Ve vysoce automatizovaném jízdním režimu by vozidlo mělo následovat předem vypočítanou a zvolenou trajektorii. Dráhu trajektorie provádí inteligentní systém, který má na vstupu povelový vektor a na výstupu pohony drive-by-wire. Vrstva provádění trajektorie se skládá ze subsystémů drive-by-wire (x-by-wire), jako je
- Plyn po drátě
- Steer-by-wire
- Brake-by-wire
- Shift-by-wire
Systémy Drive-by-wire ovládají konkrétní subsystém vozidla bez mechanických spojení, pouze prostřednictvím elektronického (drátového) ovládání. Tato technologie má v leteckém průmyslu delší historii a v roce 320 představila první plně řízené letadlo po drátě, Airbus A1987.
Až do konce 1980. let měla většina vozů mechanické, hydraulické nebo pneumatické spojení (jako je bowden škrticí klapky, sloupek řízení, hydraulická brzda atd.) mezi HMI a pohonem. Sériová výroba systémů x-by-wire byla zavedena s aplikacemi throttle-by-wire (elektronické ovládání plynu) v řízení motoru, kde byl dřívější mechanický bowden nahrazen elektronicky řízenými součástmi. Elektronické ovládání plynu (ETC) bylo prvním tzv. x-by-wire systémem, který nahradil mechanické zapojení. Používání systémů ETC se stalo standardem u systémů vozidel, které umožňuje pokročilé řízení hnacího ústrojí, splnění a zlepšení emisí a zlepšení jízdních vlastností. Dnes jsou aplikace škrticí klapky standardem u všech moderních modelů vozidel. (Zdroj: [89])
Obrázek 7.1. Inteligentní akční členy ovlivňující dynamiku vozidla (Zdroj: Prof. Palkovics)
Obrázek výše ukazuje inteligentní akční členy ve vozidle, které mají silný vliv na dynamiku vozidla. Systémy škrticí klapky umožňují ovládání točivého momentu motoru bez dotyku plynového pedálu, systémy steer-by-wire umožňují autonomní řízení vozidla, systémy brake-by-wire poskytují distribuovanou brzdnou sílu bez dotyku brzdového pedálu, řazení- by-wire systémy umožňují automatickou volbu správného převodového stupně.
Pro zajištění vysoce automatizovaných funkcí vozidla jsou inteligentní akční členy povinnými požadavky. Například pro základní funkci tempomatu je vyžadován pouze aktuátor plynu po drátě, ale pokud rozšíříme funkcionalitu adaptivního tempomatu, nezbytným předpokladem bude také podsystém brzda po drátě. Přidáním aktuátoru shift-by-wire je možné zajistit ještě pohodlnější funkci ACC. Subsystémy Steer-by-wire se stávají důležitými, když je realizováno nejen podélné, ale i příčné řízení vozidla, např. hlídání jízdního pruhu, dočasný autopilot.
Obrázek 7.2. Role komunikačních sítí v řízení pohybu (Zdroj: Prof. Spiegelberg)
Každý z těchto inteligentních akčních členů je zodpovědný za určitou oblast řízení dynamiky vozidla, zatímco celý pohyb vozidla (provádění trajektorie) je organizován takzvaným ovladačem hnacího ústrojí. Řídicí jednotka hnacího ústrojí odděluje a rozděluje komplexní úkoly pro splnění pohybu vozidla definovaného pohybovým vektorem.
Zde je třeba poznamenat ještě jeden systém, a to systém aktivního odpružení. Odpružení není typickým ovladačem, protože obecně jde o systém odpružení a tlumení, který spojuje vozidlo s jeho koly a umožňuje vzájemný relativní pohyb. Řidič nemůže ovlivnit pohyb vozidla přímým zásahem do zavěšení. Moderní vozidla umí zajistit systém aktivního odpružení především pro zvýšení jízdního komfortu a navíc pro zvýšení stability vozidla a tím i bezpečnosti. V tomto případě může elektronický ovladač ovlivnit dynamiku vozidla systémem odpružení.
