具有运动控制部件的保护的双电源汽车电气系统的制作方法

1.本发明总体上涉及一种汽车电气系统，并且更具体地涉及一种用于维持关键运动控制系统的高可靠性的隔离器电路。


背景技术：

2.尤其是随着在所有类型的机动车辆中越来越多地使用自主驾驶车辆和线控驱动控制系统，运动相关系统的高可靠性很重要。
3.国际标准iso 26262定义了称为汽车安全完整性等级(asil)的风险分类方案，并且根据危险等级定义了安全合规性要求。风险等级包括asil-a、asil-b、asil-c和asil-d，其中asil-d表示最高威胁等级。根据威胁严重性、暴露率和可控性来确定风险等级。例如，制动系统、转向系统、发动机管理系统、安全气囊系统和自主计算/传感器系统可以携带asil-d等级。对于每个评估的风险等级，识别各种过程和所需的风险降低等级以实现合规性。还定义了qm(质量管理)等级，其表示没有危险并且不受asil等级要求约束的部件。
4.在利用具有对应asil要求的部件的车辆中，继续存在处于qm等级的许多其他车辆部件。qm等级电气负载可以与asil电气负载共享电源(例如，电池、交流发电机或dc/dc转换器)。qm等级电气负载的故障可能会传播到互连部件，这可能会影响asil等级(即，a、b、c或d)负载。一种解决方案是设计qm等级部件以符合任何连接的装置的asil安全等级。但是由于在自主车辆和线控驱动车辆中仍然存在大量传统系统(例如，电气负载，诸如am/fm无线电接收器、内部照明、时钟、加热座椅、视频播放器等)，将这些传统系统设计和制造到与关键运动控制系统相同的稳健性水平是不切实际的。
5.取而代之将期望检测传统系统中可能导致运动控制故障的关键故障并且防止它们传播。还期望允许从正常操作平稳地过渡到故障缓解状态，诸如从以高速行驶过渡到以受控方式靠边停驶和停车。


技术实现要素：

6.汽车电气系统从两个dc源提供电力。每个dc源连接到单独的一组完整性保护(asil)负载。第三组非asil负载通过具有第一晶体管阵列和第二晶体管阵列的可控隔离器连接到两个电源。通过隔离器的连接还将每个asil组连接到另一个dc源。在隔离器闭合的情况下，来自任一dc源的电力可以流向任何负载。控制电路包括用于驱动第一晶体管阵列和第二晶体管阵列使其导通的多个驱动器。控制电路被配置为当检测到其中晶体管阵列中的至少一者中的电流超过阈值的故障状况时，停止驱动第一晶体管阵列和第二晶体管阵列中的至少相应一者。因此，asil负载受到保护而不会有在非asil负载中发生的故障。
7.在本发明的一个方面，一种汽车电气系统包括第一dc电源和第二dc电源。连接第一组完整性保护负载以从第一dc电源接收电力。连接第二组完整性保护负载以从第二dc电源接收电力。第三组质量管理(qm)负载(第一组完整性保护负载和第二组完整性保护负载将受到保护而不会有故障)通过具有第一晶体管阵列和第二晶体管阵列的可控隔离器连接
到电源。第一晶体管阵列耦合在第一dc电源与第三组qm负载之间，其中第一晶体管阵列具有连接qm负载以从第一dc电源接收电力的闭合状态和用于隔离qm负载与第一组完整性保护负载的断开状态。第二晶体管阵列耦合在第二dc电源与第三组qm负载之间，其中第二晶体管阵列具有连接qm负载以从第二dc电源接收电力的闭合状态和用于隔离qm负载与第二组完整性保护负载的断开状态。第一电流传感器测量流过第一晶体管阵列的第一电流。第二电流传感器测量流过第二晶体管阵列的第二电流。控制电路包括用于驱动第一晶体管阵列和第二晶体管阵列使其导通的多个驱动器。控制电路被配置为当检测到其中第一电流传感器或第二电流传感器测量到超过阈值的第一电流或第二电流的故障状况时，停止驱动第一晶体管阵列和第二晶体管阵列中的至少相应一者。
附图说明
8.图1是示出根据本发明的汽车电气系统的一个优选实施例的示意图。
9.图2是示出根据替代实施例的晶体管阵列的示意图。
10.图3是更详细地示出图1的晶体管阵列和驱动器的示意图。
