作者 | 磐匠
出品 | 焉知
根据制动执行机构的不同,线控制动系统(Brake-By-Wire)可以分为液压式线控制动系统(Electro-Hydraulic Brake, EHB)和机械式线控制动系统(Electro-Mechanical Brake, EMB)。其中,EHB 以传统的液压制动系统为基础,用电子器件替代了部分机械部件的功能,使用制动液作为动力传递媒介,同时具备液压备份制动系统,是目前的主流技术方案。而 EHB 根据集成度的高低,EHB 可以分为 Two-box 和 One-box 两种技术方案。
随着新能源汽车市场的扩张,「eBooster+ ESC」 组合成为了目前市场上最主流的 Two-box 方案。该方案除了实现基础的制动助力功能和稳定性控制功能外,还能在实现制动能量回收的同时协调配合,保证在电制动和液压制动的切换中实现驾驶员的踏板感一致。此外,随着高阶辅助驾驶系统和自动泊车系统的普及,「eBooster+ ESC」 在其中也扮演着实现制动冗余的角色。
另一方面,线控制动系统用电子器件代替部分机械部件,使得系统的安全性高度依赖电子器件的安全性和可靠性,这样一来,线控制动系统的功能安全开发显得尤为重要。
自从 2011 年功能安全标准 ISO 26262 自 2021 年正式发布,ISO 26262 聚焦于电子电气系统的功能安全,对产品的整个生命周期进行评估,涵盖功能性安全需求规划、设计、实施、集成、验证、确认和配置等方面,旨在通过完善的开发流程,将汽车电子电气系统故障的风险降到最低,是全球电子零部件供应商进入汽车行业的准入门槛之一。国内外各大主流汽车企业陆续将 ISO 26262 中定义的需求融入自己的研发体系和流程中。
在前几期(11、12)中系列文章对 「eBooster+ ESC」 组合的系统架构及制动功能的实现展开了介绍,从本期开始将对 「eBooster+ ESC」 组合功能安全开发中的关键环节及要点进行介绍,本文将聚焦于危害分析与风险评估的方法论介绍。
功能安全与 ISO 26262 简介
实际上 「功能安全」 是一个在 ISO 26262 发布之前就存在的概念。随着计算机、集成电路等技术的发展已经渗透到所有工业领域,对电子 / 电气的安全和可靠性要求也越来越高。国际电工委员会在 2000 年 5 月正式发布的电气和电子部件行业相关标准 IEC 61508《电气 / 电子 / 可编程电子安全系统的功能安全》对工业领域(自动化、轨道交通、机器人等等)的电气 / 电子 / 可编程电子部件构成的系统的整体安全生命周期建立了一个基础的评价方法。
但是宽泛的适用范围以及标准制订时并没有引入汽车行业,使得 IEC 61508 直接实施在汽车领域存在很多局限,导致国内外主流 OEM 虽然在汽车功能安全开发实践中有过探索和实践,但难成行业体系。
另一方面,随着计算机和集成电路技术的发展,层出不穷的汽车被动安全和主动安全系统在拯救了无数生命的同时,也存在着功能异常表现而造成危及生命的伤害的潜在风险(如安全气囊非预期起爆)。于此同时,在汽车智能化的浪潮下,汽车上的电气和电子系统(E/E system)也越来越复杂。汽车行业亟需一个通用的适用于汽车 E/E 系统的安全性的评价体系和安全开发的指导体系。
在这样的背景下,ISO 26262 基于 IEC 61508 的理论框架衍生开来,并于 2011 年正式发布第一版,旨在对汽车安全生命周期 (管理、开发、生产、运行、服务、报废) 的各个阶段提供功能安全方法指导。自此,基于 ISO 26262 的系统指导,汽车功能安全开始真正地陆续融入国内外各大主流 OEM 的开发体系中。
我国也在不断推进功能安全在汽车行业的落地,国家标准化管理委员会基于 ISO 26262 的框架体系于 2017 年发布《GB/T 34590 道路车辆 功能安全》,该标准的发布对推动功能安全在中国汽车行业的落地有着积极作用。
危害分析与风险评估的方法论
功能安全(Functional Safety)的定义为:
不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。
