CN112770958B - 控制方法、监控方法、电子控制单元、控制器和控制系统 - Google Patents

控制方法、监控方法、电子控制单元、控制器和控制系统 Download PDF

Info

Publication number
CN112770958B
CN112770958B CN202080004476.6A CN202080004476A CN112770958B CN 112770958 B CN112770958 B CN 112770958B CN 202080004476 A CN202080004476 A CN 202080004476A CN 112770958 B CN112770958 B CN 112770958B
Authority
CN
China
Prior art keywords
control unit
electronic control
information
input signal
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080004476.6A
Other languages
English (en)
Other versions
CN112770958A (zh
Inventor
杨鸿镔
陈学锋
李坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210656115.0A priority Critical patent/CN115027549A/zh
Publication of CN112770958A publication Critical patent/CN112770958A/zh
Application granted granted Critical
Publication of CN112770958B publication Critical patent/CN112770958B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/20Conjoint control of vehicle sub-units of different type or different function including control of steering systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0484Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0487Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting motor faults
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/049Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting sensor failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0493Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting processor errors, e.g. plausibility of steering direction
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0019Control system elements or transfer functions
    • B60W2050/0028Mathematical models, e.g. for simulation
    • B60W2050/0031Mathematical model of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0019Control system elements or transfer functions
    • B60W2050/0028Mathematical models, e.g. for simulation
    • B60W2050/0037Mathematical models of vehicle sub-units
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Combustion & Propulsion (AREA)
  • Chemical & Material Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Safety Devices In Control Systems (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

本申请涉及智能车辆领域,尤其涉及控制方法、监控方法、电子控制单元、控制器和控制系统,该控制方法包括:第一电子控制单元接收第一输入信号和第二输入信号;第一电子控制单元基于第一输入信号来输出第一信息,并将第一信息提供给第二电子控制单元;第一电子控制单元接收来自第二电子控制单元的第二信息,第二信息是第二电子控制单元基于第二输入信号而输出的;第一电子控制单元基于第二输入信号和第二信息,检测第二电子控制单元的功能状况。利用该控制方法、监控方法、电子控制单元、控制器和控制系统,能够提升故障诊断覆盖范围(摘要附图为图4A)。

