程潔 鄭凱 秦嘉 吳曉東

關(guān)鍵詞：智能車輛;電子機(jī)械制動(dòng)（EMB）系統(tǒng)；功能安全；冗余設(shè)計(jì)；線控制動(dòng)；汽車安全完整性等級(jí)（ASIL）

汽車領(lǐng)域正迎來(lái)電動(dòng)和智能的新時(shí)代，將線控技術(shù)應(yīng)用于車輛控制成為新的趨勢(shì)。其中，線控制動(dòng)系統(tǒng)（brake-by-wire）是目前智能車輛領(lǐng)域研究的熱點(diǎn)之一[1]。電子機(jī)械制動(dòng)（electronicmechanicalbrake，EMB）[2-3]系統(tǒng)應(yīng)用電子控制完全取代了液壓管路，可以實(shí)現(xiàn)制動(dòng)系統(tǒng)的完全解耦，結(jié)構(gòu)更加精簡(jiǎn)，同時(shí)提高了反應(yīng)速度和執(zhí)行效率，便于底盤域控及智能駕駛技術(shù)發(fā)展。但是由于其取消了原有的液壓備份冗余，所以對(duì)系統(tǒng)的可靠性提出了更高的要求，安全成為影響EMB發(fā)展的關(guān)鍵因素，車輛軟硬件功能安全的要求也越來(lái)越高[4]。國(guó)際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）于2011年發(fā)布了ISO26262標(biāo)準(zhǔn)[5-7]。

從標(biāo)準(zhǔn)制定以來(lái)，已有許多國(guó)內(nèi)外學(xué)者及企業(yè)進(jìn)行了相關(guān)研究。ZHUNDongbin等設(shè)計(jì)了符合ISO26262功能安全的純電動(dòng)汽車制動(dòng)能量系統(tǒng)，進(jìn)行了系統(tǒng)級(jí)三層監(jiān)控架構(gòu)設(shè)計(jì)和再生制動(dòng)安全子系統(tǒng)設(shè)計(jì)[8]，但是沒有進(jìn)行電子電氣架構(gòu)的具體設(shè)計(jì)；Kuen-LongLeu基于ISO26262功能安全概念主要進(jìn)行了智能線控制動(dòng)系統(tǒng)（intelligentbrake-by-wiresystem，IBBWS）設(shè)計(jì)和分析[9]，沒有提出系統(tǒng)冗余方案及安全機(jī)制；ZHANGJingming等建立故障樹分析電動(dòng)汽車線控四輪獨(dú)立制動(dòng)系統(tǒng)的5種故障模式，設(shè)計(jì)了硬件冗余措施[10]，但是缺乏基于軟件層面的安全措施；李國(guó)興提出四輪獨(dú)立制動(dòng)系統(tǒng)結(jié)構(gòu)下理想制動(dòng)力的分配方法及策略[11]，但未考慮智能駕駛對(duì)線控制動(dòng)系統(tǒng)提出的新要求。N.Mullner等基于仿真安全測(cè)試，提出將自車制動(dòng)系統(tǒng)結(jié)合道路多車協(xié)同制動(dòng)保證交通安全的策略[12]，缺乏重點(diǎn)分析單車制動(dòng)系統(tǒng)的安全需求及系統(tǒng)設(shè)計(jì)。

開發(fā)合理的線控制動(dòng)技術(shù)控制策略，降低響應(yīng)時(shí)間、提高響應(yīng)精度的同時(shí)，保證功能安全，提高系統(tǒng)可靠性成為智能汽車發(fā)展的關(guān)鍵技術(shù)之一[13]。本文根據(jù)ISO26262標(biāo)準(zhǔn)中的“V模型”流程對(duì)EMB系統(tǒng)進(jìn)行功能安全分析，分析故障發(fā)生的原因和邏輯關(guān)系，以掌握線控制動(dòng)安全控制的關(guān)鍵；進(jìn)行功能安全概念（functionalsafetyconcept，F(xiàn)SC）設(shè)計(jì)，建立三路并行的冗余優(yōu)化方案，確定符合安全目標(biāo)的EMB系統(tǒng)架構(gòu)，并基于該系統(tǒng)架構(gòu)設(shè)計(jì)失效運(yùn)行策略；最后，搭建聯(lián)合仿真模型進(jìn)行故障注入實(shí)驗(yàn)，驗(yàn)證安全分析的合理性及安全機(jī)制對(duì)系統(tǒng)安全性的影響。本研究面向智能駕駛場(chǎng)景，對(duì)線控制動(dòng)系統(tǒng)提供基于功能安全標(biāo)準(zhǔn)的分析，并根據(jù)分析結(jié)果進(jìn)行安全機(jī)制的設(shè)計(jì)及驗(yàn)證，可以給未來(lái)實(shí)際應(yīng)用的EMB系統(tǒng)設(shè)計(jì)提供參考。

