车辆动力丢失安全控制方法、装置、设备及存储介质与流程-Bsport·B体育(中国)官方网站

1.本发明涉及汽车技术领域，车辆储介程尤其涉及一种车辆动力丢失安全控制方法、动力丢失装置、安全设备及存储介质。控制


背景技术：

2.新能源汽车的装置质流蓬勃发展，让人们享受到新能源汽车带来的设备绿色、经济、及存便捷的车辆储介程同时，整车的动力丢失安全性也受到格外重视，其中，安全在新能源汽车中，控制整车控制器(vcu)是装置质流核心控制部件，是设备新能源汽车各个子系统的调控中心。
3.然而，及存在相关技术中，车辆储介程整车控制器作为新能源汽车的大脑，若车辆在行驶过程中出现严重的随机硬件失效或者软件故障，整车控制器会通过重启方式来消除故障并且进入到一种安全状态，无法再回到故障前的状态，从而导致动力中断，存在安全隐患，违背动力系统功能安全目标，容易引起动力非预期丢失。


技术实现要素：

4.为了对披露的实施例的一些方面有基本的理解，下面给出了简单的概括。所述概括不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围，而是作为后面的详细说明的序言。
5.鉴于以上所述现有技术的缺点，本发明公开了车辆动力丢失安全控制方法、装置、设备及存储介质，用于解决整车控制器发生故障重启后导致的动力中断或丢失的问题。
6.第一方面，本技术提供了一种车辆动力丢失安全控制方法，所述方法包括：实时获取所述车辆的状态信息，并存储；若检测到第一整车控制器发生故障，则对所述第一整车控制器进行复位操作，并判断所述第一整车控制器是否在第一预设时间内完成重启；若未在第一预设时间内完成重启，则确定所述第一整车控制器为故障点，触发第二整车控制器进行切换，其中，第一、二整车控制器形成冗余控制；判断所述第二整车控制器在第二预设时间内是否完成切换，若完成，则所述第二整车控制器根据所述状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
7.于本发明第一方面的一些实施例中，所述判断所述第一整车控制器是否在第一预设时间内完成重启，还包括：若在第一预设时间内完成重启，判断所述车辆内电池与电机是否处于故障；若是，根据所述电池与所述电机反馈的故障信息进行故障处理；若否，则控制所述第一整车控制器基于所述状态信息恢复故障之前的状态，所述第一预设时间小于所述第二预设时间。
8.于本发明第一方面的一些实施例中，所述控制所述第一整车控制器基于所述状态信息恢复故障之前的状态，包括：读取存储的所述状态信息，所述状态信息包括所述车辆的行驶状态、挡位状态、高压状态与电机状态；确定故障发生之前最新的所述状态信息为恢复状态，基于所述恢复状态控制所述车辆的行驶状态、挡位状态、高压状态与电机状态恢复成故障发生前状态。
9.于本发明第一方面的一些实施例中，所述第二整车控制器根据所述状态信息进行冗余控制，包括：所述第二整车控制器读取存储的所述状态信息，所述状态信息包括所述车辆的行驶状态、挡位状态、高压状态与电机状态；所述第二整车控制器根据故障发生之前最新的所述状态信息，对所述车辆内电池控制器、电机控制器以及挡位产生不同控制指令，以使所述电池控制器、所述电机控制器以及所述挡位分别响应，使得所述车辆恢复故障发生之前的状态。
10.于本发明第一方面的一些实施例中，所述确定第一、二整车控制器故障，执行安全控制策略并报警，包括：若确定第一整车控制器与第二整车控制器同时发生故障，对所述车辆执行安全控制策略，所述安全控制策略包括以下至少之一：对所述电机控制器进行泄扭操作、对所述电池控制器进行下高压操作、控制所述挡位进入空挡、生成诊断故障码；存储所述诊断故障码，并基于人机交互界面展示所述诊断故障码，以对驾驶员进行预警。
11.于本发明第一方面的一些实施例中，所述第一控制器与所述第二控制器分别输入不同踏板信号，且所述第一控制器与所述第二控制器分别配置不同标识的can总线进行输出，形成冗余控制系统。若所述电池控制器接收到不同标识的can总线，通过预先仲裁逻辑响应对应于所述第二控制器标识的can总线所传输的控制指令；若所述电机控制器接收到不同标识的can总线，通过预先仲裁逻辑响应对应于所述第二控制器标识的can总线所传输的控制指令。
