智能底盘技术(14) | Two-box方案"ESC+eBooster"功能安全之危害分析与风险评估(下)
1.整车危害分析
Incorrect Function-More than intended Incorrect Function-Less than intended Incorrect Function-Wrong direction
功能1:驾驶员制动助力功能 功能2:外部ECU制动请求响应功能 功能3:电子稳定性控制功能 (ABS/TCS/VDC) 功能4:制动灯控制功能
1.1.驾驶员制动助力功能
HAZOP | 功能失效 | 整车危害 | 备注 |
Unintended Activation of Function | 驾驶员无请求但非预期液压制动 | 运动工况:车辆非预期减速 静止工况:车辆非预期液压驻车 | 制动力未引起车轮抱死,车辆纵向运动(Longitudinal motion) |
车辆失去稳定性 | 制动力引起车轮抱死,车辆有横向运动意图(Lateral motion) | ||
Loss of Function | 驾驶员请求制动但无液压制动力 | 运动工况:车辆无减速度 静止工况:车辆无液压驻车力 | |
Function provided less than intended | 驾驶员请求制动但液压制动力过小 | 运动工况:车辆减速度过小 静止工况:车辆液压驻车力不足 | |
Function provided more than intended | 驾驶员请求制动但液压制动力过大 | 运动工况:车辆减速度过大 静止工况:车辆液压驻车力过大 |
1.2.外部ECU制动请求响应功能
HAZOP | 功能失效 | 整车危害 | 备注 |
Unintended Activation of Function | 外部ECU无请求但非预期液压制动 | 运动工况:车辆非预期减速 静止工况:车辆非预期液压驻车 | 制动力未引起车轮抱死,车辆纵向运动(Longitudinal motion) |
车辆失去稳定性 | 制动力引起车轮抱死,车辆有横向运动意图(Lateral motion) | ||
Loss of Function | 外部ECU请求制动但无液压制动力 | 运动工况:车辆无减速度 静止工况:车辆无液压驻车力 | |
Function provided less than intended | 外部ECU请求制动但液压制动力过小 | 运动工况:车辆减速度过小 静止工况:车辆液压驻车力不足 | |
Function provided more than intended | 外部ECU请求制动但液压制动力过大 | 运动工况:车辆减速度过大 静止工况:车辆液压驻车力过大 |
1.3.电子稳定性控制功能
HAZOP | 功能失效 | 整车危害 | 备注 |
Unintended Activation of Function | 车辆正常运行时稳定性功能非预期干预 | 车辆失去稳定性 | 车辆有横向运动意图 Lateral motion |
Loss of Function | 车辆即将失稳时稳定性功能不干预 | 车辆失去稳定性 | 车辆有横向运动意图 Lateral motion |
Function provided less than intended | 车辆即将失稳时稳定性功能干预但是干预不当(干预不足) | 车辆失去稳定性 | 车辆有横向运动意图 Lateral motion |
Function provided more than intended | 车辆即将失稳时稳定性功能干预但是干预不当(干预过度) | 车辆失去稳定性 | 车辆有横向运动意图 Lateral motion |
1.4.制动灯控制功能
HAZOP | 功能失效 | 整车危害 | 备注 |
Unintended Activation of Function | 车辆不制动时制动灯点亮 | 车辆点亮制动灯运行,无危害。 | 其他功能(助力功能、稳定性控制功能)等正常 |
Loss of Function | 车辆制动时制动灯不点亮 | 车辆无制动灯运行 | |
Function provided less than intended | n.a. | ||
Function provided more than intended | n.a. |
