以下文章來源于汽車電子研究院，作者ZZ先生志

一、簡(jiǎn)介

汽車領(lǐng)域正迎來電動(dòng)和智能的新時(shí)代，將線控技術(shù)應(yīng)用于車輛控制成為新的趨勢(shì)。其中，線控制動(dòng)系統(tǒng)（brake-by-wire）是目前智能車輛領(lǐng)域研究的熱點(diǎn)之一。電子機(jī)械制動(dòng)（electronic mechanical brake，EMB）系統(tǒng)應(yīng)用電子控制完全取代了液壓管路，可以實(shí)現(xiàn)制動(dòng)系統(tǒng)的完全解耦，結(jié)構(gòu)更加精簡(jiǎn)，同時(shí)提高了反應(yīng)速度和執(zhí)行效率，便于底盤域控及智能駕駛技術(shù)發(fā)展。但是由于其取消了原有的液壓備份冗余，所以對(duì)系統(tǒng)的可靠性提出了更高的要求，安全成為影響 EMB發(fā)展的關(guān)鍵因素，車輛軟硬件功能安全的要求也越來越高 。國際標(biāo)準(zhǔn)化組織（International Organizationfor Standardization， ISO）于 2011 年發(fā)布了 ISO 26262標(biāo)準(zhǔn)。

開發(fā)合理的線控制動(dòng)技術(shù)控制策略，降低響應(yīng)時(shí)間、提高響應(yīng)精度的同時(shí)，保證功能安全，提高系統(tǒng)可靠性成為智能汽車發(fā)展的關(guān)鍵技術(shù)之一。根據(jù) ISO 26262 標(biāo)準(zhǔn)中的“ V 模型”流程對(duì) EMB 系統(tǒng)進(jìn)行功能安全分析，分析故障發(fā)生的原因和邏輯關(guān)系，以掌握線控制動(dòng)安全控制的關(guān)鍵；進(jìn)行功能安全概念（functional safety concept，F(xiàn)SC）設(shè)計(jì)，建立三路并行的冗余優(yōu)化方案，確定符合安全目標(biāo)的 EMB 系統(tǒng)架構(gòu)，并基于該系統(tǒng)架構(gòu)設(shè)計(jì)失效運(yùn)行策略；最后，搭建聯(lián)合仿真模型進(jìn)行故障注入實(shí)驗(yàn)，驗(yàn)證安全分析的合理性及安全機(jī)制對(duì)系統(tǒng)安全性的影響。

二、EMB系統(tǒng)概述

電子機(jī)械制動(dòng)（EMB）系統(tǒng)由電子踏板單元、傳感器陣列、控制單元、執(zhí)行單元及電源系統(tǒng) 5 大部分組成。

電子踏板單元可以采集駕駛員制動(dòng)意圖并模擬制動(dòng)反饋力矩；

傳感器陣列包括各類傳感器，用來采集車輛狀態(tài)信息；

控制單元采用分層控制架構(gòu)，由1 個(gè)上層決策控制器（brake control unit，BCU）和 4 個(gè)輪邊控制器（wheel acuator control unit，WACU）組成，其中 BCU進(jìn)行信息處理及四輪制動(dòng)力矩計(jì)算等決策，WACU 接受上層控制器的指令，可實(shí)現(xiàn)輪邊電機(jī)獨(dú)立控制；

執(zhí)行單元包括制動(dòng)執(zhí)行機(jī)構(gòu)、制動(dòng)信號(hào)燈及人機(jī)界面；

電源系統(tǒng)為 EMB 系統(tǒng)供電。

此外，以上模塊通過 CAN 網(wǎng)絡(luò)進(jìn)行信息交換?；谠摶炯軜?gòu)，進(jìn)行系統(tǒng)安全分析。

EMB 系統(tǒng)最基本的功能需求為駕駛員制動(dòng)需求響應(yīng)，此外，需引入智能車輛帶來的新需求，如車輛主動(dòng)制動(dòng)及穩(wěn)定性控制；同時(shí)，還需實(shí)現(xiàn)相關(guān)警示信號(hào)和制動(dòng)燈的激活功能。考慮系統(tǒng)為分層控制架構(gòu)，可將總需求進(jìn)行逐層分配，綜合可得 EMB 系統(tǒng)車輛級(jí)和系統(tǒng)級(jí)的功能需求如圖所示。

三、EMB系統(tǒng)功能安全等級(jí)評(píng)估

ISO 26262 標(biāo)準(zhǔn)中最重要的環(huán)節(jié)之一就是危險(xiǎn)分析 和 風(fēng) 險(xiǎn) 評(píng) 估（hazard analysis and risk assessment，HARA），進(jìn)而確定汽車完整性等級(jí)和安全目標(biāo)。根據(jù) HARA 分析方法論，可分為 4 個(gè)步驟：場(chǎng)景分析、故障模式分析、危險(xiǎn)事件分析及相關(guān)汽車安全完整性等級(jí)評(píng)估、安全目標(biāo)確定。

（1）場(chǎng)景分析

場(chǎng)景分析過程中，需要考慮道路類型、路面條件、環(huán)境因素及駕駛行為狀態(tài)，并結(jié)合實(shí)際的道路交通狀況等因素以推導(dǎo)出合理的功能安全要求。為保證分析的廣泛性，本文場(chǎng)景分析包含車輛常見行駛場(chǎng)景及極端場(chǎng)景，車輛高、中、低速行駛場(chǎng)景以及行駛中遇到不同周邊環(huán)境的多種情況，具體如下說明。

道路類型：高速公路、城市道路、盤山公路、交通路口，停車場(chǎng)；

車速：高速（> 90 km/h）、中速（30 ~ 90 km/h）、低速（< 30 km/h）；

周邊環(huán)境類型：其他車輛、行人、障礙物；

天氣：晴朗、雨天、冰雪天氣、夜晚。

（2）故障模式

根據(jù)標(biāo)準(zhǔn)有 6 大類常見故障失效模式，分別為：有需求無輸出、無需求有輸出、輸出大于需求、輸出小于需求、輸出與需求相反、輸出異常。結(jié)合 EMB 系統(tǒng)功能需求，可得系統(tǒng)主要故障類型有：制動(dòng)失效、突發(fā)制動(dòng)、制動(dòng)疲軟、四輪制動(dòng)分配異常、制動(dòng)燈或人機(jī)界面顯示異常。

（3）危險(xiǎn)事件分析及系統(tǒng) ASIL 等級(jí)評(píng)估

汽車安全完整性等級(jí)（automotive safety integrationlevel，ASIL）等級(jí)是將故障發(fā)生后產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行了評(píng)估和量化，風(fēng)險(xiǎn)越大對(duì)應(yīng)安全要求的級(jí)別越高，ASIL等級(jí)由低到高分為 QM、A、B、C、D。具體 ASIL 等級(jí)的確定取決于 3 個(gè)基本要素：嚴(yán)重度 (S)、暴露率 (E) 和可控性 (C)。

上述要素可分為多個(gè)不同等級(jí)，具體劃分標(biāo)準(zhǔn)。

（4）EMB 系統(tǒng)功能安全目標(biāo)

當(dāng)安全目標(biāo)需高于根據(jù)具體駕駛環(huán)境所確定的 S、E、C 評(píng)估的危險(xiǎn)險(xiǎn)事件的 ASIL 等級(jí)時(shí)，系統(tǒng)的安全目標(biāo)應(yīng)取風(fēng)險(xiǎn)中最高等級(jí)。根據(jù) HARA 分析結(jié)果可以得到 13 條安全目標(biāo)，如表中所示。

見表 1