魏偉 王建 趙熙熙 焦若愚 孫學銀

（博世華域轉(zhuǎn)向系統(tǒng)有限公司，上海 201821）

主題詞：轉(zhuǎn)向冗余 功能安全 整車測試

縮略語

EPS Electrical Power System（電子助力系統(tǒng)）

TS Torque Sensor(扭矩傳感器)

RPS Rotor Position Sensor(轉(zhuǎn)子位置傳感器)

CS Current Sensor(電流傳感器)

MOSFET Metal-Oxide-Semiconductor Field-Effect Transistor（場效應(yīng)晶體管）

FOC Field-Oriented-Control(電機矢量控制單元)

ECU Engine Control Unit(發(fā)動機控制單元)

SLOA Sudden Loss f Assist(突然失去助力)

ASIL Automotive Safety Integration Level（汽車安全完整性等級）

FIT Failures In Time（失效率）

ASIC Application Specific Integrated Circuit（特殊應(yīng)用集成電路）

ADC Analog-to-Digital Converter（模數(shù)變換器）

GDUGate Drive Unit（門極控制單元）

GND Ground（接地）

PMHF Probabilistic Metric for random Hardware Failures（硬件隨機失效率指標）

MCU Micro Controller Unit（微控制單元）

IPC Inter Processor Communication（進程間通信）

0 前言

隨著汽車智能駕駛技術(shù)的推出，失效可操作性的系統(tǒng)是汽車安全技術(shù)的重要方向。目前國內(nèi)大多數(shù)非冗余轉(zhuǎn)向系統(tǒng)，在硬件失效的情況下，會直接丟失助力。本文介紹了基于三相電機的轉(zhuǎn)向冗余系統(tǒng)，可以實現(xiàn)在電子硬件失效的情況下，進入助力降級方式，從而駕駛員可以更安全的操控車輛。本文從軟件的實現(xiàn)方式以及整車測試兩方面進行了詳細的介紹。

1 EPS冗余架構(gòu)

1.1 冗余系統(tǒng)的硬件結(jié)構(gòu)

圖1描述了EPS非冗余硬件架構(gòu)控制的流程框圖。其中扭矩(TS)、轉(zhuǎn)子位置(PRS)為EPS傳感器信號，車速等為整車總線信號，邏輯控制器計算各功能模塊(助力、回正和阻尼等)所需的電機力矩，通過電機矢量控制單元(FOC)，控制三相電路橋中的晶體管(MOSFETs)的開關(guān)改變電流的大小，達到控制電機輸出扭矩的目的[1]。電流傳感器(CS)會監(jiān)測實際輸出任意兩相的電流，負反饋到ECU進行閉環(huán)補償。RPS的信號會和角度傳感器結(jié)合，輸出轉(zhuǎn)角信號到ECU。

圖1 非冗余EPS結(jié)構(gòu)的控制流程

在非冗余架構(gòu)下，當系統(tǒng)中TS、RPS、CS或電源失效，EPS會突然丟失助力(SLOA，Sudden Loss Of Assist）進入安全狀態(tài)，從而避免發(fā)生人員車輛危害。根據(jù)ISO 26262功能安全標準定義，該系統(tǒng)硬件的隨機失效率≤700 FIT(7×10-7h-1)，即每7×107小時可能發(fā)生一次失效，對應(yīng)SLOA的功能安全等級為ASIL B。

隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展和駕駛輔助功能的推出，失效可操作的系統(tǒng)(Fail-Operational System)是非常有必要的[2]，因為在某些駕駛場景下，SLOA對于駕駛員來說是難于控制的。因此，針對SLOA危害，本文介紹的半冗余EPS系統(tǒng)可以滿足更高ASIL等級。

