一种降低功能安全等级的电机控制系统与方法与流程

本发明涉及电动汽车功能安全技术，尤其涉及一种降低功能安全等级的电机控制系统与方法。

背景技术

电动汽车因其节能减排、污染小，并且随着各大城市逐渐限牌，电动汽车行业的发展越来越好。纯电动汽车更因为其环保优势，成为节能和新能源发展的战略的主流。

近年来汽车智能化、网络化、电动化成为汽车未来发展的趋势，并且随着无人自动驾驶的兴起，汽车整体安全已经从被动安全转向主动安全，减少系统上失效的发生概率，控制风险。

随着车辆电子电气e/e系统和adas（辅助驾驶系统）数量不断增加，车辆安全、节能、环保、低碳、集成化、信息化、智能化、网络化、自动化功能越来越多，车辆中的e/e（电子/电气）系统越来越多。促使了以《iec61508》为基础，为满足道路车辆电子电气系统的特定需求而编写《iso26262》的诞生。

因为iso26262标准的执行将会在很大程度上降低整车层面的失效造成的交通事故、故障率和召回的风险，国内外优秀的整车厂（宝马、大众、丰田、通用等）对于各大零部件厂提出了高功能安全等级和安全目标的要求，并提出不满足iso26262标准没有资格参与投标活动。因而开发满足功能安全（iso26262）标准的电动汽车零部件是国内外优秀零部件厂商亟待解决的技术难题。

iso26262标准的推行和按照该标准开发产品，成本是高昂的、付出的代价将会比较大。软件开发使用autosar（汽车开放系统架构）平台进行软件嵌入式的开发；由于需要考虑安全性导致整个硬件元器件和设计的成本也是很大的。整体下来产品的成本会很高，同样整车的成本也很高，况且没有相应的客户，成本回收期长、完成产品认证和实现产品量产还遥遥无期，许多企业不愿意承担这部分的成本，一直处于观望状态。但是随着国家政策的支持和电动汽车行业的发展状况来看，商用车市场逐渐饱和，汽车行业企业逐渐把战场转向乘用车，因此乘用车市场将会迎来一段爆发期，乘用车开发要求要比商用车更高、难度也更大，目前市场上的乘用车主流产品满足功能安全要求的少之又少，所以解决整车的安全问题，进行相关方面的技术储备变得势在必行和刻不容缓，将会提高企业的核心竞争力。

asil等级（automotivesafetyintegrationlevel，汽车安全性等级）有四个等级，分别为asila、asilb、asilc、asild,其中asila是最低等级，asild是最高等级。asil等级决定了整个系统安全性的要求，asil等级越高，对系统的安全性要求越高，为实现安全付出的代价越大，意味着硬件的诊断覆盖率越高，开发流程越严格，相应的开发成本增加、开发周期延长，技术要求严格。为解决以上难点，就需要在满足安全目标的前提下，提出降低asil等级的方案——asil等级分解。经过分解以后asil等级高的系统的功能逻辑变得简单，使得开发变的简单，整体成本得到降低。

vcu根据驾驶场景和车辆状况实时监控车辆运行，执行驾驶员意图，是车辆的大脑。bms是车辆动力系统的支撑，是车辆能量管理的核心。mcu是驱动车辆的核心部件。abs防抱死刹车系统可以提高行车时，车辆紧急制动的安全系数。通常情况下vcu的安全目标：扭矩安全、高压安全；bms的安全目标：高压安全；mcu的安全目标：扭矩安全；abm安全目标:防抱死安全。

