席剛剛，丁宗旭，李初蕾，解光耀

（1.201804 上海市 同濟(jì)大學(xué)；2.201800 上海市 博世華域轉(zhuǎn)向系統(tǒng)有限公司）

0 引言

由于駕駛員注意力不集中導(dǎo)致的事故數(shù)量在整個交通事故的占比不可忽視，在此背景下，自動駕駛技術(shù)應(yīng)運(yùn)而生。汽車電子化、智能化、網(wǎng)聯(lián)化技術(shù)能夠輔助車輛有效避免因駕駛員異常操作帶來的事故，也能進(jìn)一步改善交通狀況[1]。表1 是SAE定義的自動駕駛技術(shù)分類[2]，可知SAE L3 等級下駕駛員可脫開雙手，從而使車輛實現(xiàn)自動轉(zhuǎn)向，EPS 作為自動駕駛車輛的橫向控制器，必須保證橫向控制系統(tǒng)的安全性和可靠性。然而目前自動駕駛同樣存在技術(shù)缺陷，在緊急情況下仍然需要駕駛員接管車輛，這就需要足夠的反應(yīng)時間來讓駕駛員接管方向盤，因此需要降低自動駕駛技術(shù)發(fā)生故障的幾率，即使在出現(xiàn)故障的情況下也能夠安全地控制車輛?；谶@些需求，本文設(shè)計了EPS 的電子硬件系統(tǒng)提高系統(tǒng)在某個電子元器件失效后的穩(wěn)定性；研究軟件方面提升自動駕駛安全性的方案，總結(jié)出開發(fā)的相關(guān)注意事項，對L4、L5 級別的自動駕駛技術(shù)開發(fā)具有參考價值。

表1 SAE 自動駕駛等級劃分Tab.1 SAE autonomous driving classification

1 硬件平臺設(shè)計

1.1 技術(shù)方案

硬件電路是轉(zhuǎn)向系統(tǒng)軟件工作的載體，其中電子元器件較多，發(fā)生故障的幾率較高，常見的故障有角度扭矩傳感器故障、中央處理器（ECU）故障、CAN（Controller Area Network）總線通信故障、執(zhí)行器（電機(jī)）故障、EPS 供電故障等[3]，單個模塊發(fā)生故障后整個硬件系統(tǒng)便會處于癱瘓狀態(tài)。對此，簡單的方案是在車上安裝2 套轉(zhuǎn)向系統(tǒng)，當(dāng)其中一套出現(xiàn)故障時立刻切換到另一套系統(tǒng)[4]。此方案簡單、效果明顯，但是由于成本高昂、安裝空間受限，導(dǎo)致可操作性不高，而且2 套系統(tǒng)之間的切換需要時間。按照中國高速公路規(guī)定的120 km/h 的車速行駛，為保證不出現(xiàn)風(fēng)險，需要2 套系統(tǒng)在10 ms內(nèi)進(jìn)行轉(zhuǎn)換，而機(jī)械部分難以在如此短時間內(nèi)切換。

2 個及2 個以上的子模塊同時發(fā)生故障的幾率較小。設(shè)想集成2 套扭矩傳感器、2 套通訊接口、2 套ECU（包含外圍電路）、2 路供電接口、1 個6 相電機(jī)于一個系統(tǒng)。當(dāng)其中一個子模塊發(fā)生問題時，另一個相同子模塊仍然能夠正常提供信息，保證EPS 在安全范圍內(nèi)工作。圖1 是滿足SAE-L3自動駕駛技術(shù)的硬件系統(tǒng)方案，其中獨立電源1 給ECU1 供電，ECU1 接收傳感器模塊1 的信息并通過CAN 收發(fā)器1 接收整車其他ECU 的信息，用于計算電機(jī)扭矩發(fā)送到電機(jī)控制模塊1，控制其中三相電機(jī)輸出扭矩。同理，ECU2 計算電機(jī)扭矩發(fā)送到電機(jī)控制模塊2，控制另外三相電機(jī)輸出扭矩。

圖1 EPS 硬件冗余方案Fig.1 EPS hardware redundancy scheme

2 套子系統(tǒng)在工作過程中通過IPC（Inter Processor Communication，EPS 內(nèi)部通訊）共享信息，并且2 個ECU 實時校驗來自另一個ECU 的信息。

