机电制动(EMB)系统的具体架构与功能要求、车辆控制要求以及冗余要求相关。以下基于 ISO 26262 功能安全所要求的系统架构设计流程 进行简要分析:
危害分析:首先通过基于严重程度、暴露概率和可控性这三个因素,对车辆和子系统层面的危害进行系统评估,来确定汽车安全完整性等级(ASIL)。如图 36 所示,以分析各种驾驶场景下 “无制动” 失效模式为例 [88],制动系统应满足最高安全等级,即 ASIL - D 级。
安全功能要求:基于危害分析,将总体安全目标设定为降低丧失制动能力的可能性。具体而言,它包括三种不同模式:(1)全功能模式:系统能够容忍至少一个任意故障,并保证完全的制动能力;(2)部分功能模式:由单一故障导致的部分制动能力丧失不应影响车辆的稳定性;(3)紧急模式:系统必须确保在出现第二个任意故障后车辆能够完全停止。
系统架构设计原则:基于安全功能要求,主要设计原则设定如下:(1)避免单点故障;(2)尽量减少系统对任何可能突然失效的条件的依赖;(3)采用依赖最少且具备足够容错能力的保守设计。
图 36. “无制动” 失效模式的汽车安全完整性等级(ASIL)
为了满足 ASIL - D 级的功能安全要求,首先必须避免系统出现单点故障。因此,对于控制电子控制单元、供电系统、通信线路等需要进行冗余备份设计。在电子控制单元布局方面,少数系统会舍弃机电制动(EMB)执行器自身的控制器,将控制集成到一个集中式的双模块中,更为常见的是采用四个执行器电子控制单元的系统。文中给出了三种具有不同电子控制单元布局的典型机电制动(EMB)系统架构方案。方案 1 使用一个主电子控制单元通过两个车桥电子控制单元分别控制前桥和后桥的执行器电子控制单元。该方案有呈 H 形布置的两个电源以及四条通信线路作为冗余备份。当主电子控制单元或车桥电子控制单元出现故障时,分别能保证 100% 和 50% 的制动能力。方案 2 使用单个主电子控制单元控制四个执行器电子控制单元,并有两个全冗余的电源以及两条通信线路。当主电子控制单元出现故障时,电子踏板可直接控制两个或四个执行器,以确保 50% 或 100% 的制动能力。方案 3 使用主电子控制单元接收并分析制动需求、监测电机状态并发出制动指令,而辅助电子控制单元直接接收制动踏板信号和轮速信号来控制执行器电子控制单元。在此方案中,设有呈 X 形布置的两个电源以及两条通信线路。当主电子控制单元或辅助电子控制单元出现故障时,仍能保证 50% 的制动能力。除了上述三种方案外,一些方案可能还会采用 “2/3 个主电子控制单元 + 4 个执行器电子控制单元” 的电子控制单元布局形式。对于供电系统,采用呈 X 形或 H 形布置的两个电源以及一个全冗余的备用电源来实现三重冗余。各方案的对比情况如表 13 所示。
方案1 主ECU+2轴ECU+4执行器ECU
方案2 主ECU+4执行器ECU
方案3 主ECU +辅助ECU + 4执行器ECU
来源:智驾社
