可用于自動(dòng)駕駛的全冗余架構(gòu)轉(zhuǎn)向傳感器研究

于 偉

（海拉（上海）管理有限公司，上海 200001）

0 引言

隨著社會(huì)科技和生產(chǎn)的迅猛發(fā)展，汽車(chē)工業(yè)已經(jīng)成熟并普及到人們的日常生活。近年來(lái)，人工智能技術(shù)有了飛躍式發(fā)展，將智能技術(shù)和汽車(chē)工業(yè)相結(jié)合的產(chǎn)業(yè)即自動(dòng)駕駛車(chē)輛的開(kāi)發(fā)如火如荼。自動(dòng)駕駛技術(shù)不僅可以克服司機(jī)駕駛技術(shù)差、長(zhǎng)途長(zhǎng)距離開(kāi)車(chē)疲累造成的交通事故，而且能實(shí)現(xiàn)車(chē)輛自動(dòng)按照法律法規(guī)要求通行，按照某種層面的統(tǒng)一秩序來(lái)提高通行效率，進(jìn)而提高整個(gè)社會(huì)效益。

轉(zhuǎn)向系統(tǒng)是車(chē)輛必備的三大系統(tǒng)之一，是實(shí)現(xiàn)自動(dòng)駕駛的核心。自動(dòng)駕駛技術(shù)因?yàn)闇p少了司機(jī)的參與，甚至沒(méi)有人工的干預(yù)，對(duì)系統(tǒng)的健壯性和安全性提出了更高的要求，如表1所示。

表1 自動(dòng)駕駛等級(jí)劃分對(duì)轉(zhuǎn)向系統(tǒng)的要求

美國(guó)汽車(chē)工程師協(xié)會(huì)（SAE）依據(jù)失效率fit（Failureinstance/time）的大小，將自動(dòng)輔助駕駛從低到高分為L(zhǎng)1～L5共五個(gè)等級(jí)。劃分等級(jí)的依據(jù)如下：定義1 000套轉(zhuǎn)向系統(tǒng)運(yùn)行1 h出現(xiàn)了1次突然失去助力的失效為1 fit。一般情況下，L2的fit值要大于100，L3的fit值為10，L4/L5的fit值為1。要實(shí)現(xiàn)公路上的自動(dòng)駕駛，系統(tǒng)至少需要滿足L3的安全等級(jí)，失效率達(dá)到10 fit，和飛機(jī)的失效率相當(dāng)；當(dāng)整車(chē)和系統(tǒng)達(dá)到了L4或L5的安全等級(jí)后，車(chē)輛就完全實(shí)現(xiàn)了在全路段、全天候下的自動(dòng)駕駛。針對(duì)公路上實(shí)現(xiàn)自動(dòng)駕駛最低要求的L3安全等級(jí)，轉(zhuǎn)向系統(tǒng)EPS在發(fā)生單點(diǎn)或有限多點(diǎn)失效時(shí)必須仍是安全的，這是當(dāng)下需要解決的問(wèn)題[1]。

解決這個(gè)問(wèn)題最簡(jiǎn)單的方案是使用兩套EPS系統(tǒng)獨(dú)立工作，當(dāng)檢測(cè)到一套系統(tǒng)出現(xiàn)錯(cuò)誤或者故障時(shí)，另一套系統(tǒng)能在預(yù)設(shè)的較短時(shí)間內(nèi)全面接管工作。但這種方案存在顯而易見(jiàn)的缺陷：（1）成本高，甚至高于2倍的單個(gè)系統(tǒng)的價(jià)格；（2）體積更大，甚至在物理結(jié)構(gòu)上無(wú)法實(shí)現(xiàn)；（3）兩套系統(tǒng)間的切換需要時(shí)間響應(yīng)的策略，否則會(huì)發(fā)生指令沖突，導(dǎo)致整個(gè)系統(tǒng)無(wú)法工作。

