2024乘用车转向系统功能安全要求及试验方法

II乘用车转向系统功能安全要求及试验方法目 次前言 II1范围 12规范性用文件 13术语和义 14一般要求 15相关项义 15.1目的 15.2要求 26危害分和风险估 26.1目的 26.2要求 27安全要求 37.1目的 37.2总体求 3EPS统安全求 3EPS统安全制 48安全分析 58.1目的 5整车面的安分析 5系统面的安分析 59验证和认 69.1目的 69.2验证 69.3确认 6附录A（料性）EPS系相关项义 8附录B（料性）EPS系危害分和风险估 11附录C（料性）故障容时间间（FTTI）的义 16附录D（料性）EPS系功能安确认测方法 17附录E（料性）EPS系典型安机制 25附录F（料性）EPS系安全分示例 28附录G（料性）EPS系功能安验证测方及示例 3411乘用车转向系统功能安全要求及试验方法范围GB/T15089规定的M1（下简称“EPS”）/（适用于本GB/T15089机动车辆及挂车分类GB17675-2021汽车转向系基本要求GB/T34590.1～34590.12道路车辆功能安全术语和定义GB/T34590.1—2022界定的以及下列术语和定义适用于本文件。singleelementfailureanalysis;基于系统理论事故模型和过程的危害分析方法。systemtheoreticprocessanalysis;基于系统理论事故模型和过程的危害分析方法。safetymetric[来源:GB17675—2021,3.2.7一般要求除非特别说明，乘用车转向系统的功能安全技术开发、流程开发等要求应按照GB/T34590.1～34590.12—2022（所有部分）执行。相关项定义目的22（EPS要求GB/T34590.3-20225.4EPSEPSGB17675-2021注1：附录A给出了以EPS系统为相关项的相关项定义示例。注定义EPSEPSEPSEPSEPS注：EPSEPS目的EPSEPS要求GB/T34590.3-20226.4EPSEPS清单。EPS1表1EPS序号危害1非预期的侧向运动2非预期的失去侧向运动控制3失去助力情况下的转向沉重aa考虑驾驶员在失去EPS系统转向助力后，仍可通过机械系统实现转向。注表1注附录EPSEPS示例：因EPS系统具有主动回正功能，驾驶员可能在转向回正过程中脱手。注：附录B给出了可用于支持危害分析的系统性分析方法的示例。EPS233表2转向相关安全目标序号安全目标ASIL等级安全度量aFTTI安全状态1车辆非预期的侧向运动应满足非预期侧向运动的安全度量D——非预期侧向运动导致的侧向加——非预期侧向运动导致的侧向位——非预期侧向运动导致的横摆角速度变化不超过安全阈值。FTTI的确定方法可参考附录降助力，关闭助力或其他适用的安全状态，并提供报警信息2D转向操纵力/FTTI的确定方法可参考附录降助力，关闭助力或其他适用的安全状3转向操纵力应满足转向沉重的安全度量QM或A转向操纵力/FTTI的确定方法可参考附录降助力，关闭助力或其他适用的安全状aEPS个，关于安全度量阈值的测试定义方法可参考附录D。如果与表2EPS安全要求目的本章的目的是提供EPS系统需要满足的安全要求及安全机制，以符合安全目标。总体要求应根据EPSGB/T34590-2022EPS7.3注：本文件根据EPS系统特点规定了关键安全要求，不具有完备性。EPSEPSEPSEPSEPS44EPSEPSEPS系统应对转向盘扭矩传感器短路）注：示例：通过冗余的扭矩传感器，实现对单路扭矩传感器异常的探测。EPS示例：通过对总线输入的车速信号增加通信保护位，如：校验和、时间戳等，实现对车速信号通信异常的探测。EPSEPS示例：主动回正功能可独立于驾驶员输入，提供转向扭矩。注：EPSEPS导致违背非预期侧向运动、失去侧向运动控制或转向沉重的安全度量。示例：EPS系统对电机驱动桥MOSFET短路故障进行周期性探测，避免扭矩执行错误。EPSEPSEPS系统关闭电机EPSEPSEPSEPS注：EPSEPS过大的扭矩波动，而导致违背非预期侧向运动的安全度量。注：EPSEPSEPS55为满足EPS示例：EPS系统可采取的典型安全机制见表3。