Description

控制方法、监控方法、电子控制单元、控制器和控制系统
技术领域
本申请涉及车辆领域,尤其涉及控制方法、监控方法、电子控制单元、控制器和控制系统。
背景技术
安全是未来汽车发展的关键问题之一。随着技术日益复杂,以及,软件和机电一体化应用不断增加,来自系统性失效和随机硬件失效的风险逐渐增加。
电助力转向(Electric Power Steering,EPS)系统是车辆的重要组成部分,其可靠性对车辆与交通参与者的安全尤为重要。车辆功能安全标准ISO26262定义了车辆安全完整性等级(Automotive Safety Integration Level,ASIL),其把整车的目标由低到高划分为ASIL-A、ASIL-B、ASIL-C、ASIL-D四个等级。根据整车安全目标分解的功能安全需求到对应相关零部件,可知EPS相关功能安全需求至少要满足ASIL-D的安全等级,才能符合整车的功能安全目标。然而,传统EPS系统是由单个电子控制单元(Electronic Control Unit,ECU)作为控制单元,这使得车辆往往很难达到ASIL-D安全等级。
为了提高车辆安全等级,已有的方法是EPS系统包括两个互为冗余的ECU作为控制单元,其中,每个ECU检测自身是否存在故障,并当检测发现自身存在故障时,通知另一ECU其发生了故障。
然而,ECU自身的一些故障是自己无法诊断出来的,因此,当这样的故障在ECU中发生时,EPS系统也觉察不到其已经发生了故障,这有可能导致车辆安全事故发生。
发明内容
考虑到现有技术的以上缺陷,本申请的实施例提供控制方法、监控方法、电子控制单元、控制器和控制系统,其能够提高故障诊断覆盖范围。
第一方面,本申请提供一种控制方法,所述控制方法用于第一电子控制单元监控第二电子控制单元,所述控制方法包括:所述第一电子控制单元接收第一输入信号和第二输入信号;所述第一电子控制单元基于所述第一输入信号来输出第一信息,并将所述第一信息提供给所述第二电子控制单元;所述第一电子控制单元接收来自所述第二电子控制单元的第二信息,所述第二信息是所述第二电子控制单元基于所述第二输入信号而输出的;以及,所述第一电子控制单元基于所述第二输入信号和所述第二信息,检测所述第二电子控制单元的功能状况。第一信息和第二信息例如可以但不局限于包括要提供给诸如电机之类的执行机构的控制信号,或者,所述控制信号和具有所述控制器的设备(例如,电机等)的状态参量。
在上述方案中,第一电子控制单元和第二电子控制单元属于不同的计算平台,并且,第一电子控制单元对第二电子控制单元的功能状况的了解,是由第一电子控制单元亲自检测第二电子控制单元的功能状况来实现的。因此,即使第二电子控制单元发生了其自身诊断不到的故障或失效(例如,由于电源、通信、模数转换器(Analog to DigitalConverter,ADC)、晶振、短路等引起的故障或失效),第一电子控制单元也能够检测到第二电子控制单元发生故障,从而提高了故障诊断覆盖范围。
根据第一方面,在所述控制方法的第一可能实现方式中,所述第一信息是经由第一冗余通信通道被提供给所述第二电子控制单元的。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与电子控制单元的功能故障能够被区分,减少通信故障被误认为是电子控制单元的功能故障而导致执行机构不必要的关断。
根据第一方面或以上第一方面的第一可能实现方式,在所述控制方法的第二可能实现方式中,所述第二信息是所述第一电子控制单元经由第二冗余通信通道接收的。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与电子控制单元的功能故障能够被区分,减少通信故障被误认为是电子控制单元的功能故障而导致执行机构不必要的关断。
根据第一方面或以上第一方面的任一可能实现方式,在所述控制方法的第三可能实现方式中,所述第一输入信号是所述第一电子控制单元经由第三冗余通信通道接收的。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,电子控制单元还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
根据第一方面或以上第一方面的任一可能实现方式,在所述控制方法的第四可能实现方式中,所述第二输入信号是所述第一电子控制单元经由第四冗余通信通道接收的。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,电子控制单元还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
根据第一方面或以上第一方面的任一可能实现方式,在所述控制方法的第五可能实现方式中,所述控制方法还包括:在检测到所述第二电子控制单元的功能异常时,所述第一电子控制单元向所述第二电子控制单元发送用于指示所述第二电子控制单元发生故障的故障通知。这里,通过第一电子控制单元在检测到第二电子控制单元的功能异常时向第二电子控制单元发送故障通知,第二电子控制单元在即使不能检测到自身出现故障的情况下也能够及时获知其已经发生了故障。
根据第一方面的第五可能实现方式,在所述控制方法的第六可能实现方式中,所述控制方法还包括:在所述故障通知被发送的同时,所述第一电子控制单元向受所述第二电子控制单元控制的执行机构的驱动单元输出第一指示信号,所述第一指示信号指示所述驱动单元对所述执行机构执行第一操作。这里,通过第一电子控制单元在检测到第二电子控制单元的功能异常时就向受第二电子控制单元控制的执行机构的驱动单元发送指示信号,以使得所述驱动单元对所述执行机构执行相应的故障保护操作,能够防止第二电子控制单元由于可能没有诊断到其自身已发生的故障或失效而经由执行机构对受控对象执行危险操作。
根据第一方面的第五可能实现方式,在所述控制方法的第七可能实现方式中,所述控制方法还包括:如果自所述故障通知被发送起,在经过预定时长之后受所述第二电子控制单元控制的执行机构的驱动单元仍未执行相应操作,所述第一电子控制单元则向所述驱动单元输出第二指示信号,所述第二指示信号指示所述驱动单元对所述执行机构执行第二操作。这里,通过第一电子控制单元在通知第二电子控制单元其发生故障之后且在经过预定时长与第二电子控制单元关联的执行机构的驱动单元仍未执行相应操作的情况下,向所述驱动单元发送指示信号,以使得所述驱动单元对所述执行机构执行相应的故障操作,能够防止在第二电子控制单元完全失效的情况下所述执行机构对受控对象执行危险操作。
根据第一方面或以上第一方面的任一可能实现方式,在所述控制方法的第八可能实现方式中,所述检测所述第二电子控制单元的功能状况包括:所述第一电子控制单元根据所述第二输入信号和所述第二信息,计算具有所述第二电子控制单元的设备的第一状态参量;以及,所述第一电子控制单元根据所述第一状态参量和第一参量阈值,确定所述第二电子控制单元的功能状况。这里,第一电子控制单元借助于具有第二电子控制单元的设备的状态参量来检测第二电子控制单元的功能状况,能够准确地确定第二电子控制单元的功能是否发生故障或失效。
根据第一方面的第八可能实现方式,在所述控制方法的第九可能实现方式中,所述计算具有所述第二电子控制单元的设备的第一状态参量包括:所述第一电子控制单元检查所述第二输入信号和所述第二信息;以及,当检查结果表明所述第二输入信号和所述第二信息有效时,所述第一电子控制单元根据所述第二输入信号和所述第二信息来计算所述第一状态参量。这里,第一电子控制单元对所使用的输入信号和信息检查有效性,能够防止由于无效的输入信号和信息导致的对第二电子控制单元的功能状况的误判。
根据第一方面的第八可能实现方式,在所述控制方法的第十可能实现方式中,所述设备包括车辆,以及,所述计算具有所述第二电子控制单元的设备的第一状态参量包括:所述第一电子控制单元根据所述第二输入信号和所述第二信息,利用以下之一计算所述车辆的所述第一状态参量:电助力转向线性化模型,车辆稳定性模型,电机模型,电助力转向线性化模型和车辆稳定性模型,电助力转向线性化模型和电机模型,车辆稳定性模型和电机模型,以及,电助力转向线性化模型、车辆稳定性模型和电机模型。这里,借助于电助力转向线性化模型、车辆稳定性模型和/或电机模型来计算车辆的状态参量,能够准确地计算得到车辆的状态参量。
第二方面,本申请提供一种用于控制器的监控方法,所述控制器包括第一电子控制单元和第二电子控制单元,所述监控方法包括:所述第一电子控制单元和所述第二电子控制单元接收第一输入信号和第二输入信号;所述第一电子控制单元基于所述第一输入信号来输出第一信息,并将所述第一信息提供给所述第二电子控制单元;所述第二电子控制单元基于所述第二输入信号来输出第二信息,并将所述第二信息提供给所述第一电子控制单元;所述第一电子控制单元基于所述第二输入信号和来自所述第二电子控制单元的所述第二信息,检测所述第二电子控制单元的功能状况;以及,所述第二电子控制单元基于所述第一输入信号和来自所述第一电子控制单元的所述第一信息,检测所述第一电子控制单元的功能状况。第一信息和第二信息例如可以但不局限于包括要提供给诸如电机之类的执行机构的控制信号,或者,所述控制信号和具有所述控制器的设备(例如,电机等)的状态参量。
在上述方案中,第一电子控制单元和第二电子控制单元属于不同的计算平台,并且,第一电子控制单元对第二电子控制单元的功能状况的了解,是由第一电子控制单元亲自检测第二电子控制单元的功能状况来实现的,以及,第二电子控制单元对第一电子控制单元的功能状况的了解,是由第二电子控制单元亲自检测第一电子控制单元的功能状况来实现的。因此,即使第一电子控制单元发生了其自身诊断不到的故障或失效(例如,由于电源、通信、模数转换器(Analog to Digital Converter,ADC)、晶振、短路等引起的故障或失效),第二电子控制单元也能够检测到第一电子控制单元发生故障,同理,即使第二电子控制单元发生了其自身诊断不到的故障或失效(例如,由于电源、通信、ADC、晶振、短路等引起的故障或失效),第一电子控制单元也能够检测到第二电子控制单元发生故障,从而提高了故障诊断覆盖范围。
根据第二方面,在所述监控方法的第一可能实现方式中,所述第一信息是经由第一冗余通信通道被提供给所述第二电子控制单元的。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与控制器功能故障能够被区分,减少通信故障被误认为是控制器功能故障而导致执行机构不必要的关断。
根据第二方面或以上第二方面的第一可能实现方式,在所述监控方法的第二可能实现方式中,所述第一输入信号经由第三冗余通信通道被所述第一电子控制单元和所述第二电子控制单元接收。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与控制器功能故障能够被区分,减少通信故障被误认为是控制器功能故障而导致执行机构不必要的关断。
根据第二方面或以上第二方面的任一可能实现方式,在所述监控方法的第三可能实现方式中,所述第一输入信号经由第三冗余通信通道被所述第一电子控制单元和所述第二电子控制单元接收。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,电子控制单元还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
根据第二方面或以上第二方面的任一可能实现方式,在所述监控方法的第四可能实现方式中,所述第二输入信号经由第四冗余通信通道被所述第一电子控制单元和所述第二电子控制单元接收。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,电子控制单元还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
根据第二方面或以上第二方面的任一可能实现方式,在所述监控方法的第五可能实现方式中,所述监控方法还包括:当检测到所述第一电子控制单元的功能异常时,所述第二电子控制单元向所述第一电子控制单元发送用于指示所述第一电子控制单元发生故障的第一故障通知。这里,通过第二电子控制单元在检测到第一电子控制单元的功能异常时向第一电子控制单元发送故障通知,第一电子控制单元在即使不能检测到自身出现故障的情况下也能够及时获知其已经发生了故障。
根据第二方面或以上第二方面的任一可能实现方式,在所述监控方法的第六可能实现方式中,所述监控方法还包括:当检测到所述第二电子控制单元的功能异常时,所述第一电子控制单元向所述第二电子控制单元发送用于指示所述第二电子控制单元发生故障的第二故障通知。这里,通过第一电子控制单元在检测到第二电子控制单元的功能异常时向第二电子控制单元发送故障通知,第二电子控制单元在即使不能检测到自身出现故障的情况下也能够及时获知其已经发生了故障。
根据第二方面的第五可能实现方式,在所述监控方法的第七可能实现方式中,所述监控方法还包括:在发送所述第一故障通知的同时,所述第二电子控制单元向受所述第一电子控制单元控制的第一执行机构的第一驱动单元输出第一指示信号,所述第一指示信号指示所述第一驱动单元对所述第一执行机构执行第一操作。这里,通过第二电子控制单元在检测到第一电子控制单元的功能异常时就向受第一电子控制单元控制的第一执行机构的第一驱动单元发送指示信号,以使得第一驱动单元对第一执行机构执行相应的故障保护操作,能够防止第一电子控制单元由于可能没有诊断到其自身已发生的故障或失效而经由第一执行机构对所述控制器控制的对象执行危险操作。
根据第二方面的第六可能实现方式,在所述监控方法的第八可能实现方式中,所述监控方法还包括:在发送所述第二故障通知的同时,所述第一电子控制单元向受所述第二电子控制单元控制的第二执行机构的第二驱动单元输出第二指示信号,所述第二指示信号指示所述第二驱动单元对所述第二执行机构执行第二操作。这里,通过第一电子控制单元在检测到第二电子控制单元的功能异常时就向与第二电子控制单元对应的第二执行机构的第二驱动单元发送指示信号,以使得第二驱动单元对第二执行机构执行相应的故障操作,能够防止第二电子控制单元由于可能没有诊断到其自身已发生的故障或失效而经由第二执行机构对所述控制器控制的对象执行危险操作。
根据第二方面的第五可能实现方式,在所述监控方法的第九可能实现方式中,所述监控方法还包括:如果自所述第一故障通知被发送起,在经过第一预定时长之后受所述第一电子控制单元控制的第一执行机构的第一驱动单元仍未执行相应操作,则所述第二电子控制单元向所述第一驱动单元输出第三指示信号,所述第三指示信号指示所述第一驱动单元对所述第一执行机构执行第三操作。这里,通过第二电子控制单元在通知第一电子控制单元其发生故障之后且在经过预定时长与第一电子控制单元关联的第一执行机构的第一驱动单元仍未执行相应操作的情况下,向第一驱动单元发送指示信号,以使得第一驱动单元对第一执行机构执行相应的故障操作,能够防止在第一电子控制单元完全失效的情况下第一执行机构对控制器控制的对象执行危险操作。
根据第二方面的第六可能实现方式,在所述监控方法的第十可能实现方式中,所述监控方法还包括:如果自所述第二故障通知被发送起,在经过第二预定时长之后受所述第二电子控制单元控制的第二执行机构的第二驱动单元仍未执行相应操作,则所述第一电子控制单元向所述第二驱动单元输出第四指示信号,所述第四指示信号指示所述第二驱动单元对所述第二执行机构执行第四操作。这里,通过第一电子控制单元在通知第二电子控制单元其发生故障之后且在经过预定时长之后与第二电子控制单元关联的第二执行机构的第二驱动单元仍未执行相应操作的情况下,向第二驱动单元发送指示信号,以使得第二驱动单元对第二执行机构执行相应的故障操作,能够防止在第二电子控制单元完全失效的情况下第二执行机构对控制器控制的对象执行危险操作。
根据第二方面或以上第二方面的任一可能实现方式,在所述监控方法的第十一可能实现方式中,所述检测所述第二电子控制单元的功能状况包括:所述第一电子控制单元根据所述第二输入信号和所述第二信息,计算具有所述控制器的设备的第一状态参量;以及,所述第一电子控制单元根据所述第一状态参量和第一参量阈值,确定所述第二电子控制单元的功能状况。这里,第一电子控制单元借助于包含所述控制器的设备的状态参量来检测第二电子控制单元的功能状况,能够准确地确定第二电子控制单元的功能是否发生故障或失效。
根据第二方面的第十一可能实现方式,在所述监控方法的第十二可能实现方式中,所述计算具有所述控制器的设备的第一状态参量包括:所述第一电子控制单元检查所述第二输入信号和所述第二信息;以及,当检查结果表明所述第二输入信号和所述第二信息有效时,所述第一电子控制单元根据所述第二输入信号和所述第二信息来计算所述第一状态参量。这里,第一电子控制单元对所使用的第二输入信号和第二信息检查有效性,能够防止由于无效的输入信号和信息导致的对第二电子控制单元的功能状况的误判。
根据第二方面或以上第二方面的任一可能实现方式,在所述监控方法的第十三可能实现方式中,所述检测所述第一电子控制单元的功能状况包括:所述第二电子控制单元根据所述第一输入信号和所述第一信息,计算具有所述控制器的设备的第二状态参量;以及,所述第二电子控制单元根据所述第二状态参量和第二参量阈值,确定所述第一电子控制单元的功能状况。这里,第二电子控制单元借助于包含所述控制器的设备的状态参量来检测第一电子控制单元的功能状况,能够准确地确定第一电子控制单元的功能是否发生故障或失效。
根据第二方面的第十三可能实现方式,在所述监控方法的第十四可能实现方式中,所述计算具有所述控制器的设备的第二状态参量:所述第二电子控制单元检查所述第一输入信号和所述第一信息;以及,当检查结果表明所述第一输入信号和所述第一信息有效时,所述第二电子控制单元根据所述第一输入信号和所述第一信息来计算所述第二状态参量。这里,第二电子控制单元对所使用的第一输入信号和第一信息检查有效性,能够防止由于无效的输入信号和信息导致的对第一电子控制单元的功能状况的误判。
根据第二方面的第十一可能实现方式,在所述监控方法的第十五可能实现方式中,所述设备包括车辆,以及,所述计算具有所述控制器的设备的第一状态参量包括:所述第一电子控制单元根据所述第二输入信号和所述第二信息,利用以下之一来计算所述车辆的所述第一状态参量:电助力转向线性化模型,车辆稳定性模型,电机模型,电助力转向线性化模型和车辆稳定性模型,电助力转向线性化模型和电机模型,车辆稳定性模型和电机模型,以及,电助力转向线性化模型、车辆稳定性模型和电机模型。这里,借助于电助力转向线性化模型、车辆稳定性模型和/或电机模型来计算车辆的状态参量,能够准确地计算得到车辆的状态参量。
根据第二方面的第十三可能实现方式,在所述监控方法的第十六可能实现方式中,所述设备包括车辆,以及,所述计算具有所述控制器的设备的第二状态参量包括:所述第二电子控制单元根据所述第一输入信号和所述第一信息,利用以下之一来计算所述车辆的所述第二状态参量:电助力转向线性化模型,车辆稳定性模型,电机模型,电助力转向线性化模型和车辆稳定性模型,电助力转向线性化模型和电机模型,车辆稳定性模型和电机模型,以及,电助力转向线性化模型、车辆稳定性模型和电机模型。这里,借助于电助力转向线性化模型、车辆稳定性模型和/或电机模型来计算车辆的状态参量,能够准确地计算得到车辆的状态参量。
第三方面,本申请提供一种电子控制单元,所述电子控制单元包括微型计算机、输入电路和输出电路。所述输入电路用于对输入信号进行预处理,并把处理后的输入信号提供给所述微型计算机。所述输出电路用于将所述微型计算机发出的处理结果转变成控制信号以输出。所述微型计算机包括与总线、所述输入电路和所述输出电路连接的输入输出接口、与所述总线连接的处理器和与所述总线连接的存储器,所述存储器存储有计算机程序,所述计算机程序当被所述处理器执行时使得所述处理器执行第一方面或以上第一方面的任一可能实现方式所述的控制方法。
以上第三方面的技术效果可以参考上述第一方面及其各个可能实现方式的技术效果,这里不再赘述。
第四方面,本申请提供一种控制器,所述控制器包括第一电子控制单元和第二电子控制单元,其中,所述第一电子控制单元和所述第二电子控制单元分别执行第二方面或以上第二方面的任一可能实现方式所述的监控方法中由第一电子控制单元执行的操作和由第二电子控制单元执行的操作。
以上第四方面的技术效果可以参考上述第二方面及其各个可能实现方式的技术效果,这里不再赘述。
