滿足SAE-L3 等級的EPS 自動駕駛技術研究

席剛剛，丁宗旭，李初蕾，解光耀

（1.201804 上海市 同濟大學；2.201800 上海市 博世華域轉向系統有限公司）

0 引言

由于駕駛員注意力不集中導致的事故數量在整個交通事故的占比不可忽視，在此背景下，自動駕駛技術應運而生。汽車電子化、智能化、網聯化技術能夠輔助車輛有效避免因駕駛員異常操作帶來的事故，也能進一步改善交通狀況[1]。表1 是SAE定義的自動駕駛技術分類[2]，可知SAE L3 等級下駕駛員可脫開雙手，從而使車輛實現自動轉向，EPS 作為自動駕駛車輛的橫向控制器，必須保證橫向控制系統的安全性和可靠性。然而目前自動駕駛同樣存在技術缺陷，在緊急情況下仍然需要駕駛員接管車輛，這就需要足夠的反應時間來讓駕駛員接管方向盤，因此需要降低自動駕駛技術發生故障的幾率，即使在出現故障的情況下也能夠安全地控制車輛。基于這些需求，本文設計了EPS 的電子硬件系統提高系統在某個電子元器件失效后的穩定性；研究軟件方面提升自動駕駛安全性的方案，總結出開發的相關注意事項，對L4、L5 級別的自動駕駛技術開發具有參考價值。

表1 SAE 自動駕駛等級劃分Tab.1 SAE autonomous driving classification

1 硬件平臺設計

1.1 技術方案

硬件電路是轉向系統軟件工作的載體，其中電子元器件較多，發生故障的幾率較高，常見的故障有角度扭矩傳感器故障、中央處理器（ECU）故障、CAN（Controller Area Network）總線通信故障、執行器（電機）故障、EPS 供電故障等[3]，單個模塊發生故障后整個硬件系統便會處于癱瘓狀態。對此，簡單的方案是在車上安裝2 套轉向系統，當其中一套出現故障時立刻切換到另一套系統[4]。此方案簡單、效果明顯，但是由于成本高昂、安裝空間受限，導致可操作性不高，而且2 套系統之間的切換需要時間。按照中國高速公路規定的120 km/h 的車速行駛，為保證不出現風險，需要2 套系統在10 ms內進行轉換，而機械部分難以在如此短時間內切換。

2 個及2 個以上的子模塊同時發生故障的幾率較小。設想集成2 套扭矩傳感器、2 套通訊接口、2 套ECU（包含外圍電路）、2 路供電接口、1 個6 相電機于一個系統。當其中一個子模塊發生問題時，另一個相同子模塊仍然能夠正常提供信息，保證EPS 在安全范圍內工作。圖1 是滿足SAE-L3自動駕駛技術的硬件系統方案，其中獨立電源1 給ECU1 供電，ECU1 接收傳感器模塊1 的信息并通過CAN 收發器1 接收整車其他ECU 的信息，用于計算電機扭矩發送到電機控制模塊1，控制其中三相電機輸出扭矩。同理，ECU2 計算電機扭矩發送到電機控制模塊2，控制另外三相電機輸出扭矩。

圖1 EPS 硬件冗余方案Fig.1 EPS hardware redundancy scheme

2 套子系統在工作過程中通過IPC（Inter Processor Communication，EPS 內部通訊）共享信息，并且2 個ECU 實時校驗來自另一個ECU 的信息。

1.2 硬件冗余平臺可靠性分析

引入概率學中的馬爾可夫模型分析冗余硬件平臺的可靠性[5]。圖2 是冗余系統中一個子模塊的馬爾可夫模型。其中，λ是該模塊發生故障的概率，δ是子模塊中發生的概率被發現處理的概率。狀態A 代表該系統開始工作的狀態即無故障狀態；狀態B 代表該模塊發生了故障并且被發現，此時系統由于有另一個相同子模塊的存在還能安全工作；狀態C 是2 個子模塊都被檢測到發生故障，單系統失效，切換到另一路安全系統中進行工作；狀態D 是該模塊發生了兩類故障，單系統失效，切換到另一路工作；狀態E 是發生了嚴重故障，導致整個EPS系統無法工作，屬于危險狀態。

圖2 雙冗余平臺的馬爾科夫模型Fig.2 Markov model for dual redundancy platform

由馬爾可夫模型求得其微分方程：

其中初始條件：

對微分方程進行拉普拉斯變換，得

系統的可靠性R（s）為

進行拉普拉斯反變化可得

當δ=1 時，

參照標準IEC61508，取λ=10-7和λ=10-8，對比雙冗余系統和非冗余系統的可靠性，結果如圖3所示。雙冗余系統的可靠性遠超非冗余系統。

圖3 不同故障率下雙冗余和非冗余系統可靠性對比Fig.3 Reliability comparison of dual-redundant and non-redundant systems under different failure rates

1.3 冗余平臺硬件失效性能目標

由硬件框圖可知，失效情況簡化為6 類。表2 定義了每種失效情況對應的性能表現，設計目標是在單個子模塊失效后至少能夠保證一半的助力輸出，EPS 能夠自動控制轉向或者維持一定的安全時間使得駕駛員完成接管方向盤的動作。

表2 冗余EPS 故障容錯狀態Tab.2 Redundant EPS fault tolerance state

2 軟件冗余控制方案

2.1 系統架構

適應于硬件冗余平臺，軟件同樣要求冗余控制方案。EPS 工作時，2 個ECU 之間通過IPC 進行信息共享，第1 路系統出現軟件故障時，告訴第2 路系統并由本路提供助力。為滿足自動駕駛技術的EPS 軟件冗余控制方案，在決策層和執行層都需要進行冗余，即整車ADAS 控制器和EPS 均需要冗余控制。同時上位機給EPS 的信號必須要滿足ASIL D 等級，由車輛多類型傳感器采集周圍環境信息及駕駛員的駕駛意圖，反饋給ADAS 模塊進行處理，然后給到執行器EPS 執行轉向任務。