12.于本发明第一方面的一些实施例中，所述第二整车控制器根据故障发生之前最新的所述状态信息，对所述车辆内电池控制器、电机控制器以及挡位产生不同控制指令，包括：确定所述车辆的车速信息、动力踏板形变量以及环境信息；若环境信息为路面湿滑且所述车速信息未超过预设车速，根据故障发生之前所述车辆最新的所述挡位状态确定针对所述挡位产生的第一控制指令；若环境信息为路面湿滑且所述车速信息未超过预设车速，根据故障发生之前所述车辆最新的所述高压状态确定针对所述电池控制器产生的第二控制指令；若环境信息为路面湿滑且所述车速信息未超过预设车速，根据故障发生之前所述车辆最新的所述电机状态，响应于所述动力踏板形变量调节所述电机转速，确定针对所述电机控制器产生的第三控制指令。
13.于本发明第一方面的一些实施例中，所述实时获取所述车辆的状态信息之前，还包括：判断所述车辆的行驶状态，若所述车辆处于行驶状态，则触发获取所述车辆的状态信息；若所述车辆不处于行驶状态，则不处理。
14.于本发明第一方面的一些实施例中，所述执行安全控制策略并报警之后，还包括：监测所述车辆行驶状态中的扭矩，确定所述扭矩与预设扭矩之间的扭矩差值所属的扭矩区间；根据所述扭矩差值所属的扭矩区间，确定对应的安全状态；执行所述安全状态对应的安全策略；所述扭矩区间包括：第一区间、第二区间以及第三区间；其中，所述第一区间中的各扭矩差值大于第一阈值，小于或等于第二阈值；所述第二区间中的各扭矩差值大于所述第二阈值，小于或等于第三阈值；第三区间中的各扭矩差值大于所述第三阈值；所述第一阈值小于所述第二阈值，所述第二阈值小于第三阈值；所述第一区间对应第一安全状态，所述第二区间对应第二安全状态，所述第三区间对应第三安全状态；所述第一安全状态对应的第一安全策略包括控制车辆的车速小于或等于当前车速，通过仪表进行告警提示，并在复位重启后按照小于或等于目标预设车速的车速进行跛行；所述第二安全状态对应的第二安全
策略包括控制车辆的车速小于或等于当前车速，通过仪表与语音进行告警提示，并在复位重启后动力丢失；所述第三安全状态对应的第三安全策略包括通过仪表与语音进行告警提示，并在第三预设时间之后丢失动力。
15.第二方面，本技术提供了一种车辆动力丢失安全控制装置，所述装置包括：信息获取模块，用于实时获取所述车辆的状态信息，并存储；故障检测模块，用于若检测到第一整车控制器发生故障，则对所述第一整车控制器进行复位操作，并判断所述第一整车控制器是否在第一预设时间内完成重启；故障确定模块，用于若未在第一预设时间内完成重启，则确定所述第一整车控制器为故障点，触发第二整车控制器进行切换，其中，第一、二整车控制器形成冗余控制；安全控制模块，用于判断所述第二整车控制器在第二预设时间内是否完成切换，若完成，则所述第二整车控制器根据所述状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
16.第三方面，本技术提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得电子设备实现第一方面描述的车辆动力丢失安全控制方法。
17.第四方面，本技术提供了一种计算机可读存储介质，其上存储有计算机程序，当计算机程序被计算机的处理器执行时，使计算机执行第一方面描述的车辆动力丢失安全控制方法。
18.如上所述，本发明实施例提供的一种车辆动力丢失安全控制方法、装置、设备及存储介质，具有以下有益效果：
19.本发明通过监测车辆行驶中的状态信息，若检测到第一整车控制器发生故障，则对所述第一整车控制器进行复位操作，通过重启第一整车控制器的方式来消除故障，以进入到一种安全状态，并判断所述第一整车控制器是否在第一预设时间内完成重启；若未在第一预设时间内完成重启，则确定所述第一整车控制器为故障点，触发第二整车控制器进行切换；判断所述第二整车控制器在第二预设时间内是否完成切换，若完成，则所述第二整车控制器根据所述状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
20.通过第一、二整车控制器形成冗余控制架构，一方面，在第一整车控制器故障时，可切换到二整车控制器进行冗余控制，同时，基于状态信息使得车辆恢复故障前的状态，采用上述快速自恢复机制，避免对外表现动力异常，提升了驾驶体验感；另一方面，通过判断所述第一整车控制器是否在第一预设时间内完成重启，形成分级安全处理方式，若在第一预设时间内完成重启，第一整车控制器功能自恢复后继续响应驾驶；若未在第一预设时间内完成重启，切换为冗余的第二整车控制器进行控制，这样，上述方式不会导致动力系统的丢失给驾驶带来安全隐患，大大提升了车辆驾驶安全性；若确定第一、二整车控制器故障，执行安全控制策略并报警，进而保证驾驶员安全。
21.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
