当前位置：首页>自动驾驶>ISO26262自动驾驶方程式赛车EBS设计(下):全流程安全分析

ISO26262自动驾驶方程式赛车EBS设计(下):全流程安全分析

2026-06-21 18:39:01

摘要：本文分为“上、下”两个部分，此为文章“下部分”，我们将基于ISO 26262第三部分规范完成全流程安全分析；并结合分析结果逐一回答五项研究问题。

文章“上部分”已发布，主要介绍了功能安全基础知识与ISO 26262标准体系；并详细说明紧急制动系统软硬件结构。

可点击阅读：基于ISO 26262的自动驾驶方程式赛车EBS设计（上）：软硬件结构

原文作者：MARKUS BÖLANDER

原文标题：Design and Safety Analysis of Emergency Brake System for Autonomous Formula Car

编译：猿东东，猿西西

04. 概念阶段（ISO 26262 Part3）

本章依托ISO 26262第三部分规范，以EBS Supervisor（紧急制动监控软件）为分析对象，依次完成项目定义、HARA危害分析、功能安全概念、技术安全概念全流程落地，输出各环节分析成果。

4.1 项目定义

项目定义完整描述待分析对象功能、跨零部件交互、环境工况，输出文档作为HARA分析基础，内容分为7小节。

4.1.1 项目范围

紧急制动监控软件部署在dSpace MicroAutoBox控制器内，用于KTH FS无人驾驶赛车故障监测、上电自检、制动航向控制；软件在Simulink完成架构设计，编译C程序烧写入控制器CPU。

4.1.2 整车层级系统概览

dSpace控制器布置在驾驶座椅下方，由整车低压蓄电池供电；和外部器件通过CAN总线、以太网、模拟信号线交互，整车系统拓扑见图4.1。

图4.1:整车系统概览

4.1.3 与外部单元信号交互

输入信号汇总（表4.1）、输出信号汇总（表4.2），系统信号拓扑见图4.2；信号后缀NOT代表逻辑取反（非），安全设计逻辑：正常工况持续发送有效电平，信号线断路直接判定故障、触发制动。

1.EBS硬件逻辑：分立器件搭建无CPU硬件回路，原理图见图4.3；依靠多路与逻辑电路实现：任意关键信号丢失直接打开EBS电磁阀、释放气压制动。

图4.3:EBS控制逻辑总览

2.气动制动本体：二位三通常开电磁阀+ CO₂高压气瓶+拉线气动缸；电磁阀得电关闭封闭气源，失电/断电打开、气压推动气缸拉动制动踏板（CAD安装结构见图4.4）。

图4.4:抓取样机CAD结构图

3.伺服行车制动：伺服电机拉线踩制动踏板，常规自动驾驶减速使用，气动系统失效时作为冗余紧急制动。

4.dSpace主控单元：整车核心处理器，实现IO采集、算法运算，紧急监控软件集成于此。

5.整车切断回路：控制高压储能隔离继电器（AIR）线圈通断，闭合后牵引电机高压上电，EBS系统串入切断回路拓扑见图4.5。

图4.5:上部与下部急停断电回路原理图

6.ASMS自动驾驶总开关：物理船型开关，闭合后自动驾驶电控系统（含EBS监控）上电。

7.Xsens MTi IMU惯性单元：测量车身横摆角速度，为BHC航向控制提供反馈。

8.转向执行电机：永磁直流电机驱动转向柱，BHC闭环执行校正动作；配套电位器采集实际转角。

9.英伟达Jetson TX2：接收激光雷达、摄像头原始数据，SLAM建图+ MPC轨迹规划；软件故障向上位dSpace发送报错信号。

4.1.5 系统工作状态划分（表4.3、图4.6整车状态机）

表4.3:EBS工作状态与整车工况对应关系

图4.6:自控系统状态机

4.1.6 监控单元五大核心功能描述

①上电初始驻车制动

整车低压总开关+ASMS开关闭合上电，立即驱动伺服制动锁死车轮，规避扭矩误请求带来意外窜车；执行器件：伺服行车制动。

表4.4：初始制动接合所涉及的执行机构

②上电全流程自检

按照文章“上部分”表3.2的自检逻辑排查装配漏装、接线断路故障；涉及输入：ASMS开关、切断回路、制动油压传感器；硬件：dSpace、EBS分立逻辑、气动电磁阀；执行机构：伺服电机。