舉例說(shuō)明：當(dāng)主系統(tǒng)的某個(gè)零件或子模塊發(fā)生故障時(shí)，主系統(tǒng)需要由控制器（MCU）對(duì)檢測(cè)到的故障信息進(jìn)行確認(rèn)，只有在有效確認(rèn)是故障并且將故障對(duì)應(yīng)到故障類(lèi)型和危害等級(jí)后，保存故障代碼，啟動(dòng)獨(dú)立的仲裁程序，向備用系統(tǒng)發(fā)送啟動(dòng)申請(qǐng)，傳遞工況信息后，備用系統(tǒng)才能接管工作。實(shí)驗(yàn)經(jīng)驗(yàn)證明，這個(gè)流程在10 ms內(nèi)完成才是安全可行的，以車(chē)速為120 km/h計(jì)，10 ms行駛的距離為0.333 m。因此，從技術(shù)角度講，設(shè)計(jì)兩套系統(tǒng)，當(dāng)主系統(tǒng)發(fā)生故障時(shí)由備用系統(tǒng)接管幾乎是難以實(shí)現(xiàn)的。

本文提出了“全冗余”設(shè)計(jì)的概念以應(yīng)對(duì)自動(dòng)駕駛的需求，轉(zhuǎn)向系統(tǒng)不僅要滿足整車(chē)的轉(zhuǎn)向電氣功能和性能，更重要的是滿足功能安全ASIL-D的要求，如表2所示。作為車(chē)輛三大系統(tǒng)之一的轉(zhuǎn)向系統(tǒng)，必須做全冗余設(shè)計(jì)，才能滿足自動(dòng)駕駛高層級(jí)的需求。

表2 功能安全對(duì)轉(zhuǎn)向系統(tǒng)的要求

轉(zhuǎn)向系統(tǒng)中，除了控制器、機(jī)械結(jié)構(gòu)件和機(jī)械執(zhí)行件外，就是轉(zhuǎn)向傳感器了。轉(zhuǎn)向傳感器作為轉(zhuǎn)向系統(tǒng)的核心電子器件，必然要滿足轉(zhuǎn)向系統(tǒng)的功能安全要求，因此轉(zhuǎn)向傳感器必須是全冗余架構(gòu)。本文從轉(zhuǎn)向傳感器的結(jié)構(gòu)、測(cè)量原理和全冗余架構(gòu)的實(shí)現(xiàn)方式三個(gè)方面進(jìn)行闡述。

1 轉(zhuǎn)向傳感器的結(jié)構(gòu)

轉(zhuǎn)向系統(tǒng)的基本結(jié)構(gòu)如圖1所示，其所有基本控制模塊，輸入要么需要方向盤(pán)力矩信號(hào)，要么需要方向盤(pán)轉(zhuǎn)角信號(hào)（方向盤(pán)轉(zhuǎn)速通過(guò)轉(zhuǎn)角信號(hào)計(jì)算得到），這兩個(gè)信號(hào)是通過(guò)轉(zhuǎn)向傳感器來(lái)獲取的。

圖1 轉(zhuǎn)向系統(tǒng)結(jié)構(gòu)示意圖

本文所述轉(zhuǎn)向傳感器能夠測(cè)量方向盤(pán)連接的輸入軸和與執(zhí)行結(jié)構(gòu)連接的輸出軸之間的扭矩以及輸入軸的絕對(duì)角度。轉(zhuǎn)向傳感器結(jié)構(gòu)示意圖如圖2所示，轉(zhuǎn)向傳感器除殼體塑料件外，主要由兩部分組成：扭矩測(cè)量部分（含輸入軸轉(zhuǎn)子、輸出軸轉(zhuǎn)子）和角度測(cè)量部分用的磁齒輪，這兩部分共用同一塊PCB板，完成信號(hào)的采集、處理和電信號(hào)的輸出。PCB板上主要有CIPOS線圈和專(zhuān)用芯片負(fù)責(zé)扭矩部分，霍爾芯片負(fù)責(zé)角度部分。

圖2 轉(zhuǎn)向傳感器結(jié)構(gòu)示意圖

2 轉(zhuǎn)向傳感器的測(cè)量原理

轉(zhuǎn)向傳感器的扭矩測(cè)量本質(zhì)上是測(cè)量輸入軸和輸出軸之間的角度差，用這兩者的角度差值乘以扭桿的剛性系數(shù)即得到扭矩值，如圖3所示。

