盧朋珍 孫曉鵬 劉中秀 李苑瑋
(濰柴動力股份有限公司 電控研究院 山東省濰坊市 261040)
近幾年,隨著智能駕駛技術的發(fā)展,功能安全逐漸映入人們眼簾,對功能安全產品及系統(tǒng)的需求更加迫切。為建設功能安全保證體系,國家質量監(jiān)督檢驗檢疫總局和國家標準化管理委員會于2010年12月23日批準發(fā)布了GB25684.1-13——2010《土方機械安全》系列標準和GB16710-2010《土方機械噪聲限值》14 項強制性國家標準,并已于2012年1月1日起正式實行[1]。這些標準的實施對土方機械功能提出了安全要求,為構建土方機械功能安全保證體系奠定了基礎。土方機械在設計開發(fā)過程中考慮功能安全對提高整車系統(tǒng)安全性有重要意義。
功能安全是由一個或多個安全控制系統(tǒng)(SCS)實現(xiàn)的,安全控制系統(tǒng)(SCS)中與功能安全相關的部件稱為控制系統(tǒng)安全有關部件(SRP/CS)[2]。它們可以由硬件或軟件組成,可以是控制系統(tǒng)的獨立或集成部分,應包括在機器控制系統(tǒng)安全分析的方法程序中。
轉向制動功能安全相關部件發(fā)生故障或者失效后可能造成的危害即轉向制動功能風險分析。危害有很多類型,如人身傷害或財產損失等等。功能安全里的危害僅僅指對駕駛員或者路人造成的健康傷害。換句話說,功能安全開發(fā)目的是避免傷人,而不是降低財產損失。其次有些危害在特定場景下才會造成傷害,因此風險分析既要考慮功能故障也要考慮駕駛場景。
ISO19014 采用車輛安全完整性等級(ASIL)來判斷系統(tǒng)功能安全程度。由ASILA- ASILD 和QM 五個等級組成,如表1所示。ASIL 等級評估過程要求對于每個危害事件從嚴重度(S)、暴露度(E)、可控度(C)3 個維度進行分析[3]。嚴重度是指危害事件對駕駛員、乘客或行人造成的人身傷害的程度,分為S0、S1、S2、S3 四個等級;暴露度E 是指危害事件在運行場景中的暴露概率,分為 E0、E1、E2 三個等級;可控度C 是指危害事件發(fā)生時駕駛員、乘客或行人能夠充分控制危害事件以避免傷害的可能性,其分為C0、C1、C2、C3 四個等級。與ISO26262 不同,可控度分析由危害發(fā)生后有無降級手段(AC)、危害發(fā)生的可預知性(AW)、危害發(fā)生后駕駛員反應性(AR)三個因素確定,如表2所示。
通過風險分析本文提煉出4 條和轉向制動功能相關的危害事件分別為轉向失效、突發(fā)轉向、制動失效、突發(fā)制動,結合失效場景對其進行安全等級評估如表3所示,其中制動失效危害等級最高為d,其在軟件設計時要求采取一系列保護措施保證在制動失效發(fā)生時,不傷害人或盡可能減少對人的傷害。
表1:風險矩陣
表2:可控度矩陣
制動和轉向功能是兩個安全控制系統(tǒng),要構建兩個安全控制系統(tǒng)SCS 安全保障體系,要考慮和該系統(tǒng)相關的所有因素,如傳感器、控制裝置和執(zhí)行器。
推土機無方向盤,轉向和行駛方向控制主要通過手柄X 軸方向和Y 軸方向分別對轉向離合器和行駛方向離合器進行控制實現(xiàn),由控制系統(tǒng)架構圖知,轉向裝置接收來自手柄的正向控制指令同時根據(jù)轉向離合器壓力狀態(tài)確定實際控制狀態(tài),形成一個閉環(huán)系統(tǒng),由實際壓力與需求開度進行PID 控制計算出轉向電磁閥需求電流,驅動轉向離合器電磁閥動作,此過程與轉向相關的主要部件有手柄、轉向離合器壓力傳感器、轉向電磁閥。制動控制則是依據(jù)腳制動踏板和鎖車桿即我們日常的手剎狀態(tài)控制制動離合器實現(xiàn),此過程與制動相關的主要部件有腳踏板、制動離合器壓力傳感器、制動電磁閥、鎖車桿。
本文采用故障樹的方法針對危害事件以層層遞進的方式進行安全分析,安全分析的目標在于找出所有可能導致該危害事件發(fā)生的危險源,此處的危險源可以是安全相關部件也可以是具體的軟件缺陷。轉向和制動功能的安全分析如圖1、圖2所示。
表3:安全等級評估
表4:功能優(yōu)化項
圖1:轉向功能安全分析
圖2:制動功能安全分析
根據(jù)安全分析結果,針對危險源從降低危害事件發(fā)生的嚴重度或暴露度,增強危害發(fā)生的可控度三方面考慮,進行轉向制動功能優(yōu)化。如表4所示,電磁閥故障、壓力傳感器故障等這一類可以通過軟件進行檢測的硬件故障,須在軟件設計時開發(fā)對應的故障診斷系統(tǒng)如DOP 診斷(判斷執(zhí)行器的線束連接或內部驅動電路有無對電源短路、對地短路、開路故障)和SRC 校驗(根據(jù)傳感器特性,對輸入信號進行上下限值檢驗),當故障發(fā)生后需進行降級保護措施增強危害事件可控度;此外針對可以檢測到的危險場景,例如高速行駛時突發(fā)轉向,從危害事件暴露度方面考慮增設高速行駛禁止轉向邏輯降低其發(fā)生的概率;對于控制器異常斷電這類軟件無法及時檢測到的故障,要考慮故障發(fā)生后增設保護裝置降低其嚴重度,該控制系統(tǒng)為此安裝了防急停閥,防急停閥是一個常開閥,在有供電時其不工作,只有斷電時才會起作用,其工作后會限制制動泵沖油,起到斷電緩慢制動的效果。但是并不是所有故障我們都能檢測和預防,例如手柄卡滯和鎖車桿卡滯無法用軟件探測只能依賴駕駛員判斷,當故障發(fā)生后駕駛員可以通過踩剎車、降檔等操作主動降級。對于標定曲線和PID 參數(shù)不合理缺陷需在整車調試或臺架性能實驗過程中進行數(shù)據(jù)優(yōu)化。
本文通過介紹推土機轉向制動功能安全開發(fā)流程旨在為土方機械功能安全開發(fā)提供參考。在軟件開發(fā)設計階段基于ISO 19014 土方機械功能安全國際標準進行風險分析和風險等級評估可以明確高風險事件,為功能安全開發(fā)和軟件優(yōu)化設計指明方向。同時在進行安全分析過程中能增強軟件開發(fā)者的安全意識,通過逐層遞進式分析方法可以分析出諸多隱含的單點失效故障,進一步提高了產品的可靠性和安全性。