王龍　李景偉　王建磊　葛麗敏　付朝輝

摘 要：為了驗(yàn)證汽車轉(zhuǎn)向系統(tǒng)功能安全需求已經(jīng)被關(guān)聯(lián)控制器正確實(shí)現(xiàn)，本文提供了一種基于實(shí)車的轉(zhuǎn)向系統(tǒng)故障測(cè)試方法，注入的故障類型是Torque sensor故障注入。本文通過研究汽車轉(zhuǎn)向系統(tǒng)的功能安全設(shè)計(jì)需求，包括汽車轉(zhuǎn)向系統(tǒng)功能安全目標(biāo)，HARA分析，功能安全概念等，提取出故障注入的典型測(cè)試驗(yàn)證場(chǎng)景?；谠O(shè)計(jì)的故障注入場(chǎng)景，需進(jìn)行實(shí)車的改制，包括方向盤的改制，以及BOB盒等安裝。實(shí)車注入故障后，為了驗(yàn)證整車的功能安全目標(biāo)達(dá)成，給出了一套評(píng)判的標(biāo)準(zhǔn)，研究轉(zhuǎn)向系統(tǒng)故障注入后，可在FTTI時(shí)間內(nèi)進(jìn)入功能安全目標(biāo)狀態(tài)，并且實(shí)車是可控的。

關(guān)鍵詞：功能安全 功能安全目標(biāo) HARA分析 功能安全概念 故障注入

隨著汽車電動(dòng)化、智能化的發(fā)展，越來越多的汽車都配備了電動(dòng)助力轉(zhuǎn)向系統(tǒng)，取代了之前的機(jī)械液壓助力系統(tǒng)。引入電子電器系統(tǒng)之后，和整車其他ECU的交互變得越來越多，功能也變得復(fù)雜。如不同駕駛模式的助力類型，以及可以選擇助力輕重等設(shè)計(jì)。功能越復(fù)雜，對(duì)于功能的穩(wěn)定性，以及出現(xiàn)非預(yù)期故障時(shí)，功能的可靠性顯得尤為重要。由于功能安全設(shè)計(jì)缺陷導(dǎo)致的汽車召回事件也時(shí)有發(fā)生。如2015年6月11日至2016年9月14日生產(chǎn)的部分紳寶X25汽車，共計(jì)58497輛。車輛由于轉(zhuǎn)向助力控制模塊軟件設(shè)計(jì)問題，在極端使用條件下不能對(duì)轉(zhuǎn)向助力電機(jī)進(jìn)行有效熱保護(hù)，車輛可能會(huì)出現(xiàn)轉(zhuǎn)向助力失效，存在安全隱患。2016年4月7日至2017年3月31日生產(chǎn)的部分紳寶X35汽車，共計(jì)102179輛。車輛在長(zhǎng)期高溫暴曬的極端條件下，車輛轉(zhuǎn)向機(jī)構(gòu)內(nèi)時(shí)鐘彈簧的內(nèi)部支架可能出現(xiàn)高溫變形，轉(zhuǎn)動(dòng)方向盤時(shí)會(huì)發(fā)生內(nèi)部線路卷曲、彎折的情況，導(dǎo)致安全氣囊故障燈常亮[1]。為了避免因轉(zhuǎn)向系統(tǒng)功能安全的設(shè)計(jì)缺陷導(dǎo)致的車輛功能異常，本文將基于轉(zhuǎn)向系統(tǒng)的功能安全設(shè)計(jì)，對(duì)故障注入類的測(cè)試場(chǎng)景開發(fā)，并進(jìn)行相關(guān)的驗(yàn)證工作，保證車輛轉(zhuǎn)向系統(tǒng)的功能安全目標(biāo)的實(shí)現(xiàn)。

1 轉(zhuǎn)向系統(tǒng)及ISO26262簡(jiǎn)介

電動(dòng)助力轉(zhuǎn)向系統(tǒng)又稱EPS系統(tǒng)，是從傳統(tǒng)機(jī)械轉(zhuǎn)向系統(tǒng)的基礎(chǔ)上發(fā)展起來的，是一種直接依靠電機(jī)提供輔助扭矩的動(dòng)力轉(zhuǎn)向系統(tǒng)。EPS該系統(tǒng)主要由信號(hào)傳感器（包括扭矩傳感器、角度傳感器、車速傳感器）、轉(zhuǎn)向輔助機(jī)構(gòu)（電機(jī)、離合器、減速傳動(dòng)機(jī)構(gòu)）和

