程洁 郑凯 秦嘉 吴晓东

关键词：智能车辆;电子机械制动（EMB）系统；功能安全；冗余设计；线控制动；汽车安全完整性等级（ASIL）

汽车领域正迎来电动和智能的新时代，将线控技术应用于车辆控制成为新的趋势。其中，线控制动系统（brake-by-wire）是目前智能车辆领域研究的热点之一[1]。电子机械制动（electronicmechanicalbrake，EMB）[2-3]系统应用电子控制完全取代了液压管路，可以实现制动系统的完全解耦，结构更加精简，同时提高了反应速度和执行效率，便于底盘域控及智能驾驶技术发展。但是由于其取消了原有的液压备份冗余，所以对系统的可靠性提出了更高的要求，安全成为影响EMB发展的关键因素，车辆软硬件功能安全的要求也越来越高[4]。国际标准化组织（InternationalOrganizationforStandardization，ISO）于2011年发布了ISO26262标准[5-7]。

从标准制定以来，已有许多国内外学者及企业进行了相关研究。ZHUNDongbin等设计了符合ISO26262功能安全的纯电动汽车制动能量系统，进行了系统级三层监控架构设计和再生制动安全子系统设计[8]，但是没有进行电子电气架构的具体设计；Kuen-LongLeu基于ISO26262功能安全概念主要进行了智能线控制动系统（intelligentbrake-by-wiresystem，IBBWS）设计和分析[9]，没有提出系统冗余方案及安全机制；ZHANGJingming等建立故障树分析电动汽车线控四轮独立制动系统的5种故障模式，设计了硬件冗余措施[10]，但是缺乏基于软件层面的安全措施；李国兴提出四轮独立制动系统结构下理想制动力的分配方法及策略[11]，但未考虑智能驾驶对线控制动系统提出的新要求。N.Mullner等基于仿真安全测试，提出将自车制动系统结合道路多车协同制动保证交通安全的策略[12]，缺乏重点分析单车制动系统的安全需求及系统设计。

开发合理的线控制动技术控制策略，降低响应时间、提高响应精度的同时，保证功能安全，提高系统可靠性成为智能汽车发展的关键技术之一[13]。本文根据ISO26262标准中的“V模型”流程对EMB系统进行功能安全分析，分析故障发生的原因和逻辑关系，以掌握线控制动安全控制的关键；进行功能安全概念（functionalsafetyconcept，FSC）设计，建立三路并行的冗余优化方案，确定符合安全目标的EMB系统架构，并基于该系统架构设计失效运行策略；最后，搭建联合仿真模型进行故障注入实验，验证安全分析的合理性及安全机制对系统安全性的影响。本研究面向智能驾驶场景，对线控制动系统提供基于功能安全标准的分析，并根据分析结果进行安全机制的设计及验证，可以给未来实际应用的EMB系统设计提供参考。

1EMB系統相关项定义

ISO26262标准中，概念分析的第1步就是相关项（item）定义，该步骤定义了系统范围，可为后续分析奠定基础。

1.1EMB系统概述

电子机械制动（EMB）系统由电子踏板单元、传感器阵列、控制单元、执行单元及电源系统5大部分组成。电子踏板单元可以采集驾驶员制动意图并模拟制动反馈力矩；传感器阵列包括各类传感器，用来采集车辆状态信息；控制单元采用分层控制架构，由1个上层决策控制器（brakecontrolunit，BCU）和4个轮边控制器（wheelacuatorcontrolunit，WACU）组成，其中BCU进行信息处理及四轮制动力矩计算等决策，WACU接受上层控制器的指令，可实现轮边电机独立控制；执行单元包括制动执行机构、制动信号灯及人机界面；电源系统为EMB系统供电。此外，以上模块通过CAN网络进行信息交换。基于该基本架构，进行系统安全分析。

1.2EMB系统边界

根据ISO26262标准，研究对象为汽车电子电器系统，基于上述EMB系统架构，将电子制动踏板、传感器阵列、上层和下层控制器以及电源系统纳入分析范围，可以得出系统边界，如图1所示。

1.3EMB系统功能需求

EMB系统最基本的功能需求为驾驶员制动需求响应，此外，需引入智能车辆带来的新需求，如车辆主动制动及稳定性控制；同时，还需实现相关警示信号和制动灯的激活功能。考虑系统为分层控制架构，可将总需求进行逐层分配，综合可得EMB系统车辆级和系统级的功能需求如图2。

