首页 > 化学装置 专利正文
一种冗余电子控制系统及设备的制作方法

时间:2022-02-06 阅读: 作者:专利查询

一种冗余电子控制系统及设备的制作方法

1.本技术涉及电子控制系统技术领域,尤其涉及一种冗余电子控制系统及设备。


背景技术:

2.在传统的汽车中,多采用机械控制系统控制汽车的行驶状态。而随着自动驾驶汽车、网联车、新能源车等车辆技术的发展,机械控制系统已无法适应新技术对车辆性能的提升。在此情况下,越来越多的汽车使用电子控制系统代替了机械控制系统,通过电子控制系统控制汽车中的执行器(如电动机、电液压阀门等)。相较于机械控制系统,电子控制系统可以实现更为精细的控制、更高的响应速度、更低的生产成本等诸多优势,因此可以增强车辆性能的提升潜力并有助于实现自动驾驶。
3.但从安全性和稳定性的角度来说,较之机械系统(机械元件的失效有一个逐渐积累的过程),电子控制系统的失效往往是突然发生的,因此对电子控制系统的安全性和稳定性提出了高要求。有鉴于此,一般可以对电子控制系统进行冗余设计。以电动汽车为例,其中可以设置两套完全相同的电子控制系统,如系统1和系统2。系统1可以为电动机1提供电能,系统2可以为电动机2提供电能。电动机1和电动机2可以分别将接收到的电能转化为机械能,并将机械能合并输出给汽车驱动系统,从而驱动汽车改变运动状态。
4.然而,目前的冗余系统一般只是进行简单的系统备份,当其中一套系统出现故障时,往往无法保障多个执行器的总输出功率的稳定。如上例中,当系统2出现故障时,电动机2便无法工作,仅能由电动机1为汽车传动系统提供机械能。在此情况下,会使汽车无法正确改变运动状态,从而有可能对人身或财产安全造成不利影响。
5.由此可见,目前电子控制系统的安全性和稳定性还有待进一步提高。


技术实现要素:

6.本技术提供一种冗余电子控制系统及设备,使得在不同的故障场景下,受该冗余电子控制系统控制的执行器皆可以保持稳定输出,从而有利于提高电子控制系统的稳定性和安全性。
7.第一方面,本技术实施例提供一种冗余电子控制系统,主要包括:控制单元、第一输出组件和第二输出组件。其中,控制单元分别与第一输出组件的控制端和第二输出组件的控制端连接。第一输出组件的第一输出端可以连接第一执行器,第一输出组件的第二输出端可以连接第二执行器,第二输出组件的第一输出端可以连接第一执行器,第二输出组件的第二输出端可以连接第二执行器。在此基础上,控制单元可以生成第一执行信号和第二执行信号;控制单元控制第一输出组件向第一执行器输出第一执行信号,控制第二输出组件向第二执行器输出第二执行信号。在第一输出组件故障时,控制单元可以控制第二输出组件向第一执行器输出第一执行信号。在第二输出组件故障时,控制单元可以控制第一输出组件向第二执行器输出第二执行信号。
8.示例性的,本技术实施例中第一执行器和第二执行器可以是冗余的执行器,其中,
第一执行器可以根据上述第一执行信号向输出目标输出第一能量,第二执行器可以根据上述第二执行信号向上述输出目标输出第二能量。
9.在本技术实施例所提供的上述冗余电子控制系统中,具备冗余的输出组件,即第一输出组件和第二输出组件,且第一输出组件和第二输出组件可以实现交叉输出。当其中任一输出组件(第一输出组件或第二输出组件)故障时,冗余电子控制系统仍可以继续向第一执行器提供第一执行信号,向第二执行器提供第二执行信号,从而可以保持第一执行器和第二执行器继续工作,第一执行器输出的第一能量和第二执行器输出的第二能量仍然可以合并提供给输出目标,使输出目标能够稳定工作,因此有利于提高冗余电子控制系统的稳定性和安全性。
10.本技术实施例中,控制单元也可以进行冗余设计。示例性的,控制单元可包括第一控制组件和第二控制组件,其中,第一控制组件与第一输出组件连接,第二控制组件与第二输出组件连接。第一控制组件可以生成上述第一执行信号,并控制第一输出组件向第一执行器输出该第一执行信号。在第二输出组件故障时,第一控制组件还可以控制第一输出组件向第二执行器输出上述第二执行信号。第二控制组件可以生成第二执行信号,并控制第二输出组件向第二执行器输出该第二执行信号。在第一输出组件故障时,第二控制组件还可以控制第二输出组件向上述第一执行器输出第一执行信号。
11.控制单元中冗余有第一控制组件和第二控制组件,有利于进一步提高冗余电子控制系统的稳定性和安全性。
12.示例性的,本技术实施例所提供的第一输出组件可以包括第一开关单元和第二开关单元,其中,第一开关单元的输入端和第二开关单元的输入端分别与第一控制组件连接,第一开关单元的输出端与第一执行器连接,第二开关单元的输出端与第二执行器连接,第一控制组件分别与第一开关单元的控制端和第二开关单元的控制端连接。在此情况下,第一控制组件可以导通第一开关单元,从而可以通过第一开关单元向第一执行器输出第一执行信号。在第二输出组件故障时,第一控制组件可以导通第二开关单元,从而可以通过第二开关单元向第二执行器输出第二执行信号。
13.本技术实施例中,第一控制组件可以生成第一执行信号。示例性的,第一控制组件可以包括第一控制电路、第一电源开关和第一电源转换器。其中,第一电源开关的输入端用于接收第一功率信号,第一电源开关的输出端与第一电源转换器的输入端连接,第一电源转换器的输出端与第一输出组件连接,第一控制电路分别与第一电源开关的控制端和第一电源转换器的控制端连接。在此情况下,第一控制电路可以控制第一电源开关导通第一功率信号向第一电源转换器的传输路径;第一控制电路根据第一执行器的第一执行目标,控制第一电源转换器将第一功率信号转换为第一执行信号,该第一执行信号可以驱动第一执行器执行上述第一执行目标;第一控制电路进而导通第一开关单元,从而可以通过第一开关单元向第一执行器输出第一执行信号。
14.示例性的,本技术实施例所提供的冗余电子控制系统在第一控制电路故障时,仍可以输出第一执行信号和第二执行信号。具体来说,第二控制组件还与第一开关单元的控制端、第一电源转换器的控制端和第一电源开关的控制端连接。在第一控制电路故障时,第二控制组件还可以控制第一电源开关导通第一功率信号向第一电源转换器的传输路径;第二控制组件根据第一输出组件的第一执行目标,控制第一电源转换器将第一功率信号转换
为第一执行信号;第二控制组件导通第一开关单元,通过第一开关单元向第一执行器输出第一执行信号。
15.采用该实现方式,即使第一控制组件故障,冗余电子控制系统仍可以继续向就第一执行器输出第一执行信号,因此有利于进一步提高冗余电子控制系统的安全性和稳定性。
16.本技术实施例所提供的冗余电子控制系统在第一电源开关或第一电源转换器故障时,仍可以输出第一执行信号和第二执行信号。示例性的,第二控制组件还可以在第一电源开关或第一电源转换器故障时,生成第一执行信号和第二执行信号;第二控制组件控制第二输出组件向第一执行器输出第一执行信号,向第二执行器输出第二执行信号。
17.本技术实施例所提供的冗余电子控制系统在第二输出组件故障时,仍可以输出第一执行信号和第二执行信号。在一种可能的实现方式中,第一控制电路还可以在第二输出组件故障时,根据第一执行器的第一执行目标和第二执行器的第二执行目标,控制第一电源转换器将第一功率信号转换为合路信号,该合路信号中的一部分作为第一执行信号提供给第一开关单元,合路信号中的另一部分作为第二执行信号提供给第二开关单元;第一控制电路导通第一开关单元,通过第一开关单元向第一执行器输出第一执行信号;导通第二开关单元,通过第二开关单元向第二执行器输出第二执行信号。
18.在此情况下,第一执行器和第二执行器可以是满足同步关系的执行器,也就是说,第一执行器和第二执行器之间具有相同的输入输出转化关系的执行器,第一执行信号和第二执行信号同步,第一执行器的输出能量和第二执行器的输出能量也同步变化。例如,第一执行器和第二执行器可以为有刷直流电机。又例如,第一执行器和第二执行器可以为无刷直流电机或永磁同步电机,且第一执行器和第二执行器之间同输出轴。还例如,第一执行器和第二执行器可以为无刷直流电机或永磁同步电机,且第一执行器和第二执行器合成输出时,具有相同的减速比。
19.在另一种可能的实现方式中,第一控制组件还可以包括第二电源开关和第二电源转换器。其中,第二电源开关的输入端用于接收第一功率信号,第二电源开关的输出端与第二电源转换器的输入端连接,第二电源转换器的输出端与第一输出组件连接,第一控制电路分别与第二电源开关的控制端和第二电源转换器的控制端连接。在第二输出组件故障时,第一控制电路还可以控制第二电源开关导通第一功率信号向第二电源转换器的传输路径;第一控制电路根据第二执行器的第二执行目标,控制第二电源转换器将第一功率信号转换为第二执行信号;第一控制电路导通第二开关单元,通过第二开关单元向第二执行器输出第二执行信号。
