簡單分析汽車電子系統(tǒng)故障是否會(huì)導(dǎo)致車輛失控

2018-01-17 13:59:40·  來源:厚勢
 
目前,隨著自動(dòng)駕駛(ADAS)的功能越來越普及,汽車的電子系統(tǒng)功能越來越強(qiáng)大,控制系統(tǒng)架構(gòu)越來越復(fù)雜,同時(shí)我們也越來越依賴各種車載電子系統(tǒng)。但這些電子控制系統(tǒng)在給人帶來方便的同時(shí),也帶來了很大的風(fēng)險(xiǎn)。
目前,隨著自動(dòng)駕駛(ADAS)的功能越來越普及,汽車的電子系統(tǒng)功能越來越強(qiáng)大,控制系統(tǒng)架構(gòu)越來越復(fù)雜,同時(shí)我們也越來越依賴各種車載電子系統(tǒng)。但這些電子控制系統(tǒng)在給人帶來方便的同時(shí),也帶來了很大的風(fēng)險(xiǎn)。
 
如果電子控制系統(tǒng)出現(xiàn)故障,會(huì)導(dǎo)致什么樣的后果?
目前轉(zhuǎn)向系統(tǒng)一般是電子輔助轉(zhuǎn)向(Electric Powered Steering,簡稱 EPS),如果高速行駛過程中 EPS 發(fā)生故障,駕駛員沒有輸入轉(zhuǎn)向信號,系統(tǒng)故障自己發(fā)生助力,急打方向,會(huì)是什么樣的后果?
很多車輛的制動(dòng)系統(tǒng)系統(tǒng)配置有電子穩(wěn)定系統(tǒng)(Electronic Stability Control,簡稱 ESC),如果在 120 km/h 的速度在高速公路上行駛,駕駛員沒有踩剎車踏板,系統(tǒng)故障突然實(shí)施緊急制動(dòng),后續(xù)車輛來不及反應(yīng),會(huì)發(fā)生什么后果?
據(jù)《產(chǎn)品安全與召回》雜志統(tǒng)計(jì)數(shù)據(jù),僅 2015 年上半年,42 家汽車制造商共實(shí)施召回 124 次,共召回缺陷汽車產(chǎn)品 293.14 萬輛。其中,
  • 涉及電子電器 42 次,共 1828019 輛;
  • 發(fā)動(dòng)機(jī) 30 次,共 697304 輛;
  • 車身部分 19 次,共 31472 輛;
  • 轉(zhuǎn)向/懸架 14 次,共 206922 輛;
  • 制動(dòng)/車輪 12 次,共 62030 輛;
  • 動(dòng)力傳動(dòng)系統(tǒng) 6 次,共 105102 輛;
  • 其他部分 1 次,涉及車輛 561 輛。
以上數(shù)據(jù)顯示,電子電器系統(tǒng)已取代動(dòng)力總成成為了最容易出現(xiàn)缺陷的汽車系統(tǒng)。
 
背景

隨著機(jī)械結(jié)構(gòu)越來越成熟,電子控制越來越普遍,有些高端豪華轎車上有幾十上百個(gè)電子控制單元(ECU),其中安全氣囊、底盤控制系統(tǒng)(制動(dòng)/轉(zhuǎn)向)、發(fā)動(dòng)機(jī)控制系統(tǒng)等都是安全相關(guān)的系統(tǒng)。一旦這些電子系統(tǒng)出現(xiàn)功能性故障,將會(huì)極大的影響整車功能安全。
怎么去控制這種風(fēng)險(xiǎn),約束這種行為呢?
 
從上世紀(jì) 60/70 年代開始,歐美各國就陸陸續(xù)續(xù)出臺了一些法規(guī)來定義功能安全。
 

圖 1  汽車功能安全法規(guī)發(fā)展歷程
 
之前發(fā)布的法規(guī)只是泛泛的要求,沒有細(xì)化,也沒有針對汽車行業(yè)去做強(qiáng)制要求。
直到 2011 年發(fā)布了針對汽車行業(yè)的 ISO 26262。
 
汽車安全完整性等級的定義

首先,從功能安全和成本平衡角度來考慮,不可能所有的系統(tǒng)都是同等對待的,肯定是越是與安全相關(guān)的系統(tǒng),越要重點(diǎn)關(guān)注,比如說發(fā)動(dòng)機(jī)控制系統(tǒng)和收音機(jī)系統(tǒng)相比,肯定是發(fā)動(dòng)機(jī)控制系統(tǒng)要重要的多。
 
所以 ISO26262 定義了汽車安全完整性等級(以下簡稱 ASIL)這個(gè)概念,根據(jù)子系統(tǒng)失效風(fēng)險(xiǎn)的 ASIL 的等級高低來區(qū)分對待。
工程上任何一個(gè)概念都是可以用數(shù)據(jù)量化的,那 ASIL 是如何量化的?
  • 首先,從失效后果造成的傷害的嚴(yán)重程度來說,ASIL 定義了嚴(yán)重度 S。嚴(yán)重度 S 分 4 個(gè)等級,S0 到 S3,其中 S0 為無危害,S3 為致命危害。
  • 其次,從該失效發(fā)生的概率來說,ASIL 定義了暴露率E。暴露率 E 分為 4 個(gè)等級,E1 到 E4,其中 E1 指很低的概率,E4 指高概率(>10%)。
  • 再次,從該失效發(fā)生后能夠避免事故或傷害的可能性來說,ASIL 定義了可控性 C。可控性 C 分為 4 個(gè)等級,其中 C0 為完全可控,C3 為很難控制(<90% 駕駛員)。
根據(jù)實(shí)際情況確認(rèn)好 S、E、C 這三個(gè)參數(shù)后,ASIL 就可以確定了。具體參考下圖。
表 1  ASIL 等級確認(rèn)
ASIL 分 4 個(gè)等級,其中 A 代表最低等級,D 為最高等級,QM 代表不需要考慮安全設(shè)計(jì)。
確定好 ASIL 等級后,就可以按照各個(gè)安全等級標(biāo)準(zhǔn)的要求去開發(fā)。
 
