一种基于功能安全的VCU冗余控制系统及其应用的制作方法

一种基于功能安全的vcu冗余控制系统及其应用
技术领域
1.本发明属于自动驾驶控制技术领域，具体涉及一种基于功能安全的vcu冗余控制系统及其应用。


背景技术：

2.随着自动驾驶技术的持续性发展，驾驶辅助技术的等级将越来越高，相应的当车辆出现电子电器失效时的安全状态也越来越严苛，当驾驶辅助技术在l3以下时出现电子电器失效的安全状态为条件允许靠边停车，条件不允许本车道刹停，而到l3以上时安全状态则将是行驶一段距离安全靠边停车。
3.传统的电动汽车只有一个vcu处理单元，人驾时vcu作为整车的大脑通过加速踏板和制动踏板解析驾驶员的纵向控制意图，而当驾驶辅助开启时vcu则充当实现驾驶辅助系统纵向控制的实现单元。当vcu处理单元出现故障时车辆将失去纵向驱动的能力，这种情况是不满足l3以上驾驶辅助系统的安全目标的，为达成l3以上驾驶辅助系统行驶一段距离安全靠边停车的目标，增加冗余的动力控制单元势在必行，以实现安全目标。
4.为此，本领域技术人员进行了一系列的研究。例如cn 109917778 a公开的“一种高冗余性机车网络控制系统”，是在机车上通过两块冗余的vcu来实现高冗余的机车网络系统控制，来解决系统可靠冗余性差的问题；包括两台vcu，两台或多台riom；两台vcu分别布置在两块背部母板上，单块背部母板上集成两块电源板。每台riom上集成1#和2#两块电源板，对机车的关键数字量输入信号，应将机车的关键数字量输入信号及其冗余信号分别接入riom由1#电源板供电的数字量输入板和2#电源板供电的数字量输入板；对机车的关键输出信号，应将机车的关键输出信号及其冗余指令分别由1#电源板供电的数字量输出板控制和2#电源板供电的数字量输出板控制。但是，该方案只是针对网络系统控制可靠性冗余性差的问题提出了改进，只解决了主动力控制单元完全丢失情况。