20.采用该实现方式,第一执行器和第二执行器既可以是满足同步关系的执行器,也可以是不满足同步关系的执行器,有利于进一步扩大执行器的适用范围。
21.为了进一步提高冗余电子控制系统的安全性和稳定性,第一输出组件中的第二开关单元的控制端还可以与第二输出组件的第二输出端连接,第二开关单元还可以在接收到第二执行信号时断开。
22.采用该实现方式,可以防止第二开关单元在第二输出组件正常输出时误导通,进而有利于提高冗余电子控制系统的安全性和稳定性。
23.与第一输出组件类似的,第二输出组件可以包括第三开关单元和第四开关单元,
其中,第三开关单元的输入端和第四开关单元的输入端分别与第二控制组件连接,第三开关单元的输出端与第一执行器连接,第四开关单元的输出端与第二执行器连接,第二控制组件分别与第三开关单元的控制端和第四开关单元的控制端连接。在此情况下,第二控制组件可以导通第四开关单元,从而可以通过第四开关单元向第二执行器输出第二执行信号;第二控制组件还可以在第一输出组件故障时,导通第三开关单元,从而可以通过第三开关单元向第一执行器传输第一执行信号。
24.第二控制组件可以生成第二执行信号。示例性的,第二控制组件包括第二控制电路、第三电源开关和第三电源转换器;第三电源开关的输入端用于接收第二功率信号,第三电源开关的输出端与第三电源转换器的输入端连接,第三电源开关的控制端与第二控制电路连接;第三电源转换器的输出端与第二输出组件连接,第三电源转换器的控制端与第二控制电路连接。在此情况下,第二控制电路可以控制第三电源开关导通第二功率信号向第三电源转换器的传输路径。第二控制电路根据第二执行器的第二执行目标,控制第三电源转换器将第二功率信号转换为第二执行信号,第二执行信号用于驱动第二执行器执行第二执行目标;第二控制电路导通第四开关单元,通过第四开关单元向第二执行器输出第二执行信号。
25.本技术实施例所提供的冗余电子控制系统在第二控制电路故障时,仍可以输出第一执行信号和第二执行信号。示例性的,第一控制组件还与第四开关单元的控制端、第三电源转换器的控制端和第三电源开关的控制端连接。在第二控制电路故障时,第一控制组件还可以控制第三电源开关导通第二功率信号向第三电源转换器的传输路径;第一控制组件根据第二输出组件的第二执行目标,控制第三电源转换器将第二功率信号转换为第二执行信号;第一控制组件导通第四开关单元,通过第四开关单元向第二执行器输出第二执行信号。
26.本技术实施例所提供的冗余电子控制系统在第三电源开关和/或第三电源转换器故障时,仍可以输出第一执行信号和第二执行信号。示例性的,在第三电源开关和/或第三电源转换器故障时,第一控制组件还可以生成第一执行信号和第二执行信号;第一控制组件控制第一输出组件向第二执行器输出第二执行信号,向第一执行器输出第一执行信号。
27.本技术实施例所提供的冗余电子控制系统在第一输出组件故障时,仍可以输出第一执行信号和第二执行信号。具体来说,在一种可能的实现方式中,在第一输出组件故障时,第二控制电路还可以根据第一执行器的第一执行目标和第二执行器的第二执行目标,控制第三电源转换器将第二功率信号转换为合路信号,合路信号中的一部分作为第一执行信号提供给第三开关单元,合路信号中的另一部分作为第二执行信号提供给第四开关单元;第二控制电路导通第四开关单元,从而可以通过第四开关单元向第二执行器输出第二执行信号;第二控制电路导通第三开关单元,从而可以通过第三开关单元向第一执行器输出第一执行信号。
28.采用该实现方式,第一执行器和第二执行器之间需要满足同步关系,具体不再赘述。
29.在另一种可能的实现方式中,第二控制组件还可以包括第四电源开关和第四电源转换器;其中,第四电源开关的输入端用于接收第二功率信号,第四电源开关的输出端与第四电源转换器的输入端连接,第四电源开关的控制端与第二控制电路连接;第四电源转换
器的输出端与第二输出组件连接,第四电源转换器的控制端与第二控制电路连接。在第一输出组件故障时,第二控制电路还可以控制第四电源开关导通第二功率信号向第四电源转换器的传输路径;第二控制电路根据第一执行器的第一执行目标,控制第四电源转换器将第二功率信号转换为第一执行信号;第二控制电路导通第三开关单元,通过第三开关单元向第一执行器输出第一执行信号。
30.采用该实现方式,第一执行器和第二执行器之间既可以满足同步关系,又可以不满足同步关系。
31.为了进一步提高冗余电子控制系统的安全性和稳定性,本技术实施例所提供的第二输出组件中,第三开关单元的控制端还可以与第一输出组件的第一输出端连接,第三开关单元还可以在接收到第一执行信号时断开。
32.第二方面,本技术实施例提供一种冗余电子控制系统,第二方面中部分技术效果可以参照第一方面中对应方案可以得到的技术效果,重复之处不予详述。示例性的,本技术实施例所提供的冗余电子控制系统主要包括第一输入组件、第二输入组件、第一控制组件和输出单元。其中,第一输入组件和第二输入组件分别与第一控制组件连接,第一控制组件与输出单元连接,输出单元用于连接第一执行器;第一输入组件可以获取第一输入信息,并将第一输入信息输出给第一控制组件;第二输入组件可以获取第二输入信息,在第一输入组件故障时,将第二输入信息输出给第一控制组件。第一控制组件可以根据第一输入信息或第二输入信息,生成第一执行信号;第一控制组件进而可以控制输出单元向第一执行器输出第一执行信号。
33.采用该实现方式,冗余电子控制系统中包括冗余的输入组件。使得,即使其中一个输入组件故障时,仍可以由另一个输入组件为第一控制组件提供输入信息,因此有利于提高冗余电子控制系统的稳定性和安全性。
34.本技术实施例所提供的冗余电子控制系统还可以包括冗余的控制组件。示例性的,冗余电子控制系统还包括第二控制组件,输出单元还可以连接第二执行器。在此情况下,第二输入组件,还可以将第二输入信息输出给第二控制组件;第一输入组件,还可以将第一输入信息输出给第二控制组件;第二控制组件可以根据第一输入信息或第二输入信息,生成第二执行信号;第二控制组件进而可以控制输出单元向第二执行器输出第二执行信号。
35.本技术实施例所提供的输入组件存在多种可能的实现方式。示例性的,第一输入组件包括第一通信组件,第二输入组件包括第二通信组件,第一输入信息和第二输入信息皆包括控制信息。在此情况下,第一通信组件可以接收控制信息,并向第一控制组件发送控制信息,第二通信组件可以接收控制信息,并向第二控制组件发送控制信息。第一通信组件还可以在第二通信组件故障时,向第二控制组件发送控制信息;和/或,第二通信组件还可以在第一通信组件故障时,向第一控制组件发送控制信息。
36.采用该实现方式,即使第一通信组件和第二通信组件中任一通信组件故障,第一控制组件和第二控制组件仍可以通过另一个通信组件获取控制信息,因此有利于进一步提高冗余电子控制系统的安全性和稳定性。
37.又例如,第一输入组件包括第一传感器组件,第二输入组件包括第二传感器组件,第一输入信息包括第一感应信息,第二输入信息包括第二感应信息。在此情况下,第一传感
器组件可以生成第一感应信息,并将第一感应信息输出给第一控制组件;第二传感器组件可以生成第二感应信息,并将第二感应信息输出给第二控制组件;第一传感器组件还可以在第二传感器组件故障时,向第二控制组件输出第一感应信息;和/或,第二传感器组件还可以在第一传感器组件故障时,向第一控制组件发送第二感应信息。
38.采用该实现方式,即使第一传感器组件和第二传感器组件中任一传感器组件故障,第一控制组件和第二控制组件仍可以通过另一个传感器组件获取感应信息,因此有利于进一步提高冗余电子控制系统的安全性和稳定性。
39.在本技术实施例中,第一控制组件与第二控制组件连接;第一控制组件还可以在第二输入组件故障时,向第二控制组件输出第一输入信息;第二控制组件还可以根据第一输入信息,生成第二执行信号;和/或,第二控制组件还可以在第一输入组件故障时,向第一控制组件输出第二输入信息;第一控制组件还可以根据第二输入信息,生成第一执行信号。
40.采用该实现方式,增加了第一控制组件和第二控制组件获取输入信息的方式,因此有利于进一步提高冗余电子控制系统的安全性和稳定性。
41.示例性的,第一输入组件包括第一通信组件,第二输入组件包括第二通信组件,第一输入信息和第二输入信息皆包括控制信息;第一通信组件可以接收控制信息,并向第一控制组件发送控制信息,进而使得第一控制组件可以根据第一通信组件提供的控制信息生成第一执行信号;第二通信组件可以接收控制信息,并向第二控制组件发送控制信息,进而使得第二控制组件可以根据第二通信组件提供的控制信息生成第二执行信号;第一控制组件还可以在第二通信组件故障时,向第二控制组件发送控制信息;进而使得第二控制组件可以根据第一控制组件发送的控制信息生成第二执行信号。和/或,第二控制组件还可以在第一通信组件故障时,向第一控制组件发送控制信息;进而使得第一控制组件可以根据第二控制组件发送的控制信息生成第一执行信号。
