Two-box方案"ESC+eBooster"功能安全之危害分析与风险评估（下）

发布于 2022-11-10 18:56

浏览

0收藏

根据制动执行机构的不同，线控制动系统（Brake-By-Wire）可以分为液压式线控制动系统（Electro-Hydraulic Brake, EHB）和机械式线控制动系统（Electro-Mechanical Brake, EMB）。其中，EHB 以传统的液压制动系统为基础，用电子器件替代了部分机械部件的功能，使用制动液作为动力传递媒介，同时具备液压备份制动系统，是目前的主流技术方案。而EHB根据集成度的高低，EHB 可以分为Two-box 和One-box 两种技术方案。

随着新能源汽车市场的扩张，“eBooster+ ESC”组合成为了目前市场上最主流的Two-box方案。该方案除了实现基础的制动助力功能和稳定性控制功能外，还能在实现制动能量回收的同时协调配合，保证在电制动和液压制动的切换中实现驾驶员的踏板感一致。此外，随着高阶辅助驾驶系统和自动泊车系统的普及，“eBooster+ ESC”在其中也扮演着实现制动冗余的角色。

另一方面，线控制动系统用电子器件代替部分机械部件，使得系统的安全性高度依赖电子器件的安全性和可靠性，这样一来，线控制动系统的功能安全开发显得尤为重要。

自从2011年功能安全标准ISO 26262自2021年正式发布，ISO 26262聚焦于电子电气系统的功能安全，对产品的整个生命周期进行评估，涵盖功能性安全需求规划、设计、实施、集成、验证、确认和配置等方面，旨在通过完善的开发流程，将汽车电子电气系统故障的风险降到最低，是全球电子零部件供应商进入汽车行业的准入门槛之一。国内外各大主流汽车企业陆续将ISO 26262中定义的需求融入自己的研发体系和流程中。

在上期文章中对危害分析与风险评估的方法论进行了介绍，本文将以“eBooster+ ESC”组合为分析对象，对该方法论展开实践。

Two-box方案"ESC+eBooster"功能安全之危害分析与风险评估（下）-汽车开发者社区

危害分析与风险评估示意图

1.整车危害分析

整车危害分析的目标是完整地识别出所研究的E/E系统出现功能异常时可能引起的整车层面的异常行为。对于如何展开这一活动，ISO 26262中推荐了一种系统性地分析相关项的危害的方法——HAZOP(危害和可操作性分析，Hazard and Operability Analysis)。HAZOP给开发人员提供了一种系统的思维方式，可操作性强，因此被车企广泛地运用到了功能安全开发中。

简单来说，HAZOP从以下几个方面来全面地考虑功能的可能失效模式，从而识别出功能所有可能产生的整车危害（为避免翻译出现偏差，这里保留HAZOP的英文解释）：

1.Loss of Function - function not provided when intended

2.Function provided incorrectly when intended

Incorrect Function-More than intended
Incorrect Function-Less than intended
Incorrect Function-Wrong direction

3.Unintended Activation of Function - Function provided when not intended

4.Output Stuck at a Value - Failure of the function to update as intended

注意：对于一个具体的功能来说，并不是上面提到的所有点都有对应的失效模式。

比如对于制动功能来说，就不存在“wrong direction”的功能失效。换句话说，具体功能需要具体分析。

在前几期的文章中对“eBooster+ ESC”系统的功能进行了具体的介绍，此处做一个总结：

功能1：驾驶员制动助力功能
功能2：外部ECU制动请求响应功能
功能3：电子稳定性控制功能 (ABS/TCS/VDC)
功能4：制动灯控制功能

Two-box方案"ESC+eBooster"功能安全之危害分析与风险评估（下）-汽车开发者社区

eBooster和ESC的Two-box方案系统架构

接下来将对这几个功能失效及可能引起的整车危害进行HAZOP分析。

1.1.驾驶员制动助力功能

HAZOP	功能失效	整车危害	备注
Unintended Activation of Function	驾驶员无请求但非预期液压制动	运动工况：车辆非预期减速静止工况：车辆非预期液压驻车	制动力未引起车轮抱死，车辆纵向运动(Longitudinal motion)
Unintended Activation of Function	驾驶员无请求但非预期液压制动	车辆失去稳定性	制动力引起车轮抱死，车辆有横向运动意图(Lateral motion)
Loss of Function	驾驶员请求制动但无液压制动力	运动工况：车辆无减速度静止工况：车辆无液压驻车力
Function provided less than intended	驾驶员请求制动但液压制动力过小	运动工况：车辆减速度过小静止工况：车辆液压驻车力不足
Function provided more than intended	驾驶员请求制动但液压制动力过大	运动工况：车辆减速度过大静止工况：车辆液压驻车力过大

