2. 专利技术
  3. 控制系统的制作方法

控制系统的制作方法

专利2023-05-23  114


1.本发明涉及自动控制技术领域,特别涉及一种控制系统。


背景技术:

2.控制系统中一般只设置一个控制器,当控制器失效时,执行器就无法工作,甚至发生事故。
3.有的控制系统会设置一个控制器和一个备份控制器,但是这种控制系统没有针对各种可能的失效形式进行系统性的设计,因此仍然存在着共因失效的风险,以及存在主冗切换时间较长的问题。
4.总之,现有技术中,控制系统存在因内部某个组件失效导致停机或者事故的风险,以及主冗切换时间较长的问题。


技术实现要素:

5.本发明的目的在于提供一种控制系统,以解决现有技术中的控制系统存在因内部某个组件失效导致停机或者事故的风险的问题,同时还具有主冗切换时间短,执行器控制在发生故障时不中断或不察觉的有益效果。
6.为了解决上述技术问题,本发明提供了一种控制系统,所述控制系统应用于一被控对象,所述被控对象包括第一传感器和执行器,所述第一传感器用于输出预设数量路的第一传感信号,每一路的所述第一传感信号相同,所述控制系统包括输出信号整理单元、驱动单元和所述预设数量个的电控单元。
7.所述驱动单元用于连接并驱动相对应的所述执行器。
8.每个所述电控单元用于接收一路的所述第一传感信号,每个所述电控单元具有相同的控制逻辑,在正常工况下,每个所述电控单元输出一路的控制信号。
9.所述电控单元的输出端均与所述输出信号整理单元连接,所述输出信号整理单元的输出端与所述驱动单元连接。
10.所述输出信号整理单元用于根据所述电控单元的输出信号中正常工作的部分整理得到一路的控制信号并输出。
11.其中,所述预设数量为至少两个。
12.可选的,所述被控对象还包括第二传感器,所述第二传感器用于输出一路的第二传感信号;所述控制系统还包括输入信号分解单元,所述输入信号分解单元还用于接收所述第二传感信号并输出所述预设数量路的第三传感信号,每一路的所述第三传感信号均与所述第二传感信号相同。
13.每个所述电控单元还用于接收一路的所述第三传感信号。
14.可选的,所述预设数量为两个;所述输出信号整理单元还用于在所述电控单元均正常工作时将其中一个所述电控单元的输出信号发送给一半的所述驱动单元,并将另一个所述电控单元的输出信号发送给另一半的所述驱动单元;所述输出信号整理单元还用于在
仅有一个所述电控单元正常工作时,将正常工作的所述电控单元的输出信号发送给所有的所述驱动单元。
15.可选的,所述控制系统还包括供电仲裁单元,所述供电仲裁单元用于接收至少两路的输入电源,并选择所述输入电源中正常工作的一路作为所述控制系统中各元件的供电电源。
16.可选的,所述电控单元之间通过至少两种不同的通讯机制通讯连接。
17.可选的,所述电控单元包括至少两组通讯端,所述电控单元的每组通讯端用于接收完整的通讯信号以及发送完整的通讯信号。
18.可选的,每个所述电控单元的至少一组通讯端用于接收第一唤醒信号并唤醒所述电控单元。
19.可选的,所述电控单元还包括区别于所述通讯端的唤醒端,所述唤醒端用于接收第二唤醒信号并唤醒所述电控单元,所述第二唤醒信号基于一路或两路的硬线唤醒拓扑架构发送。
20.可选的,所述执行器包括开关类执行器和非开关类执行器;所述开关类执行器的驱动组件接收到高电平的控制信号时所述开关类执行器工作,所述开关类执行器的驱动组件接收到低电平的控制信号时所述开关类执行器停止工作;所述驱动单元包括第一驱动单元和第二驱动单元,所述第一驱动单元用于连接并驱动所述非开关类执行器,所述第二驱动单元用于连接并驱动所述开关类执行器;所述输出信号整理单元包括第一整理组件和第二整理组件,所述第一整理组件用于基于预设规则选择所述电控单元的输出信号并输出给所述第一驱动单元,所述第二整理组件为或门电路,所述第二整理组件的输入端与所述电控单元用于输出所述开关类执行器的控制信号的输出端连接,所述第二整理组件的输出端与所述第二驱动单元连接。
