李 海，付 旺，張志波，叢 林

(1. 北京福田戴姆勒汽車有限公司，北京 101400；2. 中汽研汽車檢驗(yàn)中心(天津)有限公司，天津 300300)

0 引言

汽車技術(shù)朝著“新四化”(智能化、網(wǎng)聯(lián)化、電動(dòng)化、共享化)快速發(fā)展，無(wú)論是傳統(tǒng)汽車還是新能源汽車，都裝備了高度集成化、智能化的控制系統(tǒng)，汽車功能安全問(wèn)題變得越來(lái)越復(fù)雜，同時(shí)伴隨著人們對(duì)汽車安全的重視程度越來(lái)越高，汽車功能安全成為目前汽車安全的關(guān)鍵因素，汽車關(guān)鍵部件系統(tǒng)的危險(xiǎn)事件識(shí)別作為汽車功能安全的基礎(chǔ)成為了保證汽車功能安全的重要環(huán)節(jié)之一[1-2]。

汽車功能安全能夠從研發(fā)設(shè)計(jì)源頭解決因電子控制系統(tǒng)故障導(dǎo)致的汽車危害行為，進(jìn)而避免道路交通事故的發(fā)生，因此功能安全技術(shù)已成為汽車行業(yè)進(jìn)行汽車功能風(fēng)險(xiǎn)評(píng)估和危害分析，保障汽車安全的關(guān)鍵技術(shù)之一。全面準(zhǔn)確的汽車危險(xiǎn)事件識(shí)別、嚴(yán)格技術(shù)規(guī)范和嚴(yán)謹(jǐn)?shù)墓δ馨踩_(kāi)發(fā)流程能夠降低和避免來(lái)自系統(tǒng)失效和硬件隨機(jī)失效造成的風(fēng)險(xiǎn)，大大提高汽車電子系統(tǒng)的安全性和可靠性[3]。

1 汽車功能安全分析方法

1.1 失效模式影響與診斷分析FMEDA (Failure mode effect and diagnostic analysis)

FMEDA是在汽車產(chǎn)品設(shè)計(jì)階段和過(guò)程設(shè)計(jì)階段，對(duì)構(gòu)成汽車產(chǎn)品的子系統(tǒng)、零件，對(duì)生產(chǎn)過(guò)程的各個(gè)工序逐一進(jìn)行逐級(jí)詳細(xì)的分析，羅列出所有潛在的失效模式并分析其可能導(dǎo)致的后果，從而在產(chǎn)品設(shè)計(jì)開(kāi)發(fā)階段設(shè)計(jì)預(yù)先采取必要的措施，以提高產(chǎn)品的質(zhì)量和可靠性。FMEDA是產(chǎn)品設(shè)計(jì)定量分析的基礎(chǔ)，可以用來(lái)分析整個(gè)系統(tǒng)或者某個(gè)安全獨(dú)立單元[4]。

1.2 故障樹(shù)分析(Fault Tree Analysis, FTA)

FTA是一種自上向下的可靠性分析方法，從需要分析的頂層事件開(kāi)始，將一切可能出現(xiàn)的故障按照既定的標(biāo)準(zhǔn)分門(mén)別類，用故障樹(shù)形狀的圖形表示出來(lái)，用邏輯推導(dǎo)逐步推導(dǎo)出導(dǎo)致故障發(fā)生的基本事件[5]。FTA分析方法在系統(tǒng)可靠性分析、安全性分析和風(fēng)險(xiǎn)評(píng)價(jià)中具有重要作用和地位，此分析方法既可用于定性分析又可定量分析，是復(fù)雜系統(tǒng)安全性、可靠性分析與預(yù)測(cè)的最重要和最有效的方法之一。

1.3 潛在失效模式與后果分析(Failure Modes and Effects Analysis，F(xiàn)MEA)

FMEA是用來(lái)預(yù)測(cè)潛在失效模式的發(fā)生和失效所帶來(lái)的影響，從而管理過(guò)程的風(fēng)險(xiǎn)，是一種可靠性分析方法，也是風(fēng)險(xiǎn)分析的方法之一。它可對(duì)各種可能的風(fēng)險(xiǎn)進(jìn)行評(píng)估分析，揭示可能出現(xiàn)的故障，并預(yù)測(cè)該故障對(duì)于整體系統(tǒng)的影響，以便在現(xiàn)有技術(shù)的基礎(chǔ)上消除這些風(fēng)險(xiǎn)或者將風(fēng)險(xiǎn)減小到可接受的水平。FMEA的優(yōu)勢(shì)在于它給出了系統(tǒng)中重要失效模式在系統(tǒng)中的概括描述，同時(shí)它迫使設(shè)計(jì)者評(píng)估他所設(shè)計(jì)的系統(tǒng)的可靠性。

1.4 相關(guān)的失效分析DFA(dependent failure analysis)

DFA的目標(biāo)是通過(guò)分析識(shí)別出相關(guān)項(xiàng)的共因失效和級(jí)聯(lián)失效，識(shí)別可能會(huì)導(dǎo)致違反安全要求或安全目標(biāo)的故障，在必要時(shí)對(duì)兩類失效進(jìn)行限制或者消除，從而保證相關(guān)項(xiàng)的獨(dú)立性和免于干擾的能力。DFA的目的是找出安全的弱點(diǎn)，為ASIL分解和共存提供依據(jù)。

