全冗余电动助力转向系统内部通信故障安全降级的方法

技术领域

本发明涉及汽车电动助力转向系统控制技术领域，尤其涉及一种全冗余电动助力转向系统内部通信故障安全降级的方法。

背景技术

车辆的横向运动是驾驶员转动方向盘或上位机系统请求转向系统目标位置主动控制车辆转向轮，使得车辆在行驶过程中能够轻便灵敏的实现横向移动，按照预期的目标轨迹行驶。车辆的转向系统是实现车辆横向稳定控制，保证车辆安全行驶的基础，也是车辆实现辅助驾驶功能或自动驾驶功能的关键技术之一。传统车辆的电动助力转向系统在功能安全上只能支持驾驶员在环的人手驾驶或是低阶辅助智能驾驶，随着高级别自动驾驶的市场需求越来越多，转向系统既要减轻驾驶员的操控任务，又要保障车辆安全运行，避免发生交通事故。因此，高级别自动驾驶对转向系统的功能安全提出了更高的挑战，全冗余的电动助力转向系统的方案是提高功能安全等级的最行之有效的方法。顾名思义，全冗余的电动助力转向系统是指在硬件架构上采用器件全部冗余的设计，软件控制策略上保持能够独立计算、协作控制的汽车电动转向系统。即使在全自动驾驶的场景下转向系统发生单点失效时，整个转向系统会进入备份系统控制，不会出现丢失转向助力而危害车辆的安全运行，保证车辆始终处于安全运行状态。

对于全冗余的电动助力转向系统，如何保持主辅两路系统能够协调控制，共同保证转向系统的转向性能则依赖于主辅系统的相互通信。目前主辅系统的内部通信按照交互信号的特征，设计多种不同的通信方式，但是从硬件架构上看主辅内部通信仍然是非冗余的，因此主辅系统的内部通信既是两路系统协作控制的桥梁，也是整个冗余转向系统的薄弱点。主辅系统内部通信有快速通道、慢速通道、同步通道，主辅系统各自对收到的信息进行故障诊断，根据诊断到的故障类型结合失效带来的潜在影响，逐一针对不同的失效模式设计不同的安全降级策略。主辅系统内部发生通信失效，整个转向系统需要能够快速的进行合理的安全降级，但是又要保证转向系统的可用性，尽可能的维持电动助力转向功能。

在冗余转向系统中安全降级可以分为两个大类，一类是轻微故障，整个转向系统依然能够提供最大的转向助力能力；二类是严重故障，整个转向系统只能提供最大转向助力能力的一半。主辅系统的内部通信会按照不同的信号特征设计多种通信通道，在内部通信故障发生后，分析不同的通信失效可能带来潜在的失效风险来决定安全降级策略，保证冗余转向系统的安全性和可用性做到最好的平衡，因此制定合理正确的主辅系统通信方案及故障诊断降级策略尤为关键。

发明内容

本发明的目的是建立一种全冗余电动助力转向系统的主辅控制系统内部通信方案，并且依据系统特性设计主辅系统内部通信失效后的安全降级策略，保证主辅系统内部通信发生失效后，全冗余电动助力转向系统能够进入安全运行状态且尽可能地保证转向系统的可用性，保证车辆的行驶安全。

为解决上述技术问题，本发明提供一种全冗余电动助力转向系统内部通信故障安全降级的方法，所述全冗余电动助力转向系统包括主路系统、辅路系统和6相电机，主路系统和辅路系统分别控制6相电机的3相；

所述主路系统和辅路系统通过六个通信通道进行实时信息交互，通信通道包括UART串口通信通道、私CAN通信通道和PWM通信通道，UART串口通信通道、私CAN通信通道和PWM通信通道各自分为TX通道和RX通道，TX通道为发送通道，RX通道为接收通道；

所述全冗余电动助力转向系统根据六个不同通信通道的故障控制全冗余电动助力转向系统的工作模式的变更；

所述工作模式的级别从高到低依次包括模式0、模式1、模式2、模式3、模式4、模式5。

优选地，所述模式0表示主路系统和辅路系统没有故障；所述模式1表示主路系统没有故障，辅路系统的计算能力丢失；所述模式2表示主路系统的计算能力丢失，辅路系统没有故障；所述模式3表示辅路系统的执行能力和计算能力丢失，主路系统没有故障；所述模式4表示主路系统的执行能力和计算能力丢失，辅路系统没有故障；所述模式5表示主路系统和辅路系统的执行能力和计算能力都丢失。