第五方面,本申请提供一种控制系统,所述控制系统包括第四方面所述的控制器、第一输入端、第二输入端、所述第一驱动单元和所述第二驱动单元,其中,第一输入端用于接收所述第一输入信号并分别向所述控制器中的所述第一电子控制单元和所述第二电子控制单元发送所接收的第一输入信号,第二输入端用于接收所述第二输入信号并分别向所述控制器中的所述第二电子控制单元和所述第一电子控制单元发送所接收的第二输入信号,所述第一驱动单元与所述第一电子控制单元和所述第二电子控制单元连接,以及,所述第二驱动单元与所述第一电子控制单元和所述第二电子控制单元连接。
第六方面,本申请提供一种车辆,所述车辆包括第五方面所述的控制系统。
第七方面,本申请提供一种计算机可读存储介质,在所述计算机可读存储介质上存储有计算机程序,所述计算机程序当被电子控制单元执行时使得所述控制器执行第一方面或第一方面的任一可能实现方式所述的控制方法。
第八方面,本申请提供一种计算机程序,所述计算机程序当被电子控制单元执行时使得所述电子控制单元执行第一方面或第一方面的任一可能实现方式所述的控制方法。
附图说明
以下参照附图来进一步说明本申请的各个特征和各个特征之间的联系。附图均为示例性的,一些特征并不以实际比例示出,并且一些附图中可能省略了本申请所涉及领域的惯常的且对于本申请非必要的特征,或是额外示出了对于本申请非必要的特征,附图所示的各个特征的组合并不用以限制本申请。具体的附图说明如下:
图1示出根据现有技术一的EPS系统的示意图;
图2示出根据现有技术二的EPS系统的示意图;
图3示出了按照本申请的实施例的应用场景的示意图;
图4A示出了按照本申请的实施例的控制方法的流程图;
图4B示出了按照本申请的实施例的用于控制器的监控方法的流程图;
图5A示出了按照本申请的实施例的控制器的示意图;
图5B示出了按照本申请的实施例的电子控制单元的示意图;
图6示出了按照本申请的一个示例性具体实现的EPS系统的架构示意图;
图7示出了按照本申请的示例性具体实现的EPS系统的细节示意图;
图8示出了根据本申请的一个示例性具体实现的第二应用程序单元的示意图;以及
图9示出了根据本申请的实施例的基于不同安全机制布置方案的失效模式影响与诊断分析的示意图。
具体实施方式
说明书和权利要求书中的词语第一、第二、第三或模块A、模块B、模块C等类似用语,仅用于区别类似的对象,不代表针对对象的特定排序,可以理解地,在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
在以下的描述中,所涉及的表示步骤的标号,如S110、S120……等,并不表示一定会按此步骤执行,在允许的情况下可以互换前后步骤的顺序,或同时执行。
说明书和权利要求书中使用的术语“包括”不应解释为限制于其后列出的内容;它不排除其它的元件或步骤。因此,其应当诠释为指定所提到的所述特征、整体、步骤或部件的存在,但并不排除存在或添加一个或更多其它特征、整体、步骤或部件及其组群。因此,表述“包括装置A和B的设备”不应局限为仅由部件A和B组成的设备。此外,说明书和权利要求书中使用的术语“多个”表示两个或两个以上。
本说明书中提到的“一些实施例”或“实施例”意味着与该实施例结合描述的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在本说明书各处出现的用语“在一些实施例中”或“在实施例中”并不一定都指相同实施例,但可以指相同实施例。此外,在一个或多个实施例中,能够以任何适当的方式组合各特定特征、结构或特性,如从本公开对本领域的普通技术人员显而易见的那样。
为了更好地理解本申请的技术方案,下面先对现有技术的状况做简单介绍。
图1示出根据现有技术一的EPS系统的示意图。如图1所示,EPS系统包括两个电子助力转向单元,即电子助力转向单元X和电子助力转向单元Y。电子助力转向单元X和Y各自具有一转角转矩传感器1以给各自的处理器2独立传输信号,并由各自的处理器2对各自侧电机3执行控制操作。这两个处理器2通过冗余信号线11进行通信。此外,图1的EPS系统采用了由主电源5供电的中央控制器4和由从电源供电的安全控制器8的冗余设计,相当于对车辆总线做了冗余。中央控制器4经由网关7通过总线6与这两个处理器2通信。当中央控制器4失效时,通过安全控制器8与这两个处理器2进行通信。
然而,本申请的发明人经过深入研究发现现有技术一存在以下缺点。在图1所示的现有技术一中,虽然实现了双系统(即电子助力转向单元X和电子助力转向单元Y)冗余,但每个系统不监测对方系统的输入,因此,如果这两个系统中的某一系统发生了故障但自己没有探测出来,则对方系统或另一系统也无能为力,没有办法知道该某一系统发生了故障。在图1所示的现有技术一中,虽实现双处理器(即两个处理器2)冗余,但当电子助力转向单元X或电子助力转向单元Y的处理器2、传感器1、电机3中的任一个失效且执行器工作异常时,正常侧的电子助力转向单元无法将故障侧的电子助力转向单元中的电机3关断。在图1所示的现有技术一中,双系统(即电子助力转向单元X和电子助力转向单元Y)的传感器信号没有采用冗余设计,因此,在传感器1异常时系统无法诊断出来的情况下,可能造成残余故障。
图2示出根据现有技术二的EPS系统的示意图。如图2所示,在现有技术二中,计算单元实现部分冗余,通过主辅计算单元和副/辅计算单元对电机继电器进行开停控制。主辅计算单元和副/辅计算单元当发现对方计算模块故障时关断对方计算模块控制的电机继电器。双系统(即主辅计算单元所在的系统和副/辅计算单元所在的系统)交互仅仅通过传递故障信号实现。双计算单元立足于各自的计算平台,对同源信号输入进行计算,但输入信号没有冗余。此外,两个计算平台同时计算并同时存在两个控制信号,由多路复用器来决定最终输出哪个控制信号。
然而,本申请的发明人经过深入研究发现现有技术二存在以下缺点。在图2所示的现有技术二中,每个系统只诊断对方系统的通信是否正常,不诊断对方系统的状态,换言之,图2所示的双系统校验的模式停留在各自输出的故障信号的校验,没有进行对方系统输入端或系统层面的功能校验,一旦某个系统发生其自身诊断不出来的故障,则该故障就会变成残余故障。
下面将结合附图详细描述本申请的各个实施例。
为了准确地对本申请中的技术内容进行叙述,以及为了准确地理解本申请中的技术内容,在对具体实施方式进行说明之前先对本说明书中所使用的术语给出如下的解释说明或定义。
自动驾驶(Autonomous Driving):指车辆能自动实现路径规划、行为决策和运动规划(速度和轨迹规划)等驾驶任务的能力。
自动驾驶级别:美国机动车工程师协会(Society of Automotive Engineers,SAE)将自动驾驶分为五个级别,即:L1驾驶辅助(Level 1Driver Assistance)、L2部分自动驾驶(Level 2Partial Automation)、L3有条件自动驾驶(Level 3ConditionalAutomation)、L4高度自动驾驶(Level 4High Automation)和L5完全自动驾驶(Level5Full Automation)。
ECU(Electronic Control Unit),指电子控制单元。ECU通常应用于车辆,又称为车辆的“行车电脑”,它一般利用各种传感器、总线的数据采集与交换,来判断车辆状态以及司机的意图并通过执行器来操控车辆,以控制车辆的行驶状态以及实现其各种功能。
磁场定向控制(Field-Oriented Control,FOC):也被称作矢量控制(VectorControl,VC),其是目前无刷直流电机(Brushless Direct Current Motor,BLDC)和永磁同步电机(Permanent Magnet Synchronous Motor,PMSM)高效控制的最优方法之一。FOC旨在通过精确地控制磁场大小与方向,使得电机的运动转矩平稳、噪声小、效率高,并且具有高速的动态响应。
Park变换(Park's Transformation):也称为派克变换,其是目前分析同步电动机运行最常用的一种坐标变换,其将静止的αβ坐标系转换为旋转的dq坐标系。
Clark变换:FOC控制的其中一种坐标转换方法,其将abc坐标系转换为αβ坐标系。
失效模式影响与诊断分析(Failure Mode Effect and Diagnostic Analysis,FMEDA):其是产品设计定量分析的基础,可以用来分析整个系统也可以用来分析系统的某个模块单元。
安全机制(Safety Mechanism,SM):指某项功能,它由电子电气器件或其他技术手段实现,用于探测故障或控制失效,以使产品能进入或保持安全状态避免不合理的风险。
诊断覆盖率:指元器件失效率可以被安全机制诊断出来的百分比,典型值:60%、90%和99%.安全机制的覆盖率可以根据产品的实际使用场景进一步的分析和优化。
残余故障:在某个硬件单元中被诊断的故障的残存部分,即没有被诊断覆盖(诊断覆盖率>0%)到的那部分故障,井且它会立即导致安全目标的违反。
图3示出了按照本申请的实施例的应用场景的示意图。图3所示的应用场景是设备100,其例如可以包括但不局限于车辆、机器等。
如图3所示,设备100包括信息源110、控制系统130和受控对象150。其中,控制系统130分别连接到信息源110和受控对象150。
信息源110可以是各种产生信息和/或收集信息的装置。例如,当设备100是车辆时,信息源110例如可以包括但不局限于车辆的方向盘扭矩角度传感器、电机位置传感器、车速传感器和/或用于提供车辆的整车信号输入的控制器局域网(Controller AreaNetwork,CAN)总线等。
控制系统130用于根据来自信息源110的信息生成控制信号以控制受控对象150。例如,当设备100是车辆时,控制系统130例如可以是但不局限于电助力转向(ElectricPower Steering,EPS)系统、发动机控制器系统、电机控制器系统、制动控制器系统等。
控制系统130可以包括输入端132、控制器134、驱动单元135和执行机构136。输入端132用于接收来自信息源110的信息并将其发送给控制器134。控制器134用于根据从输入端132接收的信息来生成控制信号并将所生成的控制信号输出给驱动单元135。驱动单元135用于根据来自控制器134的控制信号,控制执行机构136的操作,以使受控对象150进行预定操作。例如,当设备100是车辆,并且,控制系统130是EPS系统、发动机控制器系统、电机控制器系统、制动控制器系统等时,执行机构136例如可以是电机等。
受控对象150是被控制系统130的控制器134控制的对象。例如,当设备100是车辆时,受控对象150例如可以是但不局限于车辆的方向盘、利用燃料给车辆提供动力的发动机、利用电能给车辆提供动力的电机、制动器等。
图4A示出了按照本申请的实施例的控制方法的流程图。图4A所示的控制方法400用于第一ECU监控第二ECU,其中,所述第一ECU和所述第二ECU例如可以分别是但不局限于图6所示的EPS系统600中的ECU630A和ECU630B,或者,所述第一ECU和所述第二ECU例如可以分别是但不局限于ECU630B和ECU630A。如图4A所示,控制方法400可以包括步骤S402-S414。
在步骤S402,第一ECU接收第一输入信号和第二输入信号。
所述第一输入信号和所述第二输入信号例如可以由图3所示的输入端132提供。其中,输入端132可以是单个输入端,在这种情况下,所述第一输入信号和所述第二输入信号可以由该单个输入端例如从信息源110接收,然后分别提供给所述第一ECU和所述第二ECU。或者,输入端132可以包括第一输入端和第二输入端,在这种情况下,所述第一输入信号可以由该第一输入端例如从信息源110接收并且然后分别提供给所述第一ECU和所述第二ECU,以及,所述第二输入信号可以由该第二输入端例如从信息源110接收并且然后分别提供给所述第一ECU和所述第二ECU。此外,根据所述第一ECU和所述第二ECU所位于的不同控制系统,所述第一输入信号和所述第二输入信号可以包括不同的信息。例如,当所述第一ECU和所述第二ECU位于车辆的EPS系统中的控制器中时,所述第一输入信号和所述第二输入信号可以包括但不局限于来自方向盘扭矩角度传感器、电机位置传感器、车速传感器和/或CAN总线等的数据。
在步骤S406,所述第一ECU基于所述第一输入信号来输出第一信息,并将所述第一信息提供给所述第二ECU。
在步骤S410,所述第一ECU接收来自所述第二ECU的第二信息,所述第二信息是所述第二ECU基于所述第二输入信号而输出的。
所述第一信息例如可以但不局限于包括要提供给受所述第一ECU控制的第一执行机构的第一驱动单元的第一控制信号,或者,所述第一控制信号和具有所述第一ECU的设备(例如,车辆等)的状态参量。所述第二信息例如可以但不局限于包括要提供给受所述第二ECU控制的第二执行机构的第二驱动单元的第二控制信号,或者,所述第二控制信号和具有所述第二ECU的设备(例如,车辆等)的状态参量。所述状态参量例如可以包括图8所示的B-MotPhsCur(相电流)、B-MotPhsVolt(相电压)、B-MPSRotSpd(电机角速度)等。所述第一执行机构和所述第二执行机构可以是相同的执行机构,或者,属于不同的执行机构。
在步骤S414,所述第一ECU基于所述第二输入信号和所述第二信息,检测所述第二ECU的功能状况。
所述功能状况例如可以表示所述第二ECU的功能是否正常,是否发生故障等。
在上述方案中,所述第一ECU和所述第二ECU属于不同的计算平台,并且,所述第一ECU对所述第二ECU的功能状况的了解,是由所述第一ECU亲自检测所述第二ECU的功能状况来实现的。因此,即使所述第二ECU发生了其自身诊断不到的故障或失效(例如,由于电源、通信、模数转换器(Analog to Digital Converter,ADC)、晶振、短路等引起的故障或失效),所述第一ECU也能够检测到所述第二ECU发生故障,从而提高了故障诊断覆盖范围。
此外,在一些实施例中,所述第一信息是经由第一冗余通信通道被提供给所述第二ECU的。第一冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660A等。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与ECU的功能故障能够被区分,减少通信故障被误认为是ECU的功能故障而导致执行机构不必要的关断。
此外,在一些实施例中,所述第二信息是所述第一ECU经由第二冗余通信通道接收的。第二冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660A等。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与ECU的功能故障能够被区分,减少通信故障被误认为是ECU的功能故障而导致执行机构不必要的关断。
此外,在一些实施例中,所述第一输入信号是所述第一ECU经由第三冗余通信通道接收的。第三冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660C等。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,ECU还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
此外,在一些实施例中,所述第二输入信号是所述第一ECU经由第四冗余通信通道接收的。第四冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660D等。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,电子控制单元还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
此外,在一些实施例中,控制方法400还可以包括步骤S418。在步骤S418,在检测到所述第二ECU的功能异常时,所述第一ECU向所述第二ECU发送用于指示所述第二ECU发生故障的故障通知。这里,通过所述第一ECU在检测到所述第二ECU的功能异常时向所述第二ECU发送故障通知,所述第二ECU在即使不能检测到自身出现故障的情况下也能够及时获知其已经发生了故障。
此外,在一些实施例中,控制方法400还可以包括步骤S422或者步骤S426。
在步骤S422,在所述故障通知被发送的同时,所述第一ECU向受所述第二ECU控制的执行机构的驱动单元输出第一指示信号,所述第一指示信号指示所述驱动单元对所述执行机构执行第一操作。所述第一操作例如可以是本文中提到的故障保护操作,其例如可以包括关闭执行机构、对执行机构降级、重启执行机构等。这里,通过所述第一ECU在检测到所述第二ECU的功能异常时就向受所述第二ECU控制的执行机构的驱动单元发送指示信号,以使得所述驱动单元对所述执行机构执行相应的故障保护操作,能够防止所述第二ECU由于可能没有诊断到其自身已发生的故障或失效而经由执行机构对受控对象执行危险操作。
在步骤S426,如果自所述故障通知被发送起,在经过预定时长之后受所述第二ECU控制的执行机构的驱动单元仍未执行相应操作,则所述第一ECU向所述驱动单元输出第二指示信号,所述第二指示信号指示所述驱动单元对所述执行机构执行第二操作。所述第二操作例如可以是本文中提到的故障保护操作,其例如可以包括关闭执行机构、对执行机构降级、重启执行机构等。这里,通过所述第一ECU在通知所述第二ECU其发生故障之后且在经过预定时长与所述第二ECU关联的执行机构的驱动单元仍未执行相应操作的情况下,向所述驱动单元发送指示信号,以使得所述驱动单元对所述执行机构执行相应的故障操作,能够防止在所述第二ECU完全失效的情况下所述执行机构对受控对象执行危险操作。
此外,在一些实施例中,步骤S414可以包括步骤S4142和步骤S4144。在步骤S4142,所述第一ECU根据所述第二输入信号和所述第二信息,计算具有所述第二ECU的设备的第一状态参量。在步骤S4144,所述第一ECU根据所述第一状态参量和第一参量阈值,确定所述第二ECU的功能状况。例如但不局限于,在具有所述第二ECU的设备是车辆,并且,所述第二ECU位于EPS系统中的控制器的情况下,第一状态参量例如可以包括但不局限于车辆的横摆角速度和质心侧偏角等,第一参量阈值例如可以包括但不局限于车辆的在当前车速和前轮转角下最大允许的横摆角速度和质心侧偏角等。这里,所述第一ECU借助于具有所述第二ECU的设备的状态参量来检测所述第二ECU的功能状况,能够准确地确定所述第二ECU的功能是否发生故障或失效。
此外,在一些实施例中,步骤S4142可以包括:所述第一ECU检查所述第二输入信号和所述第二信息;以及,当检查结果表明所述第二输入信号和所述第二信息有效时,所述第一ECU根据所述第二输入信号和所述第二信息来计算所述第一状态参量。这里,所述第一ECU对所使用的输入信号和信息检查有效性,能够防止由于无效的输入信号和信息导致的对所述第二ECU的功能状况的误判。
此外,在一些实施例中,所述设备包括车辆,以及,步骤S4142可以包括:所述第一ECU根据所述第二输入信号和所述第二信息,利用以下之一计算所述车辆的所述第一状态参量:电助力转向线性化模型,车辆稳定性模型,电机模型,电助力转向线性化模型和车辆稳定性模型,电助力转向线性化模型和电机模型,车辆稳定性模型和电机模型,以及,电助力转向线性化模型、车辆稳定性模型和电机模型。这里,借助于电助力转向线性化模型、车辆稳定性模型和/或电机模型来计算车辆的状态参量,能够准确地计算得到车辆的状态参量。
图4B示出了按照本申请的实施例的用于控制器的监控方法的流程图。图4B所示的监控方法450用于包括第一ECU和第二ECU的控制器A。控制器A例如可以是但不局限于由图6所示的EPS系统600中的ECU630A和ECU630B形成的控制器等。如图4B所示,监控方法450可以包括步骤S452-S468。
在步骤S452,控制器A的第一ECU和第二ECU接收第一输入信号和第二输入信号。
所述第一输入信号和所述第二输入信号例如可以由图3所示的输入端132提供。其中,输入端132可以是单个输入端,在这种情况下,所述第一输入信号和所述第二输入信号可以由该单个输入端例如从信息源110接收,然后分别提供给控制器A的第一ECU和第二ECU。或者,输入端132可以包括第一输入端和第二输入端,在这种情况下,所述第一输入信号可以由该第一输入端例如从信息源110接收并且然后分别提供给控制器A的第一ECU和第二ECU,以及,所述第二输入信号可以由该第二输入端例如从信息源110接收并且然后分别提供给控制器A的第一ECU和第二ECU。此外,根据控制器A所位于的不同控制系统,所述第一输入信号和所述第二输入信号可以包括不同的信息。例如,当控制器A是车辆的EPS系统中的控制器时,所述第一输入信号和所述第二输入信号可以包括但不局限于来自方向盘扭矩角度传感器、电机位置传感器、车速传感器和/或CAN总线等的数据。