表4.5：初始自检流程所用传感器与输入信号

表4.6：初始自检流程涉及元器件

表4.7：初始自检流程所用执行机构

③硬件逻辑保活（Keep Alive）

硬件逻辑采用多路与门架构：EBS 监控持续输出多路高电平（EBS_set_active、看门狗、Brake_engage 等）才能保持电磁阀关闭；任意一路信号丢失，与逻辑不满足、电磁阀泄压制动；关联硬件：dSpace、分立逻辑、切断回路、气动电磁阀。

表4.8：保活工况相关零部件

④全周期故障在线监测

持续监测气瓶气压、制动油压、传感器合理性、伺服传递函数、硬件逻辑电平、行驶状态标志；故障触发对应制动动作；监测输入：气瓶压力传感器、制动油压传感器；硬件：dSpace、EBS逻辑、切断回路、电磁阀。

表4.9：工况监测所用传感器与输入信号

表4.10：工况监测相关零部件

⑤故障制动触发

三类故障启用伺服冗余制动：气瓶储气压力过低、气动触发后建压不足、英伟达GPU报错；伺服自身故障则监控停止看门狗脉冲，靠硬件逻辑触发气动制动；关联传感器：气压、油压传感器；硬件：dSpace、EBS电磁阀；执行：伺服制动、仪表指示灯+蜂鸣报警。

表4.11：所用传感器与输入信号

表4.12：EBS触发动作相关零部件

表4.13：所用执行机构/输出负载

⑥制动航向控制BHC

DV3.3.3规则要求紧急制动无意外横摆；依托IMU横摆数据+转向执行器构成P闭环，制动触发后启用、抵消车身偏转；控制闭环原理见图4.7。

图4.7：闭环反馈控制框图

4.1.7 整车使用环境条件

赛道为封闭铺装沥青路面，比赛时段赛道无无关行人；调试阶段工程师可近距离驻留赛道。

表 4.14 环境温湿度参数

4.2 危害分析与风险评估（HARA）

依托AVL内部标准Excel模板开展HARA分析，工作步骤：HAZOP危险与可操作性分析→危害工况场景梳理→ASIL等级判定→提炼安全目标；完整数据见附录 C~E，正文节选关键内容。

4.2.1 HAZOP 危险与可操作性分析

选用标准引导词：无、误触发、反向、过量、不足、过早、过晚，逐项核查监控单元所有功能（节选“初始伺服抱闸”见表4.15）；汇总8项整车危害（表4.16）。

表4.15：HAZOP节选（初始伺服抱闸功能）

表4.16：HAZOP分析危害汇总表（初始行车制动接合功能）

4.2.2 危害场景定义

区别于公共道路乘用车，方程式赛车仅在封闭测试赛道使用，自定义三类运行场景（表4.17），逐个匹配8项危害判定是否产生伤人事故（表4.18）：赛道无其他车辆，H2无故驻车、H3突发制动不会引发碰撞；仅静止起步意外窜车、行驶制动失效/横摆/丢转向会撞击赛道边工作人员与裁判。

