單元[4]。

1.2 故障樹分析(Fault Tree Analysis, FTA)

FTA是一種自上向下的可靠性分析方法，從需要分析的頂層事件開始，將一切可能出現(xiàn)的故障按照既定的標準分門別類，用故障樹形狀的圖形表示出來，用邏輯推導逐步推導出導致故障發(fā)生的基本事件[5]。FTA分析方法在系統(tǒng)可靠性分析、安全性分析和風險評價中具有重要作用和地位，此分析方法既可用于定性分析又可定量分析，是復(fù)雜系統(tǒng)安全性、可靠性分析與預(yù)測的最重要和最有效的方法之一。

1.3 潛在失效模式與后果分析(Failure Modes and Effects Analysis，F(xiàn)MEA)

FMEA是用來預(yù)測潛在失效模式的發(fā)生和失效所帶來的影響，從而管理過程的風險，是一種可靠性分析方法，也是風險分析的方法之一。它可對各種可能的風險進行評估分析，揭示可能出現(xiàn)的故障，并預(yù)測該故障對于整體系統(tǒng)的影響，以便在現(xiàn)有技術(shù)的基礎(chǔ)上消除這些風險或者將風險減小到可接受的水平。FMEA的優(yōu)勢在于它給出了系統(tǒng)中重要失效模式在系統(tǒng)中的概括描述，同時它迫使設(shè)計者評估他所設(shè)計的系統(tǒng)的可靠性。

1.4 相關(guān)的失效分析DFA(dependent failure analysis)

DFA的目標是通過分析識別出相關(guān)項的共因失效和級聯(lián)失效，識別可能會導致違反安全要求或安全目標的故障，在必要時對兩類失效進行限制或者消除，從而保證相關(guān)項的獨立性和免于干擾的能力。DFA的目的是找出安全的弱點，為ASIL分解和共存提供依據(jù)。

1.5 危險與可操作性分析(HAZOP，Hazard and Operability Analysis)

HAZOP主要用于查找生產(chǎn)過程中可能發(fā)生的風險危險和它出現(xiàn)的原因，并制定可靠的預(yù)防措施，是一種可以應(yīng)用到汽車功能安全領(lǐng)域的分析方法[6]。可通過對相關(guān)項的結(jié)構(gòu)化分析辨別出與預(yù)期功能的偏差，并對產(chǎn)生偏差的原因進行深入分析，判斷偏差造成的危害風險。通過選用不同的引導詞，HAZOP有助于結(jié)構(gòu)化和系統(tǒng)地檢查相關(guān)項在整車層面的運行情況。

HAZOP分析在系統(tǒng)安全評價領(lǐng)域是應(yīng)用廣、專業(yè)程度高的定性分析評價技術(shù)，經(jīng)過不斷改進與完善，現(xiàn)已廣泛應(yīng)用于各類工藝過程和項目的風險評估工作中，尤其在汽車產(chǎn)品的設(shè)計和開發(fā)過程中，通過建立適當?shù)囊龑г~，能夠完整全面的得到可能發(fā)生的危險事件[7]。

2 制動系統(tǒng)危險事件識別方法

2.1 相關(guān)項定義

電子液壓制動(EHB)系統(tǒng)是目前國內(nèi)外各大汽車制造廠的主要研究領(lǐng)域之一，并且隨著汽車電動化、網(wǎng)絡(luò)化新四化的興起，EHB系統(tǒng)開始逐漸普及。

EHB系統(tǒng)是在傳統(tǒng)液壓制動系統(tǒng)的基礎(chǔ)上發(fā)展而來的，用一個集成的制動系統(tǒng)模塊來替代傳統(tǒng)制動系統(tǒng)中的制動液壓管路壓力調(diào)節(jié)系統(tǒng)和汽車防抱制動系統(tǒng)模塊等，產(chǎn)生并儲存制動壓力，并可分別對四個輪胎的制動力矩進行單獨調(diào)節(jié)，與傳統(tǒng)的液壓制動系統(tǒng)相比，EHB系統(tǒng)有了顯著進步，其結(jié)構(gòu)簡單緊湊、制動噪聲減小、提供更好的踏板感、可分析駕駛員意圖判斷不同的制動行為等。EHB系統(tǒng)的控制邏輯原理示意圖如圖1所示，駕駛員踩下制動踏板，踏板行程傳感器、踏板力傳感器將制動需求數(shù)據(jù)信息發(fā)送到控制器，綜合采集到的車輛運動狀態(tài)(包括車速、輪速、方向盤轉(zhuǎn)角、橫擺角速度等)信息，控制器進行數(shù)據(jù)處理計算和分析，當控制器判斷制動系統(tǒng)壓力不足時，控制器輸出控制信號，對電磁閥進行控制，使制動管路的進液閥輸入流量增大，輸出液閥輸出流量減小，以達到駕駛員所需的制動壓力；當控制器判斷制動系統(tǒng)需要保壓時，控制器控制進液閥和出液閥的開度保持不變；當控制器判斷制動系統(tǒng)需要減壓時，控制器使進液閥輸入流量減小，出液閥輸出流量增大，以達到駕駛員所需的制動壓力；當某幾個高速開關(guān)閥控制回路失效時，控制器將切換成應(yīng)急控制模式， 制動踏板力的液壓管路與應(yīng)急制動管路連通，踏板力直接通過液壓加載在制動器上，實現(xiàn)車輛的應(yīng)急制動。