2EMB系统安全目标等级评估

ISO26262标准中最重要的环节之一就是危险分析和风险评估（hazardanalysisandriskassessment，HARA）[14]，进而确定汽车完整性等级和安全目标。根据HARA分析方法论，可分为4个步骤：场景分析、故障模式分析、危险事件分析及相关汽车安全完整性等级评估、安全目标确定。

2.1场景分析

场景分析过程中，需要考虑道路类型、路面条件、环境因素及驾驶行为状态，并结合实际的道路交通状况等因素以推导出合理的功能安全要求[15]。为保证分析的广泛性，本文场景分析包含车辆常见行驶场景及极端场景，车辆高、中、低速行驶场景以及行驶中遇到不同周边环境的多种情况，具体如下说明。

道路类型：高速公路、城市道路、盘山公路、交通路口，停车场；

车速：高速（>90km/h）、中速（30～90km/h）、低速（<30km/h）；

周边环境类型：其他车辆、行人、障碍物；

天气：晴朗、雨天、冰雪天气、夜晚。

2.2故障模式

根据标准有6大类常见故障失效模式，分别为：有需求无输出、无需求有输出、输出大于需求、输出小于需求、输出与需求相反、输出异常。结合EMB系统功能需求，可得系统主要故障类型有：制动失效、突发制动、制动疲软、四轮制动分配异常、制动灯或人机界面显示异常。

2.3危险事件分析及系统ASIL等级评估

汽车安全完整性等级（automotivesafetyintegrationlevel，ASIL）等级是将故障发生后产生的风险进行了评估和量化，风险越大对应安全要求的级别越高，ASIL等级由低到高分为QM、A、B、C、D。

具体ASIL等级的确定取决于3个基本要素：严重度（S）、暴露率（E）和可控性（C）

上述要素可分为多个不同等级[5]，具体划分标准见表1。

通过以下规则集评估车辆在上述不同驾驶场景发生的各类故障模式，可确定每个风险相应的ASIL等级。

HARA分析时需要同時考虑故障模式和驾驶场景。同样的危险事件在不同的驾驶场景可能会导致不同后果，所以需要分析系统在不同驾驶场景中，各个功能需求处于不同失效模式时可能会导致的危险事件。

结合驾驶场景及系统需求分析不同故障模式，可得共计640条HARA分析结果，选择城市道路、中速行驶、道路中有其他车辆/行人、天气晴朗的场景，分析得出的9条HARA结果如表2中所示。

2.4EMB系统功能安全目标

当安全目标需高于根据具体驾驶环境所确定的S、E、C评估的危险险事件的ASIL等级时，系统的安全目标应取风险中最高等级。根据HARA分析结果可以得到13条安全目标，如表3中所示。

3EMB系统功能安全概念

功能安全概念（functionalsafetyconcept，FSC）是以安全目标为最上层需求，进而制定安全机制，实现功能安全需求（functionalsafetyrequirement，FSR）的逐层分配。

3.1功能安全架构

通过系统功能安全分析，可知EMB系统为ASILD等级。为实现系统安全要求，同时降低系统成本，本文结合传统硬件冗余方案，添加软件层的校验以及通过人机界面进行故障警告显示，建立三路并行的安全机制，可实现系统在硬件层、软件层的故障探测和驾驶员对车辆信息的实时获取，保障车辆安全。

具体安全措施包括硬件方面的传感器冗余、加设状态检测传感器、电源完全冗余及CAN线冗余的硬件冗余和硬件监测方式；软件层面对数据进行二次校验及合理性判断；系统发生故障后通过人机界面显示错误和警告信息实现人机交互，系统功能安全架构如图3所示。

3.2EMB系统设计

根据EMB系统基本组成以及上文建立的三路并行的功能安全架构，结合目前应用的制动系统电子电器架构，可以设计出面向应用的EMB系统基本电子电气架构（electrical/electronicarchitecture，EEA）。