表3 EPS系统型安全制序号安全机制1传感器冗余校验机制2通信保护机制3信号有效性检查机制4软件多样性设计机制5微控制器（MCU）外部看门狗机制6控制器（ECU）温度监控机制7电压/电流监控机制8扭矩输出监控机制9助力关断及报警机制注：本表给出的安全机制不具有完备性，相关安全机制的详细介绍见附录E。安全分析目的EPSEPSEPS）——分析EPS系统功能异常表现引起的整车安全风险及对应的安全措施的有效性。(HAZOP)(SEFA)（（（STPA）注：B.2和附录F提供了整车层面安全分析的示例。EPS——识别可能导致违背安全目标或安全要求的故障或失效；——针对识别出的故障或失效，定义预防或控制措施；——提供安全概念适用性的证据；——支持安全概念、安全要求的验证。（（66析（DFA）、探索性分析（例如STPA）或适合系统安全分析的其他类似方法。注：附录F提供了系统层面安全分析的示例。验证和确认目的本章的目的是定义EPS系统验证和确认活动所需满足的要求，提供了验证测试和确认测试的要求。验证EPS注：附录G提供了EPS系统功能安全验证测试方法及示例。EPS注：故障注入可采用硬件或软件方式模拟实现。EPS（确认6.2.5EPS4注：附录D提供了EPS系统功能安全确认测试方法示例。表4EPS序号整车危害类别故障类型a试验工况b,c接受准则1非预期的车辆侧（——根据7.3.2.3，车速通信接口类故障；7.3.2.7在附着系数约为0.8的水平路面上，空载车辆以60km/h的车速沿试验通道中线直线行驶，注入故障。6.2中表和7.3.3.1——其他接受准则（如有）7.3.3.2力的EPS系统，丢失单通道助力故障；——ECU故障导致电机输出非预期转向扭矩。（在附着系数约为0.8的水非预期的失去侧源）、开路、信号卡滞、偏差故障；平路面上，满载车辆以6.2中表和7.3.3.1的要求；2向运动控制路故障；25km/h的车速驶入半径为——其他接受准则（如有）77序号整车危害类别故障类型a试验工况b,c接受准则故障；——ECU故障导致电机输出扭矩卡滞。3失去助力情况下7.3.3.2——ECU故障导致失去助力。在附着系数约为0.8的水平路面上，满载车辆以25km/h的车速驶入半径为35米的弯道试验通道并沿中线行驶，注入故障。6.2中表2和7.3.3.1——其他接受准则（如有）注：对于同一组件的故障测试，可能同时考核多个安全目标的符合性，若测试场景相同，可合并测试。a相关故障为EPS系统典型故障类型，若不适用，应具备合理的理由。bc验初始车速与规定车速之间的偏差不应超过±2km/h。88附录A（资料性）EPS系统相关项定义目的本附录目的是以EPS系统作为相关项，提供其定义方法及示例。EPS功能和架构应列出EPS系统的功能，并对各个功能进行定义和说明。表A.1给出了EPS系统功能定义的示例。表A.1EPS序号功能名称功能描述1转向助力功能实现驾驶员轻松转向2主动回正功能直行位置3惯性补偿功能补偿转向系统内部零件转动的惯性力，消除其对驾驶员转向手感迟滞的影响4摩擦补偿功能针对转向系统内部摩擦力，提供补偿助力，改善转向手感5跑偏补偿功能对路面不平或车辆原因导致发生跑偏的情况，提供抑制跑偏助力，帮助驾驶员维持正确的前进方向EPS系统边界、要素、接口及交互关系见图A.1。++ -CAN总线电源模块传感器采集模块转向管柱CAN通信模块电机转角传感器扭矩传感器相关项边界图A.1EPS图A.1中的EPS系统主要要素及功能描述见表A.2。要素功能描述为后续功能异常分析和危害行为识别提供了基础。99表A.2相关项要素清单序号要素功能描述1扭矩传感器测量施加在转向盘上的力矩的传感器2转角传感器测量转向盘转角的传感器3传感器采集模块接收扭矩/转角传感器信号，处理后转发给中央控制单元4电源模块为EPS系统内部相关组件提供电能5CAN通信模块息交互6中央控制单元动电机输出驾驶员预期的转向助力7电机驱动单元用于将中央控制单元发出的电机驱动要求转换成电机可识别的驱动控制信号8电机根据电机驱动单元指令，将电能转化为扭矩输出9电机位置传感器测量电机转子位置，并提供给中央控制单元运行场景的定义考虑与EPS系统相关的整车正常使用场景及可合理预见的误用场景。