熊璐，汪陽光，廣學(xué)令，徐松云

(1.同濟(jì)大學(xué)汽車學(xué)院，上海201804;2.同濟(jì)大學(xué)新能源汽車工程中心，上海201804)

0 前言

電動(dòng)汽車的發(fā)展給制動(dòng)系統(tǒng)帶來變革，電動(dòng)汽車裝配了大功率驅(qū)動(dòng)電機(jī)，可以回收制動(dòng)能量，線控制動(dòng)將是未來一個(gè)方向［1］。制動(dòng)系統(tǒng)朝著智能化和電子化方向發(fā)展，電子液壓制動(dòng)系統(tǒng)成為國(guó)內(nèi)外研究熱點(diǎn)。

電子液壓制動(dòng)系統(tǒng)功能需求包括液壓力主動(dòng)調(diào)節(jié)、踏板感覺模擬、失效保護(hù)設(shè)計(jì)3個(gè)部分。失效保護(hù)設(shè)計(jì)是電子液壓制動(dòng)設(shè)計(jì)的一個(gè)難點(diǎn)。

國(guó)外對(duì)電子液壓系統(tǒng)已經(jīng)有一定的研究，而且推出相關(guān)的產(chǎn)品，這些產(chǎn)品都有自己的失效保護(hù)設(shè)計(jì)。Bosch的HAS hev系統(tǒng)失效保護(hù)設(shè)計(jì)初始階段通過制動(dòng)踏板活塞把制動(dòng)液推入到主缸前腔，后階段通過踏板活塞機(jī)械式推動(dòng)主缸前腔活塞;TRW的SCB系統(tǒng)失效保護(hù)設(shè)計(jì)初始階段通過制動(dòng)踏板活塞把制動(dòng)液推入到輪缸，后階段通過踏板活塞機(jī)械式推動(dòng)主缸活塞;Toyota的ECB系統(tǒng)失效保護(hù)設(shè)計(jì)直接通過制動(dòng)踏板活塞把制動(dòng)液推入到4個(gè)輪缸里面去;日立的EDIB系統(tǒng)失效保護(hù)設(shè)計(jì)直接通過制動(dòng)踏板推桿克服空行程后推主缸活塞［2-4］。國(guó)內(nèi)對(duì)電子液壓制動(dòng)系統(tǒng)研究更多為理論性研究，關(guān)于電子液壓制動(dòng)系統(tǒng)失效設(shè)計(jì)以及基于ISO26262研究電子液壓制動(dòng)系統(tǒng)失效非常少［5］。

首先針對(duì)制動(dòng)安全法規(guī)提出了電子液壓制動(dòng)系統(tǒng)失效保護(hù)設(shè)計(jì)的結(jié)構(gòu)方案，通過AMESim驗(yàn)證了方案的可行性，然后基于ISO26262分析汽車制動(dòng)系統(tǒng)及其子系統(tǒng)的ASIL評(píng)級(jí)要求，對(duì)系統(tǒng)方案的電子電控單元包括ECU、電機(jī)、傳感器進(jìn)行了功能性安全設(shè)計(jì)，最后通過臺(tái)架實(shí)驗(yàn)驗(yàn)證了方案符合制動(dòng)法規(guī)要求，以及對(duì)ECU電源檢測(cè)模塊和踏板位移傳感器檢測(cè)模塊做的功能安全設(shè)計(jì)有效。

1 電子液壓制動(dòng)系統(tǒng)失效保護(hù)方案設(shè)計(jì)與驗(yàn)證

電子液壓制動(dòng)系統(tǒng)主要由制動(dòng)踏板、踏板力反饋機(jī)構(gòu)、主動(dòng)動(dòng)力源、主缸、ESC、輪缸、電磁閥、管路組成，它們的拓?fù)潢P(guān)系如圖1所示。

系統(tǒng)在正常工作模式下，制動(dòng)踏板的踏板感覺由踏板模擬器產(chǎn)生，控制器根據(jù)制動(dòng)踏板產(chǎn)生的角位移或者踏板力信號(hào)控制主動(dòng)動(dòng)力源與主缸之間的相互作用，從而產(chǎn)生目標(biāo)液壓力。失效模式下，制動(dòng)踏板需要將踏板力傳遞到主缸推桿上。