22.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施
例，并与说明书一起用于解释本技术的原理。显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
23.图1是本技术的一实施例中车辆动力丢失安全控制方法的一应用环境示意图；
24.图2是本技术的一实施例中车辆动力丢失安全控制方法的一流程图；
25.图3是本技术的一实施例中车辆动力丢失安全控制方法的另一流程图；
26.图4是本技术的一实施例中车辆动力丢失安全控制方法的原理架构图；
27.图5是本技术的一实施例中辆动力丢失安全控制方法的实施流程图；
28.图6是本技术的一实施例中车辆动力丢失安全控制方法的完整流程图；
29.图7是本技术的一实施例中车辆动力丢失安全控制装置的框图；
30.图8是本技术的一实施例中电子设备的一种结构示意图。
具体实施方式
31.以下将参照附图和优选实施例来说明本发明的实施方式，本领域技术人员可由本说明书中所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。应当理解，优选实施例仅为了说明本发明，而不是为了限制本发明的保护范围。
32.需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。
33.在下文描述中，探讨了大量细节，以提供对本发明实施例的更透彻的解释，然而，对本领域技术人员来说，可以在没有这些具体细节的情况下实施本发明的实施例是显而易见的，在其他实施例中，以方框图的形式而不是以细节的形式来示出公知的结构和设备，以避免使本发明的实施例难以理解。
34.本发明实施例提供了一种车辆动力丢失安全控制方法，可应用于终端中，也可应用于服务器中，还可以是运行于终端或服务器中的软件。在一些实施例中，终端可以是车辆终端、智能手机、平板电脑、笔记本电脑或者台式计算机等电子设备；若终端是智能手机、平板电脑、笔记本电脑或者台式计算机等电子设备，则该电子设备嵌入车辆内形成类似于智能座舱的中控系统；另外，服务器可以配置成独立的物理服务器，也可以配置成多个物理服务器构成的服务器集群或者分布式系统，还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器，通过无线网络(4/5/6g)远程控制车辆；软件可以是车辆动力丢失安全控制的应用程序等，但并不局限于以上形式。
35.例如，请参见图1，以该车辆动力丢失安全控制方法由车辆终端执行为例，该车辆终端可以在检测到第一整车控制器发生故障时，对所述第一整车控制器进行复位操作，并判断所述第一整车控制器是否在第一预设时间内完成重启；若未在第一预设时间内完成重启，则确定所述第一整车控制器为故障点，触发第二整车控制器进行切换，其中，第一、二整
车控制器形成冗余控制；判断所述第二整车控制器在第二预设时间内是否完成切换，若完成，则所述第二整车控制器根据所述状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
36.下面通过具体的实施例对本发明进行详细的描述。请参阅图2所示，图2为本发明实施例提供的车辆动力丢失安全控制方法的一个流程示意图，包括如下步骤：
37.步骤s210，实时获取车辆的状态信息，并存储；
38.具体地，由于整车控制器一般设置于新能源车辆中，燃油车往往不包含整车控制器，因此，本实施例中车辆包括但不限于，混合动力电动汽车(hev)、纯电动汽车(bev)、燃料电池电动汽车(fcev)、其他新能源(如超级电容器、飞轮等高效储能器)汽车等。
39.应当理解的是，车辆的状态信息包括车辆的行驶状态、挡位状态、高压状态与电机状态，通过实时采集车辆状态信息进行存储，其中，通过带电可擦可编程只读存储器eeprom存储来自第一整车控制器或第二整车控制器的信息，第一整车控制器或第二整车控制器能将eeprom数据读出，同时，eeprom中的数据信息不会因下电后丢失；一方面，能够实时监控车辆的状态，另一方面，有助于车辆在发生故障后，根据状态信息对车辆的状态和功能进行自恢复。
40.可选地，在实时获取车辆的状态信息之前，还包括：
41.判断车辆的行驶状态，若车辆处于行驶状态，则触发获取车辆的状态信息，执行步骤s210；若车辆不处于行驶状态，则不处理，即，结束处理流程。
42.在本实施例中，由于本发明主要是针对车辆在行驶过程中，整车控制器发生故障而引起动力中断或缺失这一技术缺陷。