圖3 轉(zhuǎn)向傳感器扭矩測(cè)量結(jié)構(gòu)示意圖

海拉的CIPOSR專(zhuān)利[2]的平面化設(shè)計(jì)能夠有效簡(jiǎn)化輸入軸和輸出軸同時(shí)測(cè)量角度的架構(gòu)。PCB板上的扭矩測(cè)量部分主要由CIPOS專(zhuān)用芯片、激勵(lì)線圈、接收線圈組成。測(cè)量時(shí)，CIPOS專(zhuān)用芯片向激勵(lì)線圈施以特定頻率的電流，這個(gè)交變電流產(chǎn)生感應(yīng)磁場(chǎng)，當(dāng)轉(zhuǎn)子葉片切割這個(gè)感應(yīng)磁場(chǎng)時(shí)，接收線圈內(nèi)產(chǎn)生的感應(yīng)電流會(huì)有相應(yīng)的變化。輸入軸轉(zhuǎn)子和輸出軸轉(zhuǎn)子采用不同的周期信號(hào)設(shè)計(jì)：輸入軸轉(zhuǎn)子葉片數(shù)為18片，對(duì)應(yīng)輸入軸角度信號(hào)為20°/周期；輸出軸轉(zhuǎn)子葉片數(shù)為9片，對(duì)應(yīng)輸入軸角度信號(hào)為40°/周期；實(shí)際轉(zhuǎn)向系統(tǒng)中設(shè)計(jì)的產(chǎn)生扭矩的角度差在±6°以內(nèi)。

由圖2可以看出，輸入軸帶動(dòng)齒輪組進(jìn)而帶動(dòng)磁齒輪轉(zhuǎn)動(dòng)。角度的測(cè)量基于霍爾效應(yīng)，由PCB板上的角度霍爾芯片感應(yīng)磁齒輪的旋轉(zhuǎn)輸出角度值。由于齒輪組的齒比關(guān)系，方向盤(pán)轉(zhuǎn)動(dòng)一圈360°對(duì)應(yīng)于磁齒輪的296°。

轉(zhuǎn)向系統(tǒng)要求方向盤(pán)能實(shí)時(shí)區(qū)分正反方向的絕對(duì)角度以及在上電時(shí)刻的真實(shí)機(jī)械角度，由于單一的角度信號(hào)輸出是有周期的，且實(shí)際駕駛過(guò)程中方向盤(pán)的工作角度大于360°，因此需要將輸入軸的40°和角度測(cè)量的296°做游標(biāo)算法[3]，得到在±738°的范圍內(nèi)的唯一確定值來(lái)反映方向盤(pán)的絕對(duì)角度。如圖4所示，圖4（a）中灰色曲線為輸入軸角度，以40°為周期，深灰色曲線為296°周期的角度測(cè)量值；圖4（b）中淺灰色曲線為兩者游標(biāo)算法后的結(jié)果。

圖4 方向盤(pán)絕對(duì)角度的游標(biāo)算法結(jié)果示意圖

3 全冗余的實(shí)現(xiàn)方式

為滿足自動(dòng)駕駛對(duì)轉(zhuǎn)向系統(tǒng)的功能安全AISL-D的要求，轉(zhuǎn)向系統(tǒng)必須全冗余，即兩個(gè)控制器、兩個(gè)電機(jī)[4]。由于兩個(gè)電機(jī)在一個(gè)轉(zhuǎn)向管柱中物理上不能實(shí)現(xiàn)，因此采用一個(gè)電機(jī)定子、一個(gè)雙繞組線圈的轉(zhuǎn)子實(shí)現(xiàn)電氣全冗余。相應(yīng)的轉(zhuǎn)向傳感器也要全冗余，由于物理安裝方式的限制不能安裝兩個(gè)傳感器，因此轉(zhuǎn)向傳感器采用圖5所示結(jié)構(gòu)實(shí)現(xiàn)電氣全冗余。

