摘要:本文研究工作围绕瑞典皇家理工方程式车队(KTH FS)所用紧急制动系统的设计工作展开。
鉴于该系统具备安全关键属性,本文依据汽车功能安全标准ISO 26262,针对紧急制动系统的软件控制单元——紧急制动系统监控器(EBS Supervisor)开展安全分析,探究通过优化设计提升系统安全性的可行方案。本次分析遵照ISO 26262第三部分(概念阶段)规范完成,工作内容包含项目定义、危害分析与风险评估(HARA)、功能安全概念(FSC)以及技术安全概念(TSC)四项内容。
分析结果表明:若要满足ISO 26262标准要求,紧急制动系统监控器必须配置大量冗余设计,其中包含增设一套独立中央处理器(CPU)、对全部输入输出信号做信号校验。但受皇家理工方程式车队项目资金与项目周期资源限制,上述冗余改造方案无法落地实施。不过本次对标安全标准开展全流程分析的工作,有效提升了整个研发团队的安全设计思维。
提示:本文分为“上、下”两个部分,此为文章“上部分”,将介绍功能安全基础知识与ISO 26262标准体系;并详细说明紧急制动系统软硬件结构。
在后续发布的“下部分”中,我们将基于ISO 26262第三部分规范完成全流程安全分析;并结合分析结果逐一回答五项研究问题。
原文作者:MARKUS BÖLANDER
编译:猿东东,猿西西
1.1 研究背景
自19世纪末期汽车诞生以来,汽车行业经历了翻天覆地的变革。汽车的普及改变了人们的出行方式,深刻影响全球社会结构与经济发展,但与此同时道路交通事故伤亡问题随之而来。道路伤害位列全球十大致死诱因之一。因此车辆安全成为整车厂商重点攻关方向,也是汽车工业发展历程中最核心的改良领域之一。
现代汽车依靠高强度吸能车身优化被动安全,同时各类主动安全技术落地,从源头规避事故。防抱死制动系统(ABS)、电子稳定程序(ESP)、自动紧急制动、车道保持辅助等高级驾驶辅助系统(ADAS)陆续装车,也是汽车迈向全自动驾驶(AD)的技术铺垫。人为失误是90%~95%道路交通事故的诱因,因此用车载计算设备替代人类驾驶员能够大幅降低事故概率。但车载电控系统、算法软件数量与复杂度持续攀升,系统可靠性管控难度同步增加,功能安全及ISO 26262功能安全标准由此成为汽车产品开发的关键环节。
自动驾驶技术落地不仅是车企研发重点,各大高校科研团队也在同步攻关,奥地利AVL作为全球知名汽车工程咨询企业,将功能安全作为核心业务板块。瑞典皇家理工学院的KTH FS项目便是高校自研自动驾驶赛车的典型案例,AVL是车队核心合作单位。双方以联合研究KTH FS赛车功能安全为契机,促成了本篇文章的研究工作。
1.2 方程式学生赛
方程式学生赛是欧洲历史悠久的工科大学生赛事,赛事核心目标是锻炼工科学生整车设计、加工制造、项目成本管控的综合能力,参赛队伍需要独立设计并制造一台单座方程式原型赛车(见图1.1)。
早期赛事仅设有燃油组别(CV)与电动组别(EV),2018年赛事新增无人驾驶组别(DV);燃油与电动组别共用一套赛事评分规则,无人驾驶组别采用独立评审标准。赛事分为静态项目与动态项目两大类,整车设计需要遵循一份长达130页的赛事官方规则手册。规则不仅限定赛事举办细则,还对整车零部件设计提出硬性约束,其中无人驾驶组别强制要求整车搭载紧急制动系统(EBS)。紧急制动系统属于安全关键装置,规则要求:任意单一故障触发后,系统必须执行制动使车辆进入安全静止状态。车辆安全设计是赛事评委重点评审项,因此紧急制动系统需要严谨设计。本文围绕皇家理工车队赛车紧急制动系统开发,结合 ISO 26262 标准完成全流程安全分析,验证方案合理性。
1.3 研究目标
本文设定两大研究目标:第一,完成皇家理工方程式赛车紧急制动系统的全套设计与样机开发;第二,依托ISO 26262标准对系统开展功能安全分析。研究前期需要系统性研读ISO 26262标准条文,掌握标准落地方法,之后按照标准规范完成安全评估工作。
1.4 研究方法与研究问题
区分科学研究与工程研发的研究逻辑:科学研究重在客观规律的解释与预判,工程研发侧重设计实物解决实际工程难题,因此不能用自然科学的研究范式约束工程项目。本文采用工程设计研究法,以系统化思路针对紧急制动系统安全设计难题提出可行落地方案,围绕课题拟定五项研究问题(RQ):
RQ1:皇家理工车队的紧急制动系统应当采用何种设计方案?