1EMB系統(tǒng)相關(guān)項(xiàng)定義

ISO26262標(biāo)準(zhǔn)中，概念分析的第1步就是相關(guān)項(xiàng)（item）定義，該步驟定義了系統(tǒng)范圍，可為后續(xù)分析奠定基礎(chǔ)。

1.1EMB系統(tǒng)概述

電子機(jī)械制動(dòng)（EMB）系統(tǒng)由電子踏板單元、傳感器陣列、控制單元、執(zhí)行單元及電源系統(tǒng)5大部分組成。電子踏板單元可以采集駕駛員制動(dòng)意圖并模擬制動(dòng)反饋力矩；傳感器陣列包括各類傳感器，用來(lái)采集車輛狀態(tài)信息；控制單元采用分層控制架構(gòu)，由1個(gè)上層決策控制器（brakecontrolunit，BCU）和4個(gè)輪邊控制器（wheelacuatorcontrolunit，WACU）組成，其中BCU進(jìn)行信息處理及四輪制動(dòng)力矩計(jì)算等決策，WACU接受上層控制器的指令，可實(shí)現(xiàn)輪邊電機(jī)獨(dú)立控制；執(zhí)行單元包括制動(dòng)執(zhí)行機(jī)構(gòu)、制動(dòng)信號(hào)燈及人機(jī)界面；電源系統(tǒng)為EMB系統(tǒng)供電。此外，以上模塊通過(guò)CAN網(wǎng)絡(luò)進(jìn)行信息交換?；谠摶炯軜?gòu)，進(jìn)行系統(tǒng)安全分析。

1.2EMB系統(tǒng)邊界

根據(jù)ISO26262標(biāo)準(zhǔn)，研究對(duì)象為汽車電子電器系統(tǒng)，基于上述EMB系統(tǒng)架構(gòu)，將電子制動(dòng)踏板、傳感器陣列、上層和下層控制器以及電源系統(tǒng)納入分析范圍，可以得出系統(tǒng)邊界，如圖1所示。

1.3EMB系統(tǒng)功能需求

EMB系統(tǒng)最基本的功能需求為駕駛員制動(dòng)需求響應(yīng)，此外，需引入智能車輛帶來(lái)的新需求，如車輛主動(dòng)制動(dòng)及穩(wěn)定性控制；同時(shí)，還需實(shí)現(xiàn)相關(guān)警示信號(hào)和制動(dòng)燈的激活功能?？紤]系統(tǒng)為分層控制架構(gòu)，可將總需求進(jìn)行逐層分配，綜合可得EMB系統(tǒng)車輛級(jí)和系統(tǒng)級(jí)的功能需求如圖2。

2EMB系統(tǒng)安全目標(biāo)等級(jí)評(píng)估

ISO26262標(biāo)準(zhǔn)中最重要的環(huán)節(jié)之一就是危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估（hazardanalysisandriskassessment，HARA）[14]，進(jìn)而確定汽車完整性等級(jí)和安全目標(biāo)。根據(jù)HARA分析方法論，可分為4個(gè)步驟：場(chǎng)景分析、故障模式分析、危險(xiǎn)事件分析及相關(guān)汽車安全完整性等級(jí)評(píng)估、安全目標(biāo)確定。