iso26262标准在国内的发展仅只有几年，大家对标准的理解都不熟悉。国内整车企业在做整车功能安全时，都还是根据国外整车企业的经验从整车层面以动力系统为基础做hara(危害分析和风险评估)分析，根据现有电动汽车控制策略得出扭矩安全目标和相应的asil等级。基于此再对整车上其他零部件进行hara分析得出其它的安全目标和asil等级，然后对各零部件厂商提出功能安全需求及目标，零部件厂商按照功能安全需求和目标去开发相应的产品；最后主机厂把各零部件厂商提供符合相应功能安全需求和目标的零部件组装起来再进行整车系统的测试验证。这样难免会在不同的零部件上提出相同的功能安全目标使得开发复杂度增加、技术难度过高、开发费用也较高、开发风险大；且成本回收期比较长。见图1，现有的整车层面电机控制系统功能安全架构框图，其工作原理是：vcu（整车控制器）根据驾驶员的意图（踩油门踏板的深度）将油门信号转换成相应的扭矩信号，通过can（控制器局域网络）总线通信给mcu（电机控制系统）发送相应的扭矩请求命令，mcu根据vcu的扭矩请求命令输出相应的转矩。mcu通过采集电机的相电流和角度值反算实际扭矩与can给定扭矩进行比较如果与预设值的扭矩差超过±50n.m或相反后进入安全状态切断扭矩输出。根据现在的工作原理分析vcu和mcu的扭矩输出功能都要做功能安全等级，目前经过hara分析得出扭矩功能安全等级是asilc，安全目标是扭矩出现异常时直接关断扭矩输出；其他部件bms（电池管理系统）的高压功能安全是asilc；vcu的扭矩功能安全是asilc；仪表的报警功能安全是asila。vcu和mcu的扭矩功能安全等级asilc，等级都比较高并且两个系统都有做扭矩功能安全，不仅整车层面的asil等级并没有提高，整车内所有零部件中的最高asil等级，而且还增大了vcu和mcu的开发难度。

现有技术方案的缺点是电机控制系统需要将扭矩功能安全做到asilc等级。复杂度、技术难度较大；开发成本也高；成本回收期长、项目开发风险大。vcu和mcu都需要针对扭矩功能安全设计从整车层面的asil等级来看，没有必要，因为整车的asil等级是由所有零部件中最高的安全等级决定。因此，如果降低电机控制系统的功能安全等级，从而来降低成本、技术难度和项目开发风险是本领域技术人员所亟待解决的技术问题。

技术实现要素：

为了解决现有技术中的问题，本发明提供了一种降低功能安全等级的电机控制系统与方法。

本发明提供了一种降低功能安全等级的电机控制系统，包括油门踏板、整车控制器、电机控制系统、电机传动机构和车轮，其中，所述油门踏板的油门信号输出端与所述整车控制器连接，所述整车控制器通过can总线与所述电机控制系统连接，所述电机控制系统通过所述电机传动机构与所述车轮连接，所述电机传动机构或者车轮上的任意位置设有转速采集装置，所述转速采集装置的输出端与所述整车控制器连接。

作为本发明的进一步改进，所述降低功能安全等级的电机控制系统还包括电池管理系统和仪表，所述整车控制器通过can总线分别与所述电池管理系统、仪表连接，所述电池管理系统与所述电机控制系统的高压输入端连接。

作为本发明的进一步改进，所述降低功能安全等级的电机控制系统还包括蓄电池和水冷系统，所述蓄电池、水冷系统分别与所述电机控制系统连接。

作为本发明的进一步改进，所述电机传动机构包括电机输出轴和车轮转轴，所述电机控制系统与所述电机输出轴连接，所述电机输出轴与所述车轮转轴连接，所述车轮设置在所述车轮转轴的两端，所述转速采集装置设置在所述电机输出轴、车轮转轴中的任意一个或者任意组合。

本发明还提供了一种降低功能安全等级的电机控制方法，包括以下步骤：

s1、油门踏板将油门信号传送给整车控制器；

s2、整车控制器将油门信号转换成转速请求通过can总线发送给电机控制系统；

s3、电机控制系统根据转速请求，通过电机传动机构向车轮输出相应的转矩；

s4、整车控制器在电机传动机构或者车轮上采集车辆转速，并将采集到的车辆转速与转速请求进行比较，如果超出预设置的安全阈值，则整车控制器通过can通讯切断电池管理系统bms的高压，从而电机控制器和整车控制器两者都切断转矩输出进入安全状态。

作为本发明的进一步改进，在步骤s4中，如果超出预设置的阈值，则整车控制器通过can总线给电池管理系统发送断开主接触器请求，电池管理系统断开主接触器从而断开电机控制系统的高压，电机控制器和整车控制器两者都切断转矩输出进入安全状态，继而保证整车安全。