RQ2:落地功能安全需要配套哪些管控措施?
RQ3:方程式赛事应用场景下,紧急制动系统存在哪些典型故障、危害与安全风险?
RQ4:当前设计的紧急制动系统能否满足ISO 26262标准要求?
RQ5:ISO 26262标准是否适用于皇家理工方程式车队的整车研发流程?
按照FINER评价准则(可行性、创新性、趣味性、合规性、实用性)评判研究问题,五项问题虽无法全部满足所有评价维度,但可以作为全文研究的框架主线。
1.5 研究范围
ISO 26262整套标准内容庞大,本文不覆盖标准全部条款,研究范围限定在**第三部分(概念阶段)**以及第四部分中的技术安全概念内容。除功能安全分析外,本文同步联合皇家理工车队完成紧急制动系统软硬件开发与实车测试。
本章概述功能安全行业通用定义,介绍汽车行业专用ISO 26262标准的诞生背景与全流程开发体系。
2.1 功能安全发展背景
传统汽车安全设计依托机械结构冗余、液压/气动硬件实现防护,机械固定式转向管柱、双回路液压制动、机械手刹、发动机制动是传统安全设计代表。依靠高制动扭矩设计,车辆可在常规故障下依靠机械结构实现安全驻车。但线控转向、线控制动、自动驾驶等电气化技术普及后,软件安全管控成为刚需。
油气、核电、通用机械行业早已落地功能安全管控,核心依据为IEC 61508标准;ISO 26262是在IEC 61508 基础上,面向道路车辆电气/电子系统定制的汽车行业专用功能安全规范。
ISO 26262对功能安全的官方定义:因电气电子系统异常失效引发不合理风险被消除后的安全状态。该定义覆盖软硬件系统性失效、随机硬件失效带来的安全隐患,适用领域包含驾驶辅助、动力驱动、整车动力学控制与各类主动安全系统。下一小节详细说明ISO 26262通过规范要求与开发流程规避上述风险的具体方法。
图2.1:需依据ISO 26262开展安全分析的电气/电子(E/E)系统
2.2 ISO 26262标准
从顶层目标来看,ISO 26262落地围绕五大核心任务:
1.建立整车安全生命周期,指导企业根据项目需求裁剪各阶段工作内容;
2.建立基于风险评级的汽车专用分级方法(ASIL汽车安全完整性等级);
3.根据ASIL等级匹配对应标准条款,消除不合理剩余风险;
4.提出验证与确认要求,保障整车安全指标达标;
5.规范主机厂与零部件供应商之间的安全责任划分。
本文重点围绕任务2、3开展研究,对应标准第三部分(概念阶段),同时延伸研究第四部分的技术安全概念(TSC)。
概念阶段+技术安全概念整体工作流程
ISO 26262第三部分概念阶段执行顺序:
第一步:项目定义,完整描述待分析系统边界、组成与功能,作为后续全流程分析基础;
第二步:危害分析与风险评估(HARA),梳理系统失效诱发的各类危害工况;
第三步:基于危害场景制定顶层安全目标(SG),规避或降低事故风险;
第四步:根据场景严重度、暴露概率、可控性判定安全目标对应的ASIL等级;
第五步:依托安全目标拆解功能安全需求(FSR),形成功能安全概念(FSC),至此完成第三部分全部内容;
第六步(延伸):进入第四部分,将功能安全需求细化为技术安全需求(TSR),形成技术安全概念(TSC)。
图2.2:依据ISO 26262-2标准节选的功能安全生命周期
