前文提要&本文要點(diǎn)

在上一篇文章中總結(jié)和梳理了危害分析與風(fēng)險(xiǎn)評(píng)估的要點(diǎn)和常見誤區(qū)，不過這種以點(diǎn)展開的方式雖然能突出重點(diǎn)，但是難以形成一個(gè)系統(tǒng)的輪廓。實(shí)際上，危害分析和風(fēng)險(xiǎn)評(píng)估的流程可以概括如下：

危害分析和風(fēng)險(xiǎn)評(píng)估的流程

前文也提到，VDA360中的功能安全章節(jié)總結(jié)了eBooster系統(tǒng)相關(guān)的危害和風(fēng)險(xiǎn)，并對(duì)每種風(fēng)險(xiǎn)推薦了ASIL等級(jí)。但略顯遺憾的是，VDA360并沒有給出ASIL等級(jí)背后的分析過程，因此在參考該標(biāo)準(zhǔn)時(shí)難免有“不識(shí)廬山真面目”之感。

基于此，本文以VDA360所推薦的危害分析與風(fēng)險(xiǎn)評(píng)估結(jié)果為基礎(chǔ)，沿著上圖所展示的流程，系統(tǒng)地對(duì)eBooster進(jìn)行危害分析，在這個(gè)過程中嘗試補(bǔ)充VDA360中ASIL等級(jí)背后的S/E/C值評(píng)級(jí)。如此一來(lái)，有了在VDA360的指導(dǎo)和約束，既能以實(shí)操的形式進(jìn)一步理解危害分析與風(fēng)險(xiǎn)評(píng)估的過程，同時(shí)也能保證分析結(jié)果的合理性。希望能給讀者提供一些有用的參考和啟發(fā)。

1. eBooster系統(tǒng)邊界與功能定義

一般來(lái)說(shuō)搭載了eBooster系統(tǒng)的車輛同時(shí)搭載了ESC系統(tǒng)，兩者共同構(gòu)成制動(dòng)控制系統(tǒng)（Brake Control System）,ESC+eBooster制動(dòng)控制系統(tǒng)的示意圖如下所示。對(duì)于制動(dòng)控制系統(tǒng)的結(jié)構(gòu)此處強(qiáng)調(diào)幾點(diǎn)：

1）eBooster和ESC共用一套制動(dòng)油壺、制動(dòng)主缸和制動(dòng)管路。

2）eBooster內(nèi)的助力電機(jī)產(chǎn)生驅(qū)動(dòng)力推動(dòng)主缸活塞運(yùn)動(dòng)，使油壺中的制動(dòng)液流入主缸管路并進(jìn)入ESC進(jìn)液閥，經(jīng)ESC中的調(diào)壓閥和進(jìn)液閥流入4個(gè)輪缸，從而建立起制動(dòng)力。

3）當(dāng)eBooster不工作時(shí)，ESC也可以獨(dú)立控制制動(dòng)液從主缸流入輪缸，從而建立制動(dòng)力。

4）eBooster建壓的動(dòng)態(tài)響應(yīng)速度比ESC主動(dòng)建壓更快，且NVH表現(xiàn)更好，因此eBooster是制動(dòng)控制系統(tǒng)中的主執(zhí)行機(jī)構(gòu)。

ESC+eBooster的制動(dòng)控制系統(tǒng)

eBooster和ESC在實(shí)現(xiàn)各自功能的同時(shí)又能互為制動(dòng)備份，使得制動(dòng)控制系統(tǒng)的功能更加豐富，兩者之間也定義了很多交互信號(hào)，這些信號(hào)在VDA360中有詳細(xì)的說(shuō)明。下圖為VDA360中描述的制動(dòng)控制系統(tǒng)的邊界。為了避免本文非主題相關(guān)的信息太多分散讀者的注意力，在此隱去了ESC系統(tǒng)的功能，僅圍繞eBooster的系統(tǒng)邊界來(lái)對(duì)eBooster的功能進(jìn)行說(shuō)明；同時(shí)為了聚焦于危害分析與風(fēng)險(xiǎn)評(píng)估這一主題，也不對(duì)eBooster內(nèi)部的各個(gè)模塊的功能進(jìn)行闡述，這一部分將留到后續(xù)的文章中展開。