43.步骤s220，若检测到第一整车控制器发生故障，则对第一整车控制器进行复位操作，并判断第一整车控制器是否在第一预设时间内完成重启；
44.具体地，通过采集反映第一整车控制器的正常状态或异常状态，根据正常状态或异常状态确定第一整车控制器是否发生故障。在确定第一整车控制器后，通过对第一整车控制器进行复位操作，完成重启；并判断第一整车控制器是否在第一预设时间内完成重启。
45.例如，故障发生时间节点为t0时刻，在故障可恢复的时间段为在第一预设时间t1，通过对是否在第一预设时间内完成重启，判断第一整车控制器的恢复方式。
46.步骤s230，若未在第一预设时间内完成重启，则确定第一整车控制器为故障点，触发第二整车控制器进行切换，其中，第一、二整车控制器形成冗余控制；
47.具体地，通过在第一预设时间t1内是否完成重启，确定故障是否发生在第一整车控制器，同时，由于第一、二整车控制器形成冗余控制架构，触发第二整车控制器进行切换，采用第二整车控制器作为控制方案来接收相关业务，进行处理。
48.通过上述方式，能够确定故障点是否为第一整车控制器，有助于排查故障原因，同时，通过分级安全进行响应，确保车辆控制安全性。
49.步骤s240，判断第二整车控制器在第二预设时间内是否完成切换，若完成，则第二整车控制器根据状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
50.可选地，第二整车控制器根据状态信息进行冗余控制，包括：
51.第二整车控制器读取存储的状态信息，状态信息包括车辆的行驶状态、挡位状态、
高压状态与电机状态；
52.第二整车控制器根据故障发生之前最新的状态信息，对车辆内电池控制器、电机控制器以及挡位产生不同控制指令，以使电池控制器、电机控制器以及挡位分别响应，使得车辆恢复故障发生之前的状态。
53.通过上述方式，即使采用第二整车控制器进行冗余控制，一方面，通过切换控制方式，可确保车辆行驶安全性，另一方面，第二整车控制器利用最新状态信息进行恢复控制，能够保持车辆在第一整车控制器故障前所进行的业务，提高了驾驶体验度。
54.在一些实施例中，第二整车控制器根据故障发生之前最新的状态信息，对车辆内电池控制器、电机控制器以及挡位产生不同控制指令，包括：
55.确定车辆的车速信息、动力踏板形变量以及环境信息；
56.若环境信息为路面湿滑且车速信息未超过预设车速，根据故障发生之前车辆最新的挡位状态确定针对挡位产生的第一控制指令；
57.若环境信息为路面湿滑且车速信息未超过预设车速，根据故障发生之前车辆最新的高压状态确定针对电池控制器产生的第二控制指令；
58.若环境信息为路面湿滑且车速信息未超过预设车速，根据故障发生之前车辆最新的电机状态，响应于动力踏板形变量调节电机转速，确定针对电机控制器产生的第三控制指令。
59.具体地，检测车辆当前所处的环境信息与车速信息，确定环境信息是否为路面湿滑且车速信息是否超过预设车速，若环境信息为路面湿滑且车速信息未超过预设车速，根据故障发生之前车辆最新的挡位状态确定针对挡位产生的第一控制指令，例如，通过第一控制指令保持故障前后所呈现得到挡位不变；若环境信息为路面湿滑且车速信息超过预设车速，则恢复故障后降低挡位，例如，4挡降低为3挡。若环境信息为路面湿滑且车速信息未超过预设车速，根据故障发生之前车辆最新的高压状态确定针对电池控制器产生的第二控制指令，第二控制指令仍旧为保持电池高压状态，相反地，若超过预设车速，第二控制指令为不保持电池高压状态；同理，若环境信息为路面湿滑且车速信息未超过预设车速，第三控制指令可以根据动力踏板形变进行正向调节(提高)电机转速，动力踏板形变进行正向调节(提高)电机转速；若超过预设车速，则直接降低电机转速，以降低输出扭矩。
60.通过上述方式，防止故障前以及故障修复后，根据最新的状态信息进行恢复后，无法满足当前环境以及车速要求，这样，在最新的状态信息的前提下，做适当调节提高车辆故障恢复后的安全性能。
61.可选地，若确定第一整车控制器与第二整车控制器同时发生故障，对车辆执行安全控制策略，安全控制策略包括以下至少之一：对电机控制器进行泄扭操作(扭矩余量泄扭，以降低电机输出扭矩)、对电池控制器进行下高压操作、控制挡位进入空挡、生成诊断故障码；存储诊断故障码，并基于人机交互界面展示诊断故障码，以对驾驶员进行预警。
62.具体地，由于高压电池意味着高能量密度、高放电平台、相同的使用条件下，高压电池能放出更多的容量，通过对电池下高压操作，对电池高压下电切换至正常电压，能够有效降低电池在无整车控制器控制下的风险。
