基于ISO 26262的線控轉向系統功能安全概念設計

【摘" 要】為提高線控轉向系統的安全性、可靠性，文章根據國際標準ISO 26262展開線控轉向系統的功能安全概念設計。根據系統的邊界、功能和架構，識別8個典型車輛使用場景；采用HAZOP分析方法對系統導致的整車級潛在危害進行分析，并對相應的風險等級進行評估，提出4個功能安全目標。采用FMEA進行安全分析，根據功能安全目標、安全分析結果和初版系統架構提出了25條功能安全需求和功能安全架構設計。

【關鍵詞】線控轉向；ISO 26262；功能安全；汽車安全完整性等級（ASIL）；系統安全架構

中圖分類號：U463.6" " 文獻標識碼：A" " 文章編號：1003-8639（2025）02-0081-06

Functional Safety Concept Design for Steer-by-wire System Based on the ISO 26262

WANG Jing1，TENG Xiaotao2

（Guangzhou Automobile Group Co.，Ltd.，Guangzhou 511400，China）

【Abstract】The Functional Safety Concept of Steer-By-Wire（SBW）system is designed based on ISO 26262 to improve the safety and reliability of SBW system. According to the boundary，function and architecture of the system，eight vehicle operational scenarios are identified. HAZOP analysis method is used to analyze the potential hazards in vehicle level caused by the system，and the corresponding ASIL levels are evaluated，and four functional safety goals are proposed. FMEA is used for safety analysis，and According to functional safety goals，safety analysis results and initial system architecture，Twenty five functional safety requirements and functional safety architecture are designed.

【Key words】SBW；ISO 26262；functional safety；ASIL；system safety architecture

0" 引言

轉向系統是汽車上與駕駛者緊密接觸的操縱裝置，其目的是依據駕駛員意愿或駕駛系統指令控制汽車的駕駛方向，保證駕駛安全。轉向系統先后經歷了從機械轉向到液壓助力轉向和電動助力轉向的改變，然而目前電動助力轉向系統難以滿足智能汽車對轉向技術的需求。線控轉向系統作為線控智能底盤重要的組成部分，在智能汽車架構中必不可少[1]。

線控轉向系統取消了中間軸，由路感反饋模塊與轉向執行模塊組成，具有可變傳動比，能有效抑制路面抖動，可休眠、可伸縮且可收納的方向盤，提升被動安全性等優點。但同時由于取消了機械連接，其最大的挑戰是如何保證安全性。針對線控轉向的功能安全，榮芩等[2]就帶離合器的線控轉向系統功能安全概念進行了分析，常秀巖等[3]也對線控轉向系統進行開發及驗證。本文從功能安全的角度分析線控轉向系統的潛在整車危害，并提出可供參考的功能安全目標和功能安全需求，以失效可操作性冗余機制為指導思想，設計滿足功能安全要求的系統安全架構。

1" 分析流程介紹

1）系統定義。

2）使用HAZOP進行危害分析，采用ISO 26262風險評估方法識別整車級危害，并為每個危害分配相應的ASIL等級。

3）定義整車層級的安全目標。

4）安全分析。

5）根據安全目標和安全分析結果提出功能安全概念，包括系統功能安全需求和系統安全架構。

2" 系統范圍和定義

2.1" 系統范圍

線控轉向系統主要由路感模擬子系統和轉向執行子系統組成，其中路感模擬子系統包括方向盤轉角扭矩傳感器、路感模擬電機、路感電機控制器、路感電機位置傳感器，轉向執行子系統包括執行電機控制器、齒條位置傳感器、轉向執行電機、執行電機位置傳感器、轉向齒條，其中方向盤和車輪不包含在本文分析范圍內。線控轉向系統基本結構如圖1所示。

線控轉向內外部接口主要包括供電接口、通信接口等輸入，詳細清單見表1。

2.2" 系統定義

線控轉向系統主要功能是通過檢測駕駛員輸入和外部系統輸入來驅動執行電機進行轉向力矩控制，給駕駛員合適的路感反饋。

針對路感模擬子系統，其功能定義[4-6]如下。

1）路感電機控制器負責計算出路感電機力矩值，最終傳遞給駕駛員作為手感反饋，同時負責根據方向盤扭矩、方向盤轉角、方向盤角速度、其他系統的轉向力矩/轉角請求等信息估算出齒條位置值輸出給執行電機控制器，并負責與執行電機控制器、整車進行信息交互。

