摘要:本研究将ISO 26262行业标准的概念阶段(第3部分)应用于两种通用基础转向系统——电动助力转向(EPS)和线控转向(SbW)。通用EPS和SbW系统架构是基于对行业专家的访谈以及描述现有EPS和SbW系统设计的文献而开发的。本文概述了一种进行危害分析和风险
摘要:本研究将ISO 26262行业标准的概念阶段(第3部分)应用于两种通用基础转向系统——电动助力转向(EPS)和线控转向(SbW)。通用EPS和SbW系统架构是基于对行业专家的访谈以及描述现有EPS和SbW系统设计的文献而开发的。本文概述了一种进行危害分析和风险评估(HARA)并制定功能安全概念的方法。该方法结合了多种分析方法,包括危害与可运行性研究、功能失效模式与影响分析以及系统理论流程分析。然后将这种方法应用于EPS和SbW系统,以识别车辆层面的危害,并推导出安全目标和功能安全需求。
本文展示了通过分析得出的车辆层面的危害和安全目标,并讨论了“故障安全”和“故障运行”的需求,这些需求可为功能安全需求的推导提供参考。本研究结果可作为一个示例,展示如何应用不同的分析方法来制定功能安全概念。本研究主要是对这些方法的说明,并非旨在反映现有或未来基础转向系统的最低安全需求集。因此,本文未提供任何功能安全需求。
简介
美国国家公路交通安全管理局(NHTSA)的使命是拯救生命、预防伤害并降低道路交通事故造成的经济损失。NHTSA的监管权力主要围绕新车确立。鉴于当今机动车中电子设备的日益普及,NHTSA设立了电子可靠性研究领域,以研究用于确保安全关键汽车电子系统安全运行和弹性的方法、流程、最佳实践和行业标准。
汽车电子系统的两类——先进驾驶辅助系统(ADAS)和高度自动化车辆(HAVs),正在彻底改变汽车行业。随着这些基于电子技术的先进车辆技术被引入新型机动车,这些先进电子系统的整体安全性在一定程度上依赖于基础系统的安全性。虽然新兴技术可能是按照国际标准化组织(ISO)26262功能安全标准设计的。
本文介绍了沃尔普国家运输系统中心(Volpe)与NHTSA合作开展的研究,旨在为两种此类基础系统——电动助力转向(EPS)系统和线控转向(SbW)系统的通用模型开发一个功能安全概念示例。
电动助力转向系统
预计在未来十年内,EPS系统的市场份额将有所增加。到2021年,超过70%的北美车辆可能会安装EPS系统。
EPS系统是一种助力转向系统,它将驾驶员的转向输入与助力电机的扭矩结合起来。组合后的转向力通过机械方式传递到车轮。根据EPS系统架构的不同,助力电机可能位于转向柱或齿条齿轮处。EPS系统架构的一个关键要素是通过转向柱在驾驶员和车轮之间建立的永久性机械连接。
图1展示了一种通用的转向柱助力EPS系统架构布局。
除了为驾驶员的转向输入提供助力外,本研究分析的通用EPS系统还包括两项额外功能:主动转向和四轮转向(4WS)。虽然这些额外功能在EPS系统中并不普遍,但它们带来了独特的安全考量,并且体现了通过电子技术可能引入的先进功能。
主动转向功能使EPS能够根据车速调整转向比。例如,借助主动转向功能,EPS控制模块可以在车辆低速时降低转向比,使车辆对驾驶员的转向指令反应更加灵敏。为了在车辆高速时提供更高的稳定性,EPS控制模块可以通过与驾驶员转向指令相反的方向运行助力电机来增加转向比。主动转向功能还能实现独立于驾驶员输入的转向(例如,侧风补偿)。
4WS功能根据驾驶员的转向输入和车速控制后轮的转向角度 。在车辆高速行驶时,后轮可以“同相”转动,以提供更高的稳定性(例如,在变道运行时);在车辆低速行驶时,后轮可以“反相”转动,以提供更好的机动性。在一些4WS配置中,后轮可以“内八字”,即向内指向,以提供更大的方向稳定性(例如,在紧急制动时)。
