[摘要] 本文对车辆线控转向系统功能安全属性进行研究。线控转向是智能底盘的重要组成部分,参考DIN 70065 《机动车辆 线控转向系统要求》提出了线控转向系统整车实车道路测试方法;解析线控转向功能安全评价指标,从道路测试工况提取道路测试场景进行转化研究,填补国内线控转向系统功能安全整车道路测试方法空白,深入分析功能安全结果,建立线控转向功能安全工况评价指标体系,为整车企业与科研机构对转向功能安全测试评价提供了安全、高效的整车验证测试方法。
[关键词] 线控转向系统;功能安全;道路测试
郭瑞玲
整车测试评价专家,负责GB 21670—2025 《乘用车制动系统技术要求及试验方法》、
GB 17675—2025 《汽车转向系 基本要求》等多项关键线控底盘标准的制修订,
发表论文20余篇,主持多项中汽研汽车检验中心(天津)有限公司课题研究,具有丰富的行业经验。
引言
近年来,随着智能化汽车以及智能驾驶的迅速发展,国内外主机厂对线控转向系统的需求越来越强烈,市场上也出现了线控转向的量产车型。线控转向系统与传统转向系统相比取消了机械连接,采用电子传输方式在转向盘和转向执行器之间传输信号。这种方式的优点在于大大提高了转向系统的响应时间和响应精度,同时实现了驾驶员输入装置与底盘执行器之间的解耦,可以支持实现高级别智能驾驶功能。因此,包括线控转向系统在内的底盘线控系统是自动驾驶落地的基础。在此背景下,越来越多的企业也在快速推进线控转向量产计划,国内外科研院校和机构也积极参与到线控转向技术的开发中,如美国斯坦福大学就开展了硬件环试和主动转向控制策略试验、美国纽约州立大学对人车闭环及容错度的研究非常深入。
我国对线控转向技术研究起步较晚。目前,同济大学采用线控转向技术研发出线控转向四驱微型概念车—— “春晖 III-佳乐”微型电动车[1];武汉理工大学主导研究的《汽车线控转向系统变传动比控制模糊算法与路感》,以模拟分析为主。这些研究尚未在实车上得到应用。对于线控转向变速齿轮比主动控制和倾斜角度速度反馈,北京理工大学的施国标、于蕾艳等进行了深入探究。吉林大学对线控转向系统变动比、稳定性算法、转向轮回正力矩等内容进行了学习。在线控转向系统控制方面,同济大学多个团队都有深入研究,其中,陈辛波团队提出了自适应模糊滑模控制(AFSMC)方法,通过在线模糊自适应系统对系统扰动量进行实时估算,进而减弱控制律中的切换项信号,使控制系统的保守性和振动现象有所降低[2]。除此之外,同济大学熊璐团队通过建立 Leyapnove函数,设计前馈加抗积分饱和状态反馈控制算法,以证明线控转向控制系统的渐进稳定,并提出了一种基于条件积分的方法,以获得期望的转向轮角[3]。
线控转向系统在为驾乘人员提供便利的同时,其系统本身的电气可靠性导致车辆功能失效或性能劣化风险也大大增加。同时,车辆转向系统直接涉及行车安全,对其功能安全等级要求也极为严苛。我国于2021 年实施的 GB17675—2021《汽车转向系统基本要求》标准,对汽车转向系统功能安全性提出强制性要求,即需要审查申报公告的新车型的功能安全开发文件,并进行故障注入试验验证。该标准定义汽车转向系统功能安全目标及其对应的完整性等级(ASIL),以危害分析和风险评估为基础,以汽车系统潜在故障造成的危害程度(1)为依据[4]。但是,对于线控转向系统的功能安全,目前国家标准还没有明确要求。本文参考DIN 70065 要求,对线控转向系统的道路功能安全要求和试验方法进行研究,提出基于实车的线控转向系统功能安全评价方法,并通过试验建立系统评估体系。
1 线控转向系统功能安全规范
DIN 70065要求针对车辆的线控转向系统定义了出现首次故障后,对车辆进行可控性评估。在进行可控性定义时需要考虑线控转向系统的安全目标,并以完整的HARA(危害分析与风险评估)为基础,对特定线控转向系统的可控性评估进行相应的扩展,以满足任何额外的安全目标和安全要求,同时还定义了可控性评估的最小集合。表1是DIN 70065中列出的11类线控转向电子控制系统功能异常及失效类型。