電子液壓制動(dòng)系統(tǒng)失效情況包括子系統(tǒng)的單一失效和多個(gè)子系統(tǒng)同時(shí)失效。單一失效由主動(dòng)動(dòng)力源失效、踏板模擬器失效、電磁閥失效、制動(dòng)管路失效;多種失效即為單一失效組合排列。其中對(duì)電子液壓制動(dòng)系統(tǒng)影響最大的主要有主動(dòng)動(dòng)力源單一失效，主動(dòng)動(dòng)力源和液壓管路雙重失效。在主動(dòng)動(dòng)力源失效的情況下要求系統(tǒng)進(jìn)入失效模式，制動(dòng)踏板力能夠傳遞到主缸推桿上，踏板模擬器不再模擬踏板感覺。

基于上面的分析設(shè)計(jì)了解耦式電子液壓制動(dòng)系統(tǒng)，主動(dòng)動(dòng)力源由電機(jī)和減速機(jī)構(gòu)組成，踏板模擬器用兩段彈簧模擬。系統(tǒng)的電磁閥1為常開電磁閥，電磁閥2為常閉電磁閥，電磁閥3為線性比例閥。系統(tǒng)分為正常工作模式和失效工作模式。其方案如圖2、3所示。

圖2 電子液壓制動(dòng)系統(tǒng)正常工作模式

正常工作模式下，如圖2所示，當(dāng)制動(dòng)強(qiáng)度較小時(shí)，全部由驅(qū)動(dòng)電機(jī)產(chǎn)生相應(yīng)的制動(dòng)力矩，電子液壓制動(dòng)系統(tǒng)不產(chǎn)生液壓制動(dòng)力，駕駛員踩下制動(dòng)踏板時(shí)，電磁閥1通電關(guān)閉，電磁閥2通電打開，電磁閥3通過PWM控制電磁閥的開和關(guān)，次級(jí)主缸的制動(dòng)液注入到踏板模擬器，產(chǎn)生踏板模擬感覺，同時(shí)次級(jí)主缸活塞推桿通過調(diào)整機(jī)構(gòu)作用在解耦缸活塞推桿上，解耦缸制動(dòng)液經(jīng)過電磁閥2流進(jìn)儲(chǔ)液罐，解耦缸實(shí)現(xiàn)制動(dòng)踏板和主缸的之間解耦作用。當(dāng)制動(dòng)強(qiáng)度較大時(shí)，由驅(qū)動(dòng)電機(jī)和電子液壓制動(dòng)系統(tǒng)共同產(chǎn)生相應(yīng)的制動(dòng)力矩，駕駛員踩下制動(dòng)踏板時(shí)，電磁閥1通電關(guān)閉，電磁閥2通電打開，電磁閥3由PWM控制，電子液壓制動(dòng)系統(tǒng)的電機(jī)根據(jù)踏板位移信號(hào)和驅(qū)動(dòng)電機(jī)的制動(dòng)力矩信號(hào)產(chǎn)生相應(yīng)的力矩，經(jīng)過減速機(jī)構(gòu)作用在主缸上。

失效模式下，如圖3所示，系統(tǒng)斷電，電磁閥1斷電打開，電磁閥2斷電關(guān)閉。駕駛員踩下制動(dòng)踏板，次級(jí)主缸制動(dòng)液經(jīng)過電磁閥1注入到儲(chǔ)液罐，駕駛員的踏板力經(jīng)過解耦缸、齒條作用到主缸推桿上，推動(dòng)主缸活塞，建立壓力。

圖3 電子液壓制動(dòng)系統(tǒng)失效模式

從上述設(shè)計(jì)的方案可知，在電子液壓制動(dòng)系統(tǒng)失效保護(hù)設(shè)計(jì)過程中，需考慮以下幾點(diǎn):(1)失效模式下，駕駛員踏板力隨時(shí)能夠傳遞到制動(dòng)主缸上，完成對(duì)電子液壓制動(dòng)系統(tǒng)的失效保護(hù)。(2)失效模式下，踏板模擬器對(duì)制動(dòng)踏板的反作用力需要得到釋放。(3)電子液壓制動(dòng)系統(tǒng)需要一個(gè)空行程，留給驅(qū)動(dòng)電機(jī)回收制動(dòng)能量。