7.1. Automobilové sítě
V automobilovém průmyslu se paralelně používá několik komunikačních sítí, viz [90]. V této podkapitole je podrobně popsána technologie CAN, protože jde o nejrozšířenější standard v oblasti aplikací hnacích ústrojí.
Controller Area Network (CAN) je sériový komunikační protokol, který efektivně podporuje distribuované řízení v reálném čase s velmi vysokou úrovní zabezpečení. Jeho oblast použití sahá od vysokorychlostních sítí až po nízkonákladové multiplexní rozvody. V automobilové elektronice jsou elektronické řídicí jednotky (ECU) propojeny pomocí CAN a vzájemně si mění informace rychlostí až 1 Mbit/s.
CAN je multi-master sběrnice s otevřenou lineární strukturou s jednou logickou sběrnicí a stejnými uzly. Počet uzlů není omezen protokolem. Fyzicky je sběrnicová linka (obrázek 6) kroucená dvoulinka zakončená ukončovací sítí A a ukončovací sítí B. Je třeba se vyhnout umístění zakončení v uzlu CAN, protože sběrnicové linky ztrácejí zakončení, pokud je tento uzel CAN odpojen od sběrnice. čára. Sběrnice je v recesivním stavu, pokud jsou vypnuty ovladače sběrnice všech uzlů CAN. V tomto případě je střední napětí sběrnice generováno zakončením a vysokým vnitřním odporem každého přijímacího obvodu uzlů CAN. Dominantní bit je odeslán do sběrnice, pokud jsou zapnuty ovladače sběrnice alespoň jedné jednotky. To indukuje tok proudu přes zakončovací odpory a následně rozdílové napětí mezi dvěma vodiči sběrnice. Dominantní a recesivní stavy jsou detekovány transformací rozdílových napětí sběrnice na odpovídající recesivní a dominantní napěťové úrovně na vstupu komparátoru přijímacího obvodu.
Obrázek 7.3. Struktura sběrnice CAN (Zdroj: ISO 11898-2)
Standard CAN (viz [91], [92]) udává specifikaci, kterou budou splňovat kabely zvolené pro sběrnici CAN. Cílem těchto specifikací je standardizovat elektrické charakteristiky a nikoli specifikovat mechanické a materiálové parametry kabelu. Kromě toho zakončovací odpor použitý ve zakončení A a zakončení B bude také vyhovovat limitům specifikovaným v normě.
Kromě fyzické vrstvy standard CAN také specifikuje vrstvu datového spoje ISO/OSI. CAN používá velmi efektivní metodu přístupu k médiím založenou na principu arbitráže nazvaném «Carrier Sense Multiple Access with Arbitration on Message Priority». Shrneme-li vlastnosti sítě CAN, specifikace CAN jsou následující:
- upřednostňování zpráv
- operace založená na událostech
- flexibilita konfigurace
- příjem multicast s časovou synchronizací
- celosystémová konzistence dat
- multi-master
- detekce a signalizace chyb
- automatické opakování přenosu poškozených zpráv, jakmile je sběrnice opět nečinná
- rozlišení mezi dočasnými chybami a trvalými poruchami uzlů a autonomním vypínáním vadných uzlů
Tyto vlastnosti umožňují použití technologie CAN v automobilovém prostředí a zejména v systémech kritických z hlediska bezpečnosti. Ačkoli omezení CAN nedávno vyvolala vývoj nových sběrnicových systémů, jako je FlexRay s vyšší šířkou pásma, deterministickým časově spouštěným provozem a architekturou odolnou vůči chybám, CAN bude v automobilovém průmyslu v příštím desetiletí stále nevyhnutelný.
7.2. Bezpečnostní kritické systémy
Z hlediska bezpečnosti můžeme inteligentní akční členy kategorizovat do dvou skupin podle toho, zda porucha v systému může vést ke zranění osob a/nebo těžkým škodám:
- Podsystém kritický pro bezpečnost (např. steer-by-wire, brake-by-wire, plyn po drátě)
- Bezpečně kritický subsystém (např. shift-by-wire, aktivní odpružení)
Tyto bezpečnostní aspekty mají deterministický vliv na architekturu subsystému. Zatímco v případě systémů kritických z hlediska bezpečnosti je architektura odolná proti poruchám nezbytným požadavkem, u systémů, které nejsou kritické z hlediska bezpečnosti, není vyžadována žádná nebo omezená záložní funkce.
