GB/TXXXXX—XXXX

乘用車轉(zhuǎn)向系統(tǒng)功能安全要求及試驗方法

1范圍

本文件規(guī)定了乘用車轉(zhuǎn)向系統(tǒng)的功能安全要求及試驗方法。

本文件適用于安裝在GB/T15089規(guī)定的M1類車輛上，用于控制車輛側(cè)向運動的電動助力轉(zhuǎn)向系統(tǒng)（以

下簡稱“EPS系統(tǒng)”），其他轉(zhuǎn)向相關(guān)電氣/電子系統(tǒng)可參照執(zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T15089機動車輛及掛車分類

GB17675-2021汽車轉(zhuǎn)向系基本要求

GB/T34590.1～34590.12道路車輛功能安全

3術(shù)語和定義

GB/T34590.1—2022界定的以及下列術(shù)語和定義適用于本文件。

3.1單一要素失效分析singleelementfailureanalysis;SEFA

基于系統(tǒng)理論事故模型和過程的危害分析方法。

3.2系統(tǒng)理論過程分析systemtheoreticprocessanalysis;STPA

基于系統(tǒng)理論事故模型和過程的危害分析方法。

3.3安全度量safetymetric

為符合安全目標而給定的具體技術(shù)參數(shù)的量化值。

[來源:GB17675—2021,3.2.7，有修改]

4一般要求

除非特別說明，乘用車轉(zhuǎn)向系統(tǒng)的功能安全技術(shù)開發(fā)、流程開發(fā)等要求應按照GB/T34590.1～

34590.12—2022（所有部分）執(zhí)行。

5相關(guān)項定義

5.1目的

1

GB/TXXXXX—XXXX

本章的目的是定義并描述作為相關(guān)項的電動助力轉(zhuǎn)向系統(tǒng)（EPS系統(tǒng)），以支持執(zhí)行后續(xù)階段活動。

5.2要求

5.2.1應按照GB/T34590.3-2022中5.4的要求，對EPS系統(tǒng)進行相關(guān)項定義。EPS系統(tǒng)應具備轉(zhuǎn)向

助力等功能，功能性要求應滿足GB17675-2021。

注1：附錄A給出了以EPS系統(tǒng)為相關(guān)項的相關(guān)項定義示例。

注2：定義EPS系統(tǒng)在整車層面的功能時，還考慮EPS系統(tǒng)與其他相關(guān)項的功能交互。功能交互包括其他相關(guān)項和要

素要求轉(zhuǎn)向系統(tǒng)提供的功能，如車輛駕駛模式控制系統(tǒng)要求EPS系統(tǒng)提供不同標定風格的轉(zhuǎn)向助力，也包括轉(zhuǎn)

向系統(tǒng)要求其他相關(guān)項和要素提供的功能，如EPS系統(tǒng)要求儀表系統(tǒng)向駕駛員提供系統(tǒng)狀態(tài)和報警信息。

5.2.2EPS系統(tǒng)助力功能應符合目標市場運行條件與環(huán)境約束的要求。

注：EPS系統(tǒng)運行條件除考慮車輛正常運行條件外，還可能包括行駛中車輛異常下電的情況，此時若EPS系統(tǒng)具備供

電條件，保持轉(zhuǎn)向助力有助于確保緊急情況下車輛運行的安全性。

6危害分析和風險評估

6.1目的

本章的目的是識別并分類因EPS系統(tǒng)的功能異常表現(xiàn)所引起的危害事件，定義EPS系統(tǒng)需要滿足的安

全目標，以避免不合理的風險。

6.2要求

6.2.1應按照GB/T34590.3-2022中6.4的要求，對EPS系統(tǒng)進行危害分析和風險評估。

6.2.2應對EPS系統(tǒng)的各類功能異常表現(xiàn)進行識別，并與運行場景進行組合分析，歸類形成危害事件

清單。EPS系統(tǒng)的功能異常表現(xiàn)可能導致的整車層面典型危害見表1。

表1EPS系統(tǒng)相關(guān)的整車典型危害

序號危害

1非預期的側(cè)向運動

2非預期的失去側(cè)向運動控制

3失去助力情況下的轉(zhuǎn)向沉重a

a考慮駕駛員在失去EPS系統(tǒng)轉(zhuǎn)向助力后，仍可通過機械系統(tǒng)實現(xiàn)轉(zhuǎn)向。

注1：表1為非窮盡列表。當車輛運行場景不同時，將可能產(chǎn)生不同的危害事件。

注2：附錄B給出了EPS系統(tǒng)危害分析和風險評估的過程及分析方法示例。

6.2.3危害分析時除考慮EPS系統(tǒng)的正確使用，還應考慮可合理預見的誤用。

示例：因EPS系統(tǒng)具有主動回正功能，駕駛員可能在轉(zhuǎn)向回正過程中脫手。

6.2.4危害分析和風險評估應采用系統(tǒng)性分析方法，以提升完整性和準確性。

注：附錄B給出了可用于支持危害分析的系統(tǒng)性分析方法的示例。

6.2.5EPS系統(tǒng)應至少滿足表2中所列的安全目標要求。

2

GB/TXXXXX—XXXX

表2轉(zhuǎn)向相關(guān)安全目標

序號安全目標ASIL等級安全度量aFTTI安全狀態(tài)