基于HAZOP分析结果,可以看出不同的功能失效可能引起相同的整车危害。为避免重复,此处将“eBooster+ ESC”系统功能异常可能引起的整车危害汇总成下表。
车辆状态 | 整车危害 |
运动 | 驾驶员或者外部ECU无制动请求时,非预期制动导致车轮抱死,车辆失去稳定性 |
驾驶员或者外部ECU无制动请求时,非预期制动导致车辆减速度过大(车辆具有横向稳定性) | |
驾驶员请求制动时减速度过小 | |
外部ECU请求制动时减速度过小 | |
(正常行驶时)稳定性功能非预期干预导致车辆失去稳定性 | |
(有失稳趋势时)稳定性功能无干预或干预不当导致车辆失去稳定性 | |
车辆制动时制动灯不亮 | |
静止 | 车辆驻车力过大 (驾驶员在车内) |
车辆驻车力过小(驾驶员在车内) |
2.危害事件分类与风险分析
识别出整车危害后,需要结合场景对危害事件进行分类,以识别出功能安全开发需要考虑的不合理的风险。
危害事件分类主要是通过三个维度对风险进行评级:
S(severity 严重度):危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。
E(Exposure 曝光度):运行场景在日常驾驶过程中发生的概率。
C(controllability 可控度):驾驶员或其他涉险人员控制危害以避免伤害的概率。
接下来基于上节HAZOP分析结果,进一步展开危害事件分类和风险分析。
注:以下分析仅供参考,与具体项目开发中的分析结果可能存在差异。
2.1.驾驶员或外部ECU无制动请求时非预期制动导致车轮抱死
整车危害 | 场景 | 可能发生的风险 | |
车轮抱死,车辆失去稳定性 | 几乎所有行车驾驶场景 | 撞到其他车辆或者障碍物或者行人 | |
S值 | E值 | C值 | ASIL等级 |
车辆失去稳定性,驾驶员有危及生命的危害 S3 | 场景几乎发生在每次驾驶中 E4 | 低于90%的驾驶员可以控制车辆 C3 | D |
2.2.驾驶员或外部ECU无制动请求时非预期制动导致减速度过大(车辆具有横向稳定性)
整车危害 | 场景 | 可能发生的风险 | |
减速度过大 | 两辆车运行在同一车道且速度相近; 后车未保持安全距离 | 前车非预期减速,后车制动不及,追尾 | |
S值 | E值 | C值 | ASIL等级 |
碰撞速度超过40kph时,驾驶员有危及生命的危害 S3 | 两辆车运行在同一车道且速度相近几乎发生在每次驾驶中,E4;后车未保持安全距离暴露度降低为E3 E3 | 低于90%的驾驶员可以控制车辆 C3 | C |
2.3.驾驶员请求制动时减速度过小
整车危害 | 场景 | 可能发生的风险 | |
车辆减速度过小 | 两辆车运行在同一车道且速度相近,前车正常制动 | 后车制动力过小,与前车追尾 | |
S值 | E值 | C值 | ASIL等级 |
碰撞速度超过40kph时,驾驶员有危及生命的危害 S3 | 场景几乎发生在每次驾驶中 E4 | 低于90%的驾驶员可以控制车辆 C3 | D |
2.4.外部ECU请求制动时减速度过小(辅助驾驶*)
*辅助驾驶下驾驶员需要时刻关注运行情况并在必要时接管
整车危害 | 场景 | 可能发生的风险 | |
车辆减速度过小 | 两辆车运行在同一车道且速度相近,前车正常制动 | 后车制动力过小,与前车追尾 | |
S值 | E值 | C值 | ASIL等级 |
碰撞速度超过40kph时,驾驶员有危及生命的危害 S3 | 场景几乎发生在每次驾驶中 E4 | 常规可控(踩制动接管) C0 | QM |
2.5.外部ECU请求制动时减速度过小(自动驾驶*)
*自动驾驶下允许驾驶员不接管车辆,车辆出现异常时需要系统接管
整车危害 | 场景 | 可能发生的风险 | |
车辆减速度过小 | 两辆车运行在同一车道且速度相近,前车正常制动 | 后车制动力过小,与前车追尾 | |
S值 | E值 | C值 | ASIL等级 |
碰撞速度超过40kph时,驾驶员有危及生命的危害 S3 | 场景几乎发生在每次驾驶中 E4 | 低于90%的驾驶员可以控制车辆 C3 | D |
2.6.稳定性功能非预期干预导致车辆失去稳定性
整车危害 | 场景 | 可能发生的风险 | |
车辆失去稳定性 | 几乎所有行车驾驶场景 | 撞到其他车辆或者障碍物或者行人 | |
S值 | E值 | C值 | ASIL等级 |
