广告
容错车辆设计综述
2019-01-07 22:19:31· 来源:洞云书屋
容错车辆设计是一个新兴的跨学科研究领域,由于汽车系统的电气化而变得越来越重要。容错系统的目标是在运行状态下发生故障,使驾驶员能够安全地停车。在过去的二
容错车辆设计是一个新兴的跨学科研究领域,由于汽车系统的电气化而变得越来越重要。容错系统的目标是在运行状态下发生故障,使驾驶员能够安全地停车。
在过去的二十年中,汽车底盘系统的电气化能够扩展功能和主动安全系统。最近的研究已经表明,对于装备有电子稳定控制系统(ESC)的车辆,单个车辆事故减少约50%,从而突出了这些系统的潜力。
车辆系统在设计一个新系统时有一定的要求。最重要的是主动和被动安全、动态驾驶性能、驾驶动力学和操控以及驾驶舒适性。需要较高的系统可靠性来满足这些要求。然而,更多的电气和电子(E/E)组件增加了复杂性,并且可能会导致故障。因此,未来车辆的故障概率更高。E/E组件的故障一般比机械故障更常见。软件故障可能会更系统,因为在开发阶段产生的错误并不少见。这些故障可以以不同的形式出现,无论是局部的还是全局的。
容错车辆系统可以通过多种措施的组合来实现。应采用整体的观点来避免系统设计中的瓶颈。故障检测和诊断(FDD)定义了可能发生的故障类型及其特征如位置、时间和外观。早期检测和诊断的实际目标是有足够的时间采取诸如重新配置、维护、修理或其他操作的反作用。过驱动车辆的控制系统在处理故障时起着至关重要的作用。在控制车辆时,必须控制系统内故障部件和子系统。如果不能保证,即使控制器工作并且故障被诊断,车辆也可能失去功能。所有子系统的协作是容错车辆设计的关键。
容错设计前提
通过容错可以提高系统的高可靠性。容错系统重新工作,即使一个或多个故障发生。因此,故障不会导致系统故障,而是应实现补偿以继续正常或降级操作。容错导致更可靠的系统和提供不间断系统的操作。
系统的可靠性可以通过完善的、无故障的系统设计或容错的方法来提高。在实践中,后者是优选的,因为复杂工程系统的完美建模是不可能的。冗余和面向质量的整体设计是实现容错系统设计的两个关键特征。
故障降级
冗余系统被分为不同的容错级别。系统中的一些组件需要比其他系统(例如天窗电机)更高水平的容错性(例如制动系统)。根据对容错性的要求有多么严格,可以区分下列退化级别:
失败操作(FO)-组件在一次故障后保持运行,因此可以容忍一次故障。
故障安全(FS)-如果发生一个或多个故障,则将组件主动或被动地引入安全状态。
失效静默(FSIL)-如果一个或多个故障发生,组件被关闭(外部安静),并且不对系统的其余部分发送错误信号。
在部件失效后,如果不能达到安全状态,则必须进行FO。为了调整故障严重性,FO可以分类成长时间和短时间。另一种选择是微小的降级,其中不太重要的功能被关闭,以将资源分配给更关键的功能并保持效用。与其他领域,例如航天相比,汽车领域中的安全状态可以更快和更高。因此,由于成本、重量和包装原因,道路车辆的容错水平通常仅限于一两次故障。然而,随着新兴的X-线控系统,其它电子系统可以将系统带入安全状态,即通过静止操作单元或活动FS单元,省略机械备份。
这将汽车领域的容错引入到一个新的阶段,在这个过程中,它必须在开发过程中获得更多的关注。FSIL原则的优点是只出现一个故障来保护外部世界,即组件本身的关闭。这个故障对于整个系统是可见的,并且可以通过组件的交流复制来拦截,即冗余。因此,故障被本地化、封装并明确其处理源头。系统内的故障扩散是不可能的。该方法大大简化了故障处理步骤。
