厂商入驻

智能底盘技术(14) | Two-box方案”ESC+eBooster”功能安全之危害分析与风险评估(下)

行业观察

出品 |焉知

知圈 | 进“滑板底盘群”请加微yanzhi-6,备注底盘

根据制动执行机构的不同,线控制动系统(Brake-By-Wire)可以分为液压式线控制动系统(Electro-Hydraulic Brake, EHB)和机械式线控制动系统(Electro-Mechanical Brake, EMB)。其中,EHB 以传统的液压制动系统为基础,用电子器件替代了部分机械部件的功能,使用制动液作为动力传递媒介,同时具备液压备份制动系统, 是目前的主流技术方案。而EHB根据集成度的高低,EHB 可以分为Two-box 和One-box 两种技术方案。

随着新能源汽车市场的扩张,“eBooster+ ESC”组合成为了目前市场上最主流的Two-box方案。该方案除了实现基础的制动助力功能和稳定性控制功能外,还能在实现制动能量回收的同时协调配合,保证在电制动和液压制动的切换中实现驾驶员的踏板感一致。此外,随着高阶辅助驾驶系统和自动泊车系统的普及,“eBooster+ ESC”在其中也扮演着实现制动冗余的角色。

另一方面,线控制动系统用电子器件代替部分机械部件,使得系统的安全性高度依赖电子器件的安全性和可靠性,这样一来,线控制动系统的功能安全开发显得尤为重要。

自从2011年功能安全标准ISO 26262自2021年正式发布,ISO 26262聚焦于电子电气系统的功能安全,对产品的整个生命周期进行评估,涵盖功能性安全需求规划、设计、实施、集成、验证、确认和配置等方面,旨在通过完善的开发流程,将汽车电子电气系统故障的风险降到最低,是全球电子零部件供应商进入汽车行业的准入门槛之一。国内外各大主流汽车企业陆续将ISO 26262中定义的需求融入自己的研发体系和流程中。

危害分析与风险评估示意图

1.整车危害分析

整车危害分析的目标是完整地识别出所研究的E/E系统出现功能异常时可能引起的整车层面的异常行为。对于如何展开这一活动,ISO 26262中推荐了一种系统性地分析相关项的危害的方法——HAZOP(危害和可操作性分析,Hazard and Operability Analysis)。HAZOP给开发人员提供了一种系统的思维方式,可操作性强,因此被车企广泛地运用到了功能安全开发中。

简单来说,HAZOP从以下几个方面来全面地考虑功能的可能失效模式,从而识别出功能所有可能产生的整车危害(为避免翻译出现偏差,这里保留HAZOP的英文解释):

1.Loss of Function – function not provided when intended

2.Function provided incorrectly when intended

  • Incorrect Function-More than intended

  • Incorrect Function-Less than intended

  • Incorrect Function-Wrong direction

    • 3.Unintended Activation of Function – Function provided when not intended

    4.Output Stuck at a Value – Failure of the function to update as intended

    注意:对于一个具体的功能来说,并不是上面提到的所有点都有对应的失效模式。

    比如对于制动功能来说,就不存在“wrong direction”的功能失效。换句话说,具体功能需要具体分析。

    在前几期的文章中对“eBooster+ ESC”系统的功能进行了具体的介绍,此处做一个总结:

  • 功能1:驾驶员制动助力功能

  • 功能2:外部ECU制动请求响应功能

  • 功能3:电子稳定性控制功能 (ABS/TCS/VDC)

  • 功能4:制动灯控制功能

    • eBooster和ESC的Two-box方案系统架构

    接下来将对这几个功能失效及可能引起的整车危害进行HAZOP分析。

    1.1.驾驶员制动助力功能

    HAZOP

    功能失效

    整车危害

    备注

    Unintended Activation of Function

    驾驶员无请求但非预期液压制动

    运动工况:车辆非预期减速

    静止工况:车辆非预期液压驻车

    制动力未引起车轮抱死,车辆纵向运动(Longitudinal motion)

