常秀巖 高尚 姜廷龍 侯慧賢 張建偉

（1.中國第一汽車股份有限公司研發(fā)總院，長春 130013；2.汽車振動噪聲與安全控制綜合技術(shù)國家重點實驗室，長春 130013；3.吉林大學(xué)，汽車仿真與控制國家重點實驗室，長春 130022）

主題詞：線控轉(zhuǎn)向 功能安全 系統(tǒng)架構(gòu) 硬件架構(gòu) 系統(tǒng)狀態(tài)機(jī)

1 前言

線控轉(zhuǎn)向（Steering-by-Wire，SBW）具有靈活的可變傳動比，能夠?qū)崿F(xiàn)中高車速下的穩(wěn)定性及低速下的操作方便性，使駕駛員獲得更加良好的駕乘體驗。但線控轉(zhuǎn)向最大的問題是如何保證系統(tǒng)的安全性。受安全性及GB 17675—1999《汽車轉(zhuǎn)向系基本要求》（已經(jīng)廢止）的限制[1]，SBW系統(tǒng)僅在個別車型上進(jìn)行了配置，但也采用了電磁離合器方案作為替代轉(zhuǎn)向中間軸的機(jī)械備份。GB 17675—2021《汽車轉(zhuǎn)向系基本要求》（即將實施）刪除了“不得裝用全動力轉(zhuǎn)向機(jī)構(gòu)”的要求[2]，SBW屬于全動力轉(zhuǎn)向的范疇，該標(biāo)準(zhǔn)的發(fā)布使SBW系統(tǒng)具備了應(yīng)用的可能，同時增加了“對轉(zhuǎn)向電子控制系統(tǒng)的功能安全要求”，從功能安全的角度提出了明確的安全性要求。

針對線控轉(zhuǎn)向的功能安全，王杰等就線控轉(zhuǎn)向傳感器故障診斷與容錯展開了研究[3]，Taeyun Koo 等人也對線控轉(zhuǎn)向的路感模擬與轉(zhuǎn)向執(zhí)行雙冗余架構(gòu)展開了研究[4]。本文從功能安全的角度分析線控轉(zhuǎn)向系統(tǒng)的潛在風(fēng)險，并提出供參考的功能安全目標(biāo)，以失效可操作（Fail-Operational）冗余機(jī)制為指導(dǎo)思想設(shè)計滿足整車需求的線控轉(zhuǎn)向系統(tǒng)架構(gòu)、硬件架構(gòu)及軟件控制策略，并進(jìn)行實車驗證。

2 線控轉(zhuǎn)向系統(tǒng)基本結(jié)構(gòu)

線控轉(zhuǎn)向系統(tǒng)主要由綜合控制器、路感模擬器及轉(zhuǎn)向執(zhí)行器組成，如圖1所示。

圖1 線控轉(zhuǎn)向系統(tǒng)基本結(jié)構(gòu)

線控轉(zhuǎn)向系統(tǒng)中控制器較多，且無法進(jìn)行取代，同時參考博世的電子電氣架構(gòu)技術(shù)戰(zhàn)略圖[5]（見圖2）及整車需求，在當(dāng)前階段采用域中心控制器的架構(gòu)設(shè)計。

圖2 博世的電子電氣架構(gòu)技術(shù)戰(zhàn)略[5]

綜合控制器負(fù)責(zé)線控轉(zhuǎn)向系統(tǒng)綜合控制，對路感模擬器及轉(zhuǎn)向執(zhí)行器分別發(fā)出轉(zhuǎn)矩及轉(zhuǎn)角執(zhí)行的信號請求，同時負(fù)責(zé)與整車及SBW系統(tǒng)內(nèi)部的信息傳遞。

路感模擬器由轉(zhuǎn)角扭矩傳感器、路感電機(jī)及其控制器組成，其中，轉(zhuǎn)角扭矩傳感器負(fù)責(zé)轉(zhuǎn)角及扭矩的信號獲取，路感電機(jī)控制器接收綜合控制器的扭矩請求，控制路感電機(jī)實現(xiàn)路感控制，同時向綜合控制器反饋轉(zhuǎn)角及扭矩信息。

