卢朋珍 孙晓鹏 刘中秀 李苑玮

（潍柴动力股份有限公司 电控研究院 山东省潍坊市 261040）

近几年，随着智能驾驶技术的发展，功能安全逐渐映入人们眼帘，对功能安全产品及系统的需求更加迫切。为建设功能安全保证体系，国家质量监督检验检疫总局和国家标准化管理委员会于2010年12月23日批准发布了GB25684.1-13——2010《土方机械安全》系列标准和GB16710-2010《土方机械噪声限值》14 项强制性国家标准，并已于2012年1月1日起正式实行[1]。这些标准的实施对土方机械功能提出了安全要求，为构建土方机械功能安全保证体系奠定了基础。土方机械在设计开发过程中考虑功能安全对提高整车系统安全性有重要意义。

1 风险分析

功能安全是由一个或多个安全控制系统（SCS）实现的，安全控制系统（SCS）中与功能安全相关的部件称为控制系统安全有关部件（SRP/CS）[2]。它们可以由硬件或软件组成，可以是控制系统的独立或集成部分，应包括在机器控制系统安全分析的方法程序中。

转向制动功能安全相关部件发生故障或者失效后可能造成的危害即转向制动功能风险分析。危害有很多类型，如人身伤害或财产损失等等。功能安全里的危害仅仅指对驾驶员或者路人造成的健康伤害。换句话说，功能安全开发目的是避免伤人，而不是降低财产损失。其次有些危害在特定场景下才会造成伤害，因此风险分析既要考虑功能故障也要考虑驾驶场景。

2 安全等级评估

ISO19014 采用车辆安全完整性等级（ASIL）来判断系统功能安全程度。由ASILA- ASILD 和QM 五个等级组成，如表1所示。ASIL 等级评估过程要求对于每个危害事件从严重度（S）、暴露度（E）、可控度（C）3 个维度进行分析[3]。严重度是指危害事件对驾驶员、乘客或行人造成的人身伤害的程度，分为S0、S1、S2、S3 四个等级；暴露度E 是指危害事件在运行场景中的暴露概率，分为 E0、E1、E2 三个等级；可控度C 是指危害事件发生时驾驶员、乘客或行人能够充分控制危害事件以避免伤害的可能性，其分为C0、C1、C2、C3 四个等级。与ISO26262 不同，可控度分析由危害发生后有无降级手段（AC）、危害发生的可预知性（AW）、危害发生后驾驶员反应性（AR）三个因素确定，如表2所示。

通过风险分析本文提炼出4 条和转向制动功能相关的危害事件分别为转向失效、突发转向、制动失效、突发制动，结合失效场景对其进行安全等级评估如表3所示，其中制动失效危害等级最高为d，其在软件设计时要求采取一系列保护措施保证在制动失效发生时，不伤害人或尽可能减少对人的伤害。

表1：风险矩阵

表2：可控度矩阵

3 功能安全分析

制动和转向功能是两个安全控制系统，要构建两个安全控制系统SCS 安全保障体系，要考虑和该系统相关的所有因素，如传感器、控制装置和执行器。

推土机无方向盘，转向和行驶方向控制主要通过手柄X 轴方向和Y 轴方向分别对转向离合器和行驶方向离合器进行控制实现，由控制系统架构图知，转向装置接收来自手柄的正向控制指令同时根据转向离合器压力状态确定实际控制状态，形成一个闭环系统，由实际压力与需求开度进行PID 控制计算出转向电磁阀需求电流，驱动转向离合器电磁阀动作，此过程与转向相关的主要部件有手柄、转向离合器压力传感器、转向电磁阀。制动控制则是依据脚制动踏板和锁车杆即我们日常的手刹状态控制制动离合器实现，此过程与制动相关的主要部件有脚踏板、制动离合器压力传感器、制动电磁阀、锁车杆。

本文采用故障树的方法针对危害事件以层层递进的方式进行安全分析，安全分析的目标在于找出所有可能导致该危害事件发生的危险源，此处的危险源可以是安全相关部件也可以是具体的软件缺陷。转向和制动功能的安全分析如图1、图2所示。

表3：安全等级评估

表4：功能优化项

图1：转向功能安全分析

图2：制动功能安全分析

4 功能优化

根据安全分析结果，针对危险源从降低危害事件发生的严重度或暴露度，增强危害发生的可控度三方面考虑，进行转向制动功能优化。如表4所示，电磁阀故障、压力传感器故障等这一类可以通过软件进行检测的硬件故障，须在软件设计时开发对应的故障诊断系统如DOP 诊断（判断执行器的线束连接或内部驱动电路有无对电源短路、对地短路、开路故障）和SRC 校验（根据传感器特性，对输入信号进行上下限值检验），当故障发生后需进行降级保护措施增强危害事件可控度；此外针对可以检测到的危险场景，例如高速行驶时突发转向，从危害事件暴露度方面考虑增设高速行驶禁止转向逻辑降低其发生的概率；对于控制器异常断电这类软件无法及时检测到的故障，要考虑故障发生后增设保护装置降低其严重度，该控制系统为此安装了防急停阀，防急停阀是一个常开阀，在有供电时其不工作，只有断电时才会起作用，其工作后会限制制动泵冲油，起到断电缓慢制动的效果。但是并不是所有故障我们都能检测和预防，例如手柄卡滞和锁车杆卡滞无法用软件探测只能依赖驾驶员判断，当故障发生后驾驶员可以通过踩刹车、降档等操作主动降级。对于标定曲线和PID 参数不合理缺陷需在整车调试或台架性能实验过程中进行数据优化。

5 结束语

本文通过介绍推土机转向制动功能安全开发流程旨在为土方机械功能安全开发提供参考。在软件开发设计阶段基于ISO 19014 土方机械功能安全国际标准进行风险分析和风险等级评估可以明确高风险事件，为功能安全开发和软件优化设计指明方向。同时在进行安全分析过程中能增强软件开发者的安全意识，通过逐层递进式分析方法可以分析出诸多隐含的单点失效故障，进一步提高了产品的可靠性和安全性。