李相華 王林 葉錦

為解決現(xiàn)有駐車控制技術中的駐車安全問題，從ISO 26262標準要求出發(fā)，針對混合動力汽車駐車系統(tǒng)進行失效分析和風險評估，給出了系統(tǒng)級別的安全目標，提出了駐車系統(tǒng)的功能安全監(jiān)控概念，為后續(xù)產(chǎn)品的安全開發(fā)提供了安全依據(jù)。

駐車系統(tǒng);功能安全;安全概念

0 前言

隨著新能源汽車電動化和智能化的快速發(fā)展，越來越多的輔助駕駛或者自動駕駛功能出現(xiàn)在車輛上，用戶可以更加便捷地使用車輛。駐車系統(tǒng)是車輛實現(xiàn)停車的重要保證，也是輔助駕駛或自動駕駛功能實現(xiàn)量產(chǎn)落地的重要執(zhí)行機構。輔助駕駛或自動駕駛產(chǎn)品的安全可靠，需要滿足ISO 26262標準的功能安全要求[1]，否則會直接影響到車輛的使用安全和駕駛員的人身安全。

ISO 26262標準是國際標準化組織在2011年提出的，專用于汽車行業(yè)電控系統(tǒng)的安全開發(fā)，為車輛電子電器系統(tǒng)的整個生命周期的安全性和可靠性提供了技術要求和方法保障[2]。在2017年，國內汽車行業(yè)實現(xiàn)了國際標準的國內轉化，并發(fā)布了GB/T 34590標準。駐車系統(tǒng)作為車輛電子電氣系統(tǒng)的一部分，需要從功能安全角度分析和評估其系統(tǒng)失效的影響，并設計相應的功能安全監(jiān)控概念，確保駐車系統(tǒng)的執(zhí)行過程安全可靠。

為解決現(xiàn)有駐車控制技術中未考慮的系統(tǒng)失效或故障情況下如何確保駐車安全的問題，本文從ISO 26262標準要求出發(fā)，針對混合動力汽車駐車系統(tǒng)進行失效分析和風險評估，給出了系統(tǒng)級別的安全目標，最后設計完成了駐車系統(tǒng)的功能安全監(jiān)控概念，為后續(xù)產(chǎn)品開發(fā)和技術層面的安全設計提供了依據(jù)。本研究為國家重點研發(fā)計劃（2018YFB0105803）：新型高性價比混合動力總成開發(fā)基金項目。

1 駐車系統(tǒng)

駐車系統(tǒng)一般安裝在混合動力汽車的電驅動箱的傳動軸端，包括駐車控制器、駐車電機、駐車執(zhí)行總成及駐車齒輪等結構。駐車系統(tǒng)的結構示意如圖1所示。駐車系統(tǒng)的主要功能是在接收到駕駛員的進駐車和退駐車操作時，控制器控制駐車電機工作，推動執(zhí)行機構運動，實現(xiàn)棘爪進駐車和退駐車。

駕駛員的進駐車和退駐車操作，一般是由外部換檔桿模塊（SCU）檢測，并通過控制器局域網(wǎng)絡（CAN）通訊發(fā)送給駐車控制器。在接收到進退駐車請求后，駐車控制器結合車速等車輛其他狀態(tài)信息，控制駐車電機運動使執(zhí)行機構向駐車位置或空檔位置移動，實現(xiàn)進退駐車。然后，駐車控制器將駐車系統(tǒng)的狀態(tài)通過CAN通訊反饋到儀表等設備，將信息傳遞給駕駛員。駐車系統(tǒng)的邊界條件如圖2所示。

2 失效分析與風險評估

失效分析與風險評估的目的是發(fā)現(xiàn)和評估出駐車控制系統(tǒng)中有哪些潛在失效會對車輛運行產(chǎn)生人身安全的風險。失效分析常用的方法工具有危險可操作性分析（HAZOP）、功能危險性分析（FHA）、頭腦風暴，以及售后故障調查等[3]。本文采用HAZOP方法對系統(tǒng)失效進行分析。結合駐車控制系統(tǒng)的特點，使用的引導詞和得出的失效模式如表1所示。

依據(jù)駐車控制系統(tǒng)的特點，進駐車卡滯失效是與無法進駐車失效相同的，退駐車卡滯失效是與無法退駐車失效相同的。因此，把相同或者相似的功能失效進行合并描述，最后形成的駐車控制系統(tǒng)的功能失效如表2所示。

在進行風險評估時，須將系統(tǒng)的潛在失效結合到場景中評估其對車輛運行的影響。

運行場景包括了道路條件、運行環(huán)境、車輛狀態(tài)和駕駛員操作等因素。駐車系統(tǒng)的運行場景比較簡單，比如坡道上進駐車、車輛正常行駛時退駐車等。結合駐車系統(tǒng)的失效模式和運行場景，可以綜合形成駐車系統(tǒng)的危害事件。然后，針對每個危害事件，依據(jù)ISO 26262標準要求，從嚴重度S、暴露度E和可控度C 3個角度進行風險評估，并得到汽車安全完整性等級（ASIL）。駐車系統(tǒng)的風險評估的示例如表3所示。