轉(zhuǎn)向執(zhí)行器由轉(zhuǎn)角傳感器、執(zhí)行電機(jī)及其控制器組成，其中，轉(zhuǎn)角傳感器負(fù)責(zé)轉(zhuǎn)角信號獲取，執(zhí)行電機(jī)控制器接收綜合控制器的轉(zhuǎn)角請求，控制執(zhí)行電機(jī)實現(xiàn)轉(zhuǎn)角控制，同時向綜合控制器反饋轉(zhuǎn)角及扭矩信息。

3 線控轉(zhuǎn)向系統(tǒng)功能安全目標(biāo)

3.1 轉(zhuǎn)向功能安全目標(biāo)

線控轉(zhuǎn)向系統(tǒng)作為轉(zhuǎn)向系統(tǒng)的拓展，其功能安全要求與電動助力轉(zhuǎn)向（Electric Power Steering，EPS）系統(tǒng)的功能安全要求具有一定的繼承性和獨立性，因此在設(shè)計線控轉(zhuǎn)向功能安全目標(biāo)時的場景分析、危害辨識、汽車安全完整性等級（Automotive Safety Integration Level，ASIL）評估可以參考EPS 系統(tǒng)設(shè)計經(jīng)驗，每一部分均具有一定的關(guān)聯(lián)性[6-7]。

在EPS的設(shè)計過程中，需考慮的轉(zhuǎn)向系統(tǒng)潛在危險如表1所示。

表1 轉(zhuǎn)向系統(tǒng)潛在風(fēng)險

對于潛在風(fēng)險，ISO 26262:2018《道路車輛功能安全》從以下3 個方面進(jìn)行評估ASIL 等級：故障對駕駛員、乘客、行人以及道路中涉及的車輛所帶來危害的嚴(yán)重程度（Severity，S）；人員和車輛暴露在系統(tǒng)失效可能發(fā)生場景的概率（Exposure，E）；駕駛員在事故發(fā)生時通過采取措施對可能造成傷害的人員和車輛危害的控制能力（Controllability，C）。這3個因子的具體等級分類如表2所示。

表2 嚴(yán)重度、暴露度、可控性分類

對于系統(tǒng)確認(rèn)的每一項危險，首先基于表2確定嚴(yán)重度、暴露度、可控性的等級，然后根據(jù)各等級的值對照表3確定系統(tǒng)的ASIL等級。其中A～D均為與安全相關(guān)的等級，D表示安全要求最高，A表示安全要求最低，QM級別不需考慮系統(tǒng)功能安全方面的要求。對影響因素為S0、E0、C0的任何系統(tǒng)不進(jìn)行ASIL評級。

表3 ASIL等級確定

基于分析得到EPS 系統(tǒng)的功能安全目標(biāo)如表4 所示。

表4 EPS功能安全目標(biāo)

3.2 SBW功能安全目標(biāo)

線控轉(zhuǎn)向系統(tǒng)取消了中間軸機(jī)械連接，因此，需要對EPS的安全目標(biāo)進(jìn)行修正，線控轉(zhuǎn)向系統(tǒng)安全目標(biāo)如表5所示。

表5 SBW功能安全目標(biāo)

4 基于功能安全要求的系統(tǒng)設(shè)計

根據(jù)SBW的功能安全目標(biāo)提出功能安全要求并進(jìn)行SBW的系統(tǒng)級架構(gòu)設(shè)計，同時對綜合控制器、路感電機(jī)及控制器、轉(zhuǎn)向執(zhí)行器及控制器、傳感器、電源、CAN總線等硬件進(jìn)行系統(tǒng)設(shè)計分析。

4.1 SBW系統(tǒng)功能安全要求

基于安全目標(biāo)的SBW 系統(tǒng)功能安全要求如表6 所示。

表6 功能安全要求

4.2 系統(tǒng)架構(gòu)及通訊架構(gòu)設(shè)計

功能安全對綜合控制器、路感模擬器、轉(zhuǎn)向執(zhí)行器及傳感器提出了設(shè)計要求，從系統(tǒng)架構(gòu)上進(jìn)行整體設(shè)計[8]，滿足功能安全要求的SBW系統(tǒng)架構(gòu)如圖3所示。

圖3 SBW系統(tǒng)架構(gòu)

系統(tǒng)架構(gòu)主體的設(shè)計基于Fail-Operational的思路，從系統(tǒng)架構(gòu)層面對綜合控制器、路感模擬器、轉(zhuǎn)向執(zhí)行器及傳感器均進(jìn)行備份設(shè)計，各部分的架構(gòu)概述如表7所示。

