点击图片查看原图
随着汽车电子/电气系统复杂度的增加,出现硬件随机失效和系统失效的风险也在攀升。如何将系统的风险降低到可接受的范围内,实现功能安全,成为各大主机厂和供应商关注的问题。2011年11月发布的《ISO 26262:道路车辆-功能安全》标准为开发安全相关系统提供了指导,从管理、流程、技术等方面提出了要求以确保系统的安全。
功能安全开发的概念阶段是相比于传统电控系统开发新提出的阶段,通过该阶段的开发能够获得电控系统开发对应的ASIL等级、安全目标和安全状态等指标,是指导系统设计、硬件选型、软件算法策略制定的重要输入。
危害分析和风险评估(HARA)是概念阶段开发的核心,HARA通过评估危害度S、暴露率E和可控度C三个参数定义ASIL等级。本文将对功能安全概念阶段HARA开发中评估可控度的方法进行详细介绍。
图1 功能安全概念与HARA
1.背景介绍
可控度(Controllability),指通过交通参与者的及时反应,或者在可能的外部措施支持下,避免伤害的能力。交通参与者的反应可以是驾驶员的及时操作,也可以是行人的自我躲避;外部措施如EPS的机械管柱、路边的防撞护栏等。按照交通参与者能够避免危害的概率,ISO26262将可控度分为4个等级,如表1所示:
表1 可控度等级定义与举例
评估可控度的方法一般有三种:
• 参考标准和已有数据,如ISO26262-3附录B(如表1例子部分)。
• 开展头脑风暴或组织专家讨论,亦可通过调查问卷等形式进行调研,将调研结果作为头脑风暴和专家讨论的依据与输入;
• 开展仿真或试验。
前两种方法都具有一定的主观性,而仿真和试验的方法依靠真实的数据,其获得的结论就更加客观。但是,如何开展可控度试验?开展可控度试验时需要注意什么?这些问题往往困惑着开发者们,并使试验难以有效地进行。
下面将以EPS助力丢失可控度试验作为案例,介绍评估可控度的试验方法与试验要求。
2.EPS可控度试验
一.试验方法
• 试验目的:在弯道行驶过程中,EPS突然丢失助力,方向盘转向过程中转向力会突然变重,评估驾驶员在此种情形下对车辆的控制能力。
• 试验步骤:根据功能失效的形式,首先设定连续S弯道行驶为试验场景;随后,让试验人员驾驶车辆在弯道内行驶,在没有任何提示的情况下激活故障程序使EPS助力丢失;最后,记录测试驾驶员中能够控制车辆在车道内正常行驶或者能够控制车辆不冲出弯道的人数。
二.试验环境
• 试验人员:为减少试验人员个体差异性对测试结果的影响,要求测试驾驶员年龄在21-60岁,有驾照,基本每天开车,身体健康,精神状态良好,男女比例均布。
• 试验道路:S弯道的设计要遵从国家标准,按照国家标准对弯道半径、宽度等参数进行设置,使试验结果更具普遍性和说服力,EPS可控度试验的道路设计图见图2。
▼ 车道宽度:设置测试车道宽度为3.5m(来源于国家道路四级划分标准);
▼ 弯道半径:设置3个连续S弯道路,道路内侧半径为30m(来源于GB5768.3-2009、CJJ37-2012);
▼ 车道线:车道两侧应有白色点划线,车道中心有黄色标志线。
图2 试验道路设计图
• 驾驶行为:功能安全在实施HARA评估SEC指标时,均以驾驶员正常行驶为前提,不考虑驾驶员的违章操作或误操作。EPS可控度试验要求驾驶员正常驾驶车辆,并且确保在任何情况下,车辆都不能超出两边的车道线。
图3 车辆转弯过程示意图
• 故障注入:在测试驾驶员毫无准备的情况下注入故障,以保证测得驾驶员对助力丢失的真实控制能力。
三.试验结果
根据试验记录,发现所有的测试驾驶员均能安全通过弯道,没有发生失控行为。因此,判定EPS助力丢失功能失效的可控度为C0级别。
表2 EPS助力丢失功能失效HARA结果(部分)
3.总结
由EPS的案例可见,开展可控度试验是评估HARA可控度指标的有效方法。在试验过程中,合理的选择试验人员、依靠标准设计试验道路,以及确保在测试驾驶员非预期的状态下注入故障,都是影响试验结果可信度的关键因素。
另外,开展可控度试验不仅能够为评估可控度提供理论依据和数据支持,同时也能帮助预估故障容错时间(FTTI)等。当然,评估可控度的试验方法也有着自身的缺点与局限性:比如在预计可控度差的情况下,盲目开展试验有可能危及试验人员安全。此时,我们需要利用仿真、头脑风暴或专家讨论等方法进行可控度的评估。
总之,选择何种可控度评估方法要具体情况具体分析,可控度评估的试验方法也会因失效的不同而有所变化。寻求高效、可靠、低成本的可控度评估方法还需要长久的努力。
- 北京经纬恒润科技股份有限公司 [加为商友]
- 联系人许女士(女士)
- 地区北京
- 地址北京市海淀区知春路7号致真大厦6层