在步骤S456,控制器A的第一ECU基于所述第一输入信号来输出第一信息,并将所述第一信息提供给控制器A的第二ECU。
在步骤S460,控制器A的第二ECU基于所述第二输入信号来输出第二信息,并将所述第二信息提供给控制器A的第一ECU。
所述第一信息例如可以但不局限于包括要提供给受控制器A的第一ECU控制的第一执行机构的第一驱动单元的第一控制信号,或者,所述第一控制信号和具有控制器A的设备(例如,车辆等)的状态参量。所述第二信息例如可以但不局限于包括要提供给受控制器A的第二ECU控制的第二执行机构的第二驱动单元的第二控制信号,或者,所述第二控制信号和具有控制器A的设备(例如,车辆等)的状态参量。所述状态参量例如可以包括图8所示的B-MotPhsCur(相电流)、B-MotPhsVolt(相电压)、B-MPSRotSpd(电机角速度)等。所述第一执行机构和所述第二执行机构可以是相同的执行机构,或者,属于不同的执行机构。
在步骤S464,控制器A的第一ECU基于所述第二输入信号和来自控制器A的第二ECU的所述第二信息,检测控制器A的第二ECU的功能状况。
在步骤S468,控制器A的第二ECU基于所述第一输入信号和来自控制器A的第一ECU的所述第一信息,检测控制器A的第一ECU的功能状况。
所述功能状况例如可以表示控制器A的第一ECU和第二ECU的功能是否正常,是否发生故障等。
在上述方案中,控制器A的第一ECU和第二ECU属于不同的计算平台,并且,控制器A的第一ECU对控制器A的第二ECU的功能状况的了解,是由控制器A的第一ECU亲自检测控制器A的第二ECU的功能状况来实现的,以及,控制器A的第二ECU对控制器A的第一ECU的功能状况的了解,是由控制器A的第二ECU亲自检测控制器A的第一ECU的功能状况来实现的。因此,即使控制器A的第一ECU发生了其自身诊断不到的故障或失效(例如,由于电源、通信、ADC、晶振、短路等引起的故障或失效),控制器A的第二ECU也能够检测到控制器A的第一ECU发生故障,同理,即使控制器A的第二ECU发生了其自身诊断不到的故障或失效(例如,由于电源、通信、ADC、晶振、短路等引起的故障或失效),控制器A的第一ECU也能够检测到控制器A的第二ECU发生故障,从而提高了故障诊断覆盖范围。
此外,在一些实施例中,所述第一信息是经由第一冗余通信通道被提供给控制器A的第二ECU的。第一冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660A等。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与控制器功能故障能够被区分,减少通信故障被误认为是控制器功能故障而导致执行机构不必要的关断。
此外,在一些实施例中,所述第二信息是经由第二冗余通信通道被提供给控制器A的第一ECU的。第二冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660A等。这里,采用冗余通信通道来传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与控制器功能故障能够被区分,减少通信故障被误认为是控制器功能故障而导致执行机构不必要的关断。
此外,在一些实施例中,所述第一输入信号经由第三冗余通信通道被控制器A的第一ECU和第二ECU接收。第三冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660C等。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,ECU还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
此外,在一些实施例中,所述第二输入信号经由第四冗余通信通道被控制器A的第一ECU和第二ECU接收。第四冗余通信通道例如可以是但不局限于图6中所示的冗余通信通道660D等。这里,采用冗余通信通道来传送输入信号,当冗余通信通道中的其中一个通信通道所传送的输入信号不正确时,ECU还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
此外,在一些实施例中,监控方法450还可以包括步骤S472。在步骤S472,当检测到控制器A的第一ECU的功能异常时,控制器A的第二ECU向控制器A的第一ECU发送用于指示控制器A的第一ECU发生故障的第一故障通知。这里,通过控制器A的第二ECU在检测到控制器A的第一ECU的功能异常时向控制器A的第一ECU发送故障通知,控制器A的第一ECU在即使不能检测到自身出现故障的情况下也能够及时获知其已经发生了故障。
此外,在一些实施例中,监控方法450还可以包括步骤S476。在步骤S476,当检测到控制器A的第二ECU的功能异常时,控制器A的第一ECU向控制器A的第二ECU发送用于指示控制器A的第二ECU发生故障的第二故障通知。这里,通过控制器A的第一ECU在检测到控制器A的第二ECU的功能异常时向控制器A的第二ECU发送故障通知,控制器A的第二ECU在即使不能检测到自身出现故障的情况下也能够及时获知其已经发生了故障。
此外,在一些实施例中,监控方法450还可以包括步骤S480或者步骤S484。
在步骤S480,在发送第一故障通知的同时,控制器A的第二ECU向受控制器A的第一ECU控制的第一执行机构的第一驱动单元输出第一指示信号,所述第一指示信号指示所述第一驱动单元对所述第一执行机构执行第一操作。所述第一操作例如可以是本文中提到的故障保护操作,其例如可以包括关闭所述第一执行机构、对所述第一执行机构降级、重启所述第一执行机构等。这里,通过控制器A的第二ECU在检测到控制器A的第一ECU的功能异常时就向与控制器A的第一ECU对应的第一执行机构的第一驱动单元发送指示信号,以使得第一驱动单元对第一执行机构执行相应的故障保护操作,能够防止控制器A的第一ECU由于可能没有诊断到其自身已发生的故障或失效而经由相应的执行机构对控制器A控制的对象执行危险操作。
在步骤S484,如果自所述第一故障通知被发送起,在经过第一预定时长之后受控制器A的第一ECU控制的第一执行机构的第一驱动单元仍未执行相应操作,则控制器A的第二ECU向所述第一驱动单元输出第三指示信号,所述第三指示信号指示所述第一驱动单元对所述第一执行机构执行第三操作。这里,通过控制器A的第二ECU在通知控制器A的第一ECU其发生故障之后且在经过预定时长与控制器A的第一ECU关联的第一执行机构的第一驱动单元仍未执行相应操作的情况下,向第一驱动单元发送指示信号,以使得第一驱动单元对第一执行机构执行相应的故障保护操作,能够防止在控制器A的第一ECU完全失效的情况下第一执行机构对控制器控制的对象执行危险操作。
此外,在一些实施例中,监控方法450还可以包括步骤S488或者步骤S492。
在步骤S488,在发送第二故障通知的同时,控制器A的第一ECU向受控制器A的第二ECU控制的第二执行机构的第二驱动单元输出第二指示信号,所述第二指示信号指示所述第二驱动单元对所述第二执行机构执行第二操作。所述第二操作例如可以是本文中提到的故障保护操作,其例如可以包括关闭所述第二执行机构、对所述第二执行机构降级、重启所述第二执行机构等。这里,通过控制器A的第一ECU在检测到控制器A的第二ECU的功能异常时就向与控制器A的第二ECU对应的第二执行机构的第二驱动单元发送指示信号,以使得第二驱动单元对第二执行机构执行相应的故障保护操作,能够防止控制器A的第二ECU由于可能没有诊断到其自身已发生的故障或失效而经由相应的执行机构对控制器A控制的对象执行危险操作。
在步骤S492,如果自所述第二故障通知被发送起,在经过第二预定时长之后受控制器A的第二ECU控制的第二执行机构的第二驱动单元仍未执行相应操作,则控制器A的第一ECU向所述第二驱动单元输出第四指示信号,所述第四指示信号指示所述第二驱动单元对所述第二执行机构执行第四操作。这里,通过控制器A的第一ECU在通知控制器A的第二ECU其发生故障之后且在经过预定时长与控制器A的第二ECU关联的第二执行机构的第二驱动单元仍未执行相应操作的情况下,向第二驱动单元发送指示信号,以使得第二驱动单元对第二执行机构执行相应的故障保护操作,能够防止在控制器A的第二ECU完全失效的情况下第二执行机构对控制器控制的对象执行危险操作。
此外,在一些实施例中,步骤S464可以包括步骤S4642和步骤S4644。在步骤S4642,控制器A的第一ECU根据所述第二输入信号和所述第二信息,计算具有控制器A的设备的第一状态参量。在步骤S4644,控制器A的第一ECU根据所述第一状态参量和第一参量阈值,确定控制器A的第二ECU的功能状况。例如但不局限于,在具有控制器A的设备是车辆,并且,控制器A是EPS系统中的控制器的情况下,第一状态参量例如可以包括但不局限于车辆的横摆角速度和质心侧偏角等,第一参量阈值例如可以包括但不局限于车辆的在当前车速和前轮转角下最大允许的横摆角速度和质心侧偏角等。这里,控制器A的第一ECU借助于包含控制器A的设备的状态参量来检测控制器A的第二ECU的功能状况,能够准确地确定控制器A的第二ECU的功能是否发生故障或失效。此外,关于上述第一状态参量的计算等可以参照后面的详述。
此外,在一些实施例中,步骤S4642包括:控制器A的第一ECU检查所述第二输入信号和所述第二信息;以及,当检查结果表明所述第二输入信号和所述第二信息有效时,控制器A的第一ECU根据所述第二输入信号和所述第二信息来计算所述第一状态参量。这里,控制器A的第一ECU对所使用的第二输入信号和第二信息检查有效性,能够防止由于无效的输入信号导致的对控制器A的第二ECU的功能状况的误判。
此外,在一些实施例中,步骤S468可以包括步骤S4682和步骤S4684。在步骤S4682,控制器A的第二ECU根据所述第一输入信号和所述第一信息,计算具有控制器A的设备的第二状态参量。在步骤S4684,控制器A的第二ECU根据所述第二状态参量和第二参量阈值,确定控制器A的第一ECU的功能状况。例如但不局限于,在具有控制器A的设备是车辆,并且,控制器A是EPS系统中的控制器的情况下,第二状态参量例如可以包括但不局限于车辆的横摆角速度和质心侧偏角等,第二参量阈值例如可以包括但不局限于车辆的在当前车速和前轮转角下最大允许的横摆角速度和质心侧偏角等。这里,控制器A的第二ECU借助于包含控制器A的设备的状态参量来检测控制器A的第一ECU的功能状况,能够准确地确定控制器A的第一ECU的功能是否发生故障或失效。同样,关于上述第二状态参量的计算等可以参照后面的详述。
此外,在一些实施例中,步骤S4682包括:控制器A的第二ECU检查所述第一输入信号和所述第一信息;以及,当检查结果表明所述第一输入信号和所述第一信息有效时,控制器A的第二ECU根据所述第一输入信号和所述第一信息来计算所述第二状态参量。这里,控制器A的第二ECU对所使用的第一输入信号和第一信息检查有效性,能够防止由于无效的输入信号导致的对控制器A的第一ECU的功能状况的误判。
此外,在一些实施例中,具有控制器A的设备包括车辆,以及,步骤S4642包括:控制器A的第一ECU根据所述第二输入信号和所述第二信息,利用以下之一来计算所述车辆的所述第一状态参量:电助力转向线性化模型,车辆稳定性模型,电机模型,电助力转向线性化模型和车辆稳定性模型,电助力转向线性化模型和电机模型,车辆稳定性模型和电机模型,以及,电助力转向线性化模型、车辆稳定性模型和电机模型。这里,借助于电助力转向线性化模型、车辆稳定性模型和/或电机模型来计算车辆的状态参量,能够准确地计算得到车辆的状态参量。
此外,在一些实施例中,具有控制器A的设备包括车辆,以及,步骤S4682包括:控制器A的第二ECU根据所述第一输入信号和所述第一信息,利用以下之一来计算所述车辆的所述第二状态参量:电助力转向线性化模型,车辆稳定性模型,电机模型,电助力转向线性化模型和车辆稳定性模型,电助力转向线性化模型和电机模型,车辆稳定性模型和电机模型,以及,电助力转向线性化模型、车辆稳定性模型和电机模型。这里,借助于电助力转向线性化模型、车辆稳定性模型和/或电机模型来计算车辆的状态参量,能够准确地计算得到车辆的状态参量。
上文结合图4A和图4B详细描述了本申请的方法实施例,下面结合图5A和图5B详细描述本申请的装置实施例。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,在装置实施例中未详细描述的部分可以参见前面方法实施例。
图5A示出了按照本申请的实施例的控制器的示意图。如图5A所示,控制器500包括第一ECU 510和第二ECU 520。其中,第一ECU 510和第二ECU 520分别执行图4A所示的控制方法400中的由控制器A的第一ECU执行的操作和由控制器A的第二ECU执行的操作。
ECU是指由集成电路组成的用于实现对数据的分析处理发送等一系列功能的控制装置。如图5B所示,本申请实施例提供了一种ECU550,ECU550可以包括微型计算机(microcomputer)552、输入电路554、输出电路556和模/数(analog-to-digital,A/D)转换器558。其中,微型计算机552分别与输入电路554和输出电路556连接,A/D转换器558分别微型计算机552和输入电路554连接。
输入电路554的主要功能是对输入信号(例如来自传感器的信号)进行预处理,输入信号不同,处理方法也不同。具体地,因为输入信号有两类:模拟信号和数字信号,所以输入电路可以包括处理模拟信号的输入电路和处理数字信号的输入电路。
A/D转换器558的主要功能是将模拟信号转变为数字信号,模拟信号经过相应输入电路554预处理后输入A/D转换器558进行处理转换为微型计算机552能够接受的数字信号。本领域技术人员应当理解,在输入信号都是数字信号的情况下,A/D转换器558可以省略。
输出电路556是微型计算机552与执行器之间建立联系的一个装置。它的功能是将微型计算机552发出的处理结果转变成控制信号,以驱动执行器工作。输出电路556一般采用的是功率晶体管,根据微型计算机的指令通过导通或截止来控制执行元件的电子回路。
微型计算机552包括中央处理器(central processing unit,CPU)5522、存储器5524和输入/输出(input/output,I/O)接口5526,CPU5522通过总线与存储器5524、I/O接口5526相连,彼此之间可以通过总线进行信息交换。存储器5524可以是只读存储器(read-only memory,ROM)或随机存取存储器(random access memory,RAM)等存储器。I/O接口5526是CPU5522与输入电路554、输出电路556或A/D转换器558之间交换信息的连接电路,具体的,I/O接口5526可以分为总线接口和通信接口。存储器5524存储有计算机程序,CPU5522调用存储器5524中的计算机程序可以执行图4A对应实施例描述的控制方法400。存储器5524例如可以是但不限于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、磁碟或者光盘等。CPU5522可以是但不限于通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器既可以是微处理器或者该处理器,也可以是任何常规的处理器等。
下面,以车辆的EPS系统为例,详细描述本申请的控制系统的示例性具体实现。
文献1(Standardized E-Gas Monitoring Concept for Gasoline and DieselEngine Control Units-Version 6.0,2015-07-13)公开了一种用于发动机控制单元的三层监控模型,其包括Level 1层(功能计算层)、Level 2层(功能监控层)和Level 3层(控制器监控层)。
在本示例性具体实现中,考虑L3级及以上的自动驾驶车辆的转向系统软硬件功能安全技术,在文献1所公开的三层监控模型的基础上设计冗余交叉监控层和冗余双系统交互方式,从而在同样的安全机制下使得EPS系统的故障诊断覆盖范围更广,或者使EPS系统能通过增加顶层少数安全机制,实现更少的底层安全机制下同样的故障诊断效果与ASIL等级。
图6示出了按照本申请的一个示例性具体实现的EPS系统的架构示意图。如图6所示,EPS系统600包括A系统和B系统。A系统和B系统所包含的模块相同,都分别具有信号输入端、ECU、作为执行机构的冗余电机。其中,A系统包括信号输入端610A、ECU 630A、驱动单元645A和冗余电机650A,B系统包括信号输入端610B、ECU 630B、驱动单元645B和冗余电机650B。ECU 630A分别与信号输入端610A和冗余电机650A连接。ECU 630B分别与信号输入端610B和冗余电机650B连接。ECU 630A和ECU 630B一起形成EPS系统600的控制器。
信号输入端610A提供的输入信号例如可以包括传感器输入信号、整车输入信号和驱动单元645A的A系统输出,信号输入端610B提供的输入信号例如可以包括传感器输入信号、整车输入信号和驱动单元645B的B系统输出。传感器输入信号例如可以包括但不局限于方向盘扭矩角度传感器(Torque and Angle Sensor:TAS)信号、电机位置传感器(MotorPosition Sensor:MPS)信号等。整车输入信号例如可以是但不局限于控制器局域网络(Controller Area Network:CAN)信号。A系统输出例如可以包括驱动单元645A向冗余电机650A输出的控制信号(例如但不局限于,电压的脉宽调制信号等),或者,驱动单元645A向冗余电机650A输出的各相电流。B系统输出例如可以包括驱动单元645B向冗余电机650B输出的控制信号(例如但不局限于,电压的脉宽调制信号等),或者,驱动单元645B向冗余电机650B输出的各相电流。
ECU 630A和ECU 630B各自包括三个单元,其中,ECU 630A包括第一应用程序(Application Program)单元632A、基础软件(Basic Software)单元640A和第二应用程序单元644A,以及,ECU 630B包括第一应用程序单元632B、基础软件单元640B和第二应用程序单元644B。第一应用程序单元632A和第一应用程序单元632B各自具有文献1中的Level 1功能计算层和Level 2功能监控层两者的功能。基础软件单元640A和基础软件单元640B分别对应于文献1中的Level 3控制器监控层。
由ECU 630A和ECU 630B形成的EPS系统600的控制器还包括冗余通信通道660A、660C和660D,其中,冗余通信通道660A用于连接ECU 630A和ECU 630B,冗余通信通道660C将信号输入端610A连接到ECU 630A和ECU 630B,以及,冗余通信通道660D将信号输入端610B连接到ECU 630A和ECU 630B。冗余通信通道660A、660C和660D分别包括至少两个通信通道。对于各单元相互之间的关系,以A系统为例,看信号输入端到控制器端的信号传输路径。A系统的信号输入端610A所提供的输入信号(例如,TAS信号、CAN信号、MPS信号、A系统输出等)的一路冗余作为A系统的ECU 630A的信号输入,经由冗余通信通道660C进入到基础软件单元640A,以提供给第一应用程序单元632A使用。A系统的信号输入端610A所提供的输入信号的另一路通过冗余通信通道660C进入到B系统的ECU 630B的基础软件单元640B,以提供给ECU 630B的第二应用程序单元644B使用。在ECU 630A的第一应用程序单元632A中利用所接收的输入信号完成相应的功能计算以输出信息IA,其中,信息IA可以包括控制信号,或者,该控制信号和车辆的状态参量。信息IA所包括的控制信号被提供给驱动单元645A以驱动冗余电机650A。此外,信息IA首先由第一应用程序单元632A经由冗余通信通道660A提供给ECU630B的基础软件单元640B,然后由基础软件单元640B提供给第二应用程序单元644B。此外,在第一应用程序单元632A中还利用同源输入信号,在功能层面对第一应用程序单元632A输出的信息IA进行校验,以检测ECU 630A的功能状况。B系统的第二应用程序单元644B监控A系统,即B系统的第二应用程序单元644B将来自A系统的信号输入端610A的输入信号和来自ECU 630A的第一应用程序单元632A的信息IA二者共同作为B系统的第二应用程序单元644B的输入,立足于B系统的ECU 630B提供的计算平台,对A系统的ECU 630A的第一应用程序单元632A输出的信息IA进行功能层面的校验,以检测ECU 630A的功能状况(例如,是否发生故障,是否失效等)。这里,采用冗余通信通道660A来在ECU 630A和ECU 630B之间传输信息,一方面能够提高信息传输和交互的可靠性,另一方面相当于增加了通信校验,使得通信故障与控制器功能故障能够被区分,减少通信故障被误认为是控制器功能故障而导致执行机构不必要的关断。采用冗余通信通道660C将来自外部传感器等的信号提供给ECU 630A和ECU630B,当冗余通信通道中的其中一个通信通道所传送的信号不正确(比如TAS传感器有两路扭矩信号,其中有一路扭矩信号不正确)时,ECU还可以继续使用冗余通信通道中的其它通信通道传输的输入信号,这能够增加系统的冗余度和信号的可靠性。