根據(jù)上面設(shè)計(jì)的方案，在AMESim建立仿真模型，如圖4所示。

圖4 電子液壓制動(dòng)系統(tǒng)AMESim模型

分別對(duì)系統(tǒng)的正常工作模式和失效模式下進(jìn)行仿真，得到了踏板位移、踏板力、主缸液壓力的曲線，圖5、6分別給出系統(tǒng)正常工作模式下的仿真結(jié)果和電機(jī)單一失效模式下的仿真結(jié)果。

圖5 電子液壓制動(dòng)系統(tǒng)正常工作模式仿真結(jié)果

圖6 電子液壓制動(dòng)系統(tǒng)失效模式仿真結(jié)果

仿真結(jié)果表明，正常工作模式下，輸入是位移信號(hào)，位移信號(hào)查表得到目標(biāo)壓力與反饋的實(shí)際壓力的差值通過PID控制，仿真結(jié)果顯示目標(biāo)壓力和實(shí)際壓力控制誤差只有0.03 MPa。位移信號(hào)經(jīng)過踏板杠杠比的作用輸入給次級(jí)主缸的活塞，次級(jí)主缸和踏板模擬器聯(lián)合起來作用模擬踏板感覺，其中踏板模擬器用兩段彈簧，仿真結(jié)果顯示出的兩段踏板反饋力能夠很好的模擬踏板感覺，在1 s處的微小抖動(dòng)與液體可壓縮性、次級(jí)主缸、踏板模擬器、主缸、輪缸里的橡膠件等特性有關(guān)。失效模式下，電機(jī)不工作，輸入的是500 N的踏板力，可以看到主缸的液壓力3.93 MPa。

2 基于ISO26262的電子液壓制動(dòng)系統(tǒng)失效分析

2.1 基于ISO26262的電子制動(dòng)系統(tǒng)要求

ISO26262是從IEC61508發(fā)展而來，具體針對(duì)汽車行業(yè)的電氣設(shè)備、電子器件，旨在提高它們的產(chǎn)品功能安全。它給出了汽車及其子系統(tǒng)的ASIL評(píng)級(jí)標(biāo)準(zhǔn)。ASIL評(píng)級(jí)標(biāo)準(zhǔn)由發(fā)生危險(xiǎn)工況對(duì)駕駛員或者其他交通參與人員傷害的嚴(yán)重性 (S0～S3)，危險(xiǎn)工況發(fā)生的概率 (E1～E4)，危險(xiǎn)工況的可控性 (C0～C3)這3個(gè)參數(shù)決定。

ASIL評(píng)級(jí)分成A，B，C，D這4個(gè)等級(jí)，其中A代表最低風(fēng)險(xiǎn)，D代表最高風(fēng)險(xiǎn)，QM代表與質(zhì)量管理相關(guān)，一般的質(zhì)量管理就足夠安全，不需要其他的功能安全設(shè)計(jì)［6］。這些分類在表1和表2中給出。

表1 ASIL中S，E，C分類

表2 根據(jù)S，E，C的ASIL評(píng)級(jí)

首先評(píng)估出汽車在不同的駕駛工況中ASIL評(píng)級(jí)，制動(dòng)系統(tǒng)失效在不同行駛工況下，S和C通常都評(píng)定為S3和C3。而制動(dòng)系統(tǒng)失效在不同的行駛工況下，E評(píng)級(jí)不同，即制動(dòng)系統(tǒng)失效發(fā)生概率不同。在城市工況、郊區(qū)工況、高速工況和停車操作工況下通常都評(píng)定為E4，在通過隧道和冰面行駛以及倒車工況分別評(píng)定為E3，E2，E1。表3給出汽車在不同行駛工況下對(duì)制動(dòng)系統(tǒng)失效的ASLI評(píng)級(jí)［7］。

表3 不同行駛工況下制動(dòng)系統(tǒng)失效的ASIL評(píng)級(jí)

可以看到制動(dòng)系統(tǒng)的失效ASIL評(píng)級(jí)是D，同時(shí)可以把這評(píng)級(jí)分解到這套電子液壓制動(dòng)系統(tǒng)各個(gè)子系統(tǒng)，子系統(tǒng)包括ECU模塊評(píng)級(jí)，傳感器模塊評(píng)級(jí)，電機(jī)模塊評(píng)級(jí)，機(jī)械液壓系統(tǒng)評(píng)級(jí)。表4給出各個(gè)子系統(tǒng)的評(píng)級(jí)目標(biāo)。下面將從子系統(tǒng)進(jìn)行失效分析，旨在提高系統(tǒng)的安全性和可靠性。