A.2给出了EPS探测到故障关闭条件探测到故障关闭条件满足初始化完成条件探测到故障 故障消除满足功能关闭条件满足下电条件满足下电完成条件初始化运行关闭下电图A.2EPS针对运行模式的描述见表A.3。表A.3EPS序号状态描述1初始上电过程，系统进行软件加载、故障自检等2运行系统正常工作3故障10104下电系统下电过程，系统完成参数存储、故障自检等5关闭系统关闭EPS系统的运行模式信息将为危害场景分析、功能安全概念、技术安全概念和安全确认提供输入。EPSEPSEPS示例1：EPS系统运行温度范围为-40℃～105℃（其中，-35℃～80℃可提供100%助力）。示例2：EPS系统工作电压范围为6V～20V，其中9V～18V范围内，EPS可以提供100%助力。EPSEPS系统主要参数还包括电机输出能力等，示例见表A.4。表A.4EPS序号转向盘速度(°/s)齿条力负载(N)电机速度(RPM)电机力矩(N·m)10900005.192360900012305.193540630018453.644700360023922.08注1：以上参数的得出，基于齿条力9000N（20ºC条件下），减速比20.5，转向传动比(C-Factor)：60mm/r,减速机构效率：85%，转向机效率：95%。注2：不同助力型式的EPS系统，如管柱助力式、齿条助力式等，输出能力参数有差异。EPS系统的输出能力参数可以作为安全度量转化为技术安全概念时的输入。A.2.4已知失效模式及危害风险EPS系统已知的失效模式及危害风险的示见表A.5。表A.5EPS序号已知失效模式可导致的危害风险1扭矩传感器信号异常导致错误的输出电机扭矩非预期转向，车辆驶出车道2EPS系统电机相短路导致大的转向迟滞力转向失去控制，无法转向3EPS系统供电异常失去转向助力，转向沉重1111附录B（资料性）EPS系统危害分析和风险评估目的EPS本附录的第二个目的是为EPS系统的风险评估方法和评估结果提供参考，并提供安全目标的示例。方法概述危害识别应通过使用足够的技术手段系统地确定危害。本附录给出两种系统化的分析方法：——危害与可操作性分析(HAZOP)；——单一要素失效分析(SEFA)。HAZOPSEFAHAZOPSEFA注1：SEFA分析方法是架构层面的FMEA分析方法。注HAZOP)方法描述HAZOP基于EPS系统的功能定义，分析每个功能的异常表现，使用以下引导词：功能丧失——————————注：以上引导词并非适用于所有的分析，可根据分析范围和内容对引导词进行剪裁，也可选取其他引导词用于分析。1212针对EPS系统的转向助力功能，HAZOP分析示例见表B.1。表B.1EPSHOZAP功能引导词功能丧失在有需求时，提供错误的功能非预期的功能（在无需求时，提供功能）输出卡滞在固定值上（功能不能按照需求更新）错误的功能（多于预期）错误的功能（少于预期）错误的功能（方向相反）转向助力功能助力丧失助力过大助力不（力）非预期助力转向锁死（转向输出卡滞在固定值或固定位置）B.2.2.2.1危害识别另外，不同功能异常表现可能导致整车层面的同一危害。危害分析是一个迭代过程，考虑到不同的将表B.1中识别出的功能异常表现映射到表B.2中的整车层面的危害。表B.2危害汇总功能异常表现整车层面的危害转向助力丧失失去助力情况下的转向沉重转向助力过大非预期的车辆侧向运动转向助力不足失去助力情况下的转向沉重转向助力反向非预期的车辆侧向运动/非预期的失去车辆侧向运动控制非预期的提供转向助力非预期的车辆侧向运动转向助力卡滞非预期的失去侧向运动控制(SEFA)描述SEFASEFA1313注1：SEFA分析基于相关项架构要素及其交互，分析的对象可包括：系统要素、硬件要素及要素间的交互。注2：SEFAHAZOP，SEFA注3：当相关项是基于已有设计的变更时，SEFA分析可快速识别变更对危害的影响。SEFAB.2.3.2.1要素失效分析和危害识别SEFASEFA注A.2B.3注表B.3EPSSEFA编号要素失效系统层表现运行场景整车危害1扭矩传感器无信号；无转向助力；错误的转向助力。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制a2转角传感器无信号；无转向助力；错误的转向助力。