ECU 630A的第一应用程序单元632A可以监测ECU 630A自身的许多故障。ECU 630B的第二应用程序单元644B在对ECU 630A监测时可以监测到第一应用程序单元632A监测不到的一些故障或失效,该故障或失效例如包括由于电源、通信、ADC、晶振、短路等引起的故障或失效。从层次上看,第一应用程序单元632A和第二应用程序单元644B监控的逻辑类似,它们的监测内容既可以相同也可以有差异。在监测内容有差异的情况下,第二应用程序单元644B例如可以监控更宏观或顶层状态的变量与状态,例如但不局限于,第一应用程序单元632A监测某些二进制数或子系统里的某些状态,而第二应用程序单元644B放眼A系统,监测物理意义比较强的某些变量。
以B系统为例,看信号输入端到控制器端的信号传输路径。B系统的信号输入端610B所提供的输入信号(例如,TAS信号、CAN信号、MPS信号、B系统输出等)的一路冗余作为B系统的ECU 630B的信号输入,通过冗余通信通道660D进入到基础软件单元640B,以提供给第一应用程序单元632B使用。B系统的信号输入端610B所提供的输入信号的另一路通过冗余通信通道660D进入到A系统的ECU 630A的基础软件单元640A,以提供给ECU 630A的第二应用程序单元644A使用。在ECU 630B的第一应用程序单元632B中利用所接收的输入信号完成相应的功能计算以输出信息IB,其中,信息IB可以包括控制信号,或者,该控制信号和车辆的状态参量。信息IB所包括的控制信号被提供给驱动单元645B以驱动冗余电机650B。此外,信息IB首先由第一应用程序单元632B经由冗余通信通道660A提供给ECU 630A的基础软件单元640A,然后由基础软件单元640A提供给第二应用程序单元644A。此外,在第一应用程序单元632B中还利用同源输入信号,在功能层面对第一应用程序单元632B输出的信息IB进行校验,以检测ECU 630B的功能状况。A系统的第二应用程序单元644A监控B系统,即A系统的第二应用程序单元644A将来自B系统的信号输入端610B的输入信号和来自ECU 630B的第一应用程序单元632B的信息IB二者共同作为A系统的第二应用程序单元644A的输入,立足于A系统的ECU 630A提供的计算平台,对B系统的ECU 630B的第一应用程序单元632B输出的信息IB进行功能层面的校验,以检测ECU 630B的功能状况(例如,是否发生孤战,是否失效等)。
ECU 630B的第一应用程序单元632B可以监测ECU 630B自身的许多故障。ECU 630A的第二应用程序单元644A在对ECU 630B监测时可以监测到第一应用程序单元632B监测不到的一些故障或失效,该故障或失效例如包括由于电源、通信、ADC、晶振、短路等引起的故障或失效。从层次上看,第一应用程序单元632B和第二应用程序单元644A监控的逻辑类似,它们的监测内容既可以相同也可以有差异。在监测内容有差异的情况下,第二应用程序单元644A例如可以监控更宏观或顶层状态的变量与状态,例如但不局限于,第一应用程序单元632B可以监测某些二进制数或子系统里的某些状态,而第二应用程序单元644A放眼B系统,监测物理意义比较强的某些变量。
对于A系统而言,从控制器端到执行器端包括有三条故障保护操作通道(A1、A2、A3)和一条控制指令通道。其中,故障保护操作是与安全相关的执行操作,例如关闭电机、对电机降级、重启电机等操作。控制指令为控制器输出给作为执行器的电机的驱动单元的控制信号。A系统的控制指令通道用于将ECU 630A的第一应用程序单元632A输出的控制信号提供给驱动单元645A以驱动电机650A。在控制器端,对冗余电机650A的故障保护操作的来源有三处:ECU 630A的基础软件单元640A、ECU 630A的第一应用程序单元632A和ECU 630B的第二应用程序单元644B。其中,ECU 630A的基础软件单元640A根据对ECU 630A的硬件(例如但不局限于,寄存器、内存空间等)与底层软件(例如但不局限于,程序的时序等)的监控来判断ECU 630A是否发生故障或失效,并当ECU 630A发生故障或失效时,经由冗余通信通道660A将用于表示ECU630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给ECU 630B的基础软件单元640B,并通过故障保护操作通道A1向驱动单元645A输出指示其对电机650A进行与该故障等级对应的故障保护操作的指示信号。或者,当接收到来自ECU630B的第二应用程序单元644B的、用于表示ECU 630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知时,基础软件单元640A通过故障保护操作通道A1向驱动单元645A输出指示其对电机650A进行与该故障等级对应的故障保护操作的指示信号。ECU 630A的基础软件单元640A能够为ECU 630A向第一应用程序单元632A和第二应用程序单元644A提供的计算平台提供保障。ECU 630A的第一应用程序单元632A利用ECU 630A所提供的计算平台来对ECU 630A的第一应用程序单元632A的计算结果(即,信息IA)进行监控,并当计算结果异常时,经由冗余通信通道660A将用于表示ECU 630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给ECU 630B的基础软件单元640B,以及,通过故障保护操作通道A2向驱动单元645A输出指示其对电机650A进行与该故障等级对应的故障保护操作的指示信号。ECU 630B的第二应用程序单元644B立足于ECU 630B提供的计算平台,对ECU630A的第一应用程序单元632A的计算结果进行监控以检测ECU 630A的功能状况,并当检测发现ECU 630A的功能异常时,进行以下操作(Ⅰ)和操作(Ⅱ)的其中之一:(Ⅰ)ECU 630B的第二应用程序单元644B经由基础软件单元640B和冗余通信通道660A把用于表示ECU 630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给基础软件单元640A,并且同时ECU 630B的第二应用程序单元644B通过故障保护操作通道A3向驱动单元645A输出指示其对电机650A进行与该故障等级对应的故障保护操作的指示信号;(Ⅱ)首先ECU 630B的第二应用程序单元644B经由基础软件单元640B和冗余通信通道660A把用于表示ECU630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给基础软件单元640A,然后ECU 630B的第二应用程序单元644B监测驱动单元645A对冗余电机650A是否执行了相应的故障保护操作,如果监测发现经过预定时长之后驱动单元645A对冗余电机650A仍未执行相应的故障保护操作,则ECU 630B的第二应用程序单元644B通过故障保护操作通道A3向驱动单元645A输出指示其对电机650A进行与该故障等级对应的故障保护操作的指示信号。例如,ECU 630B的第二应用程序单元644B可以先对输入信号和信息IA进行冗余检查,然后在冗余检查通过之后根据一定的物理规律与数学模型去监控ECU 630A的整体功能否是正常。
对于B系统而言,从控制器端到执行器端也包括有三条故障保护操作通道(B1、B2、B3)和一条控制指令通道。B系统的控制指令通道用于将ECU 630B的第一应用程序单元632B输出的控制信号提供给驱动单元645B以驱动电机650B。在控制器端,对冗余电机650B的故障保护操作的来源有三处:ECU 630B的基础软件单元640B、ECU 630B的第一应用程序单元632B和ECU 630A的第二应用程序单元644A。其中,ECU 630B的基础软件单元640B根据对ECU630B的硬件(例如但不局限于,寄存器、内存空间等)与底层软件(例如但不局限于,程序的时序等)的监控来判断ECU 630B是否发生故障或失效,并当ECU 630B发生故障或失效时,经由冗余通信通道660A将用于表示ECU 630B发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给ECU 630A的基础软件单元640A,以及,通过故障保护操作通道B1向驱动单元645B输出指示其对电机650B进行与该故障等级对应的故障保护操作的指示信号。或者,当接收到来自ECU 630A的第二应用程序单元644A的用于表示ECU 630B发生故障或失效且包含故障信息(原因)和故障等级的故障通知时,基础软件单元640B通过故障保护操作通道B1向驱动单元645B输出指示其对电机650B进行与该故障等级对应的故障保护操作的指示信号。ECU 630B的基础软件单元640B能够为ECU 630B向第一应用程序单元632B和第二应用程序单元644B提供的计算平台提供保障。ECU 630B的第一应用程序单元632B利用ECU630B所提供的计算平台来对ECU 630B的第一应用程序单元632B的计算结果(即,信息IB)进行监控,并当计算结果异常时,经由冗余通信通道660A将用于表示ECU 630B发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给ECU 630A的基础软件单元640A,以及,通过故障保护操作通道B2向驱动单元645B输出指示其对电机650B进行与该故障等级对应的故障保护操作的指示信号。ECU 630A的第二应用程序单元644A立足于ECU 630A提供的计算平台,对ECU 630B的第一应用程序单元632B的计算结果进行监控以检测ECU 630B的功能状况,并当检测发现ECU 630B的功能异常时,进行以下操作(Ⅰ)和操作(Ⅱ)的其中之一:(Ⅰ)ECU 630A的第二应用程序单元644A经由基础软件单元640A和冗余通信通道660A把用于表示ECU 630B发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给基础软件单元640B,并且同时ECU 630A的第二应用程序单元644A通过故障保护操作通道B3向驱动单元645B输出指示其对电机650B进行与该故障等级对应的故障保护操作的指示信号;(Ⅱ)首先ECU 630A的第二应用程序单元644A经由基础软件单元640A和冗余通信通道660A把用于表示ECU 630B发生故障或失效且包含故障信息(原因)和故障等级的故障通知发送给基础软件单元640B,然后ECU630A的第二应用程序单元644A监测驱动单元645B对冗余电机650B是否执行了相应的故障保护操作,如果监测发现经过预定时长之后驱动单元645B对冗余电机650B仍未执行相应的故障保护操作,则ECU 630A的第二应用程序单元644A通过故障保护操作通道B3向驱动单元645B输出指示其对电机650B进行与该故障等级对应的故障保护操作的指示信号。例如,ECU 630A的第二应用程序单元644A可以先对输入信号和信息IB进行冗余检查,然后在冗余检查通过之后根据一定的物理规律与数学模型去监控ECU630B的整体功能否是正常。
从执行器端到信号输入端,对于A系统而言,驱动单元645A根据第一应用程序632A输出的控制信号来生成要提供给冗余电机650A的A系统输出,其中,A系统输出除了被提供给冗余电机650A以驱动冗余电机650A进行期望的操作之外,还通过信号线传回给信号输入端610A,以给下一个采样周期的控制器计算提供依据。对于B系统而言,驱动单元645B根据第一应用程序632B输出的控制信号来生成要提供给冗余电机650B的B系统输出,其中,B系统输出除了被提供给冗余电机650B以驱动冗余电机650B进行期望的操作之外,还通过信号线传回给信号输入端610B,以给下一个采样周期的控制器计算提供依据。
对于图6所示的EPS系统600,其设计思路可以总结如下。(1)通过在每一个系统中设置第二应用程序单元来对对方系统进行监控与诊断。(2)在第二应用程序单元中,例如对输入信号进行冗余检查和根据一定的物理规律与数学模型去监控对方系统的整体功能否是正常,并当对方系统的功能异常时,利用故障保护操作通道独立地对对方系统控制的电机进行关断、降级或重启等操作,以防止出现例如转向丧失、转向过小、反向转向、转向锁死等故障。(3)对于每一个系统而言,本系统的第一应用程序单元的监控功能与对方系统的第二应用程序单元是并列关系,其中,对方系统的第二应用程序单元在对方系统所提供的计算平台上对本系统的第一应用程序单元的计算结果进行功能性检查,而本系统的第一应用程序单元在本系统所提供的计算平台上对本系统的第一应用程序单元的计算结果进行功能性检查。(4)每一个系统的基础软件单元对例如本系统的程序的时序、寄存器、内存空间等进行监控,为本系统的第一应用程序单元和第二应用程序单元所使用的计算平台提供可靠性保障。
下面,结合附图详细说明ECU中的三个单元的具体功能和操作。
图7示出了按照本申请的示例性具体实现的EPS系统的细节示意图。图7仅示出了与A系统监控相关的部分,与B系统监控相关的部分类似于与A系统监控相关的部分,本文不再赘述。
如图7所示,与A系统监控相关的部分涉及A系统的ECU630A中的第一应用程序单元632A和基础软件单元640A,以及B系统的ECU630B中的基础软件单元640B和第二应用程序单元644B。
第一应用程序单元632A包括功能计算单元634A和功能监控单元636A。
功能计算单元634A可以包含系统管理算法、助力控制算法、电机控制算法和标定参数等,根据需求指令更新控制信号。功能计算层634A可以配备完整详细的诊断策略与处理机制。
功能计算单元634A可以包括信号检测模块6322A、功能计算模块6324A和控制输出模块6326A。
信号检测模块6322A从基础软件单元640A接收来自A系统的信号输入端610A的已通过基础软件单元640A信号校验的输入信号(例如但不局限于,TAS信号、MPS信号、CAN信号和/或来自驱动单元645A的系统输出等),并对所接收的输入信号进行冗余信号检测。冗余信号检测例如可以包括但不局限于范围校验、约束关系检测和/或生命信号检测等。范围检测用于检测输入信号是否在所定义的有效范围内和/或是否溢出。约束关系检测用于检测两组相互有关联的输入信号是否满足一定数学关系。生命信号检测用于检测通信时信号值是否更新。如果冗余信号检测结果表明所接收的输入信号有效,则信号检测模块6322A将所接收的输入信号发送给功能计算模块6324A。
功能计算模块6324A在接收到来自信号检测模块6322A的输入信号之后,利用所接收的输入信号并借助于例如但不局限于系统管理算法、助力控制方法和/或电机控制算法等进行计算,根据需求指令更新控制信号。此外,功能计算模块6324A还可以利用所接收的输入信号来计算车辆的状态参量。然后,功能计算模块6324A把信息IA提供给控制输出模块6326A,其中,信息IA可以仅包括控制信号,或者,信息IA可以包括该控制信号和所计算的状态参量。
控制输出模块6326A将从功能计算模块6324A接收的信息IA所包括的控制信号输出给驱动单元645A以驱动冗余电机650A,以实现对冗余电机650A的控制。此外,控制输出模块6326A还将所接收的信息IA提供给功能监控单元636A的信号检测模块6362A,以及,经由冗余通信通道660A发送给ECU630B的基础软件单元640B中的信号校验模块6402B,以便在信号校验模块6402B处被校验通过之后,信息IA被信号校验模块6402B提供给第二应用程序单元644B。
功能监控单元636A用于对功能计算单元634A进行监控。通过A系统的信号输入端610A提供的输入信号,从电机方程与车辆运动/动力学方程出发,以扭矩为激励和以速度/加速度为响应,对比实际扭矩与允许扭矩的差值来对扭矩进行监控,其中,实际扭矩来源于传感器与计算方法,而允许扭矩来源于控制器根据系统状态的决策。功能监控单元636A可以有效监控功能计算单元634A的执行状态是有前提条件的,即:功能监控单元636A从原理上是否正确,以及,功能监控单元636A执行时所依赖的计算平台是不是可靠。对于前者,可以在程序设计时通过调研、分析仿真等进行保证。对于后者,可以利用基础软件单元640A进行可靠性保证。
功能监控单元636A包括信号检测模块6362A、模型计算模块6364A、判断机制模块6366A、故障管理模块6367A和故障处理模块6368A。
信号检测模块6362A从基础软件单元640A接收来自A系统的信号输入端610A的已通过基础软件单元640A信号校验的输入信号(例如但不局限于,TAS信号、MPS信号、CAN信号和/或来自驱动单元645B的系统输出等)和接收来自功能计算单元634A中的控制输出模块6326A的信息IA,并在所配备的完整详细的诊断策略与处理机制的基础上对所接收的输入信号和信息IA进行冗余信号检测。如果冗余信号检测结果表明所接收的输入信号和信息IA有效,则信号检测模块6362A将所接收的输入信号和信息IA发送给模型计算模块6364A。如果冗余信号检测结果表明所接收的输入信号或信息IA无效,则进入故障管理模式。
模型计算模块6364A在接收到来自信号检测模块6362A的输入信号和信息IA之后,利用所接收的输入信号和信息IA并借助于相应的数学模型(例如但不局限于,整车动力学模型、EPS线性化模型和/或电机模型等)计算出车辆的当前状态参量,并将所计算的当前状态参量提供给判断机制模块6366A。这里,所计算得到的车辆的当前状态参量可以不同于所接收的输入信号和信息IA,或者,所计算得到的车辆的当前状态参量可以就是所接收的输入信号和信息IA。
判断机制模块6366A将来自模型计算模块6364A的车辆的当前状态参量与参量参考值进行比较,该参量参考值可以是固定值或随输入变化的标定MAP,或者,该参量参考值也可以是某一信号值(例如,应用程序发送的电机控制指令A,需要把实际的电机扭矩与电机指令做比较,看是否有非预期的加减速或失控)。如果比较结果表明该当前状态参量大于参量参考值,则表明ECU 630A发生故障或失效,从而进入故障管理模式。
在已进入了故障管理模式的情况下,故障管理模块6367A确定故障等级,并向故障处理模块6368A发送所确定的故障等级,以及,经由冗余通信通道660A向ECU630B的基础软件单元640B发送用于表示ECU 630A发生故障或失效且包含故障信息(原因)和所确定的故障等级的故障通知。
故障处理模块6368A用于在收到来自故障管理模块6367A的所确定的故障等级之后,向驱动单元645A输出指示信息,以指示驱动单元645A对冗余电机650A执行与所确定的故障等级相应的故障保护操作。
基础软件单元640A和640B分别为ECU 630A所提供的计算平台和ECU 630B所提供的计算平台提供可靠性保证,为此,基础软件单元640A和640B分别监控ECU 630A和ECU630B的软件运行和硬件设备,其中,包括对电源、通信、内存、寄存器、程序流等的监控,以及,把ECU当成一个整体通过软硬件看门狗监控其工作状态。基础软件单元640A和640B各自具有独立关断、降级和重启ECU的故障操作通道。
基础软件单元640A包括信号校验模块6402A、系统监控模块6406A和故障处理模块6408A。其中,系统监控模块6406A可以包括内存读写监控模块、ADC/输入输出(Input/Output,IO)监控模块、通信模块、看门狗应答(Query/Answer,Q/A)模块、电源检查模块和故障处理模块。