ISO 26262為汽車安全提供了一個(gè)生命周期（管理、開發(fā)、生產(chǎn)、經(jīng)營、服務(wù)、報(bào)廢）理念，并在這些生命周期階段中提供必要的支持。該標(biāo)準(zhǔn)涵蓋功能安全方面的整體開發(fā)過程（包括需求規(guī)劃、設(shè)計(jì)、實(shí)施、集成、驗(yàn)證、確認(rèn)和配置）。

ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險(xiǎn)程度對(duì)系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級(jí)（Automotive Safety Integrity Level 汽車安全完整性等級(jí)ASIL），其中D級(jí)為最高等級(jí)，需要最苛刻的安全需求。伴隨著ASIL等級(jí)的增加，針對(duì)系統(tǒng)硬件和軟件開發(fā)流程的要求也隨之增強(qiáng)。對(duì)系統(tǒng)供應(yīng)商而言，除了需要滿足現(xiàn)有的高質(zhì)量要求外還必須滿足這些因?yàn)榘踩燃?jí)增加而提出的更高的要求[3]。

ASIL（Automotive Safety Integration Level，汽車安全完整性等級(jí)）是在概念設(shè)計(jì)階段通過對(duì)功能安全風(fēng)險(xiǎn)的評(píng)估中得到的，如果系統(tǒng)的功能安全風(fēng)險(xiǎn)越大，對(duì)應(yīng)的安全要求就越高，則具有更高等級(jí)的ASIL， ASIL分為A、B、C、D四個(gè)級(jí)別，其中ASIL D級(jí)為最高汽車安全完整性等級(jí)，需要最苛刻的安全需求。安全目標(biāo)是系統(tǒng)的最高級(jí)別的安全需求，ASIL等級(jí)決定了對(duì)系統(tǒng)安全性的要求，ASIL等級(jí)越高，對(duì)系統(tǒng)的安全性要求越高，為實(shí)現(xiàn)安全付出的代價(jià)越高，意味著硬件的診斷覆蓋率越高，開發(fā)流程越嚴(yán)格，相應(yīng)的開發(fā)成本增加、開發(fā)周期延長(zhǎng)，技術(shù)要求嚴(yán)格[4]。

2 測(cè)試用例開發(fā)及實(shí)車改制

依據(jù)汽車轉(zhuǎn)向系統(tǒng)的結(jié)構(gòu)，實(shí)車有3路Torque sensor，因此設(shè)計(jì)了表1測(cè)試場(chǎng)景。

Torque sensor故障注入試驗(yàn)中通過引入BOB盒，斷開Torque senor與轉(zhuǎn)向器之間的信號(hào)線。所需要的試驗(yàn)設(shè)備有力矩方向盤、陀螺儀、CANoe等工具。測(cè)試之前需將原車方向盤拆掉，將力矩方向盤通過聯(lián)軸器嵌套在轉(zhuǎn)向管柱上面。陀螺儀安裝牢固，并且使用前要進(jìn)行設(shè)置及標(biāo)定工作。力矩方向盤在進(jìn)行數(shù)據(jù)記錄前需要進(jìn)行力矩和方向盤轉(zhuǎn)角的清零工作。并確認(rèn)CANOE總線設(shè)備和實(shí)車連接無問題。

3 測(cè)試實(shí)施及報(bào)告分析

3.1 Torque sensor一路信號(hào)故障注入

Torque sensor有三路信號(hào)，將其中一路Torque sensor信號(hào)注入故障。需設(shè)定三個(gè)信號(hào)來表征故障注入時(shí)刻，如下表中綠色線表征。將其中的一路信號(hào)斷開，其值從0會(huì)變成175。同時(shí)SteerErrReq會(huì)從NoReq變成SteerErrReq3_SteerAssiUrgentSrvRqrd表示助力水平會(huì)下降。實(shí)車測(cè)試轉(zhuǎn)向助力有下降但并不是很明顯，主觀感受上并未感覺到變化。到滾筒直徑約0.7處時(shí)，借重力使材料落下。分布在滾筒內(nèi)不同部分的物料，由于其顆粒不同，其下落的時(shí)間、落點(diǎn)及滾動(dòng)的距離不同，而使物料相互穿叉、翻拌、混合，達(dá)到擴(kuò)散均勻，其工作原理見圖2。

