博世IPB - 集成动力制动系统 - One Box集大成者 - 高度自动化驾驶的模块化扩展套件
博世IPB - 集成动力制动系统 - One Box集大成者 - 高度自动化驾驶的模块化扩展套件
这篇文章引自: Bauer, U., Brand, M., Maucher, T. (2017). Integrated Power Brake – modular set extension for highly automated driving. In: Pfeffer, P. (eds) 8th International Munich Chassis Symposium 2017. Proceedings. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-18459-9_48
1. 介绍
随着车辆稳定系统如ESP®和被动安全系统如安全带和安全气囊的引入,驾驶安全得到了改善,在过去几十年中,道路交通事故的死亡人数和严重受伤人数大幅减少。尽管这些安全系统是新型乘用车的最先进技术,但在德国,最近几年的死亡人数仍处于类似水平。与此同时,人们对个人移动的需求仍在增加,这导致交通密度、交通复杂性和司机的压力越来越高。统计数据表明,司机仍然是事故的主要来源。
为了进一步提高驾驶安全性并减轻驾驶员的车辆导航任务负担,如今几乎所有的汽车制造商和供应商都在研究自动驾驶汽车或高度自动化驾驶 highly automated driving(HAD)功能。
这些旨在实现高度自动化驾驶的新技术趋势,与减少二氧化碳排放和提高能源效率的电气化趋势一样,正在为制动和转向架构带来新的挑战和要求。
预计这些高度自动化的驾驶功能将在未来几年进入市场。至少在某些应用场景中,车辆将能够提供无需人类驾驶员帮助或指导的驾驶能力。
目前,这类车辆自主运行的场景种类繁多,往往由新兴技术带来的新商业模式所驱动。
在任何时候,驾驶员都对车辆的操作和导航负有完全责任的辅助功能区域之外,一些特定的用例将由自动驾驶功能提供支持。
目前,自动驾驶的第一批应用场景主要针对高速公路上的驾驶情况,比如在交通拥堵的情况下驾驶,甚至像人类司机一样在高速公路上驾驶。从这些应用场景开始的优势在于,在这些驾驶情况下车辆的动态受到限制,而且意外事件在定义的环境中较为罕见或被排除在外。例如,行人不会无视交通规则横穿马路,自行车不会随意变道,孩子们也不会在道路附近玩耍,从而导致需要紧急操作的情况。在交通拥堵的情况下,车辆和环境的动态被降至最低,这非常适合开始此类应用。
目前,人们关注的是允许驾驶员在一定时间内从车辆驾驶中解脱出来的应用,只要没有故障发生或车辆在定义的范围内(例如,在已开放的高速公路上或交通拥堵的情况下)行驶。然而,驾驶员必须仍然在场,以便在辅助系统出现故障时接管控制,但不是在故障事件发生时立即接管。另一种类似的应用是限制车辆动态和意外情况的自动停车,例如在特定情况下的自动停车。这可能导致这样的应用,即车辆能够在没有驾驶员坐在驾驶位的情况下执行停车操作,但在其行动范围内监控车辆环境或在出现任何故障时做出相应反应。
下一步的进化步骤已经在进行中,这些应用将使汽车能够在没有人类司机坐在驾驶座的情况下在城市环境中行驶。由于交通或意外事件等原因,可能会出现更复杂的动态情况,这可能需要对系统架构(例如增加传感器数量)提出更高的要求。
2. 技术现状
2.1 刹车系统架构
通过对驱动系统进行电气化并对能源效率进行优化,市场上推出了新的制动系统。除了传统的基于真空的伺服制动系统外,还有其他高效的制动系统可供选择,例如电子机械制动助力器(例如iBooster)或集成动力制动系统(例如IPB),它将制动助力和车轮独立调节功能集成到一个单元中。
