专利名称:基于并行结构的汽车力矩安全架构的制作方法
技术领域:
本发明属于汽车扭矩管理与控制领域,所提出的并行式力矩安全架构是一种通用的力矩安全解决方案,不仅适合于采用发动机作为动力源的传统汽车,也适合于纯电动汽车、混合动力汽车及燃料电池汽车等新能源汽车。
背景技术:
汽车产业是我国的支柱产业,2010年全国汽车销量已经突破1700万辆。汽车作为一种交通工具,对我国的交通安全、能源安全和社会和谐发展起着越来越重要的作用。另一方面,随着汽车保有量的不断攀升,能源安全和环境保护问题越来越受到政府和社会的重视。发展新的清洁替代能源,通过混合动力汽车和纯电动汽车等新能源汽车,实现低排放和高效率,在有效减少车辆环境污染的同时缓解了交通对石油资源的过度消耗,是解决我国当前能源和环境问题的一项重要手段。传统汽车的动力系统由发动机本体、发动机管理系统(EMS)、变速箱本体、变速箱控制系统(TCU)组成。新能源汽车的动力系统主要由整车控制器(VCU)、驱动电机、电机控制器、高压电池组、电池管理系统、直流/直流变换器等部件组成。无论是传统汽车还是新能源汽车,控制器(EMS/V⑶)是整个动力系统的核心,主要进行整个系统的扭矩管理、 电源管理、空调等附件管理及动力系统故障诊断,其中扭矩管理是控制器最为重要的功能。无论是传统汽车还是新能源汽车,从扭矩管理的角度来说,都是控制器根据加速踏板位置、制动踏板位置、换档杆位置等输入信号,将驾驶员的驾驶需求最终转化为对动力源的扭矩请求的决策过程。对于传统汽车而言,发动机管理系统对喷油、点火等进行控制, 通过发动机做功将化学能转变为机械能,驱动车辆行驶;对于新能源汽车而言,除了发动机外,驱动电机也是可以提供动力的装置,辅助或者作为唯一动力源(对于纯电动汽车而言) 来驱动车辆。扭矩管理必须考虑扭矩安全问题。控制器(EMS/VCU)作为发出扭矩请求指令的控制单元,必须保证能够安全、可靠的工作。因此,必须设计一套完整的控制架构及监控机制, 当其工作异常时(如由于内存等硬件故障,控制器发出的扭矩指令与当前的驾驶工况和驾驶员的扭矩请求意图出现严重偏差,引起过大的驾驶员非期望的加速度),能够及时的发现并采取相应的故障处理措施、保证行车安全。
发明内容
本发明针对车辆的扭矩安全问题,提出一种通用的并行式力矩安全架构,其普遍适用于各种汽车的并行式力矩安全架构,用于避免由于整车控制器硬件故障导致对动力源 (发动机或者电机)的扭矩请求产生异常,进而引发非期望的车辆加速或减速的危险,从而保证整个驱动动力系统能够安全、可靠的工作。为实现以上的技术目的,本发明将采取以下的技术方案
一种基于并行结构的汽车力矩安全架构,包括上层控制器,所述上层控制器包括主芯片以及辅助芯片,主芯片上集成有存储区、力矩安全故障处理模块以及相互并行计算的应用层和监控层,且应用层和监控层的相关数据均分别存储于存储区的相应位置,而辅助芯片上则集成有硬件监控层,其中所述应用层,根据驾驶员的请求输入信号以及各下层控制器通过CAN总线输入的反馈信息,计算当前工况下对驱动动力源的扭矩请求;所述监控层, 对应于应用层的各功能模块设置相应的功能模块,以监控应用层每一功能模块数据运行; 所述硬件监控层,用于检测主芯片的存储区、力矩安全故障处理模块、应用层以及监控层工作状况;所述力矩安全故障处理模块,根据监控层的各功能模块对应用层相应功能模块的监控结果,控制驱动动力源的运行。本发明所述的基于并行结构的汽车力矩安全架构主要由应用层、监控层和硬件监控层3层结构组成。