冗余
容错系统的目标是在发生严重故障时有足够的时间进行反作用力,即提供“自修复”能力,以使驾驶员能够安全地停止车辆。冗余保持系统的运行,并通过添加备份硬件、软件、信息处理和子系统来实现与系统相同的功能。传感器、执行器、微控制器和通信网络是典型的具有冗余设计方案的电气和机械部件。
电子硬件冗余的两种基本类型是静态冗余和动态冗余。静态冗余具有三个或更多个具有相同输入的并行单元,例如液压飞机致动器。所有的单元都是活动的,并且连接到选择单元,他们将信号相互比较。正确的信号是通过多数决定来选择的。在三个故障单位中的一个,选择单元将输出这两个健康单位。在这种情况下不需要复杂的故障检测。由于较高的成本和重量,经常使用动态冗余来代替。作为备选选项的动态冗余要求较少的单元,但在系统内更多的信息处理。
如果检测到故障,则将系统切换到冗余备用单元。可以区分两个不同的备用系统。热备用单元连续运行,可以实现快速切换时间。然而,这些单元老化更快,因此它们仅用于安全关键系统,如航空。冷备用仅在需要时启动,例如备用发电机。因此,启动时间较长,需要另外两个开关,但该单元磨损较少。一个额外的备用单元,通常是并联的,允许系统容忍另外的故障。对于车辆X线控系统,具有冷备用动态冗余的容错是有吸引力的。
可以使用不同的冗余结构来增加可用性。如果一个故障将被破坏,从而失效运行,然后切换到故障安全状态,则可以使用具有静态重饱和或具有动态再饱和的双工结构的三重、四重复合或双双工结构。然而,最容易实现的是双双工(两个静态冗余并行结构),因为不需要故障检测,并且模块化使得更简单。
如果应用上述冗余,致动器被设计为容错的。此外,具有自诊断能力的智能传感器现在在车辆中经常使用。
在过去的二十年中,汽车底盘系统的电气化能够扩展功能和主动安全系统。最近的研究已经表明,对于装备有电子稳定控制系统(ESC)的车辆,单个车辆事故减少约50%,从而突出了这些系统的潜力。
车辆系统在设计一个新系统时有一定的要求。最重要的是主动和被动安全、动态驾驶性能、驾驶动力学和操控以及驾驶舒适性。需要较高的系统可靠性来满足这些要求。然而,更多的电气和电子(E/E)组件增加了复杂性,并且可能会导致故障。因此,未来车辆的故障概率更高。E/E组件的故障一般比机械故障更常见。软件故障可能会更系统,因为在开发阶段产生的错误并不少见。这些故障可以以不同的形式出现,无论是局部的还是全局的。
容错车辆系统可以通过多种措施的组合来实现。应采用整体的观点来避免系统设计中的瓶颈。故障检测和诊断(FDD)定义了可能发生的故障类型及其特征如位置、时间和外观。早期检测和诊断的实际目标是有足够的时间采取诸如重新配置、维护、修理或其他操作的反作用。过驱动车辆的控制系统在处理故障时起着至关重要的作用。在控制车辆时,必须控制系统内故障部件和子系统。如果不能保证,即使控制器工作并且故障被诊断,车辆也可能失去功能。所有子系统的协作是容错车辆设计的关键。
容错设计前提
通过容错可以提高系统的高可靠性。容错系统重新工作,即使一个或多个故障发生。因此,故障不会导致系统故障,而是应实现补偿以继续正常或降级操作。容错导致更可靠的系统和提供不间断系统的操作。
系统的可靠性可以通过完善的、无故障的系统设计或容错的方法来提高。在实践中,后者是优选的,因为复杂工程系统的完美建模是不可能的。冗余和面向质量的整体设计是实现容错系统设计的两个关键特征。
故障降级
冗余系统被分为不同的容错级别。系统中的一些组件需要比其他系统(例如天窗电机)更高水平的容错性(例如制动系统)。根据对容错性的要求有多么严格,可以区分下列退化级别:
