基于ISO 26262标准的整车控制系统功能安全设计

摘要：整车控制系统是整车转矩请求的来源，对整车运行安全起决定性作用。文章基于ISO 26262标准对整车控制系统的纵向控制功能进行危害与可操作性分析和危害分析以及风险评估，并推导出完整的安全目标。首先基于ISO 26262标准对整车扭矩控制功能执行功能失效分析，选取整车非预期丢失转矩控制的失效模式作为分析方向；接着将功能失效与整车典型运行场景匹配，得到整车危害事件，结合整车参数搭建整车Simulink计算模型；最后根据Simulink计算结果与行业标准及行业实践，针对危害分析和风险评估在暴露概率、严重度、可控性三个维度进行量化，进而得到整车非预期丢失动力的汽车安全完整性等级并给出完整安全目标。文章导出整车安全目标的设计分析方法，可为其他车辆的整车控制系统的功能安全设计和优化提供参考依据。

近年来，随着汽车电子架构智能化、集成化、网联化趋势的不断加强，汽车电子电器失效对整车影响的广度和深度也因此提升，故国内外对汽车安全设计要求也愈加严苛。整车扭矩控制功能是整车控制系统的基础性功能，其汽车功能安全方面的研究在国内高校和汽车主机厂很早已经开展，并投入实际产品开发和生产。

曾艾等[1]对整车控制系统进行功能安全分析，得到完整的整车扭矩控制的安全目标，并结合整车架构将整车非预期加速的安全目标分配给具体架构元素进行实现。赵征澜[2]以纯电车为例进行概念阶段分析，给出安全目标中的安全阈值及故障容错时间间隔（Fault Tolerant Time Interval, FTTI），并对安全状态和安全机制进行详细说明，利用Simulink模型仿真和硬件在环测试（Hardware-Inthe-Loop, HIL）台架验证了安全策略的有效性。张鹏君等[3]在整车控制系统常规安全目标分析的基础上，提出非预期起步和非预期反向起步监控，监控内容除常规的加速度和FTTI外，还增加了移动距离作为量化指标，并对此进行实车验证。朱仲文等[4]参考ISO 26262标准完成概念阶段开发，得出汽车安全完整性等级（Automotive Safety Integrity Level, ASIL）以及安全目标，根据不同安全阈值给出不同的处理策略，并进行了HIL测试验证安全策略的有效性。

1 存在问题

目前基于概念阶段安全目标内容、安全阈值和FTTI内容大都参考行业经验制定，以非预期输出过大驱动力为例，各主机厂要求故障阈值大致为 1～2 m/s2，FTTI时间大致为200 ms至1 000 ms。由于没有具体理论依据支撑，对于不同车型只能沿用或基于行业经验进行微调，无法满足对车辆进行精准控制的要求。基于现状，本文以整车控制系统丢失转矩控制的安全目标为例，说明从整车功能失效分析到得出安全目标的整个设计过程，以期为整车转矩控制的安全监控阈值设定提供参考。

2 安全设计

整车控制系统根据油门踏板状态、制动踏板状态、挡位、人机交互界面等信息识别驾驶员的驾驶意图，并通过转矩与加速度的转换关系，将转换后的加速度请求发送至驱动电机系统和制动系统；驱动电机系统和制动系统接收到整车指令之后执行扭矩控制和制动控制，进而实现整车纵向控制闭环，同时，整车控制系统通过仪表告知驾驶员整车运行状态信息。

对整车转矩控制执行危害与可操作性分析（Hazard and Operability Analysis, HAZOP），结果如表1所示。

表1 整车转矩控制功能的HAZOP分析

本文以整车转矩控制的功能丧失作为切入点，执行后续危害分析和风险评估。车辆运行场景分析，即将车辆功能可能出现的典型场景进行枚举。在ISO 26262[5]标准中提供了两个维度进行评估，即功能运行场景的平均运行时间和运行场景的发生频率，实际执行过程中需要根据以上两个方面进行综合考量。参考SAE J2980[6]标准筛选出典型场景对应的暴露概率，如表2所示。