42.采用该实现方式,当第一通信组件故障时,第一控制组件仍可以生成第一执行信号,当第二通信组件故障时,第二控制组件仍可以生成第二执行信号,使得第一执行器和第二执行器可以持续工作,因此有利于提高冗余电子控制系统的安全性和稳定性。
43.又例如,第一输入组件包括第一传感器组件,第二输入组件包括第二传感器组件,第一输入信息包括第一感应信息,第二输入信息包括第二感应信息;第一传感器组件可以生成第一感应信息,并将第一感应信息输出给第一控制组件,进而使得第一控制组件可以根据第一传感器组件提供的第一感应信息生成第一执行信号;第二传感器组件可以生成第二感应信息,并将第二感应信息输出给第二控制组件,进而使得第二控制组件可以根据第二传感器组件提供的第二感应信息生成第二执行信号;第一控制组件还可以在第二传感器组件故障时,向第二控制组件发送第一感应信息,进而使得第二控制组件可以根据第一控制组件发送的第一感应信息生成第二执行信号。和/或,第二控制组件还可以在第一传感器组件故障时,向第一控制组件发送第二感应信息,进而使得第一控制组件可以根据第二控制组件发送的第二感应信息生成第一执行信号。
44.采用该实现方式,当第一传感器组件故障时,第一控制组件仍可以生成第一执行信号,当第二传感器组件故障时,第二控制组件仍可以生成第二执行信号,使得第一执行器和第二执行器可以持续工作,因此有利于提高冗余电子控制系统的安全性和稳定性。
45.本技术实施例还提供一种检测传感器组件是否故障的方式。示例性的,第一控制
组件还可以监听所述第二感应信息,第一控制组件根据第一感应信息和第二感应信息检测第一传感器组件和第二传感器组件是否故障;第一控制组件在确定第一传感器组或第二传感器组件故障时,可以向第二控制组件发送第一检测信息,该第一检测信息可以指示第二传感器组件检测第一传感器组件和第二传感器组件是否故障。
46.第一控制组件通过对第二感应信息进行监听,并利用监听到的第二感应信息和接收到的第一感应信息验证第一传感器组件和第二传感器组件是否故障,有利于提高冗余电子控制系统对第一感应信号和第二感应信号检测安全机制的诊断覆盖率。在此期间,第一控制组件只对第二传感器组件进行监听,可以避免干扰第二感应信号。
47.示例性的,第一感应信息包括第一感应验证信息和第二感应验证信息,第一控制组件可以根据第一感应验证信息和第二感应验证信息之间的一致性,检测第一传感器组件是否故障。在确定第一传感器组件未故障后,根据第一感应信息和第二感应信息之间的一致性检测第二传感器组件是否故障。
48.其中,第一感应验证信息和第二感应验证信息可以分别承载于不同的感应信号,在第一传感器组件正常工作时,第一感应验证信息和第二感应验证信息应为相同的感应信息。第一传感器组件和第二传感器组件皆正常工作时,可以生成相同的感应信息。因此,根据第一感应信息和第二感应信息之间的一致性可以进一步检测第一传感器组件和第二传感器组件是否故障。
49.本技术实施例中,第一控制组件和第二控制组件可以采用不同的电源组件供电。示例性的,冗余电子控制系统还包括第一电源组件和第二电源组件;第一电源组件和第二电源组件皆分别与第一控制组件和第二控制组件连接。在此情况下,第一电源组件和第二电源组件,可以向第一控制组件并联输出上述第一功率信号,向第二控制组件并联输出上述第二功率信号。
50.第三方面,本技术实施例提供一种冗余电子控制系统,第三方面中部分方案的技术效果可以参照第一方面或第二方面中对应方案可以得到的技术效果,重复之处不予详述。示例性的,本技术实施例所提供的冗余电子控制系统主要包括第一控制组件、第二控制组件和输出单元,输出单元分别与第一控制组件和第二控制组件连接,输出单元分别连接第一执行器和第二执行器。其中,第一控制组件可以生成第一执行信号,并控制输出单元向第一执行器输出第一执行信号;第二控制组件可以生成第二执行信号,并控制输出单元向第二执行器输出第二执行信号;第一控制组件还可以在第二控制组件故障时,控制输出单元向第二执行器输出第二执行信号;和/或,第二控制组件还可以在第一控制组件故障时,控制输出单元向第一执行器输出第一执行信号。
51.采用该实现方式,即使第一控制组件和第二控制组件中任一控制组件故障,冗余电子控制系统仍可以向第一执行器输出第一执行信号,向第二执行器输出第二执行信号,使得第一执行器和第二执行器可以持续工作,因此有利于提高冗余电子控制系统的安全性和稳定性。
52.示例性的,第一控制组件包括第一控制电路、第一电源开关和第一电源转换器;第一电源开关的输入端用于接收第一功率信号,第一电源开关的输出端与第一电源转换器的输入端连接,第一电源开关的控制端与第一控制电路连接;第一电源转换器的输出端与输出单元连接,第一电源转换器的控制端与第一控制电路连接;第一控制电路与输出单元连
接;第一功率信号可以为第一控制组件供电。在此情况下,第一控制电路可以控制第一电源开关导通第一功率信号向第一电源转换器的传输路径;第一控制电路根据第一执行器的第一执行目标,控制第一电源转换器将第一功率信号转换为第一执行信号;第一控制电路控制输出单元向第一执行器输出第一执行信号。
53.基于上述第一控制组件的实现方式,第一控制组件故障包括第一控制电路故障,在第一控制电路故障时,第二控制组件可以控制第一电源开关导通第一功率信号向第一电源转换器的传输路径;第二控制组件可以根据第一执行器的第一执行目标,控制第一电源转换器将第一功率信号转换为第一执行信号;第二控制组件进而可以控制输出单元向第一执行器输出第一执行信号。
54.基于上述第一控制组件的实现方式,第一控制组件故障还可以包括第一电源开关和/或第一电源转换器故障,在第一电源开关和/或第一电源转换器故障时,第二控制组件可以生成第一执行信号和第二执行信号;第二控制组件进而可以控制输出单元向第一执行器输出第一执行信号,向第二执行器输出第二执行信号。
55.示例性的,第二控制组件包括第二控制电路、第三电源开关和第三电源转换器;第三电源开关的输入端用于接收第二功率信号,第三电源开关的输出端与第三电源转换器的输入端连接,第三电源开关的控制端与第二控制电路连接;第三电源转换器的输出端与输出单元连接,第三电源转换器的控制端与第二控制电路连接;第二控制电路与输出单元连接。在此情况下,第二控制电路可以控制第三电源开关导通第二功率信号向第三电源转换器的传输路径;第二控制电路根据第二执行器的第二执行目标,控制第三电源转换器将第二功率信号转换为第二执行信号;第二控制电路进而可以控制输出单元向第二执行器输出第二执行信号。
56.在一种可能的实现方式中,第二控制电路还可以在第一电源开关和/或第一电源转换器故障时,根据第一执行器的第一执行目标和第二执行器的第二执行目标,控制第三电源转换器将第二功率信号转换为合路信号;第二控制电路进而可以控制输出单元将合路信号中的一部分作为第一执行信号输出给第一执行器,将合路信号中的另一部分作为第二执行信号指出给第二执行器。
57.在一种可能的实现方式中,第二控制组件还包括第四电源开关和第四电源转换器;第四电源开关的输入端用于接收第二功率信号连接,第四电源开关的输出端与第四电源转换器的输入端连接,第四电源开关的控制端与第二控制电路连接;第四电源转换器的输出端与输出单元连接,第四电源转换器的控制端与第二控制电路连接;在第一电源开关和/或第一电源转换器故障时,第二控制电路还可以控制第四电源开关导通第二功率信号向第四电源转换器的传输路径;第二控制电路根据第一执行器的第一执行目标,控制第四电源转换器将第二功率信号转换为第一执行信号;第二控制电路进而可以控制输出单元向第一执行器输出第一执行信号。
58.基于上述第二控制组件的实现方式,第二控制组件故障包括第二控制电路故障,第一控制电路还分别与第三电源开关和第三电源转换器的控制端连接;在第二控制电路故障时,第一控制电路还可以控制第三电源开关导通第二功率信号向第三电源转换器的传输路径;第一控制电路根据第二执行器的第二执行目标,控制第三电源转换器将第二功率信号转换为第二执行信号;第一控制电路进而可以控制输出单元向第二执行器输出第二执行
信号。
59.基于上述第二控制组件的实现方式,第二控制组件故障还可以包括第三电源开关和/或第三电源转换器故障,在第三电源开关和/或第三电源转换器故障时,第一控制组件可以生成第一执行信号和第二执行信号;第一控制组件进而可以控制输出单元向第一执行器输出第一执行信号,向第二执行器输出第二执行信号。