技术实现要素：

5.针对现有技术存在的上述不足，本发明的目的在于提供一种基于功能安全的vcu冗余控制系统，解决l3以上的自动驾驶技术的安全状态要求，实现行驶一段距离安全靠边停车的目标。
6.实现上述目的，本发明采用如下技术方案：一种基于功能安全的vcu冗余控制系统，依托现有整车电子电器架构，在区域控制器内部署冗余的动力控制单元并与电机控制器直接连接，实现主动力控制系统失效时，由冗余动力控制单元及时监控并通过冗余回路控制电驱单元进行基本的动力控制，实现自动驾驶系统靠边或安全区域的要求，同时保证成本最低。
7.进一步，所述基于功能安全的vcu冗余控制系统由第一区域控制器、第二区域控制器、自动驾驶控制单元、动力控制单元形成环网架构；主动力控制单元集成在第一区域控制器中，第二区域控制器中集成冗余动力控制单元；所述第一区域控制器和第二区域控制器
分别通过总线can1和can2与自动驾驶控制单元相连；第一区域控制器和第二区域控制器通过can3相连，前驱动控制器和后驱动控制器通过总线can3接收信号。
8.进一步，所述vcu冗余控制系统的控制程序包括：当第一区域控制器无故障时，第二区域控制器采用影子模式，不会往总线can2向自动驾驶控制单元发信号；当第一区域控制器监控到自身出现不可恢复的故障时，立马关闭can1通讯接口，由第二区域控制器监控到第二区域控制器总线丢失超过一段时间则开始往总线can2向自动驾驶控制单元上发信号； 当第一区域控制器出现故障时，由第二区域控制器接管车辆的动力输出功能，以实现智能驾驶功能下的安全状态，满足l3以上的自动驾驶技术的安全状态要求，实现行驶一段距离安全靠边停车的目标；并且，在此过程中当驾驶员需要接管时可实现正常的人驾功能。
9.具体地，所述控制程序包括：s1、整车进入可行驶状态后，第一区域控制器和第二区域控制器对自身故障进行诊断，并结合高压系统其他零部件故障决策整车扭矩是否可用；第一区域控制器通过 can1告知自动驾驶控制单元整车扭矩是否可用，第二区域控制器通过can 2告知自动驾驶控制单元整车扭矩是否可用；s2、自动驾驶控制单元响应驾驶开启时，判断第一区域控制器和第二区域控制器发送的整车扭矩可用状态；当接收到第一区域控制器和第二区域控制器整车扭矩均可用时，开启高级自动驾驶功能；如果接收到第二区域控制器整车扭矩不可用时，降级到l3以下的自动驾驶，同时提醒驾驶员。
10.s3、当自动驾驶控制单元激活后，例如纵向驱动扭矩请求通过can 1和can 2 同时发送给第一区域控制器和第二区域控制器；s4、当自动驾驶控制单元激活后，第一区域控制器收到自动驾驶控制单元的纵向驱动扭矩请求后，控制前电驱控制器和后电驱控制器驱动车辆前进，以实现自动驾驶控制单元的纵向请求；同时，第二区域控制器收到自动驾驶控制单元的纵向驱动扭矩请求后，将计算对前电驱控制器和后电驱控制器的扭矩请求，不往can3发信号。
11.s5、当自动驾驶控制单元激活后，第一区域控制器出现故障时，第一区域控制器关闭can收发器，第二区域控制器监测到第一区域控制器通讯丢失后，往can 3上发送信号，用于控制前电驱控制器和后电驱控制器实现自动驾驶控制单元的纵向控制。
12.s6、第一区域控制器故障消失后不再往can 3发信号，直至下个点火周期。
13.进一步，所述第二区域控制器发送的信号id与第一区域控制器相同；冗余动力控制和主动力控制应用相同的报文id，相比于不同的报文id可减少总线负载，并且相关联的高压部件的不会有任何改动。
14.进一步，还设有动力电池管理单元于总线can3上；动力电池管理单元主要负责动力电池可充放电功率计算、电池热管理控制、故障管理等工作。
15.本发明基于功能安全的vcu冗余控制系统的应用，采用所述的vcu冗余控制系统，用于智能驾驶汽车；特别是用于l3以上的自动驾驶汽车的安全控制，实现安全靠边停车的目标。
16.相比现有技术，本发明具有如下有益效果：1、本发明从智能驾驶辅助的角度触发，通过环网架构及第一区域控制器集成主动力控制和第二区域控制器集成冗余动力控制的方式，解决智能驾驶过程中can1或can2通讯故障、第二区域控制器故障后车辆可实现安全靠边停车的安全目标。其中，冗余动力控制和主动力控制应用了相同的报文id，相比于不同的报文id可减少总线负载，并且相关联的高压部件的不会有任何改动。
17.2、本发明依托现有整车电子电器架构，在区域控制器内部署冗余的动力控制单元并与电机控制器直接连接，实现主动力控制系统失效情况下，冗余动力控制单元能够及时监控并通过冗余回路控制电驱单元进行基本的动力控制，实现自动驾驶系统靠边或安全区域的要求，同时保证成本最低。通过将冗余动力控制功能集成到第二区域控制器中，实现了当集成主动力控制功能的第一区域控制器故障时动力输出的连续性，保证高级自动驾驶的安全靠边停车。
18.3、本发明中，当第一区域控制器正常时，第二区域控制器跑影子模式，不往总线上传数据；当第一区域控制器失效后，第二区域控制器再往总线上传控制信号，控制动力输出。本发明通过在环网架构的第二区域控制器上增加冗余vcu功能，以实现安全目标。
附图说明
19.图1是本发明基于功能安全的vcu冗余控制系统方框组成图；图2是本发明基于功能安全的vcu冗余控制程序图。
具体实施方式
20.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
21.如图1所示，本发明提供一种基于功能安全的vcu冗余控制系统，系统主动力控制单元集成在第一区域控制器1中，冗余动力控制单元集成在第二区域控制器2中；第一区域控制器1和第二区域控制器2分别通过总线can1和can 2与自动驾驶控制单元 3相连；第一区域控制器1和第二区域控制器2通过can 3相连，前驱动控制器4和后驱动控制器5通过总线can 3接收信号。还设有动力电池管理单元6于总线can 3上。
22.参见图2，本发明所述基于功能安全的vcu冗余控制系统，其控制程序包括：当第一区域控制器1无故障时，第二区域控制器2采用影子模式，不会往总线发信号；当第一区域控制器1监控到自身出现不可恢复的故障时，立马关闭can通讯接口，由第二区域控制器2监控到第二区域控制器2总线丢失超过一段时间则开始往总线上发信号；
当第一区域控制器1出现故障时，由第二区域控制器2接管车辆的动力输出功能，以实现智能驾驶功能下的安全状态，满足l3以上的自动驾驶技术的安全状态要求，实现行驶一段距离安全靠边停车的目标。并且在此过程中当驾驶员需要接管时可实现正常的人驾功能。
23.具体的，所述vcu冗余控制系统的控制程序，包括：s1、整车进入可行驶状态后，第一区域控制器1和第二区域控制器2对自身故障进行诊断，并结合高压系统其他零部件故障(例如动力电池控制单元 6是否允许高压上电)决策整车扭矩是否可用；第一区域控制器1通过 can 1告知自动驾驶控制单元 3整车扭矩是否可用，第二区域控制器2通过can 2告知自动驾驶控制单元 3整车扭矩是否可用；s2、自动驾驶控制单元3响应驾驶员开启时，判断第一区域控制器1和第二区域控制器2发送的整车扭矩可用状态；当接收到第一区域控制器1和第二区域控制器2整车扭矩均可用时，开启高级自动驾驶功能（l3以上）；如果接收到第二区域控制器2整车扭矩不可用时，降级到l3以下的自动驾驶，同时提醒驾驶员；s3、当自动驾驶控制单元3激活后，例如纵向驱动扭矩请求通过can 1和can 2 同时发送给第一区域控制器1和第二区域控制器2；s4、第一区域控制器1收到自动驾驶控制单元 3的纵向驱动扭矩请求后，控制前电驱控制器4和后电驱控制器5驱动车辆前进，以实现自动驾驶控制单元3的纵向请求；同时，第二区域控制器2收到自动驾驶控制单元3的纵向驱动扭矩请求后，将计算对前电驱控制器 4和后电驱控制器5的扭矩请求，不往can3发信号；s5、当自动驾驶控制单元3激活后，第一区域控制器1出现故障时，第一区域控制器1关闭can收发器，第二区域控制器2监测到区域控制器1通讯丢失后，往can 3上发送信号，用于控制前电驱控制器 4和后电驱控制器 5实现自动驾驶控制单元3的纵向控制；s6、第一区域控制器1故障消失后不再往can 3发信号，直至下个点火周期。
24.进一步，所述第二区域控制器2发送的信号id与第一区域控制器1的相同。
25.本发明的基于功能安全的vcu冗余技术，满足l3以上的自动驾驶技术的安全状态要求，可实现行驶一段距离安全靠边停车的目标。本发明基于功能安全的vcu冗余系统设计的要求，依托现有整车电子电器架构，在区域控制器内部署冗余的动力控制单元并与电机控制器直接连接，实现主动力控制系统失效情况下，冗余动力控制单元能够及时监控并通过冗余回路控制电驱单元进行基本的动力控制，实现自动驾驶系统靠边或安全区域的要求，同时保证成本最低。
26.最后需要说明的是，以上实施例仅用以说明本发明的技术方案而非限制技术方案，本领域的普通技术人员应当理解，那些对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，均应涵盖在本发明的权利要求范围当中。