基础软件单元640B包括信号校验模块6402B、系统监控模块6406B和故障处理模块6408B。其中,系统监控模块6406B可以包括内存读写监控模块、ADC/IO监控模块、通信模块、看门狗Q/A模块、电源检查模块和故障处理模块。
由于基础软件单元640A中的各个模块和基础软件单元640B中的各个模块执行相同的功能,因此,下面仅描述基础软件单元640A中的各个模块,基础软件单元640B中的各个模块不再赘述。
基础软件单元640A的信号校验模块6402A可以经由冗余通信通道660C接收来自信号输入端610A的输入信号(例如但不局限于,TAS信号、MPS信号和/或CAN信号等),对所接收的输入信号进行信号校验,并当信号校验通过时,向第一应用程序单元632A的功能计算单元634A中的信号检测模块6322A和第一应用程序单元632A的功能监控单元636A中的信号检测模块6362A发送所接收的输入信号。这里,信号校验例如可以包括但不局限于滚动计数检查(Rolling Counter)、循环冗余校验(Cyclic Redundancy Check,CRC)等,其中,滚动计数检查用于校验是否有丢帧和漏帧的情况,CRC用于检测发送方与接收方的数据是否一致。
此外,基础软件单元640A的信号校验模块6402A可以经由冗余通信通道660A接收来自ECU630B的用于表示ECU 630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知,以及,用于表示ECU 630B发生故障或失效且包含故障信息(原因)和故障等级的故障通知,对所接收的故障通知进行信号校验,并当信号校验通过时,将所接收的故障通知发送给基础软件单元640A的故障处理模块6408A。
此外,基础软件单元640A的信号校验模块6402A可以经由冗余通信通道660A接收由ECU 630B的第一应用程序单元632B输出的信息IB,对所接收的信息IB进行信号校验,并当信号校验通过时,将所接收的信息IB发送给ECU 630A的第二应用程序单元644A。
此外,基础软件单元640A的信号校验模块6402A可以经由冗余通信通道660D接收来自信号输入端610B的输入信号(例如但不局限于,TAS信号、MPS信号和/或CAN信号等),对所接收的输入信号进行信号校验,并当信号校验通过时,将所接收的输入信号发送给ECU630A的第二应用程序单元644A。
系统监控模块6406A中的内存读写监控模块用于初始化时对ECU 630A中的程序使用到的随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、闪存(Flash)进行测试,检验RAM是否工作正常,ROM中存储数据的可靠性,以及,读写功能是否正常。系统监控模块6406A中的内存读写监控模块每隔若干采样周期进行片段检测,若发生错误则进入故障管理模式。
系统监控模块6406A中的ADC/IO监控模块用于测试ECU 630A中的ADC和IO模块工作是否正常,ADC和IO控制单元配置是否正确。若ADC转换错误或IO输出错误则应进行ECU630A复位,并在排除故障后方可启动。
系统监控模块6406A中的通信模块用于测试CAN通信模块和SPI通信模块是否正常,波特率设置是否正确,CAN通信模块和SPI通信模块的配置是否正确,以及,安全监控芯片(System Basis Chip,SBC)通信是否正常等。
系统监控模块6406A中的看门狗Q/A模块用于测试ECU 630A的看门狗定时、时间配置是否正确,通过系统周期性测试任务Q/A机制监控ECU硬件的实时运行环境,若发生错误则关闭电机并使ECU复位。Q/A定期向目标模块发送特定的测试任务,例如SBC芯片给ECU发送测试任务,当目标模块接收到测试任务后按照预定的功能输出测试结果并反馈给发送方,然后SBC芯片判断程序运行是否正确和是否有非预期的运行结果。如果测试结果通过,则系统进入周期运行模式与周期性测试模式。如果运行不通过则报出故障代码并使系统进入故障模式。
系统监控模块6406A中的电源检查模块用于测试和判断ECU630A的电压管理是否正常,各关键点位电压是否正常,以及,SBC与稳压器输出是否正常等。系统监控模块6406A中的电源检查模块周期性进行供电电源监控、电压监控、电流监控、温度监控、速度监控与扭矩监控。
若系统监控模块6406A中的上述各个模块的测试通过,则说明ECU 630A的各硬件模块工作正常和系统配置正确,满足系统运行条件,从而系统可以继续运行。若上述各个模块中的一个或多个的测试不通过,则需要记录测试不通过的模块给出的错误代码,并使系统进入故障管理模式。
在已进入了故障管理模式的情况下,故障处理模块6408A可以确定故障等级,然后向驱动单元645A输出指示信息,以指示驱动单元645A对冗余电机650A执行与所确定的故障等级相应的故障保护操作,以及,经由冗余通信通道660A向ECU630B的基础软件单元640B发送用于表示ECU 630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知。
此外,如果接收到来自ECU630B的用于表示ECU 630A发生故障或失效且包含故障信息(原因)和故障等级的故障通知,则故障处理模块6408A向驱动单元645A输出指示信息,以指示驱动单元645A对冗余电机650A执行与所接收的故障通知中包括的故障等级相应的故障保护操作。
ECU 630B的第二应用程序单元644B根据来自A系统的信号输入端610A的输入信号和来自A系统的ECU 630A中的第一应用程序单元632A的信息IA对ECU 630A的功能状况进行监控与校验。第二应用程序单元644B具有以下特点。首先,由于第二应用程序单元644B位于ECU 630B中,ECU 630B是与ECU 630A不同的计算平台,从而当ECU 630A由于电源、通信、ADC、晶振和/或短路等引起其无法检测到的故障或失效时,位于ECU 630B中的第二应用程序单元644B能够诊断出这样的故障,减少了残余故障或失效,进而提高了故障诊断覆盖范围。其次,ECU 630A中的第一应用程序单元632A通过冗余通信通道660A将信息IA提供给第二应用程序单元644B,因此,第二应用程序单元644B不会将通信故障误认为是ECU 630A的功能故障,从而通过冗余通信通道将通讯故障与功能故障进行区分,减少由于将通信故障误认为功能故障而导致的对冗余电机的非必要关断。再者,第二应用程序单元644B具有用于独立控制冗余电机650A的故障操作通道。
第二应用程序单元644B包括信号检测模块6442B、模型计算模块6444B、判断机制模块6446B、故障管理模块6447B和故障处理模块6448B。
信号检测模块6442B从基础软件单元640B的信号校验模块6402B接收已通过基础软件单元640B信号校验的来自A系统的信号输入端610A的输入信号(例如但不局限于,TAS信号、MPS信号和/或CAN信号等)和来自ECU 630A的第一应用程序单元632A的信息IA,并对所接收的输入信号和信息IA进行前述冗余信号检测。如果冗余信号检测结果表明所接收的输入信号和信息IA有效,则信号检测模块6442B将所接收的输入信号和信息IA发送给模型计算模块6444B。如果校验结果表明所接收的输入信号或信息IA无效,则进入故障管理模式。
模型计算模块6444B利用来自信号检测模块6442B的输入信号和信息IA,计算出车辆当前的状态参量,并将所计算的状态参量提供给判断机制模块6446B。
判断机制模块6446B将从模型计算模块6444B接收的状态参量与参量参考值进行比较。如果比较结果表明所接收的状态参量大于参量参考值,则进入故障管理模式。
在已进入故障管理模式的情况下,故障管理模块6447B确定故障等级,并向故障处理模块6448B发送所确定的故障等级,以及,经由基础软件单元640B和冗余通信通道660A向ECU630A的基础软件单元640A的信号校验模块6402A发送用于表示ECU630A发生故障或失效且包含故障信息(原因)和所确定的故障等级的故障通知,以便该故障通知在信号校验模块6402A处被校验通过之后,被信号校验模块6402A提供给基础软件单元640A的故障处理模块6408A。
故障处理模块6448B在从故障管理模块6447B接收到所确定的故障等级之后,可以进行以下操作(Ⅰ)和操作(Ⅱ)的其中之一:(Ⅰ)故障处理模块6448B直接通过故障保护操作通道A3向驱动单元645A发送指示信息,以指示驱动单元645A对冗余电机650A执行与所确定的故障等级相对应的故障保护操作;(Ⅱ)在故障管理模块6447B向ECU630A的基础软件单元640A发送所述故障通知之后,故障处理模块6448B开始监测驱动单元645A,并且如果监测发现经过预定时长之后驱动单元645A对冗余电机650A仍未执行相应的故障保护操作,则故障处理模块6448B通过故障保护操作通道A3向驱动单元645A发送指示信息,以指示驱动单元645A对冗余电机650A执行与所确定的故障等级相对应的故障保护操作。
图8示出了根据本申请的一个示例性具体实现的第二应用程序单元的示意图。下面结合图8对第二应用程序单元做更详细的说明。
首先,在上电初始化时A系统和B系统各自对车辆的上一点火周期内已存故障进行复查,以检测这些故障是否仍存在,并当这些故障仍然存在时进入对应故障状态和报出故障警报,对冗余电机执行相应的故障操作。其次,在初始化时A系统和B系统通过冗余通信通道660A交互检测ECU 630A和ECU 630B的工作状态。再者,在初始化时A系统和B系统判断各自对对方系统的故障操作是否能够有效执行。
在控制器执行周期内,以A系统对B系统的监控方式为例,A系统的第二应用程序单元644A从基础软件单元640A的信号校验模块6402A接收来自B系统的信号输入端610B的输入信号和来自B系统的ECU 630B中的第一应用程序单元632B的信息IB。这里,所述输入信号可以包括TAS的方向盘扭矩信号B-StrTrq、冗余电机650B的相电流B-MotPhsCur、相电压B-MotPhsVol t和电机角速度B-MPSRotSpd以及CAN信号(B-车速、B-滑移率),以及,所述信息IB可以包括控制信号B-MotTrqReq。或者,所述输入信号可以包括TAS的方向盘扭矩信号B-StrTrq、MPS和CAN信号(B-车速、B-滑移率),以及,所述信息IB可以包括控制信号B-MotTrqReq以及冗余电机650B的相电流B-MotPhsCur、相电压B-MotPhsVolt和电机角速度B-MPSRotSpd,其中,所述信息IB包括的冗余电机650B的相电流B-MotPhsCur、相电压B-MotPhsVolt和电机角速度B-MPSRotSpd是B系统的ECU 630B中的第一应用程序单元632B计算的车辆的状态参量。在信号检测模块6442A中对所述输入信号和信息IB进行冗余信号检测并且冗余信号检测通过之后,在模型计算模块6444A中,根据方向盘扭矩信号B-StrTrq与控制信号B-MotTrqReq,通过EPS动力学模型的状态空间方程可以估算出车辆前轮转角δ、方向盘绝对角度StrAng和方向盘角速度StrAngVel,然后它们与所接收的CAN信号(即,B-车速和B-滑移率)作为车辆稳定性模型的状态空间方程输入,可以得到当前车辆状态下的横摆角速度ωr与质心侧偏角β。在判断机制模块6446A中,将横摆角速度ωr与质心侧偏角β与当前车速u与前轮转角δ下最大允许的横摆角速度ωr_max与质心侧偏角βmax进行比对,从而判断当前车辆是否处于失稳或即将失稳。若判断结果表明车辆处于失稳或即将失稳(即,if(err==1)),则判断机制模块6446A利用故障计数器进行正向故障计数(即,{x_ErrCnt++;}),以及,若判断结果表明车辆没有处于失稳或即将失稳(即,if(err==0)),则判断机制模块6446A利用故障计数器进行负向故障计数(即,{x_ErrCnt--;})。如果故障计数器的计数值超过设定的临界值,则判断机制模块6446A确认ECU630B发生故障或失效,从而进入故障管理模式。另一方面,在控制器执行周期时,冗余电机650B的相电流B-MotPhsCur、相电压B-MotPhsVol t和电机角速度B-MPSRotSpd经过电机FOC的Clark变换与Park变换得到id与iq电流,与电机常数结合可得到当前状态下电机输出的扭矩大小MotTrq。在判断机制模块6446A中,将得到的扭矩大小MotTrq与所接收的信息IB包括的控制信号B-MotTrqReq所指示的扭矩大小进行比对。如果比较结果表明两者不一致,则判断机制模块6446A确定ECU630B发生故障或失效(即,if(err==1)),则进入故障管理模式,以避免车辆出现非预期性的转向不足、转向过大、转向锁死与不转向问题。
其中EPS动力学模型,如式(1)所示。
Figure BDA0002938090760000301
在式(1)中,Td为方向盘力矩,Tm为电机输出力矩,Js为方向盘转动惯量,Jm为电机转动惯量,θs为方向盘转角,θp为小齿轮转角,θm为电机转角,Jr_ref为小齿条等效转动惯量,Br_ref为小齿条等效阻尼系数,Bt_ref为轮胎等效阻尼系数,ηr为齿轮齿条转向器传递效率,ηb为皮带效率,ηs为丝杠效率;Bb为皮带传动比=大齿轮数/小齿轮数,im为转向角传动比,Kc为转向柱刚度,Bc为转向柱阻尼系数,Bs为转向盘阻尼系数,Kt_ref为等效轮胎刚度,为轮胎刚度/转向角传动比,以及,Kb为皮带刚度。
车辆稳定性方程如式(2)所示。
Figure BDA0002938090760000302
Figure BDA0002938090760000303
在式(2)中,m为汽车总质量,Iz为车辆绕z轴转动惯量,u为车辆纵向速度,a为质心至前轴距离,b为质心至后轴距离,k1为前轮总侧偏刚度,k2为后轮总侧偏刚度,ωr为横摆角速度,β为质心侧偏角。
本申请的上述示例性具体实现的方案取得以下技术效果。首先,通过增加冗余交叉监控的第二应用程序单元,使对方系统的输入信号与状态信息能够进入到本系统中进行计算与判断,立足于不同的计算平台,在功能层面上对对方系统的行为进行校验,从而提升故障诊断覆盖范围。其次,通过双系统交叉监控,增加顶层少数的安全机制,统筹多个变量,令系统总安全机制数目降低也能使系统达到同样的安全等级;并且通过不同的计算平台冗余,能探测到由于电源、通信、ADC、晶振和/或短路等引起且本系统无法检测到的故障,减少残余失效。再者,通过冗余通信信道使冗余双系统之间数据交互可靠性更高;增加通信校验,区分通信故障与控制器功能故障,使EPS减少不必要的关断。
本申请的上述示例性具体实现的方案与现有技术相比,在自身系统的第二应用程序单元中,引入对方系统的信号输入端数据与控制器交互信息,通过与对方系统不同的计算平台,从功能层面(EPS动力学、车辆稳定性方程、电机方程等)出发,校验对方系统当前状态与控制输出,技术层面上能够避免非预期性的方向盘失控问题。
现有技术中双系统交互大多引入对方系统判断出的故障码,若通信失效则丢失对方系统相关信息,且无法解决残余故障问题。如果是在自身的第二应用程序单元中引入自身系统的信号输入端信号与对方系统的控制器交互信号,若自身计算平台或对方计算平台(硬件方面)出现问题,如电源、晶振、寄存器或RAM跳变等原因,则难以精确定位故障原因,易产生残余故障。因此,在校验层面上通过在不同的计算平台引入同源信号进行计算,使对比过程更具有客观与参考性。
本领域技术人员应当理解,虽然在上面的示例性具体实现中,第一应用程序单元632A和632B对应于文献1中的Level 1功能计算层和Level 2功能监控层的组合,即,第一应用程序单元632A和632B包括文献1中的Level 1功能计算层和Level 2功能监控层两者的功能,但是,本申请并不局限于此。在本申请的其它一些实施方式中,第一应用程序单元632A和632B例如可以仅对应于文献1中的Level 1功能计算层,即,第一应用程序单元632A和632B仅包括文献1中的Level 1功能计算层的功能。
本领域技术人员应当理解,虽然在上面的示例性具体实现中,基础软件单元对输入信号和信息进行信号校验,而第一应用程序单元和第二应用程序单元对输入信号和/或信息进行冗余信号检测,但是,本申请并不局限于此。在本申请的其它一些实施方式中,对输入信号和信息的信号校验和冗余信号检测都在基础软件单元中执行,或者,在第一应用程序单元和第二应用程序单元中执行。或者,在本申请的其它一些实施方式中,基础软件单元、第一应用程序单元和第二应用程序单元都可以不具有对输入信号和信息进行信号校验和冗余信号检测的功能。
本领域技术人员应当理解,虽然在上面的示例性具体实现中,由ECU630A和ECU630B形成的控制器包括有冗余通信通道660A、660C和660D,但是,本申请并不局限于此。在本申请的其它一些实施方式中,该控制器可以不包括冗余通信通道660A、660C和/或660D。
下面进行功能安全FMEDA分析。
本申请的实施例的方案增加了顶层的安全机制(Safety Machanism,SM),从功能层面出发,能够统筹下层多个变量,例如系统易于产生故障或失效的硬件要素有:继电器、线束、传感器、执行器、CPU、数字信号、模拟信号、MVM、RAM、电源等。
每条安全机制都需要软硬件花费一定的成本,硬件方面的安全机制将引入诊断电路、晶体管数目等,软件方面将耗费CPU,影响实时性与计算量,同时安全机制的增加将引起系统的复杂度,有可能引入其他风险。
对系统进行FMEDA分析。假设系统满足同样的硬件度量的前提,同时设定安全机制所属在不同的层级,那么底软或硬件制定的安全机制普遍比应用层更集中于某些具体组件,相比较之下不够宏观。
如图9所示,方案一与方案二的对比表示,系统增加了少量监控模块的安全机制,就能在同样硬件度量的前提下减少大部分的底层安全机制数目。方案三与方案一的对比是在A系统和B系统中增加了冗余交叉监控的第二应用程序单元,以对对方系统进行监控,由于第二应用程序单元所处的层级更高,那么在第二应用程序单元设立若干安全机制,就有可能使总安全机制的数目大幅减少,从而降低成本。
可见,为达到同样的ASIL等级,达到硬件三个指标,单系统内部的安全机制需要做非常多,硬件和软件都会带来成本、风险和复杂度的提升,第二应用程序单元的引入可缓解该问题。硬件方面,检测电路的数目降低,成本也会降低;软件复杂度降低,CPU负载降低,风险也降低。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请的实施例还提供一种计算机可读存储介质,在其上存储有计算机程序,所述计算机程序当被ECU执行时使得所述ECU执行图4A所示的控制方法400。
本申请实施例的计算机可读存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是,但不限于,电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、RAM、ROM、可擦式可编程只读存储器(Electrically Erasable Programmable read only memory,EPROM)、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括、但不限于无线、电线、光缆、射频(Radio Frequency,RF)等,或者上述的任意合适的组合。
本申请的实施例还提供一种计算机程序,所述计算机程序当被ECU执行时使得所述ECU执行图4A所示的控制方法400。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序,所述程序设计语言包括例如但不局限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言等。计算机程序可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(Local Area Network,LAN)或广域网(Wide Area Network,WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本申请的一些实施例及所运用的技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明的构思的情况下,还可以包括更多其他等效实施例,均属于本发明的保护范畴。

