用于提高助力转向装置的失效安全性的计算和功能架构系统制造方法及图纸

本发明专利技术涉及一种用于运行电的助力转向装置的计算和功能架构系统、一种控制器和一种助力转向装置，其具有失效概率高的第一组模块和失效概率低的第二组模块。在此，所述第一组模块具有比所述第二组模块高的失效概率。所述第一组模块在此保持冗余并且由此划分为主模块和冗余构造的所谓副模块。所述主模块被设置在主控制路径上且所述副模块相应被设置在副控制路径上。每条所述控制路径最终产生控制信号、即主控制信号和副控制信号。经由多路复用器决定将所述两个控制信号中的哪个控制信号传递给所述第二组中的模块。所述第二组模块仅以单重构造形式存在并且非冗余地存在。

【技术实现步骤摘要】
【国外来华专利技术】用于提高助力转向装置的失效安全性的计算和功能架构系统
本专利技术涉及一种用于运行电的助力转向装置以便提高失效安全性和可用性的计算和功能架构系统。
技术介绍
电的助力转向装置(ElectricPowerSteering(EPS))用于给机械控制系统施加助力。在此，通常存在如下的控制器(ElectronicControlUnit(ECU))，该控制器发送相应的控制信号，从而在转向柱上的机械致动器(例如伺服电机)或者具有被驱动的齿轮的齿杆运动。在此希望确保特定的失效安全性或可用性，以便确保特定的质量准则，例如在汽车领域中常见的汽车安全完整性等级(AutomotiveSafetyIntegrityLevel，ASIL)，其例如为了自动驾驶而规定。而失效也被称为系统功能突然丧失(SuddenLossofSystemFunctionality)。这样的系统功能丧失也可能超出单纯的助力辅助丧失，即：当助力转向装置施加反向于期望的转向运动的力时，该力可能导致过度转向或可能导致转向卡住。所述可用性通过倒转的标准尺度来给出，该倒转的标准尺度称为每单位时间的失效(failureintime(FIT))。这是关于时间间隔十亿小时的失效率，即，每109小时的失效数。按照用于安全相关的系统的标准ISO26262的可用性表明：设备在给定的条件下在特定的时间或特定的时间段期间实施功能的能力以所需的外部资源可用为前提。尝试提高失效安全性的现有技术可以分为两种不同的类别：1.在控制器内部的监控的冗余2.在控制器外部的系统的一部分的冗余第一种类别是现今的用于EPS的控制器的现有技术，这些控制器满足ASIL-D标准的要求。根据必要时实现有限的运行模式的软件措施，这些控制器具有针对辅助突然丧失的在1600至500FTT的范围内的FTT水平。然而不能够实现达到更低的FTT水平、例如100。这样的尝试的设计可以以在例如32位锁步模式中运行主安全性控制和副安全性控制为基础。其它构想、例如电子油门(EGAS)同样是可能的。第二种类别的系统涉及电子系统的部分冗余或完全冗余。因此，在控制器的电流供应冗余的情况下，仅在电流供应中的故障被该控制器所覆盖，但针对辅助突然丧失的FTT水平根据软件措施和有限的运行模式的可能实现而仍然保持在1600至500FTT的范围内。在控制器完全冗余的情况下，针对辅助突然丧失的FTT水平下降到100FIT之下，但该解决方案引起非常高的复杂性、高的成本并且因此引起该系统在车辆中的不同结构。第一种类别的示例在文献EP2755881A1、US7165646B2中找到，这些文献都不实现FTT水平为100的目标。现有技术的下列文件属于第二种类别：DE19832506A1教导一种用于助力转向系统的电气的电流供应，该电流供应具有主电流供应和单独的备份电池。US8593084B2示出一种用于助力转向的第二辅助性电流供应。这些解决方案不实现100的FTT水平，因为这些专利技术聚焦于冗余的电流供应，但控制器本身仍然具有1600至500的FTT水平。文献US6693405B2教导一种电气的助力转向系统，该助力转向系统同样应属于第二种类别。该解决方案成功实现低于100的FIT水平，因为控制器功能全部都双重设置。然而，该解决方案具有下列缺点：-使用具有6相的电机，这意味着用于将电机集成在控制器中的附加耗费，-需要冗余的电流供应，这导致车辆的电气架构的改变，例如对至电池的连接器或对电缆束的改变，-不能实现大量生产，在可预见的时间内非一次地具有小的件数，-高成本。
技术实现思路
本专利技术所基于的任务在于定义一种用于控制器的架构系统(计算和功能架构系统)，该架构系统将助力转向的辅助由于在控制器本身中的故障而出现突然丧失的概率从500FIT减小至100FIT之下。在此应该致力于如下的解决方案，该解决方案是成本低廉的并且能够容易地被集成到现有系统中。按照本专利技术，前述任务利用独立权利要求特征来解决。进一步的有利的实施方案在从属权利要求中说明。提出一种用于运行电的助力转向装置的计算和功能架构系统，所述计算和功能架构系统具有失效概率高的第一组模块和失效概率低的第二组模块。在此，所述第一组模块具有比所述第二组模块高的失效概率。所述第一组模块在此保持冗余并且由此被划分为主模块和冗余构造形式的所谓副模块。所述主模块被设置在主控制路径上且所述副模块被相应设置在副控制路径上。这些控制路径中的每条控制路径最终产生控制信号、即主控制信号和副控制信号。经由多路复用器决定将这两个控制信号的哪个控制信号传递给所述第二组中的模块。该第二组模块仅以单重构造形式存在并且非冗余地存在。控制路径用于产生控制信号。所产生的控制信号与处理状态并且与该控制路径中的输入参量、例如传感器信号有关。所产生的控制信号此外可以对数据路径、其它控制路径或致动器产生影响。在当前情况下，用于电气的助力转向装置的控制器基于传感器或外围模块(例如转矩传感器)的输入信号或输入参量或者电池电压或CAN接口的数据信号进行计算。控制器、尤其是计算单元从这些参量确定转向系统的状态和所期望的转向力辅助。这些必要时作为数据信号存在的信息经由功率开关传递给位于控制器之外的伺服电机。该伺服电机引起力施加到转向器上。按照本专利技术，贯穿控制器的整个控制路径的一部分冗余地设置。从共同的输入信号出发，在主控制路径上的模块以与在副控制路径上的模块相同的方式确定一定的状态参量。这两条控制路径中的一条控制路径经由在控制器中的多路复用器在内部被传递，而另一条路径的控制信号被拒绝。被传递的控制信号在第二组模块中被进一步处理，从而最终产生从控制器中出来的输出控制信号、尤其是操控外部致动器的输出控制信号。一种决定多路复用器传递所述两个控制信号的哪个控制信号的可能性在于故障信号的条件，该故障信号表明主控制路径是否提供无故障的信号。如果主控制路径没有提供无故障的信号，则多路复用器可以传递副控制路径的信号。通过所提出的在控制器内的部分硬件冗余，该控制器被划分为对应于第一组模块和第二组模块的冗余部分和非冗余部分。划分为第一模块和第二组模块是基于已经实施的用于提高或降低失效概率的措施的考虑，其中，所述第二组具有低的失效概率。因此，在控制器中实现的软件策略能够导致第二组模块总体上首先获得低的失效概率。该软件可以包含察觉在这些模块中的故障的并且采取措施来补偿或绕过这些故障的功能。一种可能的解决方案例如是提供有限的运行模式。通过本专利技术能够得到下列优点：-接口中立(schnittstellenneutrale)的解决方案(全内解决方案，all-insidesolution)，该解决方案不需要使控制器的外围设备或接口相对于传统的控制器发生改变。在现有技术的可能继续生产的解决方案与所提出的解决方案之间的灵活过渡。-能够实现在相同的车辆中的集成，因为不需要附加的连接器、附加的电流供应或电缆束。-克服有缺陷的控制功能以及避免辅助突然丧失。-从主控制路径到副控制路径以柔和的过渡的快速转换引起对于驾驶员的由于辅助丧失的危险降低并且引起舒适的驾驶感觉。-低的成本，因为不需要两个电机或两个控制器。例如，不强制需要这样一个六相BLDC电机或附加冗余用于实现期望的FIT水平。-适用于各种不同类型的EPS本文档来自技高网...

