摘要

在電動化與智能化兩大發展趨勢之下，我國正處于功能汽車向智能汽車轉型的拐點，無數新興技術得到長足進步，其中線控轉向(SBW)系統是發展未來智能汽車的熱點.大部分智能駕駛功能都直接和轉向技術相關，為提高SBW系統的安全性,可靠性,根據國際標準組織(ISO)的"ISO26262"，分析了線控轉向功能安全設計。

技術背景介紹

X-By-Wire線控技術背景

線控技術（By-Wire），通俗來講就是由“電線”或者電信號來實現 動力學傳遞控制，而不是通過機械裝置的“硬”連接來實現操作。其核心是智能機電傳動裝置，從應用于飛機駕駛控制上的Fly-By-Wire發展而來。該技術利用傳感器將駕駛者輸入信號傳遞到中央處理器、通過中央處理器的控制邏輯發送信號給相應的執行機構完成駕駛者的相關操作。這樣可取代傳統的機械結構，實現對汽車各種運動的電子線控。

X-By-Wire 包含有Steer-by-wire，Brake-by-Wire, Shift-by-wire,  Park-by-wire等，是無人駕駛車輛以及先進駕駛輔助系統的基礎。

線控轉向系統基本結構

線控轉向系統主要由綜合控制器、路感模擬器及轉向執行器組成，如圖1所示。

功能安全要求具有一定的繼承性和獨立性，因此在設計線控轉向功能安全目標時的場景分析、危害辨識、汽車安全完整性等級（Automotive Safety Integration Level，ASIL）評估可以參考EPS系統設計經驗，每一部分均具有一定的關聯性。

線控轉向系統中控制器較多，且無法進行取代，同時參考博世的電子電氣架構技術戰略圖（見圖2）及整車需求，在當前階段采用域中心控制器的架構設計。

綜合控制器負責線控轉向系統綜合控制，對路感模擬器及轉向執行器分別發出轉矩及轉角執行的信號請求，同時負責與整車及SBW系統內部的信息傳遞。路感模擬器由轉角扭矩傳感器、路感電機及其控制器組成，其中，轉角扭矩傳感器負責轉角及扭矩的信號獲取，路感電機控制器接收綜合控制器的扭矩請求，控制路感電機實現路感控制，同時向綜合控制器反饋轉角及扭矩信息。

轉向執行器由轉角傳感器、執行電機及其控制器組成，其中，轉角傳感器負責轉角信號獲取，執行電機控制器接收綜合控制器的轉角請求，控制執行電機實現轉角控制，同時向綜合控制器反饋轉角及扭矩信息。

線控轉向功能安全概念

根據ISO26262以及國標GB/T34590，GB17675等標準 ，開展了針對線控轉向SBW（雙冗余SFA+雙冗余FWA）的功能安全概念階段開發。功能安全的定義是“不存在由電子電氣系統失效而造成危害的不合理風險”，要想避免“不合理的風險”，首先要進行危害分析與風險評估，正確地識別風險，并對風險進行ASIL等級評估從而得到相關項的安全目標。

線控轉向功能安全設計

線控轉向系統取消了轉向盤與轉向輪之間的機械連接，其角傳遞 和力傳遞都是通過電傳機構實現，物理上的完全解耦給汽車轉向特性帶來巨大的設計空間。

線控系統推廣的關鍵是安全性的滿足，通過硬件和軟件系統的功能安全設計提高系統可靠性，保證故障下車輛基本操控執行功能的完成。

ISO26262為汽車電子電氣系統功能安全的開發提供了一整套V模型的安全管理生命周期，基于V模型為產品開發不同階段提供過程參考。歐洲和美國已經強制執行，中國處于起步階段，意識到了重要性，面臨巨大挑戰。

ISO 26262功能安全架構設計流程

1.系統定義

根據線控轉向系統的產品需求，對包括方向盤、傳感器、控制器、 轉向機和路感電機等的設計進行定義，考慮線控運作特點形成線控轉向系統的功能框圖。

2.系統危險分析和風險評估HARA

危險辨識主要考慮系統功能的潛在危險，根據ISO可能發生6種失效情況：系統有 需求時無功能輸出、系統無需求時有功能輸出、功能輸出超出系統需求、功能輸 出少于系統需求、功能輸出與系統需求相反、功能輸出不穩定

對線控轉向系統的每一種功能，考慮這6種失效情況可能引起的系統失效，得到線控轉向系統的潛在危害列表。

ISO 26262為評估汽車發生故障時的風險等級，提出了汽車安全完整性等(Automotive Safety Integrity Level，ASIL) 的概念，來衡量系統安全要求以及安全機制的能力，它表示在規定的條件下，規定的時間內，安全系統成功實現所要求功能的概率或等級。

1、嚴重度（Severity，S）。嚴重度是指在某種駕駛場景下，危險發生會對駕駛員和其他交通參與者的傷害程度，通常包括四個等級：S0，S1，S2，S3。其各自代表的嚴重程度如下所示。

2、暴露度（Exposure，E）。暴露度是指在某種駕駛場景下，危險發生的概率，分為五個等級：E0，E1，E2，E3，E4。其各自代表的可能性如下所示。

3、可控性（Controllability，C）。可控性是指在某種駕駛場景下，當危險發生時，駕駛員或其他人對危險造成后果的控制程度。分為四個等級：C0，C1，C2，C3。其各自對應的可控程度如下所示。

當確定了風險的嚴重度、暴露度和可控性這三個參數之后，可以根據ISO26262確定風險的ASIL等級：ASIL A代表了汽車安全完整性要求最低，而ASIL D代表了汽車安全完整性最高。QM是質量管理，代表了ISO  26262對QM等級的系統沒有安全需求，其只需滿足質量管理要求即可。

3.系統安全目標確定Safety Goal

由危險分析和風險評估(HARA)，可得線控轉向系統的安全目標(Safety Goal，SG) 如下中所示。根據ISO 26262 的要求，整個系統的ASIL 等級應取所有潛在危險中最高的等級，線控轉向系統的整體功能安全等級為ASIL D。

ME：實驗測量得出的轉向力矩的邊界值

FTTI：為故障容錯時間

4.系統功能安全概念設計

系統的功能安全概念是基于安全目標，對系統的功能模塊提出故障檢測、安全狀態、安全機制等方面的功能安全需求（functional safety requirement, FSR），并將安全目標的ASIL 等級分配到系統的軟件策略和硬件要求中。

失效模式與后果分析FMEA

線控轉向系統分為傳感器模塊，控制器模塊和執行器模塊，其中控制器模塊又可分為電源模塊，傳感器處理模塊，CAN通訊模塊，MCU最小系統模塊等，根據ISO 26262-4的要求，需要針對各個模塊進行失效模式和影響分析。（FMEA），并對各個失效模式設計了相應的安全機制。

結語

線控轉向系統是現代汽車中的重要組成部分，需要進行功能安全設計。通過制定安全目標、進行危險分析與風險評估、制定安全性需求、系統設計與驗證、系統測試與驗證以及故障管理與診斷等技術手段，可以確保線控轉向系統滿足相應的安全性能要求，保證車輛駕駛安全。