董自遠(yuǎn)，李捷輝

(江蘇大學(xué) 汽車與交通工程學(xué)院，江蘇 鎮(zhèn)江 212013)

0 引言

隨著汽車智能化、信息化技術(shù)快速發(fā)展，汽車電子/電氣(E/E)系統(tǒng)集成度和復(fù)雜性日益增加，軟硬件隨機(jī)失效的風(fēng)險(xiǎn)也在不斷提高。為提高汽車安全性，國際標(biāo)準(zhǔn)化組織在《Functional safety of electrical/electronic/programmable electronic safety-related systems》(IEC 61508)[1]基礎(chǔ)上，針對(duì)汽車E/E系統(tǒng)的特點(diǎn)，制定并頒布《Road vehicles-Function safety》(ISO 26262，本文簡(jiǎn)稱標(biāo)準(zhǔn))[2]。

化石能源短缺阻礙內(nèi)燃機(jī)的發(fā)展，甲醇是理想的替代燃料。在直列四缸高壓共軌柴油機(jī)進(jìn)氣道上加裝噴醇器[3]，在低速工況時(shí)，采用純柴油工作模式，在中高速工況時(shí)，采用雙燃料工作模式，采用進(jìn)氣道多點(diǎn)噴射方式，由柴油引燃甲醇燃燒。

功能安全概念開發(fā)是整車功能安全開發(fā)過程中重要環(huán)節(jié)，近年來，國內(nèi)外學(xué)者對(duì)此開展一系列研究。馬行等[4]開發(fā)車道偏離預(yù)警系統(tǒng)功能安全概念，搭建UML模型，進(jìn)行仿真測(cè)試；Huang等[5]開發(fā)線控轉(zhuǎn)向系統(tǒng)功能安全概念，提出多項(xiàng)功能安全要求，構(gòu)建反饋轉(zhuǎn)矩?fù)p失和轉(zhuǎn)向能力損失故障樹；Mauborgne等[6]提出操作危害性分析方法和系統(tǒng)安全需求相關(guān)模型，并應(yīng)用在車輛突然加速、剎車失靈危害事件上。

本文參照標(biāo)準(zhǔn)的要求，針對(duì)甲醇/柴油噴射控制系統(tǒng)，定義其相關(guān)項(xiàng)，進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，得到ASIL等級(jí)和安全目標(biāo)，開發(fā)功能安全概念，在Isograph軟件中搭建FTA故障樹模型，驗(yàn)證功能安全概念正確性。

1 概念階段開發(fā)流程

概念階段開發(fā)流程第1步為相關(guān)項(xiàng)定義，其中相關(guān)項(xiàng)為能夠?qū)崿F(xiàn)整車或部分整車功能的系統(tǒng)，相關(guān)項(xiàng)定義需要描述待開發(fā)系統(tǒng)結(jié)構(gòu)，明確系統(tǒng)內(nèi)要素功能交互作用和功能架構(gòu)，劃分邊界條件。

第2步為危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)，危害分析目標(biāo)是得到整車級(jí)危害，風(fēng)險(xiǎn)評(píng)估根據(jù)嚴(yán)重度(S)、暴露率(E)、可控度(C)對(duì)整車級(jí)危害進(jìn)行分類，并確定汽車安全完整性等級(jí) (ASIL)和功能全目標(biāo)(SG)。

第3步為功能安全概念，提出系統(tǒng)功能安全要求，并根據(jù)ASIL分解規(guī)則，將其分配到要素中去，更新系統(tǒng)功能架構(gòu)，樹立安全機(jī)制(SM)，確定安全狀態(tài)，從而提高系統(tǒng)容錯(cuò)能力，減輕故障影響，增強(qiáng)系統(tǒng)的穩(wěn)定性和可靠性。

2 相關(guān)項(xiàng)定義

本文需要定義的相關(guān)項(xiàng)為甲醇/柴油噴射控制系統(tǒng)，此系統(tǒng)根據(jù)發(fā)動(dòng)機(jī)所處工況控制甲醇/柴油噴射量、噴射時(shí)刻。