线控转向系统
尽管有几家制造商和一级供应商对线控转向(SbW)系统进行了研究,但目前只有一款量产车将SbW作为一项功能。
SbW系统测量驾驶员转向输入的扭矩和角度,并通过电子方式将驾驶员的转向输入传输到转向执行器组件(例如,转向电机)。转向执行器组件负责提供调整车轮方向所需的所有转向力。在SbW系统正常运行期间,驾驶员的任何转向输入都不会通过机械方式传输到车轮。由于方向盘和车轮之间没有机械连接,SbW系统还通过一个单独的反馈电机模拟所有反馈给驾驶员的力。
图2描绘了一个通用的SbW系统及其关键组件。
本研究根据SbW系统是否保留方向盘和车轮之间的机械连接痕迹对其进行分类。全SbW系统不包括转向柱或其他用于将驾驶员转向输入机械传输到车轮的机构。特别是,全SbW系统不包括机械备用子系统。相比之下,中间型SbW系统保留转向柱作为机械备用子系统,以防SbW系统的电子部分发生失效。
本研究中考虑的通用 SbW 系统还包括前面描述的主动转向和4WS功能。
自动驾驶汽车背景下的转向
车辆的转向系统与推进系统和制动系统一起,构成了基础驱动系统,使某些先进驾驶辅助系统(ADAS)和高度自动化车辆(HAVs)技术得以实现。例如,自动车道居中(ALC)系统可能依赖基础转向系统作为主要执行器,使车辆沿着期望的轨迹行驶。
SAE国际(SAE)文件J3016描述了自动化的五个级别,以及在每个级别上驾驶员和车辆之间转向和加速/减速任务的分配。虽然其他因素进一步区分了这五个自动化级别,但本文相关的因素如下所述。
0级:无自动化——人类驾驶员负责所有转向和加速/减速任务。
1级:驾驶员辅助——根据激活的功能,转向或加速/减速任务由车辆执行,但不会同时执行两者。由于驾驶员保留对转向或加速/减速任务的控制权,可以预期驾驶员会完全专注于驾驶任务。
2级:部分自动化——转向和加速/减速任务由车辆执行,但人类驾驶员负责监控驾驶环境,并在车辆系统发出请求时立即恢复对车辆的控制。研究表明,人类很难在没有任何活动的被动监控任务中保持专注。对于处于2级自动化的车辆,驾驶员是否专注于驾驶任务这一问题对于正确的功能安全分析至关重要。本文区分了驾驶员完全专注于驾驶任务并能够立即恢复对车辆控制的场景(“2级(专注)”),以及驾驶员可能不完全专注于驾驶任务,因此无法立即安全地恢复对车辆控制的场景(“2级(不专注)”)。
3级:有条件自动化——车辆执行转向和加速/减速任务,并负责监控驾驶环境。人类驾驶员负责在适当的过渡时间后恢复对车辆的控制,在此期间车辆继续执行驾驶任务。
4级:高度自动化——车辆执行转向和加速/减速任务,并负责监控驾驶环境。如果驾驶员在被要求时未恢复对车辆的控制,车辆能够达到最低风险状态。4级自动化系统可能仅在某些驾驶模式(即使用场景)下运行。
5级:完全自动化——车辆执行转向和加速/减速任务,并负责监控驾驶环境。如果驾驶员在被要求时未恢复对车辆的控制,车辆能够达到最低风险状态。与定义4级的有限使用场景不同,5级自动化车辆可在所有驾驶模式下运行。
在本文中,术语HAV指的是自动化级别为3到5级的车辆。ADAS通常在较低的自动化级别(1级和2级)运行。
功能安全方法与途径
汽车行业制定了ISO 26262标准,以应对日益增加的复杂性、软件内容和机电一体化实施带来的安全挑战,以及与系统性和随机硬件失效相关的风险。具体而言,ISO 26262侧重于降低电气和电子系统故障带来的风险。本研究识别并分析了可能由影响车辆控制系统功能的电气或电子失效导致的潜在危害。该研究遵循ISO 26262第3部分,在概念层面确定这些功能的完整性需求,而不考虑实施差异。