3.2 Torque sensor先斷一路再斷第二路信號(hào)故障注入

將Torque sensor先斷一路信號(hào)再斷第二路信號(hào)，那么表征信號(hào)通斷的值都會(huì)同時(shí)從0變成175。SteerErrReq的值在斷一路信號(hào)的時(shí)候從NoReq變成SteerErrReq3_SteerAssiUrgentSrvRqrd，表示助力水平下降，斷第二路信號(hào)的時(shí)候會(huì)再變成SteerErrReq3_SteerErrStopSfty，表示轉(zhuǎn)向系統(tǒng)最后會(huì)變?yōu)闊o助力狀態(tài)，在變成無助力的瞬間，能明顯感覺到手力發(fā)生變化。但處于可控范圍內(nèi)，如圖3所示：

3.3 Torque sensor 二路信號(hào)故障注入

Torque sensor兩路信號(hào)同時(shí)斷開，表示信號(hào)通斷的值會(huì)從0會(huì)變成175。同時(shí)SteerErrReq會(huì)從NoReq變成SteerErrReq3_SteerErrStopSfty，手力慢慢變重直到10s后丟失助力。如圖4所示：

3.4 Torque sensor三路信號(hào)故障注入

將Torque sensor三路信號(hào)全部同時(shí)斷開，那么表征三路信號(hào)通斷的值都會(huì)同時(shí)從0變成175。SteerErrReq的值會(huì)直接從NoReq變成SteerErrReq3_SteerErrStopSfty，表示轉(zhuǎn)向系統(tǒng)最后會(huì)變?yōu)闊o助力狀態(tài)，在變成無助力的瞬間，能明顯感覺到手力發(fā)生變化，且方向盤角度也發(fā)生明顯的變化。但處于可控范圍內(nèi)，如圖5所示：

3.5 Torque sensor先斷兩路信號(hào)3S后再斷第三路信號(hào)

Torque sensor同時(shí)斷兩路信號(hào)3秒后斷第三路信號(hào)，那么表征兩路信號(hào)通斷的值都會(huì)同時(shí)從0變成175。第三路信號(hào)值不變。SteerErrReq的值會(huì)直接從NoReq變成SteerErrReq3_SteerErrStopSfty，這時(shí)助力會(huì)變小，手力會(huì)慢慢的增加，斷開第三路信號(hào)，第三路信號(hào)值發(fā)生變化，SteerErrReq仍為SteerErrStopSfty，這時(shí)手力突然變重，系統(tǒng)很快會(huì)變?yōu)闊o助力狀態(tài)，在變成無助力的瞬間，能明顯感覺到手力發(fā)生變化。但處于可控范圍內(nèi)，如圖6所示：

4 結(jié)語

（1）汽車轉(zhuǎn)向系統(tǒng)的功能安全驗(yàn)證需通過實(shí)車故障注入類測(cè)試，驗(yàn)證其FTTI時(shí)間及功能安全狀態(tài)是否達(dá)成。

（2）通過上述故障注入試驗(yàn)可以發(fā)現(xiàn)無論是何種試驗(yàn)，最惡劣的情況就是助力丟失，但即便是助力丟失仍然在可控范圍內(nèi)，并未違反功能安全目標(biāo)，因此被測(cè)電動(dòng)助力轉(zhuǎn)向系統(tǒng)在Torque sensor故障的時(shí)候功能安全目標(biāo)可達(dá)成。

（3） 在實(shí)車上關(guān)于FTTI的測(cè)試有些無法去很好的度量，后續(xù)可以加入軟件仿真測(cè)試，更加精確的評(píng)估。

（4）實(shí)車上進(jìn)行功能安全故障注入類的測(cè)試，危險(xiǎn)性較高，需要在專業(yè)試驗(yàn)場(chǎng)地進(jìn)行。

（5）功能安全的故障注入類測(cè)試要更加關(guān)注駕駛?cè)藛T對(duì)車輛的可控性，也需要一定的樣本量。

參考文獻(xiàn)：

[1]王宇，郭魁元，張宏偉，張通，秦孔建.基于HAZOP分析的EPS系統(tǒng)整車級(jí)功能安全測(cè)試方法研究[J].中國汽車 China Auto ，2021：24-30.

[2]蔣玲，蘇婷，朱虹.淺談汽車電動(dòng)助力轉(zhuǎn)向系統(tǒng)[J].前沿探討，2012：31-33.

[3]紀(jì)宏巖，崔書超，孫燦，張進(jìn)明.基于ISO26262的道路車輛功能安全開發(fā)流程解讀[J].通用技術(shù)，2016（07）：57-59.

[4] ISO 26262-9，Road vehicles—Functional safety—Part9：Automotive Safety Integrity Level （ASIL）-oriented and safety-oriented.