内容提要：本研究通过ISO 26262道路车辆功能安全标准在概念阶段分析可能存在的安全风险并设定安全目标，确定产品研发中每个项目元素的功能安全需求；在产品研发过程中采用满足技术安全规范的流程，并提供满足功能安全需求的有效措施。

FMEA、FTA和FMEDA作为ISO 26262三种重要的分析技术，在产品功能安全开发过程中发挥了重要的作用。

在功能安全概念FSC设计完成后可以使用安全分析的方法进行验证和完善。常用的安全分析方法有失效模式及影响分析（FMEA）、故障树分析（FTA）。

相比于FMEA和FTA，失效模式、影响及其诊断分析（FMEDA）法除了对功能安全产品的失效风险、是否可诊断进行定性分析，同时也为平均失效概率和安全完整性等级的计算提供了更加有效的数据支撑。

为了有效限制电子换挡机构功能失效时错误信号引起的异常状况，导致车辆处于不安全状态，本文通过对 ISO 26262 道路车辆功能安全标准中产品研发流程的研究，对电子换挡机构非预期的失效进行了危害分析和风险评估，设定了安全目标，并以部分模块为例，在电子排挡系统的硬件电路增加了冗余设计和自动诊断功能。最后根据 FMEDA 分析和故障注入检测结果，证明了电子换挡器硬件设计符合功能安全完整性等级B。

安全在将来的汽车研发中是关键要素之一，新的功能不仅用于辅助驾驶，也应用于车辆的动态控制和涉及到安全工程领域的主动安全系统。将来，这些功能的研发和集成必将加强安全系统研发过程的需求，同时，也为满足所有预期的安全目的提供证据。随着系统复杂性的提高，软件和机电设备的应用，来自系统失效和随机硬件失效的风险也日益增加，制定 ISO 26262 标准的目的是使得人们对安全相关功能有一个更好的理解，并尽可能明确地对它们进行解释，同时提供了汽车电子电气产品功能安全开发的过程体系和方法论。

本研究通过ISO 26262道路车辆功能安全标准在概念阶段分析可能存在的安全风险并设定安全目标，确定产品研发中每个项目元素的功能安全需求；在产品研发过程中采用满足技术安全规范的流程，并提供满足功能安全需求的有效措施。

电子换挡机构的功能安全

1.ISO 26262标准简介

ISO 26262是从电子、电气及可编程控制器功能安全标准 IEC 61508派生出来的，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的器件，旨在提高汽车电子、电气产品功能安全的国际标准。其主要提供了汽车生命周期（管理、研发、生产、运行、服务、拆解）和生命周期中必要的改装活动；提供了决定风险等级的具体风险评估方法（汽车安全综合等级 ASILs）；通过使用ASILs方法来确定获得可接受的残余风险的必要安全需求；提供了确保获得足够的和可接受的安全等级的有效性和确定性措施。

2.功能安全需求分析及安全目标设定

ASIL等级分为A、B、C、D 4个等级，ASIL-A是最低的安全等级，ASIL-D是最高的安全等级。除了这4个等级QM表示与安全无关。在风险分析过程中，要确保对每个危险事件，根据S、E、C和具体的操作条件和模式确定的ASIL等级不低于其安全目标的要求。同时，相似的安全目标也可以合并为一个安全目标，但要达到的 ASIL 等级应该是合并项目中最高的。如果安全目标可以被分解到具体的状态中，那么每个安全目标也要转换成达到安全目标的具体安全状态下的具体要求。

如本项目中，在整车系统功能级别考虑安全性，当N档和R档可以随意切换，将会导致车辆无意识的加速，和无意识的失去动力，对于严重度来说，为严重及危及到生命安全，所以严重度为 S3。另在设计合理的情况下，根据以往项目的经验，元器件的失效率并不会那么高，我们定义为中等失效的发生频度E2。但这样的错误发生，驾驶员一般在车内，会有更好的控制，所以可控性较强，为C2。根据 ASIL等级判定的 3 个因素：严重程度（S）、发生频度（E）、和可控程度（C）。可以得出：该项目的换档功能安全级别 Safety Goal为 ASIL B。

3.电子排挡的安全问题

传统的汽车排挡以机械零件为主，整体为机构设计，通过物理拉索连接变速箱的摇臂，通过改变摇臂的角度，变速箱采集换挡摇臂的PRND位置，从而通过TCU控制改变变速箱的齿轮组合，进而达到变速的目的。随着汽车电子的不断发展，传统的机械排挡被电子排挡所替代，驾驶员档位请求由换挡控制器来执行，档位请求的方式由纯机械触发转变为CAN信号传递的方式。电子换挡的安全性所带来的隐患是各个整车厂以及供应商所需要攻克的难题。

图示是某车型第一代的电子换档器，模拟信号输出，换挡机构控制单元SCU通过采集电子排挡不同的输出组合，得到换档信号，电子换档器的采集原理是通过一个3D霍尔传感器和线性开关霍尔传感器，采集换挡杆上磁铁的位置状态，根据设计转换成CAN信号发送给整车。如图1左为一个移动磁铁，右为一个旋转磁铁，旋转磁铁通过改变磁场的角度，换算为 P、R、N、D、M 的档位输出，移动磁铁通过在移动过程中改变磁通量密度，换算为 M+、M-的手动模式输出。