本文EPS硬件架構(gòu)組成為：TS，RPS，CS冗余設(shè)計，電機為三相電機，整車電源、ECU和總線等為非冗余。工作原理如圖2所示，當TS，RPS傳感器發(fā)生一階失效，EPS系統(tǒng)采用相應(yīng)冗余的傳感器信號來維持EPS系統(tǒng)正常功能或進入安全降級狀態(tài)。當電流傳感器相位差或者幅值監(jiān)測失效時，電流由閉環(huán)控制變?yōu)殚_環(huán)控制。當電路橋中的MOSFETs管短路或者斷路的情況發(fā)生，也有相應(yīng)的機制進行降助力，詳細的工作方式在1.2章節(jié)中介紹。

圖2 半冗余EPS系統(tǒng)的控制流程

1.2 硬件冗余的工作原理

1.2.1 雙TS工作原理

圖3為雙TS工作原理，硬件扭矩傳感器發(fā)送扭桿角信號到ECU，通過扭桿的變形量轉(zhuǎn)換成方向盤的實際扭矩值[3]，雙路上升沿和下降沿扭矩信號通過交叉結(jié)合，Torque1/4的信號傳輸?shù)紼CU后對應(yīng)輸出扭矩值Torque1，Torque2/3的信號對應(yīng)輸出扭矩值Torque2。此外，針對扭矩傳感器的扭矩值量程、梯度變化、傳感器信號丟幀的故障，ECU也運用了相應(yīng)的診斷機制。

單個信號（Power,Torque,GND）錯誤而導(dǎo)致的失效為一階失效，如果任一個TS發(fā)生上述一階故障，EPS系統(tǒng)切換到冗余的TS來維持EPS的正常工作或進入降級的EPS安全狀態(tài)。

圖3 雙扭矩傳感器的工作原理

1.2.2 雙RPS工作原理

圖4是雙轉(zhuǎn)子位置傳感器的工作原理圖，轉(zhuǎn)子位置傳感器相對于定子，通過傳輸、接收器線圈和轉(zhuǎn)子的高頻交變電場(AC)的相互作用，采集SIN/COS角度信號，運用“sin2(angle)+cos2(angle)=1”的檢驗方法，檢驗RPS信號的正確性[4]。隨后通過ASIC專用集成電路進行信號的處理后，進行模擬信號到數(shù)字信號的轉(zhuǎn)換（ADC），輸出轉(zhuǎn)子位置信號，與角度傳感器計算輸出角度信號。

因此SIN/COS信號的檢驗錯誤、ASIC集成電路的失效、或ADC轉(zhuǎn)換的失效，都會導(dǎo)致RPS的失效。當任意一種情況出現(xiàn)時，備用的冗余RPS將會工作。

圖4 雙轉(zhuǎn)子位置傳感器的工作原理

1.2.3 雙CS工作原理

Y接法的三相繞組，需要采樣任何兩相電流[5]，門極控制單元GDU和專用集成電路ASIC會對U，W相電流的幅值和相位差進行監(jiān)測（圖5）。若電流監(jiān)測正常，則信號負反饋到控制單元進行閉環(huán)控制；若發(fā)生一階CS故障，則電機輸出轉(zhuǎn)換成開環(huán)控制；若冗余的電流監(jiān)測也發(fā)生故障，電流的計算值將不會換算為電機扭矩值，EPS系統(tǒng)進入降級的安全狀態(tài)。

圖5 雙電流傳感器測量的原理

1.2.4 三相電路橋的MOSFETs工作原理

三相橋由6個MOSFETs晶體管組成，晶體管KP1和KP2接U相，KP3和KP4接V相，KP5和KP6接W相。KP1、KP3和 KP5組成了陽極（High side），KP2、KP4和KP6組成了陰極（Low side）?？刂齐娏鞴ぷ鲿r，有2個晶體管導(dǎo)通，且必須為一個陽極，一個陰極，從而形成導(dǎo)電回路[6]。于是存在如下6組電流組，IUV，IUW，IVW，IVU，IWU，IWV。圖6舉例說明了當KP4和KP5閉合時的IWV電流導(dǎo)向。