——非預期側(cè)向運動導致的側(cè)向加

速度變化小于安全閾值；

車輛非預期的側(cè)向運動應降助力，關(guān)閉助力或

——非預期側(cè)向運動導致的側(cè)向位FTTI的確定方

1滿足非預期側(cè)向運動的安D其他適用的安全狀

移不超過安全閾值；法可參考附錄C

全度量態(tài)，并提供報警信息

——非預期側(cè)向運動導致的橫擺角

速度變化不超過安全閾值。

車輛非預期的失去側(cè)向運降助力，關(guān)閉助力或

轉(zhuǎn)向操縱力/轉(zhuǎn)向盤力矩小于失去側(cè)FTTI的確定方

2動控制應滿足非預期失去D其他適用的安全狀

向運動控制的安全閾值法可參考附錄C

側(cè)向運動控制的安全度量態(tài)，并提供報警信息

降助力，關(guān)閉助力或

轉(zhuǎn)向操縱力應滿足轉(zhuǎn)向沉轉(zhuǎn)向操縱力/轉(zhuǎn)向盤力矩小于轉(zhuǎn)向沉FTTI的確定方

3QM或A其他適用的安全狀

重的安全度量重的安全閾值法可參考附錄C

態(tài)，并提供報警信息

a安全度量可基于不同車型和EPS系統(tǒng)方案，結(jié)合實車測試結(jié)果進行調(diào)整，具體參數(shù)選擇可使用表格中的一個或者多

個，關(guān)于安全度量閾值的測試定義方法可參考附錄D。

如果與表2所列的安全目標不一致，應具備相應的證據(jù)來證明EPS系統(tǒng)不會因功能異常表現(xiàn)而導致不

合理的整車危害風險，至少包括如下證據(jù)：

a)整車危害風險已被考慮，并制定了合理的安全目標；

b)所制定的安全目標針對目標市場是適用和充分的。

7安全要求

7.1目的

本章的目的是提供EPS系統(tǒng)需要滿足的安全要求及安全機制，以符合安全目標。

7.2總體要求

應根據(jù)EPS系統(tǒng)的相關(guān)項定義和安全目標，按照GB/T34590-2022的要求，導出功能安全概念和技術(shù)