Claims (27)

1.一种控制方法,其特征在于,所述控制方法用于第一电子控制单元监控第二电子控制单元,所述控制方法包括:
所述第一电子控制单元接收第一输入信号和第二输入信号;
所述第一电子控制单元基于所述第一输入信号来输出第一信息,并将所述第一信息提供给所述第二电子控制单元;
所述第一电子控制单元接收来自所述第二电子控制单元的第二信息,所述第二信息是所述第二电子控制单元基于所述第二输入信号而输出的;
所述第一电子控制单元基于所述第二输入信号和所述第二信息,检测所述第二电子控制单元的功能状况;
在检测到所述第二电子控制单元的功能异常时,所述第一电子控制单元向所述第二电子控制单元发送用于指示所述第二电子控制单元发生故障的故障通知;以及
在所述故障通知被发送的同时,所述第一电子控制单元向受所述第二电子控制单元控制的执行机构的驱动单元输出第一指示信号,所述第一指示信号指示所述驱动单元对所述执行机构执行第一操作,或者,如果自所述故障通知被发送起,在经过预定时长之后受所述第二电子控制单元控制的所述执行机构的所述驱动单元仍未执行相应操作,则所述第一电子控制单元向所述驱动单元输出第二指示信号,所述第二指示信号指示所述驱动单元对所述执行机构执行第二操作,其中,所述第一操作和所述第二操作是故障保护操作。
2.如权利要求1所述的控制方法,其特征在于,
所述第一信息是经由第一冗余通信通道被提供给所述第二电子控制单元的。
3.如权利要求1或2所述的控制方法,其特征在于,
所述第二信息是所述第一电子控制单元经由第二冗余通信通道接收的。
4.如权利要求1或2所述的控制方法,其特征在于
所述第一输入信号是所述第一电子控制单元经由第三冗余通信通道接收的。
5.如权利要求1或2所述的控制方法,其特征在于
所述第二输入信号是所述第一电子控制单元经由第四冗余通信通道接收的。
6.如权利要求1或2所述的控制方法,其特征在于,所述检测所述第二电子控制单元的功能状况包括:
所述第一电子控制单元根据所述第二输入信号和所述第二信息,计算具有所述第二电子控制单元的设备的第一状态参量;以及
所述第一电子控制单元根据所述第一状态参量和第一参量阈值,确定所述第二电子控制单元的功能状况。
7.如权利要求6所述的控制方法,其特征在于,所述计算具有所述第二电子控制单元的设备的第一状态参量包括:
所述第一电子控制单元检查所述第二输入信号和所述第二信息;以及
当检查结果表明所述第二输入信号和所述第二信息有效时,所述第一电子控制单元根据所述第二输入信号和所述第二信息来计算所述第一状态参量。
8.如权利要求6所述的控制方法,其特征在于,
所述设备包括车辆,
所述计算具有所述第二电子控制单元的设备的第一状态参量包括:所述第一电子控制单元根据所述第二输入信号和所述第二信息,利用以下之一计算所述车辆的所述第一状态参量:
电助力转向线性化模型,
车辆稳定性模型,
电机模型,
电助力转向线性化模型和车辆稳定性模型,
电助力转向线性化模型和电机模型,
车辆稳定性模型和电机模型,以及
电助力转向线性化模型、车辆稳定性模型和电机模型。
9.一种用于控制器的监控方法,其特征在于,所述控制器包括第一电子控制单元和第二电子控制单元,所述监控方法包括:
所述第一电子控制单元和所述第二电子控制单元接收第一输入信号和第二输入信号;
所述第一电子控制单元基于所述第一输入信号来输出第一信息,并将所述第一信息提供给所述第二电子控制单元;
所述第二电子控制单元基于所述第二输入信号来输出第二信息,并将所述第二信息提供给所述第一电子控制单元;
所述第一电子控制单元基于所述第二输入信号和来自所述第二电子控制单元的所述第二信息,检测所述第二电子控制单元的功能状况;
所述第二电子控制单元基于所述第一输入信号和来自所述第一电子控制单元的所述第一信息,检测所述第一电子控制单元的功能状况;
当检测到所述第二电子控制单元的功能异常时,所述第一电子控制单元向所述第二电子控制单元发送用于指示所述第二电子控制单元发生故障的第二故障通知;以及
在发送所述第二故障通知的同时,所述第一电子控制单元向受所述第二电子控制单元控制的第二执行机构的第二驱动单元输出第二指示信号,所述第二指示信号指示所述第二驱动单元对所述第二执行机构执行第二操作,或者,如果自所述第二故障通知被发送起,在经过第二预定时长之后受所述第二电子控制单元控制的所述第二执行机构的所述第二驱动单元仍未执行相应操作,则所述第一电子控制单元向所述第二驱动单元输出第四指示信号,所述第四指示信号指示所述第二驱动单元对所述第二执行机构执行第四操作,其中,所述第二操作和所述第四操作是故障保护操作。
10.如权利要求9所述的监控方法,其特征在于,
所述第一信息是经由第一冗余通信通道被提供给所述第二电子控制单元的。
11.如权利要求9或10所述的监控方法,其特征在于,
所述第二信息是经由第二冗余通信通道被提供给所述第一电子控制单元的。
12.如权利要求9或10所述的监控方法,其特征在于,
所述第一输入信号经由第三冗余通信通道被所述第一电子控制单元和所述第二电子控制单元接收。
13.如权利要求9或10所述的监控方法,其特征在于,
所述第二输入信号经由第四冗余通信通道被所述第一电子控制单元和所述第二电子控制单元接收。
14.如权利要求9或10所述的监控方法,其特征在于,还包括:
当检测到所述第一电子控制单元的功能异常时,所述第二电子控制单元向所述第一电子控制单元发送用于指示所述第一电子控制单元发生故障的第一故障通知。
15.如权利要求9或10所述的监控方法,其特征在于,所述检测所述第二电子控制单元的功能状况包括:
所述第一电子控制单元根据所述第二输入信号和所述第二信息,计算具有所述控制器的设备的第一状态参量;以及
所述第一电子控制单元根据所述第一状态参量和第一参量阈值,确定所述第二电子控制单元的功能状况。
16.如权利要求14所述的监控方法,其特征在于,还包括:
在发送所述第一故障通知的同时,所述第二电子控制单元向受所述第一电子控制单元控制的第一执行机构的第一驱动单元输出第一指示信号,所述第一指示信号指示所述第一驱动单元对所述第一执行机构执行第一操作,其中,所述第一操作是故障保护操作。
17.如权利要求14所述的监控方法,其特征在于,还包括:
如果自所述第一故障通知被发送起,在经过第一预定时长之后受所述第一电子控制单元控制的第一执行机构的第一驱动单元仍未执行相应操作,则所述第二电子控制单元向所述第一驱动单元输出第三指示信号,所述第三指示信号指示所述第一驱动单元对所述第一执行机构执行第三操作,其中,所述第三操作是故障保护操作。
18.如权利要求15所述的监控方法,其特征在于,所述计算具有所述控制器的设备的第一状态参量包括:
所述第一电子控制单元检查所述第二输入信号和所述第二信息;以及
当检查结果表明所述第二输入信号和所述第二信息有效时,所述第一电子控制单元根据所述第二输入信号和所述第二信息来计算所述第一状态参量。
19.如权利要求9或10所述的监控方法,其特征在于,所述检测所述第一电子控制单元的功能状况包括:
所述第二电子控制单元根据所述第一输入信号和所述第一信息,计算具有所述控制器的设备的第二状态参量;以及
所述第二电子控制单元根据所述第二状态参量和第二参量阈值,确定所述第一电子控制单元的功能状况。
20.如权利要求19所述的监控方法,其特征在于,所述计算具有所述控制器的设备的第二状态参量包括:
所述第二电子控制单元检查所述第一输入信号和所述第一信息;以及
当检查结果表明所述第一输入信号和所述第一信息有效时,所述第二电子控制单元根据所述第一输入信号和所述第一信息来计算所述第二状态参量。
21.如权利要求15所述的监控方法,其特征在于,
所述设备包括车辆,
所述计算具有所述控制器的设备的第一状态参量包括:所述第一电子控制单元根据所述第二输入信号和所述第二信息,利用以下之一来计算所述车辆的所述第一状态参量:
电助力转向线性化模型,
车辆稳定性模型,
电机模型,
电助力转向线性化模型和车辆稳定性模型,
电助力转向线性化模型和电机模型,
车辆稳定性模型和电机模型,以及
电助力转向线性化模型、车辆稳定性模型和电机模型。
22.如权利要求19所述的监控方法,其特征在于,
所述设备包括车辆,
所述计算具有所述控制器的设备的第二状态参量包括:所述第二电子控制单元根据所述第一输入信号和所述第一信息,利用以下之一来计算所述车辆的所述第二状态参量:
电助力转向线性化模型,
车辆稳定性模型,
电机模型,
电助力转向线性化模型和车辆稳定性模型,
电助力转向线性化模型和电机模型,
车辆稳定性模型和电机模型,以及
电助力转向线性化模型、车辆稳定性模型和电机模型。
23.一种电子控制单元,其特征在于,包括:
微型计算机;
输入电路,用于对输入信号进行预处理,并把处理后的输入信号提供给所述微型计算机;
输出电路,用于将所述微型计算机发出的处理结果转变成控制信号以输出,
其中,所述微型计算机包括:
输入输出接口,其与总线、所述输入电路和所述输出电路连接;
处理器,其与所述总线连接;以及
存储器,其与所述总线连接,所述存储器存储有计算机程序,所述计算机程序当被所述处理器执行时使得所述处理器执行权利要求1至8任一项所述的控制方法。
24.一种控制器,其特征在于,包括:
第一电子控制单元;以及
第二电子控制单元,
其中,所述第一电子控制单元和所述第二电子控制单元分别执行权利要求9-22任一项的监控方法中由第一电子控制单元执行的操作和由第二电子控制单元执行的操作。
25.一种控制系统,其特征在于,包括:
权利要求24所述的控制器;
第一输入端,用于接收所述第一输入信号并分别向所述控制器中的所述第一电子控制单元和所述第二电子控制单元发送所接收的第一输入信号;
第二输入端,用于接收所述第二输入信号并分别向所述控制器中的所述第二电子控制单元和所述第一电子控制单元发送所接收的第二输入信号;
第一驱动单元,其与所述第一电子控制单元和所述第二电子控制单元连接;以及
第二驱动单元,其与所述第一电子控制单元和所述第二电子控制单元连接。
26.一种车辆,其特征在于,所述车辆包括权利要求25所述的控制系统。
27.一种计算机可读存储介质,其特征在于,在其上存储有计算机程序,所述计算机程序当被电子控制单元执行时使得所述电子控制单元执行权利要求1至8任一项所述的控制方法。
CN202080004476.6A 2020-12-25 2020-12-25 控制方法、监控方法、电子控制单元、控制器和控制系统 Active CN112770958B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210656115.0A CN115027549A (zh) 2020-12-25 2020-12-25 控制方法、监控方法、电子控制单元、控制器和控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/139368 WO2022133997A1 (zh) 2020-12-25 2020-12-25 控制方法、监控方法、电子控制单元、控制器和控制系统