如圖4 所示，ADAS 包含了A 和B 兩個控制器。無通訊故障時，ADAS 中A 和B 兩個控制器同時分別向EPS 的主路和輔路發送自動駕駛狀態請求和自動駕駛目標齒條位置信號。在軟件中設計HAD State（Highly Automatic Driving，簡 稱HAD）、RPC（Rack Position Control）、Fader 三個子模塊，其中HAD State 結合ADAS 模塊請求信息、EPS 自身狀態、車速信息、方向盤扭矩信息計算自動駕駛軟件的狀態跳變和故障管理；RPC 模塊基于雙PID（Proportion Integral Derivative）環計算自動目標齒條位置對應的電機扭矩；Fader 基于扭矩傳感器采集到的方向盤扭矩信號的大小及變化率判斷當前EPS 的控制方式并計算SFC（Steering Feeling Control）和RPC 控制方式之間的切換時間。

圖4 EPS 自動駕駛技術系統架構Fig.4 EPS autonomous driving technology system architecture

2.2 RPC 控制原理

PID 控制器是Proportional、Integral 和Derivative 的簡稱，控制原理是根據系統的偏差利用比例、積分和微分計算控制量[6]，然后對系統進行控制，特點是結構簡單、工作穩定可靠、后期調試方便。圖5 所示的RPC 控制方式包含了齒條位置PID 環和齒條速度PID 環。其中，齒條位置環作為外環控制，基于目標齒條位置與實際響應齒條位置的偏差作為控制對象；對目標齒條位置進行微分計算得到齒條速度，與實際齒條位置的微分得到的實際齒條速度作差，差值為齒條速度環的控制對象，因此齒條速度環為內環控制。RPC 控制模式相比以往的扭矩控制方案（ADAS 模塊請求電機扭矩）而言，控制精度高，閉環時間短，響應速度快。

圖5 EPS 自動駕駛技術齒條位置控制Fig.5 EPS automatic driving technology rack position control

經雙PID 控制環后，期望電機輸出的扭矩為

式中：Tmotor——電機扭矩；F——扭矩因子；Atarget——目標齒條位置；Aactual——實際齒條位置；P，I——PI 控制參數；Vtarget——目標齒條移動速度；Vactual——實際齒條移動速度。

2.3 故障管理及工作原理

設計表3 所示的EPS 自動駕駛技術故障管理表。系統在無故障狀態下運行時，EPS 兩個子系統的自動駕駛功能都為可用狀態。當其中一路系統檢測到故障后本路功能不可用，另一路功能降級運行。在嚴重故障下（如兩路系統同時出現故障）后系統才完全退出自動駕駛功能。

表3 EPS 自動駕駛技術軟件故障管理Tab.3 EPS automatic driving technology software fault management

圖6 是EPS 自動駕駛的工作邏輯圖。EPS 在響應ADAS 模塊的自動駕駛請求時，首先檢測是否存在故障，沒有故障及時響應，ADAS 的請求開始控制電機轉動實現轉向功能。在運行過程中會實時檢測故障狀態，一路系統存在故障后本路系統退出自動駕駛功能，另一路系統降級控制電機實現自動轉向。

圖6 EPS 自動駕駛技術工作邏輯Fig.6 EPS automatic driving technology working logic

3 EPS 自動駕駛技術測試

3.1 EPS 響應ADAS 請求測試

車輛自身狀態和周圍環境滿足自動駕駛需求，且駕駛員按下自動駕駛請求開關后，ADAS 模塊設定自動駕駛技術的請求狀態為Active，EPS 進入自動駕駛控制模式。圖7 是EPS 的響應狀態，可見在條件滿足的情況下EPS 能夠實現自動轉向功能。

圖7 EPS 自動駕駛技術響應狀態Fig.7 EPS autonomous driving technology response status

3.2 EPS 自動駕駛軟件冗余測試

在不破壞測試樣件的情況下，制造斷開一路供電線束故障、斷開一路通訊線束故障、斷開一路傳感器故障、2 路ADAS 模塊請求不一致故障。其中2 路ADAS 模塊請求不一致故障的測試結果如圖8 所示，其余測試結果總結于表4。可見，通過設計EPS 硬件冗余及軟件冗余后，能夠滿足SAE-L3級別的自動駕駛技術要求。

圖8 EPS 自動駕駛技術冗余測試結果Fig.8 EPS autonomous driving technology redundancy test results

表4 EPS 自動駕駛技術軟件冗余測試結果匯總Tab.4 EPS autonomous driving technology software redundancy test results summary

4 結語

本文分析SAE-L3 級別的自動駕駛技術對EPS系統的要求，通過設計一套冗余的硬件系統與軟件方案來滿足其要求，并對冗余的硬件系統進行可靠性仿真，結果表明其可靠性相對于單系統有了明顯的提升；設計了軟件的核心控制方案和故障管理策略；最后測試了EPS 的自動駕駛技術，結果表明，在無故障狀態下EPS 能夠穩定響應ADAS 模塊進行自動轉向控制，在一路子系統出現故障后軟件仍能維持另一路繼續工作，避免由于突然失去轉向助力導致的事故發生。本文設計的EPS 自動駕駛技術方案滿足SAE-L3 的技術要求。