3D霍尔传感器对磁场角度的采集，通过SPI总线（MISO、SCLK、MCSI、SSI）将数字信号送与MCU；线性霍尔传感器以模拟信号输入给MCU的AD口做采集。MCU 判断处理后，由CAN总线输出给整车。

如果从汽车功能安全来考虑，传统电器设计的就存在很多潜在的风险:排挡的一些元器件失效，会导致人身危害，比如传感器失效，将原有的档位错误输出，此时变速箱就会由倒车挡换为空挡，导致整车失去动力，影响人身安全。那该失效概率为多少，是否可接受？这些问题的评估是我们下面要关注的。

电子换挡机构的硬件设计和改进

ISO 26262规定了功能安全等级的量化指标如表1

经过上文对电子换挡机构简略的危害评估和风险分析，我们有了功能安全等级B的目标，就可以经过一系列的仿真和计算 ，进 行 FMEDA（Failure modes effects and diagnostic analysis）分析来评估换挡控制器硬件是否达到安全等级 ASILB 要求的这些量化指标。

FMEDA分析法的步骤如图2所示：

1.划分安全相关模块STEP1

按照 FMEDA 的设计步骤，第一步是要根据前面定义的功能安全级别，在硬件设计原理图中识别哪些元器件是安全相关器件，哪些元器件不是安全相关器件。如下以电源及标定、主芯片两个单元为例列出相关设计进行判断分析。

1）电源及其标定模块

所有这个模块的的元器件并不是安全器件，这个模块的元器件是用于生产线的校准，并不影响档位输出。

2）控制器模块

所有这个模块的元器件被定义为相关的安全器件，元器件的失效将会影响正常的档位输出。

2.判断失效类型、计算失效率STEP2

在确认了哪些控制模块是和所定义的功能安全目标相关后，需要判断，哪些元器件的失效会直接影响安全，哪些元器件的失效，并不会直接的影响安全，进而区分类别，进行分析和计算。

对于比较复杂的元器件或者电路，不可能检测到所有的故障原因。诊断覆盖率就不会达到这个值，往往考虑最大的诊断覆盖率为 99％。以单片机控制器MCU为例进行阐述。以下内容针对以上1分析所得的控制器核心处理模块（影响功能安全的元器件）进行失效分析，失效模式将在下面文件中描述。

控制器模块主要的元器件是微控制器，这个控制单元的微控制器是微型集成芯片 PIC16F1518，微控制器的失效率（FIT）分析分为外部器件和内部器件，内部器件由由供应商提供。

如表2列出了部MCU元器件的失效率（FIT）计算，包括单点失效和多点失效。

如表2列出了部MCU元器件的失效率（FIT）计算，包括单点失效和多点失效。

3.计算FMEDA最终计算结果STEP3

根据ISO 26262标准，单点失效的公式定义如式（1）所示，多点失效的公式定义如式（2）：

根据分析完整的换挡控制器的元器件失效计算表，由式（1）（2）计算所得如图5所示。

根据分析完整的换挡控制器的元器件失效计算表，由式（1）（2）计算所得如图5所示。

经过图 5 计算和分析，在硬件设计中考虑安全相关机制，增加一些诊断和冗余设计，增加失效的检测机制，降低失效所带来的风险。根据如上计算结果，可以满足根据功能安全的定义所指定的安全目标ASIL-B的量化指标：SPFM 90%，LFM 60% and PHMF<10(-7)。

故障注入试验及结果

故障注入试验中的故障设置实际是对FMEDA分析的检验，验证 FMEDA 理论分析中的故障在实际情况下是否能够被检测到。设置故障的方式有多种，但结果唯一，即当故障发生时，电子换挡机构将通知整车进入安全状态。

注入故障后，系统应能对这些故障进行正确探测，并采取恰当的响应。对故障注入测试结果进行评估应遵循的最高准则是，注入故障后系统不能产生任何违背车辆安全目标的失效行为。

从硬件和软件两个角度进行故障设置，以旋转霍尔双路信号校验机制和副芯片复位为例，进行相应的故障注入试验，并测出相应的故障实施结果，如图6所绘示例。

其中一个主要扩展是将该标准的适用性延伸至其他类别的车辆，包括更重的道路车辆、卡车、公共汽车和摩托车。“ISO 26262 适用于包含一个或多个电子电气(E/E) 系统且安装在大批量生产的公路车辆（不包括轻便摩托车）上的安全相关系统。但是，ISO 26262 并不涉及特殊车辆中的独特电子电气系统，例如为残疾司机设计的电气电子系统。”

按照图6的故障注入方式，对系统进行故障注入测试，部分举例见表3。

结束语

失效模式、影响及其诊断分析（FMEDA）法在功能安全验证的过程中具有很强的实用性。在具体功能安全项目开发中，需要结合整体的设计要求，列举出所有存在的失效模式对产品功能安全模块的每一个元器件。进行分析和探讨，为硬软件安全完整等级的验证提供了大量的数据支撑。在车辆安全领域的相关研究，应该不断完善 FMEDA 的分析过程和分析结果。使得设计出来的产品能够更好地符合功能安全的要求。

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！