60.在一种可能的实现方式中,第一控制电路还可以在第三电源转换器和/或第三电源开关故障时,根据第一执行器的第一执行目标和第二执行器的第二执行目标,控制第一电源转换器将第一功率信号转换为合路信号;第一控制电路进而可以控制输出单元将合路信号中的一部分作为第一执行信号输出给第一执行器,将合路信号中的另一部分作为第二执行信号指出给第二执行器。
61.在另一种可能的实现方式中,第一控制组件还包括第二电源开关和第二电源转换器;第二电源开关的输入端用于接收第一功率信号,第二电源开关的输出端与第二电源转换器的输入端连接,第二电源转换器的输出端与第一输出组件连接,第一控制电路分别与第二电源开关和第二电源转换器的控制端连接;第一控制电路还可以在第三电源转换器和/或第三电源开关故障时,控制第二电源开关导通第一功率信号向第二电源转换器的传输路径;第一控制电路根据第二执行器的第二执行目标,控制第二电源转换器将第一功率信号转换为第二执行信号;第一控制电路进而可以控制输出单元向第二执行器输出第二执行信号。
62.第四方面,本技术实施例提供一种设备,该设备主要包括第一执行器、第二执行器和如上述第一至第三方面中任一项所提供的冗余电子控制系统,第四方面中相应方案的技术效果可以参照第一至第三方面中对应方案可以得到的技术效果,重复之处不予详述。在本技术实施例所提供的设备中,冗余电子控制系统可以向第一执行器输出第一执行信号,向第二执行器输出第二执行信号;第一执行器可以在第一执行信号的驱动下运行;第二执行器可以在第二执行信号的驱动下运行。
63.示例性的,本技术实施例所提供的设备可以是自动驾驶汽车,或者人工心脏,或者飞行器等可以兼容电子控制系统的设备。
64.本技术的这些方面或其它方面在以下实施例的描述中会更加简明易懂。
附图说明
65.图1为一种自动驾驶汽车结构示意图;
66.图2为一种使用了冗余电子控制系统的自动驾驶汽车结构示意图;
67.图3为一种电子控制系统结构示意图;
68.图4为本技术实施例提供的一种输出单元冗余的冗余电子控制系统结构示意图;
69.图5为本技术实施例提供的一种控制单元冗余的冗余电子控制系统结构示意图;
70.图6为本技术实施例提供的另一种控制单元冗余的冗余电子控制系统结构示意图;
71.图7为本技术实施例提供的一种冗余电子控制系统中电源组件与控制电路之间的结构示意图;
72.图8为本技术实施例提供的一种输出单元冗余的冗余电子控制系统结构示意图。
具体实施方式
73.随着电子技术和功率器件的发展,电子控制系统在越来越多的领域替代了传统的机械控制系统。例如,越来越多的汽车使用电子控制系统,相较于机械控制系统,电子控制系统可以实现更为精细的控制、更高的响应速度、更低的生产成本等诸多优势,因此可以增强车辆性能的提升潜力并有助于实现自动驾驶。
74.电子控制系统,也可以称为电传系统、线控系统等,主要可以通过安装有相应程序的微处理单元(microcontroller unit,mcu)和功率器件实现,可以对设备中的执行器进行控制。一般来说,电子控制系统在自动驾驶汽车中具有显著的应用价值,因此,本技术实施例接下来以自动驾驶汽车为例进行说明。
75.以图1为例,为一种自动驾驶汽车结构示意图,其中,自动驾驶汽车100中包括电子控制单元(electronic control unit,ecu)101、电子控制系统102、执行器103和驱动系统104。
76.其中,ecu101可以根据用户的驾驶指令,或运行自动驾驶算法等,向电子控制系统102发送控制信息。电子控制系统102可以根据该控制信息,控制执行器103的输出功率,进而改变自动驾驶汽车100的行驶状态。
77.一般来说,不同功能类型的执行器103对应有不同的电子控制系统102。例如,当执行器103为电动机时,电子控制系统102可以是,电动助力转向(electric power steering,eps)控制系统或电子机械制动(electric mechanical braking,emb)控制系统。ecu101可以向电子控制系统102发送控制信息,以指示电子控制系统102增大执行器103的输出力矩,从而驱动自动驾驶汽车100转向或制动。
78.又例如,当执行器103为电液压阀门时,电子控制系统102可以是电控液压制动系统(electronic hydraulic brake,ehb)。ecu101可以向电子控制系统102发送控制信息,以指示电子控制系统102增大执行器103的输出液压力,从而控制自动驾驶汽车100制动。
79.然而,虽然相较于传统的机械控制系统,电子控制系统102有很多优点,但是,电子控制系统102为自动驾驶汽车100带来性能提升的同时,也对电子控制系统102的稳定性和安全性提出了更高的要求。
80.具体来说,机械控制系统中机械元件的失效主要由磨损、机械破坏等机械因素导致,即机械元件的失效有一个逐渐积累的过程。而在电子控制系统102中,由于内部电子元件数量多,且电子元件的失效往往没有任何预兆,其表现形式一般为突然发生,且发生后的后果往往难以预计。
81.在一些采用电子控制系统的设备中,部分功能的失效可能导致人身伤害等严重后果,因此这类设备设计时必须要满足一定等级的功能安全要求。例如电驱动的飞机、汽车、飞行汽车、无人机等飞行器的动力系统、操舵系统,又例如轨道交通的动力系统、刹车系统,还例如高等级无人驾驶汽车驱动系统、转向系统、刹车系统,再例如心脏起搏器、人工心脏等医疗电子产品中的动力系统等等,在这些领域中,电子控制系统的安全性和稳定性直接关系到了用户的人身及财产安全。
82.其中,电子控制系统的安全性可以理解为电子控制系统在保障用户的人身及财产安全方面的能力。电子控制系统的稳定性可以理解为电子控制系统在不同类型的故障情况下,仍能保障安全性的能力。
83.为了提高电子控制系统的稳定性和安全性,可以对电子控制系统进行冗余设计,这种情况下的电子控制系统也可以称为冗余电子控制系统。如图2所示,冗余电子控制系统102
°
为进行了冗余设计的电子控制系统,同时,执行器(103a和103b)也进行了冗余。冗余电子控制系统102
°
可以根据ecu101提供的控制信息分别向执行器103a发送第一执行信号,向执行器103b发送第二执行信号。执行器103a和执行器103b具有相同的功能类型,例如,二者皆为电动机。在此情况下,自动驾驶汽车100还可以包括驱动系统104,执行器103a可以根据接收到的第一执行信号,向驱动系统104输出机械能,执行器103b则可以根据接收到的第二执行信号,向驱动系统104输出机械能。
84.然而,当其中一个逆变器(如逆变器303)故障后,输出组件304将无法向执行器103a输出第一执行信号,进而导致执行器103a停止工作,因此驱动系统104只能接收到执行器103b提供的机械能。在此情况下,将会导致驱动系统104接收到的机械能在短时间内降低,汽车行驶速度突降,依旧会对用户的人身和财产安全造成威胁。除驱动系统外,如自动驾驶汽车100的转向系统、制动系统等也会存在此类问题。因此,冗余电子控制系统的稳定性和安全性还有待进一步提高。
85.有鉴于此,本技术实施例提供了一种冗余电子控制系统,可以应用于自动驾驶汽车、人工心脏、飞行器等设备中。在设备冗余了执行器的情况下,本技术实施例所提供的冗余电子控制系统可以分别对冗余的执行器进行控制,且可以在冗余电子控制系统中出现单点故障的情况下,仍能保持全部冗余的执行器的持续工作。
86.下面将结合附图,对本技术实施例进行详细描述。需要说明的是,在本技术的描述中“至少一个”是指一个或多个,其中,多个是指两个或两个以上。鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。另外,需要理解的是,在本技术的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
87.需要指出的是,本技术实施例中“连接”指的是电连接,两个电学元件连接可以是两个电学元件之间的直接或间接连接。例如,a与b连接,既可以是a与b直接连接,也可以是a与b之间通过一个或多个其它电学元件间接连接,例如a与b连接,也可以是a与c直接连接,c与b直接连接,a与b之间通过c实现了连接。本技术实施例中任一组件(或单元)的故障,既包括了组件(或单元)本身异常引起的故障,也包括该组件(或单元)与相邻组件(或单元)之间连接关系异常引起的故障,如短路、断路等。
88.具体来说,如图3所示,大多数的电子冗余系统40主要包括控制单元41和输出单元42,其中,控制单元41与输出单元42连接,输出单元42则分别连接多个执行器。需要指出的是,为了便于表述,本技术实施例接下来以两倍冗余的情况进行说明,即进行冗余设计的单元中包括两个功能相同的组件。但在实际实现中,三倍及三倍以上冗余的情况仍可以类比两倍冗余的情况实现,因此也应包括于本技术实施例中,对此不再赘述。
