汽车电子助力转向系统（EPS）可以降低能耗，提高驾控智能水平，且更容易与其它高级安全系统集成，因而近年来在汽车中得到了大力的推广和发展。在这个领域，国内EPS供应商与国外供应商的主要差距体现在EPS控制技术和系统安全设计两方面。

本文不仅演示了采用飞思卡尔功能安全品牌SafeAssure的软硬件产品，如何方便快捷地实现ASIL-D级别的EPS系统，同时也提供了整个开发阶段所涉及的安全设计文档，包括：

• 项目定义

• 危险分析和风险评估

• 功能安全概念

• 系统开发

• 安全确认

本文将根据图1所示的ISO26262安全生命周期模型来阐述如何根据ISO26262规范来开发ASIL-D等级的EPS演示系统。

图1：ISO26262安全生命周期模型

◆ 功能安全概念设计

在概念阶段完成项目（或产品）定义、危险分析和风险评估和功能安全概念设计。

1. 项目定义

项目定义描述了EPS系统的主要功能：

• 根据司机意图，提供转向支持

• 主动回正

• 通过CAN网络，向车内其它系统提供转向角度

2. 危险分析和风险评估

危险分析和风险评估需要考虑的要素有：安全功能、失效模式、驾驶场景、严重性、暴露的可能性、可控性以及安全目标、ASIL等级、安全时间和安全状态。

根据分析，EPS系统有如下危险分析和风险评估结果：

安全目标1：防止电机产生自主扭矩

确保电机不能自主产生扭矩，这样会使车辆转向偏离司机意图。尤其在高速时，这种扭矩会产生意外的转向，给司机乘客和行人带来危险。这种危险可能源于传感器或电控单元ECU的故障。

ASIL等级：ASIL-D

安全目标2：防止电机产生死锁扭矩

确保电机不能锁死，以至司机不能正常转向。电机死锁可能由电气失效或机械失效导致。尤其在高速时，这种意外的扭矩会给司机，乘客和行人带来危险。这种危险可能源于电控单元ECU的故障，或电机及转向系统的机械故障。

ASIL等级：ASIL-D

安全目标3：防止系统从“安全状态”错误退出，电机产生突发扭矩

这种工况是指当EPS系统由于故障，如电机异常等原因，已经进入了所谓的“安全状态”。但是由于电气故障，EPS系统错误地从“安全状态”退出，在没有任何告警的情况下，电机重新对转向系统施加意外的扭矩，从而使司机不能按意图控制转向。

ASIL等级：ASIL-A

安全目标4：防止电机不提供助力

确保系统运行正常，助力施加正确。助力缺失不会导致车辆失控，因为有机械转向系统存在。一种合理的假设是：当这种故障被检测到后，显示告警信息；司机察觉后，启用“跛行回家”的行车模式,，比如降低车速等。

ASIL等级：QM

经过危险分析和风险评估后，以上四个安全目标的最高ASIL等级是ASIL-D。所以EPS系统的最高ASIL 等级是ASIL-D。

编者注：ISO 26262 标准根据出现及可能出现的失效的风险程度对系统或系统某些组成部分划分由A到D的安全需求等级（Automotive Safety Integrity Level 汽车安全完整性等级 ASIL），其中D级为最高等级，也是要求最严格的等级。随着ASIL等级的增加，针对系统硬件和软件的开发流程要求也随之增加。对零部件供应商而言，不仅需要满足现有的高质量要求，还必须满足因为安全等级增加而提出的更高的要求。

用于ADAS的基本思考针对目前的EPS，安全目标1和2两种故障模式被划分为ASIL-D这个级别，是诸多级别中故障最严重的级别，通俗来说就是：

（1）转向的失控（驾驶没有操控的情况下，车辆系统并没有给出自动泊车等指示，可转向盘却会自动旋转）；

（2）转向器的锁止（转向盘转不动）。

◆ 功能安全概念

为了实现系统的安全目标，对系统架构中的各个要素（Element），如传感器、控制单元和执行单元（电机），都有功能安全需求。功能安全需求主要考虑各要素的ASIL等级、工作模式、安全时间、安全状态、功能冗余即容错性能和各要素的初步架构等。它不涉及具体的硬件和软件实现细节。在EPS系统中，采用了如图2的初步系统架构，可能的功能安全需求示例如下：

