汽車轉(zhuǎn)向系統(tǒng)功能安全驗證方法的研究

王龍　李景偉　王建磊　葛麗敏　付朝輝

摘 要：為了驗證汽車轉(zhuǎn)向系統(tǒng)功能安全需求已經(jīng)被關(guān)聯(lián)控制器正確實現(xiàn)，本文提供了一種基于實車的轉(zhuǎn)向系統(tǒng)故障測試方法，注入的故障類型是Torque sensor故障注入。本文通過研究汽車轉(zhuǎn)向系統(tǒng)的功能安全設(shè)計需求，包括汽車轉(zhuǎn)向系統(tǒng)功能安全目標(biāo)，HARA分析，功能安全概念等，提取出故障注入的典型測試驗證場景。基于設(shè)計的故障注入場景，需進(jìn)行實車的改制，包括方向盤的改制，以及BOB盒等安裝。實車注入故障后，為了驗證整車的功能安全目標(biāo)達(dá)成，給出了一套評判的標(biāo)準(zhǔn)，研究轉(zhuǎn)向系統(tǒng)故障注入后，可在FTTI時間內(nèi)進(jìn)入功能安全目標(biāo)狀態(tài)，并且實車是可控的。

關(guān)鍵詞：功能安全 功能安全目標(biāo) HARA分析 功能安全概念 故障注入

隨著汽車電動化、智能化的發(fā)展，越來越多的汽車都配備了電動助力轉(zhuǎn)向系統(tǒng)，取代了之前的機(jī)械液壓助力系統(tǒng)。引入電子電器系統(tǒng)之后，和整車其他ECU的交互變得越來越多，功能也變得復(fù)雜。如不同駕駛模式的助力類型，以及可以選擇助力輕重等設(shè)計。功能越復(fù)雜，對于功能的穩(wěn)定性，以及出現(xiàn)非預(yù)期故障時，功能的可靠性顯得尤為重要。由于功能安全設(shè)計缺陷導(dǎo)致的汽車召回事件也時有發(fā)生。如2015年6月11日至2016年9月14日生產(chǎn)的部分紳寶X25汽車，共計58497輛。車輛由于轉(zhuǎn)向助力控制模塊軟件設(shè)計問題，在極端使用條件下不能對轉(zhuǎn)向助力電機(jī)進(jìn)行有效熱保護(hù)，車輛可能會出現(xiàn)轉(zhuǎn)向助力失效，存在安全隱患。2016年4月7日至2017年3月31日生產(chǎn)的部分紳寶X35汽車，共計102179輛。車輛在長期高溫暴曬的極端條件下，車輛轉(zhuǎn)向機(jī)構(gòu)內(nèi)時鐘彈簧的內(nèi)部支架可能出現(xiàn)高溫變形，轉(zhuǎn)動方向盤時會發(fā)生內(nèi)部線路卷曲、彎折的情況，導(dǎo)致安全氣囊故障燈常亮[1]。為了避免因轉(zhuǎn)向系統(tǒng)功能安全的設(shè)計缺陷導(dǎo)致的車輛功能異常，本文將基于轉(zhuǎn)向系統(tǒng)的功能安全設(shè)計，對故障注入類的測試場景開發(fā)，并進(jìn)行相關(guān)的驗證工作，保證車輛轉(zhuǎn)向系統(tǒng)的功能安全目標(biāo)的實現(xiàn)。

1 轉(zhuǎn)向系統(tǒng)及ISO26262簡介

電動助力轉(zhuǎn)向系統(tǒng)又稱EPS系統(tǒng)，是從傳統(tǒng)機(jī)械轉(zhuǎn)向系統(tǒng)的基礎(chǔ)上發(fā)展起來的，是一種直接依靠電機(jī)提供輔助扭矩的動力轉(zhuǎn)向系統(tǒng)。EPS該系統(tǒng)主要由信號傳感器（包括扭矩傳感器、角度傳感器、車速傳感器）、轉(zhuǎn)向輔助機(jī)構(gòu)（電機(jī)、離合器、減速傳動機(jī)構(gòu)）和

ISO 26262為汽車安全提供了一個生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)、報廢）理念，并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能安全方面的整體開發(fā)過程（包括需求規(guī)劃、設(shè)計、實施、集成、驗證、確認(rèn)和配置）。

ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險程度對系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級（Automotive Safety Integrity Level 汽車安全完整性等級ASIL），其中D級為最高等級，需要最苛刻的安全需求。伴隨著ASIL等級的增加，針對系統(tǒng)硬件和軟件開發(fā)流程的要求也隨之增強(qiáng)。對系統(tǒng)供應(yīng)商而言，除了需要滿足現(xiàn)有的高質(zhì)量要求外還必須滿足這些因為安全等級增加而提出的更高的要求[3]。

ASIL（Automotive Safety Integration Level，汽車安全完整性等級）是在概念設(shè)計階段通過對功能安全風(fēng)險的評估中得到的，如果系統(tǒng)的功能安全風(fēng)險越大，對應(yīng)的安全要求就越高，則具有更高等級的ASIL， ASIL分為A、B、C、D四個級別，其中ASIL D級為最高汽車安全完整性等級，需要最苛刻的安全需求。安全目標(biāo)是系統(tǒng)的最高級別的安全需求，ASIL等級決定了對系統(tǒng)安全性的要求，ASIL等級越高，對系統(tǒng)的安全性要求越高，為實現(xiàn)安全付出的代價越高，意味著硬件的診斷覆蓋率越高，開發(fā)流程越嚴(yán)格，相應(yīng)的開發(fā)成本增加、開發(fā)周期延長，技術(shù)要求嚴(yán)格[4]。