【技术保护点】
1.一种用于运行电的助力转向装置的计算和功能架构系统，其中，存在失效概率高的第一组模块和失效概率低的第二组模块，所述第一组模块具有比所述第二组模块高的失效概率，所述第一组模块保持冗余并且由此存在主模块和以冗余构造存在的副模块，所述主模块和所述副模块分别被设置在主控制路径和副控制路径上并且分别产生控制信号、即主控制信号和副控制信号，其特征在于，所述第二组模块仅以单重构造形式存在并且设有多路复用器，所述多路复用器将所述两个控制信号之一传递给所述第二组模块中的模块。

【技术特征摘要】
【国外来华专利技术】2016.02.10 DE 102016102259.41.一种用于运行电的助力转向装置的计算和功能架构系统，其中，存在失效概率高的第一组模块和失效概率低的第二组模块，所述第一组模块具有比所述第二组模块高的失效概率，所述第一组模块保持冗余并且由此存在主模块和以冗余构造存在的副模块，所述主模块和所述副模块分别被设置在主控制路径和副控制路径上并且分别产生控制信号、即主控制信号和副控制信号，其特征在于，所述第二组模块仅以单重构造形式存在并且设有多路复用器，所述多路复用器将所述两个控制信号之一传递给所述第二组模块中的模块。2.根据权利要求1所述的计算和功能架构系统，其特征在于，所述第一组模块包括下列模块中的至少一个模块：-电流监控器(PMIC)；-计算单元(MCU)；并且所述第二组模块包括下列模块中的至少一个模块：-驱动器(GDU)-末级(PS)-相切控制装置(PCO)。3.根据权利要求1或2所述的计算和功能架构系统，其特征在于，主模块在主模块故障时设定主故障信号(1st_Safety_M、2nd_Safety_M)，而副模块在副模块故障时设定副故障信号(1st_Safety_S、2nd_Safety_S)。4.根据权利要求3所述的计算和功能架构系统，其特征在于，在主控制路径与副控制路径之间的唯一通信以及在副控制路径与主控制路径之间的唯一通信包括下列内容：主故障信号(1st_Safety_M、2nd_Safety_M)从主模块传输至副模块；副故障信号(1st_Safety_S、2nd_Safety_S)从副模块传输至主模块。5.根据上述权利要求中任一项所述的计算和功能架构系统，其特征在于，主模块在副模块故障时设定副故障信号(1st_Safety_S、2nd_Safety_S)，而副模块...

【专利技术属性】
技术研发人员：V·贝尔农恩贾伯特，J·迪奇，F·加尔蒂，
申请(专利权)人：黑拉有限责任两合公司，
类型：发明
国别省市：德国,DE