89.示例性的,本技术实施例中的执行器1和执行器2可以是直流有刷电机、直流无刷电机、永磁同步电机、交流伺服电机、步进电机等,也可以是受控电磁阀,液压阀等能量控制元件,本技术实施例对此不再一一列举。
90.在两倍冗余的情况下,执行器也为两倍冗余。如图3所示,输出单元42与执行器1和执行器2连接,执行器1和执行器2为冗余的执行器,具有相同的功能类型。例如,执行器1和执行器2可以是两个电动机(可以是有刷电机,也可以是无刷电机),也可以是一个电动机中的两组线圈,又例如,执行器1和执行器2还可以是两个液压阀门,再例如,执行器1和执行器2还可以是两个电磁阀等等。
91.控制单元41可以生成第一执行信号和第二执行信号,并通过输出单元42,将第一执行信号输出给执行器1,将第二执行信号输出给执行器2。其中,第一执行信号可以驱动执行器1工作,第二执行信号可以驱动执行器2工作。
92.具体来说,执行器1(执行器2同理)可以将第一执行信号转变为自动驾驶汽车所需能量形式,如电机力矩、油压等等,执行器1和执行器2所输出的能量可以作用于同一个输出目标,如驱动系统、转向系统、制动系统等等。
93.示例性的,执行器1(执行器2同理)与输出目标之间可以进行能量传输,例如二者之间可以是机械连接,也可以是机械连接,也可以是场(如电场、磁场等)耦合等等,本技术实施例对此并不多作限制。
94.执行器1可以根据第一执行信号向输出目标输出第一能量,执行器2可以根据第二执行信号向输出目标输出第二能量。该第一能量和第二能量能够相互合并,共同驱动输出目标工作。
95.第一执行信号和第二执行信号的具体实现方式与执行器1和执行器2对应。例如,当执行器1为电动机时,控制单元41可以通过第一执行信号为执行器1供能,且第一执行信号的功率越大,执行器1的输出力矩越大。又例如,当执行器1为电液压阀门时,控制单元41可以通过第一执行信号控制电液压阀门的开度大小,从而控制电液阀门的输出液压力。第二执行信号和执行器2同理,对此不再赘述。
96.在一种可能的实现方式中,冗余电子控制系统40还可以包括输入单元43,输入单元43与控制单元41连接。输入单元43可以接收输入信息,并将输入信息提供给控制单元41。示例性的,该输入信号可以是自动驾驶汽车的ecu输入的。
97.控制单元41可以根据输入信息分别计算执行器1的第一执行目标,以及执行器2的第二执行目标。示例性的,在执行器1和执行器2为电动机时,第一执行目标可以是执行器1所要输出的力矩,第二执行目标可以是执行器2所要输出的力矩。在执行器1和执行器2为电液压阀门时,第一执行目标可以是执行器1所要输出的液压力大小,第二执行目标可以是执行器2所要输出的液压力大小,等等,对此不再一一列举。
98.控制单元41进而可以根据第一执行目标生成第一执行信号,根据第二执行目标生成第二执行信号,使得,第一执行信号可以驱动执行器1执行该第一执行目标,第二执行信号可以驱动执行器2执行该第二执行目标,从而驱动自动驾驶汽车改变行驶状态。
99.在本技术实施例中,控制单元41、输出单元42和输入单元43皆可以进行冗余设计,进行冗余设计的单元中可以包括多个(两个或两个以上)功能相同的组件,当其中一个组件故障时,其它组件仍然可以保持执行器1和执行器2持续工作。在本技术实施例中,控制单元41既可以检测自身是否故障,也可以检测输出单元42和输入单元43是否故障,控制单元41检测故障的具体实现方式可以参考现有技术,对此不再赘述。
100.接下来,分别对控制单元41、输出单元42和输入单元43进行冗余设计的情况作进
一步的示例性说明:
101.1、输出单元42冗余
102.本技术实施例中,冗余电子控制系统40中的输出单元42冗余。示例性的,如图4所示,冗余电子控制系统40主要包括控制单元41和输出单元42,输出单元42进一步包括输出组件421和输出组件422。其中,空心箭头表示控制单元41输出的控制信号,实线箭头表示执行信号(或能量)的传输路径,虚线箭头表示冗余电子控制系统40中出现单点故障后,执行信号(或能量)的传输路径。
103.其中,输出组件421的第一输出端与执行器1连接,输出组件421的第二输出端与执行器2连接,输出组件422的第一输出端与执行器1连接,输出组件422的第二输出端与执行器2连接。控制单元41分别与输出组件421的控制端和输出组件422的控制端连接。
104.本技术实施例中,控制单元41可以控制输出组件421和输出组件422的输出路径。示例性的,在输出组件421和输出组件422皆正常工作的情况下,控制单元41可以控制输出组件421向执行器1输出第一执行信号,控制输出组件422向执行器2输出第二执行信号。使得执行器1可以根据第一执行信号工作,执行器2可以根据第二执行信号工作。
105.在输出组件421故障的情况下,控制单元41可以控制输出组件422在向执行器2输出第二执行信号的同时,还可以控制输出组件422向执行器1输出第一执行信号,使执行器1依旧可以根据第一执行信号工作(如图4中的虚线x1b所示)。
106.在输出组件422故障的情况下,控制单元41可以控制输出组件421在向执行器1输出第一执行信号的同时,还可以控制输出组件421向执行器2输出第二执行信号,使执行器2依旧可以根据第二执行信号工作(如图4中的虚线x1a所示)。
107.由此可见,本技术实施例所提供的冗余电子控制系统40中,输出单元42进行了冗余设计,其包括冗余的输出组件:输出组件421和422。即使其中一个输出组件(输出组件421或422)故障,仍可以保持执行器1和执行器2继续工作,因此有利于提高冗余电子控制系统40的稳定性和包括冗余电子控制系统的设备的安全性。
108.本技术实施例中,控制单元41可以控制输出组件421和输出组件422的输出路径。示例性的,如图4所示,输出组件421包括开关单元1和开关单元2。其中,开关单元1的输入端和开关单元2的输入端分别与控制单元41连接,开关单元1的输出端与执行器1连接,开关单元2的输出端与执行器2连接。
109.在输出组件422正常工作的情况下,控制单元41可以导通开关单元1,并断开开关单元2,从而通过开关单元1向执行器1输出第一执行信号。在输出组件422故障的情况下,控制单元41在导通开关单元1的同时,还可以导通开关单元2,从而可以通过输出组件421分别向执行器1输出第一执行信号,向执行器2输出第二执行信号。
110.与输出组件421类似,输出组件422包括开关单元3和开关单元4。其中,开关单元3的输入端和开关单元4的输入端分别与控制单元41连接,开关单元3的输出端与执行器1连接,开关单元4的输出端与执行器2连接。
111.在输出组件421正常工作的情况下,控制单元41可以导通开关单元4,并断开开关单元3,从而通过开关单元4向执行器2输出第二执行信号。在输出组件421故障的情况下,控制单元41在导通开关单元4的同时,还可以导通开关单元3,从而可以通过输出组件422分别向执行器1输出第一执行信号,向执行器2输出第二执行信号。
112.在本技术实施例中,开关单元1(开关单元2至4同理)的具体实现形式主要由第一执行信号的具体实现形式而定。示例性的,假设执行器1为三相电机,则第一执行信号可以是uvw三相交流电的形式。在此情况下,开关单元1可以包括三个对应的开关,该三个对应的开关可以分别用于传输u相、v相和w相电流,从而驱动执行器1工作。
113.示例性的,开关单元1中的开关可以是继电器、金属-氧化物半导体场效应晶体管(metal-oxide-semiconductor field-effect transistor,mosfet)、绝缘栅双极型晶体管(insulated gate bipolar transistor,igbt)等功率元件,也可以是其它类型的可控开关元件。其它开关单元同理,对此不再赘述。
114.为了进一步提高冗余电子系统400的稳定性和安全性,如图4中的实线p1a所示,开关单元1的输出端还与开关单元3的控制端连接,开关单元1输出的第一执行信号可以作为开关单元3的控制信号强制断开开关单元3。与之类似的,如图4中的实线p1b所示,开关单元4的输出端还可以与开关单元2的控制端连接,开关单元4输出的第二执行信号可以作为开关单元2的控制信号强制断开开关单元2。
115.采用该实现方式,在开关单元1正常工作时,有利于防止开关单元3误导通,进而有利于防止执行器1执行错误。在开关单元4正常工作时,有利于防止开关单元2误导通,进而有利于防止执行器2执行错误。因此,采用该实现方式有利于进一步提高冗余电子控制系统40的安全性和稳定性。
116.2、控制单元41冗余
