EPB功能安全筆記(4)：EPB系統架構分析和功能總結

本文要點

在上文（EPB功能安全筆記(3)：如何定義一條完整的Safety Goal？）中，闡述了功能安全需求的基本屬性。Safety Goal作為最高層級（整車層）的功能安全需求，研究對象所涉及的每一條Safety Goal都應該定義清楚ASIL等級、FTTI、safe state等基本屬性，隻有這樣Safety Goal才能作為頂層的功能安全開發目标用以指導接下來的功能安全開發工作。

而從另一個角度看，。為什麼這麼說呢？結合前面幾期内容大家可以發現，Safety Goal是在不需要知道EPB系統架構的情況下就可以被完整定義出來的。但是概念層終究是空中樓閣式的，最終Safety Goal的實作是需要依賴于系統架構以及架構中的要素（如軟體、硬體）。比如Safety Goal要求EPB系統不能産生非預期的減速度，那麼就需要先明确減速度的計算與EPB系統架構中的哪些要素相關。換句話說，要想實作Safety Goal，就必須結合系統架構将Safety Goal細化為更具體的功能安全需求并配置設定給系統架構中的要素，這一活動在ISO 26262中被稱為“技術安全要求定義”。

安全要求的結構

基于此，本期和下期将基于VDA 305标準分别對EPB系統架構和軟體接口進行說明，為後面定義EPB系統的技術安全要求提供依據。

VDA 305标準的誕生背景和目的

在開始系統描述之前，先問一個問題：

EPB系統由兩部分組成：

• 産生駐車力的駐車執行機構（卡鉗和控制卡鉗的電機）
• 控制駐車執行機構的電子控制單元（ECU），包含軟體和硬體。

但是，為什麼在車輛配置清單中沒有單獨的EPB ECU？

電子手刹正在逐漸替代機械手刹

實際上，市場上99%的EPB系統是共用了ESC(Electric Stability Control, 電子穩定性系統)的ECU的。将EPB系統的軟體內建到ESC軟體中，在ESC的硬體基礎上做一些改動以支援EPB的硬體需求。

前面的文章中提到，EPB系統的一個功能是在行車過程中控制制動液壓的實作備份制動，而液壓執行機構是內建于ESC系統中的；而ESC系統所包含的輪速傳感器可以為EPB系統提供車速這一關鍵參數。是以，EPB和ESC功能關聯十分緊密，如果各自對應一個獨立的ECU，兩者之間注定有很多互動接口；把兩者內建于一個ECU中也是自然而然能想到的一個既節省成本又降低整車E/E系統複雜度的方案。

另一方面，市面上精于ESC系統的供應商和精于EPB系統的供應商往往不是一家。對于OEM而言，當選擇不同的EPB系統和ESC系統供應商時，如果各個供應商閉門造車，那麼将EPB軟體內建到ESC軟體時将會面臨很多問題，首當其沖的問題是EPB和ESC軟體接口的定義如何統一。這就是VDA 305标準誕生的背景。VDA 305旨在标準化EPB系統的架構以及EPB軟體和ESC軟體的互動接口，清晰地定義EPB系統和ESC系統的供應商的職責範圍，使OEM在選擇供應商時有很大的自由度，也使得不同的供應商的合作更加高效。

基于VDA 305的EPB系統描述

VDA 305将EPB系統分成兩個部分，可分别由兩個供應商提供：

• Brake Assy: 包含制動卡鉗、卡鉗電機、電機控制軟體（PBC, parking brake controller）
• ESC Assy: 又稱Brake Host，提供EPB ECU和供電電源、CAN 通訊接口、硬線接口等外圍裝置

