CN114537156A - 控制器架构及电动汽车 - Google Patents

控制器架构及电动汽车 Download PDF

Info

Publication number
CN114537156A
CN114537156A CN202011353989.6A CN202011353989A CN114537156A CN 114537156 A CN114537156 A CN 114537156A CN 202011353989 A CN202011353989 A CN 202011353989A CN 114537156 A CN114537156 A CN 114537156A
Authority
CN
China
Prior art keywords
monitoring
layer
function
safety
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011353989.6A
Other languages
English (en)
Other versions
CN114537156B (zh
Inventor
严丽娟
张蓝文
梁海强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Electric Vehicle Co Ltd
Original Assignee
Beijing Electric Vehicle Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Electric Vehicle Co Ltd filed Critical Beijing Electric Vehicle Co Ltd
Priority to CN202011353989.6A priority Critical patent/CN114537156B/zh
Priority claimed from CN202011353989.6A external-priority patent/CN114537156B/zh
Publication of CN114537156A publication Critical patent/CN114537156A/zh
Application granted granted Critical
Publication of CN114537156B publication Critical patent/CN114537156B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L15/00Methods, circuits, or devices for controlling the traction-motor speed of electrically-propelled vehicles
    • B60L15/20Methods, circuits, or devices for controlling the traction-motor speed of electrically-propelled vehicles for control of the vehicle or its driving motor to achieve a desired performance, e.g. speed, torque, programmed variation of speed
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/72Electric energy management in electromobility

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

本申请公开了一种控制器架构及电动汽车,涉及汽车安全技术领域,所述控制器架构包括:硬件层,所述硬件层至少包括主控单元和监控单元;软件层,所述软件层包括:功能实现层和安全监控层;其中,所述主控单元用于承载所述功能实现层的功能、所述安全监控层的功能监控功能和部分处理器监控功能,以及,与所述监控单元的问答机制;所述监控单元用于承载与所述主控单元的问答机制和所述安全监控层的处理器监控功能。本申请的方案提供了一种具有满足功能安全要求的口控制器,提升了电动汽车的安全性,确保了用户的人身安全。