2）方向盤轉角扭矩傳感器負責檢測駕駛員輸入的方向盤扭矩、方向盤轉角及方向盤轉角速度信息，并負責將測量值反饋給路感電機控制器作為參考齒條位置的計算輸入。

3）路感模擬電機負責執行路感電機控制器輸入的電機控制指令。

4）路感電機位置傳感器負責檢測電機轉子的位置，并將測量值反饋路感電機控制器作為電機力矩計算的參考輸入。

針對轉向執行子系統，其功能定義如下。

1）執行電機控制器根據路感模擬子系統或其他系統的齒條位置請求、執行電機位置測量值、齒條實際位置等信息計算出轉向執行電機力矩值并驅動齒條移動，最終傳遞給車輪進行橫向運動，同時負責與路感電機控制器、整車進行信息交互。

2）轉向執行電機負責執行電機控制器輸入的電機控制指令。

3）執行電機位置傳感器負責檢測電機轉子的位置，并將測量值反饋執行電機控制器作為電機力矩計算的參考輸入。

4）齒條位置傳感器負責檢測齒條位置，并將測量值反饋執行電機控制器作為電機力矩計算的參考輸入。

根據以上系統需求開發線控轉向功能，如圖2所示。

3" 整車級危害分析及風險評估

3.1" 場景分析

汽車運行場景指在車輛生命周期中可能發生的場景，如高速行駛、斜坡駐車、維護等[7]。線控轉向系統為了提高其通用性，僅考慮了其中可能出現得最多的場景；不考慮特殊的交通場景；以合法的速度行駛且未發生擁堵情況；沒有特殊的障礙物出現；未出現掉落物的情況；前方跟車車輛未出現急轉彎、停車等特殊情況。也不考慮一些特殊的周邊環境條件，天氣較為理想，無風、霜、雨霧等情況，光照條件理想，地面干燥。本文識別了8個典型車輛運行場景（表2）。

3.2" 整車級危害分析

本文使用HAZOP分析方法作為識別整車危害的方法。IEC 61882[8]提出了11種引導詞，本文根據適用性采用其中7種：功能的丟失、過大、過小、斷斷續續、反向、未請求的執行、卡滯。

考慮不同功能的故障后識別出7個整車層級的潛在危害（表3）。

3.3" 風險評估

ISO 26262根據嚴重度（Severity，S）、暴露度（Exposure，E）、可控性（Controllability，C）評估已識別危害的ASIL等級[9]。

1）嚴重度（S）指對潛在危害事件中可能發生的一個或多個人員的傷害程度的預估。它分為4個等級：S0（無傷害）、S1（輕度和中度傷害）、S2（嚴重和危及生命的傷害）、S3（危及生命的傷害、致命的傷害）。其中S0表示不會有危害無需指定ASIL等級。

2）暴露度（E）指處于某種運行場景的概率，在該運行場景下，如果與分析中的失效模式同時發生則可能導致危害。它分為4個等級：E1（極低概率）、E2（低概率）、E3（中等概率）、E4（高概率）。

3）可控性（C）指通過所涉及人員的及時反應（可能具備外部措施的支持）避免特定的傷害或損傷的能力。它分為4個等級：C0（可控）、C1（簡單可控）、C2（一般可控）、C3（難以控制或不可控）。其中C0表示不會有危害無需指定ASIL等級。

根據各嚴重度（S）、暴露度（E）、可控性（C）的評分規則確定其等級后，對汽車在各個駕駛場景中可能出現的問題進行ASIL評估。表4列出了與危害事件H1、H2、H3、H4、H5相關的評估信息。危害事件H6的評估信息見表5。