圖6 MOSFETs的工作原理

1.3 硬件失效對應(yīng)的軟件失效模式

按照安全狀態(tài)，EPS不同的軟件失效模式簡單可以分為以下4類：

(1)正常模式（Normal Mode），沒有錯誤出現(xiàn)，EPS可以正常提供助力。

(2)跛行回家模式(Limp Home Mode),在一階失效情況下，在可標定的多個點火周期內(nèi)EPS可以提供全部助力或進入降級的EPS安全狀態(tài)，駕駛員可以將車緩慢開回家。

(3)跛行?？磕Ｊ?Limp Aside Mode),在二階失效的情況下，EPS在有限的時間內(nèi)可以提供部分助力，駕駛員可以將車緩慢移到路邊。

(4)錯誤模式(Error mode),例如本文介紹的為單電機系統(tǒng)，當電機失效的情況下，EPS將無法提供助力。

根據(jù)硬件類型，失效階次的不同，定義失效模式如表1所示。

表1 硬件失效對于軟件的失效模式

1.3.1 單一TS,RPS，CS失效模式

當TC、RPS或CS出現(xiàn)一階失效時，系統(tǒng)會進入Limp Home狀態(tài)，轉(zhuǎn)向助力會按照標定的梯度下降到標定的百分比。此外，一旦超過標定的點火周期或公里數(shù)范圍，當車輛啟動后，EPS會直接進入Error狀態(tài)，切掉助力，促使駕駛員更換零件，以避免出現(xiàn)二階失效。具體的3種表現(xiàn)如下圖7、圖8和圖9。

圖7 一階失效在當前點火周期的失效模式

圖8 一階失效出現(xiàn)在小于標定的點火周期前的失效模式

轉(zhuǎn)向系統(tǒng)在當前點火周期駕駛過程中出現(xiàn)TS,RPS或CS一階失效。

一階失效已經(jīng)出現(xiàn)在前點火周期，小于標定的點火周期，啟動車輛后，轉(zhuǎn)向系統(tǒng)進入Limp Home狀態(tài)。

圖9 一階失效超過在標定的點火周期后的失效模式

一階失效(TS,RPS,CS)超過標定的點火周期，啟動車輛后，系統(tǒng)直接進入Error狀態(tài)。

1.3.2 雙TS、RPS、CS，以及MOSFETs失效模式

當兩個扭矩傳感器，轉(zhuǎn)子位置傳感器或電流傳感器同時失效，或電路橋的結(jié)晶體管MOSFETs出現(xiàn)開路或者短路時，系統(tǒng)會直接進入到Limp Aside狀態(tài)（圖10）。

圖10 雙TS,RPS,CS或MOSFETs短路或斷路的失效模式

一階失效(TS,RPS,CS)小于標定的點火周期內(nèi)出現(xiàn)二階失效,會從Limp Home進入到Limp Aside模式（圖11）。

圖11 二階TS,RPS,CS失效模式

當雙硬件失效后，EPS無法感知真實的手力、轉(zhuǎn)子位置或電流信號，助力表現(xiàn)模式也將不同，于章節(jié)1.4.2～1.4.7詳細介紹。

1.4 失效模式對應(yīng)的EPS表現(xiàn)

1.4.1 一階失效EPS助力表現(xiàn)

當一階扭矩傳感器、轉(zhuǎn)子位置傳感器或電流傳感器失效時，由于冗余系統(tǒng)可以正常工作，EPS最高可以提供100%助力，或按標定的梯度下降到標定的助力百分比。為了駕駛員可以舒適的到達目的地，助力百分比標定為70%以上（圖12）。

圖12 一階TS、RPS和CS失效助力表現(xiàn)

1.4.2 雙TS失效EPS助力表現(xiàn)

