面向智能車輛的EMB系統功能安全分析及應用設計

程潔 鄭凱 秦嘉 吳曉東

關鍵詞：智能車輛;電子機械制動（EMB）系統；功能安全；冗余設計；線控制動；汽車安全完整性等級（ASIL）

汽車領域正迎來電動和智能的新時代，將線控技術應用于車輛控制成為新的趨勢。其中，線控制動系統（brake-by-wire）是目前智能車輛領域研究的熱點之一[1]。電子機械制動（electronicmechanicalbrake，EMB）[2-3]系統應用電子控制完全取代了液壓管路，可以實現制動系統的完全解耦，結構更加精簡，同時提高了反應速度和執行效率，便于底盤域控及智能駕駛技術發展。但是由于其取消了原有的液壓備份冗余，所以對系統的可靠性提出了更高的要求，安全成為影響EMB發展的關鍵因素，車輛軟硬件功能安全的要求也越來越高[4]。國際標準化組織（InternationalOrganizationforStandardization，ISO）于2011年發布了ISO26262標準[5-7]。

從標準制定以來，已有許多國內外學者及企業進行了相關研究。ZHUNDongbin等設計了符合ISO26262功能安全的純電動汽車制動能量系統，進行了系統級三層監控架構設計和再生制動安全子系統設計[8]，但是沒有進行電子電氣架構的具體設計；Kuen-LongLeu基于ISO26262功能安全概念主要進行了智能線控制動系統（intelligentbrake-by-wiresystem，IBBWS）設計和分析[9]，沒有提出系統冗余方案及安全機制；ZHANGJingming等建立故障樹分析電動汽車線控四輪獨立制動系統的5種故障模式，設計了硬件冗余措施[10]，但是缺乏基于軟件層面的安全措施；李國興提出四輪獨立制動系統結構下理想制動力的分配方法及策略[11]，但未考慮智能駕駛對線控制動系統提出的新要求。N.Mullner等基于仿真安全測試，提出將自車制動系統結合道路多車協同制動保證交通安全的策略[12]，缺乏重點分析單車制動系統的安全需求及系統設計。

開發合理的線控制動技術控制策略，降低響應時間、提高響應精度的同時，保證功能安全，提高系統可靠性成為智能汽車發展的關鍵技術之一[13]。本文根據ISO26262標準中的“V模型”流程對EMB系統進行功能安全分析，分析故障發生的原因和邏輯關系，以掌握線控制動安全控制的關鍵；進行功能安全概念（functionalsafetyconcept，FSC）設計，建立三路并行的冗余優化方案，確定符合安全目標的EMB系統架構，并基于該系統架構設計失效運行策略；最后，搭建聯合仿真模型進行故障注入實驗，驗證安全分析的合理性及安全機制對系統安全性的影響。本研究面向智能駕駛場景，對線控制動系統提供基于功能安全標準的分析，并根據分析結果進行安全機制的設計及驗證，可以給未來實際應用的EMB系統設計提供參考。

1EMB系統相關項定義

ISO26262標準中，概念分析的第1步就是相關項（item）定義，該步驟定義了系統范圍，可為后續分析奠定基礎。

1.1EMB系統概述

電子機械制動（EMB）系統由電子踏板單元、傳感器陣列、控制單元、執行單元及電源系統5大部分組成。電子踏板單元可以采集駕駛員制動意圖并模擬制動反饋力矩；傳感器陣列包括各類傳感器，用來采集車輛狀態信息；控制單元采用分層控制架構，由1個上層決策控制器（brakecontrolunit，BCU）和4個輪邊控制器（wheelacuatorcontrolunit，WACU）組成，其中BCU進行信息處理及四輪制動力矩計算等決策，WACU接受上層控制器的指令，可實現輪邊電機獨立控制；執行單元包括制動執行機構、制動信號燈及人機界面；電源系統為EMB系統供電。此外，以上模塊通過CAN網絡進行信息交換。基于該基本架構，進行系統安全分析。

1.2EMB系統邊界

根據ISO26262標準，研究對象為汽車電子電器系統，基于上述EMB系統架構，將電子制動踏板、傳感器陣列、上層和下層控制器以及電源系統納入分析范圍，可以得出系統邊界，如圖1所示。

1.3EMB系統功能需求

EMB系統最基本的功能需求為駕駛員制動需求響應，此外，需引入智能車輛帶來的新需求，如車輛主動制動及穩定性控制；同時，還需實現相關警示信號和制動燈的激活功能。考慮系統為分層控制架構，可將總需求進行逐層分配，綜合可得EMB系統車輛級和系統級的功能需求如圖2。