本研究还考虑了可能导致此类功能失效的潜在原因,并记录了ISO 26262流程针对所考虑项目的汽车安全完整性等级(ASIL)提出的技术需求。虽然本研究未深入探讨实现这些ASIL的实施策略,但ISO 26262为制造商提供了一个灵活的框架和明确的指导,以便他们采用不同的方法和途径来实现。制造商采用各种技术,如ASIL分解、驾驶员警告、故障检测机制、合理性检查、冗余等,以达到有效降低潜在安全风险所需的ASIL。
图3展示了本研究中应用的危害分析和安全需求开发流程,该流程源自ISO 26262的概念阶段(第3部分)。
项目定义
图3所示的功能安全概念流程始于项目定义。本研究中应用的两种危害分析技术,即危害与可运行性研究(HAZOP)和系统理论过程分析(STPA),需要不同的系统表示形式。因此,EPS和SbW系统的项目定义包括列举每个系统的功能以支持HAZOP,并将每个系统建模为分层控制结构以支持STPA。
危害分析
本研究独立应用了两种危害分析方法来识别车辆层面的危害。HAZOP从系统功能列表开始,假设这些功能的偏差(即故障)可能如何导致一个或多个车辆层面的危害。STPA将系统建模为分层控制结构,其中系统中的适当控制和通信确保诸如安全性等涌现属性的期望结果 。在STPA框架中,除非控制器发出不安全控制动作(UCA)或未能发出维持安全所需的控制动作,否则系统不会进入危险状态。STPA的第一部分,即STPA步骤1,侧重于通过迭代过程识别这些UCA,以确定车辆层面的危害。
这两种危害分析方法通过不同的框架(功能和控制动作)来考虑系统运行。独立执行HAZOP和STPA步骤1并综合所得的危害,可能有助于产生更全面的分析——要么通过一种方法识别出额外的危害,要么通过两种方法独立确认同一组危害。
风险评估
本研究应用了ISO 26262中描述的ASIL风险评估流程。在这个风险评估流程中,分析人员通过评估一组运行场景的严重性、暴露度和可控性维度,为每个危害分配一个ASIL。ISO 26262为用于确定ASIL的三个维度中的每一个定义了离散值。例如,暴露值范围从运行场景频率最低的“E0”到最高的“E4”。ASIL本身的范围从最不关键的评级“A”到最关键的评级“D”。除了四个ASIL评级外,ISO 26262还为未达到最低ASIL A水平的危害事件指定了一个质量管理(QM)类别。
安全目标
根据ISO 26262,为每个已识别的危害分配一个安全目标。安全目标是系统的顶级安全需求。为系统确定的一组安全目标应解决所有已识别的车辆层面的危害。
安全分析
与危害分析步骤一样,本研究独立应用了两种安全分析方法来识别可能导致车辆层面危害的潜在失效和因果因素。
功能失效模式与影响分析(FMEA)改编自SAE标准J1739。功能FMEA侧重于根据系统的功能行为识别失效模式、潜在影响以及潜在失效原因或机制。由于本研究是在概念阶段实施的,并非基于特定设计,因此未对失效概率和失效检测进行估计。
STPA的第二部分,即STPA步骤 2,涉及分析系统控制结构表示中的每个组件和交互,以确定该组件或交互是否可能导致STPA步骤1中识别的UCA之一。这会生成一组因果因素或场景,可支持功能安全需求的制定。
功能安全概念和需求
本研究遵循ISO 26262第3部分的其余部分,开发了一个功能安全概念示例和功能安全需求示例。根据ISO 26262,作为功能安全概念一部分的要素包括:
• 故障检测和故障缓解;
• 转换到安全状态;
• 容错机制;
• 故障检测和驾驶员警告;
• 仲裁逻辑。
本研究中开发的功能安全概念和需求旨在说明ISO 26262流程,并非旨在反映现有或未来基础转向系统的最低安全需求集。因此,本文不包括任何功能安全需求。
结果
危害分析
表1和表2分别提供了HAZOP和STPA步骤1分析的示例。
