一、 线控技术背景

线控技术（X-By-Wire），通俗来讲就是由电信号来实现动力学系统控制，而不是通过机械装置的“硬”连接来实现操作。其核心是智能机电传动装置，从应用于飞机驾驶控制上的Fly-By-Wire发展而来。该技术利用传感器将驾驶者输入信号传递到ECU，通过功能逻辑发送控制信号给相应的执行机构完成驾驶者的相关操作。

图1 智能驾驶系统架构

在电动化与智能化两大发展趋势之下，线控转向（SBW）系统成为未来智能汽车发展的热点。SBW技术是无人驾驶车辆重要的硬件基础，大部分智能驾驶功能都直接和转向技术相关，为提高SBW系统的安全性和可靠性，本文根据国际标准组织的"ISO26262"，分析了线控转向功能安全设计。

二、 线控转向系统基本结构

线控转向系统主要由ECU、路感模拟器及转向执行器组成，如图2所示。

图2 线控转向系统基本结构

线控转向系统ECU负责转向系统功能控制，对路感模拟器及转向执行器分别发出转矩及转角执行的信号请求，同时负责与整车及SBW系统内部的信息传递。路感模拟器由转角扭矩传感器、路感电机及其控制器组成，其中，转角扭矩传感器负责转角及扭矩的信号获取，路感电机控制器接收ECU的扭矩请求，控制路感电机实现路感控制，同时向ECU反馈转角及扭矩信息。转向执行器由转角传感器、执行电机及其控制器组成，其中，转角传感器负责转角信号获取，执行电机控制器接收ECU的转角请求，控制执行电机实现转角控制，同时向ECU反馈转角及扭矩信息。

线控转向系统具有如下四个关键特点：

（1）线控转向基本上脱离了机械式的转向，它的控制信号来源可能是底盘域控制器，也可能来源于自动驾驶，也可能来源于驾驶员方向盘的直接操作，只不过它是机械去耦的总成对象。

（2）冗余设计是线控转向的标准配置，在脱离了驾驶员和脱离了机械直接干预的情况下，冗余系统进行备份或者提供一定功能或进行智能特征的性能优化。

（3）协调控制，以后的转向只不过是横向控制的一部分，整车底盘包含垂向控制、纵向加/纵向减的控制、以及横向控制。因此，在底盘域控层面的协调控制，是为了让每个线控机构更加有效，更加智能，体现底盘大系统的效果，同时也作为运转平台进行协调计算。

（4）在线控转向系统中，由于电子元件失效或者控制系统环境发生变化（例如存在较大侧向力 ）时均可能导致线控转向系统失效，一旦系统失效，后果非常严重。为了提高线控转向系统的安全性，需要充分考虑转向执行系统的容错能力，包括被动容错，主动容错等。

线控转向系统被动容错方案主要是指采取额外装置，在系统失效时备份装置可以保证不失去转向能力，典型的有机械转向轴备份和作动器备份。英菲尼迪Q50采用安装了离合器装置的转向轴备份，在线控系统失效时离合器接合可实现转向功能，属于典型的被动容错方案。被动容错控制多为现阶段线控转向系统法规出现前的过渡方案，冗余备份导致额外增加成本和重量，因此越来越多的线控转向系统采用主动容错方案。如，设计线控转向系统双电机冗余控制，利用自适应衰减卡尔曼滤波设计故障诊断系统，分别对转矩和转角闭环控制进行故障检测，双电机分别采用转角闭环控制和扭矩闭环控制。

三、线控转向功能安全概念

功能安全要求具有一定的继承性和独立性，因此在设计线控转向功能安全目标时的场景分析、危害辨识、汽车安全完整性等级（Automotive Safety Integration Level，ASIL）评估可以参考EPS系统设计经验，每一部分均具有一定的关联性。线控转向系统中控制器较多，且无法进行取代，同时参考博世的电子电气架构技术战略图（见图3）及整车需求，在当前阶段采用域中心控制器的架构设计。

图3 博世的电子电气架构技术战略

根据ISO26262以及国标GB/T34590、GB17675等标准，开展了针对线控转向SBW（双冗余SFA+双冗余FWA）的功能安全概念阶段开发。功能安全的定义是“不存在由电子电气系统失效而造成危害的不合理风险”，要想避免“不合理的风险”，首先要进行危害分析与风险评估，正确地识别风险，并对风险进行ASIL 等级评估从而得到相关项的安全目标。

四、 线控转向功能安全设计

线控转向系统取消了转向盘与转向轮之间的机械连接，其角传递和力传递都是通过电传机构实现，物理上的完全解耦给汽车转向特性带来巨大的设计空间。线控系统应用的关键是安全性，通过硬件和软件系统的功能安全设计提高系统可靠性，保证故障下车辆基本的转向执行功能。

（a）传统电动助力式转向系统 (b) 双向驱动的线控转向系统

图4 传统EPS与线控转向系统示意图

ISO26262为汽车电子电气系统功能安全的开发提供了一整套V模型的安全管理生命周期，基于V模型为产品开发不同阶段提供过程参考。欧洲和美国已经强制执行，中国现阶段面临着巨大挑战。