2EMB系統安全目標等級評估

ISO26262標準中最重要的環節之一就是危險分析和風險評估（hazardanalysisandriskassessment，HARA）[14]，進而確定汽車完整性等級和安全目標。根據HARA分析方法論，可分為4個步驟：場景分析、故障模式分析、危險事件分析及相關汽車安全完整性等級評估、安全目標確定。

2.1場景分析

場景分析過程中，需要考慮道路類型、路面條件、環境因素及駕駛行為狀態，并結合實際的道路交通狀況等因素以推導出合理的功能安全要求[15]。為保證分析的廣泛性，本文場景分析包含車輛常見行駛場景及極端場景，車輛高、中、低速行駛場景以及行駛中遇到不同周邊環境的多種情況，具體如下說明。

道路類型：高速公路、城市道路、盤山公路、交通路口，停車場；

車速：高速（>90km/h）、中速（30～90km/h）、低速（<30km/h）；

周邊環境類型：其他車輛、行人、障礙物；

天氣：晴朗、雨天、冰雪天氣、夜晚。

2.2故障模式

根據標準有6大類常見故障失效模式，分別為：有需求無輸出、無需求有輸出、輸出大于需求、輸出小于需求、輸出與需求相反、輸出異常。結合EMB系統功能需求，可得系統主要故障類型有：制動失效、突發制動、制動疲軟、四輪制動分配異常、制動燈或人機界面顯示異常。

2.3危險事件分析及系統ASIL等級評估

汽車安全完整性等級（automotivesafetyintegrationlevel，ASIL）等級是將故障發生后產生的風險進行了評估和量化，風險越大對應安全要求的級別越高，ASIL等級由低到高分為QM、A、B、C、D。

具體ASIL等級的確定取決于3個基本要素：嚴重度（S）、暴露率（E）和可控性（C）

上述要素可分為多個不同等級[5]，具體劃分標準見表1。

通過以下規則集評估車輛在上述不同駕駛場景發生的各類故障模式，可確定每個風險相應的ASIL等級。

HARA分析時需要同時考慮故障模式和駕駛場景。同樣的危險事件在不同的駕駛場景可能會導致不同后果，所以需要分析系統在不同駕駛場景中，各個功能需求處于不同失效模式時可能會導致的危險事件。

結合駕駛場景及系統需求分析不同故障模式，可得共計640條HARA分析結果，選擇城市道路、中速行駛、道路中有其他車輛/行人、天氣晴朗的場景，分析得出的9條HARA結果如表2中所示。

2.4EMB系統功能安全目標

當安全目標需高于根據具體駕駛環境所確定的S、E、C評估的危險險事件的ASIL等級時，系統的安全目標應取風險中最高等級。根據HARA分析結果可以得到13條安全目標，如表3中所示。

3EMB系統功能安全概念

功能安全概念（functionalsafetyconcept，FSC）是以安全目標為最上層需求，進而制定安全機制，實現功能安全需求（functionalsafetyrequirement，FSR）的逐層分配。

3.1功能安全架構

通過系統功能安全分析，可知EMB系統為ASILD等級。為實現系統安全要求，同時降低系統成本，本文結合傳統硬件冗余方案，添加軟件層的校驗以及通過人機界面進行故障警告顯示，建立三路并行的安全機制，可實現系統在硬件層、軟件層的故障探測和駕駛員對車輛信息的實時獲取，保障車輛安全。

具體安全措施包括硬件方面的傳感器冗余、加設狀態檢測傳感器、電源完全冗余及CAN線冗余的硬件冗余和硬件監測方式；軟件層面對數據進行二次校驗及合理性判斷；系統發生故障后通過人機界面顯示錯誤和警告信息實現人機交互，系統功能安全架構如圖3所示。

3.2EMB系統設計

根據EMB系統基本組成以及上文建立的三路并行的功能安全架構，結合目前應用的制動系統電子電器架構，可以設計出面向應用的EMB系統基本電子電氣架構（electrical/electronicarchitecture，EEA）。