作为本发明的进一步改进，在步骤s4中，预设置的安全阈值包括转速阈值和加速度阈值，整车控制器将采集到的车辆转速与转速请求进行转速差比较，如果超出预设置的转速阈值，则整车控制器通过can通讯切断电池管理系统bms的高压，从而整车控制器和电机控制器两者都切断转矩输出进入安全状态；整车控制器根据采集到的车辆转速得到加速度值，将加速度值与加速度阈值相比较，如果加速度值超出加速度阈值，则整车控制器通过can通讯切断电池管理系统bms的高压，从而整车控制器和电机控制器两者都切断转矩输出进入安全状态。

本发明的有益效果是：通过上述方案，降低了电机控制系统的功能安全等级，即asil等级，从而降低了复杂度和技术难度，使得项目开发成本和开发风险得到一定程度的降低。

附图说明

图1是现有技术中电机控制系统的示意图。

图2是本发明一种降低功能安全等级的电机控制系统的示意图。

图3是本发明一种降低功能安全等级的电机控制系统的asilc等级分解模式图。

具体实施方式

下面结合附图说明及具体实施方式对本发明作进一步说明。

如图2所示，一种降低功能安全等级的电机控制系统，包括油门踏板1、整车控制器（vcu）2、电机控制系统（mcu）3、电机传动机构4和车轮5，其中，所述油门踏板1的油门信号输出端与所述整车控制器2连接，所述整车控制器2通过can总线与所述电机控制系统3连接，所述电机控制系统3通过所述电机传动机构4与所述车轮5连接，所述电机传动机构4或者车轮5上设有转速采集装置，所述转速采集装置的输出端与所述整车控制器2连接。

如图2所示，所述降低功能安全等级的电机控制系统还包括电池管理系统（bms）6和仪表7，所述整车控制器2通过can总线分别与所述电池管理系统6、仪表7连接，所述电池管理系统6与所述电机控制系统3的高压输入端连接。

如图2所示，所述降低功能安全等级的电机控制系统还包括蓄电池8和水冷系统9，所述蓄电池8、水冷系统9分别与所述电机控制系统3连接。

如图2所示，优选在电机传动机构4上设有转速采集装置，所述电机传动机构4包括电机输出轴和车轮转轴，所述电机控制系统3与所述电机输出轴连接，所述电机输出轴与所述车轮转轴连接，所述车轮5设置在所述车轮转轴的两端，所述转速采集装置设置在所述电机输出轴、车轮转轴中的任意一个或者任意组合。

如图2所示，一种降低功能安全等级的电机控制方法，包括以下步骤：

s1、油门踏板1将油门信号传送给整车控制器2；

s2、整车控制器2将油门信号转换成转速请求通过can总线发送给电机控制系统3；

s3、电机控制系统3根据转速请求，通过电机传动机构4向车轮5输出相应的转矩；

s4、整车控制器2在电机传动机构4或者车轮5上采集车辆转速，并将采集到的车辆转速与转速请求进行比较，如果超出预设置的安全阈值，则整车控制器通过can通讯切断电池管理系统bms的高压，从而电机控制器和整车控制器两者都切断转矩输出进入安全状态，继而保证整车安全。

如图2所示，在步骤s4中，如果超出预设置的阈值，则整车控制器2过can总线给电池管理系统6发送断开主接触器请求，电池管理系统6断开主接触器从而断开电机控制系统3的高压输入，从而电机控制器和整车控制器两者都切断转矩输出进入安全状态，继而保证整车安全。

如图2所示，在步骤s4中，预设置的安全阈值包括转速阈值和加速度阈值，整车控制器2将采集到的车辆转速与转速请求进行转速差比较，如果超出预设置的转速阈值，则整车控制器通过can通讯切断电池管理系统bms的高压，从而整车控制器和电机控制器两者都切断转矩输出进入安全状态，继而保证整车安全。整车控制器2根据采集到的车辆转速得到加速度值（即转速上升率），将加速度值与加速度阈值相比较，如果加速度值超出加速度阈值，则整车控制器通过can通讯切断电池管理系统bms的高压，从而整车控制器和电机控制器两者都切断转矩输出进入安全状态，继而保证整车安全。

