基于ISO 26262的電子換擋系統功能安全概念階段研究

楊曉彤　何放　黃德健

【摘 要】文章將電子換擋系統與傳統機械換擋進行對比，得出電子換擋系統是汽車今后的發展方向，但相應會帶來功能安全問題;接著介紹電子換擋系統及其所帶來的功能安全問題，依據標準ISO 26262概念階段的流程對電子換擋系統進行分析，在相關項定義的基礎上對系統進行危害分析和風險評估，得出相應的ASIL等級（汽車安全完整性等級）及安全目標。

【關鍵詞】電子換擋系統;ISO 26262;功能安全概念階段

【中圖分類號】U463.212 【文獻標識碼】A 【文章編號】1674-0688（2019）09-0125-04

0 引言

目前，市面上絕大部分自動擋車型的擋位都是駕駛員操縱換擋器從而帶動與其連接的拉索推動或拉動自動變速箱搖臂實現換擋。隨著汽車電子技術的不斷發展，出現了電子換擋器，其取消了機械式拉索結構，直接采用電機通過一套小減速機構帶動自動變速器換擋軸實現換擋。這種電子換擋系統的優點體現在如下幾個方面。總布置：避免拉索走向難布置問題。避免與風管、杯托、其他控制模塊或者按鍵干涉問題，其他零件無需為了讓出空間而采取不規則設計或者妥協設計。造型：對空間要求小且位置靈活，形式可多變，便于造型發揮。NVH：傳統車輛的傳動系噪音和振動可通過拉索傳遞到駕駛艙內，使用電子換擋可以切斷此傳遞路徑，提高整車NVH水平，特別是降低加速工況的車內噪音和振動。電子化、智能化：自動泊車、遠程啟動、輔助駕駛等智能駕駛技術的前提及基礎。增加賣點：搭載電子換擋的車型都會把它當做賣點，增加客戶儲物空間，更顯年輕化、科技感與豪華感。

目前，電子換擋器主要應用在高端車型和新能源車上。基于以上優點，國內各大主機廠及零部件供應商正在大力研發，電子換擋技術也將得到普遍應用。但是，國內的電子換擋系統與國外先進水平相比仍有較大差距，目前很多開發都基于滿足功能性要求，而在功能安全性方面缺少足夠的技術和經驗。現今，ISO 26262標準已經開始廣泛采用，而國內汽車主機廠及零部件供應商對于ISO 26262的理解及運用還缺少經驗，因此本文將以電子換擋系統為例，介紹其在功能安全概念階段的研究，為后續的電子換擋系統功能安全開發提供借鑒。

1 電子換擋系統介紹及其帶來的安全問題

傳統的自動擋車型換擋器如圖1所示，它以機械零件為主，輔以簡單可靠的功能按鍵開關（如實現M±手動模式、運動模式和經濟模式等），通過物理拉索穿過前地板連接變速器的換擋搖臂，推動換擋器帶動拉索可以改變換擋搖臂的角度，而換擋搖臂角度改變可帶動換擋軸改變變速器液壓系統PRND的油路，與TCU（變速器控制單元）配合實現擋位切換。

某車型的電子換擋系統原理圖如圖2所示。系統包含換擋器（GSM）、換擋控制單元（SCU）和執行器（GBA）。

換擋器（GSM）基本原理如圖3所示。換擋器造型可多變，目前市場主流的有旋鈕式、擋桿式、懷擋式和按鍵式，本文介紹的為擋桿式換擋器，其使用一個3D霍爾傳感器采集二次注塑在換擋桿上的磁鐵的位置狀態（即駕駛員換擋意圖），通過PWM將信號發送給MCU，MCU接收并判斷處理以上信號換算為P、R、N、D、M的擋位發送到整車CAN總線上。其中，M擋位時需要結合方向盤上的換擋撥片信號進行處理。

執行器（GBA）基本原理如圖4所示。接收SCU目標擋位指令，通過電機及一套減速增扭齒輪機構帶動變速器換擋軸轉動，從而改變變速器液壓換擋系統油路，實現換擋，并通過其位置傳感器（一般為非接觸式霍爾傳感器）將實際擋位信息返回給SCU。

換擋控制單元（SCU）原理如下：接收GSM的駕駛員換擋意圖并經過邏輯判斷處理后控制GBA換擋，并將實際擋位信號經過邏輯判斷處理后通過CAN總線發送給TCU及其他整車ECU控制模塊。

電子換擋系統的駕駛員目標擋位和變速器實際擋位切換由傳統換擋器的純機械觸發變為CAN總線信號傳遞，在汽車功能安全方面存在很多潛在風險，特別是電子換擋系統的一些元器件失效或者極限工況下軟件出現問題，有可能會帶來人身傷害。例如，傳感器失效，將正在行駛的D擋錯誤輸出為N擋，則變速器由前進擋非預期變為空擋，導致整車動力丟失;或者由空擋非預期變為前進擋，導致動力非預期嚙合，危害人身安全等。那么，電子換擋系統會涉及哪些危害，以及相應危害在特定場景下的嚴重度、暴露概率、可控性分別是多少？這些問題的評估是本文要重點分析的。

2 ISO 26262標準簡介

安全是汽車最基本的要求，近年來隨著汽車電子化、網聯化、智能化的發展，整車系統中加入了越來越多的電子元器件、更加復雜的控制算法和軟件邏輯，使得汽車電子電氣系統失效和隨機硬件失效的風險逐漸增加，因此《道路車輛功能安全》（ISO 26262）應運而生，其通過提供適當的要求和流程來避免風險，并且逐年受到行業的重視。