表2 车辆运行场景分析

整车转矩控制功能在典型场景下的暴露概率（E）如表3所示。

表3 整车转矩控制功能的暴露概率

对于非预期丢失动力而言，主要的风险来自正常行驶过程丢失动力与后车发生碰撞和超车过程中丢失动力与超车道后车或对向来车发生碰撞。静止起步或坡道起步场景丢失动力与后车发生碰撞，通常驾驶员起步过程中注意力相对集中，可随时通过踩制动的方式规避碰撞发生；转弯、停车或拖车时一般不会使用整车驱动控制功能。一般而言，本车后车车速要低于超车道后车车速，故场景2的危害程度要比场景1要高；另一方面，场景1和场景2前后车距相同，故在功能异常之后对应的整车可控性相同。综上，场景2的危害分析结果可覆盖场景1，后续我们对场景2和场景3所对应的典型场景进行分析。

场景2-1为高速公路中变道超车行驶，本车正常变道超车，切入超车道后丢失动力，与后方车辆发生碰撞。根据《中华人民共和国道路交通安全法实施条例》中第七十八条规定和第八十条规定，得到变道超车工况的车速和车辆初始车距，细化后的场景见表4。

表4 场景2-1细化

场景2-2为城市或乡村道路中变道超车行驶，本车正常变道超车，切入超车道后丢失动力，与后方车辆发生碰撞。根据公路工程技术标准[7]，得到变道超车工况的车速。跟车距离设定为本车行车车速行驶1 s所对应的距离。细化后的场景如表5所示。

表5 场景2-2细化

场景3为城市或乡村道路中借道超车行驶（对向车道有来车），本车正常借道超车，切入超车道后丢失动力，与对向车辆发生碰撞。根据公路工程技术标准，可得借道超车工况的车速和超车视距，细化后的场景如表6所示。

表6 场景3细化

假设上述细化场景中整车丢失动力故障发生时驾驶参与者均不执行任何规避动作，据此，搭建整车碰撞模型。模型如图1所示。

图1 整车碰撞模型

场景2-1碰撞时间结果统计如图2所示，由图可知，在超车道后车速度为120 km/h，前后车初始车距为100 m的前提下，碰撞时间随着自车初速度的增加而增加；初速度为60 km/h时，碰撞事件发生在动力丢失故障后的第6.01 s；初速度为100 km/h时，碰撞事件发生在动力丢失故障后的第18.01 s。超车初始速度越高，从动力丢失故障出现到碰撞事件发生的时间间隔就越长，留给交通参与者规避碰撞发生的时间越长。

图2 不同初速度丢失加速时的碰撞时间

场景2-2碰撞时间如图3所示，由图可知，超车过程中从出现动力丢失故障到发生碰撞事件的时间间隔与初始速度和初始车距有直接关系。初速度为20 km/h时，碰撞事件发生在动力丢失故障后的第3.01 s；初速度为60 km/h时，碰撞事件发生在动力丢失故障后的第4 s。整体而言，自车初始速度越低，前后车距要求越短，随着自车初速度的提升，前后车距也应同步增长。

图3 不同初速度丢失加速时的碰撞时间

场景3碰撞时间如图4所示，由图可知，超车过程中动力丢失故障发生到碰撞事件发生的时间间隔与初始速度和超车视距有直接关系。初速度为10 km/h时，碰撞事件发生在动力丢失故障后的第12 s；初速度为60 km/h时，碰撞事件发生在动力丢失故障后的第14.15 s。整体而言，自车初始速度越低，超车视距要求越短，随着自车初速度的增加，超车视距也应同步增大。

图4 不同初速度丢失加速时的碰撞时间

根据《中华人民共和国道路安全法》第四十三条规定，可知具体超车过程中的责任划分为：变道超车过程中，本车切入超车道后丢失动力，后车因未预留足够制动距离导致追尾的，后车需承担全部责任。故对于场景2-1和场景2-2，后车有责任执行制动以规避碰撞事故发生；借道超车过程中，本车切入对向车道，本车需承担全部责任，故对于场景3对向来车无责任执行规避动作。

以某乘用车的整车数据作为输入，最大加速度5 m/s2，最大减速度7.58 m/s2。根据UN Regulation No.157[8]标准可知，驾驶员识别到车辆异常的时间为0.4 s，驾驶员完成规避动作的时间为0.75 s（驾驶员识别到异常至踩到制动踏板的时间），制动系统建压时长为0.6 s（制动压力从0到最大值的时间）。根据场景信息搭建Simulink仿真模型可计算主动制动规避碰撞发生所需的时间以及后车车速减速至目标车速时间。搭建整车减速模型如图5所示。