1.2.外部ECU制动请求响应功能

HAZOP	功能失效	整车危害	备注
Unintended Activation of Function	外部ECU无请求但非预期液压制动	运动工况：车辆非预期减速静止工况：车辆非预期液压驻车	制动力未引起车轮抱死，车辆纵向运动(Longitudinal motion)
Unintended Activation of Function	外部ECU无请求但非预期液压制动	车辆失去稳定性	制动力引起车轮抱死，车辆有横向运动意图(Lateral motion)
Loss of Function	外部ECU请求制动但无液压制动力	运动工况：车辆无减速度静止工况：车辆无液压驻车力
Function provided less than intended	外部ECU请求制动但液压制动力过小	运动工况：车辆减速度过小静止工况：车辆液压驻车力不足
Function provided more than intended	外部ECU请求制动但液压制动力过大	运动工况：车辆减速度过大静止工况：车辆液压驻车力过大

1.3.电子稳定性控制功能

HAZOP	功能失效	整车危害	备注
Unintended Activation of Function	车辆正常运行时稳定性功能非预期干预	车辆失去稳定性	车辆有横向运动意图 Lateral motion
Loss of Function	车辆即将失稳时稳定性功能不干预	车辆失去稳定性	车辆有横向运动意图 Lateral motion
Function provided less than intended	车辆即将失稳时稳定性功能干预但是干预不当(干预不足)	车辆失去稳定性	车辆有横向运动意图 Lateral motion
Function provided more than intended	车辆即将失稳时稳定性功能干预但是干预不当(干预过度)	车辆失去稳定性	车辆有横向运动意图 Lateral motion

1.4.制动灯控制功能

HAZOP	功能失效	整车危害	备注
Unintended Activation of Function	车辆不制动时制动灯点亮	车辆点亮制动灯运行，无危害。	其他功能（助力功能、稳定性控制功能）等正常
Loss of Function	车辆制动时制动灯不点亮	车辆无制动灯运行
Function provided less than intended	n.a.
Function provided more than intended	n.a.

基于HAZOP分析结果，可以看出不同的功能失效可能引起相同的整车危害。为避免重复，此处将“eBooster+ ESC”系统功能异常可能引起的整车危害汇总成下表。

车辆状态	整车危害
运动	驾驶员或者外部ECU无制动请求时，非预期制动导致车轮抱死，车辆失去稳定性
	驾驶员或者外部ECU无制动请求时，非预期制动导致车辆减速度过大(车辆具有横向稳定性)
	驾驶员请求制动时减速度过小
	外部ECU请求制动时减速度过小
	(正常行驶时)稳定性功能非预期干预导致车辆失去稳定性
	(有失稳趋势时)稳定性功能无干预或干预不当导致车辆失去稳定性
	车辆制动时制动灯不亮
静止	车辆驻车力过大 (驾驶员在车内)
静止	车辆驻车力过小(驾驶员在车内)

2.危害事件分类与风险分析

识别出整车危害后，需要结合场景对危害事件进行分类，以识别出功能安全开发需要考虑的不合理的风险。

危害事件分类主要是通过三个维度对风险进行评级：

S（severity 严重度）：危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。
E（Exposure 曝光度）：运行场景在日常驾驶过程中发生的概率。
C（controllability 可控度）：驾驶员或其他涉险人员控制危害以避免伤害的概率。

接下来基于上节HAZOP分析结果，进一步展开危害事件分类和风险分析。

注：以下分析仅供参考，与具体项目开发中的分析结果可能存在差异。

2.1.驾驶员或外部ECU无制动请求时非预期制动导致车轮抱死

整车危害	场景	可能发生的风险
车轮抱死，车辆失去稳定性	几乎所有行车驾驶场景	撞到其他车辆或者障碍物或者行人
S值	E值	C值	ASIL等级
车辆失去稳定性，驾驶员有危及生命的危害 S3	场景几乎发生在每次驾驶中 E4	低于90%的驾驶员可以控制车辆 C3	D

2.2.驾驶员或外部ECU无制动请求时非预期制动导致减速度过大(车辆具有横向稳定性)

整车危害	场景	可能发生的风险
减速度过大	两辆车运行在同一车道且速度相近； 后车未保持安全距离	前车非预期减速，后车制动不及，追尾
S值	E值	C 值	ASIL等级
碰撞速度超过40kph时，驾驶员有危及生命的危害 S3	两辆车运行在同一车道且速度相近几乎发生在每次驾驶中，E4；后车未保持安全距离暴露度降低为E3 E3	低于90%的驾驶员可以控制车辆 C3	C

