基于雙冗余系統的電動助力轉向系統狀態機設計

程梁 劉鵬 崔興龍

（博世華域轉向系統有限公司 上海市 201821）

電動助力轉向系統（EPS）是一種在驅動電機的幫助下配合駕駛員實現轉向動作的系統。EPS 作為汽車底盤的重要部件，直接影響著車輛行駛時的安全性和可靠性。智能駕駛技術在近幾年發展迅猛，整車廠對轉向系統的要求逐步提高，如何確保車輛在智能駕駛狀況下能安全應對各種突發狀況是未來汽車發展的熱點問題之一。

1 引言

出于安全性保障，目前在高等級智能駕駛方案中，冗余設計已貫穿在汽車設計的各個環節。冗余，即為了提升系統可靠性，重復配置兩套部件或機能。智能駕駛的前提是安全性因而冗余設計必不可少，即使在行駛過程中其中一套系統突發故障，另外一套系統也能實現基本功能，以確保行駛安全。冗余結構的設計雖然導致了成本有所增加，但行駛安全是車輛設計的前提，在目前智能駕駛不斷普及、硬件可靠性提升較為困難的情形下，采用冗余設計思路是主流發展方向之一[1]。

雙冗余轉向系統從控制領域來看，實際上是并行的兩套完全一致的獨立控制系統，包含電源、傳感器和執行部件等，如圖1 所示。正常狀態下，兩套系統同時工作，各輸出50%的需求轉矩實現轉向助力，若系統中某一部件出現故障，另一套系統仍完整獨立，能繼續提供部分助力，從而避免完全無助力的情況。兩套系統之間會協同調控，但不存在相互干涉的問題，保證了兩套控制系統的相對獨立性。

狀態機是表示有限種狀態以及在這些狀態之間相互跳轉的數學模型，其主要作用是描述對象在它的生命周期內所經歷的狀態序列，以及如何響應來自外界的各種事件[2]。在計算機科學中，狀態機被廣泛用于建模應用行為、硬件電路系統設計、軟件工程，編譯器、網絡協議、和計算與語言的研究[3]。EPS 作為汽車底盤的重要安全部件，軟件設計復雜，隨著性能要求的不斷提升，傳統的系統狀態機不能完全滿足要求。雙冗余系統狀態機可以協調轉向系統的整個生命周期，提升轉向舒適性、優化駕駛感受，在檢測到嚴重故障時能主動關閉系統切斷轉矩輸出，保護乘員安全和延長系統硬件壽命；在無轉向需求時能及時進入休眠狀態，防止車載蓄電池過度消耗，提升車輛的續航里程，增加產品競爭力。

2 傳統狀態機

如圖2 所示，傳統狀態機有以下幾種狀態：初始化狀態、錯誤狀態、正常狀態（助力提升和助力降低）、預退出狀態和退出狀態。成功上電后系統通過進行初始化完成必要的硬件和軟件激活。初始化成功后，系統進入正常狀態，此模式下分為助力提升和助力降低兩種狀態，車輛在正常行駛時，系統會根據實際工況逐步提升助力轉矩，由于車輛進行原地轉向時阻力較大，系統會快速增加助力轉矩。在正常狀態或者初始化狀態下，若系統檢測到錯誤后，系統會自動跳轉到錯誤狀態并切斷轉矩輸出。當系統需要關閉時會切換到預退出狀態，在接收到硬件下電請求后系統跳轉到退出狀態。

傳統系統狀態機沒有被單獨封裝，許多接口與不同的軟件組件相互關聯，如看門狗、轉子位置傳感器等，會激活一些不必要的模塊而增加功耗。在正常狀態下，即使客戶需要更多不同的狀態，也只能用助力提升和助力降低兩種狀態進行表示，沒有進一步的細分。面對更精確的控制以及能耗要求，傳統系統狀態機已無法滿足整車廠的設計要求。

3 改進型狀態機

為滿足整車廠對轉向系統的控制要求，設計了如圖3 所示的系統狀態機。其包含以下幾種狀態，ECU初始化狀態、軟件初始化狀態、正常狀態、產線狀態、故障狀態、重置狀態、錯誤狀態和應用關閉狀態。

圖1：雙冗余轉向系統

圖2：傳統狀態機

圖3：改進型系統狀態機

ECU 初始化是系統啟動后狀態機模塊的第一個狀態，此狀態主要用于等待硬件庫和基礎軟件的初始化。如果系統需要像轉向角一樣通過通信總線發送信號，則可以在所有需要的信號都可用后立即執行此操作。

在軟件初始化狀態下所有傳感器和執行器都已完全初始化，并且應用程序的接口也已成功激活。應用程序會調用相關應用程序組件的初始化函數，以此實現內部狀態機的初始化。初始化狀態和初始化函數可以實現在不重置系統的情況下重新啟動應用程序或部分應用程序，以此提升軟件響應速度和故障處理能力，也為以后代碼的優化提供了必要基礎。