甲醇/柴油噴射控制功能架構(gòu)如圖1所示，甲醇供給裝置、高壓共軌裝置、電源、整車CAN總線為外部環(huán)境要素。甲醇供給裝置、高壓共軌裝置為甲醇/柴油提供噴射壓力，電源處理電路將24 V電壓轉(zhuǎn)換成5、12、48 V電壓，CAN通信模塊發(fā)送報(bào)文到整車CAN總線，傳遞發(fā)動(dòng)機(jī)工況信息。

圖1 甲醇/柴油噴射控制系統(tǒng)功能架構(gòu)Fig.1 Functional architecture of methanol/diesel injection control system

傳感器、MCU、相關(guān)電路、執(zhí)行器為系統(tǒng)內(nèi)部要素，系統(tǒng)接收曲軸位置傳感器信號(hào)、凸輪軸位置傳感器信號(hào)，計(jì)算發(fā)動(dòng)機(jī)轉(zhuǎn)速、確定噴醇和噴油時(shí)刻；接收進(jìn)氣壓力溫度、冷卻水溫度傳感器信號(hào)判斷發(fā)動(dòng)機(jī)工況；接收油門位置傳感器和制動(dòng)踏板開關(guān)傳感器信號(hào)，確定駕駛員加減速需求，增加或減少燃料噴射量；接收甲醇?jí)毫?、軌壓傳感器信?hào)，分別監(jiān)測(cè)甲醇軌內(nèi)壓力、調(diào)節(jié)軌壓。MCU輸出噴醇控制信號(hào)經(jīng)噴醇驅(qū)動(dòng)芯片驅(qū)動(dòng)噴醇器；輸出噴油控制信號(hào)經(jīng)噴油驅(qū)動(dòng)芯片驅(qū)動(dòng)噴油器，輸出軌壓控制信號(hào)經(jīng)噴油驅(qū)動(dòng)芯片驅(qū)動(dòng)燃油計(jì)量閥；系統(tǒng)根據(jù)發(fā)動(dòng)機(jī)轉(zhuǎn)速和工況調(diào)節(jié)燃料噴射量，計(jì)算輸出轉(zhuǎn)矩。

3 危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)

3.1 危害分析

標(biāo)準(zhǔn)中規(guī)定，可應(yīng)用FMEA或HAZOP方法分析相關(guān)項(xiàng)，得到整車級(jí)危害。甲醇/柴油噴射控制系統(tǒng)包含要素較多、工作狀況復(fù)雜，具有2種工作模式，任一要素功能失效在不同工況下，可能導(dǎo)致不同的整車級(jí)危害。本文參照FMEA方法的DFMEA方法[8]，結(jié)合系統(tǒng)結(jié)構(gòu)、系統(tǒng)功能、及其內(nèi)部要素之間聯(lián)系和相互作用，構(gòu)造出失效模型，如圖2所示。運(yùn)用此模型進(jìn)行分析，得到系統(tǒng)級(jí)危害和整車級(jí)危害，如表1所示。

圖2 系統(tǒng)失效模型Fig.2 Failure model of system

表1 甲醇/柴油噴射控制系統(tǒng)危害分析Table 1 Hazard analysisofmethanol/diesel injection control system

此模型從系統(tǒng)要素功能單點(diǎn)失效出發(fā)，任一失效都具備失效起因(FC)、失效模式(FM)、失效危害(FH)。失效起點(diǎn)通常為系統(tǒng)某個(gè)要素功能失效，通過失效鏈A傳遞至子系統(tǒng)、系統(tǒng)，導(dǎo)致系統(tǒng)級(jí)危害。整車失效起因?yàn)樽酉到y(tǒng)功能失效，通過失效鏈B傳遞至系統(tǒng)、整車，導(dǎo)致整車級(jí)危害。

失效起因有功能喪失、功能超范圍、非預(yù)期功能等形式。在失效鏈A中，功能喪失失效形式為信號(hào)處理電路不能接收和輸出信號(hào)、驅(qū)動(dòng)芯片及其高低邊驅(qū)動(dòng)電路不能接收和處理信號(hào)等，功能超范圍失效形式為傳感器電壓或電流信號(hào)偏高/偏低、噴油或噴醇控制信號(hào)脈寬過大/過小、電源過壓/欠壓等，非預(yù)期功能失效形式為噴醇控制信號(hào)異常輸出、制動(dòng)踏板開關(guān)信號(hào)異常輸出等，如在低速工況下輸出噴醇控制信號(hào)。在失效鏈B中，失效起因?yàn)樽酉到y(tǒng)功能失效，功能喪失形式為不噴醇/不噴油，功能超范圍失效形式為噴醇量或噴油量異常增減，非預(yù)期功能失效為異常不受控噴醇，如在低速工況下噴醇。

