2024年3月26日-28日，2024中国商用车论坛在湖北省十堰市举办。本届论坛由中国汽车工业协会主办，以“新步伐•新成效•新提高，助力商用车产业高质量发展”为主题，基于行业高质量发展要求、国家“双碳”目标实现、汽车产业转型和创新需要，以创新促改革、促转型、促发展，助力商用车产业高质量发展。其中，在3月28日上午举办的“主题论坛二：智能网联技术赋能，加速商用车行业发展”上，东风汽车集团有限公司一级专家苏显念发表精彩演讲。以下内容为现场发言实录：

　　大家好，今天我演讲主题是：基于一体化底盘的线控制动冗余设计。
　　分三个方面，第一背景介绍。
　　这个是我们东风股份在前两年我们开发的滑板底盘，这个滑板底盘上装可以是客车，也可以是货车。左边这个实物图是我们在国内多个场合的展示。高级别自动驾驶，线控制动底盘的冗余设计这个是前提，我们正常情况下在感知，规划，决策执行它是没有问题的，但是如果说我们在某种失效的情况下，这个时候我们有冗余的传感器和线控制动冗余，转向线控冗余来将我们整车的安全风险控制在最低。
　　这个是我们的通信，通常情况下我们的人机交互，导向，决策，这个是上层来确定，我们解决控制部分，执行器之间的信息交付，我要接受自动驾驶域控制器，或者有驾驶员操作情况下发的指令可以响应，同意可以向动力系统发送扭矩请求。这个是我们的横向执行，四个指标，就是转向角跳跃，低速回正，转向角脉冲，最重要是稳态回转特性，判断车辆是转向不足，中性转向还是过渡转向。这个是纵向执行，纵向执行主要在加速度控制和减速度控制，也就是我们平时说得控制油门量，控制刹车量。我们往往通过建立纵向模型，进行大量的测试标定，这实际上可以把减速度控制等同于加速度控制。那么加减速度控制精度实际上体现在车速控制的稳定性和准确性，一般我们加减速度精度控制在0.01g，这个是我们线控底盘的冗余结构，是在滑板情况下，我们这个车底盘和车身是分离的，我们的踏板和底盘物理上已经分离了，这个时候我们冗余怎么解决呢？按照法规讲，这个车既要有电子冗余，又要有机械冗余，这个时候通过制动踏板模拟器上增加两个传感器，一位是角位移传感器，一个是力传感器来解决它的机械冗余。
　　这个是我们线控制动的一个总体的冗余方案，对控制器和执行器来讲，一定要进行冗余设计，我们也是以分层结构为架构，保证信号采集，信号处理，执行过程中抵抗潜在风险的能力。我们系统，我们算法，如果面对异常情况，面对噪声的时候，这个抗干扰能力，是我们线控制动系统生存关键，所以我们做的时候必须冗余要做得比较稳妥。
　　对驾驶员和控制模式的选择，我们通过接收模拟信号，通过接收开关信号，脉冲信号，来判断我这个车应该采用什么样的制动控制策略，是线控，主动安全还是能量回收，通常情况下通过监测我们的电源模块、通信模块，最后监测到这个车制动应该是哪一级的故障，我们做判断。这个是我们的ASIL的对应关系，汽车完整性等级，我们有A、B、C、D，共四级，D级是最严重的。平常刹车抱死，系统无法建压，这些都是最严重的，是不可能接受，我们定义为D。通常我们冗长时间是1秒时间。
　　这个是我们线控制动元器件的一个冗余，我们元器件冗余要强调强弱电分离，这个是相对的，是12伏和5伏，电源芯片分别控制左边的逻辑电路和右边的电机驱动电路。电机驱动电路烧毁不会影响左边的逻辑电路，这样一旦发生故障，我就可以发送逻辑信息，展开下一步的故障解析。这个是一个强电电压，电流监控，电压有电源芯片监控，电流怎么办？通过PID闭环控制方法其中一个积分∫的方法来调节和稳定系统的输出，判断我这个控制器的温度到底有没有升到我要的极限，如果没有，OK，我电机自动运行，如果有问题，这个对不起，要对电流进行限制。电流限制同时要进行故障报警。
　　这个是压力传感器冗余，传感器如果失效或者信号受限，这个时候确实不能反应我们真实的物理量数值，这个时候保证冗余安全，我们有主控和辅助芯片，通过进行对比确定故障状态，如果说我采集我的模拟信号它没有采集到，这个时候我就给它计时5毫秒，然后这个时候故障还没有消失，我就用辅助芯片代替，同时我给它生成一个故障码，并发送报警信息，如果正常就按照正常程序走就可以了。
　　这个是位移传感器冗余，同样失效无法反馈真实的物理量数值，位移传感器是双信号反馈，同一个传感器有两个回路，互为冗余信号的，所以这个时候本身也能保证冗余安全。同样的，我们在主控芯片如果采集不到脉宽调制信号，计时10毫秒，故障没消失，要解析为两个回路采集值相等，就生成故障码，发送报警信息。这个是我们决策模块，决策模块就是我们主控器和辅助控制器，通常情况下是主控器在工作，辅助控制器是不参与工作。当主控器失效，我辅助控制器接管，这个时候辅助控制器的软件与主控制器是一致的。这是一个执行层的冗余，主要是液压双回路，比如说我们这个回路1，前回路，后回路，任何一个回路失效，另外一个回路可以接管，并且我们每个回路里面有压力传感器可以检测液压回路状态。这个是电机双绕组的设计，主要是对液压泵的泵液量的一个调控，对电机转速的控制。电机我们采用的是速度环+电流环的串联式的闭环控制，它是通过信号输出，这样我们上面这一路有位置检测计算，下面有一路位置检测计算，有一路发生故障另外一路可以作为备份去接管。
　　这个是我们一个机械备份，防止踩踏之后回路失效，原理图跟前面略有相似，主要是制动踏板踩下的液压泵入常闭阀后后，要提供一个比较舒适的踏板感。如果系统发生故障，常闭阀将低压蓄能器与主缸隔离，这个时候发送信号，脚踩下泵出的液量，直接流入轮缸就可以了，这个可以做一个机械备份。通过前面来讲，实际上做了几个等级的一个安全冗余设计，我们就是保证自动驾驶车，线控底盘制动的安全，分四级，每一级都能解决难点。
　　第一级，法规强制要求必须满足，彻底断电了，通过机械装置能够满足0.25g的减速度。
　　第二级，电子助力系统失去辅助制动能力，ESC主动制动，可以实现0.4g的减速度。
　　第三级，电子助力系统制动能力有一些衰退，但是能够获得减速度，这个时候也可以有一定的剩余制动效能。
　　第四级，不影响制动功能的失效发生报警，做维修处理。
　　谢谢大家。
　　（注：本文根据现场速记整理，未经演讲嘉宾审阅）