上文提到,每一种失效模式都有可能不采用安全机制,从而导致违背安全目标。根据DIN 70065要求,所有车辆的线控转向系统都应满足安全目标,并达到相应的ASIL等级。线控转向电控系统是否满足功能安全要求,需要对其进行功能失效验证测试,包括结构和功能分析等,这也是应对特定整车危害的重要途径。考虑线控转向电控系统三要素(传感器、控制器和执行器)的故障类型和模拟实现方式,对造成整车危害的关键故障要进行有针对性的测试,即故障注入测试,直接导致车辆性能表现与安全目标相违背。同时,开展包括基于安全分析识别出的典型故障,如首次故障后可控性测试以及车辆在降级和切换过程中横向控制的可控性,以验证安全措施对相关故障的有效覆盖,并对系统和整车进行确认,以实现功能性安全目标。
依据功能安全策略进行功能安全审查评估和抽查试验,以证明转向系统为实现安全目标而制定的策略,符合DIN 70065的要求,确保车辆在正常运行和故障状态下实现功能概念和功能安全概念,同时保证故障报警、冗余功能和降级策略实施。
2 首次故障后的可控性测试
对于DIN 70065标准规定的线控转向系统故障模式影响下的车辆可控性,应在首次故障后通过驾驶操控进行评估。可控测评必须在“司机—车辆”闭环内进行,以此判定驾驶员在操控车辆期间对故障模式的反应。
基于不同故障模式可以制定线控转向系统的整车安全目标以及可能产生的功能异常,包括自转向、转向能力丧失、反馈力矩丧失、转向卡滞以及方向盘转角与车轮转角不同步等,它们会引起整车安全状态的变化,进而影响行车安全。对此,可通过可控性评估对这种故障后的可控性进行测试评价。
可控性评估按ISO 26262 《道路车辆功能安全》规定进行,等级分为:C0(可控)、C1(简单可控)、C2(一般可控)、C3(难以控制或无法控制)。评估中需将与车辆发生故障时可控性相关的失效模式和驾驶操控进行组合测试。可控性评估应对每个失效模式对应的物理量阈值进行确认[5],具体见表2。
这些阈值要根据不同系统和车辆确认,因为不同车型的失效方式所对应的物理目标值有很大的差异。如果相关的失效模式对可控性没有任何特殊要求,即如果评估低于根据ISO 26262 的 C0 和 C1 之间的水平,则认为物理量的阈值已得到确认。如果“失效模式—驾驶操控”组合的可控性评级不低于该阈值,则应减小物理量的相关限制,直到其低于阈值。如果车辆在操作过程中由于失效模式而超出指定的车道线,则应视为可控性不足。由此确定的失效模式物理量阈值,应定义为线控转向系统安全机制要求的输入。
目标车辆动力学参数必须反映“驾驶员—车辆环境”闭环控制中失效模式引起的横向运动干扰程度,包括故障影响以及驾驶员对失效模式的补偿。因此,与没有失效模式影响的曲线相比,合适的参数是横摆率和横向加速度曲线的扰动。
与主观评估类似,对于发生故障的车辆进行基于客观车辆动力学参数的可控性评估,应尽量由多名专业驾驶员进行。在这种情况下,应考虑 “驾驶员—车辆环境”闭环在失效模式影响下的行为,取决于单个驾驶员对失效的补偿表现。按定义的故障模式驾驶操控,评估线控转向系统中首次故障情况下的可控性。
在测试过程中,驾驶员应在不同位置、根据不同驾控掌握方向盘。其中,直行时,应两指转向(拇指和食指),通常支撑肘部;稳态绕圆时,应单手转向,肘部不得支撑;蛇行时,需呈“3+9点钟”手握姿势。
3 车辆在降级和切换过程中横向控制的可控性
线控转向系统车辆在降级和切换过程中的可控性,主要涉及车辆的横向响应性,因此,需要通过一系列转向及操纵稳定性工况进行测试。这些测试定义了车辆在不同降级以及切换时转向性能、车辆可控性以及车辆减速的最低要求,以实现对线控转向性能降级或转换有效且是最小的转向性能的评估。降级理念作为车辆现有安全理念的扩展部分,也描述了安全相关可用性的需求。在实施过程中,还应考虑超出线控转向系统本身的其他方面,包括自动减速(例如通过制动或驱动)、自动紧急制动以及用于车辆横向控制的其他系统。
如果车辆还有横向控制的其他系统(例如制动、驱动、后轴转向),则可以提供这些系统(如有必要,也可以组合使用)作为额外的冗余,以延长可用性。