失效模式為子系統(tǒng)或系統(tǒng)不能實(shí)現(xiàn)預(yù)期功能的方式。在失效鏈A中，失效模式為甲醇噴射控制系統(tǒng)或柴油噴射控制系統(tǒng)異常工作模式，即單一噴射控制系統(tǒng)功能失效。在失效鏈B中，失效模式為甲醇/柴油噴射控制系統(tǒng)功能失效，即2種噴射功能同時(shí)失效。失效危害為不同失效模式下可能會(huì)造成的事故后果。在失效鏈A中，失效危害為要素失效、子系統(tǒng)失效造成的系統(tǒng)級(jí)危害。在失效鏈B中，失效危害為系統(tǒng)失效造成的整車級(jí)危害。

3.2 風(fēng)險(xiǎn)評(píng)估

根據(jù)危害分析結(jié)果得出整車級(jí)危害，對(duì)其進(jìn)行歸納，得出5個(gè)危害事件。在風(fēng)險(xiǎn)評(píng)估時(shí)，按照標(biāo)準(zhǔn)的要求，考慮其最壞潛在事故場(chǎng)景，本文完成5個(gè)危害事件的風(fēng)險(xiǎn)評(píng)估，如表2所示。以危害ID為Haza0005：車輛不能馬上減速事件為例，闡述風(fēng)險(xiǎn)評(píng)估過程。

表2 危害事件的風(fēng)險(xiǎn)評(píng)估Table 2 Risk assessment of hazard events

風(fēng)險(xiǎn)評(píng)估需要確定危害事件ASIL等級(jí)，ASIL等級(jí)越高，此危害事件失效對(duì)應(yīng)風(fēng)險(xiǎn)越大，對(duì)系統(tǒng)安全性要求和設(shè)計(jì)要求就越嚴(yán)格。風(fēng)險(xiǎn)評(píng)估過程需要參照ASIL矩陣，根據(jù)S、E、C等級(jí)，確定危害事件ASIL等級(jí)，其原理可表示為1個(gè)模型，其原理如式(1)所示：

f(R)={S,E,C}

(1)

式中：R為危害事件的風(fēng)險(xiǎn)；S表示危害事件嚴(yán)重度等級(jí)；E表示危害事件暴露率等級(jí)；C表示危害事件發(fā)生時(shí)所有相關(guān)人員對(duì)危害可控度等級(jí)。

車輛不能馬上減速最壞潛在事故場(chǎng)景為：裝有本系統(tǒng)的重卡在國道上行駛，車速為72 km/h[9],不能馬上響應(yīng)駕駛員減速需求，正面撞向行人。

嚴(yán)重度S代表危害事件對(duì)駕駛員、乘客、行人造成的傷害程度，用S0～S3 4個(gè)等級(jí)來表示，等級(jí)越高，造成傷害程度越高。國際自動(dòng)機(jī)工程師學(xué)會(huì)頒布的《Considerations for ISO 26262 ASIL Hazard Classification》(SAEJ 2980)[10]規(guī)定，當(dāng)碰撞時(shí)車輛速度大于40 km/h且碰撞類型為正面碰撞時(shí)，嚴(yán)重度S等級(jí)為S3。文獻(xiàn)[11]中規(guī)則集規(guī)定，當(dāng)車輛大于16 km/h且行人速度大于2 km/h時(shí)，嚴(yán)重度S等級(jí)為S3，此場(chǎng)景車速為72 km/h，碰撞時(shí)行人速度大于2 km/h的占比區(qū)間約為90%[12]，因此，嚴(yán)重度S等級(jí)為S3。文獻(xiàn)[13]中基于碰撞事故數(shù)據(jù)庫評(píng)估嚴(yán)重度S方法規(guī)定，車速為70～100 km/h的商用車與行人發(fā)生碰撞時(shí)，嚴(yán)重度S等級(jí)為S3。因此，Haza0005危害事件嚴(yán)重度S等級(jí)為S3。