系統相關項定義中已確定了系統基本組成單元，考慮系統的安全機制以及功能安全需求，可對每個功能模塊進行優化和調整。EMB系統具體電子電氣架構如圖4所示。

3.3功能安全需求（FSR）分析

根據系統電子電氣架構及安全目標，可通過安全分析技術分析出系統功能安全需求（FSR），并計算其ASIL等級。此外，考慮實際應用中，較高安全等級的系統零部件制造難度及成本較高，本文按照標準中規定的汽車安全完整性等級分解規則，針對系統較高級別的ASIL等級需求進行分解，ASILD的常用分解規則如式（2）和式（3）所示。

根據ISO26262標準，安全方法有故障樹分析（faulttreeanalysis，FTA）和潛在失效模式與后果分析（failuremodeandeffectsanalysis，FMEA），由于FTA方法對于單點失效和多點失效都適用，而FMEA只適用于單點失效，所以本文采用FTA方法進行安全驗證。這里僅以表3中的SG06功能安全目標為例，建立SG06的故障樹模型如圖5。

硬件冗余、信號校驗機制和錯誤警告的三路并行的安全機制增加了系統可靠性和魯棒性，通過故障樹分析得出EMB系統的功能安全需求，以SG01為例，表4列出了該安全目標的功能安全需求。

通過ASIL分解將系統對某些硬件的高要求轉換為較低的要求或將對硬件的高要求轉換成對軟件和算法的要求，可大幅降低系統成本及制造難度，在應用的可行性及系統成本方面具有顯著優勢。

3.4系統技術安全需求（TSR）分析

根據以上FSR分析結果及系統EE架構，通過安全分析方法將系統的功能安全需求進一步提煉，得出SG01的技術安全需求如表5所示。

基于以上安全分析結果，可知該功能安全架構設計在保障系統可靠性的同時，有效降低了EMB系統對硬件的安全需求，減少了EMB系統的制造難度和成本。

4EMB系統失效控制

4.1EMB系統失效判斷

基于前文所述三路并行的安全機制，可實時檢測系統運行狀態，探測系統故障，又由于該系統為四輪獨立制動，結合安全機制可引入四輪制動故障因子λi來表征四輪故障狀態，進行失效判斷。故障因子的規則如式（4）所示。

其中：i表示不同車輪，即FL、FR、RL、RR，它們分別表示左前輪、右前輪、左后輪、右后輪；Fi表示實際制動力；Fe-i表示期望制動力；Fm-i表示最大制動力。

當車輪可以正常制動時λi=1，如果有導致制動力降低或制動過度的故障發生，λi將根據實際制動力與期望制動力的比值確定，此時λi范圍為0≤λi<1及1<λi≤2。λi的值對應車輪丟失制動力的比例，如λi=0.8時，意味著丟失了20%的制動力。同理，當發生突發制動時，λi的值為2加上多出的制動力與最大制動力之比，λi范圍為2<λi≤3。如當λi=2.2時表示發生了大小為當前最大制動力的20%的非預期制動。

4.2EMB系統失效策略

在前文的功能安全分析中，已得出不同的故障模式及對應ASIL等級，由于較常見的故障為單輪制動力丟失，且EMB系統為四輪獨立制動架構，于是提出利用其余三輪進行整車制動力重構，以滿足車輛制動需求和穩定性控制。由于在制動過程中會發生載荷轉移，所以前輪發生制動異常時會導致更為嚴重的后果，下文以左前輪制動力完全丟失為例（λFL=0）設計失效控制策略。

制動強度為z時，初始制動力為：

其中：m為車輛質量；Fe-front為車輛預期前軸總制動力；Fe-rear為車輛預期后軸總制動力。

當左前輪發生制動力丟失時，為滿足車輛制動強度需求和穩定性需求，基于四輪制動力平衡對其余三輪進行制動力重構，具體分配規則為：

根據（4）式分配規則，可實現在總制動力不變的同時，滿足前后軸、左右側和對角線車輪的制動力均相等，即

在滿足制動強度的基礎上，路面峰值附著系數限制了車輛可實現的最大減速度[16]，因此車輪的最大制動力需滿足約束條件：

根據以上分配規則及約束條件，即可求得余下三輪的重構制動力，右前輪、左后輪及右后輪發生失效后的EMB系統失效策略同左前輪失效。此時滿足總制動力需求及制動力平衡需求，可避免車輛制動能力降低和四輪制動力不平衡帶來的車輛失穩，實際控制效果將在下文驗證。