安全概念，確保相關(guān)安全目標得到正確和完整的實現(xiàn)。EPS系統(tǒng)應至少滿足7.3的要求，若不適用應具備

合理的理由。

注：本文件根據(jù)EPS系統(tǒng)特點規(guī)定了關(guān)鍵安全要求，不具有完備性。

7.3EPS系統(tǒng)安全要求

7.3.1EPS系統(tǒng)整車層面的安全要求

7.3.1.1EPS系統(tǒng)應根據(jù)駕駛員的轉(zhuǎn)向意圖提供轉(zhuǎn)向助力扭矩。避免因故障導致識別駕駛員轉(zhuǎn)向意圖

錯誤、轉(zhuǎn)向指令計算錯誤或轉(zhuǎn)向助力生成錯誤等，違背非預期側(cè)向運動的安全度量。

7.3.1.2EPS系統(tǒng)應避免因錯誤地反向助力等故障導致轉(zhuǎn)向操縱力過大，違背非預期失去側(cè)向運動控

制的安全度量。

7.3.1.3EPS系統(tǒng)應避免因故障導致轉(zhuǎn)向助力不足或丟失，造成轉(zhuǎn)向操縱力過大，違背轉(zhuǎn)向沉重的安

全度量。

3

GB/TXXXXX—XXXX

7.3.2針對EPS系統(tǒng)關(guān)鍵組件的安全要求

7.3.2.1EPS系統(tǒng)應對轉(zhuǎn)向助力請求相關(guān)輸入信號的異常進行周期性探測，避免錯誤的識別扭矩請求

導致非預期側(cè)向運動、失去側(cè)向運動控制或轉(zhuǎn)向沉重風險。

7.3.2.2EPS系統(tǒng)應對轉(zhuǎn)向盤扭矩傳感器短路（對地或?qū)﹄娫矗㈤_路、信號卡滯、偏差等故障進行

周期性探測，以避免因故障導致異常的轉(zhuǎn)向意圖識別，從而造成違背非預期側(cè)向運動或失去側(cè)向運動控

制的安全度量。

注：故障探測門限和探測周期的確定，一方面可由安全度量及FTTI導出，另一方面可根據(jù)現(xiàn)有設計經(jīng)驗定義，然后

通過驗證確認證明合理性。

示例：通過冗余的扭矩傳感器，實現(xiàn)對單路扭矩傳感器異常的探測。

7.3.2.3對于隨車速調(diào)整轉(zhuǎn)向助力水平的EPS系統(tǒng)，應周期性探測車速信號傳輸?shù)耐暾?，避免因?/p>

速信號通信異常導致轉(zhuǎn)向助力過大、過小或波動，而違背非預期側(cè)向運動、失去側(cè)向運動控制或轉(zhuǎn)向沉

重的安全度量。

示例：通過對總線輸入的車速信號增加通信保護位，如：校驗和、時間戳等，實現(xiàn)對車速信號通信異常的探測。

7.3.2.4EPS系統(tǒng)應對控制單元的異常進行周期性探測，避免錯誤的扭矩計算導致非預期側(cè)向運動、

失去側(cè)向運動控制或轉(zhuǎn)向沉重風險。

7.3.2.5對于非駕駛員直接操作而產(chǎn)生的EPS系統(tǒng)轉(zhuǎn)向扭矩，應控制在的合理的水平，且能確保駕駛

員對轉(zhuǎn)向的控制，以避免引發(fā)潛在的非預期側(cè)向運動或失去側(cè)向運動控制的安全度量。

示例：主動回正功能可獨立于駕駛員輸入，提供轉(zhuǎn)向扭矩。

注：對于同時存在多個可以觸發(fā)轉(zhuǎn)向扭矩的子功能，考慮對生成的總體扭矩進行約束，A.1提供了EPS主要功能的示

例。

7.3.2.6EPS系統(tǒng)應對助力電機的驅(qū)動鏈路及電機的短路、開路故障進行周期性探測，避免異常扭矩

導致違背非預期側(cè)向運動、失去側(cè)向運動控制或轉(zhuǎn)向沉重的安全度量。

示例：EPS系統(tǒng)對電機驅(qū)動橋MOSFET短路故障進行周期性探測，避免扭矩執(zhí)行錯誤。

7.3.2.7EPS系統(tǒng)應對供電鏈路的過壓、欠壓異常進行周期性探測，以避免因電壓異常導致違背非預

期側(cè)向運動、失去側(cè)向運動控制或轉(zhuǎn)向沉重的安全度量。

示例：EPS系統(tǒng)對一定范圍內(nèi)的過壓或欠壓故障容錯，當過壓或欠壓超出范圍后，為避免危害，EPS系統(tǒng)關(guān)閉電機

驅(qū)動鏈路。

7.3.3針對EPS系統(tǒng)失效降級的安全要求

7.3.3.1當發(fā)生可能導致違背安全目標的故障時，EPS系統(tǒng)應進入安全狀態(tài)，安全狀態(tài)可以是維持合

理的EPS扭矩輸出能力，或切斷EPS扭矩輸出而保持機械轉(zhuǎn)向能力，同時發(fā)出報警信息。

注：安全狀態(tài)的選擇考慮系統(tǒng)可以保障的安全運行能力，及駕駛員對車輛轉(zhuǎn)向的可控性水平，若駕駛員操縱力不滿

足轉(zhuǎn)向沉重安全度量，考慮更改機械轉(zhuǎn)向比設計或引入EPS冗余設計。

7.3.3.2對于具備冗余轉(zhuǎn)向能力的EPS系統(tǒng)，當系統(tǒng)發(fā)生單助力鏈路失效時，應避免因鏈路切換造成

過大的扭矩波動，而導致違背非預期側(cè)向運動的安全度量。

注：單助力鏈路是指能實現(xiàn)基本轉(zhuǎn)向助力功能的最小組件集，含傳感、控制和執(zhí)行等必要組件。通過增加冗余組件，

可實現(xiàn)部分或全部的幾余轉(zhuǎn)向助力功能，對于部分余EPS系統(tǒng)，不同助力鏈路間可能共用組件。

7.3.3.3對于為避免失去助力導致轉(zhuǎn)向沉重危害而引入的冗余EPS系統(tǒng)，當系統(tǒng)發(fā)生單助力鏈路失效

后，應根據(jù)剩余工作鏈路發(fā)生進一步失效的可能性，及時發(fā)出報警信息，避免備份鏈路故障導致違背轉(zhuǎn)