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制a3传感器采集模块无信号；错误的扭矩或转角。无转向助力；错误的转向助力。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制a4电源模块无供电；直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制aHAZ_04冒烟或起火b5CAN通信模块无通信；错误的通信值。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动1414表B.3EPS系统SEFA分析和危害识别（续）6中央控制单元无转向助力；错误的转向助力。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制a7电机驱动单元无驱动输出；短路过载；无转向助力；系统过流；错误的转向助力。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制aHAZ_04冒烟或起火b8电机开路；短路；错误的转速。无转向助力；系统过流；错误的转向助力。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制aHAZ_04冒烟或起火b9电机位置传感器无信号；无转向助力；错误的转向助力。直行、转弯，等HAZ_01转向沉重HAZ_02非预期的车辆侧向运动HAZ_03失去侧向运动控制aa过大的系统转向力可导致驾驶员无法人力转动转向盘，从而失去对车辆侧向运动的控制。bHAZOP丝，则可不列入相关项的危害清单中。基于上述危害分析，将EPS系统危害事件归类，得到表1的汇总。风险评估概述完成危害识别后，基于确定的理由，为危害事件定义可控性C、暴露概率(E)和严重度(S)，最终完成ASIL评级。表B.4展示了EPS系统危害事件的严重度和暴露概率评估的示例。表B.4EPS危害事件类别严重度分析S暴露概率分析E非预期的车辆侧车辆中高速行驶过程中，发生非预期侧向运动，可能导致与其他交通参3次驾驶循环都可能发生4非预期的失去侧车辆中高速行驶过程中，转向系统锁死或卡滞在某个位置，导致驾驶员难以转向而与其他交通参与者或道路基础设施发生严重碰撞，有致命风险3次驾驶循环都可能发生4失去助力情况下转向助力丢失，此时驾驶员可以通过转向机械结构进行转向操作，低速时需要更大的转向盘操作力，遇到低速且大角度转弯工况时可能因转向不及时导致与其他交通参与者或路边基础设施发生低速轻微碰撞，有轻伤风险1次驾驶循环都可能41515可控性评级B.5EPS注：EPS表B.5EPS危害事件类别可控性分析可控性度量指标C非预期的车辆侧向运动纠偏侧向加速度变化3非预期的失去侧向运动控制转向锁死或卡滞，低于90%的驾驶员可以控制转向转向操纵力/转向盘力矩3失去助力情况下的转向沉重度可能影响驾驶员可控性比例转向操纵力/转向盘力矩1-2ASIL评级EPS系统的危害事件ASIL评级见表B.6。表B.6EPSASIL序号整车危害SECASIL等级1非预期的侧向运动343ASILD2非预期的失去侧向运动控制343ASILD3失去助力情况下的转向沉重141或2QM或ASILAEPS系统的安全目标见表B.7。表B.7EPS序号整车危害ASIL等级安全目标1非预期的侧向运动ASILD车辆非预期的侧向运动应满足非预期侧向运动的安全度量2非预期的失去侧向运动控制ASILD车辆非预期的失去侧向运动控制应满足非预期失去侧向运动安全度量3失去助力情况下的转向沉重QM或ASILA转向操纵力应满足转向沉重的安全度量注：1616附录C（资料性）故障容错时间间隔（FTTI）的定义目的本附录的目的是提供故障容错时间间隔（FTTI）的定义方法指导及示例。（FTTI）对于EPS系统，故障容错时间间隔是从可导致相关项危害行为（如非预期转向扭矩）的故障（如扭矩传感器信号偏差故障）发生，到车辆危害事件发生（非预期转向事件）的时间间隔。FTTI定义FTTI的方法包括分析计算、仿真、测试等。