4" 安全目標

根據危害分析和風險評估的結果可得到線控轉向系統的功能安全目標。每個具有指定ASIL等級的危害事件都應制定相應的功能安全目標，相似的功能安全目標之間可進行合并。合并后的功能安全目標ASIL等級應取原始安全目標中最高的等級。表6列出了所有安全目標。

5" 安全分析

本文采用FMEA的方法來進行系統的安全分析。FMEA是一種自下而上的分析方法，通過識別底層的失效模式來分析對上層的影響。FMEA有系統或功能FMEA、設計FMEA和過程FMEA，本文在安全分析中使用功能FMEA來識別可能導致車輛級危險的功能級失效模式。標準SAE J1739提供了功能FMEA分析方法的指導[8]。

此次分析包含11個組件，共識別了13條失效模式和34條潛在影響，并提出了9條安全機制。詳細分析結果見表7。

6" 功能安全概念

系統的功能安全概念是以安全目標為最頂層需求，對系統的功能模塊提出故障檢測、安全狀態、安全機制和警告等方面的功能安全需求，并將功能安全需求和ASIL等級分配到架構中的元素。

根據功能安全目標和安全分析結果，本文提出了25條功能安全需求[9]，見表8。

由于線控系統取消了中間軸機械連接，功能安全概念中的關鍵考慮點是在系統出現第一次故障時仍能使駕駛員保持一定的轉向能力，本文基于Fail-operational的思路進行系統架構設計[10-12]，如圖3所示。

7" 結論

本文完成了汽車線控轉向系統開發生命安全周期的前期分析。介紹了HAZOP的分析方法，在分析了線控轉向的系統功能和結構后進行了危害分析和風險評估，得出了線控轉向系統的4個安全目標。采用FMEA分析方法進行安全分析，根據功能安全目標、安全分析結果和初步系統架構，本文提出了25條線控轉向系統的功能安全需求并設計了系統的安全架構。整個線控轉向系統的概念設計對后續線控轉向系統的開發具有指導意義。

參考文獻

[1]" 朱永強，宋瑞琦，劉賀，等.線控轉向系統關鍵技術綜述[J].科學技術與工程，2021，21（36）：15323-15332.

[2]" 榮芩，吳曉東，許敏.基于ISO標準的道路車輛線控轉向系統的功能安全概念設計[J].汽車安全與節能學報，2018（3）：250-257.

[3]" 常秀巖，高尚，姜廷龍，等.基于功能安全要求的線控轉向系統開發及驗證[J].汽車技術，2021（9）：27-32.

[4]" K. Polmans，A. Mitterrutzner，M. Dahler，etal.Steer-by-wire systems safety，comfort and individuality[J].ATZ worldwide，2018，120（6）：30-35.

[5]" J. Iqbal，K. M. Zuhaib，C. Han，etal.Adaptive global fast sliding mode control for steer-by-wire system road vehicles[J].Applied Sciences，2017，7（7）：738.

[6]" E. Dilge，M. Gulbins，T. Ohnesorge，etal.On a redundant diversified steering angle sensor[C]//IOLTS 2003 9th IEEE：191-196.

[7]" ISO 26262 Road vehicles-functional safety（Final Draft）[S].

[8]" IEC 61882—2001 Hazard and operability studies（HAZOP Studies）-Application guide，Edition 1.0[S].

[9]" SAE J1739 Potential failure mode and effects analysis in design and potential failure mode and effects analysis in manufacturing and assembly processes[S]. 1994.

[10] KOO T. A Fail-Operational Assessment for Controllability and Comfortability of Steer-by-Wire Systems[Z].2021.

[11] KOO T. A Study on the Controllability of the Vehicle Steerby-Wire Systems[Z].2020.

[12] Junnan M. A System-level Dual-redundancy Steer-by-wire System[J]. Proceedings of the Institution of Mechanical Engineers，Part D. Journal of Automobile Engineering，2021，235（12）：3002-3025.

（編輯" 楊凱麟）

收稿日期：2024-07-30

作者簡介：汪" 璟（1992—），女，工程師，從事汽車底盤電控開發工作；

滕曉濤（1987—），男，高級工程師，從事汽車底盤轉向系統開發工作。