21.可选的,所述控制系统还包括供电仲裁单元,所述供电仲裁单元用于接收至少两路的输入电源,并选择所述输入电源中正常工作的一路作为所述控制系统中各元件的供电电源。
22.所述输出信号整理单元、所述输入信号分解单元以及所述供电仲裁单元均以硬件方式实现内部逻辑。
23.与现有技术相比,本发明提供的控制系统,包括至少两个电控单元,每个所述电控单元具有完整的控制逻辑,所述电控单元接收至少两路的传感器信号,并且,所述电控单元输出的控制信号通过输出信号整理单元选择输出。如此配置,任意一个电控单元失效时,或者任意一个电控单元的某路输出端失效时,所述控制系统仍能正常工作,同时,切换等待的时间也较短,从而解决了现有技术中控制系统存在因内部某个组件失效导致停机或者事故的风险的问题,同时还具有主冗切换时间短,执行器控制在发生故障时不中断或不察觉的有益效果。
附图说明
24.本领域的普通技术人员将会理解,提供的附图用于更好地理解本发明,而不对本发明的范围构成任何限定。其中:
25.图1是传统多路电机执行控制器系统框图;
26.图2是双控制器系统拓扑图;
27.图3是本发明一实施例的控制系统的系统框图;
28.图4是本发明一实施例的开关类输出级冗余设计示意图;
29.图5是本发明一实施例的控制系统的硬件架构图。
30.附图中:
31.1-电控单元;2-驱动单元;3-或门电路;
32.101-电源管理单元;102-传感器信号处理单元;103-总线通讯单元;104-看门狗单元;105-中央逻辑单元;106-供电单元;107-电机预驱和功率桥单元;108-其他元件驱动单元108;
33.121-dc/dc变换器;122-主保险盒;123-保险丝;124-主控制器;125-备份控制器。
具体实施方式
34.为使本发明的目的、优点和特征更加清楚,以下结合附图和具体实施例对本发明作进一步详细说明。需说明的是,附图均采用非常简化的形式且未按比例绘制,仅用以方便、明晰地辅助说明本发明实施例的目的。此外,附图所展示的结构往往是实际结构的一部分。特别的,各附图需要展示的侧重点不同,有时会采用不同的比例。
35.如在本发明中所使用的,单数形式“一”、“一个”以及“该”包括复数对象,术语“或”通常是以包括“和/或”的含义而进行使用的,术语“若干”通常是以包括“至少一个”的含义而进行使用的,术语“至少两个”通常是以包括“两个或两个以上”的含义而进行使用的,此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”、“第三”的特征可以明示或者隐含地包括一个或者至少两个该特征,“一端”与“另一端”以及“近端”与“远端”通常是指相对应的两部分,其不仅包括端点,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。此外,如在本发明中所使用的,一元件设置于另一元件,通常仅表示两元件之间存在连接、耦合、配合或传动关系,且两元件之间可以是直接的或通过中间元件间接的连接、耦合、配合或传动,而不能理解为指示或暗示两元件之间的空间位置关系,即一元件可以在另一元件的内部、外部、上方、下方或一侧等任意方位,除非内容另外明确指出外。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
36.本发明的核心思想在于提供一种控制系统,以解决现有技术中的控制系统存在因内部某个组件失效导致停机或者事故的风险的问题。
37.以下参考附图进行描述。其中,图1是传统多路电机执行控制器系统框图;
38.图2是双控制器系统拓扑图;图3是本发明一实施例的控制系统的系统框图;
39.图4是本发明一实施例的开关类输出级冗余设计示意图;图5是本发明一实施例的控制系统的硬件架构图。
40.发明人对传统多路电机执行控制器进行了分析,得到如下结论。
41.图1为传统多路电机执行控制器系统框图,为了便于区别,将图1所示的执行控制器称为第一执行控制器。所述第一执行控制器包括电源管理单元101、传感器信号处理单元