11.图4是更详细地示出图1的电流测量部分的示意图。
12.图5是更详细地示出图1的电压测量部分的示意图。
13.图6是更详细地示出图1的短路验证电路的示意图。
具体实施方式
14.机动车辆上的双电源可以包括1)标准12v电池源，其用于为传统类型的部件供电和/或为内燃发动机的起动机供电；以及2)转换电源，诸如来自由内燃发动机驱动的交流发电机的整流器/电压调节器的输出或dc/dc转换器的输出，所述dc/dc转换器将高压牵引电池的输出(例如，通常至少100v)降频转换为标称12v。在一些已知的车辆架构中，两个dc源的输出都连接到单个电源总线以将公用电压(例如，12vdc)输送到asil负载和qm负载两者，由此如果一个电源中断，则负载可以继续操作。本发明将asil负载隔离成两组非qm额定运动控制系统(即，asil完整性保护负载)，用于单独将每一组直接连接到隔离器电路的相对侧上的两个电源中的不同电源，而qm额定负载(第一组完整性保护负载和第二组完整性保护负载将受到保护而不会有故障)被分组在隔离器电路的中心。当隔离器电路闭合时，qm负载和非qm负载都由12v电池系统和第二dc电源(例如，由电动推进车辆的高压电池驱动的dc/dc转换器或内燃发动机或ice车辆中的12v交流发电机)的组合供电。如果在电气系统中的任何地方检测到电力故障(例如，过电流状况或欠电压状况)，则隔离器电路断开以允许至少一半的非qm负载继续操作。对于仅在qm负载内发生的故障(这是最可能的情况)，所有非qm负载将继续从dc源中的一个接收dc电力。
15.参考图1，汽车电气系统10包括蓄电池11和提供双dc电源的dc/dc转换器12。在子总线13上提供来自电池11的电池电力(例如，标称12伏)，并且在子总线15上提供来自转换器12的等效dc电压。第一组asil负载14经由子总线13与车辆(底盘)接地21之间的连接由电池15直接供电。第二组asil负载16从子总线15连接到接地21。隔离器电路包括用于将子总线13和15选择性地耦合到中心子总线18的隔离开关17和隔离开关19。多个qm负载20从中心子总线18连接到接地21。
16.每个隔离开关17和19包括在控制电路28的控制下由相应的栅极驱动器24-27驱动的相应的晶体管阵列22和23。控制器28(其可以由一个或多个微处理器组成)与栅极驱动器24-27一起形成控制电路，所述控制电路根据故障状况的存在或不存在命令晶体管阵列22和23的断开状态或闭合状态。控制器28可以经由诸如can收发器的多路复用总线30与车辆中的其他控制器或电子系统29通信。
17.每个晶体管阵列22和23由并联连接的多个串联连接的开关晶体管对组成。每个串联连接的对提供开关冗余，使得即使所述对中的一对在短路状况下发生故障，所述对也可以实现断开状态。使用多个并联对增加了总体载流能力，同时限制了在单独的开关晶体管中生成的总电流和温度。优选地，隔离开关的开关晶体管由n沟道增强型mosfet组成。图3示出了晶体管阵列22，其中一对串联的mosfet31a和31b是源极-漏极配置，其栅极端子分别连接到驱动器24和25。在没有来自驱动器24和25的驱动信号的情况下，mosfet 31a和31b处于断开状态以阻止电流从子总线13流到子总线18。当激活驱动器24和25以向mosfet 31a和31b提供驱动信号时，它们切换到闭合状态并且连接子总线18上的qm负载以经由子总线13从电池接收电力。串联对的mosfet 31a和31b与另外串联对的mosfet 32a/32b、33a/33b和34a/34b并联连接，以提供足够的载流能力，并且还在任何mosfet无法进入断开状态的情况下提供冗余。每个串联对的mosfet之间的结合点都连接在一起。例如，可以使用fit(时间故障)率分析来确定并联mosfet对的数量。