对FTTI的定义，考虑以下方面：FTTI的影响（。FTTIFTTIFTTIEPS系统电气/FTTI，FTTI考虑可导致EPS系统危害事件的典型故障，开展故障注入测试，得到FTTI。测试场景可以参考附录5FTTI表C.1给出了以车辆偏离车道线为危害事件的故障容错时间间隔测试的示例。表C.1故障容错时间间隔测试示例整车危害故障模式场景故障注入aFTTIb转向电机输出非预期扭D.5注入转向电机某一方向最大扭矩值，直至车辆偏离本车道时停止注入故障。记录电机开始输出非预期扭矩（故障发生）的12模式的FTTI=t2-t1a故障注入时长需要确保涵盖危害事件发生时刻。b全度量指标的时刻。1717附录D（资料性）EPS系统功能安全确认测试方法目的EPS6.2.52（如有总则应根据GB/T34590.4-20228D.4D.5文档要求开展安全确认前，应提供下列文档和信息：6B7.3、7.4应按照GB/T34590.4-2022中8.4.1安全确认的环境、8.4.2安全确认的规范制定安全确认计划，并满足GB17675-2021中关于确认计划的要求。试验目的9.3.2注：通过客观车辆动力学参数及车辆行为表现结合的方式进行评估。试验条件环境条件应在无雨、雪、雾且风速不影响试验结果的情况下进行。道路条件试验道路应满足以下要求：试验场地应为干燥、平坦而清洁的，用水泥混凝土或沥青铺装的路面，任意方向的坡度不宜2%，1818试验场地应能布置符合本文件规定的直行和转弯车道，并在车道线外有额外的路面保证试验D.1D.2应针对每项试验定义车道宽度，并设置用于界定车道的锥桶或其他要素。用于界定车道的要素设置方式应使其表面与车道的外边缘对齐，要素之间的最大距离不得超过车辆的长度。试/注：GPSS——b1,b2——d——图D.1试验直道示意图b——Ri1、Ri2d——图D.2试验弯道示意图1919车辆状态测量各参数的试验设备应满足表D.1的要求。表D.1测量参数及要求测量参数单位测量误差环境温度℃±1风速m/s±0.5质量kg±1%轮胎气压kPa±1%车辆速度km/h±1%转向操纵力N±2%转向盘力矩N·m±1%横向加速度m/s2±1%横向位移m±1%时间s±1转向盘转角°±0.1车道宽度m±1%锥距m±1%弯道半径m±1%试验场景根据附录B中危害分析和风险评估过程，EPS系统的典型危害相关运行场景见表D.2。表D.2EPS序号整车危害典型运行场景1非预期的车辆侧向运动直行2非预期的失去侧向运动控制转弯3转向沉重转弯注：，EPS（）（2020基于D.5.3.1见表D.3D.4表D.3场景试验道路车速车道宽度至少包含一条车道的长直道60km/ha3.5ma考虑城市道路的典型车速、限速等因素，选取车辆速度，可根据实际情况进行调整。表D.4场景试验道路车速车道宽度转弯半径转弯：车辆以某一速度在城市道路左转弯通过十字路口。至少包含一条车道的1/4圆环道路25km/h3.5m35maa考虑机动车道、非机动车道宽度以及转弯路缘石、转弯半径等因素，选取车辆转弯半径，可根据实际情况进行调整。注表D.3D.4JTGD20-2006、JTJ001-97、50647-2011、CJJ37-2012、CJJ152-2010试验步骤D.3D.3。图D.3直行场景安全确认试验步骤示意图注：图D.3中试验过程包括D.5.4.1.2～D.5.4.1.5规定的4个阶段：加速段、稳态段、测试段和结束段。（μ≥0.8）注：/注：EPSEPS过故障注入设备在控制单元或电机驱动单元处注入某一大小的助力扭矩驱动信号，触发电机非预期转向助力。2121D.4D.4。图D.4转弯场景安全确认试验步骤示意图注：图D.2中试验过程包括D.5.4.2.2～D.5.4.2.5规定的4个阶段：加速段、稳态段、测试段和结束段。（μ≥0.8）注：/注：试验过程中驾驶员以日常转向的手部姿势握住转向盘。数据处理注：532GB/T40501-2021针对不同试验场景下的安全确认试验，对采集的转向相关安全度量参数按照D.5.5.1～D.5.5.3D.5D.6注：将故障注入前滤波的车辆动力学信号的平均值与故障注入后该信号的变化进行比较，例如：峰值或在一定时间2222标引序号说明：①——故障注入前，滤波后的侧向加速度平均值，单位为米每二次方秒（m/s2）；②——故障注入时间点；③——侧向加速度的干扰；④——故障注入后，滤波后的侧向加速度的最大绝对值，单位为米每二次方秒（m/s2）；Y——侧向加速度（已滤波），单位为米每二次方秒（m/s2）。