102、总线通讯单元103、看门狗单元104、中央逻辑单元105、供电单元106、电机预驱和功率桥单元107以及其他元件驱动单元108。其中,所述供电单元106用于提供片上系统和电机等被控对象用电,所述电源管理单元101、所述传感器信号处理单元102和所述总线通讯单元103用于接收唤醒信号、各类传感器原始信号和通讯信号,经过中央逻辑单元105解析处理和软件决策计算出对应控制命令,电机预驱和功率桥单元107以及其他元件驱动单元108依据控制命令产生驱动信号输出到被控对象如电机,同时通过通讯介质如can总线分享控制器信息。其中,主要电子元器件包含独立asic芯片、功率器件和阻容等。独立asic芯片通常包含一个主控芯片mcu、一个电源管理芯片sbc和多个电机/阀预驱芯片。mcu负责运行中央逻辑单元,完成输入信号的解析、控制逻辑决策和驱动逻辑产生。sbc负责控制器片上整体芯片组的供电管理和唤醒休眠。电机预驱芯片负责电机功率模拟电路侧的驱动执行输出。
42.其中发生失效的可能总结如下。
43.控制器供电:一般采用两路供电线路,均来自整车12v蓄电池或dcdc单元输出。一路提供系统芯片组供电,如mcu和sbc;一路提供电机功率驱动电路供电,如电机预驱芯片和电机mosfet驱动桥式电路高边供电。一旦发生蓄电池亏电或供电线路电气性故障(短路、开路),控制器整体宕机或对应电机无法驱动。
44.控制器系统芯片组:主要指电源管理芯片sbc、中央逻辑运算单元mcu和其他小芯片如can收发器等。任一芯片发生硬件随机失效都可能导致局部或整体失能。例如,sbc的芯片供电功能故障导致被依赖的mcu和can收发器等停止工作,mcu因故障复位期间控制器整体输入输出控制功能丢失,can收发器失效导致对应can通道通讯功能中断。
45.可见,在传统单控制器方案下,控制器在发生一些关键单点故障或故障恢复期间的情况下主要功能会丢失,其安全可靠工作的前提是外部环境和内在器件的稳定,其部署的应用场景需保证控制器失效状态时系统是安全状态。
46.另外还存在一种采用的双控制器的方案(如图2所示),由另一个功能近似控制器(即备份控制器125)作为主控制器124的备份。图2中当备份控制器125检测到主控制器124失效后替代原控制器工作。由于这两个控制器供电来源一致,仍然存在共因失效的风险。通常,所述主控制器124和所述备份控制器125通过通讯总线交互,当所述主控制器124发生故障时,考虑到通讯延迟和软件逻辑判定,两个控制器的主冗切换时间通常需要几十甚至上百毫秒以上。不能符合某些安全性和实时性要求很高的场景;例如刹车,设计期望是尽可能缩短主冗切换时间。
47.图2中还展示了dc/dc变换器121、主保险盒122、保险丝123等,上述元件的连接方式和功能可以参考图2的内容进行理解,与本发明的核心设计思想无关,因此不展开描述。
48.上述的单控制器和双控制器方案,会存在五个不足之处:
49.1.受供电电压影响:每个芯片都存在保证全功能全性能工作的工作电压范围。由于整车用电负荷异常或供电线路故障或电池故障发生供电电压波动(欠压或过压)时,轻则导致控制器控制能力功能降级、中则导致控制器局部功能丢失(诸如通信或传感器供电失效)、重则导致控制器整体死机,失去所有输入的感知、决策和电机执行的能力。同一供电回路的控制器都存在该风险;
50.2.故障容错差:单控制器方案下,每个芯片都承担各自独有的功能,当发生部分硬件随机失效都是以牺牲局部功能为代价。当该局部功能是控制器关键功能时意味着控制器
核心功能失效。双控制器方案下,备份控制器只有在主控制器完全失能情况下才允许被激活,对于局部功能丢失起不到备份作用;
51.3.成本高:单控制器方案下,为了保证器件随机失效的风险足够低,需要选用失效率足够低的器件,导致产品成本大幅上升和无器件可选的窘境。双控制器方案下,传感器和电机执行器也都需要备份,增加了系统成本;
52.4.只适合失效安全的系统应用:单控制器方案下,纵使选用失效率fit足够低的器件,如上传统架构的电子控制器仍然存在死机的风险。这就要求系统设计时必须考虑在控制器死机时系统对整车状态是安全的。例如,变速箱系统在控制器失效时离合器会自动脱开继而动力传递中断,驾驶员凭惯性可以将车辆泊到安全区域。而对于转向和制动系统,当控制器失效时仍要求系统具备转向和制动能力,这就要求系统具备冗余转向和制动能力,无疑对当前传统电子控制器架构提出新的挑战;
