基于ISO 26262的線控轉(zhuǎn)向系統(tǒng)功能安全概念設計

【摘" 要】為提高線控轉(zhuǎn)向系統(tǒng)的安全性、可靠性，文章根據(jù)國際標準ISO 26262展開線控轉(zhuǎn)向系統(tǒng)的功能安全概念設計。根據(jù)系統(tǒng)的邊界、功能和架構(gòu)，識別8個典型車輛使用場景；采用HAZOP分析方法對系統(tǒng)導致的整車級潛在危害進行分析，并對相應的風險等級進行評估，提出4個功能安全目標。采用FMEA進行安全分析，根據(jù)功能安全目標、安全分析結(jié)果和初版系統(tǒng)架構(gòu)提出了25條功能安全需求和功能安全架構(gòu)設計。

【關鍵詞】線控轉(zhuǎn)向；ISO 26262；功能安全；汽車安全完整性等級（ASIL）；系統(tǒng)安全架構(gòu)

中圖分類號：U463.6" " 文獻標識碼：A" " 文章編號：1003-8639（2025）02-0081-06

Functional Safety Concept Design for Steer-by-wire System Based on the ISO 26262

WANG Jing1，TENG Xiaotao2

（Guangzhou Automobile Group Co.，Ltd.，Guangzhou 511400，China）

【Abstract】The Functional Safety Concept of Steer-By-Wire（SBW）system is designed based on ISO 26262 to improve the safety and reliability of SBW system. According to the boundary，function and architecture of the system，eight vehicle operational scenarios are identified. HAZOP analysis method is used to analyze the potential hazards in vehicle level caused by the system，and the corresponding ASIL levels are evaluated，and four functional safety goals are proposed. FMEA is used for safety analysis，and According to functional safety goals，safety analysis results and initial system architecture，Twenty five functional safety requirements and functional safety architecture are designed.

【Key words】SBW；ISO 26262；functional safety；ASIL；system safety architecture

0" 引言

轉(zhuǎn)向系統(tǒng)是汽車上與駕駛者緊密接觸的操縱裝置，其目的是依據(jù)駕駛員意愿或駕駛系統(tǒng)指令控制汽車的駕駛方向，保證駕駛安全。轉(zhuǎn)向系統(tǒng)先后經(jīng)歷了從機械轉(zhuǎn)向到液壓助力轉(zhuǎn)向和電動助力轉(zhuǎn)向的改變，然而目前電動助力轉(zhuǎn)向系統(tǒng)難以滿足智能汽車對轉(zhuǎn)向技術(shù)的需求。線控轉(zhuǎn)向系統(tǒng)作為線控智能底盤重要的組成部分，在智能汽車架構(gòu)中必不可少[1]。

線控轉(zhuǎn)向系統(tǒng)取消了中間軸，由路感反饋模塊與轉(zhuǎn)向執(zhí)行模塊組成，具有可變傳動比，能有效抑制路面抖動，可休眠、可伸縮且可收納的方向盤，提升被動安全性等優(yōu)點。但同時由于取消了機械連接，其最大的挑戰(zhàn)是如何保證安全性。針對線控轉(zhuǎn)向的功能安全，榮芩等[2]就帶離合器的線控轉(zhuǎn)向系統(tǒng)功能安全概念進行了分析，常秀巖等[3]也對線控轉(zhuǎn)向系統(tǒng)進行開發(fā)及驗證。本文從功能安全的角度分析線控轉(zhuǎn)向系統(tǒng)的潛在整車危害，并提出可供參考的功能安全目標和功能安全需求，以失效可操作性冗余機制為指導思想，設計滿足功能安全要求的系統(tǒng)安全架構(gòu)。

1" 分析流程介紹

1）系統(tǒng)定義。

2）使用HAZOP進行危害分析，采用ISO 26262風險評估方法識別整車級危害，并為每個危害分配相應的ASIL等級。

3）定義整車層級的安全目標。

4）安全分析。

5）根據(jù)安全目標和安全分析結(jié)果提出功能安全概念，包括系統(tǒng)功能安全需求和系統(tǒng)安全架構(gòu)。

2" 系統(tǒng)范圍和定義

2.1" 系統(tǒng)范圍

線控轉(zhuǎn)向系統(tǒng)主要由路感模擬子系統(tǒng)和轉(zhuǎn)向執(zhí)行子系統(tǒng)組成，其中路感模擬子系統(tǒng)包括方向盤轉(zhuǎn)角扭矩傳感器、路感模擬電機、路感電機控制器、路感電機位置傳感器，轉(zhuǎn)向執(zhí)行子系統(tǒng)包括執(zhí)行電機控制器、齒條位置傳感器、轉(zhuǎn)向執(zhí)行電機、執(zhí)行電機位置傳感器、轉(zhuǎn)向齒條，其中方向盤和車輪不包含在本文分析范圍內(nèi)。線控轉(zhuǎn)向系統(tǒng)基本結(jié)構(gòu)如圖1所示。

