一种用于电动汽车电控装置的失效保护方法及系统(发明专利)

专利号:CN201610293050.2

申请人:新誉集团有限公司

  • 公开号:CN105799517A
  • 申请日期:20160505
  • 公开日期:20160727
专利名称: 一种用于电动汽车电控装置的失效保护方法及系统
专利名称(英文): One kind is used in the failure of the electric control device of the electric vehicle protection method and system
专利号: CN201610293050.2 申请时间: 20160505
公开号: CN105799517A 公开时间: 20160727
申请人: 新誉集团有限公司
申请地址: 213164 江苏省常州市武进区高新技术产业开发区凤林路68号
发明人: 仲启端; 管和平; 张玉江; 刘礼亚; 姚宁
分类号: B60L3/00; B60L15/20 主分类号: B60L3/00
代理机构: 常州市科谊专利代理事务所 32225 代理人: 孙彬
摘要: 本发明涉及一种用于电动汽车电控装置的失效保护方法及系统,本失效保护方法包括:电控装置中的整车控制单元、电池管理单元和电机控制单元通过CAN总线互联,以及在判断任一单元或三个单元均处于离线状态后,启动相应失效保护机制;本发明的电控装置的失效保护方法及系统,其实现了整车控制单元或电池管理单元或电机控制单元及总线在失效后,有效的单元均能按照预先设定的失效保护机制单独或系统进行工作,有效地对电控装置本身进行保护,尽量防止高压下电时序导致系统损坏,并且能够让系统失效后,汽车按照预定的策略缓行,减少危害的发生,特别在高速行驶或超车等情况下,突然失去动力等电控装置不受控制性情况下,容易产生较大危害。
摘要(英文): The invention relates to a control device for an electric automobile failure protection method and system, the failure protection method comprises : an electric control device of the vehicle control unit, the battery management unit and the motor control unit through CAN bus interconnection, and any unit or the three unit is in off-line state, start the corresponding failure protection mechanism; the electronic control device of the present invention the failure of the protection method and system, which realizes the vehicle control unit or the battery management unit or motor control unit and the failure of the bus, effective unit can be pre-set in accordance with the failure protection mechanism or system to work alone, effectively protect the electric control device itself, as far as possible to prevent the high-voltage power-down sequence lead to system damage, after failure and can let the system, in accordance with a predetermined strategy for jogging, the occurrence of reducing harm, especially in the high-speed running or overtaking circumstances, such as sudden loss of power of the electric control device is not affected by control circumstances, is easy to be generated.
  • 商标交易流程
  • 商标交易流程
  • 商标交易流程
  • 商标交易流程
  • 商标交易流程
一种电控装置的失效保护方法,其特征在于,包括:电控装置中的整车控制单元、电池管理单元和电机控制单元通过CAN总线互联,以及在判断任一单元或三个单元均处于离线状态后,启动相应失效保护机制。

1.一种电控装置的失效保护方法,其特征在于,包括: 电控装置中的整车控制单元、电池管理单元和电机控制单元通过CAN总线 互联,以及 在判断任一单元或三个单元均处于离线状态后,启动相应失效保护机制。

2.根据权利要求1所述的失效保护方法,其特征在于, 整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断 各单元是否在线;以及 整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时 间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

3.根据权利要求2所述的失效保护方法,其特征在于, 若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单 元未与CAN总线相连,且整车控制单元、电池管理单元通过CAN总线互联;即 判断电机控制单元离线;以及 在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待 TBMS后切断动力电池高压;或 在所述电池管理系统在等待TBMS后切断动力电池高压,且整车控制单元延时 TVCU进行高压下电控制。

4.根据权利要求2所述的失效保护方法,其特征在于, 若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单 元未与CAN总线相连,且整车控制单元、电机控制单元通过CAN总线互联;即 判断电池管理单元离线;以及 在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发 送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间 不超过TMCU后停止;或 在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制。