图D.5车辆动力学参数评估（以直行行驶中的侧向加速度扰动）标引序号说明：①——故障注入前，滤波后的转向盘力矩平均值，单位为牛·米（N·m）；②——故障注入时间点；③——转向盘力矩的干扰；④——故障注入后，滤波后的转向盘力矩的最大绝对值，单位为牛·米（N·m）；⑤——故障注入前的记录时间，单位为秒（s）；Y——（·米（N·m）图D.6车辆动力学参数评估（以转弯行驶中的方向盘力矩扰动为例）2323应根据6.2/D.5，图D.7和图D.8（），注表D.5注注图D.790注图D.890（控制）的转向盘力矩、90%驾驶员可以控制车辆完成预定转向动作的转向盘力矩。图D.7图D.82424表D.5接受准则及安全度量参考值序号整车危害安全目标场景接受准则安全度量其他接受准则1非预期的车辆侧向运动车辆非预期的车辆侧向运动应满足非预期侧向运动的安全度量直行故障发生后410ms的车辆侧向加速度变化小于等于1.2m/s2车辆不应偏离3.5m宽的试验通道2非预期的失去侧向运动控制应确保驾驶员对车辆侧向运动的控制能力，相应转向盘手力应满足非预期失去转向控制度量转弯转向盘手力矩小于等于34Nm车辆不应偏离3.5m宽的试验通道3转向沉重转向手力满足转向沉重度量转弯转向盘手力矩小于等于16.7Nm车辆不应偏离3.5m宽的试验通道测试报告D.6表D.6安全确认测试记录表内容描述试验方式（实车测试/台架或仿真测试）测试目的测试内容测试方法及步骤测试设备（名称、型号及编号、校准有效日期等）测试环境[硬件在环（HIL）测试、实车测试或其它]接受准则（安全度量、其他接受准则）测试结果试验照片样车参数表2525附录E（资料性）EPS系统典型安全机制目的本附录的目的是提供EPS系统典型安全机制的示例，以支持技术安全概念的开发和典型故障的处理。注：相关机制的示例不具有完备性，每个机制的具体设计基于特定EPS系统的应用情况。安全机制的主要作用是探测故障和控制失效，使相关项达到或保持在某种安全状态，按照34590.4-2022中6.4.2.1E.1表E.1序号类别1与系统自身故障的探测、指示和控制相关的机制2与系统有相互影响的外部要素故障的探测、指示和控制相关的机制3使系统实现或者维持在相关项的安全状态的机制4定义和执行报警和降级概念的机制5防止故障变为潜伏故障的机制EPS概述EPS系统的典型安全机制，从输入、处理和输出三个环节考虑。EPS系统的输入环节包括信号的探测、信号的传输、外部供电等，典型机制如下：目的：针对关键传感器信号输入，可以考虑采用冗余校验机制，以提升传感器故障的诊断覆盖率。EPS采用双扭矩传感器EPSEPS目的：探测通信失效，提升信号传输环节安全完整性等级。见GB/T34590.5-2022附录D。EPS目的：检查输入信号的有效性，确保软件功能使用有效的信号进行计算。示例：EPS车速计算模块检查车速信号的有效性，如果输入的车速信号无效，进入默认助力状态。2626目的：通过差异化计算逻辑设计，对比检查控制逻辑的输出处于合理范围。目的：通过独立的外部芯片监控主芯片的运行。目的：监控系统工作运行温度，当温度过高时进入降级保护模式，避免过高温度下的系统失效。EPSECUECU示例：EPS系统监控电机驱动电路的电压和电流，当电压或电流超过一定范围（过高或过低）时，进入降级状态。EPS系统输出环节包括电机助力扭矩的输出、系统工作状态信号的输出等,典型机制如下：目的：对EPS系统扭矩输出进行监控和限制，避免由硬件或软件错误导致的扭矩输出异常。示例：EPS系统检测到MCU失效时，立即关断助力，并发出报警信息。EPS对于EPS2727EPS（如果车辆具有其他横向控制系统（如制动、后轮转向），也可使用这些系统作为EPS系统功能失效后，确保车辆的转向功能的外部措施。对于外部措施的有效性，需要在整车层面进行验证和确认。