線控轉(zhuǎn)向內(nèi)外部接口主要包括供電接口、通信接口等輸入，詳細清單見表1。

2.2" 系統(tǒng)定義

線控轉(zhuǎn)向系統(tǒng)主要功能是通過檢測駕駛員輸入和外部系統(tǒng)輸入來驅(qū)動執(zhí)行電機進行轉(zhuǎn)向力矩控制，給駕駛員合適的路感反饋。

針對路感模擬子系統(tǒng)，其功能定義[4-6]如下。

1）路感電機控制器負責計算出路感電機力矩值，最終傳遞給駕駛員作為手感反饋，同時負責根據(jù)方向盤扭矩、方向盤轉(zhuǎn)角、方向盤角速度、其他系統(tǒng)的轉(zhuǎn)向力矩/轉(zhuǎn)角請求等信息估算出齒條位置值輸出給執(zhí)行電機控制器，并負責與執(zhí)行電機控制器、整車進行信息交互。

2）方向盤轉(zhuǎn)角扭矩傳感器負責檢測駕駛員輸入的方向盤扭矩、方向盤轉(zhuǎn)角及方向盤轉(zhuǎn)角速度信息，并負責將測量值反饋給路感電機控制器作為參考齒條位置的計算輸入。

3）路感模擬電機負責執(zhí)行路感電機控制器輸入的電機控制指令。

4）路感電機位置傳感器負責檢測電機轉(zhuǎn)子的位置，并將測量值反饋路感電機控制器作為電機力矩計算的參考輸入。

針對轉(zhuǎn)向執(zhí)行子系統(tǒng)，其功能定義如下。

1）執(zhí)行電機控制器根據(jù)路感模擬子系統(tǒng)或其他系統(tǒng)的齒條位置請求、執(zhí)行電機位置測量值、齒條實際位置等信息計算出轉(zhuǎn)向執(zhí)行電機力矩值并驅(qū)動齒條移動，最終傳遞給車輪進行橫向運動，同時負責與路感電機控制器、整車進行信息交互。

2）轉(zhuǎn)向執(zhí)行電機負責執(zhí)行電機控制器輸入的電機控制指令。

3）執(zhí)行電機位置傳感器負責檢測電機轉(zhuǎn)子的位置，并將測量值反饋執(zhí)行電機控制器作為電機力矩計算的參考輸入。

4）齒條位置傳感器負責檢測齒條位置，并將測量值反饋執(zhí)行電機控制器作為電機力矩計算的參考輸入。

根據(jù)以上系統(tǒng)需求開發(fā)線控轉(zhuǎn)向功能，如圖2所示。

3" 整車級危害分析及風險評估

3.1" 場景分析

汽車運行場景指在車輛生命周期中可能發(fā)生的場景，如高速行駛、斜坡駐車、維護等[7]。線控轉(zhuǎn)向系統(tǒng)為了提高其通用性，僅考慮了其中可能出現(xiàn)得最多的場景；不考慮特殊的交通場景；以合法的速度行駛且未發(fā)生擁堵情況；沒有特殊的障礙物出現(xiàn)；未出現(xiàn)掉落物的情況；前方跟車車輛未出現(xiàn)急轉(zhuǎn)彎、停車等特殊情況。也不考慮一些特殊的周邊環(huán)境條件，天氣較為理想，無風、霜、雨霧等情況，光照條件理想，地面干燥。本文識別了8個典型車輛運行場景（表2）。

3.2" 整車級危害分析

本文使用HAZOP分析方法作為識別整車危害的方法。IEC 61882[8]提出了11種引導詞，本文根據(jù)適用性采用其中7種：功能的丟失、過大、過小、斷斷續(xù)續(xù)、反向、未請求的執(zhí)行、卡滯。

考慮不同功能的故障后識別出7個整車層級的潛在危害（表3）。

3.3" 風險評估

ISO 26262根據(jù)嚴重度（Severity，S）、暴露度（Exposure，E）、可控性（Controllability，C）評估已識別危害的ASIL等級[9]。

1）嚴重度（S）指對潛在危害事件中可能發(fā)生的一個或多個人員的傷害程度的預估。它分為4個等級：S0（無傷害）、S1（輕度和中度傷害）、S2（嚴重和危及生命的傷害）、S3（危及生命的傷害、致命的傷害）。其中S0表示不會有危害無需指定ASIL等級。

2）暴露度（E）指處于某種運行場景的概率，在該運行場景下，如果與分析中的失效模式同時發(fā)生則可能導致危害。它分為4個等級：E1（極低概率）、E2（低概率）、E3（中等概率）、E4（高概率）。

3）可控性（C）指通過所涉及人員的及時反應（可能具備外部措施的支持）避免特定的傷害或損傷的能力。它分為4個等級：C0（可控）、C1（簡單可控）、C2（一般可控）、C3（難以控制或不可控）。其中C0表示不會有危害無需指定ASIL等級。

根據(jù)各嚴重度（S）、暴露度（E）、可控性（C）的評分規(guī)則確定其等級后，對汽車在各個駕駛場景中可能出現(xiàn)的問題進行ASIL評估。表4列出了與危害事件H1、H2、H3、H4、H5相關的評估信息。危害事件H6的評估信息見表5。

