基于ISO 26262的電子換擋系統(tǒng)功能安全概念階段研究

楊曉彤　何放　黃德健

【摘 要】文章將電子換擋系統(tǒng)與傳統(tǒng)機(jī)械換擋進(jìn)行對比，得出電子換擋系統(tǒng)是汽車今后的發(fā)展方向，但相應(yīng)會帶來功能安全問題;接著介紹電子換擋系統(tǒng)及其所帶來的功能安全問題，依據(jù)標(biāo)準(zhǔn)ISO 26262概念階段的流程對電子換擋系統(tǒng)進(jìn)行分析，在相關(guān)項(xiàng)定義的基礎(chǔ)上對系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評估，得出相應(yīng)的ASIL等級（汽車安全完整性等級）及安全目標(biāo)。

【關(guān)鍵詞】電子換擋系統(tǒng);ISO 26262;功能安全概念階段

【中圖分類號】U463.212 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1674-0688（2019）09-0125-04

0 引言

目前，市面上絕大部分自動擋車型的擋位都是駕駛員操縱換擋器從而帶動與其連接的拉索推動或拉動自動變速箱搖臂實(shí)現(xiàn)換擋。隨著汽車電子技術(shù)的不斷發(fā)展，出現(xiàn)了電子換擋器，其取消了機(jī)械式拉索結(jié)構(gòu)，直接采用電機(jī)通過一套小減速機(jī)構(gòu)帶動自動變速器換擋軸實(shí)現(xiàn)換擋。這種電子換擋系統(tǒng)的優(yōu)點(diǎn)體現(xiàn)在如下幾個(gè)方面。總布置：避免拉索走向難布置問題。避免與風(fēng)管、杯托、其他控制模塊或者按鍵干涉問題，其他零件無需為了讓出空間而采取不規(guī)則設(shè)計(jì)或者妥協(xié)設(shè)計(jì)。造型：對空間要求小且位置靈活，形式可多變，便于造型發(fā)揮。NVH：傳統(tǒng)車輛的傳動系噪音和振動可通過拉索傳遞到駕駛艙內(nèi)，使用電子換擋可以切斷此傳遞路徑，提高整車NVH水平，特別是降低加速工況的車內(nèi)噪音和振動。電子化、智能化：自動泊車、遠(yuǎn)程啟動、輔助駕駛等智能駕駛技術(shù)的前提及基礎(chǔ)。增加賣點(diǎn)：搭載電子換擋的車型都會把它當(dāng)做賣點(diǎn)，增加客戶儲物空間，更顯年輕化、科技感與豪華感。

目前，電子換擋器主要應(yīng)用在高端車型和新能源車上。基于以上優(yōu)點(diǎn)，國內(nèi)各大主機(jī)廠及零部件供應(yīng)商正在大力研發(fā)，電子換擋技術(shù)也將得到普遍應(yīng)用。但是，國內(nèi)的電子換擋系統(tǒng)與國外先進(jìn)水平相比仍有較大差距，目前很多開發(fā)都基于滿足功能性要求，而在功能安全性方面缺少足夠的技術(shù)和經(jīng)驗(yàn)。現(xiàn)今，ISO 26262標(biāo)準(zhǔn)已經(jīng)開始廣泛采用，而國內(nèi)汽車主機(jī)廠及零部件供應(yīng)商對于ISO 26262的理解及運(yùn)用還缺少經(jīng)驗(yàn)，因此本文將以電子換擋系統(tǒng)為例，介紹其在功能安全概念階段的研究，為后續(xù)的電子換擋系統(tǒng)功能安全開發(fā)提供借鑒。