Požadovanou úroveň bezpečnosti lze vysledovat zpět k analýze rizik potenciální poruchy. Při analýze rizik se bere v úvahu pravděpodobnost selhání a závažnost výsledku. Na základě tohoto přístupu lze riziko selhání kategorizovat do vrstev, jako je nízké, střední nebo vysoké, jak je vidět na následujícím obrázku:
Obrázek 7.4. Kategorizace selhání během analýzy rizik (Zdroj: EJJT5.1Tóth)
Norma IEC61508 znamená „Funkční bezpečnost elektrických/elektronických/programovatelných elektronických (E/E/PE) bezpečnostních systémů“ Norma IEC61508 poskytuje komplexní návod pro navrhování elektronických systémů, kde je koncept založen na
- analýza rizik,
- identifikace bezpečnostních požadavků,
- design,
- provádění a
- validace.
Zdroj: IEC61508 „Funkční bezpečnost elektrických/elektronických/programovatelných elektronických (E/E/PE) bezpečnostních systémů“
Spolehlivost shrnuje funkční spolehlivost systému, což znamená, že určitá funkce je nebo není řidiči k dispozici. Existují různé aspekty spolehlivosti, především dostupnost, což znamená, že systém by měl plnit funkci kdy je to požadováno řidičem (např. vozidlo by mělo zpomalit kdy řidič sešlápne brzdový pedál). Dalším aspektem je spolehlivost, která ukazuje, že dodaná služba funguje as požadováno (např. vozidlo by mělo více zpomalit as řidič více sešlápne brzdový pedál). Bezpečnost tímto způsobem znamená, že systém, který tuto funkci poskytuje, funguje bez nebezpečných poruch. Funkční zabezpečení zajišťuje, že systém je chráněn proti náhodnému nebo úmyslnému vniknutí (toto je stále důležitější, protože hackování vozidel se stalo v poslední době problémem [93][94][95]). Existují další důležité vlastnosti, které lze definovat jako součást spolehlivosti, jako je udržovatelnost, opravitelnost, která má skutečnou přidanou hodnotu během provozu a údržby. Níže uvedený obrázek ukazuje blokové schéma popisující charakteristiky funkční spolehlivosti.
Obrázek 7.5. Charakterizace funkční spolehlivosti (Zdroj: EJJT5.1 Tóth)
V dnešních elektronicky řízených bezpečnostních kritických systémech je obvykle alespoň jeden mechanický záložní systém. V důsledku toho může být pravděpodobnost ztráty funkce s mechanickou zálohou (1E+1M — jeden elektrický systém a jedna architektura mechanického systému) tak nízká jako P < 1*10-8, zatímco pravděpodobnost ztráty funkce bez mechanického záloha (1E - samotná architektura) je kolem P < 1*10-4. Cílem návrhu bezpečnostní architektury je zajistit úroveň spolehlivosti (dostupnosti) kolem P < 1*10-8 v případě architektur 2E systému (elektronický systém s elektronickým zálohováním) bez mechanického zálohování.
Bezpečnostní architektonický návrh znamená zvážení všech potenciálních poruch a příslušné návrhové odpovědi na všechny tyto problémy. Nejjednodušší odpovědí na vytvoření systému odolného vůči chybám, aby se předešlo tomu, že by jedna porucha mohla mít za následek úplnou ztrátu funkce, je duplikovat systém a rozšířit jej o arbitrážní logiku. V případě redundantního systému rozšířeného o arbitrážní logiku nejsou dílčí komponenty jednoduše duplikovány, ale výše je koordinační řízení, které umožňuje (nebo deaktivuje) řízení výstupů na základě porovnání dvou vypočítaných výstupů redundantních subsystémů. V případě, že oba subsystémy mají stejný výstup (a žádný z nich neidentifikoval chyby), je povolen celkový výstup systému. I v případě redundance existuje několik triků, jak zvýšit úroveň bezpečnosti systému. Bezpečnostní inženýři si například brzy uvědomili, že je velký rozdíl, jestli se redundantní subsystémy skládají z fyzicky stejných (hardware a software) nebo fyzicky odlišných komponent. Dřívější řešení používaly pouze dvě fyzicky stejné komponenty pro redundanci, ale dnes jsou různé hardwarové a softwarové komponenty předdefinovanými požadavky na odstranění systematických selhání způsobených chybami návrhu a/nebo softwaru.