1.5 危險(xiǎn)與可操作性分析(HAZOP，Hazard and Operability Analysis)

HAZOP主要用于查找生產(chǎn)過(guò)程中可能發(fā)生的風(fēng)險(xiǎn)危險(xiǎn)和它出現(xiàn)的原因，并制定可靠的預(yù)防措施，是一種可以應(yīng)用到汽車功能安全領(lǐng)域的分析方法[6]?？赏ㄟ^(guò)對(duì)相關(guān)項(xiàng)的結(jié)構(gòu)化分析辨別出與預(yù)期功能的偏差，并對(duì)產(chǎn)生偏差的原因進(jìn)行深入分析，判斷偏差造成的危害風(fēng)險(xiǎn)。通過(guò)選用不同的引導(dǎo)詞，HAZOP有助于結(jié)構(gòu)化和系統(tǒng)地檢查相關(guān)項(xiàng)在整車層面的運(yùn)行情況。

HAZOP分析在系統(tǒng)安全評(píng)價(jià)領(lǐng)域是應(yīng)用廣、專業(yè)程度高的定性分析評(píng)價(jià)技術(shù)，經(jīng)過(guò)不斷改進(jìn)與完善，現(xiàn)已廣泛應(yīng)用于各類工藝過(guò)程和項(xiàng)目的風(fēng)險(xiǎn)評(píng)估工作中，尤其在汽車產(chǎn)品的設(shè)計(jì)和開(kāi)發(fā)過(guò)程中，通過(guò)建立適當(dāng)?shù)囊龑?dǎo)詞，能夠完整全面的得到可能發(fā)生的危險(xiǎn)事件[7]。

2 制動(dòng)系統(tǒng)危險(xiǎn)事件識(shí)別方法

2.1 相關(guān)項(xiàng)定義

電子液壓制動(dòng)(EHB)系統(tǒng)是目前國(guó)內(nèi)外各大汽車制造廠的主要研究領(lǐng)域之一，并且隨著汽車電動(dòng)化、網(wǎng)絡(luò)化新四化的興起，EHB系統(tǒng)開(kāi)始逐漸普及。

EHB系統(tǒng)是在傳統(tǒng)液壓制動(dòng)系統(tǒng)的基礎(chǔ)上發(fā)展而來(lái)的，用一個(gè)集成的制動(dòng)系統(tǒng)模塊來(lái)替代傳統(tǒng)制動(dòng)系統(tǒng)中的制動(dòng)液壓管路壓力調(diào)節(jié)系統(tǒng)和汽車防抱制動(dòng)系統(tǒng)模塊等，產(chǎn)生并儲(chǔ)存制動(dòng)壓力，并可分別對(duì)四個(gè)輪胎的制動(dòng)力矩進(jìn)行單獨(dú)調(diào)節(jié)，與傳統(tǒng)的液壓制動(dòng)系統(tǒng)相比，EHB系統(tǒng)有了顯著進(jìn)步，其結(jié)構(gòu)簡(jiǎn)單緊湊、制動(dòng)噪聲減小、提供更好的踏板感、可分析駕駛員意圖判斷不同的制動(dòng)行為等。EHB系統(tǒng)的控制邏輯原理示意圖如圖1所示，駕駛員踩下制動(dòng)踏板，踏板行程傳感器、踏板力傳感器將制動(dòng)需求數(shù)據(jù)信息發(fā)送到控制器，綜合采集到的車輛運(yùn)動(dòng)狀態(tài)(包括車速、輪速、方向盤(pán)轉(zhuǎn)角、橫擺角速度等)信息，控制器進(jìn)行數(shù)據(jù)處理計(jì)算和分析，當(dāng)控制器判斷制動(dòng)系統(tǒng)壓力不足時(shí)，控制器輸出控制信號(hào)，對(duì)電磁閥進(jìn)行控制，使制動(dòng)管路的進(jìn)液閥輸入流量增大，輸出液閥輸出流量減小，以達(dá)到駕駛員所需的制動(dòng)壓力；當(dāng)控制器判斷制動(dòng)系統(tǒng)需要保壓時(shí)，控制器控制進(jìn)液閥和出液閥的開(kāi)度保持不變；當(dāng)控制器判斷制動(dòng)系統(tǒng)需要減壓時(shí)，控制器使進(jìn)液閥輸入流量減小，出液閥輸出流量增大，以達(dá)到駕駛員所需的制動(dòng)壓力；當(dāng)某幾個(gè)高速開(kāi)關(guān)閥控制回路失效時(shí)，控制器將切換成應(yīng)急控制模式， 制動(dòng)踏板力的液壓管路與應(yīng)急制動(dòng)管路連通，踏板力直接通過(guò)液壓加載在制動(dòng)器上，實(shí)現(xiàn)車輛的應(yīng)急制動(dòng)。