系统相关项定义中已确定了系统基本组成单元，考虑系统的安全机制以及功能安全需求，可对每个功能模块进行优化和调整。EMB系统具体电子电气架构如图4所示。

3.3功能安全需求（FSR）分析

根据系统电子电气架构及安全目标，可通过安全分析技术分析出系统功能安全需求（FSR），并计算其ASIL等级。此外，考虑实际应用中，较高安全等级的系统零部件制造难度及成本较高，本文按照标准中规定的汽车安全完整性等级分解规则，针对系统较高级别的ASIL等级需求进行分解，ASILD的常用分解规则如式（2）和式（3）所示。

根据ISO26262标准，安全方法有故障树分析（faulttreeanalysis，FTA）和潜在失效模式与后果分析（failuremodeandeffectsanalysis，FMEA），由于FTA方法对于单点失效和多点失效都适用，而FMEA只适用于单点失效，所以本文采用FTA方法进行安全验证。这里仅以表3中的SG06功能安全目标为例，建立SG06的故障树模型如图5。

硬件冗余、信号校验机制和错误警告的三路并行的安全机制增加了系统可靠性和鲁棒性，通过故障树分析得出EMB系统的功能安全需求，以SG01为例，表4列出了该安全目标的功能安全需求。

通过ASIL分解将系统对某些硬件的高要求转换为较低的要求或将对硬件的高要求转换成对软件和算法的要求，可大幅降低系统成本及制造难度，在应用的可行性及系统成本方面具有显著优势。

3.4系统技术安全需求（TSR）分析

根据以上FSR分析结果及系统EE架构，通过安全分析方法将系统的功能安全需求进一步提炼，得出SG01的技术安全需求如表5所示。

基于以上安全分析结果，可知该功能安全架构设计在保障系统可靠性的同时，有效降低了EMB系统对硬件的安全需求，减少了EMB系统的制造难度和成本。

4EMB系统失效控制

4.1EMB系统失效判断

基于前文所述三路并行的安全机制，可实时检测系统运行状态，探测系统故障，又由于该系统为四轮独立制动，结合安全机制可引入四轮制动故障因子λi来表征四轮故障状态，进行失效判断。故障因子的规则如式（4）所示。

其中：i表示不同车轮，即FL、FR、RL、RR，它们分别表示左前轮、右前轮、左后轮、右后轮；Fi表示实际制动力；Fe-i表示期望制动力；Fm-i表示最大制动力。

当车轮可以正常制动时λi=1，如果有导致制动力降低或制动过度的故障发生，λi将根据实际制动力与期望制动力的比值确定，此时λi范围为0≤λi<1及1<λi≤2。λi的值对应车轮丢失制动力的比例，如λi=0.8时，意味着丢失了20%的制动力。同理，当发生突发制动时，λi的值为2加上多出的制动力与最大制动力之比，λi范围为2<λi≤3。如当λi=2.2时表示发生了大小为当前最大制动力的20%的非预期制动。

4.2EMB系统失效策略

在前文的功能安全分析中，已得出不同的故障模式及对应ASIL等级，由于较常见的故障为单轮制动力丢失，且EMB系统为四轮独立制动架构，于是提出利用其余三轮进行整车制动力重构，以满足车辆制动需求和稳定性控制。由于在制动过程中会发生载荷转移，所以前轮发生制动异常时会导致更为严重的后果，下文以左前轮制动力完全丢失为例（λFL=0）设计失效控制策略。

制动强度为z时，初始制动力为：

其中：m为车辆质量；Fe-front为车辆预期前轴总制动力；Fe-rear为车辆预期后轴总制动力。

当左前轮发生制动力丢失时，为满足车辆制动强度需求和稳定性需求，基于四轮制动力平衡对其余三轮进行制动力重构，具体分配规则为：

根据（4）式分配规则，可实现在总制动力不变的同时，满足前后轴、左右侧和对角线车轮的制动力均相等，即

在满足制动强度的基础上，路面峰值附着系数限制了车辆可实现的最大减速度[16]，因此车轮的最大制动力需滿足约束条件：

根据以上分配规则及约束条件，即可求得余下三轮的重构制动力，右前轮、左后轮及右后轮发生失效后的EMB系统失效策略同左前轮失效。此时满足总制动力需求及制动力平衡需求，可避免车辆制动能力降低和四轮制动力不平衡带来的车辆失稳，实际控制效果将在下文验证。