向沉重的安全度量。

7.4EPS系統(tǒng)安全機制

4

GB/TXXXXX—XXXX

為滿足EPS系統(tǒng)的安全要求，應定義用于安全相關(guān)故障的探測和處理的安全機制，避免導致危害風

險。

示例：EPS系統(tǒng)可采取的典型安全機制見表3。

表3EPS系統(tǒng)典型安全機制

序號安全機制

1傳感器冗余校驗機制

2通信保護機制

3信號有效性檢查機制

4軟件多樣性設計機制

5微控制器（MCU）外部看門狗機制

6控制器（ECU）溫度監(jiān)控機制

7電壓/電流監(jiān)控機制

8扭矩輸出監(jiān)控機制

9助力關(guān)斷及報警機制

注：本表給出的安全機制不具有完備性，相關(guān)安全機制的詳細介紹見附錄E。

8安全分析

8.1目的

本章的目的是定義應開展的功能安全分析活動及工作成果，以確保因EPS系統(tǒng)故障導致的危害風險

被充分識別，根據(jù)安全目標導出的安全要求是正確且完整的。

8.2整車層面的安全分析

8.2.1應針對EPS系統(tǒng)開展整車層面的安全分析，至少包括：

——分析EPS系統(tǒng)與車輛其他系統(tǒng)的交互（含交互接口故障的條件下）可能導致的潛在安全風險

及對應的安全措施，確保風險被充分識別和覆蓋；

——分析EPS系統(tǒng)功能異常表現(xiàn)引起的整車安全風險及對應的安全措施的有效性。

8.2.2整車層面的安全分析可采用危害與可操作性分析(HAZOP)、危害分析和風險評估（HARA）、單一

要素失效分析(SEFA)、歸納分析法（例如FMEA）、演繹分析法（例如FTA）、探索性分析（例如STPA）

或適合整車層面安全分析的其他類似方法。

注：B.2和附錄F提供了整車層面安全分析的示例。

8.3系統(tǒng)層面的安全分析

8.3.1應開展EPS系統(tǒng)層面的安全分析，確保不存在由于系統(tǒng)性故障或隨機硬件故障而導致違背安全

目標的不合理風險。系統(tǒng)層面的安全分析應至少包括：

——識別可能導致違背安全目標或安全要求的故障或失效；

——針對識別出的故障或失效，定義預防或控制措施；

——提供安全概念適用性的證據(jù)；

——支持安全概念、安全要求的驗證。

8.3.2系統(tǒng)層面的安全分析可采用歸納分析法（例如FMEA）、演繹分析法（例如FTA）、相關(guān)失效分

5

GB/TXXXXX—XXXX

析（DFA）、探索性分析（例如STPA）或適合系統(tǒng)安全分析的其他類似方法。

注：附錄F提供了系統(tǒng)層面安全分析的示例。

9驗證和確認

9.1目的

本章的目的是定義EPS系統(tǒng)驗證和確認活動所需滿足的要求，提供了驗證測試和確認測試的要求。

9.2驗證

9.2.1應對EPS系統(tǒng)功能安全要求、技術(shù)安全要求和安全機制的正確實施進行驗證，含安全相關(guān)接口

的一致性驗證。

注：附錄G提供了EPS系統(tǒng)功能安全驗證測試方法及示例。

9.2.2為驗證EPS系統(tǒng)安全機制的有效性，應開展故障注入測試。

注：故障注入可采用硬件或軟件方式模擬實現(xiàn)。

9.2.3為驗證EPS系統(tǒng)在不同環(huán)境條件下（如路面條件等）工作的穩(wěn)定性，宜開展魯棒性測試。

9.3確認

9.3.1應針對6.2.5規(guī)定的安全目標開展安全確認，以證明安全目標是充分的且得到了實現(xiàn)。

9.3.2EPS系統(tǒng)安全確認測試應包含表4的測試要求。

注：附錄D提供了EPS系統(tǒng)功能安全確認測試方法示例。

表4EPS系統(tǒng)功能安全確認測試要求

序號整車危害類別故障類型a試驗工況b,c接受準則

——根據(jù)7.3.2.2，扭矩傳感器短路（對地或?qū)﹄娫诟街禂?shù)約為0.8的水

源）、開路、信號卡滯、偏差故障；平路面上，空載車輛以

——根據(jù)7.3.2.3，車速通信接口類故障；60km/h的車速沿試驗通

道中線直線行駛，注入故——滿足6.2中表2

——根據(jù)7.3.2.6，電機驅(qū)動鏈路及電機短路、開

非預期的車輛側(cè)障。和7.3.3.1的要求；

1路故障；

向運動——其他接受準則

——根據(jù)7.3.2.7，供電鏈路的過壓、欠壓故障；

（如有）

——根據(jù)7.3.3.2和7.3.3.3，對于具備冗余轉(zhuǎn)向能

力的EPS系統(tǒng)，丟失單通道助力故障；

——ECU故障導致電機輸出非預期轉(zhuǎn)向扭矩。

——根據(jù)7.3.2.2，扭矩傳感器短路（對地或?qū)﹄娫诟街禂?shù)約為0.8的水

——滿足6.2中表2

源）、開路、信號卡滯、偏差故障；平路面上，滿載車輛以

非預期的失去側(cè)和7.3.3.1的要求；

2——根據(jù)7.3.2.6，電機驅(qū)動鏈路及電機短路、開25km/h的車速駛?cè)氚霃?/p>

向運動控制——其他接受準則

路故障；為35米的彎道試驗通道并（如有）

沿中線行駛，注入故障。

——根據(jù)7.3.2.7，供電鏈路的過壓、欠壓、開路

6

GB/TXXXXX—XXXX

序號整車危害類別故障類型a試驗工況b,c接受準則

故障；

——ECU故障導致電機輸出扭矩卡滯。

——根據(jù)7.3.2.2，電機驅(qū)動鏈路及電機短路、開在附著系數(shù)約為0.8的水

路故障；平路面上，滿載車輛以

——滿足6.2中表2

——根據(jù)7.3.2.7，供電鏈路的過壓、欠壓、開路25km/h的車速駛?cè)氚霃?/p>

失去助力情況下和7.3.3.1的要求；

為35米的彎道試驗通道并

3故障；

的轉(zhuǎn)向沉重

沿中線行駛，注入故障。——其他接受準則

——根據(jù)7.3.3.2和7.3.3.3，對于具備冗余轉(zhuǎn)向能

（如有）

力的EPS系統(tǒng)，丟失單通道助力故障；

——ECU故障導致失去助力。

注：對于同一組件的故障測試，可能同時考核多個安全目標的符合性，若測試場景相同，可合并測試。

a相關(guān)故障為EPS系統(tǒng)典型故障類型，若不適用，應具備合理的理由。

b對于無法在實車層面模擬的故障模擬測試，可在確保替代測試準確性的情況下，通過硬件在環(huán)（HIL）等其他方式

開展測試。

c試驗車速、車輛質(zhì)量狀態(tài)、路面附著系數(shù)、轉(zhuǎn)彎半徑可根據(jù)制造商安全確認規(guī)范中的相關(guān)試驗工況進行調(diào)整。試

驗初始車速與規(guī)定車速之間的偏差不應超過±2km/h。

7

GB/TXXXXX—XXXX

附錄A

（資料性）

EPS系統(tǒng)相關(guān)項定義

A.1目的

本附錄目的是以EPS系統(tǒng)作為相關(guān)項，提供其定義方法及示例。

A.2EPS系統(tǒng)相關(guān)項定義示例

A.2.1功能和架構(gòu)