18.mosfet 31a、32a、33a和34a形成其栅极端子都连接到驱动器24的列，并且mosfet 31b、32b、33b和34b形成其栅极端子都连接到驱动器25的列。控制器命令驱动器24和25产生相同的栅极驱动信号(即，在正常状况下一致地启动/停用所有mosfet)，但是使用两个不同的栅极驱动器的单独控制提供了针对栅极驱动器的潜在故障的增强的稳健性。在一个示例中，栅极驱动器的加倍获得小于10fit的故障率(即，每109小时小于10次故障)。
19.差分放大器35具有横跨mosfet 31a、32a、33a和34a的列连接的输入，以便基于所述列两端的电压降来测量组合的r
ds(接通)
。同样地，差分放大器36具有横跨mosfet 31b、32b、33b和34b的列连接的输入，以便基于所述列两端的电压降来测量组合的r
ds(接通)
。一对热敏电阻37和38靠近mosfet定位以监测阵列22各部分的温度。差分放大器35和36以及热敏电阻37和38的输出端耦合到控制器，以便执行诊断以确定任何特定的mosfet是否已经发生故障或可能接近故障。
20.在图3的源极-漏极配置中，mosfet中每一个的固有体二极管(从漏极端子指向源极端子)在从中心子总线18到第一电源总线13的方向上导电。在图1中，晶体管阵列23中的mosfet的体二极管在从中心子总线18到第二电源总线15的方向上导电。因此，当通过中断对应的栅极驱动信号将一个晶体管阵列的mosfet置于断开状态以试图阻止来自相应dc源的电流时，将不会阻止在相反方向上流动(即，经由中心子总线18来自相对的dc源)的电流。因此，响应于任何检测到的故障状况，隔离开关17和19两者同时断开。否则，如果将在电池11的端子处或在使子总线13接地短路的任何asil负载14中检测到短路故障，并且如果隔离开关17断开并且隔离开关19保持闭合，则来自转换器12的电流将能够经由晶体管阵列22中的体二极管流入短路中。因此，响应于使用如图1中所示的隔离电路的故障状况，晶体管阵列22和23两者都切换到它们的断开状态，这导致所有三组负载14、16和20彼此隔离。如果在qm负载20中的一个中发生故障状况，则asil负载14和16受到保护而不会有故障，并且它们
继续分别从dc源11和12接收dc电力。如果在dc源中的一个处发生故障状况，则当隔离开关17和19两者都断开时，直接遭受故障的asil负载和qm负载20两者都与dc电力断开，而其余一组asil负载仍然从无故障dc源接收dc电力。
21.由于体二极管的有限载流能力，肖特基二极管80横跨mosfet阵列22与体二极管并联连接。因此，如果在阵列22处于断开状态时有电流流过所述阵列，则二极管80而不是体二极管将导通，以保护mosfet免受损坏的电流水平。齐纳二极管81和82设置在栅极驱动器24和25的输出端，以将栅极驱动器电压钳位到可容许水平，以防驱动器在其输出端出现可能损坏mosfet的过电压的故障情况。
22.图2示出了图1的电路的一部分的修改，其向隔离开关中的每一个添加了双向阻塞，这可以允许一个隔离开关在另一个隔离开关断开时保持闭合以隔离dc源总线中的一个处的故障。在第一隔离开关17中，晶体管阵列37与晶体管阵列22串联放置。晶体管阵列37包括具有类似于晶体管阵列22的行和列的串联对的n沟道增强型mosfet，不同之处在于阵列37中的mosfet以共源极配置连接。栅极驱动器39和40连接到阵列37中的相应列的mosfet中的栅极端子，并且栅极驱动器41和42连接到阵列38中的相应列的mosfet中的栅极端子。阵列37中的mosfet的体二极管与阵列22中的mosfet的体二极管相对。因此，当栅极驱动器停止驱动阵列22和37中的mosfet时，在两个方向上阻止电流。当dc源中的一个或一组asil负载出现故障状况时，仅需要断开相应隔离开关(由呈源极-漏极配置和共源极配置两者的mosfet阵列组成)以隔离故障，从而允许qm负载和另一组asil负载依靠其余dc源进行操作。因此，虽然来自一个隔离开关的栅极驱动器的所有栅极驱动信号在任何一个时间都具有相同的接通或断开电平，但是两个隔离开关的栅极驱动信号可以不相同。