5.根据权利要求2所述的失效保护方法,其特征在于, 若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单 元未与CAN总线相连,且电池管理单元、电机控制单元通过CAN总线互联;即 判断整车控制单元离线;以及 在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控 制电机转矩控制模式,即在实现跛行一段距离后停车,在这段TMCU内,电机控制 单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停 止转矩输出;以及 电机控制单元发控制信号给电池管理单元以及时断开高压;或 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 在电池管理单元断开高压后,整车控制单元延时TVCU进行高压下电控制。

6.根据权利要求2所述的失效保护方法,其特征在于, 若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均 未检测到对方连接于CAN总线,则三个单元均处于离线状态;即 判定CAN总线失效;以及 在判定CAN总线失效后的保护机制为:电机控制单元进入自主控制电机转 矩控制模式,实现跛行一段距离后停车,在TMCU内,电机控制单元通过监听制动 信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出; 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 整车控制单元在等待TVCU后,进行高压下电控制流程。

7.一种电控装置,其特征在于,包括:通过CAN总线互联的整车控制单元、 电池管理单元和电机控制单元;且在任一单元或三个单元均处于离线状态后, 启动相应失效保护机制。

8.根据权利要求7所述的电控装置,其特征在于,一制动系统通过制动信 号线连接到整车控制单元和电机控制器。

9.根据权利要求8所述的电控装置,其特征在于, 整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断 各单元是否在线;以及 整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时 间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

10.根据权利要求9所述的电控装置,其特征在于, 若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单 元未与CAN总线相连,且整车控制单元、电池管理单元通过CAN总线互联;即 判断电机控制单元离线;以及 在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待 TBMS后切断动力电池高压;或 在所述电池管理系统在等待TBMS后切断动力电池高压,且整车控制单元延时 TVCU进行高压下电控制; 若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单 元未与CAN总线相连,且整车控制单元、电机控制单元通过CAN总线互联;即 判断电池管理单元离线;以及 在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发 送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间 不超过TMCU后停止;或 在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制; 若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单 元未与CAN总线相连,且电池管理单元、电机控制单元通过CAN总线互联;即 判断整车控制单元离线;以及 在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控 制电机转矩控制模式,即在实现跛行一段距离后停车,在TMCU内,电机控制单元 通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转 矩输出;以及 电机控制单元发控制信号给电池管理单元以及时断开高压;或 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 在电池管理单元断开高压后,整车控制单元延时TVCU进行高压下电控制; 若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均 未检测到对方连接于CAN总线,则三个单元均处于离线状态;即 判定CAN总线失效;以及 在判定CAN总线失效后的保护机制为:电机控制单元进入自主控制电机转 矩控制模式,实现跛行一段距离后停车,在这段TMCU内,电机控制单元通过监听 制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出; 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 整车控制单元在等待TVCU后,进行高压下电控制流程。

PDF文件加载中,请耐心等待!
一种电控装置的失效保护方法,其特征在于,包括:电控装置中的整车控制单元、电池管理单元和电机控制单元通过CAN总线互联,以及在判断任一单元或三个单元均处于离线状态后,启动相应失效保护机制。
原文:

1.一种电控装置的失效保护方法,其特征在于,包括: 电控装置中的整车控制单元、电池管理单元和电机控制单元通过CAN总线 互联,以及 在判断任一单元或三个单元均处于离线状态后,启动相应失效保护机制。

2.根据权利要求1所述的失效保护方法,其特征在于, 整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断 各单元是否在线;以及 整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时 间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

3.根据权利要求2所述的失效保护方法,其特征在于, 若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单 元未与CAN总线相连,且整车控制单元、电池管理单元通过CAN总线互联;即 判断电机控制单元离线;以及 在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待 TBMS后切断动力电池高压;或 在所述电池管理系统在等待TBMS后切断动力电池高压,且整车控制单元延时 TVCU进行高压下电控制。

4.根据权利要求2所述的失效保护方法,其特征在于, 若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单 元未与CAN总线相连,且整车控制单元、电机控制单元通过CAN总线互联;即 判断电池管理单元离线;以及 在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发 送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间 不超过TMCU后停止;或 在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制。

5.根据权利要求2所述的失效保护方法,其特征在于, 若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单 元未与CAN总线相连,且电池管理单元、电机控制单元通过CAN总线互联;即 判断整车控制单元离线;以及 在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控 制电机转矩控制模式,即在实现跛行一段距离后停车,在这段TMCU内,电机控制 单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停 止转矩输出;以及 电机控制单元发控制信号给电池管理单元以及时断开高压;或 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 在电池管理单元断开高压后,整车控制单元延时TVCU进行高压下电控制。

6.根据权利要求2所述的失效保护方法,其特征在于, 若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均 未检测到对方连接于CAN总线,则三个单元均处于离线状态;即 判定CAN总线失效;以及 在判定CAN总线失效后的保护机制为:电机控制单元进入自主控制电机转 矩控制模式,实现跛行一段距离后停车,在TMCU内,电机控制单元通过监听制动 信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出; 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 整车控制单元在等待TVCU后,进行高压下电控制流程。

7.一种电控装置,其特征在于,包括:通过CAN总线互联的整车控制单元、 电池管理单元和电机控制单元;且在任一单元或三个单元均处于离线状态后, 启动相应失效保护机制。

8.根据权利要求7所述的电控装置,其特征在于,一制动系统通过制动信 号线连接到整车控制单元和电机控制器。

9.根据权利要求8所述的电控装置,其特征在于, 整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断 各单元是否在线;以及 整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时 间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

10.根据权利要求9所述的电控装置,其特征在于, 若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单 元未与CAN总线相连,且整车控制单元、电池管理单元通过CAN总线互联;即 判断电机控制单元离线;以及 在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待 TBMS后切断动力电池高压;或 在所述电池管理系统在等待TBMS后切断动力电池高压,且整车控制单元延时 TVCU进行高压下电控制; 若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单 元未与CAN总线相连,且整车控制单元、电机控制单元通过CAN总线互联;即 判断电池管理单元离线;以及 在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发 送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间 不超过TMCU后停止;或 在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制; 若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单 元未与CAN总线相连,且电池管理单元、电机控制单元通过CAN总线互联;即 判断整车控制单元离线;以及 在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控 制电机转矩控制模式,即在实现跛行一段距离后停车,在TMCU内,电机控制单元 通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转 矩输出;以及 电机控制单元发控制信号给电池管理单元以及时断开高压;或 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 在电池管理单元断开高压后,整车控制单元延时TVCU进行高压下电控制; 若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均 未检测到对方连接于CAN总线,则三个单元均处于离线状态;即 判定CAN总线失效;以及 在判定CAN总线失效后的保护机制为:电机控制单元进入自主控制电机转 矩控制模式,实现跛行一段距离后停车,在这段TMCU内,电机控制单元通过监听 制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出; 电池管理单元的等待TBMS后,即在跛行结束后,断开高压;以及 整车控制单元在等待TVCU后,进行高压下电控制流程。

翻译:
一种用于电动汽车电控装置的失效保护方法及系统

技术领域

本发明涉及一种电动汽车领域,具体涉及一种用于电动汽车电控装置的失效保护方法及系统。

背景技术

电动汽车电控装置主要包括整车控制单元(VehicleControlUnit,VCU),电池管理系统(BatteryManagementSystem,BMS),电机控制单元(MotorControlUnit,MCU),三者之间通过CAN总线通信,实现电控管理(此方式是国内纯电动汽车的主流做法)。当汽车行驶时,电控器件VCU、BMS、MCU或CAN总线失效的情况下,汽车部分功能将不受控制,可能对人身安全带来危险;同时,如果没有遵循预定的高压下电顺序,对汽车部件可能造成损害。

现有的技术方案举例:(1)VCU有采用双控制器(主控制器+从控制器)的方式,当其中主VCU失效时,从控制器接管部分VCU的工作,从一定程度上降低了事故发生的概率。(2)采用冗余CAN总线防止CAN总线失效:即采用两路CAN总线,当其中一路CAN总线失效,另外一路CAN总线可保证通信。

目前电动汽车产品的电控装置大多数采用的上述(1)和(2)的方案,存在以下安全风险。

(1)VCU采用双控制器(主控制器+从控制器)的方式,仅从主控制器失效的角度考虑,当如VCU供电电源出现故障、整体损坏等情况下,从控制器可能无法接管主控制器的工作。

(2)采用冗余CAN总线的方式,仅从CAN通信角度考虑,当线束整体断开、插头松动等情况下,也可能无法实现CAN通信。

并且,如果不采用电控装置保护措施,如果汽车行驶过程中发生电控装置部分(如VCU、BMS、MCU或CAN总线)失效时,由于控制系统部分不受控制,可能发生交通事故。

另外,现有技术方案大多是从如何防止电控装置部件(VCU、BMS、MCU、CAN)失效发生的角度上考虑,且都不能完全防止,而不是考虑在电控装置发生后,如何减少危害,以保障人员安全和电控部件(特别是高压部件)。

发明内容

本发明的目的是提供一种电控装置的失效保护方法及系统,其实现了整车控制单元或电池管理单元或电机控制单元或CAN总线在失效后,按照预先设定的失效保护机制进行工作,避免由于上述单元故障造成车辆失控。

为了解决上述技术问题,本发明提供了一种电控装置的失效保护方法,包括:电控装置中的整车控制单元、电池管理单元和电机控制单元通过CAN总线互联,以及在判断任一单元或三个单元均处于离线状态(可能CAN总线失效)后,启动相应失效保护机制。

进一步,整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断各单元是否在线;以及整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

进一步,若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单元未与CAN总线相连,且整车控制单元、电池管理单元通过CAN总线互联;即判断电机控制单元离线;以及在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待延时处理时间TBMS后切断动力电池高压;或在所述电池管理系统在等待TBMS后切断动力电池高压,且整车控制单元延时TVCU进行高压下电控制。

进一步,若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单元未与CAN总线相连,且整车控制单元、电机控制单元通过CAN总线互联;即判断电池管理单元离线;以及在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间不超过TMCU后停止;或在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制。

进一步,若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单元未与CAN总线相连,且电池管理单元、电机控制单元通过CAN总线互联;即判断整车控制单元离线;以及在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控制电机转矩控制模式,即在实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;以及电机控制单元发控制信号给电池管理单元以及时断开高压;或电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压;以及在电池管理单元断开高压后,整车控制单元延时TVCU进行高压下电控制。

进一步,若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均未检测到对方连接于CAN总线,则三个单元均处于离线状态;即判定CAN总线失效;以及在判定CAN总线失效后的保护机制为:电机控制单元进入自主控制电机转矩控制模式,实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压;以及整车控制单元在等待延时处理时间TVCU后,进行高压下电控制流程。

又一方面,本发明还提供了一种电控装置,包括:通过CAN总线互联的整车控制单元、电池管理单元和电机控制单元;且在任一单元或三个单元均处于离线状态后,启动相应失效保护机制。

进一步,一制动系统通过制动信号线连接到整车控制单元和电机控制器。

进一步,整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断各单元是否在线;以及整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

进一步,若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单元未与CAN总线相连,且整车控制单元、电池管理单元通过CAN总线互联;即判断电机控制单元离线;以及在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待延时处理时间TBMS后切断动力电池高压;或在所述电池管理系统在等待TBMS后切断动力电池高压,且整车控制单元延时TVCU进行高压下电控制;

若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单元未与CAN总线相连,且整车控制单元、电机控制单元通过CAN总线互联;即判断电池管理单元离线;以及在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间不超过TMCU后停止;或在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制;

若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单元未与CAN总线相连,且电池管理单元、电机控制单元通过CAN总线互联;即判断整车控制单元离线;以及在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控制电机转矩控制模式,即在实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;以及电机控制单元发控制信号给电池管理单元以及时断开高压;或电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压;以及在电池管理单元断开高压后,整车控制单元延时TVCU进行高压下电控制;

若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均未检测到对方连接于CAN总线,则三个单元均处于离线状态;即判定CAN总线失效;以及在判定CAN总线失效后的保护机制为:电机控制单元进入自主控制电机转矩控制模式,实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压;以及整车控制单元在等待延时处理时间TVCU后,进行高压下电控制流程。

本发明的有益效果是,本发明的电控装置的失效保护方法及系统,其实现了整车控制单元或电池管理单元或电机控制单元及总线在失效后,有效的单元均能按照预先设定的失效保护机制单独或系统进行工作,有效地对电控装置本身进行保护,尽量防止高压下电时序导致系统损坏,并且能够让系统失效后,汽车按照预定的策略缓行,减少危害的发生,特别在高速行驶或超车等情况下,突然失去动力等电控装置不受控制性情况下,容易产生较大危害。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1为本发明所使用的纯电动汽车电控系统主要器件的拓扑结构图;

图2为其他部件失效时,VCU的处理流程图;

图3为其他部件失效时,MCU的处理流程图;

图4为其他部件失效时,BMS的处理流程图。

具体实施方式

现在结合附图对本发明作进一步详细的说明。这些附图均为简化的示意图,仅以示意方式说明本发明的基本结构,因此其仅显示与本发明有关的构成。

实施例1

如图1所示,本发明的一种电控装置的失效保护方法,包括:电控装置中的整车控制单元(在实施例中简称为VCU)、电池管理单元(在实施例中简称为BMS)和电机控制单元(在实施例中简称为MCU)通过CAN总线互联,以及在判断任一单元或三个单元均处于离线状态后,启动相应失效保护机制。

本发明中所述的离线状态具体是指VCU、BMS和MCU发生故障,包括但不限于程序死机、硬件损坏、短路、通信线路脱离均造成相应单元脱离CAN总线,进而相应单元失效。离线状态也可以成为失效状态;三个单元均脱离CAN总线则判定为CAN总线失效的情况。

整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断各单元是否在线;以及整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

在本实施例中VCU、MCU和BMS之间通过CAN总线通信,使用心跳机制,方法如下:

(1)VCU每间隔时间T(本实施例以200毫秒为例)广播发送自己在线的心跳帧到CAN总线上,BMS若能收到该心跳帧,说明BMS和VCU之间通信正常,BMS和VCU正常;MCU若能收到该心跳帧,说明MCU和VCU之间通信正常,MCU和VCU正常;

(2)同理BMS和MCU也每间隔时间T(200毫秒)广播发送自己在线的心跳帧到CAN总线上,这样VCU、BMS、MCU都会收发心跳帧。

(3)正常情况下,VCU在3T(本实施例以3T为例,600毫秒)时间内会收到BMS和MCU发来的心跳帧,按照图2,VCU继续判断心跳情况。MCU和BMS也同理。

(4)假如其中一个部件(以VCU为例)失效了,那VCU不在发送广播心跳给MCU和BMS,3T时间内(3T>T,出于容错考虑)BMS和/或MCU没有收到VCU的心跳数据,则说明:VCU离线、或MCU和/或BMS离线、或VCU、MCU和BMS均处于离线状态,即CAN总线处于失效状态。

图2是VCU处理电控装置的故障流程图。当VCU出现程序死机、硬件损坏、通信线路脱离等致使无法收发心跳数据,VCU自然脱离电控装置,由BMS和MCU通过心跳方式判断VCU状态,并进行相应的失效保护处理;当VCU正常时,通过心跳方式,判断BMS或MCU或CAN失效,并进行如图2所示的保护处理。

图3是MCU处理电控装置的故障流程图。当MCU出现程序死机、硬件损坏、通信线路脱离等致使无法收发心跳数据,MCU自然脱离电控装置,由BMS和VCU通过心跳方式判断MCU状态,并进行相应的失效保护处理;当MCU正常时,通过心跳方式,判断BMS或VCU或CAN失效,并进行如图3所示的保护处理。

图4是BMS处理电控装置的故障流程图。当BMS出现程序死机、硬件损坏、通信线路脱离等致使无法收发心跳数据,BMS自然脱离电控装置,由MCU和VCU通过心跳方式判断BMS状态,并进行相应的失效保护处理;当BMS正常时,通过心跳方式,判断VCU或MCU或CAN失效,并进行如图3所示的保护处理。

图2、图3、图4所描述的故障处理流程相互配合,能完成VCU失效、MCU失效、BMS失效、CAN通信失效的情况下,起到保护较少危害发生、保护电控装置的作用。

结合图2、图3、图4,图中的TVCU、TBMS、TMCU分别是整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时间,且TVCU>TBMS>TMCU,留有处理间隔时间的余量。下面说明了几种失效情况下,失效保护的效果:

1、假如CAN总线失效(如短路等),且对应的失效保护机制如下:

若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均未检测到对方在线,则三个单元均处于离线状态;

判定CAN总线失效;以及

在判定整CAN总线失效后的失效保护机制为:电机控制单元进入自主控制电机转矩控制模式,即在实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;以及

电机控制单元发控制信号给电池管理单元以及时断开高压;或

电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压。

整车控制单元延时TVCU进行高压下电控制。

具体的步骤如下:

步骤(1),由于VCU本身可以正常使用,通过心跳机制,VCU在3T(600毫秒)时间内收不到BMS和MCU的心跳,进入图2的“MCU离线、BMS离线”的条件,即延时TVCU时间,以用于失效时BMS、MCU对失效的保护处理。

步骤(2),在步骤(1)的同时,由于MCU本身可以正常使用,通过心跳机制,MCU在3T(600毫秒)时间内收不到BMS和VCU的心跳帧,进入图3的“VCU离线”条件,此时高压是存在的,所以进入“有高压”条件。

进入MCU自主控制电机转矩控制模式,为了实现减速和跛行一段时间TMCU后停车。若MCU通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出。(此步骤最长时间TMCU)。

步骤(3),在步骤(1)和(2)的同时,由于BMS本身可以正常使用,通过心跳机制,BMS在3T(600毫秒)时间内收不到MCU和VCU的心跳帧,进入图4的“MCU离线”的条件,然后进入“VCU离线”的条件,执行延时TBMS时间。

步骤(4),TMCU时间到后,按照图3,进入“BMS离线”的条件,结束。

步骤(5),TBMS时间到后,按照图4,BMS断开高压,结束。

步骤(6),TVCU时间到后,VCU进行高压下电控制流程(若其中遇到无法执行的流程,则跳过),不进入低压下电流程(说明:VCU低压下电是车钥匙旋回到OFF档进行的,LOCK档方向盘锁死。所以失效后,钥匙在ON档,不执行下低压电,以保证转向助力、真空泵等正常工作。同时说明,此时低压冷却系统也可行需要持续工作)。

只有钥匙档位旋回到OFF档后,VCU、MCU、BMS才进入休眠,采用硬线控制。

至此,CAN总线失效情况下,CAN总线失效后电控装置的失效保护在图2、图3、图4流程的相互配合下完成。达到的效果是:防止由于电控装置无法控制而导致紧急停车,可以让驾驶员有反应时间把车辆停到路边等安全区域。另外,也可以尽量保全下电流程,防止由于电控失效而无法下电(特别是强电)等现象。

2、假如VCU失效(如电路短路烧毁、软件死机或跑飞等),且对应的失效保护机制如下:

若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单元未在线,且电池管理单元、电机控制单元通过CAN总线互联;即

判断整车控制单元离线;以及

在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控制电机转矩控制模式,即在实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;以及

电机控制单元发控制信号给电池管理单元以及时断开高压;或

电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压。

整车控制单元延时TVCU进行高压下电控制。

具体的步骤如下:

