Как стать автором
Обновить
40.77

Steer-by-wire: как разработать безопасный руль по проводам и нужно ли это делать?

Время на прочтение9 мин
Количество просмотров7.3K

Не так давно мы опубликовали статью на Хабре про рули, где затронули тему steer-by-wire. Народ в комментариях высказал сомнения в надёжности такого решения. А ведь на самом деле, что делать, если у какого-нибудь ECU внезапно пропадёт питание, перетрётся проводок или подвиснет софт? Как производители борются с такими рисками? И зачем нам отказываться от надёжной механической связи? Попробуем же в этом разобраться!

Начнём с короткого обзора серийных моделей, в которые устанавливают “руль по проводам”. Первым и, пока что, единственным автопроизводителем с подобной технологией на рынке является компания Nissan с технологией Direct Adaptive Steering (DAS), которая применяется в некоторых моделях Infinity: Infinity Q50, Infinity Q60. Первые авто с DAS вышли в далёком 2013 году. В маркетинговых материалах компания указывает на ключевые преимущества: скорость реакции, конфигурируемость и возможность полностью убрать вибрации на рулевом колесе.

Tesla анонсировала появление steer-by-wire уже в 2023 году. Помимо прочих преимуществ, это позволит сделать руль-штурвал удобнее за счёт увеличения угла поворота при низких скоростях. Тогда угол поворота руля можно будет ограничить 150 градусами.

Компания Toyota анонсировала технологию One-motion grip, которую планируют устанавливать как на модели Lexus, так и на модели Toyota. Начать продажи обещают уже в 2024 году. Что примечательно, такой системой будет комплектоваться руль-штурвал.

Информацию про steer-by-wire решения можно найти и у крупнейших производителей автомобильных компонентов: Bosch, ZF, Conti. К преимуществам такого подхода относят:

  • Большую свободу в проектировании интерьеров;

  • Снижение сложности разработки, сборки и обслуживания автомобиля;

  • Уменьшение веса автомобиля;

  • Повышение надёжности за счёт упрощения либо исключения некоторых механических узлов;

  • Конфигурируемость: можно изменять передаточное число поворота рулевого колеса и настраивать “обратную связь”;

  • Повышение безопасности за счёт внедрения продвинутых систем помощи водителю;

То есть разработка и внедрение идёт полным ходом. Ведущие производители прилагают свои усилия. Схема "руля по проводам" выглядит предельно просто. Собрать прототип на простом МК с Али можно за вечер! Так ещё и преимуществ масса! Но Infinity, которая уже 10 лет использует эту технологию, ставит её только на пару своих седанов. Инновационная Tesla только обещает сделать steer by wire в этом году. Так в чём же проблема?

А проблема в...

Очевидный ответ - проблема в надёжности. Но в автомобиле и так много умной электроники. Уже нередко педали работают по проводам. Системы вроде ESP могут притормаживать и даже, иногда, подгазовывать. Подруливание задними колёсами реализовано по проводам. А чего стоит система Run-Off-Road Protection, которая может отключить педаль тормоза? Так почему проблема возникла именно с рулём?

Как устроено рулевое управление?

Для лучшего понимания причин давайте сначала посмотрим на схему традиционного рулевого управления.

Схема 1 - традиционное рулевое управление
Схема 1 - традиционное рулевое управление

Руль через вал и рулевой механизм жёстко связан с колёсами. Водитель полностью контролирует ситуацию и может даже помешать умной электронике вмешаться в управление. Но такая схема вносит и определённые сложности. Необходимость разместить громоздкую конструкцию налагает ограничения на компоновку автомобиля. Большое количество движущихся и трущихся между собой элементов снижает КПД рулевого механизма и повышает износ деталей. Требования безопасности принуждают встраивать поршневые складывающиеся механизмы в рулевую колонку, ещё более усложняя конструкцию. Гидроусилитель руля заметно увеличивает расход топлива. Электроусилитель существенно уменьшает информативность руля. При этом из-за жёсткой связи с колёсами очень сложно убрать вибрации на рулевом колесе.

Но у подобной схемы есть важное преимущество - она проверена временем, достаточно проста и надёжна, а также весьма безопасна. Чтобы лучше разобраться в таком банальном понятии, как безопасность, попробуем обратиться к современным мировым стандартам.

ISO 26262 и Steer-by-wire

ISO 26262 - это объёмный документ, описывающий весь жизненный цикл как отдельных узлов, так и всего автомобиля в целом. Стандарту чуть больше 10 лет, часто он не является обязательным, но в индустрии его уважают и стремятся исполнять, хоть это и делает процесс разработки сильно бюрократизированным и неповоротливым. Кроме того соответствие процессов стандарту ISO 26262 может облегчить ответственность разработчика в случае аварии из-за отказа системы. Но мы не будем сейчас глубоко погружаться в изучение документа, а приведём лишь ключевые для нас концепции.