117.本技术实施例中,冗余电子控制系统40中的控制单元41也可以进行冗余设计。示例性的,如图5所示,冗余电子控制系统40主要包括控制单元41和输出单元42,控制单元41进一步包括控制组件411和控制组件412,控制组件1和控制组件2皆分别与输出单元42的控制端和输入端连接,输出单元42的输出端分别与执行器1和执行器2连接。
118.控制组件411可以生成第一执行信号,并控制输出单元42向执行器1输出该第一执行信号。示例性的,如图5所示,控制组件411包括控制电路4111、电源开关4112和电源转换器4113。
119.其中,电源开关4112的输入端可以接收第一功率信号,电源开关4112的输出端与电源转换器4113的输入端连接,电源开关4112的控制端与控制电路4111连接。电源转换器4113的输出端与输出单元42连接,电源转换器4113的控制端与控制电路4111连接。控制电路4111与输出单元42的控制端连接,控制电路4111与输出单元42的控制端连接。
120.控制电路4111可以控制电源开关4112导通第一功率信号向电源转换器4113的传输路径。控制电路4111根据第一执行目标,控制电源转换器4113将第一功率信号转换为上述第一执行信号。控制电路4111进而可以控制输出单元42向执行器1输出该第一执行信号。
121.在一种可能的实现方式中,控制电路4111还可以从电源转换器4113获取第一执行信号的反馈信号,根据该反馈信号确定电源转换器4113是否能够正常工作。本技术实施例中,电源转换器4113也包括多个开关,示例性的,这些开关可以是继电器、mosfet、igbt等功率元件,也可以是其它类型的可控开关元件。电源转换器4113中的多个开关可以构成直流h桥驱动单元、三相桥驱动单元、多相桥驱动单元、交流驱动单元等等。其它电源转换器与之类似,对此不再赘述。
122.与控制组件411类似的,控制组件412可以包括控制电路4121、电源开关4122和电
源转换器4123。电源开关4122的输入端可以接收第二功率信号,电源开关4122的输出端与电源转换器4123的输入端连接,电源开关4122的控制端与控制电路4121连接。电源转换器4123的输出端与输出单元42连接,电源转换器4123的控制端与控制电路4121连接,控制电路4121与输出单元42的控制端连接。
123.控制电路4121可以在控制电源开关4122导通第二功率信号向电源转换器4123的传输路径。控制电路4121可以根据执行器2的执行目标,控制电源转换器4123将第二功率信号转换为第二执行信号。控制电路4121进而可以控制输出单元42向执行器2输出第二执行信号。
124.基于图5所示的控制组件411的结构,控制组件411故障主要包括电源开关4112和/或电源转换器4113故障,以及控制电路4111故障。接下来,分情况进行说明:
125.情况一:控制电路4111故障
126.在此情况下,控制组件412可以代替控制电路4111控制电源开关4112和电源转换器4113。具体来说,如图5所示,控制组件412中的控制电路4121分别与电源开关4112和电源转换器4113连接,控制电路4121可以在控制电路4111故障时,控制电源开关4112导通第一功率信号向电源转换器4113的传输路径,控制电路4121可以根据执行器1的第一执行目标,控制电源转换器4113将第一功率信号转换为第一执行信号。控制电路4121进而可以控制输出单元42向执行器1输出第一执行信号。
127.情况二:电源开关4112和/或电源转换器4113故障
128.在此情况下,控制组件412可以生成第一执行信号和第二执行信号,并控制输出单元42的向执行器1输出第一执行信号,向执行器2输出第二执行信号。其中,控制组件412所生成的第一执行信号和第二执行信号的具体实现形式,既可以是两个独立的执行信号,也可以是包括于合路信号中,即控制组件412可以生成合路信号,该合路信号包括上述第一执行信号和第二执行信号。
129.具体来说,在一种可能的实现方式中,如图5所示,控制电路4121可以根据执行器1的第一执行目标和执行器2的第二执行目标,控制电源转换器4123将第二功率信号转换为合路信号。控制电路4121进而可以控制输出单元42将合路信号中的一部分作为第一执行信号输出给执行器1,将合路信号中的另一部分作为第二执行信号输出给执行器2。
130.需要指出的是,在该实现方式中,执行器1和执行器2可以是满足同步关系的执行器,也就是说,执行器1和执行器2之间具有相同的输入输出转化关系的执行器,第一执行信号和第二执行信号同步,执行器1的输出能量和执行器2的输出能量也同步变化。例如,执行器1和执行器2可以为有刷直流电机。又例如,执行器1和执行器2可以为无刷直流电机或永磁同步电机,且执行器1和执行器2之间同输出轴。还例如,执行器1和执行器2可以为无刷直流电机或永磁同步电机,且执行器1和执行器2合成输出时,具有相同的减速比。
131.在另一种可能的实现方式中,如图6所示,控制组件412还包括电源开关4124和电源转换器4125。电源开关4124的输入端可以接收第二功率信号,电源开关4124的输出端与电源转换器4125的输入端连接,电源开关4124的控制端与述控制电路4121连接。电源转换器4125的输出端与输出单元42连接,电源转换器425的控制端与控制电路4121连接。
132.控制电路4121可以在电源开关4112和/或电源转换器4113故障时,控制电源开关4124导通第二功率信号向电源转换器4125的传输路径。控制电路4121可以根据执行器1的
第一执行目标,控制电源转换器4125将第二功率信号转换为上述第一执行信号。控制电路4121进而可以控制输出单元42向执行器1输出该第一执行信号。
133.需要指出的是,在该实现方式中,执行器1和执行器2之间既可以满足同步关系的执行器,也可以是不满足同步关系的执行器,本技术实施例对此并不多作限制。
134.基于相同的构思,如图5和图6所示,控制组件411可以包括控制电路4111、电源开关4112和电源转换器4113。在一种可能的实现方式中,控制组件411还可以包括电源开关4114和电源转换器4115。其中,控制电路4111的功能与控制电路4121类似,电源开关4112的功能与电源开关4122类似,电源转换器4113的功能与电源转换器4123类似,电源开关4114的功能与电源开关4124类似,电源转换器4115的功能与电源转换器4125类似。在控制组件412故障时,控制组件411可以执行上述过程,对此不再赘述。
135.示例性的,如图5所示,冗余电子控制系统40还包括电源组件1和电源组件2。示例性的,可以由电源组件1为控制组件411提供第一功率信号,由电源组件2为控制组件412提供第二功率信号。
136.在另一种可能的实现方式中,电源组件1也可以与控制组件412连接,电源组件2与控制组件411连接,电源组件1和电源组件2可以向控制组件411并联输出上述第一功率信号,向控制组件412并联输出上述第二功率信号。
137.采用该实现方式,即使其中一个电源组件故障,仍可以由另一个电源组件为控制组件411和控制组件412供电,因此有利于进一步提高冗余电子控制系统的安全性和稳定性。
138.在本技术实施例中,电源组件1还可以分别与控制电路4111和控制电路4121连接,电源组件2也可以分别与控制电路4111和控制电路4121连接。图7示例性示出了冗余电子控制系统40中,电源组件与控制电路之间的部分结构示意图。如图7所示,电源组件1还可以为控制电路4111和控制电路4121供电。电源组件2也可以为控制电路4121和控制电路4111供电。
139.为了进一步提高冗余电子控制系统40的稳定性和安全性,如图7所示,电源组件1和控制电路4111之间还包括二极管d1,电源组件1和控制电路4121之间还包括二极管d3。其中,二极管d1的阳极与电源组件1连接,二极管d1的阴极与控制电路4111连接,二极管d3的阳极与电源组件1连接,二极管d3的阴极与控制电路4121连接。采用该实现方式,可以对控制电路4111与控制电路4121进行过压隔离,防止控制电路4111与电源组件1连接的供电端口因瞬间电压过大,使该供电端口的电压倒灌入控制电路4121,从而有利于进一步提高冗余电子控制系统40的稳定性和安全性。
140.基于相同的原理,电源组件2和控制电路4111之间还可以包括二极管d2,电源组件2和控制电路4121之间还可以包括二极管d4,具体结构不再赘述。