要想避免 「不合理的风险」,第一步是要正确地识别危害和风险。对于危害识别,ISO 26262 特别强调了两点:
ISO 26262 part3,6.4.2.2
The hazards shall be determined systematically based on possible malfunctioning behaviour of the item.(危害应由相关项的功能异常表现决定)
ISO 26262 part3,6.4.2.3
Hazards caused by malfunctioning behaviour of the item shall be defined at the vehicle level.( 应以能在整车层面观察到的条件或行为来定义危害)
- GB T-34590 part3, 7.4.2.2.2:
应以能在整车层面观察到的条件或行为来定义危害。
既然是以整车层面观察到的行为来定义危害,那么,首先需要了解车辆所有可能的运动行为。从整车动力学的角度,汽车所有的运动行为可以被下图中的运动坐标系准确描述。
以 eBooster 系统为例,当 eBooster 提供的制动助力出现异常时,可能引起车辆在纵向坐标系上的表现异常。
需要补充一点,整车除了在运动坐标系上所能识别出来的危害外,还有其他类型的危害需要考虑。比如,复杂的 E/E 系统下人机交互界面 (HMI: Human Machine Interface) 越来越受重视,当某个系统失效后,如果没有通过 HMI 及时告知驾驶员可能引起危害;抑或是制动灯没有及时点亮,导致后车驾驶员在前车紧急刹车时制动不及时也可能造成危害。
回到功能安全的定义,功能安全关注的是不合理的风险(unreasonable risk)。此处的风险指的是对驾驶员或者路人或周边车辆内人员造成的健康伤害。那么接下来的问题是:
- 是否所有的整车危害都会造成不合理的风险呢?
答案是否定的。拿 eBooster 可能造成的下面的危害来说,
如果整车丢失制动力发生在空旷的停车场,车速很低,那么驾驶员可以有充分的时间来采取一些措施让车辆停止(如低速撞墙)从而避免造成驾驶员或者行人的人身伤害;而如果整车制动力丢失发生在高速,那么很有可能和前车追尾而造成严重的人身伤害。
从上面的例子可以看出,整车危害并不一定会带来不合理的风险,这取决于多方面的因素如车辆运行场景、运行场景下参与者的表现以及风险造成的人身伤害的严重程度。
因此,当整车危害被识别出来后,需要结合危害和场危害发生时刻车辆运行的场景来分析造成的潜在风险是否可被接受,这一活动被称为 「危害事件分类(Classification of hazardous events)」。
当列出了相关项的所有场景与危害的组合后,接下来就是对其进行分类和筛选,确定哪些风险是可接受的,哪些是不可接受的。ISO 26262 给出了危害事件分类的定性的方法,筛选指标分为三个维度:
- S(severity 严重度):危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。评分表如下:
- E(Exposure 曝光度):运行场景在日常驾驶过程中发生的概率。评分表如下:
- C(controllability 可控度):驾驶员或其他涉险人员控制危害以避免伤害的概率。评分表如下:
基于这三个维度的评分,即可确定 ASIL 等级即汽车安全完整性等级( automotive safety integrity level)。ASIL 一共分为四个等级,D 代表最高严格等级,即风险最高,A 代表最低严格等级,即风险最低。
如果相关项对应的危害事件的评级在 ASIL A 及 ASIL A 以上,则功能安全开发需要予以考虑;对于 QM(质量管理,quality management),只要按照企业流程开发就认为可以满足 ISO 26262 要求,无需额外进行功能安全开发。
限于篇幅,将在下篇中以‘ESC+eBooster’系统为对象,对本文介绍的危害分析与风险评估的方法论展开系统介绍。