2828附录F（资料性）EPS系统安全分析示例目的EPS分析方法整车层面的安全分析除附录B给出的用于支持危害识别的HAZOP方法外，还包括用于分析EPS系统与车辆其他系统交互风险的方法，例如：FTA分析、FMEA分析、STPA分析。FTA分析以“危害1：车辆非预期的侧向运动不满足非预期侧向运动的安全度量”为例，给出整车层面FTA分析的示例,见图F.1。图F.1整车层面FTA分析示例2929FMEA分析EPSFMEAEPSEPSFMEA例（F.1。表F.1整车层面FMEA分析示例潜在失效模式潜在失效影响潜在原因当前设计控制预防当前设计控制检测对应安全目标基础助力输入条件异常[助力启停]上电，需要助力时未启动，转向沉重某ECU因受到电磁干扰、振动断线、焊接不牢，导致发动机状态信号CAN出错或丢失增加两个信号同时校对为判断条件，其中一个信号为车速HIL测试转向操纵力应满足转向沉重的安全度量[助力启停]误关助力，转向沉重轮速传感器增加校验设计或在控制模型中增加轮速下降斜率的约束诊断车辆上电、启动状态与车速某ECU因受到电磁干扰、振动断线、焊接不牢，导致车速信号误降到０或出错增加两个信号同时校对为判断条件，其中一个信号为车速HIL测试轮速传感器增加校验设计或在控制模型中增加轮速下降斜率的约束诊断车辆上电、启动状态与车速某ECU因受到电磁干扰、振动断线、焊接不牢，导致点火信号CAN出错或丢失增加两个信号同时校对为判断条件，其中一个信号为车速HIL测试轮速传感器增加校验设计或在控制模型中增加轮速下降斜率的约束诊断车辆上电、启动状态与车速末端保护位置异常锁死[末端保护]末端位置的手力不对称/非对称转向范围（带助力）出现中间位置转向卡死或助力沉重角度传感器损坏校准转角中位HIL测试降助力，关闭助力或其他适用的安全状态，并提供报警信息；转向操纵力应满足转向沉重的安全度量根据异常情况断开助力来料抽检EOL测试软件标定参数出错根据异常情况断开助力HIL测试和整车标定STPA分析概述3030STPA(STAMPSTPASTPAEPSSTPA注：EPS相关项设计之初，功能和架构设计并不完善，STPA分析先从整车层面应避免的危害出发，确定分析目标，示例见表F.2。表F.2危害清单示例整车危害主动转向相关危害可导致碰撞的车辆非预期运动HAZ_01:非预期工作导致车辆非预期的侧向运动HAZ_02:非预期工作导致失去侧向运动控制可导致人员受伤的车辆零部件非预期运动HAZ_03:非预期工作导致人员手部受伤注：表F.2提供了STPA分析中可能用到的整车危害分类，对应于不同的相关项，可由此生成特定的危害清单。STPAF.2驾驶员使能 交互控制 信息等操作

外部指令系统 状态转向 状态指令 信息 状态EPS系统 信转向 状态操作 车辆车辆图F.2主动转向功能初步控制架构注：图中，向下的箭头表示控制行为，向上的箭头表示反馈行为。STPA分析中的控制模型可能存在多种表现形式。STPAF_01：3131F_02：F_03：F_04：F.2和图F.3表F.3控制行为失效分析示例控制行为失效类型失效及场景描述危害外部指令系统发给EPS系统的“转向指令”F_01功能激活后，不向EPS系统发送转向指令HAZ_01:非预期工作导致车辆非预期的侧向运动F_02EPSHAZ_01:非预期工作导致车辆非预期的侧向运动HAZ_02:非预期工作导致失去侧向运动控制HAZ_03:非预期工作导致人员手部受伤F_03功能激活后，转向指令发出的过早或过晚HAZ_01:非预期工作导致车辆非预期的侧向运动HAZ_03:非预期工作导致人员手部受伤F_04功能激活后，转向指令持续的时间错误HAZ_01:非预期工作导致车辆非预期的侧向运动HAZ_03:非预期工作导致人员手部受伤针对表F.3中识别出的不安全控制行为（其中可导致潜在危害的控制行为）及场景，定义相应的约束条件。以“功能未激活时，向EPS系统发出了转向指令”为例进行分析，相关约束见表F.4。表F.4主动转向控制行为所需约束的分析示例编号约束C_01EPS系统应准确判断外部指令系统的功能状态位和驾驶员的操作意图C_02当工作条件不满足时，EPS系统不能进入主动转向工作状态C_03驾驶员应能取消或克服EPS系统的主动转向控制行为F.2C_03EPSEPSF.3使能 交互控制使