參照客戶需求，在正常狀態下 EPS 能夠根據系統計算的轉矩要求提供對應的助力輸出。當處在故障狀態下，系統會根據檢測到的故障嚴重程度，通過調用相應的助力降低函數來減少助力輸出比例。如果需要針對不同類型的故障而采取特殊措施，如單獨降低助力級別，則需要在助力控制模塊中進行處理。

產線狀態是一種特殊的狀態，此狀態只能在生產過程中使用而不能用于測試，也不能在整車上進行相關試驗。在這種狀態下EPS所能提供的各種功能與生產需求相同。 相比正常的狀態，將有不同的助力曲線用于助力輸出，診斷事件管理器的配置也會有所不同。

圖4：整體框架設計

圖5：停機許可邏輯

圖6：雙ECU 內部通訊

如果進入到重置狀態，則EPS 必須執行重置或關閉動作。 此時系統會自動記錄與安全相關的數據并在ECU 模塊中完成硬件庫關閉請求。應用關閉狀態是一個過程狀態，在這種狀態下不會進行其他操作，僅僅表示應用程序已完全關閉。

4 整體框架設計

為實現相關系統狀態順利切換，還需要其他組件進行協助，以此共同完成相關操作，整體框架如圖4 所示。

系統狀態機模塊可協調一個完整的生命周期并在發生嚴重錯誤時進行停機處理。系統狀態機模塊控制任務列表在不同的ECU 狀態中切換對應狀態。同時系統狀態機模塊不再控制助力輸出，而是由新增助力控制模塊進行處理。點火信號模塊會檢測停機條件并通過調用停機協助模塊來請求關閉系統。

助力控制模塊主要用于根據系統狀態控制系統的扭矩輸出。 它檢查ECU 狀態和系統的整體狀態，如發動機轉速、車輛速度、點火信號等，并啟用或禁用輸出級別并且通過牽引力控制系統實現扭矩輸出。此模塊可以根據不同車速和請求，選用對應助力曲線。比如某日系車企要求在巡航模式下，盡可能的關閉內燃機或氣缸以節省燃料，此時需要限制助力轉向系統的電流輸出，在睡眠模式時電流輸出也需要被限制；某美系車企要求若發生特殊的故障，需要根據故障等級減小助力大小，比如其中一個扭矩傳感器出現故障，則系統實際輸出助力為需求助力的50%。

將助力控制模塊單獨分離，可以很好的滿足不同客戶的定制需求，避免反復更改系統狀態機模型，大大縮短了開發周期。

客戶定制狀態模塊包含客戶特定的ECU 狀態，當系統狀態進行切換時，此模塊為整車廠的特定功能提供一些選項。

由于閃存、關機、重置、企業服務總線鎖定等原因，停機協助模塊可用于發出系統關機請求。除了客戶端調用關閉請求外，后續所有步驟將自動執行。停機協助模塊會對所有關閉請求進行優先級排序，并將最重要的請求發送到系統狀態機模塊和助力控制模塊。

停機許可模塊會檢查當前各種條件，如車速和轉矩傳感器輸出數值，以確定是否允許關閉助力轉向系統。檢查當前駕駛情況下是否允許停機，并將許可標志發送到助力控制模塊，如圖5 所示。為防止意外停機導致助力突然消失，影響行駛安全，只有存在停機請求并且停機許可申請通過，系統才會執行停機操作。

兩套冗余的系統除了相互獨立提供助力外，還會進行必要的內部通訊，以應對各種突發工況。為了使兩個ECU 之間的功能同步，需要共享的數據使用串行外設接口（SPI）進行通訊，無需實時同步的數據則使用控制器局域網絡（CAN）進行傳輸，其內部通訊結構如圖6 所示。

改進型狀態機將系統狀態進行拆分處理并且將EPS 應用程序也設計成單獨的模塊。為提升通用部件的利用率，將通用狀態處理和客戶特定狀態處理分開。針對不同的系統架構以及客戶特殊需求，可以定制不同的故障處理策略，系統會根據既定的各種故障狀態，執行相對應的動作，防止系統進行不必要的重置和關閉。同時新設計的系統狀態機可以支持雙冗余的ECU 系統及相關控制策略。

5 結語

系統狀態機作為雙冗余電動助力轉向系統的決策模塊，在應對各種工況時起著至關重要的作用。本文在傳統狀態機的基礎上，根據雙冗余設計的思路，設計了改進型的系統狀態機，并將助力控制模塊進行獨立設計，以應對客戶的各種定制化需求，為配合系統狀態機能夠順利運轉，完成了系統的架構設計，為實現雙ECU 功能同步，設計了內部通訊。隨著自動駕駛技術的發展，滿足深度智能駕駛功能安全要求的冗余電動助力轉向系統將逐步普及，雙冗余控制系統的設計方案也將隨之改進，實現成本和性能平衡。