Description

控制器架构及电动汽车
技术领域
本申请涉及汽车安全技术领域,尤其是涉及一种控制器架构及电动汽车。
背景技术
随着电动汽车智能网联化程度的日趋成熟,功能安全的概念日趋重要。功能安全对于汽车每一款控制器,尤其是整车控制器、电机控制器、电池管理***、自动驾驶***、驱动防滑***等尤为重要。而目前电动汽车上的控制器并没有统一的架构设计。
发明内容
本申请的目的在于提供一种控制器架构及电动汽车,从而解决现有技术中电动汽车上的控制器没有统一的架构设计的问题。
为了达到上述目的,本申请提供一种控制器架构,包括:
硬件层,所述硬件层至少包括主控单元和监控单元;
软件层,所述软件层包括:功能实现层和安全监控层;
其中,所述主控单元用于承载所述功能实现层的功能、所述安全监控层的功能监控功能和部分处理器监控功能,以及,与所述监控单元的问答机制;所述监控单元用于承载与所述主控单元的问答机制和所述安全监控层的处理器监控功能。
可选的,所述功能实现层和所述安全监控层之间相互独立。
可选的,所述功能实现层的功能安全等级为QM,所述安全监控层的功能安全等级为ASIL;
其中,所述硬件层中承载低功能安全等级的内存可以访问高功能安全等级的数据。
可选的,所述安全监控层包括功能监控层和处理器监控层,所述功能监控层和所述处理器监控层的控制策略相互独立。
可选的,所述功能监控层具有独立关断输出功能。
可选的,所述主控单元用于:在监测到功能失效的情况下,根据预设安全目标,控制电动汽车在故障容错间隔时间内进入相应的安全状态。
可选的,所述主控单元与所述监控单元还分别设置有冗余关断功能。
可选的,所述硬件层还包括下述至少一项:
数字信号采集电路;
模拟信号采集电路;
脉冲宽度调制PWM信号采集电路;
控制器局域网CAN收发器;
时钟晶振电路;
存储器;
高边输出芯片;
低边输出芯片。
可选的,所述安全监控层的安全机制包括下述至少一项:
模数转换器的诊断监控;
模拟信号的冗余校验;
数字信号的冗余校验;
PWM信号的占空比和周期的监控;
CAN信号的端到端E2E校验;
输出信号的CAN的E2E保护;
输出状态回读监控;
带有安全等级的高边驱动和/或低边驱动监控;
CAN收发器监控。
本申请实施例还提供一种电动汽车,包括如上所述的控制器架构。
本申请的上述技术方案至少具有如下有益效果:
本申请实施例的控制器架构包括:硬件层,所述硬件层至少包括主控单元和监控单元;软件层,所述软件层包括:功能实现层和安全监控层;其中,所述主控单元用于承载所述功能实现层的功能、所述安全监控层的功能监控功能和部分处理器监控功能,以及,与所述监控单元的问答机制;所述监控单元用于承载与所述主控单元的问答机制和所述安全监控层的处理器监控功能。如此,能够使得控制器满足功能安全要求,提升电动汽车的安全性,确保用户的人身安全。
附图说明
图1为本申请实施例的控制器架构的结构示意图;
图2为本申请实施例的硬件层的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的孔子器架构进行详细地说明。
如图1所示,为本申请实施例的控制器架构示意图,该控制器架构包括:
硬件层,该硬件层至少包括主控单元(Master Control,MC)和监控单元(MonitorUnit,MU);
软件层,该软件层包括:功能实现层和安全监控层;
其中,该主控单元用于承载该功能实现层的功能、该安全监控层的功能监控功能和部分处理器监控功能,以及,与该监控单元的问答机制;该监控单元用于承载与该主控单元的问答机制和该安全监控层的处理器监控功能。
需要说明的是,本申请实施例中的问答机制为主控单元与监控单元之间的握手交互或共用功能之间的交互等过程。
本申请实施例中,通过将控制器设置为包括主控单元和监控单元两大硬件处理单元,以及,功能实现层和安全监控层两个软件层,并通过主控单元和监控单元承载两个软件层的功能,一方面,使得控制器能够满足功能安全要求;另一方面,提出了一种架构设计解决方案及最小***所涉及的基本单元,从而提升电动汽车的安全性,确保用户的人身安全。
这里需要说明的是,图1中的输入信号来源包括:硬线信号(模拟信号、数字信号、脉冲宽度调制(Pulse Width Modulation,PWM)信号)及控制器局域网络(Controller AreaNetwork,CAN)信号;同样的,输出信号包括CAN信号和硬线信号。