從系統(tǒng)控制框圖中提取出工作過程中重要的系統(tǒng)功能，如表1所示。

表1 EHB系統(tǒng)功能列表

2.2 危害分析

HAZOP分析是以系統(tǒng)工程為基礎(chǔ)的一種對目標系統(tǒng)進行定性風險識別的方法[8]。它的基本過程是以關(guān)鍵詞為引導，分析出設(shè)計方案或生產(chǎn)過程中系統(tǒng)運行狀態(tài)的缺陷或不足，找出可能發(fā)生風險的部分。對于EHB系統(tǒng)，HAZOP導則中的基本引導詞不能完全適用，因此結(jié)合EHB系統(tǒng)的功能應(yīng)用需建立適用于EHB系統(tǒng)的引導詞，利用引導詞從EHB系統(tǒng)的功能中推導出可能發(fā)生的失效故障，并列出潛在的危害事件。本文選取“丟失、卡滯、偏大、偏小、錯亂、未反應(yīng)”6種引導詞，針對F1、F2、F5三種功能應(yīng)用進行HAZOP分析示例，如表2所示。

表2 EHB系統(tǒng)HAZOP分析過程

3 風險評估

3.1 功能失效

根據(jù)ISO 26262-3和GB/T 34590.3-2017《道路車輛 功能安全 第3部分》的要求，采用ASIL評級的方法從嚴重程度(S)、暴露率(E)和可控性(C)三個維度對分析得到的危害事件進行風險評估。嚴重度(S)是指在某種功能失效的情況下車內(nèi)人員與車外人員的受傷害程度，S0-S3為嚴重程度等級，其中S3為最嚴重的程度等級；暴露率(E)是指某個危險事故發(fā)生的概率，E0-S4為暴露率等級，其中E4為最高的暴露率等級；可控性(C)是指危害事件即將發(fā)生時能夠被避免的概率，C0-C3為可控性等級，其中C0為最可控的等級[9]。ASIL等級如表3所示，A為最低的功能安全需求等級，D為最高的功能安全需求等級，QM等級表示不需做功能安全要求。

表3 ASIL等級評價表

利用表3的ASIL等級評價表對F5功能應(yīng)用可能產(chǎn)生的危害事件進行風險評估示例，其余功能應(yīng)用可能產(chǎn)生的危害事件的風險評估過程類似本文不再贅述。對于車輛的制動系統(tǒng)，無論車輛是處于高速還是低速狀態(tài)，在何種行駛環(huán)境中，制動系統(tǒng)失效或者產(chǎn)生與駕駛員意圖不符的制動效果，都可能與交通參與者或與行駛環(huán)境中物體發(fā)生碰撞或造成駕駛員傷亡，并且此危害出現(xiàn)嚴重傷害概率大于10%，因此嚴重程度均為S3級，暴露率(E)和可控性(C)按照ISO 26262-3和GB/T 34590.3-2017的分級標準[10-11]進行風險評估，結(jié)果如表4所示。

表4 風險評估結(jié)果

4 總結(jié)與展望

本文簡要介紹了常用的幾種汽車功能安全分析方法，針對電子液壓制動系統(tǒng)(EHB)基于HAZOP分析方法進行了危險事件的識別，通過繪制EHB制動系統(tǒng)的功能列表，建立適用于EHB系統(tǒng)的引導詞，結(jié)合不同的行駛工況推導出可能存在的系統(tǒng)故障和可能造成的危害，利用ASIL評級方法對危害事件進行風險評估。本文對EHB制動系統(tǒng)的危險事件識別提供了方法，對于制動系統(tǒng)的功能安全分析具有重要意義。本文所采用的分析方法方便快捷，但所得結(jié)果受人員主觀性的影響，缺乏準確的量化分析，需繼續(xù)深入研究新的方法提高準確度，為汽車功能安全領(lǐng)域做出更多的貢獻。