如何确保无人驾驶汽车的安全性和可靠性

　　近年来，因为人们更加重视提高车辆安全，所以主动高级驾驶员辅助系统（ADAS）不断得到发展和推广，它是对依赖安全气囊来保护驾驶员和乘客安全的传统被动系统的一种补充。这些新出现的系统最初是为了帮助驾驶员在安全危急情况下做出正确决策，从长期而言，则是替代驾驶员做出决策。这些技术进步也引领着汽车朝向半自动和全自动驾驶转变。让电子控制单元（ECU）代替驾驶员做出决策，让执行器负责进行车辆转向和制动操作，如此，将驾驶车辆的任务移交给传感器、ECU和电子执行器。这一趋势推动我们开始开发更可靠、更智能、性能更高的冗余电子执行器解决方案，这些解决方案需要符合ISO 26262功能安全标准。这是一项基于风险的安全标准，对危险操作情况的风险进行定性评估，并在组件和系统设计中融入安全措施，以避免或管控系统故障，以及检测或控制随机出现的硬件故障或减轻其影响。这些执行器系统通常使用无刷直流（BLDC）电机驱动，由于这些系统对安全性至关重要，设计人员在设计解决方案的硬件和软件时，必须保证系统能够满足汽车安全完整性等级（ASIL） D级的高标准。

　　BLDC电机换相和控制
　　顾名思义，无刷直流电机没有电刷触点，需要使用电机位置传感器（MPS）来测量定子与转子之间的相对位置，以确保定子线圈按正确顺序通电。电机位置传感器在启动时至关重要，因为此时微控制器没有可用的反电动势来确定转子和定子的相对位置。
　　传统上，阻塞换相（见图1a）由三个霍尔开关组成，用于指示无刷直流电机中转子的位置。由于人们要求提高BLDC电机驱动器（包括EPS系统）的性能，尤其是降低其噪声、振动和不平顺性（NVH），以及提高其运行效率，所以阻塞换相逐步被正弦换相控制取代。霍尔开关则可由安装在电机轴末端的双极磁铁前面的MR角度传感器代替（见图1b）。在典型的应用中MPS也被安装在ECU总成上，ECU则被集成到电机外壳中，并且安装在电机轴的末端。
　　
　　图1 （a） BLDC阻塞换相控制和（b） BLDC正弦换相控制
　　
　　图2 ISO 26262 ASIL评级矩阵

　　安全关键应用的功能安全（示例EPS）
　　ISO 26262于2011年引入，作为一种安全标准，用于解决与电气安全相关的系统故障可能造成的危害，之后被2018年版取代。
　　必须对系统实施安全和风险分析，以确定系统的ASIL等级。ASIL等级是通过审查系统在运行期间潜在危险的严重程度、暴露程度和可控性来确定的（见图2）。
　　例如，如果我们对EPS系统实施风险和危害分析，可能会得出以下结论：基于这些事件（例如转向卡滞和自动转向等）的严重程度、可控性和暴露性，将这些严重事件评定为ASIL D等级。同样，对于即将推出的电子制动系统，可以采用同样的逻辑确定不可控事件的严重程度，如制动卡滞或自动制动。
　　根据EPS或制动系统示例，ASIL D系统的评级可以通过分解子系统来实现，如图3a、图3b和图3c所示。
　　
　　图3 针对ASIL D系统的ASIL分解方案
　　并不要求每个系统组件都按照ASIL D标准和流程进行开发，以使ASIL D系统合规；但是，在进行系统级别的审核时，要求整个系统必须满足要求，并且可以集成QM、ASIL A、B、C、D级别的子组件作为系统的组成部分。
　　系统分解还应该确保充分的独立性，并考虑到依赖或共因故障的可能性。

　　EPS系统拓扑
　　典型的EPS系统拓扑结构如图4所示。EPS ECU根据驾驶员施加到方向盘上的转向扭矩、方向盘的位置和车辆的速度来计算所需的辅助功率。EPS电机通过施加力来转动方向盘，减少驾驶员操纵方向盘所需的扭矩。
　　
　　图4 典型的EPS拓扑
　　电机轴位置（MSP）角结合相电流测量信息，用于对EPS电机驱动器实施换相和控制。基本的典型EPS电机控制环路如图5所示。所需的扭矩辅助等级因驾驶条件而异，由车轮速度传感器和扭矩传感器决定，扭矩传感器测量驾驶员或无人驾驶汽车中的电机执行器施加到方向盘上的扭矩。然后，微控制器使用MSP数据和相电流数据来控制提供给电机（提供所需的辅助）的电流负载。
　　
　　图5 典型的EPS电机控制环路