4.3 控制器硬件架構(gòu)設(shè)計

從上述系統(tǒng)架構(gòu)描述可以看出，SBW 系統(tǒng)中設(shè)計的3 個控制器，即綜合控制器（Central Control Unit，CCU）、路感模擬控制器（Hands Wheel Unit，HWU）、轉(zhuǎn)向執(zhí)行控制器（Road Wheel Unit，RWU）均采用冗余設(shè)計思想，思路較為一致。本文以RWU作為展開對象，對控制器硬件設(shè)計進(jìn)行分析，控制器樣板如圖4 所示，控制器硬件架構(gòu)如圖5所示。

圖4 控制器樣板

圖5 SBW硬件架構(gòu)

從圖5中可以看出，硬件設(shè)計方案完全滿足前文所述的架構(gòu)要求，采用了冗余設(shè)計方案。雙MCU 接收外部輸入信號后進(jìn)行處理，分別控制六相雙繞組電機(jī)的三相，實現(xiàn)控制輸出，同時雙MCU內(nèi)部通過串行外設(shè)接口（Serial Peripheral Interface，SPI）進(jìn)行通訊，保證雙MCU的實時性，以便一路出現(xiàn)故障后另一路可以完全介入開展工作，保證系統(tǒng)冗余。

4.4 控制器硬件原理設(shè)計

基于線控轉(zhuǎn)向的功能安全等級要求，在控制器硬件選型上必須滿足功能安全ASIL D 的等級要求，然后針對硬件選型結(jié)果進(jìn)行控制器硬件原理設(shè)計，如圖6 所示。

圖6 SBW部分硬件原理

4.4.1 主控芯片

主控芯片MCU 選用英飛凌AURIX 系列，此芯片滿足功能安全要求，且具備可編程硬件安全模塊（Hardware Security Modules，HSM），安全等級高；通過模擬數(shù)字轉(zhuǎn)換器（Analog-to-Digital Converter，ADC）端口采集電壓、溫度等模擬信號；通過I∕O端口采集傳感器信號，輸出控制開關(guān)信號；通過脈寬調(diào)制（Pulse Width Modulation，PWM）模塊輸出全橋PWM 控制信號至驅(qū)動芯片；主芯片和電源芯片及驅(qū)動芯片進(jìn)行實時SPI通訊；主芯片采集驅(qū)動回路信號，用于電機(jī)控制和診斷功能；外部設(shè)計無源晶振為ECU提供穩(wěn)定工作時鐘。

4.4.2 電源管理芯片

電源管理芯片（Power Management Integrated Unit，PMU）選用英飛凌TLF系列，滿足功能安全需求；串行升壓和降壓預(yù)調(diào)節(jié)器電壓范圍3.0～40.0 V，具有全性能和較低功耗損失；低壓后調(diào)節(jié)器5.0 V∕200 mA用于通信電源，5.0 V∕600 mA或3.3 V∕600 mA用于充放電電源；外部可選低壓后調(diào)節(jié)器提供啟用、同步輸出信號和電壓監(jiān)控；ADC電源的參考電壓為5.0 V±1%，兼容150 mA電流；2個跟蹤器按照參考電壓為傳感器供電，兼容150 mA電流。

4.4.3 預(yù)驅(qū)芯片

預(yù)驅(qū)芯片（Pre-Driver）選用英飛凌TLE 系列，滿足功能安全需求，可外部使能進(jìn)入安全狀態(tài)；具備SPI 數(shù)據(jù)和地址接口，具備循環(huán)冗余校驗（Cyclic Redundancy Check，CRC）功能；具備功能獨立的電流檢測放大器。

4.4.4 其他

除上述關(guān)鍵核心器件外，還有外部供電、CAN、SPI通訊、內(nèi)外部信號采集、電機(jī)轉(zhuǎn)子位置檢測等電路，不再贅述。

4.5 控制策略狀態(tài)機(jī)設(shè)計

為滿足功能安全的需求，除在硬件設(shè)計上實現(xiàn)冗余外，在控制策略方面也需重點考慮。

如圖7所示，線控轉(zhuǎn)向系統(tǒng)設(shè)計了初始態(tài)、禁止態(tài)、激活態(tài)以及故障態(tài)，并且規(guī)定了每個狀態(tài)的工作內(nèi)容，具體描述如表8所示。