量产车企在TSC之后还需要继续细化软硬件需求、开展全流程验证与安全评估;本文研究止步于TSC阶段。后续发布的文章“下部分”第4章将按照上述流程,以紧急制动监控单元为分析对象逐项落地分析。紧急制动系统完整硬件与软件架构将在第3章说明。
本章介绍紧急制动系统前期设计方案与软硬件架构,为后续发布的文章“下部分”第4章项目定义环节提供技术依据;本章依次说明硬件选型、基于Simulink开发的软件代码,后续发布的文章“下部分”第4章从功能层面完成监控单元的项目定义。
3.1 硬件设计
紧急制动系统硬件设计遵循最小改动原车制动结构的原则:原车制动采用前后独立双回路液压制动,两个主缸分别控制前后轮,制动踏板通过可调螺杆调节前后制动力分配系数。为适配无人驾驶主动制动需求,设计方案选用电动旋转执行器+气动缸通过钢丝绳拉动制动踏板的结构。下文分别说明行车制动与气动紧急制动硬件。
3.1.1 气动制动系统
根据赛事规则DV3.1.3条款要求:紧急制动系统必须采用机械式储能无源结构,因此本文选用二氧化碳(CO₂)气瓶作为机械储能源搭建气动制动方案。结合赛事规则与官方EBS指导手册要求,系统分五种工作工况(图3.1~3.5为各工况气流走向)。
工况1(气瓶装填):整车断电、常开式紧急制动电磁阀处于开启状态,装填气瓶前需要关闭手动通断阀(图3.1橙色管路为压力通路)。
工况2(系统待警备命):整车上电无故障时,低压蓄电池为紧急制动电磁阀供电、阀口关闭;随后打开手动阀,系统进入待命(武装)模式(图3.2)。
图3.2:紧急制动系统(EBS)处于待命武装状态时的气压流向
工况3(制动触发):系统故障、低压断电或上电自检触发制动时,紧急制动电磁阀打开,气瓶压力推动气动缸拉动踏板实现制动(图 3.3)。
工况4(上电自检后泄压):整车上电自检阶段主动触发制动,完成制动压力检测后关闭电磁阀、气体泄压,系统重新回到待命状态(图3.4)。
工况5(故障后手动泄压):车辆行驶途中故障触发制动后,电磁阀无法电控关闭;需操作人员先关闭一级手动阀切断气源,再开启二级手动阀释放管路残余气压(图 3.5)。
气动系统实物零部件:CO₂高压气瓶、调压阀、两路手动截止阀、压力传感器、二位三通常开紧急制动电磁阀、制动气动缸(图3.6、3.7)。
图3.7:左起:压力传感器、二位三通常开EBS阀、气动元件
3.1.2 冗余行车制动执行机构
选用伺服电机作为常规自动驾驶工况的行车制动执行器,实现纵向车速闭环控制;同时作为气动紧急制动失效后的冗余制动备份。选用Hitech品牌HS-1005SGT型号伺服电机,参数见表3.1。
3.1.3 非可编程逻辑硬件
赛事规则DV3.1.2规定:除监控软件外,紧急制动触发回路必须采用纯非可编程逻辑器件搭建。文中命名该逻辑为EBS基础逻辑,由74系列逻辑门、晶体管等分立元器件组成,无任何处理器与可编程芯片,保障CPU失效后依旧可以独立触发制动;相关电路焊接在 PCB 电路板上(图3.9),详细原理图在文章“下部分”的4.1节项目定义中展示。
3.2 软件系统
紧急制动系统软件命名为EBS Supervisor(紧急制动监控单元),开发依据赛事官方规则与EBS指导手册;手册要求软件包含上电自检时序、全周期在线监控两大基础功能,本文额外新增制动航向控制(BHC)算法,满足赛事DV3.3.3条款:紧急制动过程中车辆不允许出现非预期横摆。