可选地,该功能实现层的功能安全等级为QM,该安全监控层的功能安全等级为ASIL;其中,所述硬件层中承载低功能安全等级的内存可以访问高功能安全等级的数据。该功能实现层和该安全监控层之间相互独立。
这里,需要说明的是,ISO 26262(道路车辆-功能安全)标准中规定,功能安全等级包括QM等级和ASIL等级,其中,ASIL等级具体包括ASILA、ASILB、ASILC、ASILD;其中,QM等级标识不需要特别的功能安全流程,只需要正常质量管理。ASIL等级的A、B、C、D四个等级越往后风险越大,即ASILD的风险等级最高,ASILA的风险等级最低。其中,ASIL等级可以基于严重性S、发生概率E和可控性C三个参数进行评价。
这里,还需要说明的是,该功能实现层和该安全监控层之间应相互独立且相互隔离。
另外,由于功能实现层的安全等级低于安全监控层的安全等级,因此功能实现层的数据和代码只能在功能实现层进行读写,而安全监控层的数据和代码可以在功能实现层中被读取。具体的,控制器中的存储器memory的分区可根据芯片资源灵活定义,比如将存储器分成低功能安全等级(QM等级)、中功能安全等级(ASILA或ASILB)和高功能安全等级(ASILC或ASILD)三层;其中,低层级的分区只能对低层级的数据和代码进行读写,高层级的数据和代码可在低层级内存中读取。
可选地,如图1所示,该安全监控层包括功能监控层和处理器监控层,该功能监控层和该处理器监控层的控制策略相互独立。
这里,需要说明的是,一方面,功能监控层的安全等级可以为ASILA、ASILB、ASILC、ASILD中的任一个,同样地,处理器监控层的安全等级可以为ASILA、ASILB、ASILC、ASILD中的任一个;另一方面,所有与安全目标相关的需求均应在功能监控层和处理器监控层中实现;再一方面,为了确保控制器满足安全需求,本申请实施例中,功能监控层和处理器监控层的控制策略能够相互独立,两者之间不能直接复制。
还需要说明的是,在本申请实施例中,功能实现层和功能监控层可以为应用层的设计范畴,处理器监控层可以为底层软件的设计范畴。
可选地,该功能监控层具有独立关断输出功能,如此,当监控到功能失效时,可以根据安全目标的定义在故障容错间隔时间内进入相应的安全状态,保证整个***的安全可靠。
可选地,为了保证整个***的安全性,该主控单元用于:在监测到功能失效的情况下,根据预设安全目标,控制电动汽车在故障容错间隔时间内进入相应的安全状态。这里,需要说明的是,电动汽车为设置有该控制器架构的电动汽车。
可选地,该主控单元与该监控单元还分别设置有冗余关断功能,如此,一方面,可以保证设置有该控制器架构的***(如电动汽车)的鲁棒性;另一方面,可以双重保证***的安全可用性。
这里,需要说明的是,鲁棒性是指***在异常和危险情况下***生存的能力。
可选地,如图2所示,该硬件层还包括下述至少一项:
数字信号采集电路;
模拟信号采集电路;
脉冲宽度调制信号采集电路;
控制器局域网收发器;
时钟晶振电路;
存储器,该存储器包括:只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、带电可擦可编程只读存储器(Electrically ErasableProgrammable Read Only Memory,EEPROM)。
高边输出芯片;
低边输出芯片。
这里,需要说明的是,本申请实施例的硬件层的各单元可以根据所涉及的控制器定义的安全目标,以及,实现链路设计的安全目标,定义各单元的安全等级。
进一步地,如图2所示,该硬件层还可以包括:多个CAN收发器和供电芯片。具体的,一方面,供电芯片可以分别通过全双工同步串行总线(Serial Peripheral Interface,SPI)和硬线与主控单元连接;另一方面,供电芯片还通过硬线与外部的蓄电池和唤醒装置连接。
这里,需要说明的是,为了使控制器满足功能安全要求,在控制器中涉及安全的输入均应根据ISO26262-5设计相应的安全机制。可选地,该安全监控层的安全机制包括下述至少一项:
模数转换器的诊断监控;
模拟信号的冗余校验;
数字信号的冗余校验;
PWM信号的占空比和周期的监控;
CAN信号的端到端E2E校验;
