摘要:现代汽车电子智能化系统的大量应用在给广大用户带来极大便捷舒适操作的同时,也带来了很多功能安全方面的顾虑。本文结合ISO 26262道路车辆功能安全标准在电子系统和软硬件开发方面的设计要求,进行无钥匙进入及一键起动系统中电子转向锁产品的开发设计。详细讨论功能安全ASIL等级的评估,并完成高安全等级的降级设计。按照从功能安全角度去考虑产品的开发理念完成产品的开发设计,所开发产品将会最大程度地避免功能失效带来的安全隐患。
1 电子转向锁的控制原理
1)电子转向锁的控制分析无钥匙进入及一键起动系统代替传统汽车的机械钥匙及点火锁。网络拓扑图如图1所示。
该系统由5个模块组成。ESCL(electric steeringcolumn lock,电子转向锁)在该系统中用来替代传统的点火锁,作为整车防盗器件用以转向管柱的锁止。也就是电子转向锁在收到上锁请求,并确认满足上锁的各项条件时,在相应控制器控制下,电子转向锁会自动弹出锁舌,将转向管柱锁死,使之失去转向功能。当电子转向锁收到解锁请求,并确认满足解锁条件时,电子转向锁会自动收回锁舌,恢复转向管柱的转向功能。该器件是集机械锁止结构和电子控制单元为一体的产品。在这个网络里,PEPS(passive entry passive start,无钥匙进人及起动)通过LIN总线,并作为LIN总线控制的主控节点对从节点ESCL进行上锁和解锁的动作控制。
出于防盗安全考虑,在PEPS发送解锁命令时需要与ESCL进行双向加密算法的认证,确认通过后,执行解锁动作。上锁命令的发送要简单一些,不用通过双向加密算法的认证。但是上锁时机的控制关乎到用户的安全。通过对各种工况的考虑,将上锁时机确认在整车断电后,即整车电源进人OFF状态,同时,还要伴随锁车或驾驶员侧门开的动作。通过软件不难实现该逻辑控制,但是假设某一动作程序出现误动作,有可能导致在非期望时间出现上锁动作,将直接影响驾驶安全。下文将通过ISO 26262道路车辆功能安全标准,对该系统的设计进行功能安全的分析。
2)功能安全分析上锁功能本身只是一项基本功能,但是在非期望时间出现上锁动作将是一件非常危险的事情。如果是在用户驾车高速行驶过程中突然出现上锁动作,导致转向失灵,极有可能出现车毁人亡的严重后果。依照ISO 26262道路车辆功能安全标准,对电子转向锁误上锁这项功能进行ASIL等级评估。
第1步,进行严重度评估,高速行驶时上锁误动作对用户直接导致的最终后果为Class S3致命伤害。
第2步,进行暴露度评估,高速行驶时上锁误动作致使用户暴露在危险中的机率按照表1评估是E4高发生机率。
第3步,进行可控能力评估,高速行驶时避免上锁误动作的控制能力按照表2评估是C3难以控制。
第4步,根据以上三方面的评估,按照表3的排列分析得出结论:该事件需要按照安全等级ASIL D进行安全设计。
综上对电子转向锁上锁误动作这一事件的分析,该系统的控制应该按照功能安全等级ASIL D的标准进行软硬件的设计。但是按照该标准设计,无论从技术还是从成本角度考虑都很难实现,所以我们可将较高的ASIL等级要求拆分为2个较低的ASIL等级要求。
3)功能安全高ASIL等级划分为低ASIL等级在2)的分析中,车辆高速行驶时上锁误动作一旦发生,严重度是无法降低的,而驾驶者暴露在危险当中的几率也将是无法降低的,然而避免该事件发生的控制措施还是可实现的。在无钥匙进入及一键起动系统中,如果可以将1个控制器PEPS对ESCL进行控制更改为2个控制器同时对其控制,无论哪一个控制器单方失效将无法导致误动作发生。那么该设计方案将大大提高该系统对电子转向锁上锁误动作的控制能力。
根据电子转向锁硬件框图(图2)及上锁命令&供电有效=1=锁电机动作对图2控制原理的描述,不难分析出可将电子转向锁的电机控制和电机供电分由2个模块来控制,如图3所示。
按照图3控制原理的调整,电子转向锁的动作控制已经完全分由BCM、PEPS 2个模块来控制。那么,控制器BCM或PEPS单一故障将不可能引起电子转向锁的误动作。因此根据表2可以得出,该事件的发生将很容易被控制住。可控度完全可以达到C1。那么,该功能的ASIL等级将会降为ASIL B按照ASIL B进行设计,将大大降低了对电子转向锁硬件和软件的要求,进而也达到了成本的控制要求。
2 总结
在该无钥匙进人及一键起动系统中的电子转向锁上锁误动作这一事件中,应用了ISO 26262道路车辆功能安全标准的系统分析方法,对其控制原理进行分析改进,使得整个系统的设计不仅得到了优化,大大提高了可靠性,同时也为电子转向锁这一部件的设计标准降低了级别,达到了满足高可靠性、低成本的要求。