綠色：Brake Assy; 藍色：ESC Assy

這一劃分的目的在于：

• 術業有專攻，發揮供應商各自的優勢，強強聯合組成更可靠的産品
• 明确定義供應商的職責範圍
• 保證供應商的測試工作和産品釋放将不受另一方開發狀态的影響

OEM可以選擇不同的供應商産品組成EPB系統

另一個方面，如果将EPB系統和ESC系統分别作為一個系統來看，則EPB系統包括的元件為：

• 左右兩個制動卡鉗
• 控制卡鉗電機的PBC軟體
• 實作電機控制的硬體電驅橋
• Host軟體中的診斷子產品、CAN信号或這硬線信号處理子產品、輪速傳感器信号處理子產品
• 共用的硬體子產品，如microprocessor, electronic memory components等

ESC系統所包含的元件為：

• 實作建立輪缸液壓力的硬體
• ESC基礎軟體功能，如ABS（anti-lock braking system）, AYC（Active Yaw Rate Control）等
• 共用的硬體子產品，如microprocessor, electronic memory components等

EPB和ESC系統元件，綠色：EPB; 藍色：ESC

2.1.Brake Assy的功能範圍

Brake Assy的功能範圍包括：

• service brakes with which the parking brake is realized
• parking brake actuators used as control elements for the parking brake
• activation software for activating the parking brake actuator. This is also called the parking brake control (PBC).

Brake Assy

CBI公司卡鉗産品示意圖

強調一下，PBC是一個純軟體子產品，其中包含夾緊力控制算法(clamping force control algorithm)、制動盤溫度模型(brake disc temperature model)、重新夾緊功能(re-clamping functions)，診斷功能如制動片更換檢測(brake pad replacement monitoring)等。此外，PBC還向Host Brake主機提供診斷制動總成所需的資訊。PBC将作為“黑匣子”內建到ESC Assy中。

2.2.ESC Assy的功能範圍

ESC Assy的功能範圍包括：

Hardware components:

• the power electronics necessary for activating the parking brake actuator in either direction (release or apply) and the associated measurement of electric current and voltage
• the hydraulic actuator (ESC unit) for support as needed to the parking
• brake system for dynamic and static functions
• provision of the necessary resources for the PBC component to run:

ovolatile and non-volatile memory

ocomputing power (run time)

• communication interface with the vehicle network

Software components:

• ESC functions for supporting the parking brake system in dynamic and static functions
• driver information interface
• fault manager
• degradation management
• diagnostic interface
• control software for the EPB power electronics
• signal processing (recognizing signal from parking brake switch, sensor and network signals)
• standstill manager (SSM)

特别強調一下SSM子產品，SSM子產品的功能主要包括：

• evaluation of the state of the vehicle (static/dynamic)
• request to release and apply the parking brake
• comfort functions such as automatic release and application
• requesting the dynamic deceleration function.

EPB系統架構

VDA 305定義的EPB系統架構如下圖所示。其中藍色的子產品屬于ESC Assy，由ESC供應商負責；綠色的子產品屬于Brake Assy，由EPB系統供應商負責，而PBC 內建到ESC中的工作也是ESC供應商的職責範圍。

EPB系統架構

系統架構中各個子產品及其功能總結如下：

功能子產品清單

各個子產品之間的互動總結如下：

功能子產品間的互動

EPB系統功能

結合系統架構對EPB系統的所有功能進行總結，其中表格中的“X”表示功能的責任方，比如在Brake Assy下的”X”表示該功能由Brake Assy負責。

下篇預告

本文基于VDA 305對EPB系統架構進行了闡述，并對系統架構的各個子產品的功能做了說明；于此同時，基于系統架構總結了EPB系統的所有功能以及Brake Assy和ESC Assy在功能中的職責劃分。

對于技術安全要求定義而言，技術安全要求最終需要落實到具體的互動信号上，是以從這個角度上看，本文定義的系統架構是一個初步定義的架構，它主要目的在于基于EPB的系統功能，劃分系統架構中的子產品并定義子產品功能，同時也确定子產品互動的目的，但互動的信号接口還沒有被明确定義。

子產品間的互動接口需要被細化

在下一期中将基于子產品的功能與子產品間互動的目的來進一步細化互動信号接口，為後續配置設定技術安全要求提供完整的基礎支撐。