由下圖可以概括eBooster的基本功能：

1）響應(yīng)駕駛員制動(dòng)請(qǐng)求

2）響應(yīng)外部ECU制動(dòng)請(qǐng)求

3）制動(dòng)燈控制

4）故障報(bào)警

eBooster系統(tǒng)邊界

功能1：響應(yīng)駕駛員制動(dòng)請(qǐng)求

eBooster作為取代傳統(tǒng)真空助力器的電控系統(tǒng)，響應(yīng)駕駛員制動(dòng)請(qǐng)求是其最基礎(chǔ)的功能。

當(dāng)駕駛員踩下制動(dòng)踏板時(shí)，推動(dòng)輸入推桿產(chǎn)生位移，踏板行程傳感器記錄輸入推桿位移，將其發(fā)送至ECU，ECU根據(jù)位移計(jì)算并控制助力電機(jī)產(chǎn)生力矩推動(dòng)制動(dòng)主缸推桿，使得主缸釋放液壓到輪缸以實(shí)現(xiàn)液壓制動(dòng)。

駕駛員制動(dòng)示意圖

功能2：響應(yīng)外部ECU的制動(dòng)請(qǐng)求

對(duì)于輔助駕駛功能如ACC(Active Cruise Control)而言，駕駛員無(wú)需踩制動(dòng)，ADAS ECU通過與ESC的制動(dòng)請(qǐng)求接口實(shí)現(xiàn)制動(dòng)控制，由于eBooster建壓的動(dòng)態(tài)響應(yīng)速度比ESC主動(dòng)建壓更快，且NVH表現(xiàn)更好，ESC會(huì)將目標(biāo)制動(dòng)力轉(zhuǎn)換成目標(biāo)液壓力eBooster，由eBooster實(shí)現(xiàn)制動(dòng)。

當(dāng)然，根據(jù)OEM對(duì)輔助駕駛功能的不同的設(shè)計(jì)要求，也可以直接給eBooster發(fā)送制動(dòng)請(qǐng)求，這種接口不在VDA360推薦的接口范圍內(nèi)，需要額外定義。

外部ECU制動(dòng)示意圖

功能3： 制動(dòng)燈控制

當(dāng)eBooster在執(zhí)行制動(dòng)請(qǐng)求時(shí)，需要同時(shí)發(fā)出點(diǎn)亮制動(dòng)燈的請(qǐng)求信號(hào)給制動(dòng)燈控制器。

當(dāng)eBooster功能異常而無(wú)法響應(yīng)制動(dòng)請(qǐng)求時(shí)，eBooster需要將降級(jí)狀態(tài)發(fā)送給ESC，將由ESC在制動(dòng)過程中發(fā)出制動(dòng)燈的請(qǐng)求。

eBooster制動(dòng)燈控制

功能4： 故障報(bào)警

法規(guī)要求，當(dāng)駕駛員輸入500Nm的踏板制動(dòng)力時(shí)，eBooster要有能夠產(chǎn)生不低于6.43m/s2的減速度的能力。當(dāng)這一要求無(wú)法滿足時(shí)，eBooster需要將故障狀態(tài)發(fā)送給HMI，在儀表盤上點(diǎn)亮黃燈提醒駕駛員系統(tǒng)故障。

eBooster故障報(bào)警

2. 功能失效模式與整車危害

ISO 26262中推薦了一種系統(tǒng)性地分析相關(guān)項(xiàng)的危害的方法——HAZOP(危害和可操作性分析，Hazard and Operability Analysis)，HAZOP給開發(fā)人員提供了一種分析功能失效的思維方式，被車企廣泛地運(yùn)用到了功能安全開發(fā)中，因此本文也借助HAZOP對(duì)eBooster系統(tǒng)進(jìn)行分析。