應列出EPS系統(tǒng)的功能，并對各個功能進行定義和說明。表A.1給出了EPS系統(tǒng)功能定義的示例。

表A.1EPS系統(tǒng)功能定義示例

序號功能名稱功能描述

基于駕駛員的轉(zhuǎn)向盤輸入，結(jié)合車輛運行狀態(tài)(如：車速等),計算并提供轉(zhuǎn)向助力，

1轉(zhuǎn)向助力功能

實現(xiàn)駕駛員輕松轉(zhuǎn)向

在車輛轉(zhuǎn)向回正過程中，提供轉(zhuǎn)向回正力矩，幫助轉(zhuǎn)向盤快速且準確的回到居中

2主動回正功能

直行位置

3慣性補償功能補償轉(zhuǎn)向系統(tǒng)內(nèi)部零件轉(zhuǎn)動的慣性力，消除其對駕駛員轉(zhuǎn)向手感遲滯的影響

4摩擦補償功能針對轉(zhuǎn)向系統(tǒng)內(nèi)部摩擦力，提供補償助力，改善轉(zhuǎn)向手感

對路面不平或車輛原因?qū)е掳l(fā)生跑偏的情況，提供抑制跑偏助力，幫助駕駛員維

5跑偏補償功能

持正確的前進方向

EPS系統(tǒng)邊界、要素、接口及交互關(guān)系見圖A.1。

+-

CAN總線

傳感器采扭矩傳感器

電源模塊

集模塊轉(zhuǎn)角傳感器

轉(zhuǎn)

向

管

電機驅(qū)柱

中央控制單元電機

動單元

CAN通信模塊電機位置

傳感器

相關(guān)項邊界

圖A.1EPS系統(tǒng)相關(guān)項邊界、要素、接口及交互關(guān)系示例

圖A.1中的EPS系統(tǒng)主要要素及功能描述見表A.2。要素功能描述為后續(xù)功能異常分析和危害行為識

別提供了基礎。

8

GB/TXXXXX—XXXX

表A.2相關(guān)項要素清單

序號要素功能描述

1扭矩傳感器測量施加在轉(zhuǎn)向盤上的力矩的傳感器

2轉(zhuǎn)角傳感器測量轉(zhuǎn)向盤轉(zhuǎn)角的傳感器

3傳感器采集模塊接收扭矩/轉(zhuǎn)角傳感器信號，處理后轉(zhuǎn)發(fā)給中央控制單元

4電源模塊為EPS系統(tǒng)內(nèi)部相關(guān)組件提供電能

5CAN通信模塊按照通信協(xié)議，解析獲取外部輸入信號，并打包發(fā)出內(nèi)部信號，實現(xiàn)與整車的信

息交互

6中央控制單元根據(jù)各傳感器及車輛運行狀態(tài)信號輸入，計算生成電機驅(qū)動單元控制指令，以驅(qū)

動電機輸出駕駛員預期的轉(zhuǎn)向助力

7電機驅(qū)動單元用于將中央控制單元發(fā)出的電機驅(qū)動要求轉(zhuǎn)換成電機可識別的驅(qū)動控制信號

8電機根據(jù)電機驅(qū)動單元指令，將電能轉(zhuǎn)化為扭矩輸出

9電機位置傳感器測量電機轉(zhuǎn)子位置，并提供給中央控制單元

A.2.2運行場景與運行模式

運行場景的定義考慮與EPS系統(tǒng)相關(guān)的整車正常使用場景及可合理預見的誤用場景。

運行模式需要定義模式之間的轉(zhuǎn)換關(guān)系。包含初始化、運行、故障等。圖A.2給出了EPS系統(tǒng)運行模

式及各模式間的切換條件。

啟動條件

探測到故障

關(guān)閉條件

初始化

滿足初始化完成條件

探測到故障

運行故障

故障消除

滿足功能關(guān)閉條件

下電

滿足下電條件

滿足下電完成條件

關(guān)閉

圖A.2EPS系統(tǒng)運行模式

針對運行模式的描述見表A.3。

表A.3EPS系統(tǒng)運行模式說明

序號狀態(tài)描述

1初始化初始上電過程，系統(tǒng)進行軟件加載、故障自檢等

2運行系統(tǒng)正常工作

3故障系統(tǒng)探測到故障條件，進入故障狀態(tài)，部分或全部功能降級，可能發(fā)出報警信息

9

GB/TXXXXX—XXXX

4下電系統(tǒng)下電過程，系統(tǒng)完成參數(shù)存儲、故障自檢等

5關(guān)閉系統(tǒng)關(guān)閉

EPS系統(tǒng)的運行模式信息將為危害場景分析、功能安全概念、技術(shù)安全概念和安全確認提供輸入。

A.2.3EPS系統(tǒng)的非功能要求

EPS系統(tǒng)的非功能要求包括工作溫度范圍、電壓范圍、最大電流、耐久及可靠性要求等。EPS系統(tǒng)的

非功能要求將為技術(shù)安全概念和安全確認提供輸入。

示例1：EPS系統(tǒng)運行溫度范圍為-40℃～105℃（其中，-35℃～80℃可提供100%助力）。

示例2：EPS系統(tǒng)工作電壓范圍為6V～20V，其中9V～18V范圍內(nèi)，EPS可以提供100%助力。

A.2.4EPS系統(tǒng)輸出能力參數(shù)