ISO 26262是從《電子、電氣及可編程控制器功能安全標準》（IEC 61508）派生出來的，適用于安裝在乘用車上的包含一個或多個電子電氣系統的與安全相關的系統，其主要提供了汽車整個生命周期的功能安全開發指導（管理、研發、生產、運行、服務、報廢）;提供了決定風險等級的具體評估方法（汽車安全完整性等級ASIL）;提供了確保獲得足夠的和可接受的安全等級的有效性和確定性措施。

本文重點研究ISO 26262標準的第3部分：功能安全概念。

3 電子換擋系統功能安全概念階段研究

3.1 相關項定義

用于定義并描述所研究系統與環境中其他系統的依賴性和互相影響，是開展后續工作的前提，主要內容如下。研究對象：電子換擋系統，包括換擋器、換擋控制單元、執行器。功能：提供目標擋位、提供實際擋位、保持當前擋位、退出當前擋位、正確顯示擋位。初步架構如圖5所示。系統內部接口見表1、外部接口見表2，對外信息輸出接口見表3。

3.2 安全生命周期啟動

基于相關項定義，分析所開發系統為全新開發還是對現有系統進行修改。若是全新開發，則根據標準嚴格執行每一個活動。若是對現有系統進行修改，則應對安全相關活動進行適當的剪裁。本文所研究的電子換擋系統為全新開發系統，需嚴格按照流程進行開發。

3.3 危害分析和風險評估

識別系統相關項中因故障引起的危害并對危害進行ASIL評級，制定防止危害事件發生或減輕危害程度的安全目標。

首先應對系統的功能逐個進行詳細分析，識別出系統的每一個危害事件，接著對每一個危害事件使用“嚴重度”“暴露概率”“可控性”3個參數進行評估。其中，“嚴重度”指系統在功能失效的情況下，對駕駛人員、環境和行人的傷害程度。“暴露概率”指風險在實際環境中發生的概率。“可控性”指發生事故的情況下，駕駛員或其他涉險人員能夠避免事故或傷害的可能性。這3個參數的分類見表4。

每一個危害事件的“嚴重度”“暴露概率”“可控性”評估出來后，按表5綜合評估其ASIL等級（即汽車安全完整性等級），其中“D”為最高等級，“A”為最低等級，“QM”為質量管理，表示依據正常的質量管理體系進行開發就行，不需要涉及功能安全相關的設計。在明確每一個危害事件的ASIL等級之后，再為其制定一個安全目標，作為下一階段的功能安全需求（FSR）和技術安全需求（TSR）的基礎。

評估出系統的ASIL等級越高，ISO 26262對設計方法、安全技術、測試方法及需要達到的技術指標的要求越嚴格，對產品及其開發流程的審核和確認也會更嚴格。

針對本文所研究的電子換擋系統，根據相關項定義中該電子換擋系統的功能得出的危害有非預期出P擋、非預期進入相反擋位、非預期動力嚙合、錯誤指示和非預期駐車。需要強調的是，同一危害在不同的駕駛場景中的風險是不相同的，因此我們需要對以上的危害置于不同的駕駛場景中逐一進行分析。本文僅選取3個危害中的某一個駕駛場景進行風險評估（見表6、表7、表8）。

表6中，我們考慮的駕駛場景是“車輛坡道駐車，駕駛員不在駕駛室內，行人在危險區域”。如果場景為司機仍在駕駛室中，則司機可通過踩剎車控制汽車的意外滑行，可控性將增加，在這種場景下評估出來的ASIL等級將會比表中的ASIL等級低。

表7中的危害對應的駕駛場景非常多，需要逐一進行分析，如“低速倒車，行人在危險區域”“車輛低速行駛，后面有車”“車輛高速行駛，后面有車”“車輛低速行駛，后面有人橫穿馬路”“車輛高速行駛，后面有人橫穿馬路”等;每一個駕駛場景對應的嚴重度、暴露概率、可控性都是不一樣的。

對所有危害的不同駕駛場景逐一進行分析后的結果見表9。

根據標準要求，整個電子換擋系統的ASIL等級應該取所有危害項目中最高的等級，所以本文中所研究的電子換擋系統的ASIL等級為ASIL B級。為每一個具有ASIL等級的危害事件制定一個安全目標（見表9），該安全目標是電子換擋系統最高的要求，它應該描述為該系統的功能目的，而不是詳細的技術解決方案，那將是下一階段的工作內容。

3.4 功能安全概念

在安全目標的基礎上進一步對危害的故障探測、駕駛員警告、安全狀態、容錯機制等方面提出要求，使用FMEA、FTA、HAZOP等方法制定一套完整而有效的功能安全要求，并將其分配給相關項的初步架構要素或外部措施。

4 結語

本文從主機廠的角度出發，說明了換擋器的發展趨勢及電子換擋系統的優點，并指出安全性是電子換擋系統的關鍵，因此將ISO 26262標準中的“功能安全概念階段”應用于電子換擋系統的開發過程中，得到了電子換擋系統的ASIL等級及其安全目標，為后續電子換擋系統功能安全的開發提供參考和借鑒。

參 考 文 獻

[1]ISO 26262—3：2011（E），RoadVehicles-Functional-Safety[S].

[2]劉佳熙，郭輝，李君.汽車電子電氣系統的功能安全標準（ISO 26262）[J].上海汽車，2011（10）：57-61.

[3]文凱，夏珩，裴鋒.基于ISO 26262的電動四驅混合動力系統功能安全概念設計[J].機電工程技術，2012（12）：74-76.

[4]黃蒙，吳光強.自動變速器換擋桿電子控制器設計研究[J].測控技術，2011（4）：63-66，69.