簡(jiǎn)單來(lái)說(shuō)，HAZOP從以下幾個(gè)方面全面地考慮功能的可能失效模式，從而識(shí)別出功能所有可能產(chǎn)生的危害。為避免翻譯出現(xiàn)偏差，這里摘抄HAZOP的英文解釋。

1）Loss of Function - function not provided when intended

2）Unintended Activation of Function - Function provided when not intended

3）Output Stuck at a Value - Failure of the function to update as intended

4）Function provided incorrectly when intended

a. Incorrect Function-More than intended

b. Incorrect Function-Less than intended

c. Incorrect Function-Wrong direction

需要指出的是，對(duì)于一個(gè)具體的功能來(lái)說(shuō)，并不是上面提到的所有點(diǎn)都有對(duì)應(yīng)的失效模式。比如對(duì)于制動(dòng)功能來(lái)說(shuō)，就不存在“wrong direction”的功能失效，具體功能需要具體分析。

基于HAZOP的方法對(duì)eBooster進(jìn)行功能失效分析，結(jié)果總結(jié)如下:

功能1: 響應(yīng)駕駛員制動(dòng)請(qǐng)求

功能2：響應(yīng)外部ECU的制動(dòng)請(qǐng)求

功能3： 制動(dòng)燈控制

功能4： 故障報(bào)警

基于上述分析可以看到，雖然eBooster系統(tǒng)的不同功能對(duì)應(yīng)的功能失效模式不同，但是引起的整車危害是有重疊的。接下來(lái)將識(shí)別出來(lái)的eBooster系統(tǒng)整車危害篩選并整理匯總成如下表格。

3. 危害事件分類

識(shí)別出整車危害后，需要結(jié)合場(chǎng)景對(duì)危害事件進(jìn)行分類，以識(shí)別出不合理的風(fēng)險(xiǎn)。危害事件分類主要是通過三個(gè)維度對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)。

S（severity 嚴(yán)重度）：危害發(fā)生對(duì)駕駛員或乘客或路人或周邊車輛中人員會(huì)造成的傷害等級(jí)。

E（Exposure 曝光度）：運(yùn)行場(chǎng)景在日常駕駛過程中發(fā)生的概率。

C（controllability 可控度）：駕駛員或其他涉險(xiǎn)人員控制危害以避免傷害的概率。

其中，在評(píng)價(jià)兩車碰撞的S等級(jí)時(shí)以SAE J2980為參考，如下圖所示。

截圖來(lái)自SAE J2980

車輛運(yùn)行時(shí)制動(dòng)力過小

車輛運(yùn)行時(shí)制動(dòng)力過大

制動(dòng)時(shí)沒點(diǎn)制動(dòng)燈

溜車

車輛無(wú)法移動(dòng)

4. 安全目標(biāo)（Safety Goal）

ISO 26262要求，應(yīng)為具有ASIL等級(jí)的每個(gè)危害事件確定一個(gè)安全目標(biāo)。因此，基于前面的分析結(jié)果，我們可以得到eBooster系統(tǒng)的安全目標(biāo)并匯總?cè)缦拢?/span>

SG1：eBooster在響應(yīng)駕駛員的制動(dòng)請(qǐng)求時(shí)應(yīng)避免制動(dòng)力過低 → ASIL D

SG2：eBooster在響應(yīng)外部ECU的制動(dòng)請(qǐng)求時(shí)應(yīng)避免制動(dòng)力過低 → ASIL A

SG3：eBooster應(yīng)避免產(chǎn)生非預(yù)期的制動(dòng)力且導(dǎo)致車輛失穩(wěn) → ASIL D

SG4：eBooster應(yīng)在車輛不失穩(wěn)的前提下避免產(chǎn)生非預(yù)期的制動(dòng)力 → ASIL C

SG5：eBooster應(yīng)在制動(dòng)過程中避免漏觸發(fā)制動(dòng)燈請(qǐng)求 → ASIL B

（注意：由于ESC的存在，SG3的ASIL D可以降低，這一點(diǎn)后續(xù)的文章中再詳述。）