當雙扭矩傳感器都失效時，系統(tǒng)將無法提供有效的手力請求值，從而無法計算具體需要電機輸出的助力大小。從而根據(jù)軟件邏輯（圖13），最后一刻的電機助力Mmot1經(jīng)過t1時間迅速下降到可標定的助力Mmot2,按照標定的梯度經(jīng)過t2時間下降到無助力，此段

式中，Mmot2安全轉(zhuǎn)向的扭矩值(Nm)，g為下降梯度。

圖13 雙TS失效助力表現(xiàn)

1.4.3 雙RPS失效EPS助力表現(xiàn)

當雙RPS失效后，轉(zhuǎn)子位置傳感器將不再提供轉(zhuǎn)子位置的信號，因此計算出的轉(zhuǎn)子速度、轉(zhuǎn)角和轉(zhuǎn)角速度信號都無效，此時有如下2種助力下降模式（圖14）。

圖14 雙RPS失效助力表現(xiàn)

（1）手力的梯度小于標定值x：認為駕駛員干預(yù)程度小，駕駛環(huán)境可控，以小梯度下降助力到0。

（2）手力的梯度大于標定值x：認為駕駛員干預(yù)車輛，比如變道，EPS將直接切斷助力。

1.4.4 雙CS失效EPS助力表現(xiàn)

當雙電流傳感器失效后，不再能提供輸出的電流信號，系統(tǒng)將進入Limp Aside狀態(tài)，根據(jù)標定的梯度，下降到標定的助力百分比，保持一段時間以同樣的梯度下降到無助力，系統(tǒng)進入Error狀態(tài)（圖15）。

1.4.5 MOSFET斷路EPS助力表現(xiàn)

當其中一相，例如U發(fā)現(xiàn)斷路時(圖16)，只有剩余的VW兩相可以正常工作，系統(tǒng)此時仍然可以提供約65%(2/3)的助力。

圖15 雙CS失效助力表現(xiàn)

圖16 單相斷路的示意

當其中一相斷路發(fā)生的時候，系統(tǒng)進入Limp Aside狀態(tài)（圖17），首先系統(tǒng)判斷是哪一相出現(xiàn)斷路，根據(jù)特性EPS系統(tǒng)的助力會降到約65%，接下來再根據(jù)標定的梯度，下降到標定的助力百分比，保持一段時間以同樣的梯度下降到無助力，系統(tǒng)進入Error狀態(tài)。

圖17 單相斷路的助力表現(xiàn)

1.4.6 MOSFET陽極短路EPS助力表現(xiàn)

當其中一相的陽極發(fā)生短路時，例如KP1，此時的電流回路為圖18，單相電極管可以流通，由于U相的陽極始終工作，所以只有兩種電流導(dǎo)向，IUV和IUW。所以系統(tǒng)此時只可以提供約35%(1/3)的助力。

圖18 MOSFET陽極短路的電流流向

當陽極短路發(fā)生時（圖19），根據(jù)特性，EPS系統(tǒng)的助力會無梯度的下降到35%，進入到Limp Aside狀態(tài)。接下來會有2種情況：

圖19 MOSFET陽極短路的助力表現(xiàn)

（1）持續(xù)根據(jù)軟件標定的時間t，再下降到0%，進入Error狀態(tài)。

（2）在時間t內(nèi)，如果滿足如下3個條件之一，系統(tǒng)將直接進入Error狀態(tài)。這3個條件是可標定的，且滿足其一即可。

（1）車速＜10 km/h，該車速在可控范圍，且無安全隱患。

（2）轉(zhuǎn)角＜5°，此外車輛可以等效為直行，幾乎沒有助力輸出，可以直接切斷助力。

（3）轉(zhuǎn)子速度＞500 r/min，當轉(zhuǎn)速過快時，機械助力相對更安全。

1.4.7 MOSFET陰極短路EPS助力表現(xiàn)

當其中一相的陰極發(fā)生短路時，此時的電流回路如圖20，單相電極管不可以回流，且由于一相的陽極和陰極同一時間只可以有一個MOSFET開關(guān)閉合，所以U相將不再工作，等效于U相斷路。系統(tǒng)此時可以提供約65%的助力。