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202210656115.0A Division CN115027549A (zh) 2020-12-25 2020-12-25 控制方法、监控方法、电子控制单元、控制器和控制系统

Publications (2)

Publication Number Publication Date
CN112770958A CN112770958A (zh) 2021-05-07
CN112770958B true CN112770958B (zh) 2022-06-14

Family

ID=75699462

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202210656115.0A Pending CN115027549A (zh) 2020-12-25 2020-12-25 控制方法、监控方法、电子控制单元、控制器和控制系统
CN202080004476.6A Active CN112770958B (zh) 2020-12-25 2020-12-25 控制方法、监控方法、电子控制单元、控制器和控制系统

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202210656115.0A Pending CN115027549A (zh) 2020-12-25 2020-12-25 控制方法、监控方法、电子控制单元、控制器和控制系统

Country Status (3)

Country Link
EP (1) EP4257453A1 (zh)
CN (2) CN115027549A (zh)
WO (1) WO2022133997A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115113516A (zh) * 2022-07-15 2022-09-27 南京科远智慧科技集团股份有限公司 一种主从冗余控制系统及控制方法
CN115092246B (zh) * 2022-08-25 2022-11-11 杭州世宝汽车方向机有限公司 转向伺服系统及其故障容错方法
CN116135668B (zh) * 2023-03-29 2024-05-14 重庆长安汽车股份有限公司 一种车辆转向冗余控制方法、装置、设备及介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102582678A (zh) * 2011-01-11 2012-07-18 上海联盛汽车电子有限公司 一种具有软件集成监控功能的电动助力转向系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2070342A1 (en) * 1991-09-27 1993-03-28 Luis Antonio Hernandez Personal computer with alternate system controller override
JP3951337B2 (ja) * 1997-02-25 2007-08-01 日本精工株式会社 電動パワーステアリング装置の制御装置
WO2006031675A2 (en) * 2004-09-10 2006-03-23 General Motors Corporation Fault tolerant control system
CN106080452A (zh) * 2016-07-29 2016-11-09 北京车和家信息技术有限责任公司 电子控制单元的供电方法、电子控制单元和车辆
CN108238034B (zh) * 2018-01-10 2020-01-17 北京汽车股份有限公司 制动控制方法及装置
KR102066219B1 (ko) * 2018-02-05 2020-01-14 주식회사 만도 리던던트 구조 기반의 차량 제어 장치 및 방법
CN109733460B (zh) * 2018-02-13 2023-08-18 重庆长安汽车股份有限公司 冗余电子转向制动系统
CN208399988U (zh) * 2018-05-31 2019-01-18 北京汽车股份有限公司 车辆电子稳定系统的测试系统和测试装置
CN111497930A (zh) * 2020-03-31 2020-08-07 联创汽车电子有限公司 安全控制模块及安全控制方法
CN111762260B (zh) * 2020-06-22 2021-11-19 北京汽车股份有限公司 基于标定车速的助力转向系统冗余控制系统、方法及车辆

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102582678A (zh) * 2011-01-11 2012-07-18 上海联盛汽车电子有限公司 一种具有软件集成监控功能的电动助力转向系统

Also Published As

Publication number Publication date
CN115027549A (zh) 2022-09-09
CN112770958A (zh) 2021-05-07
EP4257453A1 (en) 2023-10-11
WO2022133997A1 (zh) 2022-06-30

Similar Documents

Publication Publication Date Title
CN112770958B (zh) 控制方法、监控方法、电子控制单元、控制器和控制系统
US11305783B2 (en) Vehicle control device
US9576137B2 (en) Method and system for analyzing integrity of encrypted data in electronic control system for motor vehicle
CN109733461B (zh) 自动驾驶车辆的冗余电子转向系统及控制方法
CN111699125B (zh) 为包括有冗余设计的控制装置的机动车辆的机电转向系统提供转向辅助的方法
CA2456999C (en) Method and system for autonomously resolving a failure
US11220288B2 (en) Method and device for the control of a safety-relevant process and transportation vehicle
US10053142B2 (en) Electric power steering apparatus
WO2013001716A1 (ja) 車載電子制御装置
JP7281000B2 (ja) 車両制御方法および車両制御システム
US9221492B2 (en) Method for operating an electrical power steering mechanism
CN104714463B (zh) 一种安全监控系统及方法
KR102452555B1 (ko) 차량 고장 처리 제어 장치 및 그 방법
WO2014141415A1 (ja) 異常診断装置
CN111791943A (zh) 旋转电机控制装置和使用其的电动助力转向设备
JP2009029172A (ja) 電動パワーステアリング装置
CN117707023A (zh) 一种车载域控制器芯片装置、系统及功能安全方法
Noh et al. The optimal current ratio control of redundant electric drive systems and diagnostic strategies for disagreement
CN108146250B (zh) 一种基于多核cpu的汽车扭矩安全控制方法
JP2011032903A (ja) 車両の制御装置
WO2021029405A1 (ja) 制御装置
JP2014534922A (ja) 電動パワーステアリングシステムを作動させるための方法
Nag et al. A novel multi-core approach for functional safety compliance of automotive electronic control unit according to ISO 26262
WO2020170654A1 (ja) 車両搭載機器の制御装置
US20240106264A1 (en) Power supply apparatus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant