0 引言
随着电子技术的快速发展,线控技术被广泛应用于汽车行业,例如线控转向(steer-by-wire),线控制动(brake-by-wire)和线控悬架(suspension-by-wire)等.然而,线控系统要求通信网络具有很高的容错性、可靠性和实时性,目前常用的CAN总线在容错功能及带宽方面存在不足,因此,汽车领域正研究将FlexRay总线运用于线控系统.
汽车线控转向系统是一种安全关键性实时系统[1].在安全关键性实时系统中,单一组件的故障可能导致整个系统瘫痪,容错(fault tolerance)就显得特别重要[2].随着冗余概念的引入,在系统设计中,电控系统的可靠性不断提高.奔驰(Mercedes-Benz)公司早在1990年就开始研发前轮电子转向系统,并在概念车F400Carving上应用.紧接着,国外出现了有关线控转向系统的力反馈控制、容错功能和电机控制算法方面的专利[3-5].文[6]针对线控转向系统提出了一种基于时间触发协议(TTP/C)的分布式容错架构,方向盘执行器和转向控制单元都包含两个节点,转向执行器包含3个节点.各单元之间通过TTP/C总线进行通信.满足安全关键性条件:分布式架构、时间触发通信、复制确定性和故障静默属性.文[7]提出了一种基于CAN总线的容错架构,基于双电机和双处理器的系统具有克服单点故障的能力,电机的合理安排和先进的控制算法使得系统能够在出现单点故障的情况下,自动地重新配置和顺利地完成配置过程,并且不会降低系统的性能.文[8]在文[7]的基础上提出一种新颖的基于全维观测器的冗余分析方法.这种冗余分析方法旨在减少转角传感器在车轮角的三模冗余转向系统中的数量,并且维持系统的可靠性.运用错误检测、孤立算法(FDI)和表决机制去发现传感器的错误,并维持系统的安全性.本文利用故障模式与影响分析(FMEA)法列出了各种系统故障,形成了系统级的FMEA表,并由此建立了整个系统的马尔可夫模型来分析可靠性.
1 线控转向系统容错架构为了保证实时性和可靠性,同时满足经济实用性的要求[9-14],本文的线控转向系统容错架构设计如图 1所示.
|
| 图 1 线控转向系统容错架构设计 Figure 1 Design of fault-tolerant architecture of steer-by-wire system |
由图 1可知,驾驶员的转向需求是通过3个转角传感器来实现的.两个方向盘ECU(HW ECU1、HW ECU2)接收来自3个转角传感器的数据,对数据进行表决,传输正确的报文到FlexRay双通道上.两个前轴ECU(FAA ECU1、FAA ECU2)接收来自总线上的报文,实现对转向电机的控制.同样,前轴传感器1、2、3测量车轮转向位置信号,传输给FAA ECU1、FAA ECU2. ECU对这些信号进行表决处理,将正确的数据传输到FlexRay总线上. HW ECU1、HW ECU2从总线上接收报文,并进行处理,然后控制了路感电机1、2,实现了路感.
2 传感器三模冗余系统马尔可夫模型传感器三模冗余系统的马尔可夫模型如图 2所示.其中,λ为单个最小可替换单元(small replacement uint,SRU)故障的概率,c为发生在一个SRU中的故障会被发现和处理的事件概率,即故障检测覆盖率.
|
| 图 2 三模冗余子系统的马尔可夫模型 Figure 2 Markov model of subsystem with triple-modular redundancy |
如图 2所示,传感器三模冗余系统共有7个状态.状态3表示系统开始运行时刻对应的状态,且3个模块均完好.状态2表示其中一个模块发生故障,且该故障能够被检测到,系统还能容忍第二个故障.状态1表示两个模块发生故障,且故障都能够被检测到.状态FS表示3个模块均发生故障且故障都被检测到,系统失效,导向安全侧.状态UD表示一个模块发生故障而未被检测到,系统不能容忍第二个故障.状态FS1表示发生两类故障,一个是模块发生故障且被检测到,另一个是故障未被检测到,此时系统已不能再容忍故障,系统导向安全侧.状态FU表示除了以上状态外的故障状态,系统倾向于危险侧.