1 電子換擋系統(tǒng)介紹及其帶來的安全問題

傳統(tǒng)的自動擋車型換擋器如圖1所示，它以機(jī)械零件為主，輔以簡單可靠的功能按鍵開關(guān)（如實(shí)現(xiàn)M±手動模式、運(yùn)動模式和經(jīng)濟(jì)模式等），通過物理拉索穿過前地板連接變速器的換擋搖臂，推動換擋器帶動拉索可以改變換擋搖臂的角度，而換擋搖臂角度改變可帶動換擋軸改變變速器液壓系統(tǒng)PRND的油路，與TCU（變速器控制單元）配合實(shí)現(xiàn)擋位切換。

某車型的電子換擋系統(tǒng)原理圖如圖2所示。系統(tǒng)包含換擋器（GSM）、換擋控制單元（SCU）和執(zhí)行器（GBA）。

換擋器（GSM）基本原理如圖3所示。換擋器造型可多變，目前市場主流的有旋鈕式、擋桿式、懷擋式和按鍵式，本文介紹的為擋桿式換擋器，其使用一個(gè)3D霍爾傳感器采集二次注塑在換擋桿上的磁鐵的位置狀態(tài)（即駕駛員換擋意圖），通過PWM將信號發(fā)送給MCU，MCU接收并判斷處理以上信號換算為P、R、N、D、M的擋位發(fā)送到整車CAN總線上。其中，M擋位時(shí)需要結(jié)合方向盤上的換擋撥片信號進(jìn)行處理。

執(zhí)行器（GBA）基本原理如圖4所示。接收SCU目標(biāo)擋位指令，通過電機(jī)及一套減速增扭齒輪機(jī)構(gòu)帶動變速器換擋軸轉(zhuǎn)動，從而改變變速器液壓換擋系統(tǒng)油路，實(shí)現(xiàn)換擋，并通過其位置傳感器（一般為非接觸式霍爾傳感器）將實(shí)際擋位信息返回給SCU。

換擋控制單元（SCU）原理如下：接收GSM的駕駛員換擋意圖并經(jīng)過邏輯判斷處理后控制GBA換擋，并將實(shí)際擋位信號經(jīng)過邏輯判斷處理后通過CAN總線發(fā)送給TCU及其他整車ECU控制模塊。

電子換擋系統(tǒng)的駕駛員目標(biāo)擋位和變速器實(shí)際擋位切換由傳統(tǒng)換擋器的純機(jī)械觸發(fā)變?yōu)镃AN總線信號傳遞，在汽車功能安全方面存在很多潛在風(fēng)險(xiǎn)，特別是電子換擋系統(tǒng)的一些元器件失效或者極限工況下軟件出現(xiàn)問題，有可能會帶來人身傷害。例如，傳感器失效，將正在行駛的D擋錯(cuò)誤輸出為N擋，則變速器由前進(jìn)擋非預(yù)期變?yōu)榭論酰瑢?dǎo)致整車動力丟失;或者由空擋非預(yù)期變?yōu)榍斑M(jìn)擋，導(dǎo)致動力非預(yù)期嚙合，危害人身安全等。那么，電子換擋系統(tǒng)會涉及哪些危害，以及相應(yīng)危害在特定場景下的嚴(yán)重度、暴露概率、可控性分別是多少？這些問題的評估是本文要重點(diǎn)分析的。

2 ISO 26262標(biāo)準(zhǔn)簡介

安全是汽車最基本的要求，近年來隨著汽車電子化、網(wǎng)聯(lián)化、智能化的發(fā)展，整車系統(tǒng)中加入了越來越多的電子元器件、更加復(fù)雜的控制算法和軟件邏輯，使得汽車電子電氣系統(tǒng)失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)逐漸增加，因此《道路車輛功能安全》（ISO 26262）應(yīng)運(yùn)而生，其通過提供適當(dāng)?shù)囊蠛土鞒虂肀苊怙L(fēng)險(xiǎn)，并且逐年受到行業(yè)的重視。