53.5.只适合低实时性的系统应用:双控制器方案下,两个控制器之间通常采用总线交互。备份控制器激活的条件是检测到主控制器失效,备份控制器从检测到失效、然后激活、最后接管系统的响应时间在百毫秒的数量级。相对一个高速行驶的车辆,其较长的响应时间存在安全风险。
54.本实施例旨在解决上述不足,并获取如下有益效果。
55.1.适配双供电冗余整车电子电气架构,当任一控制器供电线路发生故障(如亏电、掉电、短路等),控制器输入输出全功能不受影响,包括板载器件供电、传感器供电和信号解析、通讯、电机供电和驱动控制、软件逻辑运算等。
56.2.适配双总线冗余整车电子电气架构,当控制器任一通讯回路发生故障(如短路、断路、收发器硬件故障等),控制器需要接收和发送的所有总线信号不受影响。
57.3.当控制器任一主控芯片(包括电源管理芯片sbc、微控制单元mcu)及其外围电路发生硬件随机失效,可能导致局部硬件功能障碍或芯片复位,控制器输入输出全功能不受影响,包括板载器件供电、传感器供电和信号解析、通讯、电机供电和驱动控制、软件逻辑运算等。
58.4.当控制器任一连接器接触端发生线路故障(因进水、灰尘、烧灼造成的短路、开路或互短),控制器输入输出全功能不受影响。
59.5.单点失效状态下,冗余电控系统接管系统的响应时间小于1毫秒,基本对执行器控制无影响。
60.本实施例的具体实现方案如图3所示,相对于现有技术,本实施例采用将镜像的两个电控单元1(具体包括电源管理芯片sbc和微控制单元mcu)硬件集成到一个控制器内的整体架构设计。外部双供电输入仲裁后提供独立的系统供电和电机驱动供电(也即,本实施例的被控对象为电机),四路can总线通讯通道,对称的双(mcu+sbc)结构同时各自运行相同的逻辑代码,独立的n路电机驱动功率单元,任一套(mcu+sbc)电控单元可以控制多路电机驱动功率单元。正常工作时,电控单元a主控n/2路电机驱动功率单元,电控单元b主控另n/2路电机驱动功率单元;当电控单元a发生功能失效时,电控单元b接管电控单元a原负责的n/2路电机驱动功率单元;反之,当电控单元b发生功能失效时,电控单元a接管电控单元b原负责的n/2路电机驱动功率单元。图3中,未介绍的各模块可以根据图中的名称理解其功能和作用。
61.对于上述的方案,可归纳总结如下。
62.本实施例所提供的控制系统应用于一被控对象,所述被控对象包括执行器,所述控制系统包括输出信号整理单元(未图示)、驱动单元2和预设数量个的电控单元1、。
63.所述驱动单元2用于连接并驱动相对应的所述执行器。
64.每个所述电控单元1具有相同的控制逻辑,在正常工况下,每个所述电控单元1输出一路的控制信号。也就是说,任意一个所述电控单元1实际上可以独立工作并且执行逻辑完全相同,在本实施例中,是为了互为备份才设置多个。正常工况应当理解为,接收到的传感器信号正常,供电正常,通讯信号正常,所述驱动单元工作正常,各连接线连接正常以及电路芯片正常工作需要的其他条件均正常,例如温度正常等。所述预设逻辑是指所述被控对象的设计需求,例如,当用户按下一开关时,电机需要启动,或者,当基于传感器信号发现车辆会发生侧滑时,相应的一部分电机需要加速,另一部分电机需要减速从而避免侧滑等。所述电控单元1能够输出信号使得所述执行器按照预设逻辑工作的具体实现方式不在本文中展开描述,本领域技术开发人员可以根据工程的需求文档、芯片相关知识、编程相关知识等进行设置。
65.值得强调的是,尽管所述电控单元1被配置为直接与所述驱动单元2连接时可正常工作,但是在本实施例中,所述电控单元1并不直接与所述驱动单元2连接。
66.在本实施例中,所述电控单元1的输出端均与所述输出信号整理单元连接,所述输出信号整理单元的输出端与所述驱动单元2连接。