EPS系統(tǒng)主要參數(shù)還包括電機輸出能力等，示例見表A.4。

表A.4EPS系統(tǒng)輸出能力示例

序號轉(zhuǎn)向盤速度(°/s)齒條力負載(N)電機速度(RPM)電機力矩(N·m)

10900005.19

2360900012305.19

3540630018453.64

4700360023922.08

注1：以上參數(shù)的得出，基于齒條力9000N（20oC條件下），減速比20.5，轉(zhuǎn)向傳動比(C-Factor)：60mm/r,減速機

構(gòu)效率：85%，轉(zhuǎn)向機效率：95%。

注2：不同助力型式的EPS系統(tǒng)，如管柱助力式、齒條助力式等，輸出能力參數(shù)有差異。

EPS系統(tǒng)的輸出能力參數(shù)可以作為安全度量轉(zhuǎn)化為技術(shù)安全概念時的輸入。

A.2.4已知失效模式及危害風險

EPS系統(tǒng)已知的失效模式及危害風險的示見表A.5。

表A.5EPS系統(tǒng)已知失效模式及危害風險示例

序號已知失效模式可導致的危害風險

1扭矩傳感器信號異常導致錯誤的輸出電機扭矩非預期轉(zhuǎn)向，車輛駛出車道

2EPS系統(tǒng)電機相短路導致大的轉(zhuǎn)向遲滯力轉(zhuǎn)向失去控制，無法轉(zhuǎn)向

3EPS系統(tǒng)供電異常失去轉(zhuǎn)向助力，轉(zhuǎn)向沉重

10

GB/TXXXXX—XXXX

附錄B

（資料性）

EPS系統(tǒng)危害分析和風險評估

B.1目的

本附錄的第一個目的是提供危害分析的系統(tǒng)化分析方法，并給出利用這些方法得到EPS系統(tǒng)危害分

析結(jié)果的示例。

本附錄的第二個目的是為EPS系統(tǒng)的風險評估方法和評估結(jié)果提供參考，并提供安全目標的示例。

B.2危害分析方法及示例

B.2.1方法概述

危害識別應通過使用足夠的技術(shù)手段系統(tǒng)地確定危害。本附錄給出兩種系統(tǒng)化的分析方法：

——危害與可操作性分析(HAZOP)；

——單一要素失效分析(SEFA)。

HAZOP分析方法從相關(guān)項功能層面出發(fā)，通過引導詞分析特定功能異常可能導致的危害。SEFA分析

方法從相關(guān)項架構(gòu)層面出發(fā)，分析特定架構(gòu)要素失效可能導致的危害。HAZOP和SEFA是基于可靠性理論

的線性分析方法，分析中不考慮控制措施及安全機制，可基于相關(guān)項的已知設計識別危害風險，有針對

性的導出預防或減輕這些功能及要素失效的安全要求。

注1：SEFA分析方法是架構(gòu)層面的FMEA分析方法。

注2：注對于列入本附錄的方法，可能存在多種應用形式，本附錄僅給出了一種常見應用。分析可采用其他方法，

本附錄對所列方法及應用形式不具有傾向性。

B.2.2危害與可操作性分析(HAZOP)

B.2.2.1方法描述

HAZOP是一種探索型的分析方法，可用于識別和評估相關(guān)項的功能異常表現(xiàn),有助于結(jié)構(gòu)化和系統(tǒng)地

檢查相關(guān)項在整車層面的運行情況，該分析方法通過給相關(guān)項的每個功能添加適當?shù)囊龑г~來假定其不

同的功能異常表現(xiàn),該功能異常表現(xiàn)可導致危害,而該危害可能對目標車輛的駕乘人員,其他車輛及其乘

客,或其他處于風險中的人員,如目標車輛附近的行人、騎自行車的人員或維修人員造成潛在傷害。

B.2.2.2功能異常表現(xiàn)分析

基于EPS系統(tǒng)的功能定義，分析每個功能的異常表現(xiàn)，使用以下引導詞：

a)功能喪失——在有需求時，不提供功能；

b)在有需求時，提供錯誤的功能：

1)錯誤的功能——多于預期；

2)錯誤的功能——少于預期；

3)錯誤的功能——方向相反。

c)非預期的功能——在無需求時，提供功能；

d)輸出卡滯在固定值上——功能不能按照需求更新。

注：以上引導詞并非適用于所有的分析，可根據(jù)分析范圍和內(nèi)容對引導詞進行剪裁，也可選取其他引導詞用于分析。

11

GB/TXXXXX—XXXX

針對EPS系統(tǒng)的轉(zhuǎn)向助力功能，HAZOP分析示例見表B.1。

表B.1EPS系統(tǒng)轉(zhuǎn)向助力功能的HOZAP分析

引導詞

在有需求時，提供錯誤的功能

非預期的功能

功能

功能喪錯誤的功錯誤的錯誤的功能輸出卡滯在固定值上（功能不

（在無需求時，

失能（多于功能（少（方向相能按照需求更新）

提供功能）

預期）于預期）反）

助力反向

（提供相對

轉(zhuǎn)向助力喪助力不轉(zhuǎn)向鎖死（轉(zhuǎn)向輸出卡滯在固

助力過大于請求相反非預期助力

助力功能失足定值或固定位置）

方向的助

力）

B.2.2.2.1危害識別

考慮車輛不同的運行場景，進一步分析每個功能異常表現(xiàn)在整車層面上可能產(chǎn)生的危害。不同運行

場景中，同一功能異常表現(xiàn)可能導致整車層面的多種危害。

示例：對于非預期的提供轉(zhuǎn)向助力，在車輛處于直線行駛時，可能造成的整車危害是非預期的車輛側(cè)向運動；在車

輛靜止時，可能造成的整車危害是轉(zhuǎn)向盤快速轉(zhuǎn)動導致人員手部傷害。

另外，不同功能異常表現(xiàn)可能導致整車層面的同一危害。危害分析是一個迭代過程，考慮到不同的

車輛運行場景和生命周期階段，相關(guān)項的功能異常表現(xiàn)和相應的車輛層面危害也會在分析過程中不斷更

新。

將表B.1中識別出的功能異常表現(xiàn)映射到表B.2中的整車層面的危害。

表B.2危害匯總

功能異常表現(xiàn)整車層面的危害

轉(zhuǎn)向助力喪失失去助力情況下的轉(zhuǎn)向沉重

轉(zhuǎn)向助力過大非預期的車輛側(cè)向運動

轉(zhuǎn)向助力不足失去助力情況下的轉(zhuǎn)向沉重

轉(zhuǎn)向助力反向非預期的車輛側(cè)向運動/非預期的失去車輛側(cè)向運動控

制

非預期的提供轉(zhuǎn)向助力非預期的車輛側(cè)向運動

轉(zhuǎn)向助力卡滯非預期的失去側(cè)向運動控制

B.2.3單一要素失效分析(SEFA)