    车辆失去稳定性

    制动力引起车轮抱死,车辆有横向运动意图(Lateral motion)

    Loss of Function

    驾驶员请求制动但无液压制动力

    运动工况:车辆无减速度

    静止工况:车辆无液压驻车力

    Function provided less than intended

    驾驶员请求制动但液压制动力过小

    运动工况:车辆减速度过小

    静止工况:车辆液压驻车力不足

    Function provided more than intended

    驾驶员请求制动但液压制动力过大

    运动工况:车辆减速度过大

    静止工况:车辆液压驻车力过大

    1.2.外部ECU制动请求响应功能

    HAZOP

    功能失效

    整车危害

    备注

    Unintended Activation of Function

    外部ECU无请求但非预期液压制动

    运动工况:车辆非预期减速

    静止工况:车辆非预期液压驻车

    制动力未引起车轮抱死,车辆纵向运动(Longitudinal motion)

    车辆失去稳定性

    制动力引起车轮抱死,车辆有横向运动意图(Lateral motion)

    Loss of Function

    外部ECU请求制动但无液压制动力

    运动工况:车辆无减速度

    静止工况:车辆无液压驻车力

    Function provided less than intended

    外部ECU请求制动但液压制动力过小

    运动工况:车辆减速度过小

    静止工况:车辆液压驻车力不足

    Function provided more than intended

    外部ECU请求制动但液压制动力过大

    运动工况:车辆减速度过大

    静止工况:车辆液压驻车力过大

    1.3.电子稳定性控制功能

    HAZOP

    功能失效

    整车危害

    备注

    Unintended Activation of Function

    车辆正常运行时稳定性功能非预期干预

    车辆失去稳定性

    车辆有横向运动意图

    Lateral motion

    Loss of Function

    车辆即将失稳时稳定性功能不干预

    车辆失去稳定性

    车辆有横向运动意图

    Lateral motion

    Function provided less than intended

    车辆即将失稳时稳定性功能干预但是干预不当(干预不足)

    车辆失去稳定性

    车辆有横向运动意图

    Lateral motion

    Function provided more than intended

    车辆即将失稳时稳定性功能干预但是干预不当(干预过度)

    车辆失去稳定性

    车辆有横向运动意图

    Lateral motion

    1.4.制动灯控制功能

    HAZOP

    功能失效

    整车危害

    备注

    Unintended Activation of Function

    车辆不制动时制动灯点亮

    车辆点亮制动灯运行,无危害。

    其他功能(助力功能、稳定性控制功能)等正常

    Loss of Function

    车辆制动时制动灯不点亮

    车辆无制动灯运行

    Function provided less than intended

    n.a.

    Function provided more than intended

    n.a.

    基于HAZOP分析结果,可以看出不同的功能失效可能引起相同的整车危害。为避免重复,此处将“eBooster+ ESC”系统功能异常可能引起的整车危害汇总成下表。

    车辆状态

    整车危害

    运动

    驾驶员或者外部ECU无制动请求时,非预期制动导致车轮抱死,车辆失去稳定性

    驾驶员或者外部ECU无制动请求时,非预期制动导致车辆减速度过大(车辆具有横向稳定性)

    驾驶员请求制动时减速度过小

    外部ECU请求制动时减速度过小

    (正常行驶时)稳定性功能非预期干预导致车辆失去稳定性

    (有失稳趋势时)稳定性功能无干预或干预不当导致车辆失去稳定性

    车辆制动时制动灯不亮

    静止

    车辆驻车力过大 (驾驶员在车内)

    车辆驻车力过小(驾驶员在车内)

    2.危害事件分类与风险分析

    危害事件分类主要是通过三个维度对风险进行评级:

  • S(severity 严重度): 危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。
  • E(Exposure 曝光度): 运行场景在日常驾驶过程中发生的概率。
  • C(controllability 可控度): 驾驶员或其他涉险人员控制危害以避免伤害的概率。