图5 汽车电子电气系统功能安全分析

五、ISO 26262功能安全架构设计流程

(一) 系统定义

根据线控转向系统的产品需求，对包括方向盘、传感器、控制器、转向机和路感电机等设计进行定义，并形成线控转向系统的功能框图。

(二) 系统危险分析和风险评估HARA

危险辨识主要考虑系统功能的潜在危险，根据ISO定义的可能发生6种失效情况：系统有需求时无功能输出、系统无需求时有功能输出、功能输出超出系统需求、功能输出少于系统需求、功能输出与系统需求相反、功能输出不稳定。对线控转向系统的每一种功能，考虑这6种失效情况可能引起的系统失效，即可得到线控转向系统的潜在危害列表。ISO 26262为评估汽车发生故障时的风险等级，提出汽车安全完整性等（Automotive Safety Integrity Level，ASIL）的概念，来衡量系统安全要求以及安全机制的能力，它表示在规定的条件下，规定的时间内，安全系统成功实现所要求功能的概率或等级。

严重度（Severity，S）

严重度是指在某种驾驶场景下，危险发生会对驾驶员和其他交通参与者的伤害程度，通常包括四个等级：S0，S1，S2，S3。其各自代表的严重程度如表1所示。

表1：严重度

暴露度（Exposure，E）

暴露度是指在某种驾驶场景下，危险发生的概率，分为五个等级：E0，E1，E2，E3，E4。其各自代表的可能性如下所示。

表2：暴露度

可控性（Controllability，C）

可控性是指在某种驾驶场景下，当危险发生时，驾驶员或其他人对危险造成后果的控制程度。分为四个等级：C0，C1，C2，C3。其各自对应的可控程度如下所示。

表3：可控性

当确定了风险的严重度、暴露度和可控性这三个参数之后，可以根据ISO26262确定风险的ASIL等级：ASIL A代表了最低等级，而ASIL D代表了最高等级。QM是质量管理，代表了ISO 26262对QM等级的系统没有安全需求，其只需满足质量管理要求即可。

表4：功能安全等级

（三）系统安全目标确定Safety Goal

由危险分析和风险评估（HARA），可得线控转向系统的安全目标（Safety Goal，SG）如下表中所示。根据ISO 26262的要求，整个系统的ASIL等级应取所有潜在危险中最高的等级，线控转向系统的整体功能安全等级为ASIL D。

表5 线控转向系统的安全目标分析

其中，ME表示实验测量得出的转向力矩的边界值；FTTI为故障容错时间。

（四）系统功能安全概念设计

系统的功能安全概念是基于安全目标，对系统的功能模块提出故障检测、安全状态、安全机制等方面的功能安全需求（functional safety requirement，FSR），并将安全目标的ASIL等级分配到系统的软件策略和硬件要求中。

表6：功能安全描述

图6 ASIL D级设计方案

六、失效模式与后果分析FMEA

线控转向系统分为传感器，控制器和执行器，其中控制器又可分为电源模块、传感器处理模块、CAN通讯模块、MCU最小系统模块等，根据ISO 26262-4的要求，需要针对各个模块进行失效模式和影响分析（FMEA），并对各个失效模式设计相应的安全机制。

图7 线控转向系统失效管理

综上，线控转向系统是现代汽车中的重要组成部分，需要进行功能安全设计。通过制定安全目标、进行危险分析与风险评估、制定安全性需求、系统设计与验证、系统测试与验证以及故障管理与诊断等技术手段，可以确保线控转向系统满足相应的安全性能要求，保证车辆驾驶安全。线控转向系统常用的冗余安全设计方案如下所示：

（1）满足L3 EPS-PowrPack冗余系统架构，首先是电机，基本上行业都是六相电机，当然也有十二相电机。六相电机可以减轻单个电机电流的负担，便于更好的设计。当它发生某一相失效，另外电机三相可以正常起作用，还有两相失效，因为六相电机绕组有两种布局方式，一种是独立布置（分边布置），这样短路的可能性不是很大。还有一种是交叉布置，这个力矩波动比较小，所以受很多厂家的青睐。双转子位置传感器，不仅可以监测转角位置，还可以监测状态。

（2）线控执行系统冗余架构，双TAS，双MPS，中间是通过三总线联合方式，在行业里面也有采用双总线的。这是硬件冗余组件，其实就是通讯的冗余、电源的冗余、电机的冗余来实现系统冗余备份。

（3）系统关键部件的异构设计，因为同构是大于等于3才能进行仲裁，异构是两种不同原理不同策略的设计方式，有两组硬件或者两组软件算法就可以了，根据相似度评价，安全执行来达到效果，在一定程度上可以降低成本。

（4）预期功能安全，所有的执行系统都集中在线控机构上面，固有的系统机构风险都在底盘上面，而不是算法层面的，固有的算法特征导致预期风险都在这边，所以从它的响应特性，控制精度，稳定特性角度而言要做预期功能安全关联因子的分析，对每一个关联因子进行模型或者算法的补偿优化。