Redundance a dohled nejsou problémem pouze v případě architektur odolných vůči chybám, přístup zaměřený na bezpečnost lze pozorovat také u návrhu ECU (elektronické řídicí jednotky). Rané a jednoduché ECU byly pouze systémy s jedním procesorem; zatímco později – zejména v řízení brzdového systému – se architektura se dvěma procesory rozšířila. Zpočátku byly tyto dva procesory stejné mikrokontroléry (např. Intel C196) se stejným softwarem (firmwarem) uvnitř. V tomto uspořádání mají oba mikrokontroléry přístup ke všem vstupním signálům, individuálně provádějí vnitřní výpočty založené na stejném algoritmu, z nichž každý vede k vypočítanému výstupnímu příkazu. Tyto dva výstupy se pak vzájemně porovnávají a pouze v případě, že oba regulátory dojdou ke stejnému výsledku (bez zjištěných chyb), je řízen výstup ECU. Tato takzvaná architektura procesoru A-A byla významným krokem vpřed v bezpečnosti (ve srovnání se systémy s jedním procesorem), ale bezpečnostní inženýři rychle pochopili, že tento přístup nezabrání ztrátě systému v případě systematických poruch (např. hardwarová chyba mikrokontroléru nebo chyba implementace softwaru) . To je důvod, proč byla později představena architektura procesoru A-B. V A-B procesorovém přístupu se dva řadiče fyzicky musí od sebe lišit. Obvykle je řadič A větší a výkonnější (s větší kapacitou paměti, má větší výpočetní výkon) než řadič B. Kontrolér A je často identifikován jako „hlavní“ kontrolér, zatímco kontrolér B je často označován jako „bezpečnostní“ kontrolér, protože v tomto rozdělení úloh je kontrolér A odpovědný za funkčnost, zatímco kontrolér B má pouze úkoly pro kontrolu A. ovladač. Regulátor B má přístup také ke vstupům regulátoru A, ale algoritmy uvnitř jsou zcela odlišné. Regulátor B také provádí výpočty na základě vstupních signálů, ale nejedná se o podrobné výpočty, pouze o základní výpočty na vyšší úrovni kontroly „jako pravidlo palce“. Různý hardware a různé softwarové algoritmy v návrhu procesoru A-B prokázaly jeho vynikající spolehlivost.
Kromě různých architektur řídicích jednotek existují také různé druhy vyhrazené řídicí elektroniky, které jsou široce používány v automobilovém elektronickém průmyslu. Nejvýznamnější z nich jsou tzv. „hlídací“ obvody. Hlídací psi jsou obecně samostatná elektronická zařízení, která mají přednastavený vnitřní časovač alarmu. Pokud hlídací pes nedostane signál „vše je v pořádku“ z hlavního ovladače v předem definovaném časovém rámci, hlídací pes vygeneruje hardwarový reset celého obvodu (ECU). K dispozici jsou nejen jednoduché hlídací integrované obvody, ale i složitější (např. okénkové hlídací hlídky), avšak teorie činnosti je v zásadě stejná.
Až dosud byly požadavky na odolnost vůči poruchám sledovány pouze z funkčního hlediska, zatímco jednoduchá porucha v systému zásobování energií může také snadno vést ke ztrátě funkce. Proto je povinným požadavkem pro bezpečné zásobování elektrickou energií bezpečných subsystémů drive-by-wire souvisejících s bezpečností podsystém řízení elektrické energie (např. steer-by-wire, brake-by-wire). Následující obrázek ukazuje blokové schéma redundantní architektury řízení energie (kde PTC znamená Powertrain Controller, SbW znamená Steer by Wire a BbW znamená Brake by Wire subsystémy).