67.所述输出信号整理单元用于根据所述电控单元的输出信号中正常工作的部分整理得到一路的控制信号并输出。也就是说,可能某个所述电控单元并非正常工作,但是其输出信号中有一部分是正常的,那么,也可以利用这一部分的输出信号。本实施例中,所述控制系统采用纯硬件方案判定并实现冗余系统切换,可以将主冗切换时间压缩在1毫秒之内,与现有技术中控制器之间的主冗切换时间为几十甚至上百毫秒相比,主冗切换时间得到有效改善。
68.在本实施例中,所述预设数量为两个,但是在其他实施例中,所述预设数量也可以为两个或者两个以上(即至少两个)。
69.所述输出信号整理单元还用于在所述电控单元1均正常工作时将其中一个所述电控单元1的输出信号发送给一半的所述驱动单元2,并将另一个所述电控单元1的输出信号发送给另一半的所述驱动单元2;所述输出信号整理单元还用于在仅有一个所述电控单元1正常工作时,将正常工作的所述电控单元1的输出信号发送给所有的所述驱动单元2。一半应当理解为n/2,或者最接近n/2的整数,另一半应当理解为剩余的所述驱动单元的数量,其中n为所述驱动单元的总数。
70.系统中关键模块的设计介绍如下。
71.1.双电源供电冗余设计的确定:基于整车双电源拓扑架构,设计oring电路(单向导电电路)实现双路整车供电在该电路内部仲裁,选择出一路合格的供电提供给后级用电单元。该电路具备防电源正负极反接和剔除欠压/过压/开路/短路的供电的功能。如上功能实现无须软件干预。也即所述控制系统还包括供电仲裁单元,所述供电仲裁单元用于接收至少两路的输入电源,并选择所述输入电源中正常工作的一路作为所述控制系统中各元件的供电电源。可以理解的,在不同的实施例中,所述控制系统可以应用于12v、48v或者其他
电压的供电系统,此处主要指的是整车蓄电池输出电压为12v或48v,或者dcdc的输出为12v或48v。
72.2.控制器板载mcu间冗余通讯设计的确定:出于冗余设计考虑,mcu间采用两路不同通讯机制的通道。一路采用高速带宽通讯链路如以太网交互所有讯息。一路采用can通讯的收发接口(板载无须收发器),通过事先配置好需要交互的信号交互信息。也即,所述电控单元1之间通过至少两种不同的通讯机制通讯连接。至少两路不同通讯机制的通道,避免共因失效,在其他实施例中,可选的有以太网、can和spi等。由于电控系统之间是板载通讯,相较于两个控制器的方案(即图2所示的方案),其通讯速率、通讯稳定性、通讯实时性、通讯带宽都能很好的保证。
73.3.控制器外总线通讯设计的确定:基于整车双can总线拓扑架构,每套电控单元设计can1和can2两个通道。正常工作时,两套电控单元1通过4个can通道发布等效的冗余信息。一旦有一套电控单元1发生失效时,自身硬件诊断机制激活将该电控单元1的两个can通道物理层关闭,避免输出错误信息和使其它控制器节点能正确识别来自控制器的有用信息。针对网络唤醒功能,每套电控单元1至少有一个can通道收发器具备任意帧或特定帧唤醒的能力。
74.也即所述电控单元1包括至少两组通讯端,所述电控单元1的每组通讯端用于接收完整的通讯信号以及发送完整的通讯信号。
75.每个所述电控单元1的至少一组通讯端用于接收第一唤醒信号并唤醒所述电控单元1。所述第一唤醒信号的格式和唤醒所述电控单元1的工作原理可以根据实际需要进行设置,在此不进行展开说明。
76.4.唤醒信号冗余设计的确定:基于整车一路或两路硬线唤醒拓扑架构,唤醒信号进入控制器内部后同时分享给两套电控单元的电源管理芯片。也即,所述电控单元1还包括区别于所述通讯端的唤醒端,所述唤醒端用于接收第二唤醒信号并唤醒所述电控单元,所述第二唤醒信号基于一路或两路的硬线唤醒拓扑架构发送。所述第二唤醒信号从外部直接输入至所述电控单元1,或者通过唤醒信号发送单元间接输入至所述电控单元1。所述第二唤醒信号的格式和唤醒所述电控单元1的工作原理可以根据实际需要进行设置,在此不进行展开说明。
77.5.关键传感器信号和供电冗余设计的确定:所有传感器信号进入控制器内部后同时被两套电控单元采集和解析。其中,一些关键传感器(如转速、电机位置、踏板)会提供双路冗余信号和需要双路冗余供电。两套电控单元分别提供一路传感器供电,组合起来满足双路冗余关键传感器供电的需求。