暴露率E代表危害事件在特定環(huán)境場(chǎng)景發(fā)生可能性，用E0～E4 5個(gè)等級(jí)表示，等級(jí)越高，危害發(fā)生的概率越大。暴露率E需通過場(chǎng)景持續(xù)時(shí)間占比或發(fā)生頻率來確定。在危害事件Haza0005中，若系統(tǒng)內(nèi)要素故障，只有在急減速工況下才會(huì)導(dǎo)致危害事件發(fā)生，因此應(yīng)通過場(chǎng)景發(fā)生頻率來確定E等級(jí)，根據(jù)ISO 26262-3-2018附錄B.2中參考表格，此類場(chǎng)景1個(gè)月內(nèi)會(huì)發(fā)生多次，因此，本危害事件暴露E等級(jí)為E4。

可控性C代表故障發(fā)生后，駕駛員、乘客、行人等相關(guān)人員及時(shí)采取措施避免危害事件發(fā)生的可能性，用C0～C3 4個(gè)等級(jí)表示，等級(jí)越高，危害越難控制。在危害事件Haza0005中，要求駕駛員快速遠(yuǎn)離正常行駛路徑的物體，且安裝本系統(tǒng)車輛均為大型商用車，車輛質(zhì)量和體積較大，不到90%的駕駛員或事故參與人員能夠避免此類傷害，因此，本危害事件可控度C等級(jí)為C3。

4 功能安全概念與驗(yàn)證

4.1 功能安全概念

根據(jù)甲醇/柴油噴射控制系統(tǒng)HARA分析結(jié)果，得到4個(gè)安全目標(biāo)，本文以SG0004-立刻響應(yīng)減速需求為例，開發(fā)功能安全概念[14]。為滿足SG0004對(duì)于安全的要求，系統(tǒng)應(yīng)正確接收油門位置、制動(dòng)踏板開關(guān)傳感器信號(hào)，檢測(cè)輸入信號(hào)故障，正確判定減速需求，快速減少噴油量、噴醇量，并檢測(cè)輸出信號(hào)故障和執(zhí)行器故障，在故障條件下進(jìn)入對(duì)應(yīng)安全狀態(tài)，提示駕駛員車輛故障信息。

在圖1系統(tǒng)功能架構(gòu)基礎(chǔ)上，為與SG0004-安全目標(biāo)相關(guān)的要素分配功能安全要求，同時(shí)制定安全機(jī)制，更新系統(tǒng)功能架構(gòu)，如圖3所示。功能安全要求有其對(duì)應(yīng)ASIL等級(jí)，為降低系統(tǒng)性失效概率，當(dāng)2組要素間不存在共因失效和級(jí)聯(lián)失效，充分獨(dú)立和冗余時(shí)，可利用ASIL分解規(guī)則[15]將高安全等級(jí)分解為低安全等級(jí)，若要素之間不存在獨(dú)立性，需繼承安全目標(biāo)ASIL等級(jí)。

圖3 更新后的甲醇/柴油噴射控制系統(tǒng)功能架構(gòu)Fig.3 Updated functional architecture of methanol/diesel injection control system

安全狀態(tài)表示系統(tǒng)中不存在不可接受風(fēng)險(xiǎn)的工作狀態(tài)，在安全狀態(tài)下，系統(tǒng)的功能有預(yù)期運(yùn)行、降級(jí)運(yùn)行、關(guān)閉3種模式。當(dāng)安全機(jī)制探測(cè)到系統(tǒng)存在故障后，應(yīng)在故障處理時(shí)間間隔(FTTI)內(nèi)進(jìn)入安全狀態(tài)，SG0004對(duì)應(yīng)系統(tǒng)安全狀態(tài)如表3所示。

表3 系統(tǒng)安全狀態(tài)Table 3 Safety status of system

系統(tǒng)功能安全要求如表4所示，此系統(tǒng)架構(gòu)輸入量為油門位置開度和制動(dòng)踏板開關(guān)，在功能上互相獨(dú)立、冗余，反映駕駛員減速需求，“正確輸入有關(guān)減速需求信號(hào)”功能安全要求為ASILD等級(jí)，分解為ASILB(D)等級(jí)“正確輸入油門位置開度”和ASILB(D)等級(jí)“正確輸入制動(dòng)踏板開關(guān)”，確立ASILD等級(jí)檢測(cè)油門位置、制動(dòng)踏板開關(guān)邏輯一致的安全機(jī)制，若邏輯不一致，轉(zhuǎn)入安全狀態(tài)Sast0003。