图5 整车减速模型

场景2-1下的减速时间如图6所示，超车道后车初始车速在120 km/h时，目标车速（自车初始速度）越低，所需减速时间越长。超车道后车车速减速至100 km/h所需时间为1.59 s，而减速至60 km/h所需的时间为2.95 s。

图6 在120 km/h初始车速下减速至不同目标车速的时间

场景2-2下的减速时间如图7所示，超车道后车初始车速与目标车速（自车初始速度）差值成反比，车速差值越大，减速至目标车速所需时间越长。超车道后车初始车速20 km/h，目标车速15 km/h，车速差值为5 km/h时，减速所需时间为1.22 s；超车道后车初始车速80 km/h，目标车速60 km/h，车速差值为20 km/h时，减速所需时间为1.41 s。

图7 不同初始车速下减速至目标车速所需时间

根据搭建Simulink减速仿真模型可计算主动刹停车辆减少碰撞程度的时间。根据计算结果可得场景3将本车刹停的具体时间，仿真结果如图8所示，由图8可知，自车初始车速越高，刹停车辆所需时间越长。自车初始车速为10 km/h时，刹停车辆所需时间为1.37 s；自车初始车速为80 km/h时，刹停车辆所需时间为3.68 s。

图8 不同初始车速的刹停时间

汇总以上分析结果：场景2-1 中从整车动力丢失故障出现到碰撞事件发生的时间间隔最短为6.01 s，而对应驾驶员识别故障减速至目标车速时间（规避碰撞事件发生）的时间最长为2.95 s。显然，6.01 s大于2.95 s，即在碰撞事件发生之前驾驶员有足够的能力进行规避；同理，场景2-2中从整车动力丢失故障出现到碰撞事件发生的时间间隔最短为3.01 s，而对应驾驶员识别故障减速至目标车速时间（规避碰撞事件发生）的时间最长为1.41 s。显然，3.01 s大于1.41 s，即在碰撞事件发生之前驾驶员有足够的能力进行规避。在场景3中，从整车动力丢失故障出现到碰撞事件发生的时间间隔最短为12 s，驾驶员最长在3.68 s刹停车辆，但是此时由于自车占道超车，事故责任在自车，对向车辆无责任进行规避动作。碰撞相对速度为20 km/h至80 km/h。

对于可控性（C），其表示危害事件能够被驾驶员或其他交通参与人员进行控制并减小的可能性，将计算结果和上海工程技术大学的狄亚格等[9]研究结论组合可得表7。由表7可知，整车的可控度评价指标是从故障发生到发生危害事件之间的时间间隔，这里的时间间隔就是即碰时间。即碰时间越长，可控度越高，C值越小，驾驶员规避事故发生的能力越强。即碰时间低于3 s时，C值为3，判定驾驶员没有能力规避危害事件发生；即碰时间高于5 s时，C值为0，判定驾驶员完全有能力规避危害事件发生。需要特别声明，由于借道超车，事故责任全在超车方，故场景3不适用表7。

表7 驾驶员及时反应避免碰撞事故发生的能力预估

严重度（S），即危害事件中交通参与人员的伤害程度，具体量化指标与碰撞时刻发生时的相对速度（针对整车纵向控制相关安全目标）有关，参考SAE J2980标准将严重度与碰撞速度相关联，结果如表8所示。由表可知，碰撞时刻的相对速度越高，危害事件的越严重，S值就越高。两车正碰时相对速度低于10 km/h，判定无伤害，即事故不会对车辆驾驶员及乘客产生伤害，S值为0；两车正碰时相对速度高于40 km/h，判定致命伤害，即事故对车辆驾驶员和乘车产生危及生命的伤害，S值为3。