78.也即,所述被控对象包括第一传感器和执行器,所述第一传感器用于输出预设数量路的第一传感信号,每一路的所述第一传感信号相同,每个所述电控单元1用于接收一路的所述第一传感信号。
79.所述被控对象还包括第二传感器,所述第二传感器用于输出一路的第二传感信号;所述控制系统还包括输入信号分解单元,所述输入信号分解单元还用于接收所述第二传感信号并输出所述预设数量路的第三传感信号,每一路的所述第三传感信号均与所述第二传感信号相同。
80.每个所述电控单元1还用于接收一路的所述第三传感信号。
81.6.电机驱动单元冗余设计的确定:基于控制总线切换电路设计,每套电控单元1与电机驱动单元交互的信号(spi和功率器件开关信号等)先经过该电路仲裁,由该电路选择将哪套电控单元1的信号实际发送到哪个电机驱动单元,该电路选择的逻辑是来自mcu和sbc表征是否正常工作的输出信号(如复位管脚、内部故障管脚、安全状态管脚等)的逻辑组合。当两套电控单元1都正常工作时,切换电路的默认状态是每套电控单元1分别实际控制一半的电机驱动单元。当切换电路识别到一套电控单元1发生复位或内部异常故障或已进入芯片安全状态时,自动切换将另一套电控单元1的电路控制信号发送出去,达到一套电控单元控制所有电机驱动单元的目的。上述的切换电路即所述输出信号整理单元。如上切换实现无须软件干预,每套电控单元1在运行时都实时在计算所有电机驱动单元的控制命令,发生切换时基本没有电机控制过渡时间。电控单元1可以通过切换电路的反馈信号得知当前电机实际控制权归属。
82.7.其它输出级驱动单元冗余设计的确定:基于控制总线切换电路设计,需要全功能冗余的输出级驱动单元可以采用等同电机驱动单元冗余设计。针对开关类输出级驱动单元,如图4所示,两套电控单元1的控制信号经“或”逻辑电路后驱动一路输出。因为两套电控单元1执行相同逻辑代码,当需要驱动一路开关时,两个控制信号是同状态。一旦一套电控单元1发生失效导致一个控制信号翻转,并不会造成实际开关状态的变化。
83.也即,所述执行器包括开关类执行器和非开关类执行器;所述开关类执行器的驱动组件接收到高电平的控制信号时所述开关类执行器工作,所述开关类执行器的驱动组件接收到低电平的控制信号时所述开关类执行器停止工作;所述驱动单元包括第一驱动单元和第二驱动单元,所述第一驱动单元用于连接并驱动所述非开关类执行器,所述第二驱动单元用于连接并驱动所述开关类执行器;所述输出信号整理单元包括第一整理组件和第二整理组件,所述第一整理组件用于基于预设规则选择所述电控单元的输出信号并输出给所述第一驱动单元,所述第二整理组件为或门电路3,所述第二整理组件的输入端与所述电控单元1用于输出所述开关类执行器的控制信号的输出端连接,所述第二整理组件的输出端与所述第二驱动单元连接。
84.工作和停止工作应当根据实际需要进行理解,例如一个常开的阀元件,关闭等同于工作而开启等同于停止工作;另一个常闭的阀元件,开启等同于工作而关闭等同于停止工作。
85.可以理解的,所述非开关类执行器包括电机和非开关类的其他执行器,所述第二驱动单元即开关类输出级驱动单元,所述第一驱动单元包括电机驱动单元和非开关类输出级驱动单元。
86.特别的,所述输出信号整理单元、所述输入信号分解单元以及所述供电仲裁单元均以硬件方式实现内部逻辑。最大限度减少因软件死机等导致的失效可能性,并且缩短了主冗切换时间。在本说明书中,“软件”应当理解为运行在可编程芯片上的由程序员编写的为实现所需行为功能的一系列按照特定顺序组织的计算机数据和指令的集合逻辑,而“硬件”应当理解为基于一些基本的电气元件和不可编程的芯片组合而成的逻辑电路,“硬件”应当理解为和“软件”的概念不重叠。软件具有可重复修改逻辑的优点,硬件逻辑一旦设计完成不可修改。但是硬件逻辑执行速率在纳秒或微秒级别,而软件逻辑运行通常在毫秒级别以上。
87.与前文中分析的两种现有控制器相比,本实施例所提供的控制系统,采用主要的技术手段如下。