2.1場(chǎng)景分析

場(chǎng)景分析過(guò)程中，需要考慮道路類型、路面條件、環(huán)境因素及駕駛行為狀態(tài)，并結(jié)合實(shí)際的道路交通狀況等因素以推導(dǎo)出合理的功能安全要求[15]。為保證分析的廣泛性，本文場(chǎng)景分析包含車輛常見行駛場(chǎng)景及極端場(chǎng)景，車輛高、中、低速行駛場(chǎng)景以及行駛中遇到不同周邊環(huán)境的多種情況，具體如下說(shuō)明。

道路類型：高速公路、城市道路、盤山公路、交通路口，停車場(chǎng)；

車速：高速（>90km/h）、中速（30～90km/h）、低速（<30km/h）；

周邊環(huán)境類型：其他車輛、行人、障礙物；

天氣：晴朗、雨天、冰雪天氣、夜晚。

2.2故障模式

根據(jù)標(biāo)準(zhǔn)有6大類常見故障失效模式，分別為：有需求無(wú)輸出、無(wú)需求有輸出、輸出大于需求、輸出小于需求、輸出與需求相反、輸出異常。結(jié)合EMB系統(tǒng)功能需求，可得系統(tǒng)主要故障類型有：制動(dòng)失效、突發(fā)制動(dòng)、制動(dòng)疲軟、四輪制動(dòng)分配異常、制動(dòng)燈或人機(jī)界面顯示異常。

2.3危險(xiǎn)事件分析及系統(tǒng)ASIL等級(jí)評(píng)估

汽車安全完整性等級(jí)（automotivesafetyintegrationlevel，ASIL）等級(jí)是將故障發(fā)生后產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行了評(píng)估和量化，風(fēng)險(xiǎn)越大對(duì)應(yīng)安全要求的級(jí)別越高，ASIL等級(jí)由低到高分為QM、A、B、C、D。

具體ASIL等級(jí)的確定取決于3個(gè)基本要素：嚴(yán)重度（S）、暴露率（E）和可控性（C）

上述要素可分為多個(gè)不同等級(jí)[5]，具體劃分標(biāo)準(zhǔn)見表1。

通過(guò)以下規(guī)則集評(píng)估車輛在上述不同駕駛場(chǎng)景發(fā)生的各類故障模式，可確定每個(gè)風(fēng)險(xiǎn)相應(yīng)的ASIL等級(jí)。

HARA分析時(shí)需要同時(shí)考慮故障模式和駕駛場(chǎng)景。同樣的危險(xiǎn)事件在不同的駕駛場(chǎng)景可能會(huì)導(dǎo)致不同后果，所以需要分析系統(tǒng)在不同駕駛場(chǎng)景中，各個(gè)功能需求處于不同失效模式時(shí)可能會(huì)導(dǎo)致的危險(xiǎn)事件。

結(jié)合駕駛場(chǎng)景及系統(tǒng)需求分析不同故障模式，可得共計(jì)640條HARA分析結(jié)果，選擇城市道路、中速行駛、道路中有其他車輛/行人、天氣晴朗的場(chǎng)景，分析得出的9條HARA結(jié)果如表2中所示。

2.4EMB系統(tǒng)功能安全目標(biāo)

當(dāng)安全目標(biāo)需高于根據(jù)具體駕駛環(huán)境所確定的S、E、C評(píng)估的危險(xiǎn)險(xiǎn)事件的ASIL等級(jí)時(shí)，系統(tǒng)的安全目標(biāo)應(yīng)取風(fēng)險(xiǎn)中最高等級(jí)。根據(jù)HARA分析結(jié)果可以得到13條安全目標(biāo)，如表3中所示。

3EMB系統(tǒng)功能安全概念

功能安全概念（functionalsafetyconcept，F(xiàn)SC）是以安全目標(biāo)為最上層需求，進(jìn)而制定安全機(jī)制，實(shí)現(xiàn)功能安全需求（functionalsafetyrequirement，F(xiàn)SR）的逐層分配。

3.1功能安全架構(gòu)

通過(guò)系統(tǒng)功能安全分析，可知EMB系統(tǒng)為ASILD等級(jí)。為實(shí)現(xiàn)系統(tǒng)安全要求，同時(shí)降低系統(tǒng)成本，本文結(jié)合傳統(tǒng)硬件冗余方案，添加軟件層的校驗(yàn)以及通過(guò)人機(jī)界面進(jìn)行故障警告顯示，建立三路并行的安全機(jī)制，可實(shí)現(xiàn)系統(tǒng)在硬件層、軟件層的故障探測(cè)和駕駛員對(duì)車輛信息的實(shí)時(shí)獲取，保障車輛安全。

具體安全措施包括硬件方面的傳感器冗余、加設(shè)狀態(tài)檢測(cè)傳感器、電源完全冗余及CAN線冗余的硬件冗余和硬件監(jiān)測(cè)方式；軟件層面對(duì)數(shù)據(jù)進(jìn)行二次校驗(yàn)及合理性判斷；系統(tǒng)發(fā)生故障后通過(guò)人機(jī)界面顯示錯(cuò)誤和警告信息實(shí)現(xiàn)人機(jī)交互，系統(tǒng)功能安全架構(gòu)如圖3所示。

3.2EMB系統(tǒng)設(shè)計(jì)

根據(jù)EMB系統(tǒng)基本組成以及上文建立的三路并行的功能安全架構(gòu)，結(jié)合目前應(yīng)用的制動(dòng)系統(tǒng)電子電器架構(gòu)，可以設(shè)計(jì)出面向應(yīng)用的EMB系統(tǒng)基本電子電氣架構(gòu)（electrical/electronicarchitecture，EEA）。

系統(tǒng)相關(guān)項(xiàng)定義中已確定了系統(tǒng)基本組成單元，考慮系統(tǒng)的安全機(jī)制以及功能安全需求，可對(duì)每個(gè)功能模塊進(jìn)行優(yōu)化和調(diào)整。EMB系統(tǒng)具體電子電氣架構(gòu)如圖4所示。

3.3功能安全需求（FSR）分析

根據(jù)系統(tǒng)電子電氣架構(gòu)及安全目標(biāo)，可通過(guò)安全分析技術(shù)分析出系統(tǒng)功能安全需求（FSR），并計(jì)算其ASIL等級(jí)。此外，考慮實(shí)際應(yīng)用中，較高安全等級(jí)的系統(tǒng)零部件制造難度及成本較高，本文按照標(biāo)準(zhǔn)中規(guī)定的汽車安全完整性等級(jí)分解規(guī)則，針對(duì)系統(tǒng)較高級(jí)別的ASIL等級(jí)需求進(jìn)行分解，ASILD的常用分解規(guī)則如式（2）和式（3）所示。

根據(jù)ISO26262標(biāo)準(zhǔn)，安全方法有故障樹分析（faulttreeanalysis，F(xiàn)TA）和潛在失效模式與后果分析（failuremodeandeffectsanalysis，F(xiàn)MEA），由于FTA方法對(duì)于單點(diǎn)失效和多點(diǎn)失效都適用，而FMEA只適用于單點(diǎn)失效，所以本文采用FTA方法進(jìn)行安全驗(yàn)證。這里僅以表3中的SG06功能安全目標(biāo)為例，建立SG06的故障樹模型如圖5。

硬件冗余、信號(hào)校驗(yàn)機(jī)制和錯(cuò)誤警告的三路并行的安全機(jī)制增加了系統(tǒng)可靠性和魯棒性，通過(guò)故障樹分析得出EMB系統(tǒng)的功能安全需求，以SG01為例，表4列出了該安全目標(biāo)的功能安全需求。

通過(guò)ASIL分解將系統(tǒng)對(duì)某些硬件的高要求轉(zhuǎn)換為較低的要求或?qū)?duì)硬件的高要求轉(zhuǎn)換成對(duì)軟件和算法的要求，可大幅降低系統(tǒng)成本及制造難度，在應(yīng)用的可行性及系統(tǒng)成本方面具有顯著優(yōu)勢(shì)。

3.4系統(tǒng)技術(shù)安全需求（TSR）分析

根據(jù)以上FSR分析結(jié)果及系統(tǒng)EE架構(gòu)，通過(guò)安全分析方法將系統(tǒng)的功能安全需求進(jìn)一步提煉，得出SG01的技術(shù)安全需求如表5所示。

基于以上安全分析結(jié)果，可知該功能安全架構(gòu)設(shè)計(jì)在保障系統(tǒng)可靠性的同時(shí)，有效降低了EMB系統(tǒng)對(duì)硬件的安全需求，減少了EMB系統(tǒng)的制造難度和成本。

4EMB系統(tǒng)失效控制

4.1EMB系統(tǒng)失效判斷

基于前文所述三路并行的安全機(jī)制，可實(shí)時(shí)檢測(cè)系統(tǒng)運(yùn)行狀態(tài)，探測(cè)系統(tǒng)故障，又由于該系統(tǒng)為四輪獨(dú)立制動(dòng)，結(jié)合安全機(jī)制可引入四輪制動(dòng)故障因子λi來(lái)表征四輪故障狀態(tài)，進(jìn)行失效判斷。故障因子的規(guī)則如式（4）所示。

其中：i表示不同車輪，即FL、FR、RL、RR，它們分別表示左前輪、右前輪、左后輪、右后輪；Fi表示實(shí)際制動(dòng)力；Fe-i表示期望制動(dòng)力；Fm-i表示最大制動(dòng)力。

當(dāng)車輪可以正常制動(dòng)時(shí)λi=1，如果有導(dǎo)致制動(dòng)力降低或制動(dòng)過(guò)度的故障發(fā)生，λi將根據(jù)實(shí)際制動(dòng)力與期望制動(dòng)力的比值確定，此時(shí)λi范圍為0≤λi<1及1<λi≤2。λi的值對(duì)應(yīng)車輪丟失制動(dòng)力的比例，如λi=0.8時(shí)，意味著丟失了20%的制動(dòng)力。同理，當(dāng)發(fā)生突發(fā)制動(dòng)時(shí)，λi的值為2加上多出的制動(dòng)力與最大制動(dòng)力之比，λi范圍為2<λi≤3。如當(dāng)λi=2.2時(shí)表示發(fā)生了大小為當(dāng)前最大制動(dòng)力的20%的非預(yù)期制動(dòng)。

4.2EMB系統(tǒng)失效策略

在前文的功能安全分析中，已得出不同的故障模式及對(duì)應(yīng)ASIL等級(jí)，由于較常見的故障為單輪制動(dòng)力丟失，且EMB系統(tǒng)為四輪獨(dú)立制動(dòng)架構(gòu)，于是提出利用其余三輪進(jìn)行整車制動(dòng)力重構(gòu)，以滿足車輛制動(dòng)需求和穩(wěn)定性控制。由于在制動(dòng)過(guò)程中會(huì)發(fā)生載荷轉(zhuǎn)移，所以前輪發(fā)生制動(dòng)異常時(shí)會(huì)導(dǎo)致更為嚴(yán)重的后果，下文以左前輪制動(dòng)力完全丟失為例（λFL=0）設(shè)計(jì)失效控制策略。

制動(dòng)強(qiáng)度為z時(shí)，初始制動(dòng)力為：

其中：m為車輛質(zhì)量；Fe-front為車輛預(yù)期前軸總制動(dòng)力；Fe-rear為車輛預(yù)期后軸總制動(dòng)力。

當(dāng)左前輪發(fā)生制動(dòng)力丟失時(shí)，為滿足車輛制動(dòng)強(qiáng)度需求和穩(wěn)定性需求，基于四輪制動(dòng)力平衡對(duì)其余三輪進(jìn)行制動(dòng)力重構(gòu)，具體分配規(guī)則為：

根據(jù)（4）式分配規(guī)則，可實(shí)現(xiàn)在總制動(dòng)力不變的同時(shí)，滿足前后軸、左右側(cè)和對(duì)角線車輪的制動(dòng)力均相等，即

在滿足制動(dòng)強(qiáng)度的基礎(chǔ)上，路面峰值附著系數(shù)限制了車輛可實(shí)現(xiàn)的最大減速度[16]，因此車輪的最大制動(dòng)力需滿足約束條件：

根據(jù)以上分配規(guī)則及約束條件，即可求得余下三輪的重構(gòu)制動(dòng)力，右前輪、左后輪及右后輪發(fā)生失效后的EMB系統(tǒng)失效策略同左前輪失效。此時(shí)滿足總制動(dòng)力需求及制動(dòng)力平衡需求，可避免車輛制動(dòng)能力降低和四輪制動(dòng)力不平衡帶來(lái)的車輛失穩(wěn)，實(shí)際控制效果將在下文驗(yàn)證。

5失效驗(yàn)證及分析

5.1EMB系統(tǒng)控制模型

根據(jù)系統(tǒng)架構(gòu)、安全機(jī)制和失效控制方案，搭建Simulink與CarSim聯(lián)合仿真模型對(duì)EMB系統(tǒng)進(jìn)行測(cè)試驗(yàn)證。模型主要包括制動(dòng)強(qiáng)度計(jì)算、初始制動(dòng)力分配、故障因子計(jì)算以及失效控制模塊。制動(dòng)強(qiáng)度計(jì)算模塊通過(guò)分析踏板位移信號(hào)、加速度信號(hào)和外部制動(dòng)信號(hào)得出制動(dòng)強(qiáng)度需求；初始制動(dòng)力計(jì)算模塊根據(jù)車輛狀態(tài)和制動(dòng)強(qiáng)度，采用理想制動(dòng)力分配方法進(jìn)行四輪制動(dòng)力分配；失效控制模塊根據(jù)車輛初始制動(dòng)力以及故障因子對(duì)車輛進(jìn)行失效后的制動(dòng)力重構(gòu)。

模型的控制對(duì)象為四輪驅(qū)動(dòng)乘用車，滿載質(zhì)量為2.5t，車輪滾動(dòng)半徑310mm，有效摩擦半徑和制動(dòng)塊摩擦系數(shù)分別為166.25mm和0.3，制動(dòng)盤最大接觸壓力為12MPa。系統(tǒng)控制框圖如下：

5.2故障注入驗(yàn)證及分析

由SG06的故障樹分析結(jié)果可知，制動(dòng)電機(jī)和安全機(jī)制的同時(shí)失效會(huì)違背安全目標(biāo)，引入失效控制策略，以左前輪制動(dòng)電機(jī)失效為例進(jìn)行故障注入實(shí)驗(yàn)。

本系統(tǒng)的FTTI時(shí)間設(shè)為200ms。為驗(yàn)證EMB系統(tǒng)控制效果，仿真工況設(shè)置分為弱制動(dòng)（z=0.3g）和強(qiáng)制動(dòng)（z=0.7g）場(chǎng)景，初始車速為100km/h，地面附著系數(shù)均設(shè)為0.8，仿真時(shí)間為故障發(fā)生后2s。通過(guò)失效控制策略介入前后的車輛制動(dòng)參數(shù)和穩(wěn)定性參數(shù)，驗(yàn)證安全分析的合理性以及失效控制模塊對(duì)系統(tǒng)的控制效果。其中以N_開頭的變量表示無(wú)失效控制模塊介入，反之表示失效控制模塊介入，具體仿真結(jié)果如下所示。

5.2.1低強(qiáng)度制動(dòng)，制動(dòng)強(qiáng)度為0.3g。

根據(jù)以上運(yùn)行結(jié)果可知，當(dāng)左前輪制動(dòng)力和失效控制模塊同時(shí)失效時(shí)，會(huì)發(fā)生較為嚴(yán)重的車輛失穩(wěn)和制動(dòng)力降低。失效后的車輛制動(dòng)強(qiáng)度減小至0.21g，最大橫擺角速度達(dá)到了4.5°/s以上，橫向偏移也在不斷增大，車輛失穩(wěn)。當(dāng)系統(tǒng)失效控制模塊被觸發(fā)時(shí)，車輛會(huì)進(jìn)入安全狀態(tài)，實(shí)現(xiàn)對(duì)剩下三輪制動(dòng)力的重新分配，此時(shí)，三輪制動(dòng)力矩不再根據(jù)理想制動(dòng)力的分配規(guī)則，而是基于制動(dòng)強(qiáng)度目標(biāo)通過(guò)失效控制策略進(jìn)行三輪制動(dòng)力重構(gòu)。圖7a為三輪制動(dòng)力矩變化圖像，由該圖可知，在左前輪發(fā)生制動(dòng)力丟失后，其余3輪制動(dòng)力在200ms時(shí)進(jìn)行調(diào)整。通過(guò)圖7b—圖7d可以看出，加入失效控制后，在滿足車輛的減速度為0.3g的同時(shí)，車輛在2s內(nèi)的側(cè)向偏移量從3m以上降低至0.5m以下，橫擺角速度也從4.5°/s降低到1.5°/s以內(nèi)。