表4 各個(gè)子系統(tǒng)ASIL評(píng)級(jí)目標(biāo)

3 基于ISO26262的電子液壓制動(dòng)系統(tǒng)子系統(tǒng)失效分析與功能安全性設(shè)計(jì)

3.1 ECU失效分析

根據(jù)ISO26262 5總結(jié)一些常見的硬件失效，包括繼電器失效、處理器編譯過程中錯(cuò)誤執(zhí)行代碼、電源失效等。

其中處理器失效診斷方法有通過利用硬件的某一個(gè)通道，設(shè)計(jì)軟件自己測(cè)試，這樣只能達(dá)到ASIL B的評(píng)級(jí);也可以通過在軟件之間相互比較兩者的結(jié)果;也可以通過設(shè)計(jì)雙核的處理器，分別運(yùn)算繼而比較兩者之間的結(jié)果，這樣可以達(dá)到ASIL D的評(píng)級(jí)。

其中程序的順序邏輯監(jiān)控可以用看門狗對(duì)處理器運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，這樣可以達(dá)到ASIL B的評(píng)級(jí);也可以通過邏輯順序監(jiān)控，這樣可以達(dá)到ASIL B的評(píng)級(jí);也可以通過結(jié)合時(shí)序和邏輯序列進(jìn)行監(jiān)控，這樣可以達(dá)到ASIL D的評(píng)級(jí)。

其中電源的失效診斷方法通過另外的芯片對(duì)電源信號(hào)進(jìn)行采樣輸入，設(shè)定門限值進(jìn)行監(jiān)控，如果采樣不在門限值范圍內(nèi)則驅(qū)動(dòng)系統(tǒng)進(jìn)行失效保護(hù)模式。

通過上面的分析可以對(duì)控制器的結(jié)構(gòu)框架進(jìn)行設(shè)計(jì)，其中主控制器由3塊芯片組成［6］，它們分別為A，B，C。其中A是主處理器，負(fù)責(zé)信號(hào)的采樣輸入，控制邏輯運(yùn)算，CAN報(bào)文的發(fā)送;B作為A的補(bǔ)充和輔佐，對(duì)外圍設(shè)備進(jìn)行監(jiān)控，包括冗余計(jì)算監(jiān)控，任務(wù)處理監(jiān)控。這樣的架構(gòu)設(shè)計(jì)可以對(duì)失效進(jìn)行診斷，同時(shí)還能達(dá)到ASIL D的評(píng)級(jí)要求。C用來對(duì)ECU和電機(jī)的電源進(jìn)行監(jiān)控，同時(shí)它與B之間也進(jìn)行數(shù)據(jù)和信息的交換，它負(fù)責(zé)驅(qū)動(dòng)系統(tǒng)進(jìn)入失效保護(hù)模式，系統(tǒng)斷電，同時(shí)報(bào)警，提醒駕駛員。圖7給出ECU的架構(gòu)設(shè)計(jì)。

圖7 ECU架構(gòu)設(shè)計(jì)

3.2 電機(jī)失效分析

經(jīng)過前期的理論計(jì)算和參數(shù)選型，電機(jī)采用的是永磁同步電機(jī)，永磁同步電機(jī)主要由永磁同步電機(jī)、逆變器、位置檢測(cè)裝置和控制單元組成。它的失效主要分為電氣失效和機(jī)械失效。其中電氣失效包括定子繞組失效，逆變器失效，傳感器失效;機(jī)械失效包括轉(zhuǎn)子退磁，電機(jī)過熱等。其中定子繞組故障會(huì)引起轉(zhuǎn)矩的降低，逆變器故障會(huì)引起電機(jī)關(guān)閉，傳感器故障會(huì)引起電磁轉(zhuǎn)矩的脈動(dòng)，與實(shí)際需求力矩不符［8-9］。