由马尔可夫模型可得其微分方程
|
(1) |
其中初始条件:
|
对微分方程进行拉普拉斯变换,得
|
(2) |
系统的可靠性R(s)为
|
(3) |
对其进行拉普拉斯反变换,得
|
(4) |
当c=1时,
|
(5) |
由于线控转向系统属于安全关键性系统,故障率的评估来源于IEC61508标准[15]中的安全完整性等级(SIL).
分别取λ=10-7和λ=10-8,比较三模冗余与单模冗余的可靠性,如图 3所示.
|
| 图 3 不同故障率下的三模冗余与单模冗余子系统可靠性图 Figure 3 Reliability of triple modular redundancy and single modular redundancy systems under different failure rates |
由图 3可知,三模冗余的可靠性要远比单模冗余的可靠性要高,故障率越小,可靠性越高.且当故障率为10-7(1/h)时,三模冗余子系统在5*105小时后,系统还能达到99.99%的可靠性.因此,三模冗余的高可靠性,可运用于安全关键性系统中.
3 线控转向系统冗余可靠性分析 3.1 线控转向系统容错架构的FMEA分析为了方便分析整个线控转向系统的可靠性[16-19],将HW ECU,FlexRay通道,FAA ECU看作为一个整体ECU节点.线控转向系统容错架构的简化可靠性逻辑框图如图 4所示.
|
| 图 4 线控转向系统容错架构的简化可靠性逻辑框图 Figure 4 A simplified reliability logic block diagram for the fault-tolerant architecture of steer-by-wire system |
为了建立线控转向系统的马尔可夫模型,首先建立系统的FMEA表.第一个FMEA表可以帮助我们辨别第一个失效后系统的状态,包括灾难性的和非灾难性的错误.第二个FMEA表可以根据第一个FMEA表格分析结果辨别第二个失效后系统的状态.这样下去,直到系统处于灾难性的错误状态,即系统失效.为了构建系统级FMEA表,有以下假设:
1) 不考虑每个单元的瞬时故障和永久故障,统一定义为故障率λ.
2) 不考虑每个单元的修复率ρ,及故障检测覆盖率c.
定义传感器的失效率为λIN,ECU的失效率为λECU,电机的失效率为λOUT.线控转向系统的FMEA表为表 1~5所示.
| 没有失效的系统状态 | 状态概率 | 失效模式 | 失效率 | 一个失效的系统状态 | 状态概率 |
| 传感器正常,电机正常转向,ECU节点正常运行 | P1 | 任一传感器失效 | 3λIN | 剩余两个传感器正常工作,双电机正常,双ECU正常 | P2 |
| 任一ECU节点失效 | 2λECU | 3个传感器正常,双电机正常,ECU单点故障 | P8 | ||
| 任一电机失效 | 2λOUT | 剩余电机代替故障电机提供转向,3个传感器正常,双ECU正常 | P9 |
| 1个失效的系统状态 | 状态概率 | 失效模式 | 失效率 | 两个失效的系统状态 | 状态概率 |
| 剩余2个传感器正常工作,双电机正常,双ECU正常 | P2 | 任一传感器失效 | 2λIN | 只有1个传感器正常,双电机正常,双ECU正常 | P3 |
| 任一ECU失效 | 2λECU | 2个传感器正常工作,双电机正常,ECU单点故障 | P4 | ||
| 任一电机失效 | 2λOUT | 2个传感器正常工作,双电机正常 | P11 | ||
| 3个传感器正常,双电机正常,ECU单点故障 | P8 | 剩余ECU节点失效 | λECU | 系统失效 | PF |
| 任一传感器失效 | 3λIN | 2个传感器正常工作,双电机正常,ECU单点故障 | P4 | ||
| 任一电机失效 | 2λOUT | 3个传感器正常,电机单点故障,ECU单点故障 | P10 | ||
| 剩余电机代替故障电机提供转向,3个传感器正常,双ECU正常 | P9 | 剩余电机失效 | λOUT | 系统失效 | PF |
| 任一传感器失效 | 3λIN | 剩余2个传感器正常,电机单点故障,双ECU正常 | P11 | ||