88.1)设计目标不同:现有技术不考虑硬件失效后控制器还需保留功能性,只需要能够识别故障并进入关闭输出级的安全状态,而本实施例的设计目标是在单点硬件失效情况下控制器全功能工作,双点硬件失效情况下控制器功能降级跛行工作。
89.2)设计思路不同:现有硬件冗余方案是采用双控制器或在单控制器上集成部分备份电路实现部分冗余,前者只适合实时性要求不高成本不敏感的应用场景,后者无法实现完整功能冗余且备份电路在正常情况下处于不工作状态,失效后立即功能降级。而本发明将两个完全相同电控单元集成到单控制器内且不区分主电路和冗余电路,同等工作条件下互为备份且之间无耦合导致的共因失效。
90.3)输出级冗余设计不同:现有技术若需要备份一路电机驱动功率单元,需要额外集成一路相关电路(预驱芯片和b6功率桥)备用。而本发明的n路电机驱动功率单元互为备份,因非电机驱动功率单元的故障不会造成输出级功能降级,一路电机驱动功率单元本身发生故障,其他路可作为备份电路使用。
91.本实施例的硬件技术实现如图5所示,单控制器内集成了两套对称的电控单元,分别是mcu1+sbc1和mcu2+sbc2。两路系统供电和n路电机驱动供电均取自整车两路供电。两套电控单元都分别在整车两路冗余can总线上分配了通讯节点。两套电控单元复用两路唤醒信号和多路传感器信号。每套电控单元提供独立的传感器供电。每套电控单元都可以控制n路电机驱动单元,由切换电路分配控制权。每套电控单元也可以独立控制一路或多路电机驱动单元或阀等其它执行器。图5中的各元件的连接关系、工作逻辑均可以按照图5所示的内容和公知常识进行理解,在此不进行展开描述。
92.在本实施例中所提供的控制系统将无刷直流电机作为被控对象,基于同样的冗余设计的思想,对于任意被控对象的其它控制系统应用,本实施例仍然适用。本实施例采用了传统分立器件(mcu+sbc+预驱芯片)的控制器硬件架构,对于改用诸如片上系统(soc=mcu+sbc+预驱芯片)的集成硬件解决方案,仍应视作本发明的其他实施例。
93.通过采用本实施例提出的全冗余多路电机执行控制器,有如下进步:
94.1.安全性大幅提高:尤其适合故障后保持工作的系统应用,且避免了局部功能降级。
95.2.安全响应时间大幅缩短:单控制器双电控单元下,任一电控单元失效后,另一电控单元在1毫秒级别内接管整个系统,实现无缝无感切换。
96.3.成本大幅降低:相较于双控制器方案,在单控制器上集成双电控单元实现至少30%的成本节约。
97.将前文中提及的问题以及相对应的解决方案总结如下:
98.1.受供电电压影响,从而导致控制器控制能力功能降级、局部功能丢失、整体死机的问题。通过所述供电仲裁单元,所述供电仲裁单元配合至少两路的输入电源解决。
99.2.故障容错差,单控制器方案容易核心功能失效,双控制器方案局部功能丢失的问题。通过设置所述预设数量个的电控单元1以及其他配合工作的模块和连接方式解决。
100.3.成本高的问题,由于解决了故障容错差的问题,对于单个的所述电控单元1的有效性要求可以降低,从而降低成本。
101.4.只适合失效安全的系统应用的问题。同样是通过冗余设置,提高了控制器整体的有效性,从而可以应用于不同的系统。
102.5.只适合低实时性的系统应用的问题。通过对各模块采用硬件方式实现内部逻辑加以克服。
103.综上所述,与现有技术相比,新技术有效满足了新需求新应用。
104.上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于本发明技术方案的保护范围。

技术特征:
