【摘要】为提高线控转向系统的安全性、可靠性，文章根据国际标准ISO 26262展开线控转向系统的功能安全概念设计。根据系统的边界、功能和架构，识别8个典型车辆使用场景；采用HAZOP分析方法对系统导致的整车级潜在危害进行分析，并对相应的风险等级进行评估，提出4个功能安全目标。采用FMEA进行安全分析，根据功能安全目标、安全分析结果和初版系统架构提出了25条功能安全需求和功能安全架构设计。

0 引言

转向系统是汽车上与驾驶者紧密接触的操纵装置，其目的是依据驾驶员意愿或驾驶系统指令控制汽车的驾驶方向，保证驾驶安全。转向系统先后经历了从机械转向到液压助力转向和电动助力转向的改变，然而目前电动助力转向系统难以满足智能汽车对转向技术的需求。线控转向系统作为线控智能底盘重要的组成部分，在智能汽车架构中必不可少[1]。

线控转向系统取消了中间轴，由路感反馈模块与转向执行模块组成，具有可变传动比，能有效抑制路面抖动，可休眠、可伸缩且可收纳的方向盘，提升被动安全性等优点。但同时由于取消了机械连接，其最大的挑战是如何保证安全性。针对线控转向的功能安全，荣芩等[2]就带离合器的线控转向系统功能安全概念进行了分析，常秀岩等[3]也对线控转向系统进行开发及验证。本文从功能安全的角度分析线控转向系统的潜在整车危害，并提出可供参考的功能安全目标和功能安全需求，以失效可操作性冗余机制为指导思想，设计满足功能安全要求的系统安全架构。

1 分析流程介绍

1） 系统定义。

2） 使用HAZOP进行危害分析，采用ISO 26262风险评估方法识别整车级危害，并为每个危害分配相应的ASIL等级。

3） 定义整车层级的安全目标。

4） 安全分析。

5） 根据安全目标和安全分析结果提出功能安全概念，包括系统功能安全需求和系统安全架构。

2 系统范围和定义

2.1 系统范围

线控转向系统主要由路感模拟子系统和转向执行子系统组成，其中路感模拟子系统包括方向盘转角扭矩传感器、路感模拟电机、路感电机控制器、路感电机位置传感器，转向执行子系统包括执行电机控制器、齿条位置传感器、转向执行电机、执行电机位置传感器、转向齿条，其中方向盘和车轮不包含在本文分析范围内。线控转向系统基本结构如图1所示。

线控转向内外部接口主要包括供电接口、通信接口等输入，详细清单见表1。

2.2 系统定义

线控转向系统主要功能是通过检测驾驶员输入和外部系统输入来驱动执行电机进行转向力矩控制，给驾驶员合适的路感反馈。

针对路感模拟子系统，其功能定义[4-6]如下。

1） 路感电机控制器负责计算出路感电机力矩值，最终传递给驾驶员作为手感反馈，同时负责根据方向盘扭矩、方向盘转角、方向盘角速度、其他系统的转向力矩/转角请求等信息估算出齿条位置值输出给执行电机控制器，并负责与执行电机控制器、整车进行信息交互。

2） 方向盘转角扭矩传感器负责检测驾驶员输入的方向盘扭矩、方向盘转角及方向盘转角速度信息，并负责将测量值反馈给路感电机控制器作为参考齿条位置的计算输入。

3） 路感模拟电机负责执行路感电机控制器输入的电机控制指令。

4） 路感电机位置传感器负责检测电机转子的位置，并将测量值反馈路感电机控制器作为电机力矩计算的参考输入。

针对转向执行子系统，其功能定义如下。

1） 执行电机控制器根据路感模拟子系统或其他系统的齿条位置请求、执行电机位置测量值、齿条实际位置等信息计算出转向执行电机力矩值并驱动齿条移动，最终传递给车轮进行横向运动，同时负责与路感电机控制器、整车进行信息交互。