| 任一ECU节点失效 | 2λECU | 3个传感器正常,电机单点故障,ECU单点故障 | P10 |
| 2个失效的系统状态 | 状态概率 | 失效模式 | 失效率 | 3个失效的系统状态 | 状态概率 |
| 只有1个传感器正常,双电机正常,双ECU正常 | P3 | 剩余传感器失效 | λIN | 系统失效 | PF |
| 任一ECU失效 | 2λECU | 只有1个传感器正常,双电机正常,ECU单点失效 | P5 | ||
| 任一电机失效 | 2λOUT | 只有1个传感器正常,电机单点失效,双ECU正常 | P12 | ||
| 2个传感器正常工作,双电机正常,ECU单点故障 | P4 | 剩余传感器中任一失效 | 2λIN | 只有1个传感器正常,双电机正常,ECU单点失效 | P5 |
| 任一ECU失效 | λECU | 系统失效 | PF | ||
| 任一电机失效 | 2λOUT | 2个传感器正常工作,电机单点失效,ECU单点故障 | P6 | ||
| 2个传感器正常工作,电机单点故障,双ECU正常 | P11 | 剩余传感器中任一失效 | 2λIN | 只有1个传感器正常,电机单点失效,双ECU正常 | P12 |
| 任一ECU失效 | 2λECU | 2个传感器正常工作,电机单点失效,ECU单点故障 | P6 | ||
| 任一电机失效 | λOUT | 系统失效 | PF | ||
| 3个传感器正常,电机单点故障,ECU单点故障 | P10 | 任一传感器失效 | 3λIN | 2个传感器正常工作,电机单点失效,ECU单点故障 | P6 |
| 任一电机或者ECU失效 | λECU+λOUT | 系统失效 | PF |
| 3个失效的系统状态 | 状态概率 | 失效模式 | 失效率 | 4个失效的系统状态 | 状态概率 |
| 只有1个传感器正常,双电机正常,ECU单点失效 | P5 | 剩余传感器或者ECU失效 | λIN+λECU | 系统失效 | PF |
| 任一电机失效 | 2λOUT | 只有1个传感器正常,电机单点失效,ECU单点故障 | P7 | ||
| 2个传感器正常工作,电机单点失效,ECU单点故障 | P6 | 剩余传感器中任一失效 | 2λIN | 只有1个传感器正常,电机单点失效,ECU单点故障 | P7 |
| 任一电机或者ECU失效 | λECU+λOUT | 系统失效 | PF |
||
| 只有1个传感器正常,电机单点失效,双ECU正常 | P12 | 任一ECU失效 | 2λECU | 只有1个传感器正常,电机单点失效,ECU单点故障 | P7 |
| 任一传感器或者电机失效 | λIN+λOUT | 系统失效 | PF |
| 4个失效的系统状态 | 状态概率 | 失效模式 | 失效率 | 5个失效的系统状态 | 状态概率 |
| 只有1个传感器正常,电机单点失效,ECU单点故障 | P7 | 剩余传感器或者ECU或者电机失效 | λIN+λECU+λOUT | 系统失效 | PF |
表 1对应线控转向系统发生第一个失效后的FMEA表,第一列为没有发生失效的系统状态(初始状态),第二列表示第一列所描述系统状态对应的概率,第三列描述了系统所有可能发生的第一个失效模式,第四列表示发生第三列所描述系统失效模式对应的失效率.当系统发生第一个失效后所有可能的系统失效状态及其对应的概率分别如表 1的第五列和第六列所示. 表 2对应线控转向系统发生第二个失效后的FMEA表,第一列描述系统发生所有可能的第一个失效后的系统状态(对应表 1的第五列),第二列表示第一列所描述系统状态对应的概率,第三列描述了所有可能发生的第二个失效模式,表 2其余列的构造方式同表 1.同理可得,系统发生3个失效、4个失效和5个失效的FMEA表,依次对应表 3、表 4和表 5.
3.2 线控转向系统冗余架构的马尔可夫模型基于以上的FMEA表分析,我们可以构建代表系统状态的马尔可夫模型.马尔可夫模型可以用一个线性齐次微分方程来表示.
|
(6) |
式中:P(t)是状态概率适量,Pk(t),k=0,2,…,15代表系统在时间t,状态k下的概率.状态转移矩阵Λ(t)通过以上表格可以建立.矩阵的每个系数λij可以从状态间的转移概率获得.