HAZOP和STPA分析确定了四种可能适用于通用EPS系统的潜在车辆层面危害,以及六种可能适用于通用SbW系统的潜在车辆层面危害。其中三种潜在危害在EPS和SbW系统中都存在,而其余潜在危害仅适用于其中一个系统。表3列出了本研究中确定的潜在车辆层面危害以及适用的基础转向系统。本小节的其余部分将更详细地描述每个潜在危害。
由于本研究仅考虑EPS和SbW系统的通用模型,表3中列出的潜在危害可能与特定转向系统设计不同,或者可能不适用于特定转向系统设计。
车辆意外横向运动/意外偏航描述了车辆横向移动超过、快于或与驾驶员或其他车辆系统控制器命令的转向方向相反的情况。此危害还包括驾驶员的转向指令覆盖主动安全系统,导致转向过度,超出维持车辆安全所需的情况。
车辆横向运动不足/意外偏航描述了车辆横向移动,但移动距离小于或速度慢于驾驶员或其他车辆系统控制器命令的转向的情况。此危害还包括驾驶员的转向指令覆盖主动安全系统,导致转向不足,无法维持车辆安全的情况。
意外失去转向助力描述了EPS系统以不受控制的方式不可用的情况(例如,助力突然消失且驾驶员未收到通知)。不过,机械转向仍然可用。由于ISO 26262的范围仅限于电气和电子系统,本研究未考虑EPS系统中机械转向的丧失。
车辆横向运动控制失效是SbW系统特有的,在该系统中所有转向请求均通过电子方式传输。此危害描述了SbW系统未响应驾驶员或其他车辆系统的转向输入的情况。
由于后轮阻力增加导致对驾驶员指令的响应降低仅适用于配备4WS功能的车辆。此危害描述了后轮位置不正确导致阻力增加,使车辆减速,但减速程度不至于导致车辆明显减速的情况。这种阻力效应也可能影响车辆对驾驶员输入的响应,例如当驾驶员试图转向时。
由于SbW系统模拟所有反馈给驾驶员的信息,错误反馈导致驾驶员反应错误描述了方向盘提供的反馈不正确且具有足够误导性,从而导致驾驶员错误转向的情况。给驾驶员的错误反馈示例可能包括延迟、缺失或违反直觉的反馈。
对转向控制输入的间歇性响应描述了SbW系统对转向输入未提供平稳或一致响应的情况。此危害的示例可能包括对转向输入的急促响应或延迟转向响应。
安全目标和ASIL
ASIL分类练习和安全目标确立的详细信息将在单独的报告中发布。
容错架构示例
作为功能安全概念的一部分,本研究考虑了EPS和SbW系统的容错架构示例。这些容错架构是根据安全分析结果和设定的安全目标确定的,并为推导更详细的功能安全要求提供了框架。
对于SbW系统而言,考虑容错架构尤为重要,因为在正常运行期间,SbW系统的驾驶员与前轮之间不存在直接机械连接;功能安全概念的一个关键要素是确保在SbW系统发生电子故障后,驾驶员仍能保持最低限度的转向能力。本研究提供了两种能够满足这一需求的架构策略示例:“故障安全”和“故障运行”。
故障安全:如果一个电子系统在发生一次(或多次)失效后能转换到安全状态以确保系统安全,那么该系统就是“故障安全”的。中间型SbW系统就是故障安全架构的一个例子,在检测到SbW系统的电子故障后,该系统会转换到安全状态,例如启用机械备份。类似地,故障安全的EPS系统架构在检测到EPS系统的电子故障后,会转换到安全状态,比如恢复为纯机械转向。对于故障安全架构,重要的是要确保系统在转换到安全状态时不会违反任何安全目标。此外,在系统转换到安全状态时,驾驶员应收到适当的通知。
故障安全系统可能采用冗余设计,这样单一的电子故障就不会导致严重的危险。然而,故障安全架构可能不需要与故障运行架构相同程度的冗余,因为该系统被设计为在检测到故障后立即转换到安全状态。例如,故障安全架构可能只包含两个冗余控制器。如果任一控制器内部发生电子故障导致出现分歧,系统就会转换到安全状态。必须通过诸如共模分析(CMA)等方法来验证故障影响的独立性。
