智能底盘技术 (14) | Two-box 方案「ESC+eBooster」功能安全之危害分析与风险评估（下）

作者 | 磐匠

智能底盘技术 (13) | Two-box 方案 "ESC eBooster" 功能安全之危害分析与风险识别 (上)

根据制动执行机构的不同，线控制动系统（Brake-By-Wire）可以分为液压式线控制动系统（Electro-Hydraulic Brake, EHB）和机械式线控制动系统（Electro-Mechanical Brake, EMB）。其中，EHB 以传统的液压制动系统为基础，用电子器件替代了部分机械部件的功能，使用制动液作为动力传递媒介，同时具备液压备份制动系统，是目前的主流技术方案。而 EHB 根据集成度的高低，EHB 可以分为 Two-box 和 One-box 两种技术方案。

随着新能源汽车市场的扩张，「eBooster+ ESC」 组合成为了目前市场上最主流的 Two-box 方案。该方案除了实现基础的制动助力功能和稳定性控制功能外，还能在实现制动能量回收的同时协调配合，保证在电制动和液压制动的切换中实现驾驶员的踏板感一致。此外，随着高阶辅助驾驶系统和自动泊车系统的普及，「eBooster+ ESC」 在其中也扮演着实现制动冗余的角色。

另一方面，线控制动系统用电子器件代替部分机械部件，使得系统的安全性高度依赖电子器件的安全性和可靠性，这样一来，线控制动系统的功能安全开发显得尤为重要。

自从 2011 年功能安全标准 ISO 26262 自 2021 年正式发布，ISO 26262 聚焦于电子电气系统的功能安全，对产品的整个生命周期进行评估，涵盖功能性安全需求规划、设计、实施、集成、验证、确认和配置等方面，旨在通过完善的开发流程，将汽车电子电气系统故障的风险降到最低，是全球电子零部件供应商进入汽车行业的准入门槛之一。国内外各大主流汽车企业陆续将 ISO 26262 中定义的需求融入自己的研发体系和流程中。

在上期文章中对危害分析与风险评估的方法论进行了介绍，本文将以 「eBooster+ ESC」 组合为分析对象，对该方法论展开实践。

整车危害分析

整车危害分析的目标是完整地识别出所研究的 E/E 系统出现功能异常时可能引起的整车层面的异常行为。对于如何展开这一活动，ISO 26262 中推荐了一种系统性地分析相关项的危害的方法 ——HAZOP (危害和可操作性分析，Hazard and Operability Analysis)。HAZOP 给开发人员提供了一种系统的思维方式，可操作性强，因此被车企广泛地运用到了功能安全开发中。

简单来说，HAZOP 从以下几个方面来全面地考虑功能的可能失效模式，从而识别出功能所有可能产生的整车危害（为避免翻译出现偏差，这里保留 HAZOP 的英文解释）：

1.Loss of Function - function not provided when intended

2.Function provided incorrectly when intended

• Incorrect Function-More than intended
• Incorrect Function-Less than intended
• Incorrect Function-Wrong direction

3.Unintended Activation of Function - Function provided when not intended

4.Output Stuck at a Value - Failure of the function to update as intended

注意：对于一个具体的功能来说，并不是上面提到的所有点都有对应的失效模式。

比如对于制动功能来说，就不存在 「wrong direction」 的功能失效。换句话说，具体功能需要具体分析。

在前几期的文章中对 「eBooster+ ESC」 系统的功能进行了具体的介绍，此处做一个总结：

• 功能 1：驾驶员制动助力功能
• 功能 2：外部 ECU 制动请求响应功能
• 功能 3：电子稳定性控制功能 (ABS/TCS/VDC)
• 功能 4：制动灯控制功能

接下来将对这几个功能失效及可能引起的整车危害进行 HAZOP 分析。

驾驶员制动助力功能

外部 ECU 制动请求响应功能

电子稳定性控制功能

制动灯控制功能

基于 HAZOP 分析结果，可以看出不同的功能失效可能引起相同的整车危害。为避免重复，此处将 「eBooster+ ESC」 系统功能异常可能引起的整车危害汇总成下表。

危害事件分类与风险分析

识别出整车危害后，需要结合场景对危害事件进行分类，以识别出功能安全开发需要考虑的不合理的风险。

危害事件分类主要是通过三个维度对风险进行评级：

• S（severity 严重度）：危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。

• E（Exposure 曝光度）：运行场景在日常驾驶过程中发生的概率。

• C（controllability 可控度）：驾驶员或其他涉险人员控制危害以避免伤害的概率。

接下来基于上节 HAZOP 分析结果，进一步展开危害事件分类和风险分析。

注：以下分析仅供参考，与具体项目开发中的分析结果可能存在差异。

驾驶员或外部 ECU 无制动请求时非预期制动导致车轮抱死

驾驶员或外部 ECU 无制动请求时非预期制动导致减速度过大 (车辆具有横向稳定性)

驾驶员请求制动时减速度过小

外部 ECU 请求制动时减速度过小（辅助驾驶 *）

• 辅助驾驶下驾驶员需要时刻关注运行情况并在必要时接管

外部 ECU 请求制动时减速度过小（自动驾驶 *）

• 自动驾驶下允许驾驶员不接管车辆，车辆出现异常时需要系统接管

稳定性功能非预期干预导致车辆失去稳定性

稳定性功能无干预或干预不当导致车辆失去稳定性

车辆制动时制动灯不亮

车辆驻车力过大 (驾驶员在车内)

车辆驻车力过小 (驾驶员在车内)

导出功能安全目标

简单来说，HAZOP 从以下几个方面来全面地考虑功能的可能失效模式，从而识别出功能所有可能产生的整车危害（为避免翻译出现偏差，这里保留 HAZOP 的英文解释）：

根据危害分析与风险评估结果，可以导出 「eBooster+ ESC」 的安全目标。