步骤(1),由于VCU本身不可以正常使用,无法参与电控装置进行控制,根据图2,VCU结束。

步骤(2),由于MCU本身可以正常使用,通过心跳机制,MCU在3T(600毫秒)时间内收不到VCU的心跳,但可以收到BMS的心跳帧,进入图3的“VCU离线”条件,此时高压是存在的,所以进入“有高压”条件。

进入MCU自主控制电机转矩控制模式,为了实现减速和跛行一段时间TMCU后停车。若MCU通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出。(此步骤最长时间TMCU)。

步骤(3),在步骤(2)的同时,由于BMS本身可以正常使用,通过心跳机制,BMS在3T(600毫秒)时间内收不到MCU的心跳帧,进入图4的“MCU在线,VCU离线”条件,延时最大时间TBMS

步骤(4),在步骤(2)过程中,如果MCU判断转速为0(即车速为0),

步骤(4.1),若电机转速降为0的时间小于TMCU,则MCU通过CAN总线通知BMS可以提前(在TBMS时间到达之前)切断高压,但需在延时一段时间t,用来让MCU先完成下电,并结束;MCU按照图3在TMCU之前结束;BMS在延时TBMS时间内(即:TMCU+t<TBMS),收到MCU的断开高压命令,断开高压并结束。

步骤(4.2),若转速为0的时间不小于TMCU,在TMCU时刻,MCU按照图3结束;BMS按照图4在TBMS时刻切断高压后结束。

至此,VCU总线失效情况下,失效后电控装置的失效保护在图3、图4流程的相互配合下完成。达到的效果是:防止由于电控装置无法控制而导致紧急停车,可以让驾驶员有反应时间把车辆停到路边等安全区域。另外,也保证了高压下电的过程。

3、若MCU失效(如电路短路烧毁、软件死机或跑飞等),且对应的失效保护机制如下:

若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单元未在线,且整车控制单元、电池管理单元通过CAN总线互联;即

判断电机控制单元离线;以及

在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待延时处理时间TBMS后切断动力电池高压。整车控制单元延时TVCU进行高压下电控制。

具体的步骤如下:

步骤(1),由于MCU本身不可以正常使用,无法参与电控装置进行控制,根据图3,MCU结束。

步骤(2),由于VCU本身可以正常使用,通过心跳机制,VCU在3T(600毫秒)时间内收不到MCU的心跳帧,但可以收到BMS的心跳帧,进入图2的“MCU离线、BMS在线”条件,延时TVCU时间用于失效时BMS、MCU对失效的保护处理。

步骤(3),在步骤(2)的同时,由于BMS本身可以正常使用,通过心跳机制,BMS在3T(600毫秒)时间内收不到MCU的心跳帧,但可以收到BMS的心跳帧,进入图4的“MCU离线”条件,然后进入“VCU离线”条件,执行延时TBMS时间。

步骤(4),TBMS时间到后,按照图4,BMS断开高压后结束。

步骤(5),TVCU时间到后,按照图4,VCU进行高压下电控制流程(若其中遇到无法执行的流程,则跳过),不进入低压下电流程。

至此,MCU失效情况下,失效后电控装置的失效保护在图2、图4流程的相互配合下完成。达到的效果是:尽量保证了高压下电的过程,同时VCU也进行了高压下电处理。由于MCU损坏,无法保证动力输出。

4、若BMS失效(如电路短路烧毁、软件死机或跑飞等),且对应的失效保护机制如下:

若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单元未在线,且整车控制单元、电机控制单元通过CAN总线互联;即

判断电池管理单元离线;以及

在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间不超过TMCU后停止;或在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制。

具体的步骤如下:

步骤(1)由于BMS本身不可以正常使用,无法参与电控装置进行控制,根据图4,BMS结束。

步骤(2)由于VCU本身可以正常使用,通过心跳机制,VCU在3T(600毫秒)时间内收不到BMS的心跳帧,但可以收到MCU的心跳帧,进入图2的“MCU在线、BMS离线”条件,然后VCU给MCU发送限制功率或转矩或转速命令,最长时间TVCU

步骤(3)在步骤(2)的同时,由于MCU本身可以正常使用,通过心跳机制,MCU在3T(600毫秒)时间内收不到BMS的心跳帧,但可以收到VCU的心跳帧,进入图3的“VCU在线,BMS离线”条件,然后进入“有高压”条件,接收VCU发来的限制转矩输出的命令,最长时间TMCU

步骤(4)TMCU时间到后,按照图3,MCU流程结束。

步骤(5)TVCU时间到后,VCU进行高压下电控制流程(若其中遇到无法执行的流程,则跳过),不进入低压下电流程。

至此,BMS失效情况下,失效后电控装置的失效保护在图2、图3流程的相互配合下完成。达到的效果是:尽量保证了低压下电的过程。如果动力电池无法提供高压,无法保证动力输出。

相对于现有技术来说,传统方法的重点大多是通过冗余方式防止电控装置中某单体故障,存在冗余同时失效的风险,也较少考虑到部件整体失效后的保护方式。

实施例2

本实施例2提供了一种电控装置,该电控装置采用拓扑结构,即通过CAN总线互联的整车控制单元、电池管理单元和电机控制单元,实现相互协调工作;且在任一单元或三个单元均处于离线状态后,启动相应失效保护机制。

一制动系统通过制动信号线连接到整车控制单元(VCU)和电机控制器(MCU)。

整车控制单元、电池管理单元和电机控制单元之间通过心跳机制相互判断各单元是否在线;以及整车控制单元、电池管理单元和电机控制单元分别设定独立的延时处理时间TVCU、TBMS、TMCU,且TVCU>TBMS>TMCU

各保护机制如下,以及各保护机制的具体实施方式参见实施例1的相应论述。

若整车控制单元、电池管理单元分别通过相应的心跳机制判定电机控制单元未在线,且整车控制单元、电池管理单元通过CAN总线互联;即

判断电机控制单元离线;以及

在判断电机控制单元离线后的失效保护机制为:所述电池管理系统在等待延时处理时间TBMS后切断动力电池高压;或

在所述电池管理系统在等待TBMS后切断动力电池高压,且整车控制单元延时TVCU进行高压下电控制;

若整车控制单元、电机控制单元分别通过相应的心跳机制判定电池管理单元未在线,且整车控制单元、电机控制单元通过CAN总线互联;即

判断电池管理单元离线;以及

在判定电池管理单元离线后的失效保护机制为:所述整车控制单元适于发送限制功率的转矩控制命令至电机控制单元,使电机控制单元在持续工作时间不超过TMCU后停止;或

在电机控制单元在持续工作时间不超过TMCU后停止,整车控制单元延时TVCU进行高压下电控制;

若电池管理单元、电机控制单元分别通过相应的心跳机制判定整车控制单元未与CAN总线相连,且电池管理单元、电机控制单元通过CAN总线互联;即

判断整车控制单元离线;以及

在判定整车控制单元离线后的失效保护机制为:电机控制单元进入自主控制电机转矩控制模式,即在实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;以及

电机控制单元发控制信号给电池管理单元以及时断开高压;或

电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压;以及

在电池管理单元断开高压后,整车控制单元延时TVCU进行高压下电控制;

若整车控制单元、电池管理单元和电机控制单元三者之间通过心跳机制均未检测到对方在线,则三个单元均处于离线状态;即

判定CAN总线失效;以及

在判定CAN总线失效后的保护机制为:电机控制单元进入自主控制电机转矩控制模式,实现跛行一段距离后停车,在这段延时处理时间TMCU内,电机控制单元通过监听制动信号线,根据刹车力度和时间,减小控制电机的转矩直至停止转矩输出;

电池管理单元的等待延时处理时间TBMS后,即在跛行结束后,断开高压;以及

整车控制单元在等待延时处理时间TVCU后,进行高压下电控制流程。

以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。

收缩

  • QQ咨询

  • 在线咨询
  • 在线咨询
  • 在线咨询
  • 在线咨询

  • 电话咨询

  • 02886312233