根据现在对iso26262标准的理解，从整车层面去理解功能安全，最终整车是否安全,都将直接体现在车辆向前或向后的转速度，目前传统的功能安全方案就是通过将扭矩功能做到安全以此达到转速安全乃至整车安全。由此假设在整车层面直接做转速控制功能安全是不是整车的扭矩功能就不用达到高asil等级，使电机控制系统3不用遵循iso26262标准进行开发，从而极大的节约了高额的功能安全研发和物料成本。如图2所示，vcu（整车控制器2）根据驾驶意图将油门信号直接转换成转速请求通过can总线进行can通信发送给mcu（电机控制系统3），mcu（电机控制系统3）直接响应相应的转速，然后vcu（整车控制器2）在电机转轴输出端到车轮边任何一个地方（如图2的a点或b点这些地方）采集车辆转速（包括任何采集车辆转速的方案）与vcu发给mcu的请求转速请求进行比较，如果超出预设置的转速和加速度范围，vcu通过can总线给bms发送断开主接触器请求，断开高压，这样mcu和vcu两者都切断转矩输出进入安全状态，从而保证整车的安全。此方案根据asil等级分解方法，vcu的转速功能安全等级是asilc(c)；扭矩控制和转矩输出就是qm(c)。根据iso26262标准，mcu就只需要遵循qm等级进行开发；bms的高压切断安全等级是asilc。

如图3所示，asil等级分解的条件和原则，如下：

asil分解需要安全需求具有冗余性，且由相互独立的元素执行。

asil分解允许将安全需求的asil等级在几个用来确保同一个安全目标的同一个安全需求的要素间进行分配。在特定条件下，允许在预期功能及其相应的安全机制间进行asil分解。

按照下列模式之一对asilc的安全需求进行分解：

一个asilb(c)的需求和一个asila(c)的需求；

一个asilc(c)的需求和一个qm(c)的需求。

本发明提供的一种降低功能安全等级的电机控制系统与方法，涉及电动汽车功能安全技术，特别涉及电动汽车在整车层面降低电机控制系统扭矩安全asil等级的功能安全方案，现有技术方案的缺点是电机控制系统需要将扭矩功能安全做到asilc等级。复杂度、技术难度较大；开发成本也高；而本发明只需要将扭矩功能安全做到qm就可以满足整车层面的安全目标，使得扭矩控制系统的复杂度和技术难点得到降低、整车成本也会得到降低。

注：qm是质量体系要求不属于功能安全体系的等级；asil等级分成四个等级分别为：asila、asilb、asilc、asild。asild是最高等级。

本发明提供的一种降低功能安全等级的电机控制系统与方法，具有以下优点：

1、根据功能安全的标准，从整车层面考虑降低汽车安全性等级的功能安全方案；

2、对整车层面的安全目标的安全等级进行分解，降低整车零部件的功能安全等级，从而开发的复杂度和技术难度；

3、降低功能安全项目开发费用及生产成本从而降低了整车的成本和项目开发风险。

4、将电机控制系统零部件厂家解放出来，不用再针对扭矩功能安全进行设计，只在vcu做扭矩安全即可，方案设计相对容易。

与现有技术相比，本发明提供的一种降低功能安全等级的电机控制系统与方法，具有以下特点：

1、现有技术较多的是在电机控制器上做功能安全，本申请则另辟蹊径从整车层面考虑整合各零部件达到同样功能安全等级的设计，实现对电机控制功能功能安全的分解降级。

2、本申请的实现方案是从电机输出轴到车轮上任何一个地方采集整车的转速信号与vcu发送给mcu的转速请求值进行转速差比较和转速上升率来判断异常，如果出现异常，vcu通过can发送异常信号给bms切断动力电源输出，从而进入安全状态。

3、降低电机控制系统功能安全开发的复杂度和技术难点。

4、同时减少零部件功能安全项目开发成本和料本，从而降低整车的成本。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。