李洪雷，詹德凱，高 越

（華晨汽車工程研究院電子集成室，遼寧 沈陽 110141）

1 電子轉(zhuǎn)向鎖的控制原理

1）電子轉(zhuǎn)向鎖的控制分析 無鑰匙進(jìn)入及一鍵起動(dòng)系統(tǒng)代替?zhèn)鹘y(tǒng)汽車的機(jī)械鑰匙及點(diǎn)火鎖。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

該系統(tǒng)由5個(gè)模塊組成。ESCL（electric steering column lock，電子轉(zhuǎn)向鎖）在該系統(tǒng)中用來替代傳統(tǒng)的點(diǎn)火鎖，作為整車防盜器件用以轉(zhuǎn)向管柱的鎖止。也就是電子轉(zhuǎn)向鎖在收到上鎖請求，并確認(rèn)滿足上鎖的各項(xiàng)條件時(shí)，在相應(yīng)控制器控制下，電子轉(zhuǎn)向鎖會(huì)自動(dòng)彈出鎖舌，將轉(zhuǎn)向管柱鎖死，使之失去轉(zhuǎn)向功能。當(dāng)電子轉(zhuǎn)向鎖收到解鎖請求，并確認(rèn)滿足解鎖條件時(shí)，電子轉(zhuǎn)向鎖會(huì)自動(dòng)收回鎖舌，恢復(fù)轉(zhuǎn)向管柱的轉(zhuǎn)向功能。該器件是集機(jī)械鎖止結(jié)構(gòu)和電子控制單元為一體的產(chǎn)品。在這個(gè)網(wǎng)絡(luò)里，PEPS（passive entry passive start，無鑰匙進(jìn)入及起動(dòng)）通過LIN總線，并作為LIN總線控制的主控節(jié)點(diǎn)對從節(jié)點(diǎn)ESCL進(jìn)行上鎖和解鎖的動(dòng)作控制。

出于防盜安全考慮，在PEPS發(fā)送解鎖命令時(shí)需

2）功能安全分析 上鎖功能本身只是一項(xiàng)基本功能，但是在非期望時(shí)間出現(xiàn)上鎖動(dòng)作將是一件非常危險(xiǎn)的事情。如果是在用戶駕車高速行駛過程中突然出現(xiàn)上鎖動(dòng)作，導(dǎo)致轉(zhuǎn)向失靈，極有可能出現(xiàn)車毀人亡的嚴(yán)重后果。依照ISO 26262道路車輛功能安全標(biāo)準(zhǔn)，對電子轉(zhuǎn)向鎖誤上鎖這項(xiàng)功能進(jìn)行ASIL等級評估。

第1步，進(jìn)行嚴(yán)重度評估，高速行駛時(shí)上鎖誤動(dòng)作對用戶直接導(dǎo)致的最終后果為Class S3致命傷害。

第2步，進(jìn)行暴露度評估，高速行駛時(shí)上鎖誤動(dòng)作致使用戶暴露在危險(xiǎn)中的機(jī)率按照表1評估是 E4高發(fā)生機(jī)率。

表1 暴露度評估表

第3步，進(jìn)行可控能力評估，高速行駛時(shí)避免上鎖誤動(dòng)作的控制能力按照表2評估是C3難以控制。

表2 可控性評估表

第4步，根據(jù)以上三方面的評估，按照表3的排列分析得出結(jié)論：該事件需要按照安全等級ASIL D進(jìn)行安全設(shè)計(jì)。

表3 安全程度等級定義表

綜上對電子轉(zhuǎn)向鎖上鎖誤動(dòng)作這一事件的分析，該系統(tǒng)的控制應(yīng)該按照功能安全等級ASIL D的標(biāo)準(zhǔn)進(jìn)行軟硬件的設(shè)計(jì)。但是按照該標(biāo)準(zhǔn)設(shè)計(jì)，無論從技術(shù)還是從成本角度考慮都很難實(shí)現(xiàn)，所以我們可將較高的ASIL等級要求拆分為2個(gè)較低的ASIL等級要求。

3）功能安全高ASIL等級劃分為低ASIL等級 在2）的分析中，車輛高速行駛時(shí)上鎖誤動(dòng)作一旦發(fā)生，嚴(yán)重度是無法降低的，而駕駛者暴露在危險(xiǎn)當(dāng)中的幾率也將是無法降低的，然而避免該事件發(fā)生的控制措施還是可實(shí)現(xiàn)的。在無鑰匙進(jìn)入及一鍵起動(dòng)系統(tǒng)中，如果可以將1個(gè)控制器PEPS對ESCL進(jìn)行控制更改為2個(gè)控制器同時(shí)對其控制，無論哪一個(gè)控制器單方失效將無法導(dǎo)致誤動(dòng)作發(fā)生。那么該設(shè)計(jì)方案將大大提高該系統(tǒng)對電子轉(zhuǎn)向鎖上鎖誤動(dòng)作的控制能力。

根據(jù)電子轉(zhuǎn)向鎖硬件框圖 （圖2）及 上鎖命令&供電有效 =1=鎖電機(jī)動(dòng)作 對圖2控制原理的描述，不難分析出可將電子轉(zhuǎn)向鎖的電機(jī)控制和電機(jī)供電分由2個(gè)模塊來控制，如圖3所示。

按照圖3控制原理的調(diào)整，電子轉(zhuǎn)向鎖的動(dòng)作控制已經(jīng)完全分由BCM、PEPS 2個(gè)模塊來控制。那么，控制器BCM或PEPS單一故障將不可能引起電子轉(zhuǎn)向鎖的誤動(dòng)作。因此根據(jù)表2可以得出，該事件的發(fā)生將很容易被控制住?？煽囟韧耆梢赃_(dá)到C1。那么，該功能的ASIL等級將會(huì)降為ASIL B。按照ASIL B進(jìn)行設(shè)計(jì)，將大大降低了對電子轉(zhuǎn)向鎖硬件和軟件的要求，進(jìn)而也達(dá)到了成本的控制要求。

2 總結(jié)

在該無鑰匙進(jìn)入及一鍵起動(dòng)系統(tǒng)中的電子轉(zhuǎn)向鎖上鎖誤動(dòng)作這一事件中，應(yīng)用了ISO 26262道路車輛功能安全標(biāo)準(zhǔn)的系統(tǒng)分析方法，對其控制原理進(jìn)行分析改進(jìn)，使得整個(gè)系統(tǒng)的設(shè)計(jì)不僅得到了優(yōu)化，大大提高了可靠性，同時(shí)也為電子轉(zhuǎn)向鎖這一部件的設(shè)計(jì)標(biāo)準(zhǔn)降低了級別，達(dá)到了滿足高可靠性、低成本的要求。

［1］ISO 26262， Road vehicles-Functional safety［S］.