优选地，当工作模式为模式0时，若UART串口通信TX通道或PWM通信TX通道发生故障，则控制工作模式变更为模式2；若私CAN通信TX通道、UART串口通信TX通道和PWM通信TX通道都发生故障，则控制工作模式变更为模式4；若私CAN通信RX通道、UART串口通信RX通道和PWM通信RX通道都发生故障，则控制工作模式变更为模式3。

优选地，当工作模式为模式1时，若UART串口通信TX通道或PWM通信TX通道发生故障，则控制工作模式变更为模式3；若私CAN通信TX通道、UART串口通信TX通道和PWM通信TX通道都发生故障，则控制工作模式变更为模式5；若私CAN通信RX通道、UART串口通信RX通道和PWM通信RX通道都发生故障，则控制工作模式变更为模式3。

优选地，当工作模式为模式2时，若UART串口通信RX通道或PWM通信RX通道发生故障，则控制工作模式变更为模式4；若私CAN通信TX通道、UART串口通信TX通道和PWM通信TX通道都发生故障，则控制工作模式变更为模式4；若私CAN通信RX通道、UART串口通信RX通道和PWM通信RX通道都发生故障，则控制工作模式变更为模式5。

优选地，所述通信通道发生故障的失效模式包括信息接收超时、一致性损坏、长度不匹配或数值超范围中的至少一个。

优选地，所述UART串口通信通道用于传输扭矩信号、转角信号、系统运行状态信号、助力请求信号或转向助力扭矩分配信号。

优选地，所述私CAN通信通道用于传输车速、轮速或上位机指令。

优选地，，所述PWM通信通道用于传输主路系统和辅路系统的同步控制信号。

本发明的技术效果是：提出了一种全冗余电动助力转向系统内部通信故障安全降级方法，该方案根据主辅系统内部互传信息的特征使用UART/SPI、私CAN、PWM三种内部通信相互组合，再根据冗余转向系统不同的工作模式，结合主辅系统各自的通信诊断结果，综合决定全冗余转向系统通信故障的安全降级策略。通过该策略的设计，使得在主辅系统内部通信故障发生后，冗余转向系统既能够快速进入安全状态，保证车辆的安全行驶，同时又能最大的发挥冗余转向系统的可用性，继续支持车辆转向控制，确保该全冗余助力转向系统的安全性、鲁棒性和最大可用性的统一。

附图说明

下面结合附图与具体实施方式对本发明作进一步详细的说明：

图1是双小齿轮式/平行轴式电动助力转向系统结构简图；

图2是支持高级别自动驾驶的主从式全冗余电动助力转向系统工作原理图；

图3是本发明的全冗余电动助力转向系统的工作模式示意图；

图4是本发明的全冗余电动助力转向系统架构原理图；

图5是本发明的主路系统和辅路系统内部通信通道示意图；

图6是本发明的主路系统和辅路系统内部通信故障失效形式及诊断措施示意图；

图7是本发明的主路系统和辅路系统内部通信诊断流程示例示意图；

图8是本发明的主路系统和辅路系统内部通信故障失效点及安全降级矩阵图。

具体实施方式

以下通过特定的具体实施例说明本发明的实施方式，本领域技术人员可由本说明书所公开的内容充分地了解本发明的其他优点与技术效果。本发明还可以通过不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点加以应用，在没有背离发明总的设计思路下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。本发明下述示例性实施例可以多种不同的形式来实施，并且不应当被解释为只限于这里所阐述的具体实施例。应当理解的是，提供这些实施例是为了使得本发明的公开彻底且完整，并且将这些示例性具体实施例的技术方案充分传达给本领域技术人员。