5.2.2強(qiáng)制動(dòng)，制動(dòng)強(qiáng)度為0.7g

當(dāng)制動(dòng)強(qiáng)度較高時(shí)，由圖8a和圖8b可知由于車輪抱死，車輛制動(dòng)力矩發(fā)生大幅波動(dòng)，縱向減速度降為0，且橫擺角速度迅速增加，表明此時(shí)無(wú)失效控制模塊的車輛發(fā)生嚴(yán)重的失穩(wěn)和甩尾；搭載失效控制模塊的車輛右前輪和左后輪的制動(dòng)力會(huì)趨近于制動(dòng)極限，在附著系數(shù)的約束下最終會(huì)達(dá)到近2kNm的制動(dòng)力矩，同時(shí)，制動(dòng)強(qiáng)度約在0.4g，橫擺角速度不超過(guò)2°/s，表明該控制策略可將車輛維持在可控狀態(tài)。

以上結(jié)果表明，通過(guò)故障樹模型定位出的故障原因確實(shí)會(huì)導(dǎo)致車輛違背安全目標(biāo)。此外，通過(guò)安全機(jī)制探測(cè)出故障后，會(huì)觸發(fā)系統(tǒng)失效控制模塊，失效控制策略可顯著提高車輛的安全性，在安全機(jī)制和失效控制模塊正常工作時(shí)，系統(tǒng)可在故障發(fā)生后進(jìn)入安全狀態(tài)，通過(guò)對(duì)制動(dòng)力的重分配保障車輛安全。

6結(jié)論

本文完成了智能駕駛背景下的EMB系統(tǒng)相關(guān)功能安全分析、系統(tǒng)安全機(jī)制和失效控制模塊的設(shè)計(jì)。

1）確定EMB系統(tǒng)分層控制結(jié)構(gòu)并進(jìn)行系統(tǒng)相關(guān)項(xiàng)定義，確定系統(tǒng)邊界、制定功能需求，包括制動(dòng)系統(tǒng)基本功能以及智能駕駛環(huán)境下的外部制動(dòng)信號(hào)引入和制動(dòng)力矩協(xié)調(diào)；

2）在多種場(chǎng)景下進(jìn)行HARA分析，由此得出ASIL等級(jí)，進(jìn)而確定13條功能安全目標(biāo)；

3）根據(jù)安全目標(biāo)進(jìn)行功能安全概念分析，建立硬件冗余，軟件校驗(yàn)和故障信息顯示警告3種方式結(jié)合的新型安全機(jī)制，并利用ISO26262標(biāo)準(zhǔn)中的安全分解規(guī)則進(jìn)行ASIL等級(jí)分解，建立故障樹模型分析功能安全需求和技術(shù)安全需求；

4）基于功能安全分析結(jié)果和安全機(jī)制的探測(cè)，設(shè)計(jì)系統(tǒng)失效控制系統(tǒng)，利用三輪制動(dòng)力重構(gòu)方法來(lái)避免制動(dòng)失效造成的制動(dòng)力降低及車輛失穩(wěn)，保障系統(tǒng)發(fā)生故障時(shí)的安全性。

5）搭建聯(lián)合仿真模型，通過(guò)故障注入實(shí)驗(yàn)，分析安全機(jī)制和失效控制系統(tǒng)被激活后對(duì)車輛的影響。實(shí)驗(yàn)結(jié)果表明，該安全設(shè)計(jì)方案可有效提高故障發(fā)生時(shí)車輛的安全性。