    • 接下来基于上节HAZOP分析结果,进一步展开危害事件分类和风险分析。

    注:以下分析仅供参考,与具体项目开发中的分析结果可能存在差异。

    2.1.驾驶员或外部ECU无制动请求时非预期制动导致车轮抱死

    整车危害

    场景

    可能发生的风险

    车轮抱死,车辆失去稳定性

    几乎所有行车驾驶场景

    撞到其他车辆或者障碍物或者行人

    S值

    E值

    C值

    ASIL等级

    车辆失去稳定性,驾驶员有危及生命的危害

    S3

    场景几乎发生在每次驾驶中

    E4

    低于90%的驾驶员可以控制车辆

    C3

    D

    2.2.驾驶员或外部ECU无制动请求时非预期制动导致减速度过大(车辆具有横向稳定性)

    整车危害

    场景

    可能发生的风险

    减速度过大

    ?两辆车运行在同一车道且速度相近;

    ?后车未保持安全距离

    前车非预期减速,后车制动不及,追尾

    S值

    E值

    C

    ASIL等级

    碰撞速度超过40kph时,驾驶员有危及生命的危害

    S3

    两辆车运行在同一车道且速度相近几乎发生在每次驾驶中,E4;后车未保持安全距离暴露度降低为E3

    E3

    低于90%的驾驶员可以控制车辆

    C3

    C

    2.3.驾驶员请求制动时减速度过小

    整车危害

    场景

    可能发生的风险

    车辆减速度过小

    两辆车运行在同一车道且速度相近,前车正常制动

    后车制动力过小,与前车追尾

    S值

    E值

    C值

    ASIL等级

    碰撞速度超过40kph时,驾驶员有危及生命的危害

    S3

    场景几乎发生在每次驾驶中

    E4

    低于90%的驾驶员可以控制车辆

    C3

    D

    2.4.外部ECU请求制动时减速度过小(辅助驾驶*)

    整车危害

    场景

    可能发生的风险

    车辆减速度过小

    两辆车运行在同一车道且速度相近,前车正常制动

    后车制动力过小,与前车追尾

    S值

    E值

    C值

    ASIL等级

    碰撞速度超过40kph时,驾驶员有危及生命的危害

    S3

    场景几乎发生在每次驾驶中

    E4

    常规可控(踩制动接管)

    C0

    QM

    2.5.外部ECU请求制动时减速度过小(自动驾驶*)

    *自动驾驶下允许驾驶员不接管车辆,车辆出现异常时需要系统接管

    整车危害

    场景

    可能发生的风险

    车辆减速度过小

    两辆车运行在同一车道且速度相近,前车正常制动

    后车制动力过小,与前车追尾

    S值

    E值

    C值

    ASIL等级

    碰撞速度超过40kph时,驾驶员有危及生命的危害

    S3

    场景几乎发生在每次驾驶中

    E4

    低于90%的驾驶员可以控制车辆

    C3

    D

    2.6.稳定性功能非预期干预导致车辆失去稳定性

    整车危害

    场景

    可能发生的风险

    车辆失去稳定性

    几乎所有行车驾驶场景

    撞到其他车辆或者障碍物或者行人

    S值

    E值

    C值

    ASIL等级

    车辆失去稳定性,驾驶员有危及生命的危害

    S3

    场景几乎发生在每次驾驶中

    E4

    低于90%的驾驶员可以控制车辆

    C3

    D

    2.7.稳定性功能无干预或干预不当导致车辆失去稳定性

    整车危害

    场景

    可能发生的风险

    车辆失去稳定性

    需要稳定性功能干预的行车驾驶场景

    撞到其他车辆或者障碍物或者行人

    S值

    E值

    C值

    ASIL等级

    车辆失去稳定性,驾驶员有危及生命的危害

    S3

    对于绝大多数驾驶员一年发生几次

    E2

    低于90%的驾驶员可以控制车辆

    C3

    B

    2.8.车辆制动时制动灯不亮

    整车危害

    场景

    可能发生的风险

    制动灯不亮

    在能见度低的驾驶场景(如雾天)中制动

    后车驾驶员反应不及时,追尾

    S值

    E值

    C值

    ASIL等级

    碰撞速度超过40kph时,驾驶员有危及生命的危害

    S3

    对于绝大多数驾驶员一年发生几次

    E2

    低于90%的驾驶员可以控制车辆

    C3

    B

    2.9.车辆驻车力过大(驾驶员在车内)

