摘要:ISO 26262—2018 功能安全标准从小于 3.5 吨车型延展摩托车等诸多领域,针对新时期自动驾驶对发动机控制提出的线控需求,本文提出一种支持线控驱动的 ECU 控制单元硬件电路和扭矩安全监控策略的设计与开发,提出了一种双冗余互校验的架构并对其中的合理性判断及故障诊断策略进行开发。利用 Matlab/Simulink 工具搭建了相应的控制模型,并利用 Embedded coder 工具实现模型到代码的自动生成,运用满足功能安全标准的工具链和开发流程对代码进行 MIL 测试 SIL 测试与 HIL 测试,最后在发动机台架上进行试验验证。试验结果证明此监控单元能有效完成线控扭矩需求并达到功能安全 ASIL-C 的要求,极大提高了发动机线控驱动的安全性。
线控技术(X-by-Wire) 源于飞机控制系统,飞机的新型飞行控制系统是一种线控系统(Fly-by-Wire),它将飞机驾驶员的操纵命令转换成电信号,利用计算机控制飞机飞行。这种控制方式引入到汽车驾驶上,就是将驾驶员的操作动作经过传感器转变成电信号,通过电信号网络传输到攻率放大再推动执行机构。其实质就是在需要有机构动作的地方不是应用液压系统来传递操纵动作,而是利用弱电信号再控制强电执行机构来完成。线控(电控)系统中弱电信号早期用模拟信号较多,目前多用数字信号。典型的有线控驱动(Drive By Wire)线控转向( Steer-by-Wire)、线控制动(Brake-by-Wire)等。DBW 的英文全称是也可以称作Throttle By Wire,也即「线控油门」或者「电控油门」。线控油门系统主要由油门踏板、踏板位移传感器、电控单元 ECU、燃油喷射系统等执行机构组成。
传统的油门控制方式是驾驶员通过踩油门踏板,由油门拉索直接控制发动机油门的开合程度,从而决定加速或减速,驾驶员的动作与油门动作之间是通过拉索的机械作用联系的如图 1(a) 所示。
图 1(b) 线控驱动的示意图,将机械联系改为电信号进行联系。文献[1-9]提出了电控发动机对驾驶员意图请求,发动机控制单元的软硬件设计及其相关的控制策略,其中,驾驶员仍然通过踩油门踏板控制拉索,但拉索并不是直接连接到油门,而是连着一个油门踏板位置传感器,传感器将拉索的位置变化转化为电信号传送至汽车的大脑 ECU(电子控制器),ECU 将收集到的相关传感器信号经过处理后发送命令至执行机构比如节气门,喷油器,或者喷油泵之类的执行驱动控制模块。
图 1(b) 所示,驾驶员的动作与油门的动作之间是通过电子元件的电信号联系的。虽然从构造上来看,线控油门比传统油门控制方式复杂,但油门的控制却比传统方式精确,发动机能够根据汽车的各种行驶信息,精确调节进入气缸的燃油空气混合气,改善发动机的燃烧状况,从而大大提高了汽车的动力性和经济性。同时,更适合新一代自动驾驶的需要,自动驾驶计算机可以通过指令或电信号控制车辆的驱动。
随着电子控制的复杂程度越来越高,由于电子电气引起的安全问题显得越发突出,「功能安全」,是通过安全功能和安全措施来避免不可容许的功能风险的技术总称。国外汽车厂商比较早就开始进行功能安全考虑,宝马公司从 2012 年就开已经开展对旗下的轿车与摩托车的电子控制系统实施功能安全标准。通过去除导致危险发生的设计或机械故障的安全机制来保证,通过使用计算机等的安全装置所设计出的安全措施。
1 基于功能安全的线控油门硬件设计
1.1 加速踏板特性分析
根据功能安全的需要,各种车辆的线控技术的功能安全目标可能不完全一样,乘用车、商用车、工程车、或摩托车等机动车辆由于使用场景的不同,其暴露率,危险程度和可控性都可能不一样。经过分析,线控驱动至少应该达到的功能安全目标之一(SG001):防止非预期的异常加速,目标等级为功能安全 ASIL-B 等级。基于此,本文给出一个通用的功能安全线控驱动硬件设计如图 2 所示。
线控驱动(油门)系统除了能向车辆使用者提供良好的驱动加速性能之外,还必须证明它的功能安全可靠。线控驱动(油门)系统加速踏板与发动机之间的机械连接不再存在,完全依靠电子和电气元件工作,需要采用容错措施确保线控驱动的功能安全。容错技术的实现主要依靠冗余,即所设计的系统在功能上或者数量上有一定的冗余,当某个零部件出现故障时,其冗余部分就承担起相应的功能。同时,为了避免共因失效,在特殊场景下还需要采用不同的技术(比如开关信号与模拟信号组合)来实现冗余。
