3、EPS系统可靠性要求:ISO 26262功能安全标准、ASIL等级分解、EPS系统安全目标

好,咱们进入第三章。这一章,说白了就是聊「安全」这两个字在EPS里到底有多重。

我经常跟年轻工程师讲,EPS不像你做个车机屏幕,死机了最多黑屏。EPS要是出问题,方向盘可能突然变重,甚至乱转。那后果,想想都后背发凉。所以,ISO 26262这个功能安全标准,就是咱们的「保命符」。

3.1 ISO 26262 功能安全标准概述

ISO 26262,全称是「道路车辆功能安全标准」。它源自工业界的IEC 61508,专门为汽车电子电气系统量身定制。

我个人习惯把ISO 26262理解成一套「风险管控流程」。它不告诉你具体怎么画电路,而是告诉你:

  • 怎么识别风险(HARA分析)
  • 怎么定安全等级(ASIL等级)
  • 怎么证明你做到了(安全案例)

嗯,这里要注意,ISO 26262覆盖了整个生命周期——从概念、开发、生产,一直到报废。你想想看,一个转向系统,从设计到装车,中间任何一个环节出纰漏,都可能埋下隐患。

核心观点: ISO 26262不是束缚,而是保护。它逼着你在设计阶段就把「万一出事了怎么办」想清楚。

3.2 ASIL等级分解——把大问题拆成小问题

ASIL,全称是Automotive Safety Integrity Level,汽车安全完整性等级。它分四个等级:A、B、C、D。D是最严苛的,A是最宽松的。

EPS系统,尤其是带主动回正、车道保持功能的,通常会被定到ASIL C甚至ASIL D。为什么?因为转向失效直接危害人身安全。

但问题来了:ASIL D的要求非常高。单靠一个控制器、一个传感器,很难低成本满足。怎么办?

这时候就要用到ASIL分解

举个例子。一个ASIL D的需求,可以分解成两个独立的ASIL B(D)的路径。什么意思?

  • 路径A:主控制器 + 主传感器,满足ASIL B
  • 路径B:监控控制器 + 冗余传感器,也满足ASIL B

两条路径互相独立,任何一条失效,另一条还能兜底。整体上,系统就达到了ASIL D的要求。

我的经验: 我在一个项目中遇到过,客户非要整个系统做到ASIL D。但成本卡得很死。后来我们通过ASIL分解,把扭矩传感器和角度传感器做成冗余设计,每个只做到ASIL B,但组合起来满足了ASIL D。说白了,就是用「双保险」换「低成本」。

ASIL分解的数学逻辑是这样的:

ASIL D = ASIL B(D) + ASIL B(D)
ASIL C = ASIL A(C) + ASIL A(C)
或者
ASIL C = ASIL B(C) + ASIL B(C)  (但B(C)比A(C)要求高)

你想想看,这就像两个人抬一个重物。一个人抬不动,两个人各承担一半,就轻松了。但前提是——两个人必须独立,不能互相依赖。

3.3 EPS系统安全目标

安全目标,是ISO 26262里最核心的输出之一。它回答了这个问题:「系统不能做什么?」

对于EPS,我总结了几条最典型的安全目标:

编号 安全目标描述 ASIL等级 说明
SG-01 防止非预期的转向助力输出 ASIL D 比如电机突然自己转起来,方向盘乱打
SG-02 防止转向助力完全丧失 ASIL C 高速行驶时突然没助力,驾驶员可能控制不住
SG-03 防止转向角度信号错误 ASIL B 角度传感器坏了,导致主动回正功能异常
SG-04 防止扭矩传感器信号漂移 ASIL B 驾驶员明明没用力,系统却以为在用力
SG-05 防止电源异常导致功能失效 ASIL C 比如电压跌落,电机控制逻辑乱掉

这些安全目标,不是拍脑袋定的。它们来自HARA分析——也就是危害分析与风险评估。我记得有一次做HARA,我们团队花了整整两周,把EPS所有可能的失效模式列了一遍,然后逐一评估严重度、暴露率和可控性。

避坑指南: 我曾经见过一个团队,安全目标写得天花乱坠,但到了具体实现时发现根本做不到。为什么?因为安全目标定得太「虚」了。比如「防止系统失效」——这等于没说。好的安全目标应该是可验证的、可测试的。比如「当扭矩传感器信号偏差超过5%时,系统必须在10ms内进入安全状态」。

3.4 安全目标如何落地?

安全目标定好了,接下来就是分解成功能安全需求,再分解成技术安全需求。这个过程,我习惯叫它「瀑布式分解」。

举个例子:

  • 安全目标: 防止非预期的转向助力输出 (ASIL D)
  • 功能安全需求: 系统必须实时监控电机电流,当电流超过阈值时,立即切断驱动 (ASIL D)
  • 技术安全需求: 电流采样电路必须独立于主控芯片,采样周期不超过1ms,故障响应时间不超过5ms (ASIL D)

你看,从「不能乱转」到「电流超了要切断」,再到「采样电路怎么设计、响应时间多快」,一步步细化。每一步都有明确的ASIL等级要求。

我个人习惯在需求文档里,用表格把每个需求的来源、ASIL等级、验证方法都列清楚。这样到了测试阶段,才不会手忙脚乱。

3.5 小结

这一章,咱们聊了ISO 26262的定位、ASIL分解的技巧,以及EPS系统的核心安全目标。说白了,功能安全不是「加个看门狗」那么简单。它是一个系统性的工程思维——从风险识别,到等级分解,再到目标落地,环环相扣。

下一章,我会详细讲讲EPS的硬件架构设计,包括冗余方案、诊断覆盖率这些实战内容。到时候咱们再细聊。

一句话记住: 安全目标不是写给别人看的,是写给自己执行的。你定下的每一个目标,都要能在实车上被验证。