63.通过上述方式，针对整车控制器(第一整车控制器)和安全备份系统(第二整车控制器)同时出现异常的特殊情况，提出了通过hmi(人机接口)报警提示驾驶员，告知当前整
车出现严重故障，需要驾驶员进行制动和转向驾驶车辆到安全场景。
64.在一些实施例中，第一控制器与第二控制器分别输入不同踏板信号，且第一控制器与第二控制器分别配置不同标识的can总线进行输出，形成冗余控制系统。
65.若电池控制器接收到不同标识的can总线，通过预先仲裁逻辑响应对应于第二控制器标识的can总线所传输的控制指令；
66.若电机控制器接收到不同标识的can总线，通过预先仲裁逻辑响应对应于第二控制器标识的can总线所传输的控制指令。
67.详见图4，本技术的一实施例中车辆动力丢失安全控制方法的原理架构图，从中可知，第一整车控制器与第二整车控制器分别采用同一个can总线获取挡位信号、同一个can总线获取车速信号，采用不同硬线获取踏板信号，例如，第一整车控制器采用一条硬线获取踏板信号1，第二整车控制器采用另一条硬线获取踏板信号2；第一整车控制器内包含输入信号处理1进行接收，第二整车控制器内包含输入信号处理2进行接收；同时，第一整车控制器采用can总线id1(can id)传输的控制指令，第二整车控制器采用can总线id2传输的控制指令。
68.在本实施例中，整车控制器vcu和安全备份系统采用独立的硬线踏板信号输入和独立的can id输出，避免了相关失效。通过不同的can id进行交互，网络通信不会异常阻塞问题；同时，将id仲裁功能部署在执行器端，考虑到执行器本就是高功能安全等级控制器，增加该功能不会导致整个系统的成本增加。
69.综上，通过监测车辆行驶中的状态信息，若检测到第一整车控制器发生故障，则对所述第一整车控制器进行复位操作，通过重启第一整车控制器的方式来消除故障，以进入到一种安全状态，并判断所述第一整车控制器是否在第一预设时间内完成重启；若未在第一预设时间内完成重启，则确定所述第一整车控制器为故障点，触发第二整车控制器进行切换；判断所述第二整车控制器在第二预设时间内是否完成切换，若完成，则所述第二整车控制器根据所述状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
70.通过第一、二整车控制器形成冗余控制架构，一方面，在第一整车控制器故障时，可切换到第二整车控制器进行冗余控制，同时，基于状态信息使得车辆恢复故障前的状态，采用上述快速自恢复机制，避免对外表现动力异常，提升了驾驶体验感；另一方面，通过判断所述第一整车控制器是否在第一预设时间内完成重启，形成分级安全处理方式，若在第一预设时间内完成重启，第一整车控制器功能自恢复后继续响应驾驶；若未在第一预设时间内完成重启，切换为冗余的第二整车控制器进行控制，这样，上述方式不会导致动力系统的丢失给驾驶带来安全隐患，大大提升了车辆驾驶安全性；若确定第一、二整车控制器故障，执行安全控制策略并报警，进而保证驾驶员安全。
71.在一些实施例中，请参阅图3，本技术的一实施例中车辆动力丢失安全控制方法的另一流程图，详述如下：
72.与上述图2中实施例的区别点在于，判断第一整车控制器是否在第一预设时间内完成重启，还包括：
73.步骤s250，若在第一预设时间内完成重启，判断车辆内电池与电机是否处于故障；若是，根据电池与电机反馈的故障信息进行故障处理；若否，则控制第一整车控制器基于状
态信息恢复故障之前的状态，第一预设时间小于第二预设时间。
74.具体地，在第一预设时间t1内复位完成后，整车控制器接收到各控制器总线信号，进行逻辑判断，判断电池、电机等是否在复位后存在故障，若是，则整车控制器中故障处理模块进行对应的故障处理；若否，则整车控制器接收到电机、电池反馈的故障信息，进行故障处理，不再自动恢复到复位前的状态；
75.整车控制器进行系统故障自恢复，读取复位重启前存入eeprom的整车可行驶状态、挡位状态、高压状态、电机状态读取并作为目标状态自动恢复到可行驶状态，电源挡位自动重新进入高压，挡位重新进入d挡状态。
76.需要说明的是，本发明中第一预设时间与第二预设时间均为毫秒级，通过取值毫秒级的时间，确保驾驶员在无感情况下，完成故障恢复以及切换，这样，确保驾驶员的驾驶体验度不会下降。
77.在本实施例中，在系统故障功能自恢复的设计上再增加安全备份系统，整个动力系统最高能够满足asil d功能安全等级。同时，该发明还能够支撑高阶智能驾驶系统对动力系统“fail-operational失效可操作”的安全需求。