從系統(tǒng)控制框圖中提取出工作過(guò)程中重要的系統(tǒng)功能，如表1所示。

表1 EHB系統(tǒng)功能列表

2.2 危害分析

HAZOP分析是以系統(tǒng)工程為基礎(chǔ)的一種對(duì)目標(biāo)系統(tǒng)進(jìn)行定性風(fēng)險(xiǎn)識(shí)別的方法[8]。它的基本過(guò)程是以關(guān)鍵詞為引導(dǎo)，分析出設(shè)計(jì)方案或生產(chǎn)過(guò)程中系統(tǒng)運(yùn)行狀態(tài)的缺陷或不足，找出可能發(fā)生風(fēng)險(xiǎn)的部分。對(duì)于EHB系統(tǒng)，HAZOP導(dǎo)則中的基本引導(dǎo)詞不能完全適用，因此結(jié)合EHB系統(tǒng)的功能應(yīng)用需建立適用于EHB系統(tǒng)的引導(dǎo)詞，利用引導(dǎo)詞從EHB系統(tǒng)的功能中推導(dǎo)出可能發(fā)生的失效故障，并列出潛在的危害事件。本文選取“丟失、卡滯、偏大、偏小、錯(cuò)亂、未反應(yīng)”6種引導(dǎo)詞，針對(duì)F1、F2、F5三種功能應(yīng)用進(jìn)行HAZOP分析示例，如表2所示。

表2 EHB系統(tǒng)HAZOP分析過(guò)程

3 風(fēng)險(xiǎn)評(píng)估

3.1 功能失效

根據(jù)ISO 26262-3和GB/T 34590.3-2017《道路車輛 功能安全 第3部分》的要求，采用ASIL評(píng)級(jí)的方法從嚴(yán)重程度(S)、暴露率(E)和可控性(C)三個(gè)維度對(duì)分析得到的危害事件進(jìn)行風(fēng)險(xiǎn)評(píng)估。嚴(yán)重度(S)是指在某種功能失效的情況下車內(nèi)人員與車外人員的受傷害程度，S0-S3為嚴(yán)重程度等級(jí)，其中S3為最嚴(yán)重的程度等級(jí)；暴露率(E)是指某個(gè)危險(xiǎn)事故發(fā)生的概率，E0-S4為暴露率等級(jí)，其中E4為最高的暴露率等級(jí)；可控性(C)是指危害事件即將發(fā)生時(shí)能夠被避免的概率，C0-C3為可控性等級(jí)，其中C0為最可控的等級(jí)[9]。ASIL等級(jí)如表3所示，A為最低的功能安全需求等級(jí)，D為最高的功能安全需求等級(jí)，QM等級(jí)表示不需做功能安全要求。

表3 ASIL等級(jí)評(píng)價(jià)表

利用表3的ASIL等級(jí)評(píng)價(jià)表對(duì)F5功能應(yīng)用可能產(chǎn)生的危害事件進(jìn)行風(fēng)險(xiǎn)評(píng)估示例，其余功能應(yīng)用可能產(chǎn)生的危害事件的風(fēng)險(xiǎn)評(píng)估過(guò)程類似本文不再贅述。對(duì)于車輛的制動(dòng)系統(tǒng)，無(wú)論車輛是處于高速還是低速狀態(tài)，在何種行駛環(huán)境中，制動(dòng)系統(tǒng)失效或者產(chǎn)生與駕駛員意圖不符的制動(dòng)效果，都可能與交通參與者或與行駛環(huán)境中物體發(fā)生碰撞或造成駕駛員傷亡，并且此危害出現(xiàn)嚴(yán)重傷害概率大于10%，因此嚴(yán)重程度均為S3級(jí)，暴露率(E)和可控性(C)按照ISO 26262-3和GB/T 34590.3-2017的分級(jí)標(biāo)準(zhǔn)[10-11]進(jìn)行風(fēng)險(xiǎn)評(píng)估，結(jié)果如表4所示。

表4 風(fēng)險(xiǎn)評(píng)估結(jié)果

4 總結(jié)與展望

本文簡(jiǎn)要介紹了常用的幾種汽車功能安全分析方法，針對(duì)電子液壓制動(dòng)系統(tǒng)(EHB)基于HAZOP分析方法進(jìn)行了危險(xiǎn)事件的識(shí)別，通過(guò)繪制EHB制動(dòng)系統(tǒng)的功能列表，建立適用于EHB系統(tǒng)的引導(dǎo)詞，結(jié)合不同的行駛工況推導(dǎo)出可能存在的系統(tǒng)故障和可能造成的危害，利用ASIL評(píng)級(jí)方法對(duì)危害事件進(jìn)行風(fēng)險(xiǎn)評(píng)估。本文對(duì)EHB制動(dòng)系統(tǒng)的危險(xiǎn)事件識(shí)別提供了方法，對(duì)于制動(dòng)系統(tǒng)的功能安全分析具有重要意義。本文所采用的分析方法方便快捷，但所得結(jié)果受人員主觀性的影響，缺乏準(zhǔn)確的量化分析，需繼續(xù)深入研究新的方法提高準(zhǔn)確度，為汽車功能安全領(lǐng)域做出更多的貢獻(xiàn)。