圖20 MOSFET陰極短路的電流流向

由于其等效于單相短路，所以具體的助力表現(xiàn)同圖18。

2 整車模擬EPS冗余系統(tǒng)失效測試

2.1 整車測試方法

隨著系統(tǒng)結(jié)構(gòu)和功能的增加，軟件電子架構(gòu)變得越來復(fù)雜，系統(tǒng)集成測試是V模型開發(fā)中的一環(huán)，對于開發(fā)的整車子系統(tǒng)功能驗證和車輛可控性驗證，起著至關(guān)重要的作用。

臺架測試可以驗證不同失效模式下的軟件策略是否符合軟件需求。整車測試主要驗證在不同的駕駛工況和不同的失效模式下，車輛的可控性以及駕駛員是否存在潛在安全風險。

2.1.1 測試工況

當失效發(fā)生時，如果車輛處于直行或者低車速，即使切斷助力，駕駛操作認為是可控的。表2介紹了整車驗證的4個涉及轉(zhuǎn)向的失效測試工況。

表2 冗余失效測試工況

2.1.2 測試方法

基于通用GM項目某個車型完成了整車測試驗證。第一步先安裝測試設(shè)備（表3），接下來考慮到安全因素，首先在原地進行失效的注入，驗證轉(zhuǎn)向系統(tǒng)是否可以按軟件標定的邏輯去執(zhí)行。確保軟件邏輯的正確后，在上述提到的4個工況，分別在轉(zhuǎn)彎過程中注入一階和二階TS、RPS和CS錯誤，以及MOSFETs短路和斷路錯誤，記錄相應(yīng)的數(shù)據(jù)，駕駛員給予車輛反應(yīng)和手力反應(yīng)的主觀評分。通常認為手力超過60 N·m，駕駛員會有脫手方向盤的可能，是不可接受的狀態(tài)。

表3 實驗所需設(shè)備列表

2.2 整車測試客觀數(shù)據(jù)

下面的數(shù)據(jù)展示了當失效發(fā)生時，系統(tǒng)的助力百分比，或者電機力矩的變化。下圖的變量:

TotalMotTorLim代表系統(tǒng)請求的電機輸出力矩百分比，紅色體現(xiàn)。

StateOfInjection代表注入的狀態(tài)，狀態(tài)0-1代表失效注入的過程，紫色體現(xiàn)。

LimitedMotorTorque代表電機實際輸出的力矩，綠色體現(xiàn)。

SteeringAngle代表方向盤轉(zhuǎn)角，橙色體現(xiàn)。

2.2.1 一階失效測試

實驗項目中，當一階TS、RPS或CS失效發(fā)生時，標定的下降梯度為100%，所以當一階失效注入后，轉(zhuǎn)向系統(tǒng)不會有任何變化，冗余系統(tǒng)可以全助力工作(圖 21)。

圖21 一階失效的測試數(shù)據(jù)

2.2.2 雙通道失效測試

當雙TS失效發(fā)生時，電機力矩首先會下降到標定的安全力矩0.7 N·m，再以標定的梯度下降到0 N·m(圖 22)。

圖22 雙TS失效的測試數(shù)據(jù)

如章節(jié)1.4.3介紹，雙RPS失效有2種下降方式。試驗項目標定的力矩梯度邊界值為20 N·m/ms，代表當手力的梯度大于該值時，系統(tǒng)以標定的梯度20%/ms進行下降，當手力的梯度小于該值時，系統(tǒng)以標定的梯度2%/ms進行下降。