失败操作(FO)-组件在一次故障后保持运行,因此可以容忍一次故障。
故障安全(FS)-如果发生一个或多个故障,则将组件主动或被动地引入安全状态。
失效静默(FSIL)-如果一个或多个故障发生,组件被关闭(外部安静),并且不对系统的其余部分发送错误信号。
在部件失效后,如果不能达到安全状态,则必须进行FO。为了调整故障严重性,FO可以分类成长时间和短时间。另一种选择是微小的降级,其中不太重要的功能被关闭,以将资源分配给更关键的功能并保持效用。与其他领域,例如航天相比,汽车领域中的安全状态可以更快和更高。因此,由于成本、重量和包装原因,道路车辆的容错水平通常仅限于一两次故障。然而,随着新兴的X-线控系统,其它电子系统可以将系统带入安全状态,即通过静止操作单元或活动FS单元,省略机械备份。
这将汽车领域的容错引入到一个新的阶段,在这个过程中,它必须在开发过程中获得更多的关注。FSIL原则的优点是只出现一个故障来保护外部世界,即组件本身的关闭。这个故障对于整个系统是可见的,并且可以通过组件的交流复制来拦截,即冗余。因此,故障被本地化、封装并明确其处理源头。系统内的故障扩散是不可能的。该方法大大简化了故障处理步骤。
冗余
容错系统的目标是在发生严重故障时有足够的时间进行反作用力,即提供“自修复”能力,以使驾驶员能够安全地停止车辆。冗余保持系统的运行,并通过添加备份硬件、软件、信息处理和子系统来实现与系统相同的功能。传感器、执行器、微控制器和通信网络是典型的具有冗余设计方案的电气和机械部件。
电子硬件冗余的两种基本类型是静态冗余和动态冗余。静态冗余具有三个或更多个具有相同输入的并行单元,例如液压飞机致动器。所有的单元都是活动的,并且连接到选择单元,他们将信号相互比较。正确的信号是通过多数决定来选择的。在三个故障单位中的一个,选择单元将输出这两个健康单位。在这种情况下不需要复杂的故障检测。由于较高的成本和重量,经常使用动态冗余来代替。作为备选选项的动态冗余要求较少的单元,但在系统内更多的信息处理。
如果检测到故障,则将系统切换到冗余备用单元。可以区分两个不同的备用系统。热备用单元连续运行,可以实现快速切换时间。然而,这些单元老化更快,因此它们仅用于安全关键系统,如航空。冷备用仅在需要时启动,例如备用发电机。因此,启动时间较长,需要另外两个开关,但该单元磨损较少。一个额外的备用单元,通常是并联的,允许系统容忍另外的故障。对于车辆X线控系统,具有冷备用动态冗余的容错是有吸引力的。
可以使用不同的冗余结构来增加可用性。如果一个故障将被破坏,从而失效运行,然后切换到故障安全状态,则可以使用具有静态重饱和或具有动态再饱和的双工结构的三重、四重复合或双双工结构。然而,最容易实现的是双双工(两个静态冗余并行结构),因为不需要故障检测,并且模块化使得更简单。
如果应用上述冗余,致动器被设计为容错的。此外,具有自诊断能力的智能传感器现在在车辆中经常使用。
广告
广告
编辑推荐
最新资讯
-
直播|中汽中心 工程院:汽车智驾技术主题
2024-11-24 11:43
-
直播|中汽中心 工程院:无人驾驶车路云一
2024-11-24 11:42
-
直播|中汽中心 工程院:基于无人驾驶矿卡
2024-11-24 11:41
-
直播|中汽中心 工程院:超声波雷达测试系
2024-11-24 11:40
-
直播|中汽中心 工程院:基于车路云图的无
2024-11-24 11:40
广告
广告
