基于HAZOP的EHB電子液壓制動系統危險事件識別方法

李 海，付 旺，張志波，叢 林

(1. 北京福田戴姆勒汽車有限公司，北京 101400；2. 中汽研汽車檢驗中心(天津)有限公司，天津 300300)

0 引言

汽車技術朝著“新四化”(智能化、網聯化、電動化、共享化)快速發展，無論是傳統汽車還是新能源汽車，都裝備了高度集成化、智能化的控制系統，汽車功能安全問題變得越來越復雜，同時伴隨著人們對汽車安全的重視程度越來越高，汽車功能安全成為目前汽車安全的關鍵因素，汽車關鍵部件系統的危險事件識別作為汽車功能安全的基礎成為了保證汽車功能安全的重要環節之一[1-2]。

汽車功能安全能夠從研發設計源頭解決因電子控制系統故障導致的汽車危害行為，進而避免道路交通事故的發生，因此功能安全技術已成為汽車行業進行汽車功能風險評估和危害分析，保障汽車安全的關鍵技術之一。全面準確的汽車危險事件識別、嚴格技術規范和嚴謹的功能安全開發流程能夠降低和避免來自系統失效和硬件隨機失效造成的風險，大大提高汽車電子系統的安全性和可靠性[3]。

1 汽車功能安全分析方法

1.1 失效模式影響與診斷分析FMEDA (Failure mode effect and diagnostic analysis)

FMEDA是在汽車產品設計階段和過程設計階段，對構成汽車產品的子系統、零件，對生產過程的各個工序逐一進行逐級詳細的分析，羅列出所有潛在的失效模式并分析其可能導致的后果，從而在產品設計開發階段設計預先采取必要的措施，以提高產品的質量和可靠性。FMEDA是產品設計定量分析的基礎，可以用來分析整個系統或者某個安全獨立單元[4]。

1.2 故障樹分析(Fault Tree Analysis, FTA)

FTA是一種自上向下的可靠性分析方法，從需要分析的頂層事件開始，將一切可能出現的故障按照既定的標準分門別類，用故障樹形狀的圖形表示出來，用邏輯推導逐步推導出導致故障發生的基本事件[5]。FTA分析方法在系統可靠性分析、安全性分析和風險評價中具有重要作用和地位，此分析方法既可用于定性分析又可定量分析，是復雜系統安全性、可靠性分析與預測的最重要和最有效的方法之一。

1.3 潛在失效模式與后果分析(Failure Modes and Effects Analysis，FMEA)

FMEA是用來預測潛在失效模式的發生和失效所帶來的影響，從而管理過程的風險，是一種可靠性分析方法，也是風險分析的方法之一。它可對各種可能的風險進行評估分析，揭示可能出現的故障，并預測該故障對于整體系統的影響，以便在現有技術的基礎上消除這些風險或者將風險減小到可接受的水平。FMEA的優勢在于它給出了系統中重要失效模式在系統中的概括描述，同時它迫使設計者評估他所設計的系統的可靠性。

1.4 相關的失效分析DFA(dependent failure analysis)

DFA的目標是通過分析識別出相關項的共因失效和級聯失效，識別可能會導致違反安全要求或安全目標的故障，在必要時對兩類失效進行限制或者消除，從而保證相關項的獨立性和免于干擾的能力。DFA的目的是找出安全的弱點，為ASIL分解和共存提供依據。

1.5 危險與可操作性分析(HAZOP，Hazard and Operability Analysis)

HAZOP主要用于查找生產過程中可能發生的風險危險和它出現的原因，并制定可靠的預防措施，是一種可以應用到汽車功能安全領域的分析方法[6]?？赏ㄟ^對相關項的結構化分析辨別出與預期功能的偏差，并對產生偏差的原因進行深入分析，判斷偏差造成的危害風險。通過選用不同的引導詞，HAZOP有助于結構化和系統地檢查相關項在整車層面的運行情況。

HAZOP分析在系統安全評價領域是應用廣、專業程度高的定性分析評價技術，經過不斷改進與完善，現已廣泛應用于各類工藝過程和項目的風險評估工作中，尤其在汽車產品的設計和開發過程中，通過建立適當的引導詞，能夠完整全面的得到可能發生的危險事件[7]。