表4.17：三大运行工况场景

表4.18：危害场景后果分析表

4.2.3 ASIL安全等级判定规则

ASIL分为A/B/C/D四级（A最低、D最高），由严重度S、暴露概率E、可控性C三项参数查表4.22得出等级；S0~S3、E0~E4、C0~C3分级规则如下。

严重度 S（依托 AIS 简明损伤定级）

S0：无任何受伤；S1：轻中度受伤（擦伤、扭伤、简单骨折）；S2：重伤、有生命危害但大概率存活；S3：致命重伤/死亡；本项目危害场景仅出现S2、S3两级。

表4.19：严重度分级（S等级，功能安全严重度）

暴露概率E

E0：极罕见工况；E1：极低概率；E2：低概率；E3：中等概率；E4：几乎每次用车都会出现；干地行驶E3、湿地E2、起步待命E4。

表4.20：工况暴露概率分级（E参数，ISO26262暴露等级）

可控性C

C0：极易修正；C1：简易可控；C2：常规可控；C3：极难/无法控制；本车为无人驾驶无驾驶员，全部危害工况统一按C3（不可控）定级。

表4.21：可控性分级（C等级，ISO 26262功能安全可控度）

表4.22：ASIL查表判定表（S-严重度/E-暴露/C-可控）

最终定级结果

本项目所有危害对应安全目标统一判定ASIL C级，无D级工况；QM代表无需满足ISO 26262，仅遵循企业常规质量管理。

4.2.4 五大安全目标（SG）汇总（表4.23）

表4.23：安全目标与对应危害、ASIL等级

图4.8：安全目标与功能安全要求层级关系图

4.3 功能安全概念（FSC）

基于五大ASIL C安全目标拆解功能安全需求FSR，每项FSR定义运行工况、故障容错时间FTTI、安全状态、冗余设计要求。

4.3.1 SG1：防止意外起步（ASIL C，FSR1）

安全状态：伺服制动锁止车轮；DTI诊断间隔50ms（AVL工程经验），赛事规则限定故障响应FRT≤200ms，FTTI=DTI+FRT=250ms；250ms内1g加速度整车车速低于10km/h，几乎无致死风险。

FSR1：启动工况下，监控单元实时采集驱动扭矩指令与伺服制动状态，异常立即执行安全处置。

4.3.2 SG2：保障制动可用（ASIL C，FSR2、FSR3）

安全状态：冗余制动可靠投入；FTTI同样250ms；FSR2（待命工况）：持续在线监测气瓶气压、制动油压、伺服输入指令、伺服实际行程；FSR3（自检工况）：自检全流程监测伺服动作、看门狗、切断回路、多路EBS硬件逻辑电平、制动油压、行驶状态标志、自检完成标志。

4.3.3 SG3：保证制动触发（ASIL C，FSR4、FSR5）

安全状态：冗余制动投入，FTTI250ms；FSR4（待命/触发工况）：实时监测看门狗、英伟达故障、制动油压、EBS触发反馈信号；FSR5（待命工况）：伺服传递函数校验异常时，停止看门狗脉冲、触发气动制动。

4.3.4 SG4：制动无额外横摆（ASIL C，FSR6、FSR7）

安全状态：车身横摆速率低于标定阈值；DTI=50ms，FRT=50ms，FTTI=100ms； FSR6（EBS触发工况）：IMU横摆采集与转向输出全链路监控、输出限幅；FSR7（EBS 触发工况）：结合实时横摆、车速、转角计算安全转向扭矩指令。

4.3.5 SG5：转向本体功能完好（ASIL C，FSR8、FSR9）

安全状态：BHC航向控制模块关闭；FTTI=100ms；FSR8：仅EBS触发时，BHC算法使能工作；FSR9：整车断电/自检/待命阶段，强制关闭BHC控制。

4.3.6 通用整体需求（FSR10、FSR11）

FSR10（全工况）：EBS全系列零部件满足ASIL C设计要求；FSR11（全工况）：所有安全关键信号线满足赛事SCS线路规范。

表4.24：全功能安全需求FSR汇总

4.4 技术安全概念TSC

将FSR细化为可落地的硬件软件技术需求TSR，全量TSR，正文仅展示SG1配套TSR与三级监控架构设计。

4.4.1 SG1对应技术需求TSR1、TSR2（ASIL C）

TSR1（启动工况）：MicroAutoBox持续采集扭矩请求、伺服制动使能、自检完成三路模拟/数字信号；TSR2（启动工况）：自检未完成（EBS_checkup_done=0）且扭矩≠0，立即拉高伺服制动使能、锁止车轮。

4.4.2 通用三级监控设计思路

三级监控架构：一级（功能层）：EBS基础算法（自检、BHC、故障监测）；二级（功能监控层）：校验一级算法输出合理性，异常触发安全动作；三级（主控芯片监控层）：独立硬件监控单元、独立电源与晶振，实现MCU内核自检（AD采样校验、程序流校验、ROM/RAM循环巡检、指令集测试、问答式喂狗、过压欠压监测等）；三级硬件冗余是满足ASIL C的强制要求，受成本周期限制本项目暂不落地，列为后续优化方向。

4.4.3 硬件架构选型

主控dSpace MicroAutoBox实现一、二级监控；外置独立供电监控板实现三级处理器故障巡检（拓扑图4.9、4.10）。

图4.9：带独立监控单元的EBS系统原理图

4.4.4 三级监控完整架构说明（图4.10）

1级：应用功能算法；2级：应用功能结果校验；3级：处理器内核硬件诊断，软硬件完全解耦。

图4.10:三级安全架构方案原理图

05. 分析结果（对应五项研究问题）

5.1 RQ1：KTH车队紧急制动系统该如何设计？

若落地ISO 26262全量ASIL C要求，需要新增冗余CPU、全链路信号校验，受资金、周期约束无法落地；因此整车沿用文章“上部分”第3章初始设计，在满足方程式官方赛事规则前提下即为合理安全方案。