4" 安全目標

根據(jù)危害分析和風險評估的結(jié)果可得到線控轉(zhuǎn)向系統(tǒng)的功能安全目標。每個具有指定ASIL等級的危害事件都應制定相應的功能安全目標，相似的功能安全目標之間可進行合并。合并后的功能安全目標ASIL等級應取原始安全目標中最高的等級。表6列出了所有安全目標。

5" 安全分析

本文采用FMEA的方法來進行系統(tǒng)的安全分析。FMEA是一種自下而上的分析方法，通過識別底層的失效模式來分析對上層的影響。FMEA有系統(tǒng)或功能FMEA、設計FMEA和過程FMEA，本文在安全分析中使用功能FMEA來識別可能導致車輛級危險的功能級失效模式。標準SAE J1739提供了功能FMEA分析方法的指導[8]。

此次分析包含11個組件，共識別了13條失效模式和34條潛在影響，并提出了9條安全機制。詳細分析結(jié)果見表7。

6" 功能安全概念

系統(tǒng)的功能安全概念是以安全目標為最頂層需求，對系統(tǒng)的功能模塊提出故障檢測、安全狀態(tài)、安全機制和警告等方面的功能安全需求，并將功能安全需求和ASIL等級分配到架構(gòu)中的元素。

根據(jù)功能安全目標和安全分析結(jié)果，本文提出了25條功能安全需求[9]，見表8。

由于線控系統(tǒng)取消了中間軸機械連接，功能安全概念中的關鍵考慮點是在系統(tǒng)出現(xiàn)第一次故障時仍能使駕駛員保持一定的轉(zhuǎn)向能力，本文基于Fail-operational的思路進行系統(tǒng)架構(gòu)設計[10-12]，如圖3所示。

7" 結(jié)論

本文完成了汽車線控轉(zhuǎn)向系統(tǒng)開發(fā)生命安全周期的前期分析。介紹了HAZOP的分析方法，在分析了線控轉(zhuǎn)向的系統(tǒng)功能和結(jié)構(gòu)后進行了危害分析和風險評估，得出了線控轉(zhuǎn)向系統(tǒng)的4個安全目標。采用FMEA分析方法進行安全分析，根據(jù)功能安全目標、安全分析結(jié)果和初步系統(tǒng)架構(gòu)，本文提出了25條線控轉(zhuǎn)向系統(tǒng)的功能安全需求并設計了系統(tǒng)的安全架構(gòu)。整個線控轉(zhuǎn)向系統(tǒng)的概念設計對后續(xù)線控轉(zhuǎn)向系統(tǒng)的開發(fā)具有指導意義。

參考文獻

[1]" 朱永強，宋瑞琦，劉賀，等.線控轉(zhuǎn)向系統(tǒng)關鍵技術(shù)綜述[J].科學技術(shù)與工程，2021，21（36）：15323-15332.

[2]" 榮芩，吳曉東，許敏.基于ISO標準的道路車輛線控轉(zhuǎn)向系統(tǒng)的功能安全概念設計[J].汽車安全與節(jié)能學報，2018（3）：250-257.

[3]" 常秀巖，高尚，姜廷龍，等.基于功能安全要求的線控轉(zhuǎn)向系統(tǒng)開發(fā)及驗證[J].汽車技術(shù)，2021（9）：27-32.

[4]" K. Polmans，A. Mitterrutzner，M. Dahler，etal.Steer-by-wire systems safety，comfort and individuality[J].ATZ worldwide，2018，120（6）：30-35.

[5]" J. Iqbal，K. M. Zuhaib，C. Han，etal.Adaptive global fast sliding mode control for steer-by-wire system road vehicles[J].Applied Sciences，2017，7（7）：738.

[6]" E. Dilge，M. Gulbins，T. Ohnesorge，etal.On a redundant diversified steering angle sensor[C]//IOLTS 2003 9th IEEE：191-196.

[7]" ISO 26262 Road vehicles-functional safety（Final Draft）[S].

[8]" IEC 61882—2001 Hazard and operability studies（HAZOP Studies）-Application guide，Edition 1.0[S].

[9]" SAE J1739 Potential failure mode and effects analysis in design and potential failure mode and effects analysis in manufacturing and assembly processes[S]. 1994.

[10] KOO T. A Fail-Operational Assessment for Controllability and Comfortability of Steer-by-Wire Systems[Z].2021.

[11] KOO T. A Study on the Controllability of the Vehicle Steerby-Wire Systems[Z].2020.

[12] Junnan M. A System-level Dual-redundancy Steer-by-wire System[J]. Proceedings of the Institution of Mechanical Engineers，Part D. Journal of Automobile Engineering，2021，235（12）：3002-3025.

（編輯" 楊凱麟）

收稿日期：2024-07-30

作者簡介：汪" 璟（1992—），女，工程師，從事汽車底盤電控開發(fā)工作；

滕曉濤（1987—），男，高級工程師，從事汽車底盤轉(zhuǎn)向系統(tǒng)開發(fā)工作。