На ранней стадии проекта ISO 26262 требует произвести анализ опасностей и оценку риска возникновения такой опасности. Для каждой опасности определяется цель безопасности. Проще говоря, есть опасность того, что из датчика угла поворота руля выпадет коннектор. Значит цель безопасности - минимизировать вероятность такого события, быстро обнаружить выпадение коннектора и принять меры. Для ранжирования требований к безопасности ввели уровни ASIL (Automotive Safety Integrity Level). Есть 4 уровня, от A до D, где у D - наивысший требуемый уровень безопасности. Упрощённо, уровень зависит от тяжести последствий в случае возникновения отказа, допустимой частоты возникновения отказов и возможности контролировать систему при возникновении отказа. Отказ рулевого управления с большой долей вероятности может привести к гибели людей. Такая опасность соответствует уровню ASIL-D и допускает не более одного отказа на 100 млн. часов работы. Такие системы, как рулевое управление, тормоза, ABS, подушки безопасности должны соответствовать ASIL-D уровню. А для камеры заднего вида и стоп-сигналов достаточно уровня ASIL-B.

Так, с уровнями безопасности вроде разобрались. Но как понять, что система удовлетворяет требуемому уровню безопасности? Можно произвести 5000 экземпляров своей системы и эксплуатировать её в различных условиях в течении десяти лет, а потом проанализировать все возникшие отказы. Но, очевидно, автопроизводители делают не совсем так.

Современные системы обычно разрабатывают по стандартам безопасности, что и является доказательством безопасности системы. То есть там применяются все этапы жизненного цикла, включающие анализ опасностей и рисков, разработку концепции функциональной безопасности, а также валидацию. Аргументы функциональной безопасности, это не только демонстрация надёжности во время эксплуатации, но также и функциональные решения, обеспечивающие защиту от проанализированных опасностей. Пример подобного анализа можно найти в отчёте “Functional Safety Assessment of a Generic Steer-by-Wire Steering System With Active Steering and Four-Wheel Steering Features” от NHTSA.

Документ от NHTSA действительно интересный. Обратить внимание можно на страницу 13 с анализируемыми элементами, страницу 24 с перечнем опасностей, страницы 39-43 с примером оценки рисков, и отдельно таблицу на странице 44, страницы 53-55 с предложенными схемами Steer-by-wire и страницы 84-85 с примерами тестов.

Другими словами, если у нас есть документ с перечнем опасностей и вероятностей их возникновения, и для каждой опасности просчитано, как мы эту опасность избегаем, а также мы можем подтвердить эту функциональность тестами, мы можем считать нашу систему достаточно надёжной и безопасной. 

Следующая важная для нас концепция - безопасная система должна состоять из безопасных компонентов, либо должна контролироваться безопасными компонентами. А значит, в случае с steer-by-wire, уровню ASIL-D должны соответствовать датчик угла поворота руля, датчик крутящего момента, и чип в ECU, софт, канал связи между датчиками, ECU и моторами рулевого механизма, и сами моторы. Выходит, что всё-таки не получится сертифицировать steer-by-wire на первом попавшемся МК с Али. Придётся потрудиться и найти чип с сейфити, позволяющий реализовывать функции с уровнем безопасности ASIL-D.

Ну и последний элемент пазла - это принцип разложения ASIL. В нашем случае его можно упростить до обычного дублирования критической функциональности и установки внешнего супервизора (или нескольких супервизоров). Есть у нас рулевое управление с уровнем ASIL-D, для которого нужно использовать датчик поворота руля уровня ASIL-D, МК уровня ASIL-D, софт уровня ASIL-D, CAN уровня ASIL-D и так далее. Чем выше уровень ASIL, тем сложнее и дороже разработка, тем труднее найти компоненты и подсистемы. Но если, например, мы устанавливаем два датчика поворота руля, которые работают независимо, требования к уровню безопасности этих датчиков снижаются. Важным требованием к “безопасным” устройствам является умение определить, когда устройство перестало работать, или когда оно стало работать некорректно. Если автомобиль заметил, что данные с датчика А поступают с задержкой или не поступают совсем, он может переключиться на данные с датчика Б, а пользователю сообщить о проблемах.

Как может выглядеть руль по проводам

В рулевом управлении мы можем выделить основные и второстепенные функции. Основная функция одна - поворачивать колёса. И поворачивать в нужную сторону и на нужный угол. Именно эта функция должна выполняться максимально надёжно. А значит механизмы для её выполнения мы и будем доводить до уровня ASIL D. Но как?

Схема 2
Схема 2

На Схеме 2 изображена реализация “в лоб”. В выполнении основной функции участвуют Датчик угла поворота руля (опустим датчик момента), CAN 1, ECU, канал управления между ECU и Мотором рулевого механизма, Мотор рулевого механизма. При выходе из строя любого из перечисленных модулей рулевое управление перестанет функционировать, а значит такое решение совершенно небезопасно. На Схеме 3 попробуем продублировать основные узлы!