B.2.3.1描述

SEFA分析方法是一種識別單一要素失效影響的系統(tǒng)性分析方法。該方法探索性的分析要素失效對系

統(tǒng)整體的影響，來確定是否有足夠的措施來避免或減輕潛在的危害風險。SEFA分析可用于相關(guān)項危害的

識別。

12

GB/TXXXXX—XXXX

注1：SEFA分析基于相關(guān)項架構(gòu)要素及其交互，分析的對象可包括：系統(tǒng)要素、硬件要素及要素間的交互。

注2：SEFA分析提供了一個獨立于HAZOP的分析方法。由于采用了不同的分析角度，為危害的識別方法提供了補充；

由于分析基于相關(guān)項的架構(gòu)設計，SEFA分析結(jié)果也更容易貼近相關(guān)項的實際危害，并有利于導出安全要求。

注3：當相關(guān)項是基于已有設計的變更時，SEFA分析可快速識別變更對危害的影響。

B.2.3.2SEFA分析

B.2.3.2.1要素失效分析和危害識別

根據(jù)相關(guān)項定義，啟動SEFA分析。若相關(guān)項架構(gòu)復雜，可按照系統(tǒng)邊界將相關(guān)項打散為更小的功能

塊，單獨對每一功能塊進行分析，再匯總最后的分析結(jié)果。

SEFA分析方法假定作為相關(guān)項一部分的單個要素出現(xiàn)了失效，而其他要素正常。不考慮幾個要素同

時失效的情況，但會考慮要素失效后可能直接引發(fā)的其他要素失效，如供電要素失效導致多個其他要素

失去能源和功能。

注1：危害分析和風險評估階段，相關(guān)項架構(gòu)要素的劃分一般比較集中，在這一層面僅考慮單一要素的失效，通常

可以支持危害識別的分析目的。

對要素失效模式的定義可參考行業(yè)標準、現(xiàn)有產(chǎn)品、專家經(jīng)驗等。失效模式的詳細程度，決定了分

析的細節(jié)程度和工作量。在危害識別階段，失效的描述可關(guān)注功能性失效。針對表A.2中的要素，分析

潛在失效模式，然后考慮其對系統(tǒng)整體的影響，再結(jié)合整車運行場景，識別出潛在的危害，見表B.3。

注2：為便于分析：運行場景僅考慮車輛行駛過程中；對同一要素的失效、系統(tǒng)層表現(xiàn)及整車危害的描述，非一一

對應關(guān)系；相同的整車危害以同一序號標出。

表B.3EPS系統(tǒng)SEFA分析和危害識別

編號要素失效系統(tǒng)層表現(xiàn)運行場景整車危害

1扭矩傳感無信號；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

器錯誤的扭矩信號。錯誤的轉(zhuǎn)向助力。等HAZ_02非預期的車輛側(cè)向運動

HAZ_03失去側(cè)向運動控制a

2轉(zhuǎn)角傳感無信號；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

器錯誤的轉(zhuǎn)角信號。錯誤的轉(zhuǎn)向助力。等HAZ_02非預期的車輛側(cè)向運動

HAZ_03失去側(cè)向運動控制a

3傳感器采無信號；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

集模塊錯誤的扭矩或轉(zhuǎn)錯誤的轉(zhuǎn)向助力。等HAZ_02非預期的車輛側(cè)向運動

角。HAZ_03失去側(cè)向運動控制a

4電源模塊無供電；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

電壓過高或過低。系統(tǒng)過流；等HAZ_02非預期的車輛側(cè)向運動

助力不足。HAZ_03失去側(cè)向運動控制a

HAZ_04冒煙或起火b

5CAN通信模無通信；無轉(zhuǎn)向助力直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

塊錯誤的通信值。助力不足；等HAZ_02非預期的車輛側(cè)向運動

助力過大。

13

GB/TXXXXX—XXXX

表B.3EPS系統(tǒng)SEFA分析和危害識別（續(xù)）

6中央控制失去控制能力；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

單元錯誤的控制指令。錯誤的轉(zhuǎn)向助力。等HAZ_02非預期的車輛側(cè)向運動

HAZ_03失去側(cè)向運動控制a

7電機驅(qū)動無驅(qū)動輸出；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

單元短路過載；系統(tǒng)過流；等HAZ_02非預期的車輛側(cè)向運動

錯誤的驅(qū)動輸出。錯誤的轉(zhuǎn)向助力。HAZ_03失去側(cè)向運動控制a

HAZ_04冒煙或起火b

8電機開路；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

短路；系統(tǒng)過流；等HAZ_02非預期的車輛側(cè)向運動

錯誤的轉(zhuǎn)速。錯誤的轉(zhuǎn)向助力。HAZ_03失去側(cè)向運動控制a

HAZ_04冒煙或起火b

9電機位置無信號；無轉(zhuǎn)向助力；直行、轉(zhuǎn)彎，HAZ_01轉(zhuǎn)向沉重

傳感器錯誤的位置信號。錯誤的轉(zhuǎn)向助力。等HAZ_02非預期的車輛側(cè)向運動

HAZ_03失去側(cè)向運動控制a

a過大的系統(tǒng)轉(zhuǎn)向力可導致駕駛員無法人力轉(zhuǎn)動轉(zhuǎn)向盤，從而失去對車輛側(cè)向運動的控制。

b相比于HAZOP分析，HAZ_04可能是新識別出的危害。因過載導致的冒煙或起火危害可通過外部措施避免，如：保險

絲，則可不列入相關(guān)項的危害清單中。

基于上述危害分析，將EPS系統(tǒng)危害事件歸類，得到表1的匯總。

B.3風險評估

B.3.1概述

完成危害識別后，基于確定的理由，為危害事件定義可控性C、暴露概率(E)和嚴重度(S)，最終完

成ASIL評級。

B.3.2嚴重度和暴露概率評級

表B.4展示了EPS系統(tǒng)危害事件的嚴重度和暴露概率評估的示例。

表B.4EPS系統(tǒng)危害事件的暴露概率和嚴重度評級示例

危害事件類別嚴重度分析S暴露概率分析E

車輛中高速行駛，每

非預期的車輛側(cè)車輛中高速行駛過程中，發(fā)生非預期側(cè)向運動，可能導致與其他交通參

3次駕駛循環(huán)都可能4

向運動與者或道路基礎設施發(fā)生嚴重碰撞，有致命風險

發(fā)生

車輛中高速行駛過程中，轉(zhuǎn)向系統(tǒng)鎖死或卡滯在某個位置，導致駕駛員車輛中高速行駛，每

非預期的失去側(cè)

難以轉(zhuǎn)向而與其他交通參與者或道路基礎設施發(fā)生嚴重碰撞，有致命風3次駕駛循環(huán)都可能4

向運動控制

險發(fā)生

轉(zhuǎn)向助力丟失，此時駕駛員可以通過轉(zhuǎn)向機械結(jié)構(gòu)進行轉(zhuǎn)向操作，低速

低速大角度轉(zhuǎn)彎，每

失去助力情況下時需要更大的轉(zhuǎn)向盤操作力，遇到低速且大角度轉(zhuǎn)彎工況時可能因轉(zhuǎn)向

1次駕駛循環(huán)都可能4

的轉(zhuǎn)向沉重不及時導致與其他交通參與者或路邊基礎設施發(fā)生低速輕微碰撞，有輕

發(fā)生

傷風險

14

GB/TXXXXX—XXXX

B.3.3可控性評級

對危害事件的可控性進行評估，見表B.5。表中還提供了EPS系統(tǒng)可控性分級時使用的度量指標的參

考。相關(guān)指標可基于目標市場典型駕駛員的可控性測試得出，指標用于支持可控性客觀分級。

注：可控性度量指標客觀地衡量了EPS系統(tǒng)功能異常是否構(gòu)成駕駛員難以控制的不合理風險，因此，這些指標也可

用作功能安全目標的度量指標。

表B.5EPS系統(tǒng)危害事件的可控性評級及度量指標示例

危害事件類別可控性分析可控性度量指標C

非預期的車輛側(cè)車輛非預期的側(cè)向運動，快速偏離軌跡，低于90%的駕駛員能及時反應和

側(cè)向加速度變化3

向運動糾偏

非預期的失去側(cè)轉(zhuǎn)向操縱力/轉(zhuǎn)向盤力

轉(zhuǎn)向鎖死或卡滯，低于90%的駕駛員可以控制轉(zhuǎn)向3

向運動控制矩

失去助力情況下失去助力后，大部分駕駛員可以通過機械系統(tǒng)實現(xiàn)轉(zhuǎn)向，但轉(zhuǎn)向沉重程轉(zhuǎn)向操縱力/轉(zhuǎn)向盤力

1-2

的轉(zhuǎn)向沉重度可能影響駕駛員可控性比例矩

B.3.4ASIL評級

EPS系統(tǒng)的危害事件ASIL評級見表B.6。

表B.6EPS系統(tǒng)相關(guān)危害事件的ASIL評級

序號整車危害SECASIL等級

1非預期的側(cè)向運動343ASILD

2非預期的失去側(cè)向運動控制343ASILD

3失去助力情況下的轉(zhuǎn)向沉重1