永磁同步電機(jī)中逆變器主要實(shí)現(xiàn)直流交流功率的轉(zhuǎn)換，位置檢測(cè)裝置用來獲取轉(zhuǎn)子的轉(zhuǎn)角和轉(zhuǎn)速，控制單元通過對(duì)轉(zhuǎn)子位置傳感器信號(hào)的信息按照一定的控制策略產(chǎn)生控制信號(hào)，來控制逆變器輸出的三相電流的頻率，幅值和相位，圖8給出電機(jī)的結(jié)構(gòu)框架。根據(jù)ISO26262可以用多路信號(hào)對(duì)電機(jī)失效進(jìn)行診斷，根據(jù)電機(jī)的三相電流反饋出電機(jī)的實(shí)際輸出力矩和實(shí)際需求力矩在ECU里進(jìn)行比較，如果結(jié)果一樣，表示系統(tǒng)工作正常;如果不一樣，系統(tǒng)報(bào)警，提示電機(jī)失效，同時(shí)系統(tǒng)進(jìn)入到失效工作模式。

圖8 永磁同步電機(jī)框架

3.3 傳感器失效

駕駛員的制動(dòng)意圖通過傳感器信號(hào)發(fā)送到控制器、傳感器的信號(hào)正確與否對(duì)系統(tǒng)能否正常工作至關(guān)重要。傳感器失效情況分為產(chǎn)生錯(cuò)誤的信號(hào)和不能產(chǎn)生信號(hào)兩種情況［10］。

ISO26262 5對(duì)失效診斷的方法有通過監(jiān)測(cè)傳感器在特定條件下 (傳感器上下電)是否工作來判斷失效;對(duì)多路輸入信號(hào)進(jìn)行比較;使用參考傳感器。其中用特定條件監(jiān)測(cè)傳感器信號(hào)來判斷傳感器是否失效診斷比例低，因?yàn)樗荒芘袛鄠鞲衅魇欠窆ぷ鳎荒芘袛鄠鞲衅餍盘?hào)正確與否。對(duì)多路輸入信號(hào)進(jìn)行比較采用多個(gè)傳感器同時(shí)采集信號(hào)，實(shí)時(shí)比較大小，超過門限值可以判定失效，診斷失效比例高。使用參考傳感器是通過一個(gè)獨(dú)立的參考傳感器間歇的檢測(cè)輸入信號(hào)，從而判斷傳感器失效，診斷比例高。

通過上面分析，選擇對(duì)多路輸入信號(hào)進(jìn)行比較的方法，踏板處采用兩路角位移傳感器器，用踏板模擬器的液壓力傳感器間歇的檢測(cè)輸入信號(hào)，首先系統(tǒng)對(duì)三路采樣的傳感器信號(hào)進(jìn)行比較，如果大小在誤差范圍之內(nèi)，默認(rèn)三路傳感器輸出一樣，傳感器正常工作。如果大小不在誤差范圍之內(nèi)，系統(tǒng)選擇一路最大信號(hào)發(fā)給ECU，同時(shí)系統(tǒng)報(bào)警，提示傳感器失效?？傮w來說這樣可以大大降低單個(gè)傳感器功能安全風(fēng)險(xiǎn)等級(jí)，角位移傳感器的評(píng)級(jí)達(dá)到ASIL D，液壓力傳感器的評(píng)級(jí)達(dá)到ASIL B就可以。圖9給出位移傳感器失效診斷方法，圖10給出位移傳感器失效診斷邏輯框架圖。

圖9 位移傳感器失效診斷方法

圖10 位移傳感器失效診斷邏輯

X1，X2，F(xiàn)1分別代表兩路角位移傳感器，一路踏板模擬器液壓力傳感器。

3.4 機(jī)械液壓結(jié)構(gòu)部分失效

傳統(tǒng)汽車制動(dòng)系統(tǒng)失效原因主要有兩個(gè)方面，一是制動(dòng)系統(tǒng)的部件損壞和故障，即部件失效，具體包括制動(dòng)踏板及其支架、主缸及其活塞、輪缸及其活塞對(duì)汽車制動(dòng)性能起到關(guān)鍵作用的重要部件，通常它們具有足夠的尺寸，強(qiáng)度和可靠性，視為不易失效的零部件，而部件失效是指除這些不易失效的零部件之外其他部件損壞導(dǎo)致的行車制動(dòng)失效。二是管路的破損導(dǎo)致的失效，即能量失效。能量失效包括管路漏液，破裂斷損等導(dǎo)致儲(chǔ)存的能量部分或者全部泄漏，這種情況失效容易導(dǎo)致制動(dòng)性能急劇降低［11］。