圖7 控制策略狀態(tài)機(jī)

表8 SBW狀態(tài)機(jī)功能描述

狀態(tài)機(jī)能夠體現(xiàn)SBW系統(tǒng)的工作狀態(tài)，對于功能安全的可能影響因子，可以通過在考慮狀態(tài)機(jī)條件時最大限度地完善系統(tǒng)狀態(tài)轉(zhuǎn)移過程，從而保證系統(tǒng)的功能安全。

5 臺架及實車測試驗證

5.1 臺架故障注入測試驗證

受條件限制，無法進(jìn)行自動化測試，因此需對各部件進(jìn)行故障模擬，具有一定的風(fēng)險性，故建立系統(tǒng)臺架用于測試驗證。臺架測試環(huán)境如圖8所示。

圖8 臺架測試環(huán)境

對于路感模擬單元，綜合控制器控制路感模擬控制器的扭矩接口。設(shè)置工況為：期望電機(jī)力矩為幅值4.5 N·m、頻率0.1 Hz的正弦曲線，驗證路感控制的跟隨性。

制造表6 所述的電源、點火、傳感器、CAN 通訊故障，路感模擬單元的扭矩響應(yīng)不變，如圖9所示。

圖9 路感模擬單元扭矩響應(yīng)曲線

對于轉(zhuǎn)向執(zhí)行單元，綜合控制器控制轉(zhuǎn)向執(zhí)行控制器的轉(zhuǎn)角接口。設(shè)置工況為：期望轉(zhuǎn)角為幅值45°、頻率0.5 Hz 的正弦曲線，驗證轉(zhuǎn)向執(zhí)行器的跟隨性。

制造表6 所述的電源、點火、傳感器、CAN 通訊故障，轉(zhuǎn)向執(zhí)行單元的轉(zhuǎn)角響應(yīng)不變，如圖10所示。

圖10 轉(zhuǎn)向執(zhí)行單元轉(zhuǎn)角響應(yīng)曲線

5.2 實車測試驗證

分別以40 km∕h 和80 km∕h 車速進(jìn)行大側(cè)向加速度測試，使車輛側(cè)向加速度達(dá)到0.3g，驗證線控轉(zhuǎn)向功能實現(xiàn)性，結(jié)果如圖11、圖12所示。

圖11 40 km∕h下轉(zhuǎn)向盤力矩與側(cè)向加速度的關(guān)系

圖12 80 km∕h下轉(zhuǎn)向盤力矩與側(cè)向加速度的關(guān)系

從圖11 和圖12 中可以看出：在40 km∕h 車速下，轉(zhuǎn)向盤力矩與側(cè)向加速度較為對稱，線性度也較好，主觀感受良好；在80 km∕h車速下，轉(zhuǎn)向盤力矩與側(cè)向加速度關(guān)系曲線存在明顯不對稱現(xiàn)象，實際的主觀感受也與此相吻合，后續(xù)需要進(jìn)行調(diào)試；轉(zhuǎn)向盤力矩基本在4 N·m以內(nèi)飽和，且中間區(qū)域轉(zhuǎn)向盤力矩梯度明顯，隨著側(cè)向加速度增加逐漸飽和。

試驗結(jié)果表明，該系統(tǒng)實現(xiàn)了線控轉(zhuǎn)向的功能，經(jīng)調(diào)試與優(yōu)化達(dá)到了一定的主觀評價要求。

6 結(jié)束語

本文從線控轉(zhuǎn)向系統(tǒng)的功能安全角度完成了安全目標(biāo)的初步設(shè)定，并進(jìn)行了系統(tǒng)架構(gòu)的設(shè)計、硬件方案及原理設(shè)計、控制策略狀態(tài)機(jī)設(shè)計以及臺架和實車的測試。測試結(jié)果表明，路感模擬單元和轉(zhuǎn)向執(zhí)行單元在故障注入的條件下可以實現(xiàn)相應(yīng)的跟隨性，驗證了基于功能安全要求的方案設(shè)計的合理性，同時，整車實現(xiàn)了線控轉(zhuǎn)向功能，技術(shù)方案滿足設(shè)計需求。但是力矩不對稱現(xiàn)象需要繼續(xù)通過調(diào)試相關(guān)參數(shù)進(jìn)行完善，以達(dá)到更加良好的效果。