整套软件基于MathWorks Simulink环境开发,架构完成独立仿真验证后集成至整车模型;监控软件分为三大功能模块,配套整车各零部件交互信号见图3.10,分模块详细说明如下。
3.2.1 制动航向控制 BHC
紧急制动触发后,通过主动控制转向执行器抵消车身横摆,采用比例(P)闭环控制器作为初步方案;该控制模块仅在EBS触发后启用,依托Simulink使能子系统功能实现工况锁止(图3.11、3.12)。整车优化优先通过配重调校、增大前轮制动力占比实现制动稳定,只有硬件优化无法抑制横摆时才启用主动转向校正算法,因此BHC仅做预留设计,待实车验证后决定是否量产落地。
图3.12:仿真采用Simulink的「Enabled Subsystem」模块,实现EHC仅在EBS触发时投入工作
3.2.2 上电自检状态机流程
按照官方手册自检步骤,采用Simulink状态图搭建自检时序,14项自检步骤见表3.2,对应状态机见图3.13。
3.2.3 全周期在线监控功能
紧急制动监控单元整车行驶阶段持续在线监测故障(线束断裂、气动管路泄漏等典型失效),监控项目清单:
1.气动气瓶储气压力;
2.液压制动管路压力;
3.各路传感器采集信号合理性校验;
4.伺服行车制动传递函数校验;
5.非可编程逻辑输入输出信号合理性;
6.车辆行驶状态标志位全程保持有效。
气瓶压力监控(图3.14)
设置压力上下限合理阈值,做信号合理性校验;低于标定下限判定储气不足,触发冗余制动。
制动液压压力监控(图3.15)
EBS 触发后实时监测制动油压,若压力低于阈值判定气动制动失效,立即启动伺服冗余制动;采用锁存子系统锁定故障标志,避免伺服反复启停导致压力震荡。故障标志“气动EBS失效”接入伺服制动触发逻辑(图3.16)。
伺服冗余制动触发逻辑(图3.16)
三种场景触发伺服制动:气瓶气压不足、气动制动建压失败、英伟达GPU车载计算单元报错。GPU故障时优先使用伺服制动可临时停车复位,相比直接触发气动全车载紧急制动,车辆故障排除后可继续参赛。
伺服制动传递函数校验(图3.17)
建立PWM控制信号-制动油压查表模型,实时对比实测油压与查表理论值;偏差超阈值判定伺服机构故障,监控单元停止看门狗翻转,强制触发气动紧急制动。
看门狗喂狗逻辑(图3.18)
监控软件周期性翻转看门狗信号发送至硬件逻辑;软件卡死或伺服故障时停止脉冲输出,硬件逻辑无喂狗直接开启EBS电磁阀、整车紧急制动。
3.3 系统测试与功能验证
软件采用分层测试方案:Simulink模型在环(MIL)单独调试算法→生成C代码、Arduino处理器在环(PIL)验证代码编译可行性;截至文章定稿,硬件在环(HIL)测试尚未开展,相关实车测试计划放在文章结束后、赛事赛前完成,不在本文研究范围内。
在后续发布的文章“下部分”中,我们将基于ISO 26262第三部分规范完成全流程安全分析;并结合分析结果逐一回答五项研究问题。请持续关注“猿力部落”公众号后续发布的该文的“下部分”。
免责声明:文中观点仅供分享交流,文章版权及解释权归原作者及发布单位所有,如涉及版权等问题,请您联系alpha.yuan@houwa-tech.com告知,我们会在第一时间做出处理。
10个月宝宝每天需要喝多少奶粉?