2 制動系統危險事件識別方法

2.1 相關項定義

電子液壓制動(EHB)系統是目前國內外各大汽車制造廠的主要研究領域之一，并且隨著汽車電動化、網絡化新四化的興起，EHB系統開始逐漸普及。

EHB系統是在傳統液壓制動系統的基礎上發展而來的，用一個集成的制動系統模塊來替代傳統制動系統中的制動液壓管路壓力調節系統和汽車防抱制動系統模塊等，產生并儲存制動壓力，并可分別對四個輪胎的制動力矩進行單獨調節，與傳統的液壓制動系統相比，EHB系統有了顯著進步，其結構簡單緊湊、制動噪聲減小、提供更好的踏板感、可分析駕駛員意圖判斷不同的制動行為等。EHB系統的控制邏輯原理示意圖如圖1所示，駕駛員踩下制動踏板，踏板行程傳感器、踏板力傳感器將制動需求數據信息發送到控制器，綜合采集到的車輛運動狀態(包括車速、輪速、方向盤轉角、橫擺角速度等)信息，控制器進行數據處理計算和分析，當控制器判斷制動系統壓力不足時，控制器輸出控制信號，對電磁閥進行控制，使制動管路的進液閥輸入流量增大，輸出液閥輸出流量減小，以達到駕駛員所需的制動壓力；當控制器判斷制動系統需要保壓時，控制器控制進液閥和出液閥的開度保持不變；當控制器判斷制動系統需要減壓時，控制器使進液閥輸入流量減小，出液閥輸出流量增大，以達到駕駛員所需的制動壓力；當某幾個高速開關閥控制回路失效時，控制器將切換成應急控制模式， 制動踏板力的液壓管路與應急制動管路連通，踏板力直接通過液壓加載在制動器上，實現車輛的應急制動。

從系統控制框圖中提取出工作過程中重要的系統功能，如表1所示。

表1 EHB系統功能列表

2.2 危害分析

HAZOP分析是以系統工程為基礎的一種對目標系統進行定性風險識別的方法[8]。它的基本過程是以關鍵詞為引導，分析出設計方案或生產過程中系統運行狀態的缺陷或不足，找出可能發生風險的部分。對于EHB系統，HAZOP導則中的基本引導詞不能完全適用，因此結合EHB系統的功能應用需建立適用于EHB系統的引導詞，利用引導詞從EHB系統的功能中推導出可能發生的失效故障，并列出潛在的危害事件。本文選取“丟失、卡滯、偏大、偏小、錯亂、未反應”6種引導詞，針對F1、F2、F5三種功能應用進行HAZOP分析示例，如表2所示。

表2 EHB系統HAZOP分析過程

3 風險評估

3.1 功能失效

根據ISO 26262-3和GB/T 34590.3-2017《道路車輛 功能安全 第3部分》的要求，采用ASIL評級的方法從嚴重程度(S)、暴露率(E)和可控性(C)三個維度對分析得到的危害事件進行風險評估。嚴重度(S)是指在某種功能失效的情況下車內人員與車外人員的受傷害程度，S0-S3為嚴重程度等級，其中S3為最嚴重的程度等級；暴露率(E)是指某個危險事故發生的概率，E0-S4為暴露率等級，其中E4為最高的暴露率等級；可控性(C)是指危害事件即將發生時能夠被避免的概率，C0-C3為可控性等級，其中C0為最可控的等級[9]。ASIL等級如表3所示，A為最低的功能安全需求等級，D為最高的功能安全需求等級，QM等級表示不需做功能安全要求。

表3 ASIL等級評價表

利用表3的ASIL等級評價表對F5功能應用可能產生的危害事件進行風險評估示例，其余功能應用可能產生的危害事件的風險評估過程類似本文不再贅述。對于車輛的制動系統，無論車輛是處于高速還是低速狀態，在何種行駛環境中，制動系統失效或者產生與駕駛員意圖不符的制動效果，都可能與交通參與者或與行駛環境中物體發生碰撞或造成駕駛員傷亡，并且此危害出現嚴重傷害概率大于10%，因此嚴重程度均為S3級，暴露率(E)和可控性(C)按照ISO 26262-3和GB/T 34590.3-2017的分級標準[10-11]進行風險評估，結果如表4所示。

表4 風險評估結果

4 總結與展望

本文簡要介紹了常用的幾種汽車功能安全分析方法，針對電子液壓制動系統(EHB)基于HAZOP分析方法進行了危險事件的識別，通過繪制EHB制動系統的功能列表，建立適用于EHB系統的引導詞，結合不同的行駛工況推導出可能存在的系統故障和可能造成的危害，利用ASIL評級方法對危害事件進行風險評估。本文對EHB制動系統的危險事件識別提供了方法，對于制動系統的功能安全分析具有重要意義。本文所采用的分析方法方便快捷，但所得結果受人員主觀性的影響，缺乏準確的量化分析，需繼續深入研究新的方法提高準確度，為汽車功能安全領域做出更多的貢獻。