车辆失去稳定性,驾驶员有危及生命的危害 S3 | 场景几乎发生在每次驾驶中 E4 | 低于90%的驾驶员可以控制车辆 C3 | D |
2.7.稳定性功能无干预或干预不当导致车辆失去稳定性
整车危害 | 场景 | 可能发生的风险 | |
车辆失去稳定性 | 需要稳定性功能干预的行车驾驶场景 | 撞到其他车辆或者障碍物或者行人 | |
S值 | E值 | C值 | ASIL等级 |
车辆失去稳定性,驾驶员有危及生命的危害 S3 | 对于绝大多数驾驶员一年发生几次 E2 | 低于90%的驾驶员可以控制车辆 C3 | B |
2.8.车辆制动时制动灯不亮
整车危害 | 场景 | 可能发生的风险 | |
制动灯不亮 | 在能见度低的驾驶场景(如雾天)中制动 | 后车驾驶员反应不及时,追尾 | |
S值 | E值 | C值 | ASIL等级 |
碰撞速度超过40kph时,驾驶员有危及生命的危害 S3 | 对于绝大多数驾驶员一年发生几次 E2 | 低于90%的驾驶员可以控制车辆 C3 | B |
2.9.车辆驻车力过大(驾驶员在车内)
整车危害 | 场景 | 可能发生的风险 | |
车辆无法移动 | 汽车低速通过或者静止在有危险的地方(如十字路口,铁轨等) | ||
S值 | E值 | C值 | ASIL等级 |
碰撞速度超过40kph时,驾驶员有危及生命的危害 S3 | 对于绝大多数驾驶员小于一年发生一次 E1 | 99% 或者更多的驾驶员或交通参与者通常能够避免危害(如快速下车)C1 | QM |
2.10.车辆驻车力过小 (驾驶员在车内)
整车危害 | 场景 | 可能发生的风险 | |
溜车 | 车辆停在坡道上 | 坡道距离较长,溜车后车速上升并撞到行人 | |
S值 | E值 | C值 | ASIL等级 |
坡道相对较陡,撞到行人时车速超过15kph S3 | 车辆长时间停在>5%的坡上一个月发生一次或多次 E4 | 常规可控(驾驶员可以继续深踩制动或者请求卡钳驻车)C0 | QM |
3.导出功能安全目标
序号 | 安全目标 | ASIL等级 |
SG1 | 避免制动力过大导致车辆失稳 | ASIL D |
SG2 | 避免非预期制动导致减速度过大 | ASIL C |
SG3.1 | 避免驾驶员制动请求时减速度过低 | ASIL D |
SG4.1 | 避免外部ECU制动请求时减速度过低(自动驾驶) | ASIL D |
SG5 | 避免稳定性功能非预期干预导致车辆失稳 | ASIL D |
SG6 | 避免稳定性功能干预不当导致车辆失稳 | ASIL B |
SG7 | 避免避免车辆制动时丢失制动灯 | ASIL B |
焉知智能汽车持续关注智能底盘的进化,同时致力于打造系列文章将涵盖智能底盘的所有领域,推出《智能底盘技术系列文章》,对底盘系统的技术方案及发展趋势进行深入的探讨。基于这一定位,系列文章将围绕以下框架展开深入的研究。
底盘系统的主流产品介绍与行业动态(产品介绍、功能设计、功能安全设计、国内外玩家现状等方面展开)
制动系统篇
转向系统篇
驱动系统篇
悬架系统篇
智能底盘的发展新趋势
底盘域融合
新电子电气(E/E)架构
智能底盘安全拓展 (功能安全,预期功能安全,信息安全)
滑板底盘
该系列文章将在“焉知智能汽车”公众号上持续连载更新,欢迎感兴趣的读者点击左下角“阅读原文”订阅专栏,或订阅“智能底盘”合集标签。同时欢迎留言讨论。受限于作者的水平,如文章有不正确之处也欢迎读者留言指正。
智能底盘技术(2) | 汽车制动系统的发展概述
智能底盘技术(3) | 从真空助力器说起
智能底盘技术(4) | 线控制动eBooster介绍
智能底盘技术(5) | 底盘电子稳定性控制系统的进化之路之ABS
智能底盘技术(6) | 底盘电子稳定性控制系统的进化之路之TCS
智能底盘技术(7) | 底盘电子稳定性系统的进化之路之VDC
智能底盘技术(8) | 智能底盘下电子稳定性系统的再进化系统的再进化
智能底盘技术(9) | ESC系统主动安全技术的拓展
智能底盘技术(10) | 线控制动的类型与市场动态介绍
智能底盘技术(11) | Two-box方案"ESC eBooster"系统介绍
智能底盘技术(12) | Two-box方案"ESC eBooster"制动控制介绍
智能底盘技术(13) | Two-box方案"ESC eBooster"功能安全之危害分析与风险识别(上)