输出信号的CAN的E2E保护;
输出状态回读监控;
带有安全等级的高边驱动和/或低边驱动监控;
CAN收发器监控。
当然,除此之外,如图1所示,安全机制还可以包括:控制器中的程序流监控、MU监控、路径关断、电压监控、RAM保护、ROM保护、MC故障反应监控、MC监控、MU安全库监控、MU故障反应监控、错误检查和纠正ECC、原码补码监控、微处理器和内存保护单元(Microprocessor Unit,MPU)监控等。具体的,在监测到MU故障反应或MC故障反应的情况下,进行冗余关断,实现双重光端,确保***的安全性。
这里,需要说明的是,一方面,在实现每一个安全目标中的安全机制选择,可以根据目标资源状态或市场当前水平,对安全目标对应的硬件度量指标来灵活选择。另一方面,在本申请实施例的控制器架构中,满足安全目标中ASIL等级的要求,根据实际的安全目标来定义安全监控层中各模块的等级,其中,同一模块在多个安全目标中被涉及的话,应按照最高安全等级要求来设计。
本申请实施例的控制器架构可以为车载电控拓扑结构上的任意一个控制器,该控制器架构尤其是具有功能安全要求,尤其是满足ISO26262要求的功能安全等级要求的控制器,本申请实施例提供了一种架构设计的解决方案及最小***所设计的基本单元,本申请实施例的控制器架构,实现了对满足安全功能要求的控制器结构的标准化设计,使得采用本申请实施例的控制器架构的电动汽车的安全性得以提升,确保用户的人身安全。
本申请实施例还提供一种电动汽车,包括如上所述的控制器架构。如此,该电动汽车中的控智能能够满足功能安全要求,从而提升了电动汽车的安全性,确保了用户的人身安全。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种控制器架构,应用于电动汽车,其特征在于,包括:
硬件层,所述硬件层至少包括主控单元和监控单元;
软件层,所述软件层包括:功能实现层和安全监控层;
其中,所述主控单元用于承载所述功能实现层的功能、所述安全监控层的功能监控功能和部分处理器监控功能,以及,与所述监控单元的问答机制;所述监控单元用于承载与所述主控单元的问答机制和所述安全监控层的处理器监控功能。
2.根据权利要求1所述的控制器架构,其特征在于,所述功能实现层和所述安全监控层之间相互独立。
3.根据权利要求1所述的控制器架构,其特征在于,所述功能实现层的功能安全等级为QM,所述安全监控层的功能安全等级为ASIL;
其中,所述硬件层中承载低功能安全等级的内存可以访问高功能安全等级的数据。
4.根据权利要求1所述的控制器架构,其特征在于,所述安全监控层包括功能监控层和处理器监控层,所述功能监控层和所述处理器监控层的控制策略相互独立。
5.根据权利要求4所述的控制器架构,其特征在于,所述功能监控层具有独立关断输出功能。
6.根据权利要求5所述的控制器架构,其特征在于,所述主控单元用于:在监测到功能失效的情况下,根据预设安全目标,控制电动汽车在故障容错间隔时间内进入相应的安全状态。
7.根据权利要求1所述的控制器架构,其特征在于,所述主控单元与所述监控单元还分别设置有冗余关断功能。
8.根据权利要求1所述的控制器架构,其特征在于,所述硬件层还包括下述至少一项:
数字信号采集电路;
模拟信号采集电路;
脉冲宽度调制PWM信号采集电路;
控制器局域网CAN收发器;
时钟晶振电路;
存储器;
高边输出芯片;
低边输出芯片。
9.根据权利要求1所述的控制器架构,其特征在于,所述安全监控层的安全机制包括下述至少一项:
模数转换器的诊断监控;
模拟信号的冗余校验;
数字信号的冗余校验;
PWM信号的占空比和周期的监控;
CAN信号的端到端E2E校验;
输出信号的CAN的E2E保护;
输出状态回读监控;
带有安全等级的高边驱动和/或低边驱动监控;
CAN收发器监控。
10.一种电动汽车,其特征在于,包括如权利要求1至9任一项所述的控制器架构。
CN202011353989.6A 2020-11-27 控制器架构及电动汽车 Active CN114537156B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011353989.6A CN114537156B (zh) 2020-11-27 控制器架构及电动汽车