车辆的转向系统的主要作用在于辅助驾驶员或上位机实现车辆横向运动控制，改变或保持预定的汽车行驶方向，电动助力转向系统顾名思义是一种直接依靠转向电机提供辅助转向扭矩的转向系统，可以提高车辆转向的灵敏性及行驶安全性。汽车电动助力转向系统可根据助力电机的不同布置位置，分为管柱式转向系统、双小齿轮式转向系统以及平行轴式转向系统。三种电动助力转向机的转向助力从小到大依次递增，可匹配不同车辆对转向助力大小的不同要求。

图1为双小齿轮式/平行轴式电动助力转向系统结构简图，主要组成部件包含方向盘1，上管柱2，中间连接轴3，扭矩传感器4，小齿轮5，转向电子控制单元6，助力电机7，减速机构8，转向机齿条9，横拉杆10，轮胎11。

双小齿轮/平行轴式电动转向系统是通过机械转向和电动助力转向相叠加后共同改变车辆行驶方向，如图示向右转向。机械转向路径是主要驾驶员手通过方向盘1往右转动，施加的扭矩传递经过上管柱2和中间轴3，传递到扭矩传感器4经过小齿轮5减速，直接带动齿条9往右运动。电动助力转向路径是在扭矩传感器4探测驾驶员施加的转向扭矩，该目标手力信号经过电气传输传递至电子控制单元6换算成目标电动转向助力，并驱动电机7经减速结构8将电机的扭矩传递至齿条9往右运动。作用在齿条9上的电动转向助力和机械转向力矩进行叠加汇合，带动转向齿条9和横拉杆10的往右移动，控制轮胎11转向角改变从而实现行驶方向右转的改变。管柱式电动助力转向机控制原理类似。

图2是支持高级别自动驾驶的主从式全冗余电动助力转向系统工作原理图，主从式全冗余电动助力转向系统整体上分为主辅两路，主辅两路系统在硬件完全冗余，软件功能也是完全冗余但是能够支持独立计算和协作控制。为简化术语，下文用冗余系统替代全冗余电动助力转向系统，两者含义相同。

该转向系统可以支持驾驶员操控、低阶辅助驾驶和全自动驾驶的多种场景的横向控制。正常工作模式下，主路系统会依据驾驶员目标手力或上位机指令主导目标转向扭矩指令的计算，计算完成后将目标电机扭矩协调分配给主路和辅路系统的扭矩执行部分，主辅两路系统同步输出电机扭矩，保证转向系统100％助力正常工作。辅路系统的目标转向扭矩计算模块是Hot standby状态，也是根据辅路采集到的目标手力实时计算目标转向扭矩指令，并且将辅路系统的关键信息实时通过内部通信传输给主路系统。当主路系统丧失控制能力，处于hot standby的辅路系统会及时接替主路系统，继续协作控制主辅系统的扭矩执行部分，控制整个冗余转向系统继续完成转向任务。在冗余系统出现严重失效时，主路系统和辅路系统又能够独自控制各自的扭矩执行部分，继续提供部分转向助力控制车辆转向。

主从式冗余转向系统根据系统控制特性和系统失效形式的不同，可以运行多种工作模式进行安全降级，汇总的工作模式如图3所示。模式0代表冗余系统没有故障，处于正常的工作模式，主路系统主导控制，辅路系统热备份，整个系统最大可以提供100％转向助力；模式1代表辅路系统的计算能力丢失，冗余系统没有热备份，由主路系统控制主辅系统的执行部分协同工作，整个系统依旧能最大提供100％转向助力；模式2代表主路系统的计算能力丢失，由辅路系统接管控制主辅系统的执行部分协同工作，冗余系统没有热备份，但是系统依旧能最大提供100％转向助力；模式3代表辅路系统的执行能力和计算能力丢失，主路系统单独控制主路执行部分工作，系统最大可以提供50％转向助力；模式4代表主路系统的执行能力和计算能力丢失，辅路系统单独控制辅路执行部分工作，系统最大可以提供50％转向助力；模式5代表主辅系统的计算部分和执行部分均出现故障，整个系统转向能力丧失。