141.此外,电源组件1和控制电路4111之间还可以包括短路隔离元件1,该短路隔离元件1可以是自恢复保险丝、自恢复开关等等。电源组件1和控制电路4121之间还可以包括短路隔离元件3。当控制电路4111短路时,如与电源组件1连接的端口和与电源组件2连接的端口短路,此时会产生较大的电流,从而使短路隔离元件1和短路隔离元件2自动断开,进而保护电源组件1、电源组件2和控制电路4121,从而有利于进一步提高冗余电子控制系统40的稳定性和安全性。
142.基于相同的原理,电源组件2和控制电路4111之间还可以包括短路隔离元件2,电源组件2和控制电路4121之间还可以包括短路隔离元件4,具体结构不再赘述。
143.在一种可能的实现方式中,在冗余电子控制系统40上电后,控制电路4111还可以对电源转换器4113的输出情况进行检测,例如,检测电源转换器4113是否可以在控制电路4111的控制下精确输出第一执行信号。控制电路4111还可以执行逻辑内建测试(logic built inself test,lbist),以测试电源转换器4113、开关单元1和开关单元2内开关是否失效,从而在功能安全特性上大大提高对相关部件的潜伏故障探测覆盖率,进一步提高潜伏故障度量。
144.3、输入单元43冗余
145.本技术实施例中,冗余电子控制系统40中的输入单元43冗余。示例性的,如图8所示,冗余电子控制系统40主要包括输入单元43、控制单元41和输出单元42。其中,输入单元43进一步包括输入组件431和输入组件432,控制单元41包括控制组件411。
146.在冗余电子控制系统40中,输入组件431和输入组件432分别与控制组件411连接,控制组件411与输出单元42连接,输出单元42则与执行器1连接。
147.输入组件431可以获取第一输入信息,并将第一输入信息输出给控制组件411。输入组件432可以获取第二输入信息,在输入组件431故障时,将第二输入信息输出给控制组件411。
148.控制组件411可以根据第一输入信息或第二输入信息,计算得到执行器1的第一执行目标。控制组件411进而可以根据该第一执行目标生成第一执行信号,并控制输出单元42向执行器1输出该第一执行信号。
149.采用该实现方式,在输入组件431和输入组件432中任一输入组件故障的情况下,另一个输入组件仍可以继续为控制组件411提供输入信号,使得控制组件411能够持续工作,因此有利于提高冗余电子控制系统40的安全性和稳定性。
150.需要指出的是,输入组件431(输入组件432同理)故障,既包括了输入组件431本身功能异常引起的故障,也包括了输入组件431与控制单元41之间连接异常引起的故障,还包括了控制单元41接收第一输入信息的端口功能异常引起的故障等等,在这些情况下,控制单元41皆可以视为输入组件431故障。
151.在本技术实施例中,控制单元41也可以进行冗余设计,如图8所示,控制单元41还可以包括控制组件412,具体结构不再赘述。
152.基于该控制单元41的冗余结构,输入组件431和输入组件432还可以与控制组件412连接。输入组件432还可以将第二输入信息输出给控制组件412,输入组件431还可以在输入组件432故障时,将第一输入信息输出给控制组件411。
153.控制组件412可以根据第一输入信息或第二输入信息,计算得到执行器2的第二执行目标。控制组件412进而可以根据第二执行目标生成第二执行信号,并控制输出单元42向执行器2输出该第二执行信号。
154.在另一种可能的实现方式中,如图8所示,控制组件411和控制组件412连接。在输入组件432故障时,控制组件411也可以将输入组件431发送的第一输入信息转发给控制组件412,在输入组件431故障时,控制组件412也可以将输入组件432发送的第二输入信息转发给控制组件411。
155.在一种可能的实现方式中,控制组件411和控制组件412还可以互相检测对方的工作状态、交换仲裁信息等等,本技术实施例对此并不多作限制。示例性的,控制组件411与控制组件412之间的连接可以包括多个信息传输通道,能够传输多种类型的信号,如输入输出硬线信号、串行外设接口(serial peripheral interface,spi)总线通信信号、局域互联网络(local interconnect network,lin)总线信号等等。
156.采用该实现方式,控制组件411和控制组件412之间可以采用多类型的信号传递信息,当其中任一信息传输通道故障时,控制组件411和控制组件412之间还可以采用其它信息传输通道传递信息。而且,控制组件411和控制组件412还可以通过不同信息传输通道所传递的信息,判断其所接收的信息的准确性,从而有利于防止误判。因此采用该实现方式有利于进一步提高冗余电子控制系统40的安全性和稳定性。
157.需要指出的是,本技术实施例中的输入组件(输入组件431和输入组件432)存在多种可能的实现方式,可以接收一种或多种输入信息。
158.例如,输入组件431可以包括通信组件1,输入组件432可以包括通信组件2。其中,通信组件1可以接收控制信息,并将控制信息发送给控制组件411,通信组件2也可以接收该控制信息,并将该控制信息发送给控制组件412。也就是说,第一输入信息和第二输入信息中皆可以包括该控制信息,示例性的,该控制信息可以是ecu发送给通信组件1和通信组件2的。
159.为了进一步提高冗余电子控制系统40的安全性和稳定性,在通信组件2故障时,通信组件1还可以向控制组件412发送该控制信息,在另一种可能的实现方式中,也可以由控制组件411向控制组件412转发该控制信息。在通信组件1故障时,通信组件2还可以向控制组件411发送该控制信息,在另一种可能的实现方式中,也可以由控制组件412向控制组件411转发该控制信息。
160.又例如,如图8所示,输入组件431包括传感器组件1,输入组件432包括传感器组件2。其中,传感器组件1可以生成第一感应信息,并将该第一感应信息输出给控制组件411,传感器组件2可以生成第二感应信息,并将该第二感应信息输出给控制组件412。也就是说,上述第一输入信息包括第一感应信息,上述第二输入信息包括第二感应信息。
161.示例性的,传感器组件1可以包括多个传感器,不同的传感器可以检测不同的参数。例如,传感器组件1中的多个传感器可以分别用于检测温度、压力、电压、电流、流量、角度、扭矩等各种参数。
162.为了进一步提高冗余电子控制系统40的安全性和稳定性,在传感器组件2故障时,传感器组件1还可以向控制组件412输出上述第一感应信息,在另一种可能的实现方式中,也可以由控制组件411向控制组件412转发该第一感应信息,使得控制组件412可以根据该第一感应信息生成第二执行信号。
163.在传感器组件1故障时,传感器组件2还可以向控制组件411输出上述第二感应信息,在另一种可能的实现方式中,也可以由控制组件412向控制组件411转发该第二感应信息,使得控制组件411可以根据该第二感应信息生成第一执行信号。
164.在本技术实施例中,控制组件411和控制组件412还可以检测传感器组件1和传感器组件2是否故障。示例性的,控制组件411可以作为冗余电子控制系统中的主控组件。控制组件411可以监听第二感应信息,进而可以根据第一感应信息和第二感应信息检测传感器
组件1和传感器组件2是否故障。控制组件411在确定传感器组件1或传感器组件2故障时,可以向控制组件412发送该第一检测信息。该第一检测信息可以指示控制组件412再次检测传感器组件1和传感器组件2是否故障。
165.采用该实现方式,控制组件411检测传感器组件1和传感器组件2是否故障,并由控制组件412验证检测结果,有利于提高对传感器组件1和传感器组件2故障检测的准确性,从而有利于进一步提高冗余电子控制系统40的安全性和稳定性。
166.示例性,第一感应信息可以包括第一感应验证信息和第二感应验证信息。其中,第一感应验证信息承载于第一感应信号中,第二感应验证信息承载于第二感应信号中。控制组件411可以根据第一感应验证信息和第二感应验证信息之间的一致性,检测传感器组件1是否故障。
167.当传感器组件1可以正常工作时,其可以输出第一感应验证信息和第二感应验证信息一致。因此,当第一感应验证信息和第二感应验证信息不相同时,控制组件411便可以确定传感器组件1故障。
168.当第一感应验证信息和第二感应验证信息一致时,控制组件411还可以监听传感器组件2输出的第二感应信息,该监听过程可以包括总线数据监测、模拟-数字信号(analog-to-digital,ad)转换,等等。
169.控制组件411进而可以根据第一感应信息和第二感应信息,检测传感器组件2是否故障。在传感器组件1和传感器组件2皆正常工作时,二者输出的第一感应信息和第二感应信息一致。因此,当第一感应验证信息和第二感应验证信息一致,且第一感应信息和第二感应信息不一致时,控制组件411可以确定传感器组件2故障。