表4 SG0004的功能安全要求Table 4 Functional safety requirements of SG0004

表4(續(xù))

ASILB(D)等級(jí)的“正確輸入油門位置開度”可分解為同為ASILA(D)等級(jí)的“正確輸入油門位置1開度”和正確輸入油門位置2開度，確立ASILD等級(jí)的“驗(yàn)證2路油門位置開度電壓一致性”安全機(jī)制，若2路油門位置開度不一致，轉(zhuǎn)入安全狀態(tài)Sast0002。實(shí)現(xiàn)油門位置開度電壓輸入功能硬件要素為2路油門位置傳感器和模擬量信號(hào)處理電路，經(jīng)過ASIL分解后，能夠降低硬件要素對(duì)于單點(diǎn)故障度量和潛在故障度量的要求，減小硬件要素開發(fā)難度的同時(shí)提高系統(tǒng)可靠性。輸入制動(dòng)踏板開關(guān)功能安全要求和油門位置開度要求類似，不再贅述。

噴醇驅(qū)動(dòng)芯片接收減少噴醇量要求，經(jīng)高/低邊驅(qū)動(dòng)電路控制噴醇，電源為高/低驅(qū)動(dòng)電路供電，實(shí)現(xiàn)噴醇功能的所有要素均按照ASILD等級(jí)開發(fā)。信號(hào)回采模塊檢測(cè)驅(qū)動(dòng)芯片輸出PWM脈寬和驅(qū)動(dòng)電流變化，若檢測(cè)到噴醇驅(qū)動(dòng)芯片或驅(qū)動(dòng)電路產(chǎn)生故障，關(guān)閉噴醇功能，進(jìn)入安全狀態(tài)Sast0001。

噴油驅(qū)動(dòng)芯片接收減少噴油量要求，經(jīng)高/低邊驅(qū)動(dòng)電路控制噴油，調(diào)節(jié)共軌管壓力。系統(tǒng)設(shè)計(jì)2個(gè)獨(dú)立、冗余的噴油驅(qū)動(dòng)芯片，任意1個(gè)驅(qū)動(dòng)芯片均可獨(dú)立控制2個(gè)噴油器和燃油計(jì)量閥，“噴油驅(qū)動(dòng)芯片正確接收減少噴油量要求，驅(qū)動(dòng)噴油器和燃油計(jì)量閥”功能要求為ASILD等級(jí)，可分解為2個(gè)同為ASILB(D)等級(jí)的“正確接收減少噴油量要求，通過噴油驅(qū)動(dòng)芯片1或2驅(qū)動(dòng)對(duì)應(yīng)噴油器和燃油計(jì)量閥”和“噴油驅(qū)動(dòng)芯片2正確接收減少噴油量要求，驅(qū)動(dòng)噴油器和燃油計(jì)量閥”，通過ASIL分解，可降低噴油驅(qū)動(dòng)芯片1和2和高低邊驅(qū)動(dòng)電路對(duì)于單點(diǎn)故障度量和潛在故障度量目標(biāo)值的要求。系統(tǒng)通過信號(hào)回采模塊監(jiān)控驅(qū)動(dòng)芯片輸出PWM脈寬和驅(qū)動(dòng)電流變化，若檢測(cè)到噴油芯片或驅(qū)動(dòng)電路故障，通過SPI通信關(guān)閉故障驅(qū)動(dòng)芯片，使用另1路噴油驅(qū)動(dòng)芯片，進(jìn)入安全狀態(tài)Sast0001，若2個(gè)噴油驅(qū)動(dòng)芯片均故障，進(jìn)入安全狀態(tài)Sast0004。