與傳統(tǒng)汽車制動(dòng)系統(tǒng)相比，這套電子液壓制動(dòng)系統(tǒng)中易失效的部件是ECU、電機(jī)、傳感器、電磁閥及管路。針對(duì)ECU、電機(jī)、傳感器這些易失效的部件進(jìn)行了失效分析和功能性安全性設(shè)計(jì)，而系統(tǒng)的雙管路布置又能很好解決管路失效等帶來制動(dòng)力減小問題，同時(shí)滿足法規(guī)對(duì)應(yīng)急制動(dòng)的要求，管路的漏液或者破裂由主缸的液面檢測(cè)傳感器告知駕駛員。

4 失效實(shí)驗(yàn)

為驗(yàn)證方案的可行性，搭建了電子液壓制動(dòng)系統(tǒng)的臺(tái)架，其中主缸、制動(dòng)器、軟管、硬管沿用某款車型的配件。圖11給出電子液壓制動(dòng)系統(tǒng)的臺(tái)架。

圖11 電子液壓制動(dòng)系統(tǒng)臺(tái)架

根據(jù)ECER13的制動(dòng)法規(guī)要求:制動(dòng)系統(tǒng)在失效情況下，踏板力不超過500 N時(shí)，制動(dòng)減速度不小于2.44 m/s2，結(jié)合該款車型實(shí)車實(shí)驗(yàn)得知，制動(dòng)減速度不超過2.44 m/s2對(duì)應(yīng)要求輪缸的壓力1.9 MPa?；谇懊娣治觯謩e做單一電機(jī)失效，電機(jī)和制動(dòng)管路一個(gè)支路都失效兩種工況下的多組實(shí)驗(yàn)。圖12、13給出2種工況下電子液壓制動(dòng)系統(tǒng)的輪缸液壓力變化情況。

圖12 電機(jī)單一失效工況

圖13 電機(jī)和制動(dòng)管路一個(gè)支路都失效工況

實(shí)驗(yàn)結(jié)果顯示，在電機(jī)單一失效，踏板力不超過500 N的情況下，統(tǒng)計(jì)多組數(shù)據(jù)顯示輪缸液壓力平均達(dá)到3.465 MPa，符合法規(guī)要求，其中踏板力從500 N緩慢減小的情況下，輪缸液壓力沒有減少，這與系統(tǒng)的庫倫摩擦力和靜摩擦力有關(guān);在電機(jī)和制動(dòng)管路某一支路失效的情況下，統(tǒng)計(jì)多組數(shù)據(jù)顯示輪缸液壓力達(dá)到3.443 MPa，符合法規(guī)要求，其中踏板位移較大，這個(gè)與管路失效有關(guān)。

針對(duì)ECU的電源失效保護(hù)設(shè)計(jì)，在控制器里設(shè)計(jì)電源信號(hào)監(jiān)控模塊，ECU的工作電壓為6～16 V，超出這個(gè)電壓范圍，令電機(jī)停止工作，同時(shí)提示駕駛員。實(shí)驗(yàn)中用滑動(dòng)變阻器模擬電壓輸入，監(jiān)控模塊實(shí)時(shí)監(jiān)控電壓，同時(shí)給出電機(jī)是否停止工作的信號(hào)。實(shí)驗(yàn)結(jié)果如圖13所示。

圖14 電源檢測(cè)模塊實(shí)驗(yàn)

電源檢測(cè)模塊在2.28 s的時(shí)候檢測(cè)到電源輸出電壓信號(hào)超過6 V，電機(jī)工作信號(hào)是1，控制電機(jī)工作。在2.49 s的時(shí)候檢測(cè)到電壓輸出信號(hào)超過16 V，電機(jī)工作信號(hào)是0，停止電機(jī)工作，同時(shí)提醒駕駛員電源失效。在4.73 s的時(shí)候檢測(cè)到電壓輸出信號(hào)低于16 V，電機(jī)工作信號(hào)是1，電機(jī)工作。