ISO 26262是從《電子、電氣及可編程控制器功能安全標(biāo)準(zhǔn)》（IEC 61508）派生出來的，適用于安裝在乘用車上的包含一個(gè)或多個(gè)電子電氣系統(tǒng)的與安全相關(guān)的系統(tǒng)，其主要提供了汽車整個(gè)生命周期的功能安全開發(fā)指導(dǎo)（管理、研發(fā)、生產(chǎn)、運(yùn)行、服務(wù)、報(bào)廢）;提供了決定風(fēng)險(xiǎn)等級的具體評估方法（汽車安全完整性等級ASIL）;提供了確保獲得足夠的和可接受的安全等級的有效性和確定性措施。

本文重點(diǎn)研究ISO 26262標(biāo)準(zhǔn)的第3部分：功能安全概念。

3 電子換擋系統(tǒng)功能安全概念階段研究

3.1 相關(guān)項(xiàng)定義

用于定義并描述所研究系統(tǒng)與環(huán)境中其他系統(tǒng)的依賴性和互相影響，是開展后續(xù)工作的前提，主要內(nèi)容如下。研究對象：電子換擋系統(tǒng)，包括換擋器、換擋控制單元、執(zhí)行器。功能：提供目標(biāo)擋位、提供實(shí)際擋位、保持當(dāng)前擋位、退出當(dāng)前擋位、正確顯示擋位。初步架構(gòu)如圖5所示。系統(tǒng)內(nèi)部接口見表1、外部接口見表2，對外信息輸出接口見表3。

3.2 安全生命周期啟動

基于相關(guān)項(xiàng)定義，分析所開發(fā)系統(tǒng)為全新開發(fā)還是對現(xiàn)有系統(tǒng)進(jìn)行修改。若是全新開發(fā)，則根據(jù)標(biāo)準(zhǔn)嚴(yán)格執(zhí)行每一個(gè)活動。若是對現(xiàn)有系統(tǒng)進(jìn)行修改，則應(yīng)對安全相關(guān)活動進(jìn)行適當(dāng)?shù)募舨谩１疚乃芯康碾娮訐Q擋系統(tǒng)為全新開發(fā)系統(tǒng)，需嚴(yán)格按照流程進(jìn)行開發(fā)。

3.3 危害分析和風(fēng)險(xiǎn)評估

識別系統(tǒng)相關(guān)項(xiàng)中因故障引起的危害并對危害進(jìn)行ASIL評級，制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)。

首先應(yīng)對系統(tǒng)的功能逐個(gè)進(jìn)行詳細(xì)分析，識別出系統(tǒng)的每一個(gè)危害事件，接著對每一個(gè)危害事件使用“嚴(yán)重度”“暴露概率”“可控性”3個(gè)參數(shù)進(jìn)行評估。其中，“嚴(yán)重度”指系統(tǒng)在功能失效的情況下，對駕駛?cè)藛T、環(huán)境和行人的傷害程度。“暴露概率”指風(fēng)險(xiǎn)在實(shí)際環(huán)境中發(fā)生的概率。“可控性”指發(fā)生事故的情況下，駕駛員或其他涉險(xiǎn)人員能夠避免事故或傷害的可能性。這3個(gè)參數(shù)的分類見表4。

每一個(gè)危害事件的“嚴(yán)重度”“暴露概率”“可控性”評估出來后，按表5綜合評估其ASIL等級（即汽車安全完整性等級），其中“D”為最高等級，“A”為最低等級，“QM”為質(zhì)量管理，表示依據(jù)正常的質(zhì)量管理體系進(jìn)行開發(fā)就行，不需要涉及功能安全相關(guān)的設(shè)計(jì)。在明確每一個(gè)危害事件的ASIL等級之后，再為其制定一個(gè)安全目標(biāo)，作為下一階段的功能安全需求（FSR）和技術(shù)安全需求（TSR）的基礎(chǔ)。

評估出系統(tǒng)的ASIL等級越高，ISO 26262對設(shè)計(jì)方法、安全技術(shù)、測試方法及需要達(dá)到的技術(shù)指標(biāo)的要求越嚴(yán)格，對產(chǎn)品及其開發(fā)流程的審核和確認(rèn)也會更嚴(yán)格。