应用层由输入信号处理、驾驶员请求扭矩解释、请求扭矩滤波、请求扭矩限制及输出信号处理等若干个功能模块组成。监控层与之相对应的,由输入信号监控、驾驶员请求扭矩监控、请求扭矩滤波监控、请求扭矩限制监控及输出信号监控等功能模块组成。此外,监控层还包括动力源实际扭矩监控和程序完整性监控。从结构上说,功能层和监控层采用并行的结构,即功能层的计算和监控层的计算是相互独立、互不影响的。从代码和数据在内存的存储区域上说,应用层和监控层的代码必须存放于不同的存储区域,保证代码和数据的独立性。从任务调度顺序上来说,功能层的某一功能模块执行后,监控层对应的监控模块立即被执行,然后对两者的输出结果进行比较,从而判断控制程序有否被正确的执行。监控层同时通过程序完整性监控机制,保证了各个功能模块会依次、完整的被执行完。当监控层发现任何被确认的故障时,控制器记录相应的故障码和冻结帧,并采取相应的应对措施,如切断动力源。硬件监控层独立于应用层和监控层,属于硬件级监控。通过问答机制检测主芯片的存储区及运算逻辑单元是否正常工作,从而实现通过辅助芯片对主芯片的运行进行监控的目的。根据以上的技术方案,可以实现以下的有益效果
本发明采用监控层对应用层的每一个功能模块的数据运行进行监控,因此,可以避免由于整车控制器硬件故障导致对动力源(发动机或者电机)的扭矩请求产生异常,进而引发非期望的车辆加速或减速的危险,从而保证整个驱动动力系统能够安全、可靠的工作。
图1本发明的并行式力矩安全架构示意2纯电动汽车驱动系统组成示意图附图标记说明
1、整车控制器;2、驱动电机;3、主减速器;4、12伏蓄电池;5、直流-交流逆变器;6、直流-直流变换器;7、驱动电机控制器;8、高压电池管理系统;9、高压动力电池;10、挡位控制器;11、加速踏板位置传感器/制动踏板位置传感器。
具体实施例方式附图非限制性地公开了本发明所涉及优选实施例的结构示意图。以下将结合附图详细地说明本发明的技术方案。如图1和图2所示,本发明所述的基于并行结构的汽车力矩安全架构,包括上层控制器,所述上层控制器包括主芯片以及辅助芯片,主芯片上集成有存储区、力矩安全故障处理模块以及相互并行计算的应用层和监控层,且应用层和监控层的相关数据均分别存储于存储区的相应位置,而辅助芯片上则集成有硬件监控层,其中所述应用层,根据驾驶员的请求输入信号以及各下层控制器通过CAN总线输入的反馈信息,计算当前工况下对驱动动力源的扭矩请求;所述监控层,对应于应用层的各功能模块设置相应的功能模块,以监控应用层每一功能模块数据运行;所述硬件监控层,用于检测主芯片的存储区、力矩安全故障处理模块、应用层以及监控层工作状况;所述力矩安全故障处理模块,根据监控层的各功能模块对应用层相应功能模块的监控结果,控制驱动动力源的运行。本发明提出的并行式力矩安全架构是一种适合于各种车辆的力矩架构。为了更好的说明其应用方式,现以纯电动汽车为应用对象,通过使用本专利提出的并行式力矩安全架构,来实现纯电动汽汽车的力矩安全。在本例中,驱动动力源为驱动电机。图2为某纯电动汽车的驱动系统架构示意图, 整车控制器1通过CAN总线和直流-直流变换器6、驱动电机控制器7、高压电池管理系统 8、挡位控制器10相连。加速踏板位置传感器和制动踏板位置传感器通过低压线束和整车控制器1的模拟输入端相连。高压动力电池9通过高压线束为驱动电机2提供电流,由驱动电机控制器7通过直流-交流变换器5控制驱动电机2工作,并通过主减速器3和差速器将电机发出的扭矩传递到2个前轮。同时高压动力电池9通过直流-直流变换器6对12 伏蓄电池4进行充电。整车控制器1由主芯片和辅助芯片两部分组成,应用层软件和监控层软件运行于主芯片上,辅助芯片对主芯片的运行进行监控。通过问答机制检测主芯片的存储区及运算逻辑单元是否正常工作。应用层主要由输入信号处理、驾驶员请求扭矩解释、请求扭矩滤波、请求扭矩限制及输出信号处理等5个功能模块组成,其输入为加速踏板位置传感器和制动踏板位置传感器11提供的模拟信号,以及直流-直流变换器6、驱动电机控制器7、高压电池管理系统8、 挡位控制器10通过CAN总线发送的相应信号。其输出为对驱动电机的扭矩请求,以及该扭矩请求的有效标志位及承载该信号信息帧的校验位。监控层与应用层的控制结构相对应,主要由输入信号监控、驾驶员请求扭矩监控、 请求扭矩滤波监控、请求扭矩限制监控、驱动电机扭矩监控、程序完整性监控及输出信号监控等7个功能模块组成。当应用层的某一功能模块运行时出现故障,发出异常的电机扭矩请求时,相应的监控层的功能模块便会触发力矩安全故障处理模块,并请求驱动电机紧急停机。应用层的输入信号处理模块对各控制器通过CAN总线反馈的数字信号和接入整车控制器的模拟/数字信号进行信号处理,将其转化为后续程序可以直接使用的工程量。驱动电机转速信号由电机控制器通过CAN总线发送给整车控制器。输入信号处理模块根据驱动电机转速信号的有效标志位及所在信息帧的校验位对驱动电机转速信号进行处理并判断其有效性,在将原始值转化为工程量后,再进行变化率限制和平均值滤波处理。加速踏板位置信号由整车控制器的模拟输入端读入,为提高该传感器信号本身的可靠性,采用双路模拟信号输入,即采用两个加速踏板位置传感器并分别独立供电。输入信号处理模块对两路模拟信号进行滤波、工程量转换、故障诊断及限制、合理性检测后,得到最终的加速踏板位置信号,供后续功能模块使用。由于驱动电机转速和加速踏板位置直接决定电机请求扭矩的大小,因此出于扭矩安全的考虑,需要对这两个信号在监控层进行冗余计算。加速踏板位置信号的处理逻辑与应用层一致,但采用和应用层完全不同的存储空间来存放运算过程中的变量、常量和程序代码。驱动电机转速信号经过和应用层相同的工程量转换、变化率限制和平均值滤波处理逻辑,但同样的,运算过程中的变量、常量和程序代码存放于和应用层完全不同的存储空间。分别比较应用层和监控层计算得到的驱动电机转速和加速踏板位置,当其中任意一个信号的偏差超过预先设定的标定值时,监控层上报力矩安全故障处理模块,经防抖处理且该故障被确认后,对电机控制器发送紧急停机请求指令。监控层计算得出的驱动电机转速和加速踏板位置信号将用于监控层其他功能模块的计算。应用层的驾驶员请求扭矩解释模块根据反映驾驶员意图的加速踏板位置、制动踏板位置、换档杆挡位、车速等信号,计算得到当前工况下驾驶员对驱动电机的请求扭矩。监控层的请求扭矩监控模块,以输入信号监控模块输出的驱动电机和加速踏板位置作为输入,通过简化算法计算得到当前工况下允许的最大请求扭矩,然后将其与应用层驾驶员请求扭矩解释模块计算得到的驾驶员请求扭矩进行比较,当应用层计算得到的驾驶员请求扭矩大于监控层通过简化算法得到的许用最大扭矩时,监控层上报力矩安全故障处理模块,经过时间%该故障被确认后,对电机控制器发送紧急停机请求指令。如果应用层计算得到的驾驶员请求扭矩小于或等于监控层通过简化算法得到的许用最大扭矩时,认为应用层的计算结果合理,将应用层计算得到的驾驶员请求扭矩作为驾驶员请求扭矩监控模块的输出。本发明所述的监控层采用的简化算法,具体是指监控层的每一功能模块所考虑的相关参数一般少于与应用层相对应的功能模块所考虑的相关参数,或者是给监控层的某一功能模块赋予经验值,以对应用层相对应的模块运算结果进行监控,达到算法简化的目的。应用层的扭矩滤波模块,对驾驶员请求扭矩进行滤波处理,以提高在急踩加速踏板和急松加速踏板工况下车辆的驾驶性。急踩加速踏板工况下请求扭矩的上升率限值,根据当前驱动电机转速和加速踏板位置来确定;急松加速踏板工况下请求扭矩的下降率限值,根据当前驱动电机转速和制动踏板位置来确定。为了避免当驾驶员松制动踏板时,由于扭矩滤波模块的错误计算导致滤波后的驾驶员请求扭矩无法下降,从而产生非期望车辆加速的情况,必须对扭矩滤波模块进行监控。 监控层的请求扭矩滤波监控模块,对应用层经滤波后的电机请求扭矩进行监控。当滤波后的电机请求扭矩大于滤波前的驾驶员请求扭矩时,定时器开始计时。当定时器时间超过预先设定的可标定值时,认为应用层扭矩滤波模块的计算发生了故障,滤波后的电机请求扭矩无法如驾驶员期望的那样下降,因此立即上报力矩安全故障处理模块该故障被确认后, 对电机控制器发送紧急停机请求指令。在定时器计时的过程中,一旦滤波后的电机请求扭矩小于滤波前的驾驶员请求扭矩,则认为滤波后的电机请求扭矩如实的跟随了驾驶员的扭矩需求,此时定时器清零,并将应用层扭矩滤波模块的输出值作为监控层扭矩滤波监控模块的输出值。为保护高压电池和驱动电机不过载、能够更加可靠持久的工作,应用层的请求扭矩限制模块根据驱动电机和电机控制器的温度、高压电池的温度、高压电池荷电状态 (SOC)、高压电池的电流和电压、高压电池的可放电功率等信号,对经滤波处理后的请求扭矩进行上限值限制,一旦某一物理量如高压电池电流超过预先设定的标定值时,主动降低输出的电机请求扭矩,从而在下一时刻使得高压电池电流减小,直到其降到设计的安全范围内。另外,通过对驱动电机的转速进行限制,来实现对车速的限速功能。当驱动电机转速高于预先设定的标定值时,主动降低输出的电机请求扭矩,从而在下一时刻使得电机转速降低,直至车速降到设计的许用车速范围内。监控层的请求扭矩限制监控模块,对应用层扭矩限制模块的车速限速功能进行监控,防止出现由于该功能失效而导致的车速高于最高车速限制的情况。监控层的车速限制功能,其采用的计算逻辑和应用层完全相同,但是计算过程中拥到的变量、常量和程序代码存储于完全不同的存储区域。当应用层请求扭矩限制模块的输出,大于监控层请求扭矩限制模块的输出时,认为应用层请求扭矩限制模块的计算发生了故障,立即上报力矩安全故障处理模块,经讲过时间t2该故障被确认后,对电机控制器发送紧急停机请求指令。如果应用层请求扭矩限制模块的输出,小于或等于监控层请求扭矩限制模块的输出,认为应用层请求扭矩限制模块工作正常,将应用层请求扭矩限制模块计算得到的请求扭矩,作为监控层请求扭矩限制监控模块的输出。驱动电机扭矩监控模块,主要是监控驱动电机提供的实际扭矩,是否超出了期望的电机请求扭矩。当电机控制器反馈的实际扭矩与监控层计算得到的电机请求扭矩的差值,大于预先设定的标定值时,认为电机控制器工作异常,电机提供的扭矩过大从而可能引发非期望的车辆加速度,立即上报力矩安全故障处理模块,经过时间t3该故障被确认后,对电机控制器发送紧急停机请求指令。如果电机控制器本身已经实现了该监控功能,能够对发出的实际扭矩进行监控,那么在整车控制器中该监控模块可以被省略,因此在图1中以虚线框表示。同样的,如果电机控制器检测到这一故障,应该立即关闭绝缘栅双极晶体管 (IGBT),使直流-交流变换器停止工作,从而切断驱动电机的电源供应,达到保护系统安全的目的。同时电机控制器应立即将该故障上报至整车控制器,让其进行相应的故障模式处理。应用层和功能层的各个功能模块应该以如下的调度顺序运行输入信号处理_> 输入信号监控_>驾驶员请求扭矩解释_>驾驶员请求扭矩监控_>请求扭矩滤波_>请求扭矩滤波监控_>请求扭矩限制_>请求扭矩限制监控_>驱动电机扭矩监控_>程序完整性监控_>输出信号处理_>输出信号监控。程序完整性监控保证应用层的所有模块及监控层与之对应的监控模块按预先设定的调度顺序依次被执行,保证整个应用层的各个模块均被有效监控到了。如果有某一监控功能没有被执行,或监控功能虽然被执行但其执行的顺序没有按照预先设定的顺序,那么也会立即触发力矩安全故障处理模块并对电机控制器发送紧急停机请求指令。具体运行步骤如下预设初始变量Vini,Vmd及每个模块变量Vuint ;在每个模块单元执行后执行如下操作V=Vin+ Vuint,其中Vin表示用于完整性检测的变量V在该模块运行前的值,V的初始值为 Vini, Vuint根据模块的不同,其数值也不同。若所有模块按要求运行则变量的最后输出应相等,即V=Vmd,否则程序完整性检测不通过。应用层的输出信号处理模块对请求扭矩限制模块输出的电机请求扭矩进行信号处理,对其进行上下限限制并将其由工程量转化为原始计算机编码。输出信号监控用于保证输出信号处理过程(上下限限制及工程量到原始的计算机编码的转化)执行的正确,是对信号输出处理过程的冗余处理。当应用层的电机请求扭矩和监控层的电机请求扭矩相等时,输出信号处理过程是正确的,相应的电机请求扭矩有效标志位及信息帧校验位置1 ;当应用层的电机请求扭矩和监控层的电机请求扭矩不相等时, 输出信号处理过程发生了故障,电机请求扭矩有效标志位及信息帧校验位置0,以通知电机控制器,该扭矩请求指令是不可信的,防止电机控制器执行错误的扭矩指令。
硬件监控层属于硬件级监控,通过辅助芯片对主芯片的运行进行监控。主要通过问答机制检测主芯片的存储区及运算逻辑单元是否正常工作。当主芯片反馈的问题答案和预设的问题答案不一致时,主芯片相关的存储区或运算逻辑单元发生故障,此时主芯片已经无法正常执行应用层和监控层的程序,应当立即通过与高压电池管理系统和驱动电机控制器的硬线连接,强制其停止工作,保证整个动力系统的安全可靠。因此,硬件监控层独立于应用层和监控层,属于硬件级监控。通过问答机制检测主芯片的存储区及运算逻辑单元是否正常工作,从而实现通过辅助芯片对主芯片的运行进行监控的目的。
权利要求
1.一种基于并行结构的汽车力矩安全架构,包括上层控制器,其特征在于所述上层控制器包括主芯片以及辅助芯片,主芯片上集成有存储区、力矩安全故障处理模块以及相互并行计算的应用层和监控层,且应用层和监控层的相关数据均分别存储于存储区的相应位置,而辅助芯片上则集成有硬件监控层,其中所述应用层,根据驾驶员的请求输入信号以及各下层控制器通过CAN总线输入的反馈信息,计算当前工况下对驱动动力源的扭矩请求;所述监控层,对应于应用层的各功能模块设置相应的功能模块,以监控应用层每一功能模块数据运行;所述硬件监控层,用于检测主芯片的存储区、力矩安全故障处理模块、应用层以及监控层工作状况;所述力矩安全故障处理模块,根据监控层的各功能模块对应用层相应功能模块的监控结果,控制驱动动力源的运行。