電源管理模塊將電源電壓分別轉(zhuǎn)換為5 V為MCU供電，轉(zhuǎn)換48V為噴油高邊電路供電，轉(zhuǎn)換成12 V為噴醇高低邊驅(qū)動(dòng)電路供電，同時(shí)檢測(cè)供電欠壓、過壓故障，通過SPI通信傳輸故障信息至MCU。當(dāng)系統(tǒng)檢測(cè)到要素故障，進(jìn)入安全狀態(tài)前，由于系統(tǒng)內(nèi)此時(shí)存在故障，可認(rèn)為CAN報(bào)文信息不可靠，選擇通過點(diǎn)亮故障燈提示駕駛員故障信息。

4.2 驗(yàn)證

根據(jù)標(biāo)準(zhǔn)中要求，需采用安全分析方法，評(píng)估系統(tǒng)架構(gòu)隨機(jī)硬件失效指標(biāo)(PMHF)與安全目標(biāo)一致性，驗(yàn)證功能安全概念。

在Isograph軟件可靠性工作平臺(tái)中，對(duì)系統(tǒng)進(jìn)行可靠性建模，搭建FTA故障樹[16]模型，評(píng)估系統(tǒng)中要素故障率，計(jì)算PMHF是否滿足ASILD等級(jí)目標(biāo)值。

FTA故障樹模型如圖4所示，頂事件為安全目標(biāo)SG0004被違反：車輛不能馬上響應(yīng)減速需求，中間事件為信號(hào)輸入故障、噴醇故障、噴油故障、供電故障。由于篇幅限制，對(duì)輸入故障和噴油故障、供電故障分頁顯示，但不影響計(jì)算結(jié)果。

以噴醇故障分支為例，說明故障樹搭建過程。根據(jù)系統(tǒng)架構(gòu)和與噴醇功能相關(guān)要素功能安全要求，規(guī)定存在ASILD等級(jí)安全機(jī)制，其診斷覆蓋率(DC)為99%，檢測(cè)噴醇器、噴醇驅(qū)動(dòng)芯片、高低邊驅(qū)動(dòng)電路故障，若確認(rèn)故障，關(guān)閉噴醇功能。若系統(tǒng)故障且違反安全目標(biāo)，一類事件為被安全機(jī)制覆蓋的故障發(fā)生時(shí)，安全機(jī)制的自身失效，即噴醇器、噴醇驅(qū)動(dòng)芯片、高低邊驅(qū)動(dòng)電路任一要素故障，且安全機(jī)制在此時(shí)失效；另一類事件為沒有被安全機(jī)制覆蓋的殘余故障發(fā)生，即噴醇器、噴醇驅(qū)動(dòng)芯片、高低邊驅(qū)動(dòng)任一要素故障且此種故障沒有被安全機(jī)制覆蓋。

對(duì)于ASILD等級(jí)安全目標(biāo)，系統(tǒng)PMHF值應(yīng)小于1E-08/h。在SG0004中，檢測(cè)噴醇故障安全機(jī)制的失效率(FR)為5E-09，故障檢測(cè)時(shí)間間隔為0.5 ms，要素的失效率根據(jù)SN 29500標(biāo)準(zhǔn)進(jìn)行計(jì)算，在分配時(shí)，考慮到實(shí)際因素，分配給傳感器和執(zhí)行器的失效率相對(duì)較高。在軟件中設(shè)置以上對(duì)應(yīng)參數(shù)，系統(tǒng)最終PMHF值為9.405E-09/h,符合ASILD等級(jí)安全要求。

5 結(jié)論

1)基于汽車功能安全標(biāo)準(zhǔn)，完成甲醇/柴油噴射控制系統(tǒng)的相關(guān)項(xiàng)的定義，分析系統(tǒng)結(jié)構(gòu)和功能。

2)運(yùn)用DFMEA方法，構(gòu)造出失效模型，并對(duì)相關(guān)項(xiàng)進(jìn)行危害分析，結(jié)合S、E、C3個(gè)指標(biāo)進(jìn)行風(fēng)險(xiǎn)評(píng)估，得到5個(gè)安全目標(biāo)及其對(duì)應(yīng)的ASIL等級(jí)。

3)針對(duì)SG0004-立刻響應(yīng)減速要求,等級(jí)為ASILD等級(jí)的安全目標(biāo)，開發(fā)其功能安全概念，并利用Isograph軟件進(jìn)行驗(yàn)證，結(jié)果表明：開發(fā)的系統(tǒng)符合ASILD等級(jí)安全要求。