例如:對于電子駐車系統(tǒng)來說(EPB),我們對非預(yù)期的駐車功能失效為例,即車停好后,EPB 啟動(dòng)后,駐車功能發(fā)生失效。此時(shí)最大的失效工況是車輛停在斜坡上,駕駛員不在車上。
嚴(yán)重度:車突然滑行,對行人造成嚴(yán)重傷害,嚴(yán)重度定義為 S3。
暴露率:駕駛場景「斜坡停車,駕駛員不在車上」占整車使用壽命的比例 >10%,暴露率定義為 E4。
可控性:失效時(shí)駕駛員不在車上,不具備可控性??煽匦远x為 C3。
查詢上表,可以看出電子駐車系統(tǒng)(EPB)非預(yù)期性駐車功能失效的 ASIL 等級為 D。

功能安全的設(shè)計(jì)要求

不同的 ASIL 等級的有不同的設(shè)計(jì)需求。設(shè)計(jì)需求主要針對系統(tǒng)性失效和隨機(jī)硬件失效。
ISO 26262 定義了評價(jià)系統(tǒng)性失效和隨機(jī)硬件失效的指標(biāo):硬件架構(gòu)指標(biāo)目標(biāo)值和隨機(jī)硬件失效率目標(biāo)值。
表 2  硬件架構(gòu)指標(biāo)目標(biāo)值
表 3  隨機(jī)硬件失效率目標(biāo)值
如果當(dāng)前設(shè)計(jì)方案不滿足目標(biāo)值要求,則可以通過增加設(shè)計(jì)診斷功能和設(shè)計(jì)冗余來降低故障率。
通過對系統(tǒng) ASIL 的等級劃分,然后針對 ASIL 的等級的要求進(jìn)行功能要求??梢园扬L(fēng)險(xiǎn)降低到可接受的范圍內(nèi)。
特斯拉的CEO埃隆穆斯克曾經(jīng)說過:不存在絕對的安全,唯一可能的是,盡可能的提升安全概率。
 
汽車安全生命周期

ISO 26262 還規(guī)定了汽車安全生命周期,包括了從概念設(shè)計(jì)、產(chǎn)品開發(fā)到生產(chǎn)和運(yùn)行后的各階段的主要安全活動(dòng)。

圖 2  功能安全管理
 
在概念開發(fā)階段,要基于系統(tǒng)定義和初步的框架結(jié)構(gòu),分析可能存在的風(fēng)險(xiǎn)及 ASIL 等級。然后根據(jù) ASIL 等級來定義每個(gè)安全目標(biāo)的功能安全概念。
在產(chǎn)品開發(fā)階段,按照 V 型開發(fā)流程定義相關(guān)安全活動(dòng)。V 型的左側(cè)是技術(shù)安全需求的制定、系統(tǒng)設(shè)計(jì),V 型的右側(cè)是系統(tǒng)集成、安全確認(rèn)和發(fā)布。硬件和軟件的開發(fā)也遵循相似的 V 型開發(fā)流程。
 
在批產(chǎn)之后的階段,需要提供必要的文檔及方法,以保證在生產(chǎn)、售后服務(wù)和報(bào)廢等環(huán)節(jié)中,安全目標(biāo)不被破壞。同時(shí),需要監(jiān)控售后產(chǎn)品,發(fā)現(xiàn)有違背安全目標(biāo)的案例要采取相應(yīng)措施。
 
以后的發(fā)展趨勢

隨著自動(dòng)駕駛功能的逐漸完善,電子系統(tǒng)將在車輛中發(fā)揮越來越大的功能,與此同時(shí),車輛功能安全也將會(huì)越來越重視。
與此同時(shí),ISO 26262 雖然沒有被某國法規(guī)要求強(qiáng)制實(shí)施,但是國外很多車企在開發(fā)新車型已經(jīng)按照 ISO 26262 實(shí)行,同時(shí)相關(guān)的零部件配套供應(yīng)商等也需要符合 ISO 26262。
據(jù)說相關(guān)的國標(biāo)轉(zhuǎn)換已經(jīng)在進(jìn)行中了,不過應(yīng)該不是強(qiáng)制標(biāo)準(zhǔn),最多也就是 GB/T 或者行標(biāo)吧。
由于完全符合 ISO26262 會(huì)帶來一定的成本上升,國內(nèi)自主品牌雖然暫時(shí)沒有跟進(jìn),但是以后的逐漸跟進(jìn)幾乎是必然趨勢。

總結(jié)

ISO 26262 通過系統(tǒng)的功能安全研發(fā)管理流程,以及針對汽車電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗(yàn)證和確認(rèn)方法,保證電子系統(tǒng)的安全功能在面對各種嚴(yán)酷條件時(shí)不失效,從而保證駕乘人員以及路人的安全。
對于汽車廠商而言,貫徹執(zhí)行 ISO 26262 標(biāo)準(zhǔn)可以提高安全性能,提升產(chǎn)品內(nèi)在價(jià)值,也可以最大程度的控制因?yàn)殡娮硬考煽啃詥栴}導(dǎo)致的整車召回風(fēng)險(xiǎn),避免品牌形象受損以及蒙受較大的經(jīng)濟(jì)損失。