故障运行:如果一个电子系统在检测到任何首次电子故障时,不会导致对系统安全至关重要的任何主要电子系统功能丧失,那么该系统就是“故障运行”的。对于全SbW系统而言,这意味着要确保SbW系统在不违反任何系统安全目标的情况下,继续响应驾驶员的转向指令提供转向功能。故障运行的EPS系统在发生任何首次电子故障后,应能够为驾驶员提供完全的电子转向助力。
在发生任何首次电子故障后,如果降级后的系统在后续发生任何故障时不再具备故障运行能力,那么该系统可能就只能被视为故障安全系统。从本质上讲,该系统在主要系统功能丧失之前,能够安全承受至少两次完全独立的电子故障,此时系统需要转换到相关的安全状态。与故障安全架构一样,这些故障影响的独立性可以使用诸如CMA等技术来验证。
冗余通常用于确保实现故障运行架构。冗余可以是物理冗余,例如多个完全冗余的计算元件对其输出进行“投票”。这样,当一个元件的输出“票数”较低时,就可以假定发生了故障,并阻止故障元件对系统施加控制。或者,也可以使用“分析冗余”。通过使用独立的数据流、编码方法和评估算法,可以识别并减轻与数据损坏相关的故障影响。
常见的故障运行架构包括“三冗余”(triplex),它采用三路投票机制,以及“双故障安全”(dual fail-safe),它采用两个故障安全或故障静默元件。在双故障安全架构中,如果任一元件检测到故障,该元件就会被阻止对系统施加控制。故障运行架构还可以扩展,以提供更高水平的容错能力(例如,在失去主要系统功能之前能够承受三次独立故障)。
在图5所示的故障运行示意图中,主要转向功能没有机械备份。相反,控制器、传感器、电源和执行器的配置具有足够的冗余度,以在发生任何单个电子故障后仍能提供完整的转向能力。除了冗余之外,图5所示的故障运行示意图中每个子系统的电子故障检测和缓解是另一个关键要素。
切换到冗余系统(或从车辆的实际转向控制中去除有缺陷的控制路径)需要足够快,以避免引发驾驶员错误或违反任何安全目标。此外,驾驶员应收到错误的适当通知,并得知车辆需要维修,因为设计的冗余水平已不复存在。
安全状态示例
功能安全概念还包括对安全状态的考虑。ISO 26262将安全状态定义为物品的一种运行模式,不存在不合理的风险。安全状态可以是预期的运行模式、降级运行模式或关闭模式。功能安全概念的开发者在确保车辆运行安全的同时,会尽量提高物品的可用性。因此,在选择与潜在故障模式相关的安全状态时需要仔细考虑。
表4列出了本研究分析的通用EPS系统的安全状态示例。对于表4中列出的所有安全状态示例,系统还会向驾驶员提供适当的通知。
前两个安全状态描述了EPS系统功能降低的运行模式。具体来说,这些安全状态中的每一个都禁用了某些先进的转向功能,同时保留了核心EPS系统。在第三种安全状态下,EPS系统被完全禁用,基础转向系统恢复为纯机械转向。机械转向不提供动力转向助力,也不支持主动转向或4WS等先进功能。转换到机械备份系统通常会与向驾驶员发出适当通知相结合。
表5列出了通用SbW系统的安全状态示例。表5指出了哪些安全状态适用于全SbW系统,哪些适用于中间型SbW系统。对于表5中列出的所有安全状态示例,系统也会向驾驶员提供适当的通知。
对于第一种安全状态,如果系统架构在发生故障后能够安全地允许完全运行(即系统是故障运行的),则会通知驾驶员存在故障,但SbW系统可以继续以完全转向可用性运行。如果中间型SbW系统被设计为故障运行,则第一种安全状态可能适用。然而,如果中间型SbW系统仅设计为故障安全级别,那么SbW系统可能不支持这种安全状态。
在全SbW系统中,如果系统无法再确保安全运行,例如在多个冗余元件发生失效后,安全状态可能包括逐渐降低车速,如第二和第三种安全状态所述。