78.请参阅图4，为本技术的一实施例中车辆动力丢失安全控制方法的原理架构图；包括外部输入can信号、输入信号处理1和输入信号处理2、电源管理芯片sbc、微控制单元mcu1和mcu2、带电可擦可编程只读存储器eeprom、输出can信号、hmi系统、电机控制器与电池控制器。
79.输入信号处理，用于对接收到的外部输入进行处理，包括踏板信号、挡位信号、车速信号、电机控制器反馈信号、电池控制器反馈信号等。
80.踏板信号1和踏板信号2作为独立的硬线信号，分别输入到输入信号处理1和输入信号处理2进行处理，以避免因mcu1的故障导致mcu2的动力控制。
81.微控制单元mcu1负责整车控制逻辑处理，包括但不限于电机协调控制、电池协调控制、挡位控制管理等功能模块，该功能模块根据不同条件进行逻辑跳转。
82.微控制单元mcu2作为安全备份系统，通过包括但不限于gpio、spi、以太网等方式对mcu1进行实时监听，判断整车控制器故障功能自恢复机制是否超时，并提供故障状态下的整车控制器降级功能，扭矩和功率将得到安全限制。
83.微控制单元mcu1和微控制单元mcu2通过输入的车速信号及车速有效信号，自身电源挡位状态判断车辆是否在行驶过程中；
84.电源管理芯片sbc作为外部看门狗负责对微控制单元mcu1监控，通过对mcu1喂狗实时诊断mcu1是否处于正常工作状态，当mcu1喂狗异常或mcu1发生硬件故障，电源管理芯片sbc会通过拉低mcu1供电pin脚以实施对mcu1的主动复位。
85.微控制单元mcu1能够记录并提供复位原因，并通过接口mcu_reset type将原因记录传递，通过对该接口取值可区分mcu1复位是正常复位还是异常复位场景；
86.带电可擦可编程只读存储器eeprom与微控制单元mcu1存在数据交互关系，mcu1可将需要信息存储在eeprom中，同时，也能将eeprom数据读出，eeprom中的数据信息不会因下电后丢失；
87.电机控制器与整车控制器vcu、安全备份系统通过不同的can id进行交互，实时反馈电机状态，接收整车控制器vcu、安全备份系统的控制指令仲裁后，进行驱动电机等动作；
88.电池控制器与整车控制器vcu、安全备份系统通过不同的can id进行交互。反馈电池状态和高压状态，接收整车控制器vcu、安全备份系统的控制指令仲裁后，进行控制电池进入或退出高压等动作；
89.当整车控制器在运行时，微控制单元mcu1实时将vcu内部关键信息：整车可行驶状态、挡位状态、高压状态、电机状态写入eeprom；
90.进一步的，在车辆行驶过程中，可允许故障时间t1 ms内vcu发生硬件故障导致mcu1复位重启，可允许故障时间t2-t1 ms内切换安全备份系统，此期间vcu对外是通信丢失状态：在允许故障时间t1 ms和t2-t1 ms内电机控制器保持通讯丢失前的高压状态，电池控制器维持通信丢失前的继电器状态；
91.在可允许故障时间t1 ms内mcu复位重启后，判断是否为异常复位场景和当前车辆实时状态。当发生了异常复位场景，且此时车辆不存在其他控制器反馈的故障时，直接读取复位前存储到eeprom中的整车可行驶状态、挡位状态管理、高压状态管理、电机状态管理并作为当前功能状态，内部状态逻辑自动跳转到复位前存储的功能状态，系统前后维持正常行驶状态响应驾驶请求，对外不会表现动力丢失；
92.mcu2对mcu1进行实时监听，若复位重启超出可允许故障时间t1 ms，判定mcu1发生严重故障，并在t2-t1 ms内切换为安全备份系统，并通过can id2发送控制指令，电机控制器和电池控制器对can id1和can id2设计仲裁逻辑，当接收到can id2的控制指令后本行驶周期内不再响应can id1指令。
93.若在可允许故障时间t1～t2 ms内未完成功能自恢复和安全备份系统切换，则电池控制器和电机控制器判断整车控制器丢失异常，进行本地故障处理，下高压，挡位自动进入n挡状态保障驾驶员安全，通过制动和转向控制车辆进入安全状态，并通过hmi系统报警提示。
94.请参阅图5，为本技术的一实施例中辆动力丢失安全控制方法的实施流程图；运用在车辆行驶过程中，并利用车辆行驶的时间作为具体实施方式说明参考的横向时间轴，详述如下：
95.s101，在行驶过程中，整车控制器vcu要将内部的整车可行驶状态、挡位状态、高压状态、电机状态作为信息存入eeprom中。eeprom中的这部分存储信息只能重新擦除写入，在掉电或者mcu复位不会导致信息丢失。