當執(zhí)行如上轉(zhuǎn)向工況，手力的梯度大于標定值，電機輸出按照設(shè)定的下降梯度20%/ms下降，經(jīng)過5 ms，助力下降到0。圖23中時間為50 ms，是由于采樣頻率不夠所導(dǎo)致。

圖23 雙RPS失效的測試數(shù)據(jù)

圖24所示，當雙CS失效發(fā)生時，電機輸出按照設(shè)定的力矩百分比50%/s，經(jīng)過1 s下降到50%的助力，然后經(jīng)過時間t，再以50%/s的下降速度經(jīng)過1 s下降到0。

由于CS失效的Limp Aside時間標定值為10 s，所以時間t=8 s。

圖24 雙CS失效的測試數(shù)據(jù)

2.2.3 MOSFETs失效測試

當給予MOSFETs斷路或者陰極短路的失效時，因為和雙電流傳感器失效的標定值一樣，所以數(shù)據(jù)的體現(xiàn)也是一致的，同圖24。不同的是，由于電機特性，當發(fā)生失效時，驅(qū)動電路只有兩相可以正常工作，另一相處于開路，電機最大只能提供65%左右的電機扭矩。圖25是MOSFETs陽極短路的測試數(shù)據(jù)，其中紅色曲線是系統(tǒng)請求的助力比例，而實際的助力輸出是紅色曲線乘65%的結(jié)果。

當執(zhí)行轉(zhuǎn)向工況給予MOSFETs陽極短路的失效時,轉(zhuǎn)子速度為:

式中，VRotor為轉(zhuǎn)子速度，Vsw為轉(zhuǎn)向速度，i為蝸輪蝸桿的傳動比，θ為轉(zhuǎn)角，t為時間。

由于轉(zhuǎn)子速度超過了標定值500 r/min，所以系統(tǒng)會立刻采取圖20的第二種下降方式，立刻下降到0%。

3 全冗余系統(tǒng)的展望

未來隨著SAE L3級別以上自動駕駛的實現(xiàn)，系統(tǒng)取代駕駛員作為外部環(huán)境的監(jiān)控與執(zhí)行者，按功能安全等級ASIL D的定義，EPS硬件隨機失效率指標（PMHF）需達到10 FIT[7]。為滿足功能安全目標，除本文介紹的扭矩傳感器、位置傳感器和電流傳感器冗余外，系統(tǒng)的MCU、電機、整車電源、驅(qū)動電路和整車通訊總線均需全冗余設(shè)計。

圖25 MOSFETs陽極短路的測試數(shù)據(jù)

圖26為EPS全冗余硬件結(jié)構(gòu)圖，其中MCU為雙芯片設(shè)計，左右為雙通道設(shè)計，單通道中扭矩、位置、總線和電源信號輸入單獨MCU獨立工作。雙MCU間為IPC（Inter Processor Communication）交互。冗余電機采用12相電機設(shè)計，單通道扭矩信號、CAN通訊失效后，電機能保持100%電機性能。單個MCU失效、單個RPS失效、單個電源失效和IPC通訊切斷后，EPS系統(tǒng)處于降級安全狀態(tài)，電機最大可提供50%的電機扭矩。

圖26 基于十二相電機全冗余設(shè)計的結(jié)構(gòu)

4 結(jié)論

本文介紹的基于三相電機的半冗余系統(tǒng)，包含冗余的力矩傳感器，轉(zhuǎn)子位置傳感器和電流傳感器。在電子硬件出現(xiàn)錯誤后，系統(tǒng)可以進入失效可操作的安全降級狀態(tài)，相對于直接切斷助力，駕駛員可以更好的控制車輛。當一階失效發(fā)生時，系統(tǒng)會進入跛行回家模式，采用冗余的硬件工作，可提供全助力或按照要求下降到安全的助力百分比。在雙硬件失效或三相電路橋的MOSFETs發(fā)生短路或斷路時，系統(tǒng)會進入跛行停靠模式，在短時間內(nèi)仍可提供部分助力。