5.2 RQ2：落地功能安全需要哪些管控措施？

核心落地流程即ISO 26262概念阶段四步法：项目定义→HARA→FSC→TSC；

1.项目定义统一全团队对系统边界认知，便于供需双方（主机厂/零部件商）对齐设计；

2.HARA定位失效衍生危害，自上而下制定安全目标；

3.FSC拆解功能需求、TSC落地软硬件细则；整套流程形成可追溯设计文档，倒逼安全优化；建议安全分析与系统开发由不同人员分组执行，多视角排查隐患。补充：ISO 26262仅管控硬件/软件失效带来的风险，不评判原始功能方案设计优劣，方案可行性需要前置系统工程评审。

5.3 RQ3：赛事场景EBS潜在故障与风险？

HARA梳理出8类危害，但封闭单赛车赛道下：意外驻车、无征兆制动不会造成人员碰撞，仅意外起步、制动失效、丢转向、制动横摆存在伤人风险；从赛事成绩维度，无故驻车/制动会直接罚分、退赛，因此ISO 26262安全分析也可用来规避赛事失误风险。

5.4 RQ4：现有EBS能否满足ISO 26262？

想要达标ASIL C必须增设冗余处理器、全信号冗余校验、BHC失效容错架构；项目放弃冗余改造，现有设计无法满足ISO 26262完整规范。

5.5 RQ5：ISO 26262是否适合车队研发流程？

优势：提升全员安全设计思维、设计文档在赛事工程评审环节更有说服力；劣势：标准落地周期过长，学生项目资源有限难以全量落地；即便无法全合规，对标标准的分析过程依旧优化了部分监控软件设计逻辑。

06. 讨论与结论

6.1 文档编制

ISO 26262仅规定各阶段文档必备内容，不约束排版与编写工具；本文直接用LaTeX编写分析文档，未使用专业需求管理软件，导致需求追溯繁琐；后续项目建议采用专用需求管理工具优化文档追溯性。

6.2 分析细节粒度

SG安全目标定义粗细无官方强制标准，行业分两种写法：SG宏观定义再细化FSR、SG精细化定义；本文参考AVL工程规范选用宏观SG定义；SG作为顶层安全约束，宏观定义更贴合标准原始意图。

6.3 ASIL等级判定难点

ASIL依托事故统计数据定S/E/C，但无人驾驶赛车无量产事故数据库，只能参考标准示例估算；存疑工况遵循标准“就高不就低”原则，因此本项目统一上浮至ASIL C；同时工况划分过细会人为压低ASIL等级，设计时需要规避该问题。

6.4 ISO 26262适配自动驾驶系统的问题

2011版ISO 26262面向量产民用乘用车，方程式原型赛车不在标准适用范畴，但自定义赛事工况后可顺利完成HARA定级；最大痛点在可控性C定级：原版可控性依托人类驾驶员应急操作，无人驾驶无驾驶员，本文以整车轨迹规划算法的避险能力替代驾驶员可控性；现阶段车队轨迹算法仅沿参考线行驶、无主动避障，因此全部工况C3（不可控）；未来优化避障算法后可下调可控等级、降低ASIL。

6.5 QM质量管理等级说明

QM≠无安全需求，代表不受ISO 26262强制条款约束，但必须遵循企业自有质量管控体系；本项目QM场景以满足赛事规则作为质量底线。

6.6 以EBS监控作为分析项的特殊难点

赛事规则已经强制EBS自带基础监控（等同于ISO 26262二级监控功能），因此按照标准需要额外再加一层冗余监控（三级），对标量产车设计属于合理要求，但学生赛事项目成本冗余超标，这是全文分析最突出的矛盾点；但该难点反向加深了团队对分层功能安全架构的理解。

6.7 后续优化研究方向

1.在IPG CarMaker仿真环境标定BHC航向控制参数，完成控制算法验证；

2.新增FMEA失效模式分析、FTA故障树分析深挖潜在隐患；

3.研究SOTIF预期功能安全标准，适配自动驾驶非失效类危害。