針對本文所研究的電子換擋系統(tǒng)，根據(jù)相關(guān)項(xiàng)定義中該電子換擋系統(tǒng)的功能得出的危害有非預(yù)期出P擋、非預(yù)期進(jìn)入相反擋位、非預(yù)期動力嚙合、錯(cuò)誤指示和非預(yù)期駐車。需要強(qiáng)調(diào)的是，同一危害在不同的駕駛場景中的風(fēng)險(xiǎn)是不相同的，因此我們需要對以上的危害置于不同的駕駛場景中逐一進(jìn)行分析。本文僅選取3個(gè)危害中的某一個(gè)駕駛場景進(jìn)行風(fēng)險(xiǎn)評估（見表6、表7、表8）。

表6中，我們考慮的駕駛場景是“車輛坡道駐車，駕駛員不在駕駛室內(nèi)，行人在危險(xiǎn)區(qū)域”。如果場景為司機(jī)仍在駕駛室中，則司機(jī)可通過踩剎車控制汽車的意外滑行，可控性將增加，在這種場景下評估出來的ASIL等級將會比表中的ASIL等級低。

表7中的危害對應(yīng)的駕駛場景非常多，需要逐一進(jìn)行分析，如“低速倒車，行人在危險(xiǎn)區(qū)域”“車輛低速行駛，后面有車”“車輛高速行駛，后面有車”“車輛低速行駛，后面有人橫穿馬路”“車輛高速行駛，后面有人橫穿馬路”等;每一個(gè)駕駛場景對應(yīng)的嚴(yán)重度、暴露概率、可控性都是不一樣的。

對所有危害的不同駕駛場景逐一進(jìn)行分析后的結(jié)果見表9。

根據(jù)標(biāo)準(zhǔn)要求，整個(gè)電子換擋系統(tǒng)的ASIL等級應(yīng)該取所有危害項(xiàng)目中最高的等級，所以本文中所研究的電子換擋系統(tǒng)的ASIL等級為ASIL B級。為每一個(gè)具有ASIL等級的危害事件制定一個(gè)安全目標(biāo)（見表9），該安全目標(biāo)是電子換擋系統(tǒng)最高的要求，它應(yīng)該描述為該系統(tǒng)的功能目的，而不是詳細(xì)的技術(shù)解決方案，那將是下一階段的工作內(nèi)容。

3.4 功能安全概念

在安全目標(biāo)的基礎(chǔ)上進(jìn)一步對危害的故障探測、駕駛員警告、安全狀態(tài)、容錯(cuò)機(jī)制等方面提出要求，使用FMEA、FTA、HAZOP等方法制定一套完整而有效的功能安全要求，并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。

4 結(jié)語

本文從主機(jī)廠的角度出發(fā)，說明了換擋器的發(fā)展趨勢及電子換擋系統(tǒng)的優(yōu)點(diǎn)，并指出安全性是電子換擋系統(tǒng)的關(guān)鍵，因此將ISO 26262標(biāo)準(zhǔn)中的“功能安全概念階段”應(yīng)用于電子換擋系統(tǒng)的開發(fā)過程中，得到了電子換擋系統(tǒng)的ASIL等級及其安全目標(biāo)，為后續(xù)電子換擋系統(tǒng)功能安全的開發(fā)提供參考和借鑒。

參 考 文 獻(xiàn)

[1]ISO 26262—3：2011（E），RoadVehicles-Functional-Safety[S].

[2]劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn)（ISO 26262）[J].上海汽車，2011（10）：57-61.

[3]文凱，夏珩，裴鋒.基于ISO 26262的電動四驅(qū)混合動力系統(tǒng)功能安全概念設(shè)計(jì)[J].機(jī)電工程技術(shù)，2012（12）：74-76.

[4]黃蒙，吳光強(qiáng).自動變速器換擋桿電子控制器設(shè)計(jì)研究[J].測控技術(shù)，2011（4）：63-66，69.