针对自动驾驶计算(ADU)平台,只需要通过两路数模转换(DAC)将请求信号转换测图 3 所示的电压范围,即可完成对发动机驱动的纵向加速度控制,达到自动驾驶的驱动目的。同时,也可以通过CAN总线,发出两路开度请求信号,ECU 经过同样的信号合理校验与故障诊断,在符合设定合理值之便可完成对 ADU的扭矩请求响应。
1.2 加速踏板电路设计与计算
图 4 所示为双冗余油门信号处理电路原理图的核心部分,sig1 连接加速踏板信号 EPA,sig2 连接加速踏板 EPA2,两路信号分别进行滤波,钳位,限流等处理,然后通过一级电压跟随器进行隔离,最后进入单片机的 AD_3 和 AD_98h23 两个通道进行 AD 采样。另外,为了保障两路加速踏板信号能独立工作,不互相影响,还需另外两部分是独立的电源和独立的地,在此不在赘述。
功能安全标准要求,每个安全相关的硬件要素的失效率 λ 都可按照等式 (1) 来表述(假设所有的失效都是互相独立的,且按照指数分布),如下 :
其中 λ SPF 是与硬件要素单点故障相关联的失效率;λ RF 是与硬件要素残余故障相关联的失效率 ;λ MPF —与硬件要素多点故障相关联的失效率 ;λ S — 与硬件要素安全故障相关联的失效率。与硬件要素多点故障相关联的失效率, λ MPF 可以按照等式(2)来表述,如下:
式中 : λ MPF,DP — 与硬件要素可察觉或者可探测的多点故障相关联的失效率, λ MPF,L — 与硬件要素潜伏故障相关联的失效率。用于等级为 ASIL(B) 的安全目标。等式(3)中的计算应用于确定单点故障度量 :
由公式(3)将改进后的电路导入计算模块,计算出系统单点故障度量值为 97.5%,根据功能安全标准的要求,对驱动系统的功能满足功能安全 ASIL-C 的要求,超出了系统对驱动的功能安全 ASIL-B 的功能安全等级要求的安全性等级。
2 基于功能安全的线控油门软件设计
针对上节所述,按照功能安全的要求设计完成硬件电路的同时,应用层软件必须要有相应的控制算法才能完成线控油门的安全监控和故障诊断的要求。
2.1 软件系统架构
该模块的功能是通过底层模拟量及数字量输入(针对带怠速开关的线控加速踏板)模块获取油门踏板传感器的原始信号,并根据当前故障状态,输出可用于发动机管理系统的传感器信号。
如图 5 所示为一个通用线控加速踏板信号处理软件架构示意图。由图可见输入信号主要有 4 个 :两 路 模 拟 量 踏 板 开 度 输 入(AccPedCD_adUW和 AccPedCD_ad2UW),一路怠速开关数字量输入(AccPedCD_bIdleRawUB),一路制动开关数字量输入(BrkCD_bOnUB)。当油门踏板传感器信号AccPedCD_rFltUW=f (油门踏板传感器原始信号 AccPedCD_adUW/AccPedCD_ad2UW,怠速开关原始信号 AccPedCD_bIdleRawUB,制动踏板信号 BrkCD_bOnUB)。
2.2 安全性保障与故障诊断算法
首先是对两路信号进行数字滤波与基本的开路短路故障诊断。该模块首先检测加速踏板位置和制动信号之间的合理性。如果加速踏板和刹车器同时踩下,并且加速踏板在刹车器之前踩下,那么不合理性被检测到。如果不合理性被检测到,一个替代的值将会被作为检测后的加速踏板开度值输出失效模式复位算法的原理是当加速踏板开度小于标定值 AccPed_rThresSftyUW_C ,或者其变化幅度大于标定值 AccPed_drAPPUnFltLimW_C 的时候,经过确认周期后,状态将输入到变量 AccPed_stPlaAPPBrkRst_mpUB。
其次是基于功能安全的保障算法,算法原理是 :首先判断加速踏板和制动信号出现的时间,如果制动信号先于有效的加速踏板信号出现,则合理性检验结果判定为合理。