96.t0时刻整车控制器发生故障，s102，系统进行复位重启以消除故障，t0～t1～t2期间通信为丢失状态，t1为第一预设时间、t2为第二预设时间；
97.s103，系统在复位完成后，通过读取mcu底层提供的mcu_reset type接口，根据接口取值得出上次复位场景是否为异常复位；
98.若为异常复位，整车控制系统在复位成功后进行两步操作，如s104：
①
判断此时电机、电池不存在反馈的故障状态；
②
读取存储的整车可行驶状态、挡位状态、高压状态与电机状态，无需再次进行上电流程、整车可行使判断和挡位切换流程；
99.若上述条件满足，s105，系统直接自动恢复到故障前的状态；
100.此期间，s201，电机控制器维持通信丢失前的高压状态；
101.s301，电池控制器维持通信丢失前的继电器控制状态；
102.s401，挡位维持d挡控制状态；
103.s106，整车控制器系统在可允许故障时间t1内完成故障恢复和状态恢复，车辆持续正常行驶，同时电机控制器、电池控制器、档位功能正常响应vcu的控制指令；
104.若未在可允许故障时间t1内整车控制器未完成复位重启功能自恢复，s107切换到安全备份系统；
105.若在可允许故障时间t2-t1内切换安全备份系统成功，则进入到安全状态行驶，此状态下：
106.s203，电机控制器仲裁后响应安全备份系统的控制指令；
107.s303，电池控制器仲裁后响应安全备份系统的控制指令；
108.s403，挡位响应安全备份系统指令；
109.若整车控制系统和安全备份系统同时出现故障，超出可允许故障时间t2未完成功能自恢复和安全备份系统切换。则电机控制器、电池控制器记录整车控制器丢失故障，并进行丢失后的故障处理下高压，挡位自动进入n挡状态，实现安全保护，并通过hmi系统报警提示驾驶员采取必要措施。
110.请参阅图6，为本技术的一实施例中车辆动力丢失安全控制方法的完整流程图
111.步骤1，整车控制器判断当前车辆是否在行驶过程中，若否则结束，不在本发明所述范围内，若是则进入步骤2；
112.步骤2整车控制器实时将整车可行驶状态、挡位状态、高压状态、电机状态存入eeprom中；
113.步骤3，当整车控制器发生随机硬件失效或软件故障，通过外部sbc进行复位重启以恢复故障。判断是否在可容忍故障时间t1内重启成功并故障消除。若是，则进入步骤4。若否，则进行步骤7。
114.步骤4，复位完成后整车控制器会接收到各控制器总线信号，进行逻辑判断，判断电池、电机等是否在复位后存在故障，若是，则进行步骤5，整车控制器故障处理模块进行对应的故障处理；若否，则进行步骤6；
115.步骤5，整车控制器接收到电机、电池反馈的故障信息，进行故障处理，不自动恢复到复位前的状态；
116.步骤6，整车控制器进行系统故障自恢复，读取复位重启前存入eeprom的整车可行驶状态、挡位状态、高压状态、电机状态读取并作为目标状态自动恢复到可行驶状态，电源挡位自动重新进入高压，挡位重新进入d挡状态；
117.步骤7，在可容忍故障时间t1内未完成功能自恢复，认定整车控制器mcu1出现严重故障，切换为安全备份系统；
118.步骤8，判断是否在可允许故障时间t2内切换成功，若是进行步骤9，若否进行步骤10；
119.步骤9，完成动力系统切换成功，通过can id2发出控制指令。电机控制器进行仲裁后响应安全备份系统的控制指令；电池控制器进行仲裁后响应安全备份系统的控制指令；挡位响应安全备份系统的控制指令。系统进入到一种安全行驶状态；
120.步骤10，若整车控制器和安全备份系统同时出现严重故障导致未切换成功，此时电机电池进行卸扭、下高压，整车挡位进入n挡，并进行hmi报警提示当前的严重故障，告知驾驶员采取必要措施。
121.通过上述方式，本发明应用于行驶中系能源车辆中，具有以下有益效果：
122.1)依托现有的控制器架构，针对整车控制系统故障设计功能自恢复机制。利用到mcu和eeprom存储的特性，通过对整车可行驶状态、挡位状态、高压状态、电机状态进行实时存储，发生异常复位后进行读取并作为当前状态的快速自恢复机制，不会对外表现动力异常提升驾驶体验感。
123.2)设定了分级安全处理方式：功能自恢复-安全备份系统切换-整车故障退出，能够覆盖整车控制系统几乎所有故障后的安全处理方式。其中，在可允许故障时间t1内整车控制器功能自恢复继续响应驾驶；超出可允许故障时间t1，切换为安全备份系统响应驾驶请求；该两种机制的应用，不会导致动力系统的丢失给驾驶带来安全隐患，该设计在行业内领先。若整车控制器和安全备份系统同时出现异常，系统超出允许故障时间t2后也会自动下高压、进入n挡从而保证驾驶员安全。