对于集成式制动系统,必须同时考虑法律要求(例如ECE R13-H)和功能安全方面(例如ISO26262)。如果制动系统出现故障,则假设驾驶员可以通过机械备用系统控制车辆,并在收到相应警告后调整驾驶行为。例如,从功能安全分析的角度来看,对于在机械备用系统切换期间可实现的减速度存在要求:在制动助力器失效的情况下,驾驶员必须能够通过施加500N的踏板力实现车辆最小4.8m/s²的减速度(ASIL-A)。与伺服制动系统相比,集成制动系统IPB在机械备用系统中的更高减速度要求是由于缺少冗余而导致的失效概率。
集成式制动系统将踏板感觉方面的因素与机械备用性能的设计分离开来。因此,在不产生负面踏板感觉影响的情况下,可以减小双联主缸 the tandem master cylin-der (TMC)的直径,同时在液压备用模式下,使用相同的输入力可以达到更高的液压压力。由于当前车辆的踏板框架相对固定,因此踏板比率和最大踏板行程无法进行调整。因此,双联主缸TMC的行程几乎保持不变,而减小双联主缸TMC的直径会导致在机械备用模式下特别需要用于制动的双联主缸TMC中可用的制动液量减少。
在机械备用制动系统的制动系统尺寸设计中,根据ECE R13-H的要求,除了考虑集成制动系统IPB的踏板力外,还必须考虑制动液体积的强度。这与通常只考虑力要求的伺服制动系统中的机械备用制动不同,因为传统的双联主缸TMC尺寸设计侧重于制动衰减情况下的液压备用制动的液量消耗要求,并因此为液压备用制动提供足够的制动液量。
在潜在的机械备份情况下,由于制动液有限,将无法达到法定最低减速度(>2.44m/s²),必须通知驾驶员(例如通过警示灯或短信)需要对制动系统进行维修。驾驶员必须意识到,在制动助力失效的情况下,可能存在降低刹车性能的风险。
为了实现集成制动系统IPB和刹车液体的容量稳定性,需要考虑基础制动器(例如锥度磨损、空气、冲击)在使用寿命内的变化,并且同时确保驾驶员不会过早收到警告(防止误报),以及不会无谓地降低车辆可用性。
除了考虑车辆在整个使用寿命期间由于基础变化而导致的体积变化外,还必须进一步考虑制动系统尺寸问题,因为用于评估的传感器存在测量误差,这可能会导致过早的驾驶员警告(假阳性)。
这些考虑导致了警告限值的矛盾目标:
● 没有事先对司机进行警告而导致的制动性能下降是不可接受的,因此需要可靠且及时的司机警告。
● 避免因警告灯而产生错误的警告或因警告灯而导致车辆可用性降低,因此需要非常坚固且残留概率极低的警告。
因此,在制动系统尺寸设计中,必须考虑到超过仅满足法定最小减速度所需的体积储备,以确保在机械备份(制动助力器故障)情况下的合法最低减速。通过这种刹车液体容量储备,可以在鲁棒性、安全性和可用性之间取得良好的折衷。
从车辆的角度来看,IPB只是整个制动功能链的一个组成部分。制动功能链的其他所有组件,如踏板比率、踏板行程或基础制动器等,均不在IPB的系统范围内,但也会影响机械备份的制动性能。因此,OEM(原始设备制造商)有责任确保制动功能链的整体功能能够满足所有法律、安全和功能要求。
2.2 从驾驶辅助到高度自动化驾驶
今天我们已经有非常强大的制动系统。这些系统可以通过外部功能的命令来减速车辆,在高速公路驾驶、保持与前车的距离、变道或停车操作等多个使用场景中辅助司机。这些需求需要高动态性能和良好的NVH支持。
然而,尽管该功能的舒适性和可靠性已经达到了非常高的水平,但驾驶员在任何时候都仍然对车辆的运行负有责任。如果刹车系统出现故障或者辅助功能在环境、驾驶情况或轨迹规划方面出现问题,就特别需要这种功能。司机有责任控制车辆,即使刹车系统出现故障(机械备用系统),也必须能够使车辆处于安全状态。
在我们从辅助功能过渡到高度自动化甚至完全自动化系统的过程中,司机的责任逐步被移除。
从辅助驾驶功能(≤Level 2)到自动驾驶功能(Level 3)的第一步是,驾驶员必须仍然坐在驾驶位上,但可以将完整的驾驶操作交给自动系统,用于特定的用例。如果出现故障或超出了定义的用例区域,驾驶员必须接管控制。在非常罕见的情况下,如果驾驶员无法接管控制,自动系统必须提供将车辆恢复到安全状态的能力。从辅助驾驶功能(≤Level 2)到自动驾驶功能(Level 3)的第一步是,驾驶员必须仍然坐在驾驶位上,但可以将完整的驾驶操作交给自动系统,用于特定的用例。如果出现故障或超出了定义的用例区域,驾驶员必须接管控制。在非常罕见的情况下,如果驾驶员无法接管控制,自动系统必须提供将车辆恢复到安全状态的能力。