2.根据权利要求1所述基于并行结构的汽车力矩安全架构,其特征在于所述应用层, 包括输入信号处理模块、驾驶员请求扭矩解释模块、请求扭矩滤波模块、请求扭矩限制模块以及输出信号处理模块;所述监控层,包括输入信号监控模块、驾驶员请求扭矩监控模块、 请求扭矩滤波监控模块、请求扭矩限制监控模块以及输出信号监控模块;其中所述应用层以及监控层的各功能模块的调度顺序为输入信号处理模块_>输入信号监控模块_>驾驶员请求扭矩解释模块_>驾驶员请求扭矩监控模块_>请求扭矩滤波模块_>请求扭矩滤波监控模块_>请求扭矩限制模块_>请求扭矩限制监控模块_>输出信号处理模块-> 输出信号监控模块;所述输入信号处理模块,根据驾驶员的请求输入信号以及各下层控制器通过CAN总线输入的反馈信号进行信号处理,转化成应用层后续的各功能模块能够直接应用的工程量;所述的输入信号监控模块,首先对决定扭矩安全的关键信号进行冗余计算处理,决定扭矩安全的关键信号至少包括驱动电机转速信号以及加速踏板位置信号,然后分别比较输入信号监控模块以及输入信号处理模块输出的相应信号,当其中的任一组信号偏差超过监控层中预设的标定值K1时,监控层将此信息反馈至力矩安全故障处理模块,当该组信号偏差持续时间超过监控层中预设的标定值、时,力矩安全故障处理模块对驱动动力源控制器发送紧急停机请求指令,同时在存储区记录相应的故障码和冻结帧;所述的驾驶员请求扭矩解释模块,根据输入信号处理模块输出的当前加速踏板位置、 制动踏板位置、车速以及换档杆位置信息,计算得到符合驾驶员需求的驱动动力源请求扭矩;所述的驾驶员请求扭矩监控模块,首先根据当前的车速和加速踏板位置信号,计算得到当前工况下的最大许用请求扭矩,然后将其与驾驶员请求扭矩解释模块输出的驱动动力源请求扭矩进行比较,当驾驶员请求扭矩解释模块输出的驱动动力源请求扭矩大于驾驶员请求扭矩监控模块输出的最大许用请求扭矩时,监控层将此信息反馈至力矩安全故障处理模块,当驾驶员请求扭矩解释模块输出的驱动动力源请求扭矩大于驾驶员请求扭矩监控模块输出的最大许用请求扭矩持续时间超过时间、时,力矩安全故障处理模块对驱动动力源控制器发送紧急停机请求指令,同时在存储区记录相应的故障码和冻结帧;所述的请求扭矩滤波模块,用于对驾驶员请求扭矩解释模块输出的驱动动力源请求扭矩进行滤波处理;所述的请求扭矩滤波监控模块,用于监控应用层请求扭矩滤波模块滤波后的驱动动力源请求扭矩;通过请求扭矩滤波监控模块,将应用层请求扭矩滤波模块滤波后的驱动动力源请求扭矩与滤波前的驱动动力源请求扭矩进行比较,当应用层请求扭矩滤波模块滤波后的驱动动力源请求扭矩大于滤波前的驱动动力源请求扭矩,且持续时间超过请求扭矩滤波监控模块内预设的标定值Ttl,或者滤波后的驱动动力源请求扭矩没有单调递减时,监控层将此信息反馈至力矩安全故障处理模块,力矩安全故障处理模块对驱动动力源控制器发送紧急停机请求指令,同时在存储区记录相应的故障码和冻结帧;反之,则将应用层扭矩滤波模块的输出值作为监控层扭矩滤波监控模块的输出值;所述的请求扭矩限制模块,根据驱动动力源的反馈状态和参数,对应用层扭矩滤波模块的输出值进行上下限值限制;所述的请求扭矩限制监控模块,首先对应用层请求扭矩限制模块中涉及行车安全的关键因素进行冗余计算,涉及行车安全的关键因素至少包括限制车速上限值;然后,将请求扭矩限制监控模块输出的数据与请求扭矩限制模块输出的