为了表述方便,使用IN代表传感器,OUT代表电机.系统处于完好状态时,有3个传感器,2个ECU节点,2个执行电机处于工作状态,以(3IN,2ECU,2OUT)表示.其他状态类推.系统的马尔可夫模型状态图如图 5所示.
|
| 图 5 线控转向系统的马尔可夫模型 Figure 5 Markov model of steer-by-wire system |
根据马尔可夫模型,得到马尔可夫微分方程组为
|
(7) |
系统的初始条件P1(0)=1,P2(0)=P3(0)=P4(0)=P5(0)=P6(0)=P7(0)=P8(0)=P9(0)=P10(0)=P11(0)=P12(0)=0.
系统的可靠度为
|
通过解常数微分方程组[20],可得到系统的可靠性.
|
(8) |
从而系统的可靠性为
|
(9) |
由于线控转向系统属于安全关键性系统[21],故障率来源于IEC61508标准[15]中的安全完整性等级(SIL).根据ECUs、传感器和电机的故障率表 6,得出λIN=6.06×10-7(1/h),λECU=6.28×10-6(1/h),λOUT=7.9×10-7(1/h).
| 单元 | 故障率/(1/h) |
| 传感器 | 6.06×10-7 |
| HW ECU,FAA ECU | 6.28×10-6 |
| FlexRay通道 | 8.75×10-7 |
| 电机 | 7.90×10-7 |
本文考虑一辆车的使用寿命为5×105小时,然后给出1×105小时后系统的可靠性随时间变化的曲线.使用表 6中描述的ECUs、传感器和电机的故障率,得出系统马尔可夫模型推出的可靠性和时间的关系如图 6所示.为了证明本设计的优越性,比较了冗余后的线控转向系统和非冗余线控转向系统的可靠性.
|
| 图 6 冗余线控转向系统与非冗余线控转向系统的可靠性 Figure 6 The reliability of redundant and non-redundant steer-by-wire systems |
从图 6可以看出,在一辆车的生命周期内,冗余线控转向系统的可靠性明显要比非冗余的线控转向系统的可靠性高.本设计的冗余线控转向系统要比非冗余系统更具有优越性.可见,冗余在安全关键性系统中起着重要的作用.
对可靠性分析的另一个结果是研究故障检测覆盖率c对可靠性的影响[22].故障检测覆盖率c也是整个系统设计中的一个重要参数,图 7描述了故障检测覆盖率c对可靠性的影响.
|
| 图 7 故障检测覆盖率c对可靠性的影响 Figure 7 The impact on the reliability of fault coverage c |
图 7中数字1,2,3,4,5分别对应故障检测覆盖率c=0.9,0.99,0.999,0.999 9,0.999 99.由图 7可得,当故障检测覆盖率c大于0.99时,随着故障检测覆盖率增加,系统的可靠性并无显著改变.此外,这个结果也指示我们如何设计故障检测算法才是有效的.
4 结论冗余线控转向系统的可靠性分析表明在系统整体的可靠性上,冗余、故障率以及故障检测覆盖率的影响非常重要.可见,在整车生命周期内,冗余系统的可靠性高于非冗余系统.系统的可靠性很大程度上依赖于关键因素——故障率λ.当故障检测覆盖率的值小于0.99时会对可靠性产生影响;当其值大于0.99时,此因素对系统可靠性的影响变小.因此提高系统可靠性的一种方法是研究器件冗余,另一种方法是减少每个ECU单元的故障率.此外,也可以通过改进故障检测算法将故障检测覆盖率提升到0.99甚至更高.
| [1] |
张凤登.
分布式实时系统[M]. 北京: 科学出版社, 2014.