1.2 硬件冗余平臺可靠性分析

引入概率學(xué)中的馬爾可夫模型分析冗余硬件平臺的可靠性[5]。圖2 是冗余系統(tǒng)中一個子模塊的馬爾可夫模型。其中，λ是該模塊發(fā)生故障的概率，δ是子模塊中發(fā)生的概率被發(fā)現(xiàn)處理的概率。狀態(tài)A 代表該系統(tǒng)開始工作的狀態(tài)即無故障狀態(tài)；狀態(tài)B 代表該模塊發(fā)生了故障并且被發(fā)現(xiàn)，此時系統(tǒng)由于有另一個相同子模塊的存在還能安全工作；狀態(tài)C 是2 個子模塊都被檢測到發(fā)生故障，單系統(tǒng)失效，切換到另一路安全系統(tǒng)中進(jìn)行工作；狀態(tài)D 是該模塊發(fā)生了兩類故障，單系統(tǒng)失效，切換到另一路工作；狀態(tài)E 是發(fā)生了嚴(yán)重故障，導(dǎo)致整個EPS系統(tǒng)無法工作，屬于危險狀態(tài)。

圖2 雙冗余平臺的馬爾科夫模型Fig.2 Markov model for dual redundancy platform

由馬爾可夫模型求得其微分方程：

其中初始條件：

對微分方程進(jìn)行拉普拉斯變換，得

系統(tǒng)的可靠性R（s）為

進(jìn)行拉普拉斯反變化可得

當(dāng)δ=1 時，

參照標(biāo)準(zhǔn)IEC61508，取λ=10-7和λ=10-8，對比雙冗余系統(tǒng)和非冗余系統(tǒng)的可靠性，結(jié)果如圖3所示。雙冗余系統(tǒng)的可靠性遠(yuǎn)超非冗余系統(tǒng)。

圖3 不同故障率下雙冗余和非冗余系統(tǒng)可靠性對比Fig.3 Reliability comparison of dual-redundant and non-redundant systems under different failure rates

1.3 冗余平臺硬件失效性能目標(biāo)

由硬件框圖可知，失效情況簡化為6 類。表2 定義了每種失效情況對應(yīng)的性能表現(xiàn)，設(shè)計目標(biāo)是在單個子模塊失效后至少能夠保證一半的助力輸出，EPS 能夠自動控制轉(zhuǎn)向或者維持一定的安全時間使得駕駛員完成接管方向盤的動作。

表2 冗余EPS 故障容錯狀態(tài)Tab.2 Redundant EPS fault tolerance state

2 軟件冗余控制方案

2.1 系統(tǒng)架構(gòu)

適應(yīng)于硬件冗余平臺，軟件同樣要求冗余控制方案。EPS 工作時，2 個ECU 之間通過IPC 進(jìn)行信息共享，第1 路系統(tǒng)出現(xiàn)軟件故障時，告訴第2 路系統(tǒng)并由本路提供助力。為滿足自動駕駛技術(shù)的EPS 軟件冗余控制方案，在決策層和執(zhí)行層都需要進(jìn)行冗余，即整車ADAS 控制器和EPS 均需要冗余控制。同時上位機(jī)給EPS 的信號必須要滿足ASIL D 等級，由車輛多類型傳感器采集周圍環(huán)境信息及駕駛員的駕駛意圖，反饋給ADAS 模塊進(jìn)行處理，然后給到執(zhí)行器EPS 執(zhí)行轉(zhuǎn)向任務(wù)。

如圖4 所示，ADAS 包含了A 和B 兩個控制器。無通訊故障時，ADAS 中A 和B 兩個控制器同時分別向EPS 的主路和輔路發(fā)送自動駕駛狀態(tài)請求和自動駕駛目標(biāo)齒條位置信號。在軟件中設(shè)計HAD State（Highly Automatic Driving，簡 稱HAD）、RPC（Rack Position Control）、Fader 三個子模塊，其中HAD State 結(jié)合ADAS 模塊請求信息、EPS 自身狀態(tài)、車速信息、方向盤扭矩信息計算自動駕駛軟件的狀態(tài)跳變和故障管理；RPC 模塊基于雙PID（Proportion Integral Derivative）環(huán)計算自動目標(biāo)齒條位置對應(yīng)的電機(jī)扭矩；Fader 基于扭矩傳感器采集到的方向盤扭矩信號的大小及變化率判斷當(dāng)前EPS 的控制方式并計算SFC（Steering Feeling Control）和RPC 控制方式之間的切換時間。

圖4 EPS 自動駕駛技術(shù)系統(tǒng)架構(gòu)Fig.4 EPS autonomous driving technology system architecture

2.2 RPC 控制原理

PID 控制器是Proportional、Integral 和Derivative 的簡稱，控制原理是根據(jù)系統(tǒng)的偏差利用比例、積分和微分計算控制量[6]，然后對系統(tǒng)進(jìn)行控制，特點是結(jié)構(gòu)簡單、工作穩(wěn)定可靠、后期調(diào)試方便。圖5 所示的RPC 控制方式包含了齒條位置PID 環(huán)和齒條速度PID 環(huán)。其中，齒條位置環(huán)作為外環(huán)控制，基于目標(biāo)齒條位置與實際響應(yīng)齒條位置的偏差作為控制對象；對目標(biāo)齒條位置進(jìn)行微分計算得到齒條速度，與實際齒條位置的微分得到的實際齒條速度作差，差值為齒條速度環(huán)的控制對象，因此齒條速度環(huán)為內(nèi)環(huán)控制。RPC 控制模式相比以往的扭矩控制方案（ADAS 模塊請求電機(jī)扭矩）而言，控制精度高，閉環(huán)時間短，響應(yīng)速度快。