170.与第一感应信号类似的,第二感应信号也可以包括第三感应验证信息和第四感应验证信息。其中,第三感应验证信息承载于第三感应信号中,第四感应验证信息承载于第四感应信号中。控制组件412可以根据第一感应验证信息、第二感应验证信息、第三感应验证信息和第四感应验证信息之间的一致性,检测传感器组件2是否故障。
171.控制组件411通过对第二感应信息进行监听,并利用监听到的第二感应信息和接收到的第一感应信息验证传感器组件1和传感器组件2是否故障,有利于提高冗余电子控制系统40对第一感应信号和第二感应信号检测安全机制的诊断覆盖率。在此期间,控制组件411只对传感器组件2进行监听,可以避免干扰第二感应信号。控制组件412同理,对此不再赘述。
172.需要指出的是,本技术实施例中控制单元41、输出单元42和输入单元43既可以单独实现,也可以同时实现,更可以部分同时实现。如图8所示,以上三个单元皆进行了冗余设计。在具体实现结构中,图8所示的冗余电子控制系统40既可以是多个ecu冗余而成,例如每个ecu包括一个输入组件、一个控制组件和一个输出组件,该冗余电子控制系统40也可以是多块电路板冗余而成,例如每个电路板包括一个输入组件、一个控制组件和一个输出组件,该冗余电子控制系统40也可以是一个集成在一个电路板上,该冗余电子控制系统40也可以是内容冗余架构的多核芯片,该冗余电子控制系统40也可以是内容冗余架构的芯片组等,本技术实施例对此并不多作限制。
173.图8所示的冗余电子控制系统40能够适应不同情况下的单点或多点故障。接下来,通过以下三个故障场景作进一步的示例性说明。
174.故障场景一
175.如图8所示,通信组件1可以将接收到的控制信息提供给控制组件411,通信组件2可以将接收到的控制信息提供给控制组件412。
176.当通信组件1故障时,控制组件412可以将通信组件2发送的控制信息转发给控制组件411。控制电路4111控制电源开关4112导通第一功率信号向电源转换器4113的传输路径。控制电路4111根据上述控制信息,控制电源转换器4113将第一功率信号转换为第一执行信号。控制电路4111进而导通开关单元1,并断开开关单元2,从而控制输出组件421向执行器1输出第一执行信号。
177.当通信组件2故障时,控制组件411可以将通信组件1发送的控制信息转发给控制组件412。控制电路4121控制电源开关4122导通第二功率信号向电源转换器4123的传输路径。控制电路4121根据上述控制信息,控制电源转换器4123将第二功率信号转换为第二执行信号。控制电路4121进而导通开关单元4,并断开开关单元3,从而控制输出组件422向执行器2输出第二执行信号。
178.当传感器组件1故障时,控制组件411可以接收传感器组件2生成的第二感应信息。控制电路4111控制电源开关4112导通第一功率信号向电源转换器4113的传输路径。控制电路4111根据上述第二感应信息,控制电源转换器4113将第一功率信号转换为第一执行信号。控制电路4111进而导通开关单元1,并断开开关单元2,从而控制输出组件421向执行器1输出第一执行信号。
179.当传感器组件2故障时,控制组件412可以接收传感器组件1生成的第一感应信息。控制电路4121控制电源开关4122导通第二功率信号向电源转换器4123的传输路径。控制电路4121根据上述第一感应信息,控制电源转换器4123将第二功率信号转换为第二执行信号。控制电路4121进而导通开关单元4,并断开开关单元3,从而控制输出组件422向执行器2输出第二执行信号。
180.故障场景二
181.当电源组件1、电源开关4112、电源转换器4113和开关单元1中,任意一个或多个节点故障时,控制电路4111可以切断第一执行信号的输出路径,例如,控制电路4111可以断开开关单元1。
182.在一种可能的实现方式中,控制电路4111可以检测电源组件1、电源开关4112、电源转换器4113和开关单元1的工作状态,在其中任意一个或多个节点故障时,控制电路4111可以向控制电路4121发送第一指示信息,以指示控制组件412生成第一执行信号和第二执行信号。
183.在另一种可能的实现方式中,控制电路4121也可以自行检测电源组件1、电源开关4112、电源转换器4113和开关单元1的工作状态,在其中任意一个或多个节点故障时,控制组件412生成第一执行信号和第二执行信号。
184.控制组件412生成第一执行信号和第二执行信号。控制电路4121导通开关单元3和开关单元4,通过开关单元3将第一执行信号输出给执行器1,通过开关单元4将第二执行信号输出给执行器2。具体过程详见前述实施例,对此不再赘述。
185.需要指出的是,对于因控制电路4111与电源组件1、电源开关4112、电源转换器4113和开关单元1所连接的多个端口中,一个或多个端口异常而引起的故障,控制电路4111
也可以将其视为对应节点故障。控制电路4121同理,对此不再赘述。
186.与之类似的,当电源组件2、电源开关4122、电源转换器4123和开关单元4中,任意一个或多个节点故障时,控制电路4121可以切断第二执行信号的输出路径。控制组件411生成第一执行信号和第二执行信号。控制电路4111导通开关单元1和开关单元2,通过开关单元1将第一执行信号输出给执行器1,通过开关单元2将第二执行信号输出给执行器2。具体过程详见前述实施例,对此不再赘述。
187.故障场景三
188.在控制电路4111故障时,控制电路4121可以控制电源开关4112和电源转换器4113,使电源转换器4113可以通过电源开关4112接收第一功率信号,并在控制电路4121的控制下将第一功率信号转换为第一执行信号。控制电路4121还可以导通开关单元1,从而向执行器1输出第一执行信号。
189.需要指出的是,因控制电路4111与电源开关4112、电源转换器4113和开关单元1连接端口的异常而引起的故障、因控制电路4111与电源开关4112、电源转换器4113和开关单元1之间连接异常而引起的故障等,也可以视为控制电路4111故障。控制电路4121与之类似,对此不再赘述。
190.在控制电路4111和开关单元1皆故障时,控制电路4121还可以控制电源开关4112和电源转换器4113生成第二执行信号,控制电路4121控制电源开关4122和电源转换器4123生成第一执行信号。控制电路4121导通开关单元2,从而向执行器2输出第二执行信号,控制电路4121导通开关单元3,从而向执行器1输出第一执行信号。
191.在控制电路4121故障时,控制电路4111可以控制电源开关4122和电源转换器4123,使电源转换器4123可以通过电源开关4122接收第二功率信号,并在控制电路4111的控制下将第二功率信号转换为第二执行信号。控制电路4111还可以导通开关单元4,从而向执行器2输出第二执行信号。
192.在控制电路4121和开关单元4皆故障时,控制电路4111还可以控制电源开关4122和电源转换器4123生成第一执行信号,控制电路4111控制电源开关4112和电源转换器4113生成第二执行信号。控制电路4111导通开关单元2,从而向执行器2输出第二执行信号,控制电路4121导通开关单元3,从而向执行器1输出第一执行信号。
193.通过以上实施例可见,本技术实施例所提供的冗余电子控制系统40可以灵活适应不同的故障场景,且在冗余电子控制系统40出现故障时,仍能够保持稳定输出。需要指出的是,以上故障场景仅为示例,本技术实施例所能够适用的故障场景并不仅限于此,本技术实施例对此不再一一列举。在部分故障中,可能存在多种可行的执行信号输出方式。在具体实施过程中,可以根据实际需求灵活选择,本技术实施例对此并不多作限制。
194.本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
195.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或
方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
196.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
197.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
198.显然,本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的保护范围。这样,倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内,则本技术也意图包含这些改动和变型在内。