EPB功能安全笔记(7)：EPB safety concept分析示例

本文要点

在上文（​​EPB功能安全笔记(6)——什么是safety concept​​）中对比和辨析了安全概念开发（Safety Concept Development）中的关键概念，为本文对EPB系统的安全概念开发示例说明提供了理论参考。

鉴于EPB系统比较复杂，所涉及的Safety Goal比较多，本文将选取一条Safety Goal作为示例展开说明，重点阐述安全概念开发的步骤，希望能给读者提供一些参考。

在此需要强调，本文的重点在于介绍分析safety concept的方法论，最终得出的功能安全需求和技术安全需求仅供参考，与实际开发处在差异。

安全概念开发

1.确定Safety Goal

本文将选取​​《EPB功能安全笔记(3)——如何定义一条完整的Safety Goal？》​​中分析得出的Safety Goal作为示例。

Safety Goal：EPB应避免错误建压而造成过高的减速度

ASIL: C

FTTI：see safety margin

safe state: EPB shut down and warn driver

safety margin:

2.功能安全概念（Functional Safety Concept）

2.1.功能定义

EPB除了提供静态功能（卡钳驻车/卡钳释放）外，还能提供动态制动功能。具体来说，法规要求EPB能够作为第二套行车制动系统，通过拉起EPB开关，可以触发电控液压制动单元主动建压以实现最低1.5m/s2的减速度。

2.2.系统初步架构确定

在​​《EPB功能安全笔记(4)——EPB系统架构分析和功能总结》​​中提到，实现动态液压制动需要Brake Assy和ESC Assy共同完成，实现动态液压制动功能的信号链如下所示。蓝色为Brake Assy负责的部分，绿色为ESC Assy负责的部分。

• Brake Assy: 包含制动卡钳、卡钳电机、电机控制软件（PBC, parking brake controller）
• ESC Assy: 又称Brake Host，提供EPB ECU和供电电源、CAN 通讯接口、硬线接口等外围设备

动态液压制动功能的信号链

信号链中涉及的关键模块以及各自的作用分别为：

• SSM：识别车辆运动状态，并将驾驶员的EPB请求传递给PBC，发送给PBC的请求信号已经区分了静态请求还是动态请求
• PBC：结合SSM的请求和车辆诊断模块结果仲裁控制机械控制或液压控制。如果诊断模块反馈ESC液压控制正常，则采用液压制动；反之采取卡钳制动
• ESC Control&Actuator：正确地执行PBC的液压控制请求

2.3.功能边界条件

功能的关键边界为减速度大小的设定。实际上，OEM要求的动态液压制动功能所能产生的制动减速度远大于法规的1.5m/ss要求。下图是某OEM要求的目标减速度曲线，当驾驶员持续拉起EPB开关时，减速度会随拉起时间增加而增大，最大减速度能达到-8m/ss。结合Safety Goal的safety margin，说明动态液压制动功能有造成ASIL C的危害的可能。

动态液压制动目标减速度

2.4.功能安全需求分析

综合上面的分析，可以得出EPB系统动态液压制动功能的两条功能安全需求。

EPB#FSR1:

液压制动功能应避免在驾驶员没有请求的情况下非预期激活。

ASIL: C

FTTI：600ms

safe state: fully release hydraulic brake and warn driver

3.技术安全概念（Technical Safety Concept）

3.1.细化系统架构

首先明确在正常情况下执行动态液压制动功能时对应的信号链及接口定义。

（1）驾驶员→EPB系统

（2）SSM → PBC

（3）PBC → ESC Control&Actuator

其次，当系统因为故障无法支持动态液压制动功能时，功能应该及时退出并告知驾驶员。对系统故障的检测由诊断模块完成；故障状态则由HMI接口传递给驾驶员。

（4）Brake Assy与ESC Assy诊断

PBC自身不包含故障管理模块，但是包含所有必要的PBC故障监控逻辑。PBC故障监视器将故障发送给ESC HOST故障管理模块进行统一处理，由Host来做出正确的降级控制。

ESC Host的系统诊断由System Wide Services完成，包括对液压系统的状态监控和诊断。System Wide Services相当于是EPB系统（包含ESC Assy和Brake Assy）统一的故障管理模块，汇总并处理所有的故障诊断结果。

（5）HMI

无论ESC Assy或是Brake Assy出现故障，System Wide Services会将故障状态发送给HMI，由HMI以亮灯或者其他报警方式提醒驾驶员。

3.2.FTTI分配

FTTI（fault tolerant time interval，故障容错时间间隔）为在没有安全机制的情况下从相关项出现故障到危害事件发生的最小事件间隔。换句话说，在加了安全措施（safety mechanism）的情况下，必须在小于等于FTTI的时间内解除故障才能避免危害。安全措施包括故障探测和故障响应，也就是说应满足：

FDTI + FRTI ≤ FTTI

其中，

• FDTI：fault detection time interval, 故障探测时间
• FRTI：fault reaction time interval, 故障反应时间

截图来自ISO 26262，2018

为了方便接下来定义技术安全需求，我们对动态液压制动功能作如下假设：

1.EPB button故障诊断时间：200ms

2.PBC故障诊断时间：100ms

3.ESC Assy故障诊断时间：200ms

4.动态液压制动功能所涉及的函数的运行周期均为20ms

5.-8m/ss减速度的轮缸压力最长泄压时间：200ms

3.3.技术安全需求分析

综合上面的分析，我们可以得出如下技术安全需求。

Note：如果能够细化具体的故障以及故障对应的失效模式，技术安全需求应该更具体，本文重点在于说明方法，不对具体失效模式进行细究，因此需求中使用比较粗略的定义。

EPB button#TSR1:

EPB button应能够在200ms内诊断出故障.

ASIL C

EPB button#TSR2:

当诊断出故障后, EPB button应在20ms内发送’EPB_button = unavailable’.

ASIL C

SSM#TSR3:

当车速大于20kh时, SSM只有在收到’ EPB_button = apply’时才能发送动态制动请求’ PbcInApplyReleaseRequest= DynamicApply’.

ASIL C

PBC#TSR4:

PBC只有在收到PbcInApplyReleaseRequest= DynamicApply’且ESC状态正常’PbcInHpsAvailability = available’的情况下才能发送液压制动请求.

ASIL C

ESC_#TSR5:

ESC应正确地执行来自PBC的液压请求.

ASIL C

PBC#TSR6:

PBC应在100ms内检测到故障.

ASIL C

PBC #TSR7:

当诊断出故障后PBC应在20ms内报告给ESC host.

ASIL C

ESC_Host_#TSR8:

ESC Host应在200ms内检测出ESC液压制动模块的故障.

ASIL C

ESC_#TSR9:

当检测出液压制动系统故障时，ESC应在200ms内释放轮缸压力.

ASIL C

ESC_Host_#TSR10:

当检测出ESC故障或者收到PBC故障后，ESC host应在20ms内报告给HMI.

ASIL C

4.技术安全需求的传递

一个完善的功能安全开发团队通常定义三个角色：

• 系统功能安全工程师
• 软件功能安全工程师
• 硬件功能安全工程师

每个角色负责下图中的一个V模型开发活动。

功能安全开发中的三个V模型 （截图来自GB/T 34590）

系统安全工程师分析出技术安全需求后，将需求递交给软件工程师和硬件工程师，由它们来实现需求。

下篇预告

本文以一条Safety Goal为例，结合系统架构和功能定义与边界分析出功能安全需求，最终得到技术安全需求。

下一期将继续以EPB系统的动态液压制动功能为例，介绍FMEA在功能安全开发中的价值和实际运用。

本文转载自：焉知智能汽车