圖5 EPS 自動駕駛技術(shù)齒條位置控制Fig.5 EPS automatic driving technology rack position control

經(jīng)雙PID 控制環(huán)后，期望電機(jī)輸出的扭矩為

式中：Tmotor——電機(jī)扭矩；F——扭矩因子；Atarget——目標(biāo)齒條位置；Aactual——實際齒條位置；P，I——PI 控制參數(shù)；Vtarget——目標(biāo)齒條移動速度；Vactual——實際齒條移動速度。

2.3 故障管理及工作原理

設(shè)計表3 所示的EPS 自動駕駛技術(shù)故障管理表。系統(tǒng)在無故障狀態(tài)下運(yùn)行時，EPS 兩個子系統(tǒng)的自動駕駛功能都為可用狀態(tài)。當(dāng)其中一路系統(tǒng)檢測到故障后本路功能不可用，另一路功能降級運(yùn)行。在嚴(yán)重故障下（如兩路系統(tǒng)同時出現(xiàn)故障）后系統(tǒng)才完全退出自動駕駛功能。

表3 EPS 自動駕駛技術(shù)軟件故障管理Tab.3 EPS automatic driving technology software fault management

圖6 是EPS 自動駕駛的工作邏輯圖。EPS 在響應(yīng)ADAS 模塊的自動駕駛請求時，首先檢測是否存在故障，沒有故障及時響應(yīng)，ADAS 的請求開始控制電機(jī)轉(zhuǎn)動實現(xiàn)轉(zhuǎn)向功能。在運(yùn)行過程中會實時檢測故障狀態(tài)，一路系統(tǒng)存在故障后本路系統(tǒng)退出自動駕駛功能，另一路系統(tǒng)降級控制電機(jī)實現(xiàn)自動轉(zhuǎn)向。

圖6 EPS 自動駕駛技術(shù)工作邏輯Fig.6 EPS automatic driving technology working logic

3 EPS 自動駕駛技術(shù)測試

3.1 EPS 響應(yīng)ADAS 請求測試

車輛自身狀態(tài)和周圍環(huán)境滿足自動駕駛需求，且駕駛員按下自動駕駛請求開關(guān)后，ADAS 模塊設(shè)定自動駕駛技術(shù)的請求狀態(tài)為Active，EPS 進(jìn)入自動駕駛控制模式。圖7 是EPS 的響應(yīng)狀態(tài)，可見在條件滿足的情況下EPS 能夠?qū)崿F(xiàn)自動轉(zhuǎn)向功能。

圖7 EPS 自動駕駛技術(shù)響應(yīng)狀態(tài)Fig.7 EPS autonomous driving technology response status

3.2 EPS 自動駕駛軟件冗余測試

在不破壞測試樣件的情況下，制造斷開一路供電線束故障、斷開一路通訊線束故障、斷開一路傳感器故障、2 路ADAS 模塊請求不一致故障。其中2 路ADAS 模塊請求不一致故障的測試結(jié)果如圖8 所示，其余測試結(jié)果總結(jié)于表4。可見，通過設(shè)計EPS 硬件冗余及軟件冗余后，能夠滿足SAE-L3級別的自動駕駛技術(shù)要求。

圖8 EPS 自動駕駛技術(shù)冗余測試結(jié)果Fig.8 EPS autonomous driving technology redundancy test results

表4 EPS 自動駕駛技術(shù)軟件冗余測試結(jié)果匯總Tab.4 EPS autonomous driving technology software redundancy test results summary

4 結(jié)語

本文分析SAE-L3 級別的自動駕駛技術(shù)對EPS系統(tǒng)的要求，通過設(shè)計一套冗余的硬件系統(tǒng)與軟件方案來滿足其要求，并對冗余的硬件系統(tǒng)進(jìn)行可靠性仿真，結(jié)果表明其可靠性相對于單系統(tǒng)有了明顯的提升；設(shè)計了軟件的核心控制方案和故障管理策略；最后測試了EPS 的自動駕駛技術(shù)，結(jié)果表明，在無故障狀態(tài)下EPS 能夠穩(wěn)定響應(yīng)ADAS 模塊進(jìn)行自動轉(zhuǎn)向控制，在一路子系統(tǒng)出現(xiàn)故障后軟件仍能維持另一路繼續(xù)工作，避免由于突然失去轉(zhuǎn)向助力導(dǎo)致的事故發(fā)生。本文設(shè)計的EPS 自動駕駛技術(shù)方案滿足SAE-L3 的技術(shù)要求。