針對(duì)傳感器的失效保護(hù)設(shè)計(jì)，在控制器里設(shè)計(jì)傳感器的監(jiān)控模塊，實(shí)驗(yàn)中采用的是滑動(dòng)變阻器模擬兩路角位移傳感器和一路踏板模擬器液壓力信號(hào)，設(shè)定誤差傳感器誤差門限值為1 V，監(jiān)控模塊實(shí)時(shí)采集三路模擬信號(hào)進(jìn)行運(yùn)算。當(dāng)三路模擬信號(hào)不超過誤差1 V時(shí)，監(jiān)控模塊輸出三路模擬信號(hào)的最大值;當(dāng)三路模擬信號(hào)超過誤差1 V時(shí)，輸出模擬信號(hào)最大值，同時(shí)給出傳感器工作不正常的提示信號(hào)。實(shí)驗(yàn)結(jié)果如圖14所示。

圖15 傳感器檢測(cè)模塊實(shí)驗(yàn)

實(shí)驗(yàn)結(jié)果表明，0.295 s的時(shí)候，兩路位移傳感器輸入之差的絕對(duì)值沒有超過設(shè)定的誤差范圍，它們和液壓力傳感器輸入之差的絕對(duì)值超過設(shè)定的誤差范圍，傳感器輸出它們中最大的信號(hào)，同時(shí)，提示駕駛員傳感器工作不正常。在0.665 s的時(shí)候液壓力傳感器輸入和最大的位移傳感器輸入之差的絕對(duì)值沒有超過設(shè)計(jì)設(shè)定的誤差范圍，提示駕駛員傳感器工作正常。

5 結(jié)論

(1)為提高汽車制動(dòng)安全性，提出電子液壓制動(dòng)系統(tǒng)失效保護(hù)設(shè)計(jì)的方案，同時(shí)通過臺(tái)架實(shí)驗(yàn)進(jìn)行驗(yàn)證，證明它能滿足制動(dòng)法規(guī)要求。

(2)為提高系統(tǒng)的可靠性和安全性，對(duì)電子液壓制動(dòng)系統(tǒng)進(jìn)行失效分析，同時(shí)結(jié)合ISO26262對(duì)電子液壓制動(dòng)系統(tǒng)進(jìn)行功能安全設(shè)計(jì)，使用失效診斷比例很高的診斷方法對(duì)電子液壓制動(dòng)的子系統(tǒng)進(jìn)行失效診斷，使其達(dá)到很高的ASIL評(píng)級(jí)，同時(shí)通過實(shí)驗(yàn)驗(yàn)證了電源檢測(cè)模塊和傳感器檢測(cè)模塊的有效性。

［1］林逸，沈沉，王軍，等.汽車線控制動(dòng)技術(shù)及發(fā)展［J］.汽車技術(shù)，2005(12):1-3.

［2］楊妙樑.豐田普銳斯混合動(dòng)力車制動(dòng)系統(tǒng)的發(fā)展［J］.汽車與配件，2010(35):23-25.

［3］FEIGEL H O R.Integrated Brake System without Compromises in Functionality［J］.ATZ worldwide，2012，114(7-8):46-50.

［4］OSHIMA T，F(xiàn)UJIKI N，NAKAO S，et al.Development of an Electrically Driven Intelligent Brake System［J］.SAE International Journal of Passenger Cars-Mechanical Systems，2011，4(1):399-405.

［5］趙海濤.汽車電子液壓制動(dòng)系統(tǒng)跟隨特性的實(shí)驗(yàn)研究［D］.長(zhǎng)春:吉林大學(xué)，2011.

［6］ISO26262.RoadVehicle-Functional Safety International Organization for Standardization，2011.

［7］LEE K J，KI Y H，AHN H S，et al.Functional Safety Compliant ECU Design for Electro-Mechanical Brake(EMB)System［R］.SAE Technical Paper，2013.

［8］鄔肖鵬，劉飛，熊璐，等.ISO26262標(biāo)準(zhǔn)下永磁同步電機(jī)故障對(duì)整車安全性的影響分析［J］.汽車技術(shù)，2013(2):13-18.

［9］JI Xuewu，GE Jingguang，TIAN Hongliang.Reliability Improvement of Electric Power Steering System Based on ISO 26262［C］//Quality，Reliability，Risk，Maintenance，and Safety Engineering(QR2MSE)，2013 International Conference，2013:125-129.

［10］CHEON J，KIM J，JEON J，et al.Brake By Wire Functional Safety Concept Design for ISO/DIS 26262［R］.SAETechnical Paper，2011.

［11］王兆.行車制動(dòng)失效條件下的性能和結(jié)構(gòu)要求［J］.天津汽車，2005(5):12-15.