1.一种控制系统,其特征在于,所述控制系统应用于一被控对象,所述被控对象包括第一传感器和执行器,所述第一传感器用于输出预设数量路的第一传感信号,每一路的所述第一传感信号相同,所述控制系统包括输出信号整理单元、驱动单元和所述预设数量个的电控单元;所述驱动单元用于连接并驱动相对应的所述执行器;每个所述电控单元用于接收一路的所述第一传感信号,每个所述电控单元具有相同的控制逻辑,在正常工况下,每个所述电控单元输出一路的控制信号;所述电控单元的输出端均与所述输出信号整理单元连接,所述输出信号整理单元的输出端与所述驱动单元连接;所述输出信号整理单元用于根据所述电控单元的输出信号中正常工作的部分整理得到一路的控制信号并输出;其中,所述预设数量为至少两个。2.根据权利要求1所述的控制系统,其特征在于,所述被控对象还包括第二传感器,所述第二传感器用于输出一路的第二传感信号;所述控制系统还包括输入信号分解单元,所述输入信号分解单元还用于接收所述第二传感信号并输出所述预设数量路的第三传感信号,每一路的所述第三传感信号均与所述第二传感信号相同;每个所述电控单元还用于接收一路的所述第三传感信号。3.根据权利要求1或者2所述的控制系统,其特征在于,所述预设数量为两个;所述输出信号整理单元还用于在所述电控单元均正常工作时将其中一个所述电控单元的输出信号发送给一半的所述驱动单元,并将另一个所述电控单元的输出信号发送给另一半的所述驱动单元;所述输出信号整理单元还用于在仅有一个所述电控单元正常工作时,将正常工作的所述电控单元的输出信号发送给所有的所述驱动单元。4.根据权利要求1或者2所述的控制系统,其特征在于,所述控制系统还包括供电仲裁单元,所述供电仲裁单元用于接收至少两路的输入电源,并选择所述输入电源中正常工作的一路作为所述控制系统中各元件的供电电源。5.根据权利要求1或者2所述的控制系统,其特征在于,所述电控单元之间通过至少两种不同的通讯机制通讯连接。6.根据权利要求1或者2所述的控制系统,其特征在于,所述电控单元包括至少两组通讯端,每组通讯端用于接收完整的通讯信号以及发送完整的通讯信号。7.根据权利要求6所述的控制系统,其特征在于,每个所述电控单元的至少一组通讯端用于接收第一唤醒信号并唤醒所述电控单元。8.根据权利要求7所述的控制系统,其特征在于,所述电控单元还包括区别于所述通讯端的唤醒端,所述唤醒端用于接收第二唤醒信号并唤醒所述电控单元,所述第二唤醒信号基于一路或两路的硬线唤醒拓扑架构发送。9.根据权利要求1或者2所述的控制系统,其特征在于,所述执行器包括开关类执行器和非开关类执行器;所述开关类执行器的驱动组件接收到高电平的控制信号时所述开关类执行器工作,所述开关类执行器的驱动组件接收到低电平的控制信号时所述开关类执行器停止工作;所述驱动单元包括第一驱动单元和第二驱动单元,所述第一驱动单元用于连接
并驱动所述非开关类执行器,所述第二驱动单元用于连接并驱动所述开关类执行器;所述输出信号整理单元包括第一整理组件和第二整理组件,所述第一整理组件用于基于预设规则选择所述电控单元的输出信号并输出给所述第一驱动单元,所述第二整理组件为或门电路,所述第二整理组件的输入端与所述电控单元用于输出所述开关类执行器的控制信号的输出端连接,所述第二整理组件的输出端与所述第二驱动单元连接。10.根据权利要求2所述的控制系统,其特征在于,所述控制系统还包括供电仲裁单元,所述供电仲裁单元用于接收至少两路的输入电源,并选择所述输入电源中正常工作的一路作为所述控制系统中各元件的供电电源;所述输出信号整理单元、所述输入信号分解单元以及所述供电仲裁单元均以硬件方式实现内部逻辑。

技术总结
本发明提供了一种控制系统,包括至少两个电控单元,每个所述电控单元具有完整的控制逻辑,所述电控单元接收至少两路的传感器信号,并且,所述电控单元输出的控制信号通过输出信号整理单元选择输出。如此配置,任意一个电控单元失效时,或者任意一个电控单元的某路输出端失效时,所述控制系统仍能正常工作,同时,切换等待的时间也较短,从而解决了现有技术中控制系统存在因内部某个组件失效导致停机或者事故的风险的问题,同时还具有主冗切换时间短,执行器控制在发生故障时不中断或不察觉的有益效果。有益效果。有益效果。


技术研发人员:张毅鸣 张苏彬 宋俊利 孙责 佘杰 张榜
受保护的技术使用者:联合汽车电子有限公司
技术研发日:2022.06.24
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-2778.html

专利

最新回复(0)