对于支持自动化level 4/5的应用程序,驾驶员不再必须坐在驾驶位上,因此车辆必须在不依赖驾驶员的情况下保持运行并使车辆恢复到安全状态。
3. 高度自动化驾驶的要求
无论是驾驶辅助功能还是高度自动化功能都会导致对制动系统和制动系统架构提出新的和不同的要求。考虑到飞机的情况,对“制动”的基本功能的可用性有更高的要求,因为在发生故障后,驾驶员可能不会再次接管控制车辆的任务。
目前的刹车系统是按照现有的法律要求(例如ECE R13-H)设计为“安全失效”装置。这意味着,刹车系统出现故障是可以接受的,因为驾驶员在任何时候都有责任和能力通过踩刹车踏板来接管控制。这就是为什么今天带有机械推杆的刹车踏板是动力刹车系统的必要设计元素。由于有推杆,驾驶员可以在不丧失减速调节能力的情况下处理所有电气故障。
此外,今天的系统甚至可能利用司机的可用性,因为司机可能是“功能设计”的一部分,或者即使没有详细了解这些(例如,司机必须踩下制动踏板才能释放换挡杆),也可能会接管一些功能方面的设计。对于机械和安全相关的设计,也需要考虑司机的因素,因为可以假设在每次刹车动作中,司机都可以通过踩下制动踏板来提供支持。
实际上,驾驶员是当今刹车系统的高可用性备份,其性能限制已被接受。将驾驶员作为备用并设计刹车系统为“安全失效”模式,可提供非常高的可用性,同时接受单个故障可能导致轮个别调节或刹车增压能力完全丧失的情况。将驾驶员作为备用的这种方法同时允许在一定程度上减少监控需求,因为一些监控任务已转移到驾驶员身上(例如,指示踩刹车踏板时的特定噪音或感觉)。
3.1 基于当前技术水平的制动系统要求
通常来说,可以从驱动刹车系统的驱动程序的能力中推导出备份模式的相关要求。这些能力是已知的、被接受的,并定义了当前的技术水平。
因此,刹车系统的备份模式操作能力必须能够在与驾驶员无交互的情况下提供与人类驾驶员在类似故障情况下相似的性能。
如果在一套先进的刹车系统中,ESP单元出现故障,司机完全有能力操作车辆直至达到安全状态。在这种情况下,系统可能无法提供任何支持,因此,刹车系统提供的主要调节功能必须由司机通过踩刹车踏板来实现。
因此,当今最先进的刹车系统都有一个备用系统——那就是人类驾驶员。
然而,在上述失效情况下,车轮的个体调节能力是有限的(例如,通过驾驶员对一个通道的调节来维持车辆的稳定性或提供转向能力)。
这意味着在与自动驾驶相关的类似故障情况下,采用与当前技术水平相符的相同策略或甚至相同的性能就足以应对。
与这种技术先进的驾驶员相对应,可以得出这样的结论:刹车系统的能力足以实现足够的减速,使车辆保持纵向稳定(在类似故障情况下,人类驾驶员也无法提供横向稳定性控制),并且也能在与人类驾驶员相似的水平上提供足够的转向能力。
从现场数据可知,当车辆的最小减速能力达到6.4米/秒²(服务刹车性能)时,大约可以覆盖99%的刹车事件。因此,现场数据是获取备用性能要求的另一项有价值的来源。在大多数情况下,还建议降低车辆的速度。
3.2 高度自动驾驶对制动系统的要求
由于过去两年内自动驾驶需求增长迅速,因此针对各自需求和要求的产品开发工作也随之加快。
因此,对于自动驾驶,当前的做法是重用已知的现有的安全装置,并对其进行改进以满足汽车制造商(OEM)的愿景和概念要求。
然而,这并不意味着仅仅将制动系统执行器数量翻倍、增加一些压力建立或纵向稳定性控制能力就足够了。此外,这些系统必须能够支持在没有已知可靠的驾驶员可以接管责任的情况下(例如,在监控、制动助力或作为整体功能概念的一部分)的用例。
实际上,自动驾驶道路上的最大挑战是制定故障处理要求,并扩展安全设计的设备,以满足自动驾驶的要求。