5失效驗證及分析

5.1EMB系統控制模型

根據系統架構、安全機制和失效控制方案，搭建Simulink與CarSim聯合仿真模型對EMB系統進行測試驗證。模型主要包括制動強度計算、初始制動力分配、故障因子計算以及失效控制模塊。制動強度計算模塊通過分析踏板位移信號、加速度信號和外部制動信號得出制動強度需求；初始制動力計算模塊根據車輛狀態和制動強度，采用理想制動力分配方法進行四輪制動力分配；失效控制模塊根據車輛初始制動力以及故障因子對車輛進行失效后的制動力重構。

模型的控制對象為四輪驅動乘用車，滿載質量為2.5t，車輪滾動半徑310mm，有效摩擦半徑和制動塊摩擦系數分別為166.25mm和0.3，制動盤最大接觸壓力為12MPa。系統控制框圖如下：

5.2故障注入驗證及分析

由SG06的故障樹分析結果可知，制動電機和安全機制的同時失效會違背安全目標，引入失效控制策略，以左前輪制動電機失效為例進行故障注入實驗。

本系統的FTTI時間設為200ms。為驗證EMB系統控制效果，仿真工況設置分為弱制動（z=0.3g）和強制動（z=0.7g）場景，初始車速為100km/h，地面附著系數均設為0.8，仿真時間為故障發生后2s。通過失效控制策略介入前后的車輛制動參數和穩定性參數，驗證安全分析的合理性以及失效控制模塊對系統的控制效果。其中以N_開頭的變量表示無失效控制模塊介入，反之表示失效控制模塊介入，具體仿真結果如下所示。

5.2.1低強度制動，制動強度為0.3g。

根據以上運行結果可知，當左前輪制動力和失效控制模塊同時失效時，會發生較為嚴重的車輛失穩和制動力降低。失效后的車輛制動強度減小至0.21g，最大橫擺角速度達到了4.5°/s以上，橫向偏移也在不斷增大，車輛失穩。當系統失效控制模塊被觸發時，車輛會進入安全狀態，實現對剩下三輪制動力的重新分配，此時，三輪制動力矩不再根據理想制動力的分配規則，而是基于制動強度目標通過失效控制策略進行三輪制動力重構。圖7a為三輪制動力矩變化圖像，由該圖可知，在左前輪發生制動力丟失后，其余3輪制動力在200ms時進行調整。通過圖7b—圖7d可以看出，加入失效控制后，在滿足車輛的減速度為0.3g的同時，車輛在2s內的側向偏移量從3m以上降低至0.5m以下，橫擺角速度也從4.5°/s降低到1.5°/s以內。

5.2.2強制動，制動強度為0.7g

當制動強度較高時，由圖8a和圖8b可知由于車輪抱死，車輛制動力矩發生大幅波動，縱向減速度降為0，且橫擺角速度迅速增加，表明此時無失效控制模塊的車輛發生嚴重的失穩和甩尾；搭載失效控制模塊的車輛右前輪和左后輪的制動力會趨近于制動極限，在附著系數的約束下最終會達到近2kNm的制動力矩，同時，制動強度約在0.4g，橫擺角速度不超過2°/s，表明該控制策略可將車輛維持在可控狀態。

以上結果表明，通過故障樹模型定位出的故障原因確實會導致車輛違背安全目標。此外，通過安全機制探測出故障后，會觸發系統失效控制模塊，失效控制策略可顯著提高車輛的安全性，在安全機制和失效控制模塊正常工作時，系統可在故障發生后進入安全狀態，通過對制動力的重分配保障車輛安全。

6結論

本文完成了智能駕駛背景下的EMB系統相關功能安全分析、系統安全機制和失效控制模塊的設計。

1）確定EMB系統分層控制結構并進行系統相關項定義，確定系統邊界、制定功能需求，包括制動系統基本功能以及智能駕駛環境下的外部制動信號引入和制動力矩協調；

2）在多種場景下進行HARA分析，由此得出ASIL等級，進而確定13條功能安全目標；

3）根據安全目標進行功能安全概念分析，建立硬件冗余，軟件校驗和故障信息顯示警告3種方式結合的新型安全機制，并利用ISO26262標準中的安全分解規則進行ASIL等級分解，建立故障樹模型分析功能安全需求和技術安全需求；

4）基于功能安全分析結果和安全機制的探測，設計系統失效控制系統，利用三輪制動力重構方法來避免制動失效造成的制動力降低及車輛失穩，保障系統發生故障時的安全性。

5）搭建聯合仿真模型，通過故障注入實驗，分析安全機制和失效控制系統被激活后對車輛的影響。實驗結果表明，該安全設計方案可有效提高故障發生時車輛的安全性。