5失效验证及分析

5.1EMB系统控制模型

根据系统架构、安全机制和失效控制方案，搭建Simulink与CarSim联合仿真模型对EMB系统进行测试验证。模型主要包括制动强度计算、初始制动力分配、故障因子计算以及失效控制模块。制动强度计算模块通过分析踏板位移信号、加速度信号和外部制动信号得出制动强度需求；初始制动力计算模块根据车辆状态和制动强度，采用理想制动力分配方法进行四轮制动力分配；失效控制模块根据车辆初始制动力以及故障因子对车辆进行失效后的制动力重构。

模型的控制对象为四轮驱动乘用车，满载质量为2.5t，车轮滚动半径310mm，有效摩擦半径和制动块摩擦系数分别为166.25mm和0.3，制动盘最大接触压力为12MPa。系统控制框图如下：

5.2故障注入验证及分析

由SG06的故障树分析结果可知，制动电机和安全机制的同时失效会违背安全目标，引入失效控制策略，以左前轮制动电机失效为例进行故障注入实验。

本系统的FTTI时间设为200ms。为验证EMB系统控制效果，仿真工况设置分为弱制动（z=0.3g）和强制动（z=0.7g）场景，初始车速为100km/h，地面附着系数均设为0.8，仿真时间为故障发生后2s。通过失效控制策略介入前后的车辆制动参数和稳定性参数，验证安全分析的合理性以及失效控制模块对系统的控制效果。其中以N_开头的变量表示无失效控制模块介入，反之表示失效控制模块介入，具体仿真结果如下所示。

5.2.1低强度制动，制动强度为0.3g。

根据以上运行结果可知，当左前轮制动力和失效控制模块同时失效时，会发生较为严重的车辆失稳和制动力降低。失效后的车辆制动强度减小至0.21g，最大横摆角速度达到了4.5°/s以上，横向偏移也在不断增大，车辆失稳。当系统失效控制模块被触发时，车辆会进入安全状态，实现对剩下三轮制动力的重新分配，此时，三轮制动力矩不再根据理想制动力的分配规则，而是基于制动强度目标通过失效控制策略进行三轮制动力重构。图7a为三轮制动力矩变化图像，由该图可知，在左前轮发生制动力丢失后，其余3轮制动力在200ms时进行调整。通过图7b—图7d可以看出，加入失效控制后，在满足车辆的减速度为0.3g的同时，车辆在2s内的侧向偏移量从3m以上降低至0.5m以下，横摆角速度也从4.5°/s降低到1.5°/s以内。

5.2.2强制动，制动强度为0.7g

当制动强度较高时，由图8a和图8b可知由于车轮抱死，车辆制动力矩发生大幅波动，纵向减速度降为0，且横摆角速度迅速增加，表明此时无失效控制模块的车辆发生严重的失稳和甩尾；搭载失效控制模块的车辆右前轮和左后轮的制动力会趋近于制动极限，在附着系数的约束下最终会达到近2kNm的制动力矩，同时，制动强度约在0.4g，横摆角速度不超过2°/s，表明该控制策略可将车辆维持在可控状态。

以上结果表明，通过故障树模型定位出的故障原因确实会导致车辆违背安全目标。此外，通过安全机制探测出故障后，会触发系统失效控制模块，失效控制策略可显著提高车辆的安全性，在安全机制和失效控制模块正常工作时，系统可在故障发生后进入安全状态，通过对制动力的重分配保障车辆安全。

6结论

本文完成了智能驾驶背景下的EMB系统相关功能安全分析、系统安全机制和失效控制模块的设计。

1）确定EMB系统分层控制结构并进行系统相关项定义，确定系统边界、制定功能需求，包括制动系统基本功能以及智能驾驶环境下的外部制动信号引入和制动力矩协调；

2）在多种场景下进行HARA分析，由此得出ASIL等级，进而确定13条功能安全目标；

3）根据安全目标进行功能安全概念分析，建立硬件冗余，软件校验和故障信息显示警告3种方式结合的新型安全机制，并利用ISO26262标准中的安全分解规则进行ASIL等级分解，建立故障树模型分析功能安全需求和技术安全需求；

4）基于功能安全分析结果和安全机制的探测，设计系统失效控制系统，利用三轮制动力重构方法来避免制动失效造成的制动力降低及车辆失稳，保障系统发生故障时的安全性。

5）搭建联合仿真模型，通过故障注入实验，分析安全机制和失效控制系统被激活后对车辆的影响。实验结果表明，该安全设计方案可有效提高故障发生时车辆的安全性。