表8 对潜在危害事件中人员伤害程度的预估

结合表7和表8分析信息，可得对应运行场景下的HARA分析结果。对HARA场景进行合并和汇总，参照ISO 26262 标准第三部分概念阶段开发内容中的表4，可得表9。由表可知，对于场景2-1和场景2-2，即使发生整车动力丢失故障，由于严重度和可控性评分较低，没有ASIL等级，按照质量开发即可；对于场景3，ASIL最低为ASIL A，最高为ASIL B，需要按照功能安全标准执行开发。

表9 整车丢失转矩控制的HARA分析结果

为了更好地量化开发需求，在Simulink模型中插入延迟函数和不同加速度值，具体模型如图9所示。通过调整延迟函数和不同加速度参数值可求得在恢复加速能力避免碰撞事件发生的FHTI，汇总结果如图10所示，在整车在借道超车且对向有来车的场景下，如果整车最大加速度为1 m/s2，允许整车动力丢失的时间最长为2 450 m；如果整车最大加速度为10 m/s2（理想状态），允许整车动力丢失的时间最长为4 400 ms。整车所具备的加速能力越大、FHTI值越大，留给整车控制系统执行故障诊断和故障处理的时间就越充足。

图9 插入延迟函数和不同加速度值模型

图10 不同整车加速能力下的 FHTI值

本文研究对象车辆最大实测加速能力为5 m/s2，对应的FHTI为4 250 ms，即超车过程中，动力丢失最长时间为4 250 ms，在4 250 ms时刻必须恢复5 m/s2的加速能力才能规避碰撞发生。考虑到信号传递时间和驱动电机系统执行时间，在安全状态设定时需要给出一定的安全运行余量。

由图4和表9可知整车安全目标最高的ASIL等级为ASIL B，对应的FTTI时间为12 000 ms，由图10可知整车安全目标对应的最大FHTI时间为4 250 ms。综上，可得完整的整车安全目标信息，具体安全目标内容如表10所示。

表10 安全目标

本文针对整车扭矩控制功能的安全目标设计进行了深入研究，通过危害分析与风险评估方法，结合实际运行场景和仿真分析，得出了整车扭矩控制功能的安全目标及关键参数。研究结果表明，整车扭矩控制功能在概念阶段的安全目标设定需要综合考虑功能失效模式、车辆运行场景、危害事件的严重度和可控性等因素。通过对不同典型场景的暴露度、严重度和可控性进行分析，并结合Simulink模型计算结果和行业实践，得出整车丢失动力的安全目标内容。

本文提出的整车扭矩控制功能安全目标的导出方法可为其他车辆的整车控制系统的设计和开发提供了参考依据，特别是对整车扭矩控制相关的安全监控阈值和安全状态的设定具有指导意义。未来研究可在此基础上，进一步探索不同车型在各种典型工况下的安全目标设定方法，结合实际道路测试数据，优化安全目标的实现策略，从而提升整车功能安全设计的精准性和可靠性。

参考文献

[1] 曾艾,杨永光.基于ISO 26262的动力总成系统扭矩安全概念设计[J].上海汽车,2017(10):25-29.

[2] 赵征澜.纯电动汽车转矩控制安全概念与转矩监控模型[J].汽车工程学报,2018,8(3):229-234.

[3] 张鹏君,卢立来,王宾宾,等.基于扭矩安全目标的混合动力系统扭矩监控策略研究[J].上海汽车,2022(4):16-22.

[4] 朱仲文,陆阳,王维志,等.基于功能安全的整车控制器转矩监控策略研究[J].汽车工程,2024,46(3):438-447.

[5] National Technical Committee of Auto Standardization.Road Vehicle-Function Safety:ISO 26262[S].Geneva:International Organization for Standardization,2018.

[6] SAE International.ISO 26262 ASIL Hazard Classification Considerations:SAE J2980—2018[S].Warrendale:SAE International.

[7] 中华人民共和国交通运输部.中华人民共和国行业标准公路工程技术标准:JTGB01—2014[S].北京:人民交通出版社,2015.

[8] United Nations Economic Commission for Europe.Uniform Provisions Concerning the Approval of Vehicles with Regard to Automated Lane Keeping Systems:UN Regulation No.157—2021[S].Geneva:United Nations Economic Commission for Europe,2021.

[9] 狄亚格,周健,陆杰,等.基于整车动力学的EMB线控制动系统功能安全概念设计[J].汽车安全与节能学报,2024,15(6):830-838.