23.本发明中对故障状况的检测可以包括检测电流故障(例如，导致过大电流的短路)和/或电压故障(例如，当闭合隔离开关时可能导致大涌流的电压失配)。如图1中所示，对于隔离电路的每个相应侧，使用电流感测电路45和46检测电流故障，并且使用电压感测电路47和48检测电压故障。电流感测电路45和46基本上相同，电压感测电路47和48也是如此。
24.在图4中更详细地示出了电流感测电路45。两个电阻器分流器50和51在子总线13上串联连接。差分放大器52和53分别确定每个分流器50和51两端的电压降，以测量电流。每个分流器50和51包括一对并联分流电阻器，以在分流电阻器发生故障的情况下增加电路稳健性并且帮助诊断(例如，如果分流电阻器发生故障，则即使电流应相等，但由差分放大器针对一个分流器测量的电流将是由另一差分放大器测量的电流的两倍)。差分放大器50和51的输出由差动放大器54进行比较，以确定电流分流器之间的测量误差水平。将差动放大器54的输出提供给控制器28，在所述控制器中，可以将其与误差阈值进行比较，并且如果超过误差阈值，则可以向用户或主车辆中的主控制器发送故障通知。
25.差分放大器50和51的输出端还耦合到比较器55和56的相应输入端，以与由定义过电流故障状况的参考信号57和58设置的触发水平进行比较。比较器55和56的输出端连接到mosfet 60和61的栅极端子，其输出端耦合在接地与栅极驱动器24和25的相应输出端之间。如果比较器55或56中任一者指示过电流故障(例如，比较器55或56的输出很高)，则启动mosfet 60和/或61以拉动栅极驱动器24和/或25的输出使其接地，从而迫使晶体管阵列22中的两列mosfet都进入断开状态。比较器55和56被锁存在其输出为高的状态，使得隔离开关保持断开，直到dc电源循环断开/接通或由车辆主机发起重置命令为止。
26.在图5中更详细地示出了电压感测电路47。具有电阻器64-67的电阻分压器63用于在子总线13上生成缩放版本的dc电压。电阻器64-67的布置方式还使得能够检测电阻分压器63的状况以辅助故障诊断。电阻器64-67尺寸的设计方式(使用低于通常使用的值)还用以获得具有高分辨率和准确度的快速瞬态测量。为了减少由于电阻分压器63的低电阻引起的钥匙关闭负载效应(例如，12v电池上的过度消耗)，与电阻分压器63串联添加采样开关68。采样开关68在需要电压测量时由控制器28接通，然后在不使用时断开。差分放大器70用于读取电阻器66和67两端的电压，并且在接通采样开关68时将测量值发送到控制器28。隔离器电路两侧的测量电压可以由控制器28用于诊断开关均衡。在开关均衡中，在允许隔离开关从断开状态闭合之前，隔离器的两端的电压必须基本上相等(例如，电压之间的差值不能大于预定差值)。如果隔离器两端的差分电压太高，则这种均衡要求减少了可能流过mosfet的大涌流。
27.图1中的电路还示出了短路验证电路49，其在图6中更详细地示出。在已经检测到过电流故障状况之后，晶体管阵列22和23中的所有mosfet将处于断开状态，因为栅极驱动器将停止驱动mosfet使其导通。在过电流状况已经过去之后，将需要一种用于确定隔离开关是否可以再次闭合的方法。假如最初检测到的短路存在于隔离器外端中的一个外端处，则来自感测电路47和48的电压测量值可以用于确定短路是否仍然存在。对于连接到隔离器的中心子总线18的qm负载20，在隔离器的断开状态期间将仅有低电压或浮动电压可用。因此，需要单独的电路来确定子总线18的状况。
28.短路验证电路49包括连接在子总线13与电阻器72的一侧之间的充电开关71(例如，双极晶体管)。电阻器72的另一侧通过由串联电容器74和75组成的电容耦合到接地。电阻器72与电容器74之间的结合点通过电阻器73耦合到中心子总线18。当隔离开关处于断开状态并且期望检查qm负载20内是否仍然存在短路故障时，接通充电开关71(例如，控制器向开关71的控制端子提供驱动信号)。这实现了电容器74和75通过电阻器72充电。在预定时间段之后，断开充电开关71，这允许来自电容器74/75的电流通过电阻器73馈送到子总线18。由控制器(经由未示出的连接)监测电容器74/75两端的电压。如果仍然存在影响子总线18的短路，则控制器将读取电容器74/75两端的降低的电压。在这种状况下，隔离开关将不会闭合(即，将保持断开)。如果电容器74/75两端的电压在预定时间间隔内保持基本恒定，则不存在短路并且可以允许闭合隔离开关。

技术特征：
1.一种汽车电气系统，其包括：第一dc电源；第二dc电源；第一组完整性保护负载，其被连接以从所述第一dc电源接收电力；第二组完整性保护负载，其被连接以从所述第二dc电源接收电力；第三组质量管理(qm)负载，所述第一组完整性保护负载和所述第二组完整性保护负载将受到保护而不会有故障；第一晶体管阵列，其耦合在所述第一dc电源与所述第三组qm负载之间，其中所述第一晶体管阵列具有连接所述qm负载以从所述第一dc电源接收电力的闭合状态和用于隔离所述qm负载与所述第一组完整性保护负载的断开状态；第二晶体管阵列，其耦合在所述第二dc电源与所述第三组qm负载之间，其中所述第二晶体管阵列具有连接所述qm负载以从所述第二dc电源接收电力的闭合状态和用于隔离所述qm负载与所述第二组完整性保护负载的断开状态；第一电流传感器，其测量流过所述第一晶体管阵列的第一电流；第二电流传感器，其测量流过所述第二晶体管阵列的第二电流；以及控制电路，其包括用于驱动所述第一晶体管阵列和所述第二晶体管阵列使其导通的多个驱动器，其中所述控制电路被配置为当检测到其中所述第一电流传感器或所述第二电流传感器测量到超过阈值的第一电流或第二电流的故障状况时，停止驱动所述第一晶体管阵列和所述第二晶体管阵列中的至少相应一者。2.如权利要求1所述的系统，其中所述第一晶体管阵列和所述第二晶体管阵列各自由多个mosfet组成。3.如权利要求2所述的系统，其中每个阵列中的所述mosfet包括并联连接的多个串联连接对。4.如权利要求3所述的系统，其中所述控制电路包括四个驱动器，其中第一对驱动器连接到所述第一晶体管阵列，并且第二对驱动器连接到所述第二晶体管阵列，并且其中每对中的一个驱动器连接到相应串联连接对中的所述mosfet中的一个，并且每对中的另一个驱动器连接到相应串联连接对中的所述mosfet中的另一个。5.如权利要求1所述的系统，其中所述第一晶体管阵列和所述第二晶体管阵列用作单向隔离开关，并且其中当所述第一电流和所述第二电流中的任一者超过所述阈值时，所述控制电路停止驱动所述第一晶体管阵列和所述第二晶体管阵列两者，从而使所述第一组负载、所述第二组负载和所述第三组负载相互隔离。6.如权利要求1所述的系统，其中所述第一晶体管阵列和所述第二晶体管阵列各自由用作单向隔离开关的多个mosfet组成，其中所述系统还包括：第三晶体管阵列，其耦合在所述第一dc电源与所述第三组qm负载之间，其中所述第三晶体管阵列由用作具有与所述第一晶体管阵列相反的极性的单向隔离开关的多个mosfet组成；以及第四晶体管阵列，其耦合在所述第二dc电源与所述第三组qm负载之间，其中所述第四晶体管阵列由用作具有与所述第二晶体管阵列相反的极性的单向隔离开关的多个mosfet组成；