2） 转向执行电机负责执行电机控制器输入的电机控制指令。

3） 执行电机位置传感器负责检测电机转子的位置，并将测量值反馈执行电机控制器作为电机力矩计算的参考输入。

4） 齿条位置传感器负责检测齿条位置，并将测量值反馈执行电机控制器作为电机力矩计算的参考输入。

根据以上系统需求开发线控转向功能，如图2所示。

3 整车级危害分析及风险评估

3.1 场景分析

汽车运行场景指在车辆生命周期中可能发生的场景，如高速行驶、斜坡驻车、维护等[7]。线控转向系统为了提高其通用性，仅考虑了其中可能出现得最多的场景；不考虑特殊的交通场景；以合法的速度行驶且未发生拥堵情况；没有特殊的障碍物出现；未出现掉落物的情况；前方跟车车辆未出现急转弯、停车等特殊情况。也不考虑一些特殊的周边环境条件，天气较为理想，无风、霜、雨雾等情况，光照条件理想，地面干燥。本文识别了8 个典型车辆运行场景（表2）。

3.2 整车级危害分析

本文使用HAZOP 分析方法作为识别整车危害的方法。IEC 61882[8]提出了11 种引导词，本文根据适用性采用其中7 种： 功能的丢失、过大、过小、断断续续、反向、未请求的执行、卡滞。

考虑不同功能的故障后识别出7 个整车层级的潜在危害（表3）。

3.3 风险评估

ISO 26262 根据严重度（Severity，S）、暴露度（Exposure， E）、可控性（Controllability， C） 评估已识别危害的ASIL等级[9]。

1） 严重度（S） 指对潜在危害事件中可能发生的一个或多个人员的伤害程度的预估。它分为4 个等级：S0 （无伤害）、S1 （轻度和中度伤害）、S2（严重和危及生命的伤害）、S3 （危及生命的伤害、致命的伤害）。其中S0 表示不会有危害无需指定ASIL等级。

2） 暴露度（E） 指处于某种运行场景的概率，在该运行场景下，如果与分析中的失效模式同时发生则可能导致危害。它分为4个等级：E1 （极低概率）、E2（低概率）、E3（中等概率）、E4（高概率）。

3） 可控性（C） 指通过所涉及人员的及时反应（可能具备外部措施的支持） 避免特定的伤害或损伤的能力。它分为4 个等级：C0 （可控）、C1 （简单可控）、C2 （一般可控）、C3 （难以控制或不可控）。其中C0表示不会有危害无需指定ASIL等级。根据各严重度（S）、暴露度（E）、可控性（C） 的评分规则确定其等级后，对汽车在各个驾驶场景中可能出现的问题进行ASIL评估。表4列出了与危害事件H1、H2、H3、H4、H5 相关的评估信息。危害事件H6的评估信息见表5。

4 安全目标

根据危害分析和风险评估的结果可得到线控转向系统的功能安全目标。每个具有指定ASIL 等级的危害事件都应制定相应的功能安全目标，相似的功能安全目标之间可进行合并。合并后的功能安全目标ASIL 等级应取原始安全目标中最高的等级。表6列出了所有安全目标。

5 安全分析

本文采用FMEA 的方法来进行系统的安全分析。FMEA 是一种自下而上的分析方法，通过识别底层的失效模式来分析对上层的影响。FMEA 有系统或功能FMEA、设计FMEA和过程FMEA，本文在安全分析中使用功能FMEA 来识别可能导致车辆级危险的功能级失效模式。标准SAE J1739 提供了功能FMEA分析方法的指导[8]。

此次分析包含11 个组件，共识别了13 条失效模式和34条潜在影响，并提出了9条安全机制。详细分析结果见表7。

6 功能安全概念

系统的功能安全概念是以安全目标为最顶层需求，对系统的功能模块提出故障检测、安全状态、安全机制和警告等方面的功能安全需求，并将功能安全需求和ASIL等级分配到架构中的元素。

根据功能安全目标和安全分析结果，本文提出了25条功能安全需求[9]，见表8。

由于线控系统取消了中间轴机械连接，功能安全概念中的关键考虑点是在系统出现第一次故障时仍能使驾驶员保持一定的转向能力， 本文基于Fail-operational的思路进行系统架构设计[10-12]，如图3所示。

7 结论

本文完成了汽车线控转向系统开发生命安全周期的前期分析。介绍了HAZOP 的分析方法，在分析了线控转向的系统功能和结构后进行了危害分析和风险评估， 得出了线控转向系统的4 个安全目标。采用FMEA 分析方法进行安全分析，根据功能安全目标、安全分析结果和初步系统架构，本文提出了25 条线控转向系统的功能安全需求并设计了系统的安全架构。整个线控转向系统的概念设计对后续线控转向系统的开发具有指导意义。