在中间型SbW系统中,系统可以启用机械备份系统,以最大限度地提高车辆系统的可用性,而不是采用降低车速等其他方法。机械备份转向子系统的功能可能会降低。例如,机械备份可能无法像正常运行的SbW系统那样,以相同的转向曲线响应驾驶员的转向输入(例如,没有动力转向)。此外,机械备份可能不支持主动转向或4WS等先进功能。转换到机械备份系统通常会与向驾驶员发出适当通知相结合。
第五和第六种安全状态描述了禁用SbW系统的某些功能,但这些安全状态保留了主要功能(即转向)。
讨论
先进驾驶辅助系统和高度自动化车辆背景下的基础转向系统
本研究中提出的功能安全概念示例基于通用的EPS和SbW系统,例如可能在0级、1级和2级(专注)自动化车辆中找到的系统。
然而,高度自动化车辆(HAVs)和2级(不专注)自动化车辆可能对基础转向系统提出额外需求,这些需求在初步分析中可能并不明显。当考虑先进驾驶辅助系统(ADAS)或高度自动化车辆(HAVs)系统与基础转向系统之间的接口时,就会产生这些额外需求。在ADAS或HAVs系统设计足够成熟之前,这些接口可能并不完全清晰。
特别是,通用EPS和中间型SbW系统的功能安全概念示例指定了故障安全架构。这些系统的安全状态包括立即恢复手动控制,在EPS系统中是通过禁用系统电子设备实现,在中间型SbW系统中则是通过启用单独的机械备份实现。然而,高度自动化车辆必须在恢复手动控制之前向驾驶员提供足够的通知。在故障安全的EPS或SbW系统发生故障的情况下,立即恢复手动控制无法满足高度自动化车辆在驾驶员恢复车辆控制之前继续运行的要求。虽然不属于高度自动化车辆,但处于2级(不专注)运行的先进驾驶辅助系统可能会遇到类似的挑战,因为驾驶员可能无法充分专注以立即恢复转向控制。
实现能够支持全系列先进驾驶辅助系统和高度自动化车辆的基础转向系统,有两种可能的方法:
• 单一的完全故障运行基础转向系统,如故障运行的SbW系统。
• 将故障安全基础转向系统与第二个基础系统配对,该系统为先进驾驶辅助系统和高度自动化车辆系统的命令提供冗余驱动。例如,在转向系统电子部分发生故障而无法工作的情况下,通过制动/稳定性控制系统进行的差动制动可能能够执行先进驾驶辅助系统或高度自动化车辆系统的命令。
随着先进驾驶辅助系统越来越普及,高度自动化车辆的引入,基础转向系统以及其他基础车辆系统可能需要重新评估,以确定先进驾驶辅助系统和高度自动化车辆的引入是否对这些系统提出了额外要求。随着这些技术的不断成熟,也可能会开发出其他解决方案,以确保基础转向系统能够满足先进驾驶辅助系统和高度自动化车辆提出的需求。
结论
本研究将ISO 26262功能安全标准的概念阶段应用于两种通用基础转向系统——EPS系统和SbW系统。图1中所示的功能安全过程结合了多种危害和安全分析方法,尤其说明了一种较新的危害分析方法——系统理论过程分析(STPA)如何被纳入功能安全流程。虽然ISO 26262没有要求,但应用多种危害分析流程可能有助于确保识别所有相关的车辆层面危害。
本研究为EPS和SbW系统开发了功能安全概念示例。作为功能安全概念的一部分,本研究提供了可能适用于基础转向系统的容错架构示例。然而,这些故障安全和故障运行架构对基础转向系统的适用性可能会受到更高级别的先进驾驶辅助系统或高度自动化车辆系统提出的需求的影响。
最后,本文强调了在2级自动化车辆中驾驶员始终能够立即恢复控制这一关键假设所面临的挑战。特别是对于那些无法确保驾驶员完全专注于驾驶任务的系统(2级(不专注)),驾驶员可能无法立即恢复对车辆的控制。在基础转向系统的容错架构方面,这种情况可能需要特别考虑。可能需要进一步研究,以确定2级车辆的这一假设不成立的条件,并确定能够确保驾驶员完全专注于驾驶任务的驾驶员监测策略。
来源:汽车阿凡提