Схема 3
Схема 3

Задумка следующая: если хотя бы один элемент из цепочки А выходит из строя - управление перехватывает цепочка В. Но как цепочка B узнает о том, что в цепочке А есть неполадки? И как определять наличие неполадок. Можно предположить, что ECU должен следить за корректностью работы всей цепочки, но в таком случае слабым местом является сам ECU. И, скажем, мы легко можем определить ситуацию, когда датчик угла поворота руля перестаёт поставлять данные. Но определить ситуацию, когда датчик передаёт некорректные данные, мы не сможем. Нужно добавить избыточности!

 

Схема 4
Схема 4

На Схеме 4 мы переплели две параллельные цепочки между собой. Таким образом они могут проверять друг друга и сравнивать принятые решения. Если ECU получили с датчиков угла поворота руля разные значения, или показания ECU A и ECU B различаются, или состояния моторов различаются - любое несоответствие может означать выход из строя какого-либо узла в рулевом управлении. И мы это можем надёжно обнаружить и… И вот что мы можем сделать в таком случае - не очень ясно. В данной схеме мы не всегда можем определить, какое именно устройство сломалось. Что, если датчики угла поворота руля стабильно поставляют данные, но вот данные эти отличаются? Какой из них врёт? Для исправления данной ситуации можно установить третий датчик угла поворота руля и принимать решение по принципу “большинства”. Такой же приём можно проделать и с остальными модулями в цепочке. Либо автомобиль может быть оснащён системой АДАС третьего уровня с независимой системой рулевого управления, и уже эта система берёт на себя управление и паркует автомобиль в безопасном месте. 

Для решения подобной проблемы компании Nissan пришлось использовать традиционное механическое рулевое управление в качестве дублирующего, чтобы сертифицировать систему. 

Насколько я понял, в Европе даже такую реализацию сертифицировать не удавалось, и Infinity Q50 оснащена только традиционным рулевым механизмом.

Реализация технологии DAS от компании Nissan
Реализация технологии DAS от компании Nissan

Так в чём же проблема

Сел за эту статью я для того, чтобы понять, почему технология Steer-by-wire со всеми её преимуществами до сих пор не стала массовой. Ведь проблема явно не в технологиях и не в надёжности электронных компонентов. И сложного софта для этого не требуется. В конце концов, на дорогах Европы и Америки вот-вот появится ADAS третьего уровня от компании Мерседес, который позволяет водителю не следить за движением автомобиля. Считать угол поворота рулевого колеса проще на несколько порядков! Ответа на свой вопрос я не находил… 

Но на помощь пришла кофемашина! И кулер. Да, я просто решил расспросить более опытных коллег по цеху. И вот какие основные причины получилось выделить:

  1. Это не нужно покупателям. Одно дело - возможность запустить Ведьмака на бортовом компьютере. Это впечатляет. А руль по проводам не имеет значительного Вау эффекта в глазах потребителя. Так ещё и вызывает недоверие…

  2. Недоверие к технологии. Достаточно вспомнить проблемы с электроусилителем у Калины, чтобы понять опасения потенциальных клиентов. К тому же “устранение вибраций”, которое преподносится как преимущество, смело можно воспринимать как ухудшение обратной связи. А для многих это существенный недостаток. И имитация обратной связи полностью ситуацию не исправит.

  3. Страшно быть первым. На мой вопрос: "Вот допустит ли НАМИ подобный автомобиль на российские дороги?" - мне ответили, что очень вряд ли. Ведь прецедентов таких в РФ не было. Да и немецкий TÜV такое не допускает, а наши регуляторы следят за решениями немцев. Все хотят сначала пронаблюдать новую технологию где-нибудь "у них", а к нам уже пусть после того, как будут пролечены детские болезни. За что мы безусловно благодарны НАМИ.

  4. Страшно быть первыми 2. Автопроизводители тоже не спешат внедрять технологию, даже несмотря на существенные бонусы именно для них. Да, конвейер для автомобиля с Steer-by-wire проще и дешевле. Но и установка традиционной системы на конвейрах уже отработана. Значит сэкономить получится только при строительстве новой производственной линии. Но загрузить такую упрощённую линию автомобилем с подобной инновацией вряд ли удастся. И конвейер будет простаивать. А вдруг модель провалится? Производителю грозят убытки не только из-за провалившейся модели, но и из-за существенной модернизации конвейера! Страшно.

  5. Это дорого. Подобная технология не очень распространена, а значит компоненты будут дороже. И разработка/внедрение будет сложным и болезненным. Для того, что бы убедить всех в безопасности решения придется прибегнуть к чрезмерной избыточности. А это дорого. Очень дорого.

Так или иначе, многие автопроизводители ведут подобные разработки, хоть и не заявляют об этом (такие есть даже в России). И постепенно описанные выше проблемы будут решаться, регуляторы начнут допускать steer-by-wire на дороги общего пользования, а люди будут меньше опасаться новой технологии. Главное, чтобы в погоне за прибылью производители не забывали, что на кону стоят человеческие жизни!

За помощь в написании статьи спасибо@sdy и@sfsdart.

Теги:
Хабы:
Всего голосов 17: ↑17 и ↓0+17
Комментарии127

Публикации

Информация

Сайт
vk.com
Дата регистрации
Дата основания
Численность
11–30 человек
Местоположение
Россия