如图 7 所示,如果制动信号在合理的加速踏板信号之后出现,且加速踏板信号满足原始开度小于AccPed_rThresSftyUW_C , 并且变化幅度小于 AccPed_drAPPUnFltLimW_C,则合理性检验结果判定为不合理,经过确认周期后,进入 AccPed_stPlaAPPBrkDet_mpUB,加速踏板输出值为 0 以确保系统输出驱动的安全。
3 基于功能安全的线控驱动测试验证
基于功能安全的设计要求系统有软件架构设计,还要有特殊的测试手段,比如对模型要求符合 MAAB 和 ISO26262 规范的要求,还要进行模型在环测试(MIL)以及 SIL 测试,以及 HIL 测试,最后才进行台架测试与实车测试。
3.1 模型规范性检查
建模标准审查 :MATLAB 提供了 Model Advisor,可以实现建模标准的静态检查,检查项目包括 MAAB、ISO26262 等国际标准对模型的要求,也可选用公司自定义的建模规范。本文提出的共轨 ECU 必须要求进行 ISO26262 进行模型的静态检查。
如图所示为针对加速踏板扭矩请求处理模块的控制软件模型符合性验证,图 8 为汽车电子建模规范检查,检查结果为 100% 符合 ;图 9 为功能安全标准 ISO26262 符合性检查,检查结果达到了 100%。
3.2 MIL 测试
在 基 于 模 型 的 软 件 开 发 过 程 中, 在 Matlab/Simulink 仿真环境下,将控制算法模型和被控对象模型连起来形成闭环,在模型层面形成闭环,主要用于验证模型功能的实现。
3.3 HIL 测试
HIL 测试针对的主要是控制器的硬件和软件集成测试,硬件、软件及系统的开发过程都是基于技术安全要求规范的 V 模型,其中系统级产品研发应遵循功能安全 ISO 26262 的要求,硬件级的产品研发应遵循功能安全 ISO 26262-5 的要求,软件级的产品研发应遵循功能安全 ISO 26262-6 的要求。HIL 测试在基于功能安全 ECU 和基于模型的 V 流程开发流程中所处的位置非常重要,系统级 V 模型中左边的分支都是系统设计和要求,右边的分支是集成、验证、确认和功能安全评估;硬件级 V 模型中左边为硬件设计和硬件要求,右边为硬件的集成和验证 ;软件级 V 模型中左边为软件需求规范和软件设计架构要求,右边为软件安全需求中的软件集成和验证。针对基于功能安全的共轨 ECU 开发,本文采用德国如图进行模型在环仿真实例,实例中进行了故障注入测试,将两路加速踏板的信号输入信号由正常值变为错误值,当两路信号校验不一致的时候,系统报告错误(图中蓝线所示,由 0 变到 1)。
ETAS 公司的 LABCAR 高级 HIL 测试系统进行功能安全及相关测试 :
图 12 所示,将共轨 ECU 的线束与 HIL 测试系统 LABCAR 相连接,然后根据测试用例写出测试脚本,如图所示,将测试脚本加入 LABCAR 测试主机运行,系统测试出测试结果如表 1 所示。
3.4 实车测试
经过上面对软件模型的验证,模型的单元测试与集成测试,以及硬件在环 HIL 测试之后,各项结果满足测试要求,将模型生成代码与底层基于 AUTOSAR 的代码进行集成之后下载到实际 ECU 进行装车实验,检验两路油门数据变化在实车上的表现。如图所示为实车测试两路油门的加速与释放油门信号值对比,图 13 所示为踩下加速踏板并维持一定时间之后松开踏板的两路油门信号,分红色为第一路加速踏板的值,蓝色为第二路踏板的值(为便于对比,将实际值乘以 2)。图 14 为多次反复加减速测试的两路油门对比的数值,由图可知,完全满足系统设计要求。
4 结论
本文针对自动驾驶对新一代发动机控制提出的线控需求,提出一种支持机线控驱动的 ECU 控制单元的双冗余互校验的硬件电路架构,以及相应的合理性判断及故障诊断的扭矩安全监控策略的设计与开发。经过计算,该硬件电路架构方案完全满足发动机驱动的功能安全等级 ASIL-C 的要求。利用 Matlab/Simulink 工具搭建了相应的控制模型,通过功能安全标准的工具链和开发流程对代码进行 MIL 测试 SIL 测试与 HIL 测试,验证结果表明该控制模块完全符合功能安全标准的要。最后在发动机台架上进行试验验证,结果证明此监控单元能有效完成线控扭矩需求并达到功能安全 ASIL-C 的要求,极大提高了发动机线控驱动的安全性。