Zhang F D. Distributed real-time systems[M]. Beijing: Science Press, 2014. |
| [2] |
唐莹. 汽车前轮线控转向系统研究[D]. 上海: 上海理工大学, 2009. Tang Y. Research on automobile front wheel steer-by-wire system[D]. Shanghai:University of Shanghai for Science and Technology, 2010. |
| [3] | Discenzo F M. Steer by wire system with feedback, USA:6097286[P]. 2000-8-1. |
| [4] | Hommel M. Fault-tolerant electromechanical steer-by-wire steering actuator, USA:6208923[P]. 2001-3-27. |
| [5] | Greenwell R G, Cameron D S, Naik S M. Steer by wire motor control algorithm, USA:0274565[P]. 2005-12-15. |
| [6] | Zheng B, Anwar S. Fault-tolerant control of the road wheel subsystem in a steer-by-wire system[J]. International Journal of Vehicular Technology, 2008, 2008(1): 8. |
| [7] | Anwar S, Chen L. An analytical redundancy-based fault detection and isolation algorithm for a road-wheel control subsystem in a steer-by-wire system[J]. IEEE Transactions on Vehicular Technology, 2007, 56(5): 2859–2869. DOI:10.1109/TVT.2007.900515 |
| [8] | Song D Y, Li Q, Zou F L, et al. Fault-tolerant control architecture for steering-by-wire system[C]//ⅡTA'08. Second International Symposium on Intelligent Information Technology Application. Piscataway, NJ, USA:IEEE, 2008:677-681. |
| [9] | Lala J H, Harper R E. Architectural principles for safety-critical real-time applications[J]. Proceedings of the IEEE, 1994, 82(1): 25–40. DOI:10.1109/5.259424 |
| [10] | Wang H, Man Z, Kong H, et al. Design and implementation of adaptive terminal sliding-mode control on a steer-by-wire equipped road vehicle[J]. IEEE Transactions on Industrial Electronics, 2016, 63(9): 5774–5785. DOI:10.1109/TIE.2016.2573239 |
| [11] | Jiang Y Y, Feng K, Fang Y W. Control strategy for front wheel angle of steer-by-wire based on variable steering ratio[C]//2011 International Conference on Computer Science and Network Technology (ICCSNT). Piscataway, NJ, USA:IEEE, 2011:852-856. |
| [12] | Xiao B. The Research of fuzzy variable transmission ratio for steer-by-wire system of electric forklift[J]. International Journal of Intelligent Systems Technologies & Applications, 2015, 7(5): 31–39. |
| [13] | Yu L Y, Lin Y, Shi G B. Research on steering ratio of steer-by-wire system[J]. Transactions of the Chinese Society for Agricultural Machinery, 2007, 38(8): 190–192. |
| [14] | Zheng H Y, Zong C F, Tian C W, et al. Control algorithm for steer-by-wire system with ideal steering ratio[J]. Journal of Jilin University:Engineering and Technology Edition, 2007, 37(6): 1229–1235. |
| [15] | ISO/DIS 26262-9. Road vehicles-functional safety-part 9:ASIL oriented and safety oriented analyses[S]. IEEE Standard, 2009. |
| [16] | Lorincz A. Model reference control of a steer-by-wire system[D]. Budapest:Budapest University of Technology and Economics, 2004. |
| [17] | Oh S W, Yun S C, Chae H C, et al. The Development of an advanced control method for the steer-by-wire system to improve the vehicle maneuverability and stability[R]. SAE World Congress & Exhibition, 2003. |
| [18] | Fachrudin F. Optimization of automatic steering control on vehicle with steer by wire system using particle swarm optimization[J]. Turkish Journal of Electrical Engineering & Computer Sciences, 2016, 24(1): 541–557. |
| [19] | Leu K L, Chen J E, Wey C L, et al. Generic reliability analysis for safety-critical FlexRay drive-by-wire systems[C]//2012 International Conference on Connected Vehicles and Expo (ICCVE). Piscataway, NJ, USA:IEEE, 2012:216-221. |
| [20] |
张志涌.
MATLAB教程[M]. 北京: 北京航天航空大学出版社, 2015.
Zhang Z Y. MATLAB tutorial[M]. Beijing: Beijing Aerospace University Press, 2015. |
| [21] | Hammett R, Babcock P. Achieving 10-9 dependability with drive-by-wire systems[J]. SAE Transactions, 2003, 112(7): 534–547. |
| [22] | Wilwert C, Navet N, Song Y Q, et al. Design of automotive X-by-wire systems[M]. Boca Raton, FL, USA: The Industrial Communication Technology Handbook, 2005. |