图4是全冗余电动助力转向系统架构原理图，主从式全冗余电动助力转向系统是主辅两路系统各自控制电机的3相，共同协作控制一个6相电机。主要控制器件包括两路整车供电电源1和2、两路整车通信1和2，两路扭矩传感器1和2、两个微控制器单元1和2、两个电源管理芯片1和2、两个预驱控制器1和2、两组三相桥1和2、两组相分离器1和2、主辅系统通信连接、电机转子位置传感器、还有图中未展示的滤波电路等保护电路。

正常工作模式下，主从式全冗余电动助力转向系统主路和辅路同时处于工作状态。主辅系统的各个控制器件在各自的系统中均正常工作，整车电源1经过滤波处理，通过提供12V直流电源给三相桥驱动控制1供电，整车电源1经过电源管理芯片1处理后，给各个电子器件提供不同的工作电压。微控制器单元1通过传感器1采集到驾驶员目标手力后计算需求的目标转向扭矩，该目标扭矩经过协调分配后通过主辅系统的内部通信传递到微控制器单元2。微控制器1通过预驱控制器1进行功率放大后驱动三相桥1，提供转向系统需要的50％转向助力；微控制器2根据接收微控制器1传递的目标指令，通过预驱控制器2进行功率放大后驱动三相桥2，提供转向系统需要的另外50％转向助力。正常工作模式下，主辅系统各自控制50％的转向助力经过叠加后可提供满足多种场景的高级别自动驾驶的100％转向助力。辅路系统计算单元在冗余系统正常模式出现系统故障后，会立即接管冗余系统的控制，保证整个系统能够进入安全降级，确保车辆的行驶安全。相分离1和2在主辅系统出现严重故障时可以分别动作，切断主辅系统的助力输出来确保转向系统的安全。

图5所示为全冗余电动助力转向机主辅系统内部通信示意图，主辅系统内部可使用包含但不限于UART、SPI、CAN和PWM等通信方式进行实时信息交互。对时间要求不高的信号如整车CAN信号车速、轮速、上位机指令，通过内部私CAN进行信息交互；实时性要求高的信号如扭矩或转角信号、系统运行状态信号、助力请求信号、转向助力扭矩分配信号，需要用传输速率高的UART/SPI通信进行交互；主辅系统同步控制信号采用PWM进行交互。图示全冗余电动助力转向机的主辅系统内部通信策略为：正常模式下，主辅系统的关键信息通过内部通信进行交互，上层的目标扭矩计算单元优先使用主路的输入信号计算请求的目标扭矩，经过主辅系统的各自系统状态进行决算和分配，下层扭矩执行部分根据UART通道中收到分配的目标扭矩指令进行响应，确保6相电机助力精准输出。当主辅系统各自的关键信息丢失后，互为备份的信息通过主辅系统内部通信可以传递到对方使用，继续控制转向系统工作。

每种内部通信的主要失效形式，诊断机制和处理措施如图6所示，用Time Out监控机制可以探测通信接收超时的故障，在确认故障的debounce过程中继续采用上一时刻的有效值，故障确认后将该信号值设置为SNA值；对于传输信息的一致性损坏的故障可以使用CRC校验机制来监测，在确认故障的debounce过程中继续采用上一时刻的有效值，故障确认后将信号值设置成SNA；传输信号的长度错误可以用DLC校验机制来监测，在确认故障的debounce过程中继续采用上一时刻的有效值，故障确认后该信号值设置为SNA；主辅系统需要对各自收到的信号进行合理化检测，若检测到不合理的数据范围应该将信号设置为SNA。

图7所示为全冗余电动助力转向机主辅系统内部通信诊断流程图示例，该流程图是以正常模式为初始状态开始的主辅系统内部通信诊断流程。正常模式下主路系统主导目标电机扭矩的计算，协作控制主辅系统的执行部分，辅路计算部分作为热备份。模式0下主路系统作为主导控制，尤其关注三种通信的TX通道，若计算的目标扭矩指令和同步指令均能够通过TX通道发送给辅路系统，冗余系统就维持在模式0工作；若计算的目标扭矩指令和扭矩同步指令不能通过TX通道发送给辅路系统，辅路系统需要切成主导控制，冗余系统切换成模式2工作，协作控制主辅系统的执行部分，可以继续提供100％最大转向助力。在模式2下工作，辅路系统作为主控系统会关注三种通信的RX通道，若计算的目标扭矩指令和扭矩同步指令不能通过RX通道发送给主路系统，冗余系统就切换成模式4运行，辅路系统单独控制辅路的执行部分，继续提供50％的最大转向助力。