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011353989.6A CN114537156B (zh) 2020-11-27 控制器架构及电动汽车

Publications (2)

Publication Number Publication Date
CN114537156A true CN114537156A (zh) 2022-05-27
CN114537156B CN114537156B (zh) 2024-07-16

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451235A (zh) * 2023-03-27 2023-07-18 亿咖通(湖北)技术有限公司 内存保护方法、设备、存储介质及程序产品

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102320277A (zh) * 2011-07-05 2012-01-18 苏州力久新能源科技有限公司 基于并行结构的汽车力矩安全架构
CN103072576A (zh) * 2012-10-19 2013-05-01 昆山力久新能源汽车技术有限公司 基于并行结构的驾驶员请求扭矩安全架构
CN103332118A (zh) * 2013-06-05 2013-10-02 奇瑞汽车股份有限公司 一种纯电动汽车的整车控制器监控方法
US20150175170A1 (en) * 2013-12-20 2015-06-25 Denso Corporation Electronic control unit
CN111516551A (zh) * 2020-06-01 2020-08-11 中国第一汽车股份有限公司 一种电池管理***功能安全监控方法、装置及车辆
CN111694702A (zh) * 2019-03-11 2020-09-22 大众汽车有限公司 用于进行安全的信号操纵的方法和***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102320277A (zh) * 2011-07-05 2012-01-18 苏州力久新能源科技有限公司 基于并行结构的汽车力矩安全架构
CN103072576A (zh) * 2012-10-19 2013-05-01 昆山力久新能源汽车技术有限公司 基于并行结构的驾驶员请求扭矩安全架构
CN103332118A (zh) * 2013-06-05 2013-10-02 奇瑞汽车股份有限公司 一种纯电动汽车的整车控制器监控方法
US20150175170A1 (en) * 2013-12-20 2015-06-25 Denso Corporation Electronic control unit
CN111694702A (zh) * 2019-03-11 2020-09-22 大众汽车有限公司 用于进行安全的信号操纵的方法和***
CN111516551A (zh) * 2020-06-01 2020-08-11 中国第一汽车股份有限公司 一种电池管理***功能安全监控方法、装置及车辆

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
伍理勋;陈建明;陈磊;郑汉锋: "电动汽车电机驱动控制器功能安全架构研究", 控制与信息技术, no. 3, pages 1 - 5 *
彭忆强;芦文峰;邓鹏毅;王洪荣;马媛媛;徐磊;何波;杨丽蓉;: "新能源汽车"三电"***功能安全技术现状分析", 西华大学学报(自然科学版), no. 01, pages 54 - 60 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451235A (zh) * 2023-03-27 2023-07-18 亿咖通(湖北)技术有限公司 内存保护方法、设备、存储介质及程序产品
CN116451235B (zh) * 2023-03-27 2024-04-09 亿咖通(湖北)技术有限公司 内存保护方法、设备、存储介质及程序产品

Similar Documents

Publication Publication Date Title
TW420771B (en) Electronic control system for controlling the function of a processing system and method for managing system fault situations of the electronic control system
CN102999039B (zh) 电子控制装置
US20060098682A1 (en) High level message priority assignment by a plurality of message-sending nodes sharing a signal bus
US9104570B2 (en) Method for monitoring at least two microcontrollers
CN107534592B (zh) 用于保护数据总线收发器的配置数据的方法、数据总线收发器和数据总线***
CN104011688A (zh) 控制装置以及处理监控方法
CN103378771A (zh) 电动机驱动控制装置
CN111104356B (zh) 一种多从控模块自动编址方法及***
CN107428297B (zh) 车辆用控制装置及其控制方法
CN104635549A (zh) Can总线错误处理方法和can控制器
CN105988365B (zh) 用于燃烧器***的安全设备和相应的燃烧器***
CN114170705A (zh) 车辆数据上传方法、装置和设备
CN114537156A (zh) 控制器架构及电动汽车
CN114537156B (zh) 控制器架构及电动汽车
KR102224076B1 (ko) 배터리의 예약 충전 기능 진단 장치 및 방법
Nag et al. A novel multi-core approach for functional safety compliance of automotive electronic control unit according to ISO 26262
CN115932587A (zh) 一种基于动力域的哨兵模式电池状态监控方法及装置
CN114184992A (zh) 用于验证电源监测的方法、装置和计算机程序
US9779045B2 (en) Electronic controller to be connected to program tool
CN114967634A (zh) 处理器诊断装置、处理器诊断方法和电子设备
Amor-Segan et al. Towards the self healing vehicle
CN115743001B (zh) 车辆控制方法、装置、电子设备、存储介质及程序产品
EP2685379B1 (en) An integrated supervisory circuit for an automotive electrical component unit
KR20240050818A (ko) 고전압 배터리 제어 장치, 그를 포함한 시스템 및 그 모니터링 방법
CN116150771B (zh) 一种冗余处理的装置、方法、***及智能车辆

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant