摘要

在电动化与智能化两大发展趋势之下，我国正处于功能汽车向智能汽车转型的拐点，无数新兴技术得到长足进步，其中线控转向(SBW)系统是发展未来智能汽车的热点.大部分智能驾驶功能都直接和转向技术相关，为提高SBW系统的安全性,可靠性,根据国际标准组织(ISO)的"ISO26262"，分析了线控转向功能安全设计。

技术背景介绍

X-By-Wire线控技术背景

线控技术（By-Wire），通俗来讲就是由“电线”或者电信号来实现 动力学传递控制，而不是通过机械装置的“硬”连接来实现操作。其核心是智能机电传动装置，从应用于飞机驾驶控制上的Fly-By-Wire发展而来。该技术利用传感器将驾驶者输入信号传递到中央处理器、通过中央处理器的控制逻辑发送信号给相应的执行机构完成驾驶者的相关操作。这样可取代传统的机械结构，实现对汽车各种运动的电子线控。

X-By-Wire 包含有Steer-by-wire，Brake-by-Wire, Shift-by-wire,  Park-by-wire等，是无人驾驶车辆以及先进驾驶辅助系统的基础。

线控转向系统基本结构

线控转向系统主要由综合控制器、路感模拟器及转向执行器组成，如图1所示。

功能安全要求具有一定的继承性和独立性，因此在设计线控转向功能安全目标时的场景分析、危害辨识、汽车安全完整性等级（Automotive Safety Integration Level，ASIL）评估可以参考EPS系统设计经验，每一部分均具有一定的关联性。

线控转向系统中控制器较多，且无法进行取代，同时参考博世的电子电气架构技术战略图（见图2）及整车需求，在当前阶段采用域中心控制器的架构设计。

综合控制器负责线控转向系统综合控制，对路感模拟器及转向执行器分别发出转矩及转角执行的信号请求，同时负责与整车及SBW系统内部的信息传递。路感模拟器由转角扭矩传感器、路感电机及其控制器组成，其中，转角扭矩传感器负责转角及扭矩的信号获取，路感电机控制器接收综合控制器的扭矩请求，控制路感电机实现路感控制，同时向综合控制器反馈转角及扭矩信息。

转向执行器由转角传感器、执行电机及其控制器组成，其中，转角传感器负责转角信号获取，执行电机控制器接收综合控制器的转角请求，控制执行电机实现转角控制，同时向综合控制器反馈转角及扭矩信息。

线控转向功能安全概念

根据ISO26262以及国标GB/T34590，GB17675等标准 ，开展了针对线控转向SBW（双冗余SFA+双冗余FWA）的功能安全概念阶段开发。功能安全的定义是“不存在由电子电气系统失效而造成危害的不合理风险”，要想避免“不合理的风险”，首先要进行危害分析与风险评估，正确地识别风险，并对风险进行ASIL等级评估从而得到相关项的安全目标。

线控转向功能安全设计

线控转向系统取消了转向盘与转向轮之间的机械连接，其角传递 和力传递都是通过电传机构实现，物理上的完全解耦给汽车转向特性带来巨大的设计空间。

线控系统推广的关键是安全性的满足，通过硬件和软件系统的功能安全设计提高系统可靠性，保证故障下车辆基本操控执行功能的完成。

ISO26262为汽车电子电气系统功能安全的开发提供了一整套V模型的安全管理生命周期，基于V模型为产品开发不同阶段提供过程参考。欧洲和美国已经强制执行，中国处于起步阶段，意识到了重要性，面临巨大挑战。

ISO 26262功能安全架构设计流程

1.系统定义

根据线控转向系统的产品需求，对包括方向盘、传感器、控制器、 转向机和路感电机等的设计进行定义，考虑线控运作特点形成线控转向系统的功能框图。

2.系统危险分析和风险评估HARA

危险辨识主要考虑系统功能的潜在危险，根据ISO可能发生6种失效情况：系统有 需求时无功能输出、系统无需求时有功能输出、功能输出超出系统需求、功能输 出少于系统需求、功能输出与系统需求相反、功能输出不稳定

对线控转向系统的每一种功能，考虑这6种失效情况可能引起的系统失效，得到线控转向系统的潜在危害列表。

ISO 26262为评估汽车发生故障时的风险等级，提出了汽车安全完整性等(Automotive Safety Integrity Level，ASIL) 的概念，来衡量系统安全要求以及安全机制的能力，它表示在规定的条件下，规定的时间内，安全系统成功实现所要求功能的概率或等级。

1、严重度（Severity，S）。严重度是指在某种驾驶场景下，危险发生会对驾驶员和其他交通参与者的伤害程度，通常包括四个等级：S0，S1，S2，S3。其各自代表的严重程度如下所示。

2、暴露度（Exposure，E）。暴露度是指在某种驾驶场景下，危险发生的概率，分为五个等级：E0，E1，E2，E3，E4。其各自代表的可能性如下所示。

3、可控性（Controllability，C）。可控性是指在某种驾驶场景下，当危险发生时，驾驶员或其他人对危险造成后果的控制程度。分为四个等级：C0，C1，C2，C3。其各自对应的可控程度如下所示。

当确定了风险的严重度、暴露度和可控性这三个参数之后，可以根据ISO26262确定风险的ASIL等级：ASIL A代表了汽车安全完整性要求最低，而ASIL D代表了汽车安全完整性最高。QM是质量管理，代表了ISO  26262对QM等级的系统没有安全需求，其只需满足质量管理要求即可。

3.系统安全目标确定Safety Goal

由危险分析和风险评估(HARA)，可得线控转向系统的安全目标(Safety Goal，SG) 如下中所示。根据ISO 26262 的要求，整个系统的ASIL 等级应取所有潜在危险中最高的等级，线控转向系统的整体功能安全等级为ASIL D。

ME：实验测量得出的转向力矩的边界值

FTTI：为故障容错时间

4.系统功能安全概念设计

系统的功能安全概念是基于安全目标，对系统的功能模块提出故障检测、安全状态、安全机制等方面的功能安全需求（functional safety requirement, FSR），并将安全目标的ASIL 等级分配到系统的软件策略和硬件要求中。

失效模式与后果分析FMEA

线控转向系统分为传感器模块，控制器模块和执行器模块，其中控制器模块又可分为电源模块，传感器处理模块，CAN通讯模块，MCU最小系统模块等，根据ISO 26262-4的要求，需要针对各个模块进行失效模式和影响分析。（FMEA），并对各个失效模式设计了相应的安全机制。

结语

线控转向系统是现代汽车中的重要组成部分，需要进行功能安全设计。通过制定安全目标、进行危险分析与风险评估、制定安全性需求、系统设计与验证、系统测试与验证以及故障管理与诊断等技术手段，可以确保线控转向系统满足相应的安全性能要求，保证车辆驾驶安全。