以危害事件HE-4為例，停車場景暴露度非常高的可評為E4，但考慮到在坡道上停車且前后方有行人的情況，將2種場景疊加后的暴露度評估為E3;溜車撞倒行人會直接危害到行人人身安全，嚴重度為S3;對于可控度，最壞情況是駕駛員不在車內，幾乎無法控制車輛，評估為C4;最終得到風險等級為ASIL-C。

依據(jù)危害事件和風險評估結果，可得出系統(tǒng)層面的安全目標如表4所示。

安全目標作為1個產(chǎn)品或系統(tǒng)最高層面的安全要求，按照ISO 26262標準要求，包括ASIL等級、故障容錯時間（FTTI）及安全狀態(tài)等屬性要求。依據(jù)工程開發(fā)經(jīng)驗，F(xiàn)TTI參數(shù)與系統(tǒng)功能設計方法有關，在安全目標階段可以不給出，而是在功能安全概念階段依據(jù)系統(tǒng)初始功能設計、安全狀態(tài)進行計算和分解。另外FTTI分析過程復雜且涉及到具體駐車結構參數(shù)。在此，本文不作進一步分析闡述。

3 功能安全監(jiān)控概念

功能安全概念的目的是根據(jù)上文提出的安全目標，分析并得到實現(xiàn)這些目標的設計措施和安全要求，然后分配到具體的實施系統(tǒng)要素，優(yōu)化系統(tǒng)功能架構，形成整體的安全概念。

功能安全概念的開發(fā)思路包括以下3個步驟。（1）針對每1項安全目標，使用故障樹分析（FTA）方法，逐層分析并識別出系統(tǒng)初始架構中違背安全目標的潛在失效或故障。（2）針對識別到每1條失效或故障，提出安全措施或安全機制，具體可從如下維度考慮：① 故障規(guī)避措施;②故障探測措施;③進入或退出安全狀態(tài)的條件;④故障容錯措施;⑤降級或報警措施;⑥避免潛伏故障等措施。（3）將提出的安全措施或安全機制分配到系統(tǒng)初始功能架構要素中，優(yōu)化完善系統(tǒng)初始功能架構。

在此，需要特別說明的是，在提出安全措施或安全機制時，不需要局限在本系統(tǒng)范圍內，也可由其他技術措施或外部電控系統(tǒng)實現(xiàn)。比如本文提出的SG-2：系統(tǒng)應避免非預期進駐車，可通過提出機械層面的技術措施來實現(xiàn)，可通過改進駐車結構總成的機械設計，實現(xiàn)車速大于5 km/h時限制駐車棘爪嚙合進駐車齒輪的情況。另外，在功能安全概念開發(fā)過程中，需要同時考慮到外部系統(tǒng)的安全要求。

3.1 功能安全要求的導出

下面以本文提出的SG-3為例詳細闡述功能安全要求的導出。如圖3所示，首先使用FTA方法分析得出的違背SG-3的失效情況。針對這些失效情況，駐車系統(tǒng)需要增加退駐車執(zhí)行監(jiān)控功能，部分功能安全要求如表5所示。

針對FSR-3要求，技術人員從功能實現(xiàn)角度進一步細化提出需要系統(tǒng)層面增加的部分安全功能（表6），從輸入、控制和輸出角度分別提出安全要求。

針對新增加的駐車執(zhí)行監(jiān)控的功能，使用FTA進一步分析（圖3）。從故障探測措施、進入或退出安全狀態(tài)的條件提出的部分安全機制如表7所示。

3.2 功能安全要求的分配

如圖4所示，功能安全要求分配到系統(tǒng)初始架構要素中，實現(xiàn)要求與具體實施要素的關聯(lián)。同時，技術人員須對初始系統(tǒng)架構進行優(yōu)化和完善，形成整體的安全概念。

在得出功能安全需求后，技術人員在產(chǎn)品開發(fā)階段將依據(jù)這些功能安全需求和功能安全概念進行進一步細化，分析得到更加詳細的技術實施細節(jié)并分配到軟硬件，進而實現(xiàn)產(chǎn)品的開發(fā)。

4 結語

本文依據(jù)ISO 26262標準，針對混合動力汽車中 駐車系統(tǒng)進行了失效分析和風險評估，給出系統(tǒng)層面的安全目標，然后詳細闡述了功能安全概念的開發(fā)思路，并通過FTA方法，給出功能安全要求和功能安全概念，為后續(xù)產(chǎn)品的安全開發(fā)提供了依據(jù)。實際工程經(jīng)驗也表明，正確完整的功能安全概念可以系統(tǒng)性的識別相關產(chǎn)品的失效問題，解決工程開發(fā)中未能考慮到的安全因素問題。

[1]吳小萍， 姚文博， 譚艷軍， 等. 基于道路汽車功能安全標準要求的7DCT駐車位置傳感器新策略設計[J]. 汽車電器，2019（1）： 39-40， 43.

[2]ISO 26262 Road vehicles-functional safety[S].國際標準化組織， 2011.

[3]王林， 趙鑫， 任倩萌. 混合動力汽車電驅動系統(tǒng)的功能安全概念設計[J]. 上海汽車， 2018（11）： 4-8， 18.