图2：EPS功能安全概念

• 整个EPS系统要求达到ASIL-D的要求。（系统）

• 安全状态的定义必须确保当系统出现致命故障时，电机的行为不会对转向系统不利影响。（系统）

• 系统必须在安全时间内进入安全状态。（控制单元）

• 控制单元必须包括电机控制通道和电机监控通道。（控制单元）

• 控制通道和监控通道都能获得集成于车辆接口的传感器信号。（传感器和控制单元）

• 控制通道和监控通道都能获得集成于执行单元的传感器信号。（传感器和控制单元）

• 控制通道和监控通道所用的传感器信号必须独立。（传感器）

• 控制通道根据扭矩传感器输入和其它来自车身网络的相关输入计算助力需求。（控制单元）

• 控制通道控制执行单元，产生所需助力。（控制单元）

• 监控通道根据独立的扭矩传感器输入和其它来自车身网络的相关输入，校验控制通道是否正确计算了助力需求。（控制单元）

• 监控通道根据独立的传感器输入，校验控制通道是否正确控制了执行单元。（控制单元）

• 监控通道能够独立的使系统进入安全状态。（控制单元）

• 系统电源监控的实现必须独立于电机控制通道和电机监控通道。（控制单元）

• 系统时钟监控的实现必须独立于电机控制通道和电机监控通道。（控制单元）

• 其它需求可参考图2的EPS功能安全概念。

◆ 产品开发

产品开发阶段包括系统设计、硬件设计和软件设计、安全确认、功能安全评估和生产准备（牛喀网可提供功能安全系统、软、硬件咨询和工程开发服务，以及预期功能安全和责任敏感安全相关的培训和咨询，。下文主要介绍控制单元的设计。

1.硬件设计

硬件系统由飞思卡尔针对功能安全的SafeAssure品牌的芯片产品构成。MPC5643L为业内首款通过ISO26262论证的微控制器，MC33907为飞思卡尔新一代的系统基础芯片（SBC），这两款芯片均符合ISO26262开发流程。MPC5643L、MC33907和预驱动芯片MC33937A构成了飞思卡尔针对ISO26262 ASIL-D电机控制应用的硬件设计方案。

图3：硬件设计： 技术安全概念，EPS安全状态控制

图3为技术安全概念中的安全状态控制。MPC5643L通过预驱动芯片MC33937A和功率桥控制电机。MC33907提供系统电源管理和系统监控。当出现故障时，系统必须在规定时间内到达安全状态，即电源继电器和电机隔离继电器必须及时断开。MPC5643L和MC33907的各自独立输出控制信号，再经过逻辑“或”后，控制这两种继电器。

2.软件设计

系统软件可分为底层驱动、操作系统和应用层任务。应用层任务有包括控制任务和监控任务。这些软件同时运行于MPC5643L的处于锁步模式的双PowerPC核上。图4为系统的软件安全概念。

从功能安全的角度，系统软件必须考虑避免、检测或处理随机硬件故障和软件系统故障。因此，系统软件实现了多种安全机制，并且遵循ISO26262软件开发流程。EPS系统软件在系统整合层面上需要满足ISO26262 ASIL-D 的需求。图4所示的软件安全概念通过组件冗余实现了ASIL分解，即控制通道（任务）ASIL-B(D)和监控通道（任务）ASIL-B(D)。

图4：软件设计： 软件安全概念

3.安全确认

在产品概念阶段和产品开发阶段都需要进行安全分析，其目的：

• 检查故障和失效对系统造成的影响

• 列出可能导致安全目标偏离的条件和原因
  

• 发现原先设计没考虑到新危险

对于ASIL-D应用来说，需要进行归纳和演绎式的安全量化。在系统层面，采用基于故障树（FTA）的系统安全分析方法，自上而下的演绎出可能导致安全目标偏离的条件和原因，如图5列出了可能导致电机产生自主扭矩的条件和原因。而系统FMEDA则为故障树的末端节点（事件）提供了具体的失效率。

图5：EPS故障树：电机自主扭矩

◆ 最后

ISO26262功能安全标准将近年来汽车电子安全模块设计者的经验和先进的顶层设计理念结合起来，提供了一整套鲁棒性设计和过程管理的方法，对国内EPS系统供应商来说既是挑战又是机遇。