基于整車動(dòng)力學(xué)的EMB 線控制動(dòng)系統(tǒng)功能安全概念設(shè)計(jì)

摘 要：為了提高面向智能車輛的電子機(jī)械制動(dòng)（EMB）系統(tǒng)的安全性與魯棒性，開展了相應(yīng)的功能安全概念設(shè)計(jì)。在ISO 26262標(biāo)準(zhǔn)的基礎(chǔ)上，并結(jié)合產(chǎn)品開發(fā)現(xiàn)狀，采用故障注入的仿真方法，獲得了車身在EMB失效時(shí)的運(yùn)行規(guī)律，為故障發(fā)生時(shí)危害的嚴(yán)重度和可控性評(píng)判提供了數(shù)據(jù)支撐，有效解決了EMB系統(tǒng)數(shù)據(jù)庫不足的問題，并實(shí)現(xiàn)了嚴(yán)重度和可控性的量化分析。開展了危害分析與風(fēng)險(xiǎn)評(píng)估（HARA），得到了10個(gè)功能安全目標(biāo)及其對(duì)應(yīng)的汽車安全完整性等級(jí)（ASIL），制定了EMB系統(tǒng)的功能安全架構(gòu)和需求。結(jié)果表明：本概念分析方法，可為其它全新智能駕駛電子系統(tǒng)的功能安全開發(fā)，提供參考。

關(guān)鍵詞： 智能車輛；電子機(jī)械制動(dòng)（EMB）；功能安全；汽車安全完整性等級(jí)（ASIL）；概念設(shè)計(jì)

中圖分類號(hào)： U 462.3+3 文獻(xiàn)標(biāo)識(shí)碼： A DOI： 10.3969/j.issn.1674-8484.2024.06.004

電動(dòng)智能化汽車以其操控簡單、響應(yīng)速度快等特點(diǎn)，深受年輕用戶喜歡[1]，但傳統(tǒng)的制動(dòng)系統(tǒng)已經(jīng)不能滿足智能化汽車制動(dòng)的要求，因此線控制動(dòng)系統(tǒng)（brake-by-wire system，BBWS） 成為當(dāng)下的研究熱點(diǎn)之一。其中，電子機(jī)械制動(dòng) （electronic mechanical brake，EMB） 系統(tǒng)[2] 用作為汽車制動(dòng)的終極解決方案，采用了電子控制取代了傳統(tǒng)的液壓控制，使得信號(hào)傳遞更加迅速，結(jié)構(gòu)更加簡單。然而，由于執(zhí)行器和系統(tǒng)的復(fù)雜程度增高，并且EMB 系統(tǒng)取消了傳統(tǒng)車輛的液壓備份[3]，系統(tǒng)發(fā)生故障的風(fēng)險(xiǎn)也隨之升高，一旦制動(dòng)發(fā)生失效，將會(huì)造成無法預(yù)估的后果；所以EMB 系統(tǒng)的安全可靠性成為其發(fā)展的關(guān)鍵因素。為此，需要針對(duì)EMB 系統(tǒng)進(jìn)行功能安全開發(fā)。

國際標(biāo)準(zhǔn)化組織（International Organization forStandardization，ISO） 基于IEC61508，在2011 年發(fā)布了道路車輛功能安全標(biāo)準(zhǔn)ISO 26262 [4]，旨在排除非電子方面的影響后，從電子電氣角度出發(fā)，考慮汽車的使用安全性和控制系統(tǒng)的可靠性。相應(yīng)地，中國發(fā)布了GB T34590-2022 標(biāo)準(zhǔn)[5]，用于定義道路車輛上由電子、電氣和軟件組件組成的安全相關(guān)系統(tǒng)在安全生命周期內(nèi)的所有活動(dòng)[6]。