    整车危害

    场景

    可能发生的风险

    车辆无法移动

    汽车低速通过或者静止在有危险的地方(如十字路口,铁轨等)

    S值

    E值

    C值

    ASIL等级

    碰撞速度超过40kph时,驾驶员有危及生命的危害

    S3

    对于绝大多数驾驶员小于一年发生一次

    E1

    99% 或者更多的驾驶员或交通参与者通常能够避免危害(如快速下车)C1

    QM

    2.10.车辆驻车力过小 (驾驶员在车内)

    整车危害

    场景

    可能发生的风险

    溜车

    车辆停在坡道上

    坡道距离较长,溜车后车速上升并撞到行人

    S值

    E值

    C值

    ASIL等级

    坡道相对较陡,撞到行人时车速超过15kph

    S3

    车辆长时间停在>5%的坡上一个月发生一次或多次

    E4

    常规可控(驾驶员可以继续深踩制动或者请求卡钳驻车)C0

    QM

    3.导出功能安全目标

    简单来说,HAZOP从以下几个方面来全面地考虑功能的可能失效模式,从而识别出功能所有可能产生的整车危害(为避免翻译出现偏差,这里保留HAZOP的英文解释):

    根据危害分析与风险评估结果,可以导出“eBooster+ ESC”的安全目标。

    序号

    安全目标

    ASIL等级

    SG1

    避免制动力过大导致车辆失稳

    ASIL D

    SG2

    避免非预期制动导致减速度过大

    ASIL C

    SG3.1

    避免驾驶员制动请求时减速度过低

    ASIL D

    SG4.1

    避免外部ECU制动请求时减速度过低(自动驾驶)

    ASIL D

    SG5

    避免稳定性功能非预期干预导致车辆失稳

    ASIL D

    SG6

    避免稳定性功能干预不当导致车辆失稳

    ASIL B

    SG7

    避免避免车辆制动时丢失制动灯

    ASIL B

    系列文章介绍

  • 底盘系统的主流产品介绍与行业动态(产品介绍、功能设计、功能安全设计、国内外玩家现状等方面展开)
  • 制动系统篇
  • 转向系统篇
  • 驱动系统篇
  • 悬架系统篇
  • 智能底盘的发展新趋势
  • 底盘域融合
  • 新电子电气(E/E)架构
  • 智能底盘安全拓展 (功能安全,预期功能安全,信息安全)
  • 滑板底盘

    • 智能底盘系列(1) | 智能底盘的昨天·今天·明天

    智能底盘技术(2) | 汽车制动系统的发展概述

    智能底盘技术(3) | 从真空助力器说起

    智能底盘技术(4) | 线控制动eBooster介绍 智能底盘技术(5) | 底盘电子稳定性控制系统的进化之路之ABS

    智能底盘技术(6) | 底盘电子稳定性控制系统的进化之路之TCS

    智能底盘技术(7) | 底盘电子稳定性系统的进化之路之VDC

    智能底盘技术(8) | 智能底盘下电子稳定性系统的再进化系统的再进化

    智能底盘技术(9) | ESC系统主动安全技术的拓展

    智能底盘技术(10) | 线控制动的类型与市场动态介绍

    智能底盘技术(11) | Two-box方案”ESC eBooster”系统介绍

    智能底盘技术(12) | Two-box方案”ESC eBooster”制动控制介绍

    声明:本站部分文章内容及图片转载于互联 、内容不代表本站观点,如有内容涉及版权,请您尽早时间联系jinwei@zod.com.cn

    相关推荐