线控转向电子控制系统针对不同工况下的典型故障,如在满足功能性安全目标要求的情况下,尤其是在高速行驶等典型驾驶场景下,不应出现极端的不可控风险,应能实现监测和应急响应。同时,车辆其他系统应在试验过程中不受故障注入式试验的影响,验证整车试验环境下的故障注入式试验符合极限工况功能安全验证的需求,且在不改变原车系统内部设置的前提下,可有效评价线控转向系统的安全性[6]。线控转向工况类型见表3。
4 线控转向系统故障注入
线控转向电子控制系统(SBW)是一套为驾驶者转向提供动力辅助的控制系统,分为上转控制单元和下转控制单元,两者共同协同控制来自驾驶者的扭矩输入和来自动力辅助电动机的扭矩。本文针对典型SBW系统进行结构分析,梳理潜在失效模式和失效机制,结合测试需求搭建故障注入系统[6]。线控转向故障类型见表4。
故障注入系统根据上述需求,需要对试验车控制器进行传感器信号失效、控制线路短路&断路&虚接、总线通讯失效、电源异常失效等故障的注入试验[7]。
CAN总线故障需要将CAN通信设备串入其中作为网关,在不需要故障注入时只转发信号。当需要输入故障时,接收上位机指令,在收到此故障信号后测试待测系统的反应[8],利用上位机对特定总线信号编辑并注入故障信息;对于CAN总线传输的故障模拟,需将模拟量信号高速采集到控制器系统中,以原始数值输出信号,无需故障注入。在需要进行故障注入时,上位机向信号网关发出指令,同时发送信号的偏移值,信号网关将原始值与偏移值叠加沿输出,产生故障信号。超越范围、信号偏差、信号振荡、信号卡顿等几种方式都可以通过上位机的控制来实现;供电异常故障可通过外接程控电源实现。模拟故障时通过上位机发出异常供电指令,在正常工作状态下为控制器提供电压供电;短路&断路&虚接故障可通过程序控制故障通断箱控制,通过上位机实现模拟故障的任意瞬间和时长。故障注入系统连接具体见图1。
5 结论
德国VDA标准体系提出了适用于评价线控转向系统功能安全的测试标准DIN 70065。该标准与我国标准相比,明确提出线控转向系统的故障注入要求和试验工况要求,规定了首次故障后的可控性以及降级和切换过程中的横向可控性要求,且测试工况与实际工况较为接近,测试操作性较强,可获得复现结果,也提出了参考限值要求[9]。
目前,我国对乘用车常规转向系统功能安全测试研究相对成熟,并制定出台了国家标准、行业标准,但相对线控转向系统功能安全故障注入测试的测试评价研究开展的还较少。线控转向系统作为智能驾驶落地的执行环节,具有不可替代的重要作用,且行业产业化需求十分强烈,从测试和标准层面出发,功能安全测试评价是限制线控转向系统搭载整车落地的最大挑战[10]。
参考文献
[1] 张宏伟,秦孔建,王长园,孟祥坤,郑英东,赵斌.基于故障注入的EPS系统功能安全测试方法. 2019中囯汽车工程学会年会论文集,1793-1796.
[2] 尚世亮,王雷雷,赵向东.基于ISO26262的车辆电子电气系统故障注入测试方法.汽车技术2015(12):49-51,58.
[3] 宁明志,黄凯龙.基于功能安全的FMEDA分析在电子换挡机构中的应用研究.电子设计工程2019:135-139.
[4] 刘巍,赵向东,李幼德,李静,赵健. ESP硬件在环试验平台的研究与开发. 汽车工程, 2007(9):809-811.
[5] 杨国青,厉蒋.基于ISO 26262功能安全标准的汽车电子系统测试方法 上.电子产品世界,2013.4:31-34,38.
[6] 杨国青,厉蒋.基于ISO 26262功能安全标准的汽车电子系统测试方法 中.电子产品世界,2013.5:33-34.
[7] 杨国青,厉蒋.基于ISO 26262功能安全标准的汽车电子系统测试方法 下.电子产品世界,2013.6:39-40,44.
[8] 尚世亮,崔海峰,郭梦鸽,杨春伟.自动化测试在SOTIF开发中的应用.汽车技术, 2018 (11):23-26.
[9] 杨曹刚.汽车ESP故障诊断方法及其控制策略的研究. 长春:吉林大学,2012.
[10] 施继龙.基于解析冗余的ESP故障诊断与容错控制. 长春:吉林大学,2015 .
