随着汽车技术的发展,消费者对驾驶舒适性要求日益增加,由电子电气代替人力的技术应用越来越普遍;加之智能驾驶的出现,由机电部件代替传统机械操纵系统也成为了必然趋势,电子换挡系统即是这个发展趋势的产物。电子换挡系统由一个简单可靠的机械部件转变为一系列复杂的电子电气部件,整个系统的安全风险也随之上升,因此如何保证电子换挡系统的安全性成为汽车研发产业一个炙手可热的话题。为了保证整个系统的安全,本项目开发实施了全生命周期的功能安全流程与技术,本文重点描述了以下关键活动与技术:一、识别风险。本文以ISO26262-2018为依据,参考SAE J2980-2018,对电子换挡系统功能进行识别,使用HAZOP分析方法,导出整个系统的功能失效,再根据整车架构,由系统的功能失效得出整车功能失效的表现,进而得到整车的风险点。二、量化风险。本文从整车层面出发,重点阐述国内功能安全量化设计缺失的部分。首先定义电子换挡系统的研究范围,针对研究范围内的功能进行危害分析。再由危害定义场景,生成危害事件,最后根据危害事件对危害度、暴露度、可控度和故障容错时间进行详细的计算和测试。本文详细阐述了静止状态,整车非预期向后行驶的危害度、暴露度、可控度和故障容错时间计算过程及结果,并应用危害矩阵测试方法对故障处理时间间隔做了测试,确保上述指标定义的合理性。再依据上述指标对风险进行了评估,得出量化的风险指标——ASIL。三、降低风险至可接受范围。为了保证电子换挡系统功能安全的达成,避免或减缓系统性失效和硬件随机失效对整车的影响,本文对整个系统实施了故障树分析,导出各元素的失效率要求,并计算了割集,根据割集导出电子换挡系统的功能安全需求,并绘制了功能安全概念,再以FMEA-MSR的定性分析方法验证需求的完整性和正确性。由于本文的系统阶段,软件及硬件皆由供应商完成,为了降低风险,我们实施了5个门的审核和评估(该部分不在本文的研究范围内),确保供应商的开发过程和技术实施符合功能安全要求。四、确认风险确实降低到了可接受范围。根据功能安全需求,本文对电子换挡系统的“防止静止状态,整车非预期向后行驶”的安全目标进行了整车功能安全测试。测试结果显示,在未施加安全技术的情况下,整车向后行驶1.9m后一般驾驶员才能将车辆停止,而增加了安全技术后,整车向后行驶距离最远不大于0.1m,低于可接受的0.5m。充分确定了概念阶段评估的可控度等级和故障处理时间间隔确实能使系统变得更安全,并且在可接受范围内,设计确实达到了功能安全。