作者 | 磐匠

出品 | 焉知

知圈 | 进“滑板底盘群”请加微yanzhi-6,备注底盘

根据制动执行机构的不同，线控制动系统（Brake-By-Wire）可以分为液压式线控制动系统（Electro-Hydraulic Brake, EHB）和机械式线控制动系统（Electro-Mechanical Brake, EMB）。其中，EHB 以传统的液压制动系统为基础，用电子器件替代了部分机械部件的功能，使用制动液作为动力传递媒介，同时具备液压备份制动系统，是目前的主流技术方案。而EHB根据集成度的高低，EHB 可以分为Two-box 和One-box 两种技术方案。

随着新能源汽车市场的扩张，“eBooster+ ESC”组合成为了目前市场上最主流的Two-box方案。该方案除了实现基础的制动助力功能和稳定性控制功能外，还能在实现制动能量回收的同时协调配合，保证在电制动和液压制动的切换中实现驾驶员的踏板感一致。此外，随着高阶辅助驾驶系统和自动泊车系统的普及，“eBooster+ ESC”在其中也扮演着实现制动冗余的角色。

另一方面，线控制动系统用电子器件代替部分机械部件，使得系统的安全性高度依赖电子器件的安全性和可靠性，这样一来，线控制动系统的功能安全开发显得尤为重要。

自从2011年功能安全标准ISO 26262自2021年正式发布，ISO 26262聚焦于电子电气系统的功能安全，对产品的整个生命周期进行评估，涵盖功能性安全需求规划、设计、实施、集成、验证、确认和配置等方面，旨在通过完善的开发流程，将汽车电子电气系统故障的风险降到最低，是全球电子零部件供应商进入汽车行业的准入门槛之一。国内外各大主流汽车企业陆续将ISO 26262中定义的需求融入自己的研发体系和流程中。

在前几期（11、12）中系列文章对“eBooster+ ESC”组合的系统架构及制动功能的实现展开了介绍，从本期开始将对“eBooster+ ESC”组合功能安全开发中的关键环节及要点进行介绍，本文将聚焦于危害分析与风险评估的方法论介绍。

危害分析与风险评估示意图

1.功能安全与ISO 26262简介

但是宽泛的适用范围以及标准制订时并没有引入汽车行业，使得IEC 61508直接实施在汽车领域存在很多局限，导致国内外主流OEM虽然在汽车功能安全开发实践中有过探索和实践，但难成行业体系。

另一方面，随着计算机和集成电路技术的发展，层出不穷的汽车被动安全和主动安全系统在拯救了无数生命的同时，也存在着功能异常表现而造成危及生命的伤害的潜在风险（如安全气囊非预期起爆）。于此同时，在汽车智能化的浪潮下，汽车上的电气和电子系统（E/E system）也越来越复杂。汽车行业亟需一个通用的适用于汽车E/E系统的安全性的评价体系和安全开发的指导体系。

在这样的背景下，ISO 26262基于IEC 61508的理论框架衍生开来，并于2011年正式发布第一版，旨在对汽车安全生命周期(管理、开发、生产、运行、服务、报废)的各个阶段提供功能安全方法指导。自此，基于ISO 26262的系统指导，汽车功能安全开始真正地陆续融入国内外各大主流OEM的开发体系中。

ISO 26262与IEC 61580

我国也在不断推进功能安全在汽车行业的落地，国家标准化管理委员会基于ISO 26262的框架体系于2017年发布《GB/T 34590道路车辆 功能安全》，该标准的发布对推动功能安全在中国汽车行业的落地有着积极作用。

2.危害分析与风险评估的方法论

ISO 26262 part3,6.4.2.3

Hazards caused by malfunctioning behaviour of the item shall be defined at the vehicle level.( 应以能在整车层面观察到的条件或行为来定义危害)

1. GB T-34590 part3, 7.4.2.2.2：

应以能在整车层面观察到的条件或行为来定义危害。

既然是以整车层面观察到的行为来定义危害，那么，首先需要了解车辆所有可能的运动行为。从整车动力学的角度，汽车所有的运动行为可以被下图中的运动坐标系准确描述。

车辆运动坐标系

需要补充一点，整车除了在运动坐标系上所能识别出来的危害外，还有其他类型的危害需要考虑。比如，复杂的E/E系统下人机交互界面(HMI: Human Machine Interface)越来越受重视，当某个系统失效后，如果没有通过HMI及时告知驾驶员可能引起危害；抑或是制动灯没有及时点亮，导致后车驾驶员在前车紧急刹车时制动不及时也可能造成危害。

• 是否所有的整车危害都会造成不合理的风险呢？

答案是否定的。拿eBooster可能造成的下面的危害来说，

从上面的例子可以看出，整车危害并不一定会带来不合理的风险，这取决于多方面的因素如车辆运行场景、运行场景下参与者的表现以及风险造成的人身伤害的严重程度。

车辆运行场景示例，图片来自网络

因此，当整车危害被识别出来后，需要结合危害和场危害发生时刻车辆运行的场景来分析造成的潜在风险是否可被接受，这一活动被称为“危害事件分类（Classification of hazardous events）”。

当列出了相关项的所有场景与危害的组合后，接下来就是对其进行分类和筛选，确定哪些风险是可接受的，哪些是不可接受的。ISO 26262给出了危害事件分类的定性的方法，筛选指标分为三个维度：

1. S（severity 严重度）：危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。评分表如下：

S值评级及说明，图片来自网络

2. E（Exposure 曝光度）：运行场景在日常驾驶过程中发生的概率。评分表如下：

E值评级及说明，图片来自网络

3. C（controllability 可控度）：驾驶员或其他涉险人员控制危害以避免伤害的概率。评分表如下：

C值评级及说明，图片来自网络

基于这三个维度的评分，即可确定ASIL等级即汽车安全完整性等级（ automotive safety integrity level）。ASIL一共分为四个等级，D代表最高严格等级，即风险最高，A 代表最低严格等级，即风险最低。

如果相关项对应的危害事件的评级在ASIL A及ASIL A以上，则功能安全开发需要予以考虑；对于QM（质量管理，quality management），只要按照企业流程开发就认为可以满足ISO 26262要求，无需额外进行功能安全开发。

限于篇幅，将在下篇中以‘ESC+eBooster’系统为对象，对本文介绍的危害分析与风险评估的方法论展开系统介绍。