这导致了从安全制动系统到操作制动系统架构的转变。
对于自动驾驶(特别是自动驾驶等级>=4级),系统内必须共享驾驶员的职责。因此,必须在车辆系统的设计阶段确定哪些职责原本由驾驶员承担,并将其分配给系统内的其他组件。
3.3 HAD(高度自动驾驶)备份的稳定要求
如前所述,当前的刹车系统依赖于机械辅助来发挥作用,而这种辅助依赖于人类驾驶员的能力。因此,在自动驾驶的辅助模式下,不需要进行横向稳定性控制,因为在类似的故障情况下,普通人类驾驶员无法提供此类控制。
另一条论证线来自德国道路交通事故的统计数据。假设车辆距离最近的安全停车点的距离(例如道路建设的应急车道),并假设在高度自动化模式下不具备横向稳定性控制功能的最坏情况,可以证明,在高度自动化模式下的倒车操作中,通过实施横向稳定性控制来避免严重伤害的统计益处将会非常低。
所有可用的统计数据都是基于由人类驾驶员驾驶的车辆。因为这些驾驶员也是事故的来源,因此可以得出结论,这种经过评估的预测相当保守。如果考虑到自动驾驶功能的故障率将低于人类,交通规则和物理限制通常会被正确理解,那么从当前数据中看到的统计学益处将高于预期的高度自动化驾驶。
3.4 制动系统对E/E架构的要求
电子/电气架构还必须防止共同原因引起的故障,这可能影响主制动系统和备用制动系统。例如,可以将车轮速度传感器的功能和可用性分离来解决这个问题。
冗余是可能的解决方案,但仅仅将每个组件(例如飞机或核电站中的组件)加倍或甚至加倍,将会使单个车辆的复杂度和成本非常高。
因此,需要在制动功能的可用性(即使在故障情况下)、安全性和成本之间进行权衡。
对于Level 3和Level 4/5应用,可以通过两个独立的执行器实现制动能力冗余。然而,制动功能的可用性也受到其他车辆组件(如传感器、通信网络或电源)的限制。因此,高度自动化车辆的制动系统需要基本的基础设施,以便以安全可靠的方式运行。应提供两个独立的电源,并通过冗余通信网络在制动系统执行器和冗余HAD导向单元之间实现通信。对于自动驾驶车辆的制动系统,必须实现关键传感器的冗余,以满足要求。
通过引入这种基本冗余,自动驾驶的制动系统可以设计为一个虚拟的整体,其与上层HAD引导单元的接口非常精简,该单元负责处理制动所需的冗余。
3.5 与集成制动系统相关的要求
无论当前汽车技术向电气化和高度自动化驾驶方向如何发展,预计未来几年内,制动系统仍将基于液压技术。
为了确保与安全相关的制动系统能够在市场上得到认可,必须使能够制动的能力的剩余故障率非常低(与高度自动化驾驶无关)。因此,作为主要制动系统的集成制动系统通常会根据制动请求(来自人类或人工驾驶者)独立地建立所需的制动压力。作为辅助装置的冗余制动单元(RBU)必须确保在主要制动系统失效时仍能实现制动功能,但这种情况非常罕见。
由于主制动系统(IPB)是车辆的主要制动系统,因此冗余制动单元(RBU)不应影响其功能、安全性或模块化设计,或者这些影响应尽可能减小。
RBU本身应该重用ESP中已建立的组件,作为快速市场引入和为高度自动化车辆提供成本有吸引力的解决方案的促进者。
4. 带冗余制动单元的IPB概念
4.1 可能的液压Hydraulic系统架构
对于高度自动化的驾驶功能,如集成式制动系统(IPB)必须通过增加冗余制动单元(RBU)来扩展,以确保车辆在所有单个故障条件下的主动减速、纵向稳定性和转向能力。
下图展示了IPB的基本液压结构以及将RBU与IPB连接的几种不同可能性。
为了区分潜在的RBU的制动液供应路径,如果供应路径直接连接到制动液储液罐,则使用字母“p”进行标记。如果供应路径通过TMC直接连接,则使用字母“s”。电路分离阀(CSVx)通常处于开启状态,可以将TMC连接或断开轮毂电路。与常闭的活塞分离阀(PSVx)一起使用,可以选择启用线控模式或机械备用模式。进气阀(IVxx)和未显示的出气阀是传统的ABS阀,用于调节车轮压力。通过添加一个测试分离阀(TSV),可以关闭TMC与制动液储液罐之间的连接。