结合冗余转向的主辅系统3种不同的内部通信类型、通信故障的6种不同的失效点及主从式冗余转向系统的6种工作模式，针对每一种通信的失效点设计不同的安全降级策略来保证系统既能够进入安全状态，也尽可能的发挥冗余系统的能力，维持较大的转向助力，图8所示的是主辅系统通信失效的安全降级策略矩阵。

失效点①～⑥和图7所示一致，主要考虑的是主辅系统内部通信失效的单一故障，⑦～⑧主要是针对主辅系统的所有内部通信中断的失效形式；内部通信发送和接收的TX和RX失效形式分别单独考虑安全降级；当前模式是指发生主辅系统通信故障前一刻冗余系统的工作模式，模式0～5都有可能处在工作模式。此种设计是综合考虑了冗余转向系统可能发生二次失效的情形，即冗余系统可能已经处于安全降级模式运行中，再次发生了主辅系统内部通信故障的可能，充分考虑的冗余系统鲁棒性和安全性。

若冗余系统当前工作在模式0正常模式，失效点①是主路系统CAN发送通道失效，但是计算的目标扭矩依旧可以通过UART通道发送给辅路微控制器，系统还是处于模式0，主辅系统正常协作提供100％转向助力；失效②是主路系统CAN接收通道失效，不影响主辅系统的目标扭矩或者系统状态的交互，系统处于模式0，主辅系统可正常协作提供100％转向助力；失效③是主路UART发送通道失效，主路系统的目标扭矩和系统状态信号不能传递到辅路系统，辅路系统诊断出该通信故障后经UART通道回传结果给主路系统，冗余系统安全降级进入模式2运行，辅路系统单独控制主辅系统的执行部分，最大可以提供100％转向助力；失效④是主路UART接收通道失效，但是发送通道完好，主路系统计算好的目标扭矩依旧可以发送给辅路系统，主辅系统可以协作提供100％转向助力，但是此时主路系统对辅路系统的状态是未知的；失效⑤是主路的PWM发送通道失效，主路系统不能同步辅路系统，虽然目标扭矩信号可以发送给辅路系统，但是主辅系统不能同步协作输出，冗余系统安全降级进入模式2运行，辅路系统控制主辅系统的执行部分，最大可以提供100％转向助力；失效⑥是主路的PWM接收通道发生失效，主路计算的目标扭矩可以正常发送给辅路系统，但是在正常控制模式下是主路系统同步辅路系统，因此该失效下主辅系统依旧可以协作同步提供100％转向助力；失效⑦是主路的CAN、UART和PWM三个发送通道都同时失效，意味着辅路系统监控到收不到主路的任何通信信息，会判定主路微控制器死机，辅路系统主动接管系统进入模式4，单独控制扭矩执行部分最大可提供50％转向助力；失效⑧是主路的CAN、UART和PWM三个接收通道都同时失效，意味着主路系统监控系统收不到辅路系统的任何信息，会判定辅路微控制器死机，主路系统接管系统进入模式3，单独控制扭矩执行部分最大提供50％转向助力。当前系统模式若处在其他降级模式，主辅系统内部通信失效后的安全降级策略经过详细设计，具体如图8。

综上所述，本发明提出的方法结合冗余转向系统的多工作模式特征，针对主辅系统信息交互的不同要求，设计了多种通信方式进行信息交互的方案。根据主辅系统内部通信的不同失效模式，结合不同的失效对冗余转向系统的影响，设计了多种安全降级策略，既能保证在内部通信发生失效时系统能够进入安全状态，又尽可能的使冗余系统发挥会优良的性能，使系统的安全性和可用性得到高度的统一。

以上通过具体实施方式和实施例对本发明进行了详细的说明，但这些并非构成对本发明的限制。在不脱离本发明原理的情况下，本领域的技术人员还可做出许多变形和改进，这些也应视为本发明的保护范围。