2.3.驾驶员请求制动时减速度过小

整车危害	场景	可能发生的风险
车辆减速度过小	两辆车运行在同一车道且速度相近，前车正常制动	后车制动力过小，与前车追尾
S值	E值	C值	ASIL等级
碰撞速度超过40kph时，驾驶员有危及生命的危害 S3	场景几乎发生在每次驾驶中 E4	低于90%的驾驶员可以控制车辆 C3	D

2.4.外部ECU请求制动时减速度过小（辅助驾驶*）

*辅助驾驶下驾驶员需要时刻关注运行情况并在必要时接管

整车危害	场景	可能发生的风险
车辆减速度过小	两辆车运行在同一车道且速度相近，前车正常制动	后车制动力过小，与前车追尾
S值	E值	C值	ASIL等级
碰撞速度超过40kph时，驾驶员有危及生命的危害 S3	场景几乎发生在每次驾驶中 E4	常规可控（踩制动接管） C0	QM

2.5.外部ECU请求制动时减速度过小（自动驾驶*）

*自动驾驶下允许驾驶员不接管车辆，车辆出现异常时需要系统接管

整车危害	场景	可能发生的风险
车辆减速度过小	两辆车运行在同一车道且速度相近，前车正常制动	后车制动力过小，与前车追尾
S值	E值	C值	ASIL等级
碰撞速度超过40kph时，驾驶员有危及生命的危害 S3	场景几乎发生在每次驾驶中 E4	低于90%的驾驶员可以控制车辆 C3	D

2.6.稳定性功能非预期干预导致车辆失去稳定性

整车危害	场景	可能发生的风险
车辆失去稳定性	几乎所有行车驾驶场景	撞到其他车辆或者障碍物或者行人
S值	E值	C值	ASIL等级
车辆失去稳定性，驾驶员有危及生命的危害 S3	场景几乎发生在每次驾驶中 E4	低于90%的驾驶员可以控制车辆 C3	D

2.7.稳定性功能无干预或干预不当导致车辆失去稳定性

整车危害	场景	可能发生的风险
车辆失去稳定性	需要稳定性功能干预的行车驾驶场景	撞到其他车辆或者障碍物或者行人
S值	E值	C值	ASIL等级
车辆失去稳定性，驾驶员有危及生命的危害 S3	对于绝大多数驾驶员一年发生几次 E2	低于90%的驾驶员可以控制车辆 C3	B

2.8.车辆制动时制动灯不亮

整车危害	场景	可能发生的风险
制动灯不亮	在能见度低的驾驶场景(如雾天)中制动	后车驾驶员反应不及时，追尾
S值	E值	C值	ASIL等级
碰撞速度超过40kph时，驾驶员有危及生命的危害 S3	对于绝大多数驾驶员一年发生几次 E2	低于90%的驾驶员可以控制车辆 C3	B

2.9.车辆驻车力过大(驾驶员在车内)

整车危害	场景	可能发生的风险
车辆无法移动	汽车低速通过或者静止在有危险的地方(如十字路口，铁轨等)
S值	E值	C值	ASIL等级
碰撞速度超过40kph时，驾驶员有危及生命的危害 S3	对于绝大多数驾驶员小于一年发生一次 E1	99% 或者更多的驾驶员或交通参与者通常能够避免危害（如快速下车）C1	QM

2.10.车辆驻车力过小 (驾驶员在车内)

整车危害	场景	可能发生的风险
溜车	车辆停在坡道上	坡道距离较长，溜车后车速上升并撞到行人
S值	E值	C值	ASIL等级
坡道相对较陡，撞到行人时车速超过15kph S3	车辆长时间停在＞5%的坡上一个月发生一次或多次 E4	常规可控（驾驶员可以继续深踩制动或者请求卡钳驻车）C0	QM

3.导出功能安全目标

根据危害分析与风险评估结果，可以导出“eBooster+ ESC”的安全目标。

序号	安全目标	ASIL等级
SG1	避免制动力过大导致车辆失稳	ASIL D
SG2	避免非预期制动导致减速度过大	ASIL C
SG3.1	避免驾驶员制动请求时减速度过低	ASIL D
SG4.1	避免外部ECU制动请求时减速度过低(自动驾驶)	ASIL D
SG5	避免稳定性功能非预期干预导致车辆失稳	ASIL D
SG6	避免稳定性功能干预不当导致车辆失稳	ASIL B
SG7	避免避免车辆制动时丢失制动灯	ASIL B