2 測試用例開發(fā)及實車改制

依據(jù)汽車轉(zhuǎn)向系統(tǒng)的結(jié)構(gòu)，實車有3路Torque sensor，因此設(shè)計了表1測試場景。

Torque sensor故障注入試驗中通過引入BOB盒，斷開Torque senor與轉(zhuǎn)向器之間的信號線。所需要的試驗設(shè)備有力矩方向盤、陀螺儀、CANoe等工具。測試之前需將原車方向盤拆掉，將力矩方向盤通過聯(lián)軸器嵌套在轉(zhuǎn)向管柱上面。陀螺儀安裝牢固，并且使用前要進(jìn)行設(shè)置及標(biāo)定工作。力矩方向盤在進(jìn)行數(shù)據(jù)記錄前需要進(jìn)行力矩和方向盤轉(zhuǎn)角的清零工作。并確認(rèn)CANOE總線設(shè)備和實車連接無問題。

3 測試實施及報告分析

3.1 Torque sensor一路信號故障注入

Torque sensor有三路信號，將其中一路Torque sensor信號注入故障。需設(shè)定三個信號來表征故障注入時刻，如下表中綠色線表征。將其中的一路信號斷開，其值從0會變成175。同時SteerErrReq會從NoReq變成SteerErrReq3_SteerAssiUrgentSrvRqrd表示助力水平會下降。實車測試轉(zhuǎn)向助力有下降但并不是很明顯，主觀感受上并未感覺到變化。到滾筒直徑約0.7處時，借重力使材料落下。分布在滾筒內(nèi)不同部分的物料，由于其顆粒不同，其下落的時間、落點及滾動的距離不同，而使物料相互穿叉、翻拌、混合，達(dá)到擴(kuò)散均勻，其工作原理見圖2。

3.2 Torque sensor先斷一路再斷第二路信號故障注入

將Torque sensor先斷一路信號再斷第二路信號，那么表征信號通斷的值都會同時從0變成175。SteerErrReq的值在斷一路信號的時候從NoReq變成SteerErrReq3_SteerAssiUrgentSrvRqrd，表示助力水平下降，斷第二路信號的時候會再變成SteerErrReq3_SteerErrStopSfty，表示轉(zhuǎn)向系統(tǒng)最后會變?yōu)闊o助力狀態(tài)，在變成無助力的瞬間，能明顯感覺到手力發(fā)生變化。但處于可控范圍內(nèi)，如圖3所示：

3.3 Torque sensor 二路信號故障注入

Torque sensor兩路信號同時斷開，表示信號通斷的值會從0會變成175。同時SteerErrReq會從NoReq變成SteerErrReq3_SteerErrStopSfty，手力慢慢變重直到10s后丟失助力。如圖4所示：

3.4 Torque sensor三路信號故障注入

將Torque sensor三路信號全部同時斷開，那么表征三路信號通斷的值都會同時從0變成175。SteerErrReq的值會直接從NoReq變成SteerErrReq3_SteerErrStopSfty，表示轉(zhuǎn)向系統(tǒng)最后會變?yōu)闊o助力狀態(tài)，在變成無助力的瞬間，能明顯感覺到手力發(fā)生變化，且方向盤角度也發(fā)生明顯的變化。但處于可控范圍內(nèi)，如圖5所示：

3.5 Torque sensor先斷兩路信號3S后再斷第三路信號

Torque sensor同時斷兩路信號3秒后斷第三路信號，那么表征兩路信號通斷的值都會同時從0變成175。第三路信號值不變。SteerErrReq的值會直接從NoReq變成SteerErrReq3_SteerErrStopSfty，這時助力會變小，手力會慢慢的增加，斷開第三路信號，第三路信號值發(fā)生變化，SteerErrReq仍為SteerErrStopSfty，這時手力突然變重，系統(tǒng)很快會變?yōu)闊o助力狀態(tài)，在變成無助力的瞬間，能明顯感覺到手力發(fā)生變化。但處于可控范圍內(nèi)，如圖6所示：

4 結(jié)語

（1）汽車轉(zhuǎn)向系統(tǒng)的功能安全驗證需通過實車故障注入類測試，驗證其FTTI時間及功能安全狀態(tài)是否達(dá)成。

（2）通過上述故障注入試驗可以發(fā)現(xiàn)無論是何種試驗，最惡劣的情況就是助力丟失，但即便是助力丟失仍然在可控范圍內(nèi)，并未違反功能安全目標(biāo)，因此被測電動助力轉(zhuǎn)向系統(tǒng)在Torque sensor故障的時候功能安全目標(biāo)可達(dá)成。

（3） 在實車上關(guān)于FTTI的測試有些無法去很好的度量，后續(xù)可以加入軟件仿真測試，更加精確的評估。

（4）實車上進(jìn)行功能安全故障注入類的測試，危險性較高，需要在專業(yè)試驗場地進(jìn)行。

（5）功能安全的故障注入類測試要更加關(guān)注駕駛?cè)藛T對車輛的可控性，也需要一定的樣本量。

參考文獻(xiàn)：

[1]王宇，郭魁元，張宏偉，張通，秦孔建.基于HAZOP分析的EPS系統(tǒng)整車級功能安全測試方法研究[J].中國汽車 China Auto ，2021：24-30.

[2]蔣玲，蘇婷，朱虹.淺談汽車電動助力轉(zhuǎn)向系統(tǒng)[J].前沿探討，2012：31-33.

[3]紀(jì)宏巖，崔書超，孫燦，張進(jìn)明.基于ISO26262的道路車輛功能安全開發(fā)流程解讀[J].通用技術(shù)，2016（07）：57-59.

[4] ISO 26262-9，Road vehicles—Functional safety—Part9：Automotive Safety Integrity Level （ASIL）-oriented and safety-oriented.