圖5 轉(zhuǎn)向傳感器電氣全冗余架構(gòu)示意圖

如圖5所示，采用四顆CIPOS專(zhuān)用芯片和一顆雙晶圓即兩個(gè)獨(dú)立霍爾單元的角度霍爾芯片，可作為兩個(gè)獨(dú)立工作的轉(zhuǎn)向傳感器，輸出信號(hào)給兩個(gè)獨(dú)立的轉(zhuǎn)向控制器，或者一個(gè)雙核獨(dú)立工作的轉(zhuǎn)向控制器。即便是作為兩套獨(dú)立的測(cè)量系統(tǒng)，但因?yàn)槭侨哂嗟霓D(zhuǎn)向傳感器，在原本同一測(cè)量系統(tǒng)的兩路扭矩信號(hào)的同步性校驗(yàn)的基礎(chǔ)上，還能實(shí)現(xiàn)四路扭矩信號(hào)的兩兩校驗(yàn)；更進(jìn)一步，四路扭矩信號(hào)可與任一霍爾角度信號(hào)組成一套轉(zhuǎn)向傳感器。同時(shí)，電源和地均作為兩套獨(dú)立的電源接入設(shè)計(jì)，一套接整車(chē)電源和地，一套接控制器的電源和地，避免了電源的共因失效（單點(diǎn)失效）。因此，這個(gè)全冗余架構(gòu)不僅兩套測(cè)量系統(tǒng)能獨(dú)立工作，并且能互相完成校驗(yàn)；甚至在校驗(yàn)并識(shí)別出某一路工作異常時(shí)，能選取正常工作的信號(hào)組成一套測(cè)量系統(tǒng)繼續(xù)工作，使得轉(zhuǎn)向系統(tǒng)無(wú)縫處理故障，保持正常工作，保障安全駕駛。

從自動(dòng)駕駛等級(jí)L3的安全要求這個(gè)起點(diǎn)討論，車(chē)輛處于自動(dòng)駕駛狀態(tài)下檢測(cè)到系統(tǒng)發(fā)生故障后，必須由司機(jī)迅速掌控：首先車(chē)輛必須有預(yù)設(shè)的確定性措施讓司機(jī)意識(shí)到需要接管控制；其次，需要讓司機(jī)迅速認(rèn)識(shí)到車(chē)況、路況和工況，采取必要、正確、有效的動(dòng)作確保車(chē)輛安全；最后，系統(tǒng)必須保證正常工作，能完全執(zhí)行司機(jī)的操作意圖。因此，對(duì)控制器也進(jìn)行全冗余設(shè)計(jì)，設(shè)計(jì)兩個(gè)能獨(dú)立工作的控制器，同時(shí)兩者之間又有通信，能夠協(xié)同工作。獨(dú)立工作的控制單元是指兩者各自運(yùn)行不同的程序，且運(yùn)算后的扭矩指令互相進(jìn)行校驗(yàn)，與此同時(shí)對(duì)兩個(gè)控制單元的工作時(shí)鐘做同步性校驗(yàn)，對(duì)解算后的電機(jī)位置、扭矩和轉(zhuǎn)角信號(hào)做校驗(yàn)，這樣才能確保在單點(diǎn)失效或者預(yù)設(shè)的有限多點(diǎn)同時(shí)失效后系統(tǒng)仍然能正常工作，保證系統(tǒng)有足夠的時(shí)間來(lái)喚醒司機(jī)人工接管車(chē)輛，并執(zhí)行司機(jī)的控制意圖。

所以，對(duì)于轉(zhuǎn)向傳感器的接口即轉(zhuǎn)向控制器來(lái)講，是兩套獨(dú)立運(yùn)行的測(cè)量系統(tǒng)接入兩個(gè)獨(dú)立的控制單元。正常工作時(shí)，這兩部分獨(dú)立運(yùn)行，可以對(duì)四路扭矩信號(hào)和兩路霍爾角度信號(hào)進(jìn)行同步性監(jiān)測(cè)和兩兩校驗(yàn)。兩個(gè)控制器最后得出的控制結(jié)果（指令）也能相互校驗(yàn)。當(dāng)某個(gè)單元的控制器出現(xiàn)異常，甚至當(dāng)某個(gè)控制器異常并帶有一路轉(zhuǎn)向傳感器異常時(shí)，仍有一個(gè)控制器帶一套轉(zhuǎn)向傳感器的測(cè)量系統(tǒng)維持正常駕駛，異常部分可以在事后處理，不僅避免了跛行模式的尷尬，最重要的是避免了失去轉(zhuǎn)向功能帶來(lái)的災(zāi)難性后果。

4 結(jié)語(yǔ)

本文提出了一種全冗余架構(gòu)的轉(zhuǎn)向傳感器，闡述了其結(jié)構(gòu)和測(cè)量原理，著重講述了如何實(shí)現(xiàn)全冗余的技術(shù)架構(gòu)以滿足自動(dòng)駕駛和功能安全ASIL-D的需求，不僅順應(yīng)了當(dāng)前的市場(chǎng)發(fā)展趨勢(shì)，還有著深厚的技術(shù)儲(chǔ)備能滿足將來(lái)的市場(chǎng)需求。