下表展示了将RBU和IPB连接起来的不同可能性的描述:
根据以下标准,对RBU与IPB的不同连接方式进行了评估。在评估中,对每个要求的重要性进行了相应的考虑:
因为只有在主制动单元(IPB)失效时,RBU才会启动以建立液压压力,因此可以明显看出,RBU在车辆整个使用寿命中的激活时间非常低。通常,IPB单元执行制动请求,因此可以得出结论,RBU对IPB功能和安全性的副作用应尽可能减小。从功能角度来看,这尤其适用于压力建立和压力降低的动态过程。
低复杂度的电气和通信网络也需要高度重视,尤其是对于混合平台(有/无HAD),以避免E/E架构的高波动性。此外,对于混合平台的自动停车制动(APB)架构的一致性也需要进行评估。
除了设计和包装对IPB模块化套件的影响外,RBU本身的功能也非常重要。必须具备与人类驾驶员一样的制动性能、纵向稳定性和转向能力。此外,还必须能够随时检测到驾驶员打算通过踩刹车踏板来接管控制。
4.2 液压冗余制动单元RBU设计
基于QFD分析,概念3s是扩展IPB模块化组件的合适解决方案。
主要优点如下:
● IPB核心功能不受影响,对IPB软件和硬件的影响最小
● 从安全角度来看,对IPB的副作用最小
● 可在四个车轮上施加液压压力,以提高服务制动性能
● 纵向车辆稳定性、防止车轮抱死和转向能力
● 可在任何时候检测到驾驶员接管踏板的操作
● 无需在IPB和RBU之间共享功能(网络复杂性低)
● 防止混合平台(有无HAD)中自动驻车制动器(APB)采用不同的架构
● 对HAD车辆和非HAD车辆采用可扩展设计,且所需努力最小
在IPB模块化系统内部,必须考虑一些前提条件。为了能够与RBU连接,IPB需要额外的液压接口,因此其组件必须相同,并且需要使用相同的ECU/HU接口,以确保能够使用相同的ECU,轮毂接口的位置也必须相同,并且出于包装考虑,其外部形状也应相同。
可以确定满足这些设计要求的设计方案,并以最小的偏差扩展IPB模块集。
RBU的设计可以重用ESP中已建立的组件,如阀门、泵和电子元件,以及从大规模高质量制造和装配过程中积累的经验。
5. 总结与展望
汽车的制动系统与安全息息相关,因此为高度自动化驾驶的车辆配备的制动单元必须是安全的、可控的和可靠的。制动单元扩展必须独立于主制动单元,以实现独立的压力建立单元,以满足失效操作特性。这个备用制动单元必须在主制动单元出现故障时接管车辆制动的任务和职责。因此,备用单元必须能够提供与人工操作车辆和制动系统时类似的功能范围。
尽管初级制动单元的可用性很高,但辅助制动单元仍应提供车辆的服务制动性能和纵向稳定性。然而,考虑到人类驾驶员的能力,建议高度自动化的驾驶功能在初级制动单元出现故障时应调整其驾驶策略,以更加谨慎和安全。通过这种基于人类驾驶员在这种非常罕见的故障情况下的能力的智能驾驶策略调整,似乎辅助制动单元不需要提供与初级制动和稳定单元完全冗余的功能。
集成动力制动系统(IPB)的扩展导致了冗余制动单元(RBU)的概念。为了将IPB与RBU连接起来,需要额外的液压制动软管。
通常情况下,RBU只有在IPB单元失效时才起作用。这种情况非常罕见,因此RBU不应该影响IPB的功能或安全性。这可能会导致一些目标冲突,并需要考虑RBU功能的妥协。本报告中概述的RBU方法在最小程度上影响了IPB的功能和安全性。在设计中,还将考虑将RBU与IPB连接的额外端口,以及模块集的可变性。
进一步将RBU集成到IPB中是一个经常被讨论的话题。不幸的是,由于某些组件(如齿轮或密封件)的冗余性无法实现,因此将所有组件集成到一个盒子中可能会导致单个故障同时影响两条冗余路径,最终导致高度自动化车辆的制动能力完全丧失。从目前的角度来看,这些无法实现冗余的组件的现场数据可靠性经验还不够深入。因此,在进行这一潜在的集成步骤之前,有必要基于现场数据确定这些潜在的共同故障组件的可靠性数据,以确保符合高度自动化驾驶功能的ASIL-D要求。
您的支持就是我的最大动力,可以关注公众号 “艾格北峰汽车电子”