数据进行比较,当应用层请求扭矩限制模块的输出大于监控层请求扭矩限制监控模块的输出时,监控层将此信息反馈至力矩安全故障处理模块,应用层请求扭矩限制模块的输出大于监控层请求扭矩限制监控模块的输出持续时间超过t2时力矩安全故障处理模块对驱动动力源控制器发送紧急停机请求指令,同时在存储区记录相应的故障码和冻结帧;否则,将应用层请求扭矩限制模块计算得到的请求扭矩,作为监控层请求扭矩限制监控模块的输出;所述的输出信号处理模块,对请求扭矩限制模块输出的请求扭矩进行信号处理,对其进行上下限限制并将其由工程量转化为原始计算机编码;所述输出信号监控模块,用于保证应用层输出信号处理模块过程执行的正确,首先对信号输出处理过程的冗余处理;然后将应用层输出信号处理模块输出的动力源请求扭矩和监控层输出信号监控模块输出的动力源请求扭矩进行比较,当应用层输出信号处理模块输出的电机请求扭矩和监控层输出信号监控模块输出的电机请求扭矩相等时,赋予相应的动力源请求扭矩有效标志位及信息帧校验位置1 ;当应用层的动力源请求扭矩和监控层的动力源请求扭矩不相等时,赋予相应的动力源请求扭矩有效标志位及信息帧校验位置0,以通知驱动动力源控制器,该动力源请求扭矩指令不可信。
3.根据权利要求2所述基于并行结构的汽车力矩安全架构,其特征在于所述监控层的请求扭矩限制监控模块以及输出信号监控模块之间设置有驱动动力源实际扭矩监控模块,其将请求扭矩限制监控模块输出的请求扭矩与当前驱动动力源控制器反馈的实际扭矩进行比较,当请求扭矩限制监控模块输出的请求扭矩与当前驱动动力源控制器反馈的实际扭矩的差值大于驱动动力源实际扭矩监控模块预设的标定值,且该情况持续时间大于等于驱动动力源实际扭矩监控模块预设时间标定值t4时,监控层将此信息反馈至力矩安全故障处理模块,力矩安全故障处理模块将请求扭矩限制监控模块输出的请求扭矩经防抖处理后该故障仍然存在,则力矩安全故障处理模块对驱动动力源控制器发送紧急停机请求指令。
4.根据权利要求1所述基于并行结构的汽车力矩安全架构,其特征在于所述监控层还包括程序完整性监控模块,用于确保应用层的各功能模块及监控层与之对应的监控模块按预先设定的调度顺序依次被执行。
5.根据权利要求1所述基于并行结构的汽车力矩安全架构,其特征在于所述硬件监控层通过问答机制建立;首先在主芯片和辅助芯片之间建立起对应的问题和答案,当通过辅助芯片提问时,主芯片反馈的答案与预设的答案不一致,断开驱动动力源的动力开关,强制其停止工作。
全文摘要
本发明公开了一种基于并行结构的汽车力矩安全架构,包括上层控制器,该上层控制器包括主芯片以及辅助芯片,主芯片上集成有存储区、力矩安全故障处理模块以及相互并行计算的应用层和监控层,且应用层和监控层的相关数据均分别存储于存储区的相应位置,而辅助芯片上则集成有硬件监控层。因此,本发明采用监控层对应用层的每一个功能模块的数据运行进行监控,根据监控层的各功能模块对应用层相应功能模块的监控结果,通过力矩安全故障处理模块控制驱动动力源的运行,因此,可以避免由于整车控制器硬件故障导致对动力源的扭矩请求产生异常,进而引发非期望的车辆加速或减速的危险,从而保证整个驱动动力系统能够安全、可靠的工作。
文档编号B60R16/023GK102320277SQ201110186798
公开日2012年1月18日 申请日期2011年7月5日 优先权日2011年7月5日
发明者张臻, 牛敬彬, 陈雷, 高晓杰 申请人:苏州力久新能源科技有限公司