其中所述控制电路还包括用于将所述第三晶体管阵列驱动到与所述第一晶体管阵列等效的断开状态或闭合状态的多个驱动器，并且其中所述控制电路还包括用于将所述第四晶体管阵列驱动到与所述第二晶体管阵列等效的断开状态或闭合状态的多个驱动器；以及其中所述控制电路被配置为在检测到所述第一电流传感器测量到超过所述阈值的第一电流的所述故障状况时，仅停止驱动所述组合的第一晶体管阵列和第三晶体管阵列，并且其中所述控制电路被配置为在检测到所述第二电流传感器测量到超过所述阈值的第一电流的所述故障状况时，仅停止驱动所述组合的第二晶体管阵列和第四晶体管阵列。7.如权利要求1所述的系统，其还包括：第一电压感测电路，其耦合到所述第一dc电源；第二电压感测电路，其耦合到所述第二dc电源；其中所述控制电路耦合到所述第一电压感测电路和所述第二电压感测电路以分别测量第一dc电压和第二dc电压，并且其中如果所述第一dc电压和所述第二dc电压之间的差值大于预定差值，则所述控制电路禁止启动驱动所述第一晶体管阵列和所述第二晶体管阵列使其导通。8.如权利要求7所述的系统，其中所述第一电压感测电路和所述第二电压感测电路各自由开关电阻分压器组成。9.如权利要求7所述的系统，其还包括短路验证电路，所述短路验证电路由以下组成：充电开关，其具有连接到所述第一dc电源或所述第二dc电源中的一个的输入端；以及电容，其连接在所述充电开关的输出端与所述第三组负载的接地侧之间；其中所述充电开关具有耦合到所述控制电路的控制端子，并且其中所述控制电路在所述控制电路停止驱动所述第一晶体管阵列和所述第二晶体管阵列的时间期间启动所述控制端子；以及其中所述控制电路被配置为在已经启动所述控制端子之后测量所述电容两端的电压，并且其中如果所述测量的电压在预定时间间隔期间保持基本恒定，则所述控制电路恢复驱动所述第一晶体管阵列和所述第二晶体管阵列。10.一种汽车电气系统，其包括：第一dc电源，其由第一电池组成；第二dc电源，其由dc转换器组成；第一组完整性保护负载，其被连接以从所述第一dc电源接收电力；第二组完整性保护负载，其被连接以从所述第二dc电源接收电力；第三组质量管理(qm)负载，所述第一组完整性保护负载和所述第二组完整性保护负载将受到保护而不会有故障；第一晶体管阵列，其耦合在所述第一dc电源与所述第三组qm负载之间，其中所述第一晶体管阵列具有连接所述qm负载以从所述第一dc电源接收电力的闭合状态和用于隔离所述qm负载与所述第一组完整性保护负载的断开状态；第二晶体管阵列，其耦合在所述第二dc电源与所述第三组qm负载之间，其中所述第二晶体管阵列具有连接所述qm负载以从所述第二dc电源接收电力的闭合状态和用于隔离所述qm负载与所述第二组完整性保护负载的断开状态；第一电流传感器，其测量流过所述第一晶体管阵列的第一电流；
第二电流传感器，其测量流过所述第二晶体管阵列的第二电流；以及控制电路，其包括用于驱动所述第一晶体管阵列和所述第二晶体管阵列使其在闭合状态中导通的多个驱动器，其中所述控制电路被配置为当检测到其中所述第一电流传感器或所述第二电流传感器测量到超过阈值的第一电流或第二电流的故障状况时，停止驱动所述第一晶体管阵列和所述第二晶体管阵列中的至少相应一者。11.如权利要求10所述的系统，其还包括具有至少100v的电压的牵引电池，其中所述dc转换器将所述牵引电池的所述电压转换为所述第一电池的电压。12.如权利要求10所述的系统，其还包括被配置为由内燃发动机驱动的交流发电机，其中所述dc转换器将所述交流发电机的电输出转换为所述第一电池的电压。

技术总结
本公开提供了“具有运动控制部件的保护的双电源汽车电气系统”。汽车电气系统从两个DC源提供电力，每个DC源连接到单独的一组完整性保护(ASIL)负载。第三组非ASIL负载通过具有第一晶体管阵列和第二晶体管阵列的可控隔离器连接到两个电源。通过隔离器的连接还将每个ASIL组连接到另一个DC源。控制电路包括用于驱动第一晶体管阵列和第二晶体管阵列使其导通的多个驱动器。控制电路被配置为当检测到其中晶体管阵列中的至少一者中的电流超过阈值的故障状况时，停止驱动第一晶体管阵列和第二晶体管阵列中的至少相应一者。体管阵列中的至少相应一者。体管阵列中的至少相应一者。


技术研发人员：安德鲁
受保护的技术使用者：福特全球技术公司
技术研发日：2021.11.22
技术公布日：2022/5/25