自標(biāo)準(zhǔn)發(fā)布以來，國內(nèi)外眾多學(xué)者以及企業(yè)做了功能安全相關(guān)的研究和開發(fā)工作。S. Khastgir 等人提出了一種提高分析可靠性和客觀性的方法，該方法通過對(duì)嚴(yán)重度、暴露率、可控性等3 個(gè)參數(shù)創(chuàng)建規(guī)則集，來得到汽車安全完整性等級(jí)[7]。LEU Kuen-Long 等人對(duì)智能線控制動(dòng)系統(tǒng)（intelligent BBWS，IBBWS） 進(jìn)行功能安全的設(shè)計(jì)及分析，并使用故障樹分析（fault treeanalysis，F(xiàn)TA） 和失效模式與影響分析（failure modeand effect analysis，F(xiàn)MEA） 對(duì)IBBWS 進(jìn)行安全設(shè)計(jì)，以滿足所需的汽車安全完整性等級(jí)（automotive safetyintegrity level，ASIL） [8]。王俊明闡述了功能安全標(biāo)準(zhǔn)概念階段的內(nèi)容和要求，并以車道保持輔助系統(tǒng)（lanekeepingassistance，LKA） 為例完成了功能安全概念設(shè)計(jì)[9]。榮芩等人對(duì)線控轉(zhuǎn)向（steer-by-wire，SBW） 系統(tǒng)進(jìn)行功能安全概念設(shè)計(jì)，采用規(guī)則集的方法進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估（hazard analysis and risk assessment，HARA） 分析，得到了汽車在中高速行駛時(shí)應(yīng)避免無法轉(zhuǎn)向和非駕駛員轉(zhuǎn)向的2 個(gè)安全目標(biāo)，并提出了該系統(tǒng)的功能安全概念[10]。

目前針對(duì)EMB 系統(tǒng)功能安全開發(fā)的公開報(bào)道較少。程潔等人對(duì)EMB 系統(tǒng)進(jìn)行了功能安全分析與系統(tǒng)安全機(jī)制設(shè)計(jì)，并對(duì)設(shè)計(jì)的安全機(jī)制進(jìn)行故障注入試驗(yàn)，以證明其有效性[11]。但其在進(jìn)行HARA 分析時(shí)，未明確指出如何得到嚴(yán)重度、暴露率和可控性等3 個(gè)評(píng)價(jià)指標(biāo)的數(shù)值，用以對(duì)汽車安全完整性等級(jí)（ASIL）評(píng)級(jí)。

通常，在做汽車功能安全概念分析時(shí)，多采用失效模式與影響分析（FMEA）、故障樹分析（FTA） 等理論方法[12] 來分析失效及其影響，并據(jù)此得到安全目標(biāo)以及安全要求。但是面對(duì)智能駕駛汽車這一復(fù)雜系統(tǒng)，在不同場景下，失效的影響和危害通常不能準(zhǔn)確預(yù)知和完整歸納。在數(shù)據(jù)庫和經(jīng)驗(yàn)不足的情況下，很難對(duì)失效模式和故障場景進(jìn)行全面匯總，從而造成功能安全需求無法完整定義，并造成概念設(shè)計(jì)缺陷。

為開發(fā)面向智能車輛的線控制動(dòng)系統(tǒng)EMB 系統(tǒng)功能安全概念，本文作者提出一種基于故障注入（faultinject，F(xiàn)I） 仿真試驗(yàn)的功能安全評(píng)估方法，用于重構(gòu)EMB 失效時(shí)的車輛運(yùn)行規(guī)律，以此為基礎(chǔ)，分析其危害和風(fēng)險(xiǎn)，并作為功能安全分析方法的補(bǔ)充。根據(jù)仿真結(jié)果來完成失效影響分析、安全目標(biāo)定義以及安全需求等概念階段開發(fā)工作，可望為EMB 系統(tǒng)功能安全的完整性開發(fā)提供參考。

1 概念階段流程分析

本文根據(jù)ISO 26262-3 概念階段開發(fā)流程[4]，采用基于線控制動(dòng)系統(tǒng)仿真的功能安全概念設(shè)計(jì)，與傳統(tǒng)概念階段的定性開發(fā)流程相比，本文增加了故障注入仿真試驗(yàn)，可以支撐風(fēng)險(xiǎn)評(píng)估以及ASIL 等級(jí)劃分的定量開發(fā)，具體的流程如圖1 所示，首先進(jìn)行EMB系統(tǒng)的相關(guān)項(xiàng)定義，明確EMB 系統(tǒng)的系統(tǒng)架構(gòu)。然后對(duì)EMB 系統(tǒng)車輛的運(yùn)行場景以及失效模式進(jìn)行分析，并采用危害與可操作分析（hazard and operabilityanalysis，HAZOP） 方法得到系統(tǒng)功能的失效形式，并由此生成故障列表進(jìn)行故障注入仿真試驗(yàn)、量化風(fēng)險(xiǎn)指標(biāo)、最后根據(jù)仿真結(jié)果進(jìn)行HARA 分析得到功能安全目標(biāo)、提出功能安全概念。