124.3)在系统故障功能自恢复的设计上再增加安全备份系统，整个动力系统最高能够满足asil d功能安全等级。同时，该发明还能够支撑高阶智能驾驶系统对动力系统“fail-operational失效可操作”的安全需求。
125.4)整车控制器vcu和安全备份系统采用独立的硬线踏板信号输入和独立的can id输出，避免了相关失效。通过不同的can id进行交互，网络通信不会异常阻塞问题。同时将id仲裁功能部署在执行器端，考虑到执行器本就是高功能安全等级控制器，该功能的增加不会导致整个系统的成本增加。
126.5)系统安全设计时不会去考虑主控制系统和安全备份系统同时异常的场景，本发明针对整车控制器和安全备份系统同时出现异常的特殊情况，提出了通过hmi报警提示驾驶员，告知当前整车出现严重故障需要驾驶员进行制动和转向驾驶车辆到安全场景。
127.在一些实施例中，执行安全控制策略并报警之后，还包括：
128.监测车辆行驶状态中的扭矩，确定扭矩与预设扭矩之间的扭矩差值所属的扭矩区间；根据扭矩差值所属的扭矩区间，确定对应的安全状态；执行安全状态对应的安全策略；扭矩区间包括：第一区间、第二区间以及第三区间；其中，第一区间中的各扭矩差值大于第一阈值，小于或等于第二阈值；第二区间中的各扭矩差值大于第二阈值，小于或等于第三阈值；第三区间中的各扭矩差值大于第三阈值；第一阈值小于第二阈值，第二阈值小于第三阈值；第一区间对应第一安全状态，第二区间对应第二安全状态，第三区间对应第三安全状态；第一安全状态对应的第一安全策略包括控制车辆的车速小于或等于当前车速，通过仪表进行告警提示，并在复位重启后按照小于或等于目标预设车速的车速进行跛行；第二安全状态对应的第二安全策略包括控制车辆的车速小于或等于当前车速，通过仪表与语音进行告警提示，并在复位重启后动力丢失；第三安全状态对应的第三安全策略包括通过仪表与语音进行告警提示，并在第三预设时间之后丢失动力。
129.在动态时，由于汽车处于较快速的运动中，如果直接丢失动力会酿成危险，因此先给予告警提示，给驾驶员充分的反应时间并采取一些应对措施之后再丢失动力。
130.在一种可实施的方式中，上述根据扭矩差值以及行驶状态确定对应的安全状态，并执行安全状态对应的安全策略包括：在汽车的行驶状态为动态的情况下，确定扭矩差值所属的扭矩区间；根据扭矩差值所属的扭矩区间，确定对应的安全状态；执行安全状态对应的安全策略。
131.在本实施方式中，扭矩控制设备在根据扭矩差值以及行驶状态确定对应的安全状态时，由于汽车一直处于行驶状态，则只需确定扭矩差值所属的扭矩区间，各扭矩区间对应一种安全状态。
132.在一种可实施的方式中，上述扭矩区间包括：第一区间、第二区间以及第三区间；其中，第一区间中的各扭矩差值大于第一阈值，小于或等于第二阈值；第二区间中的各扭矩差值大于第二阈值，小于或等于第三阈值；第三区间中的各扭矩差值大于第三阈值；其中，第一阈值小于第二阈值，第二阈值小于第三阈值；其中，第一区间对应第一安全状态，第二区间对应第二安全状态，第三区间对应第三安全状态。
133.在本可实施方式中，扭矩可以分为三个区间，第一阈值、第二阈值以及第三阈值分别可以是230牛米、330牛米以及530牛米，也即是第一区间为230,330、第二区间为330,530、第三区间为530，+∞。第一区间对应第一安全状态，第一安全状态对应第一安全策略，第二区间对应第二安全状态，第二安全状态对应第二安全策略，第三区间对应第三安全状态，第三安全状态对应第三安全策略。
134.需要说明的是，上述第一阈值、第二阈值以及第三阈值是根据统计学、标定经验及仿真得到的。具体的，假设本车与前车距离为1倍时速的距离，设定预设大小的故障容错时间间隔(ftti，fault tolerant time interval)，通过运动学分析计算出多大加速时本车会与前车或者后车发生碰撞，从而通过加速度和整车质量、传动比等计算出对应的扭矩差值。具体的，前述运动学分析的数学表达式为(s+v1
×
t)＝v2
×
t+0.5
×a×
t2(公式一)、f＝m
×
a(公式二)、t＝f
×
r/i(公式三)，其中，s是汽车与前车或者后车的车距，v1是前车或者后车的当前车速，v2是本车的当前车速，t是ftti，a是加速度，m是整车质量，f是扭矩差值，r是轮胎半径，i是传动比。由公式一、公式二和公式三可计算可得扭矩差值。
135.由此可以看出，上述第一阈值、第二阈值、第三阈值一方面用于衡量汽车的扭矩异常的严重程度，另一方面反映了汽车可能会在不同的ftti后与前车或者后车发生碰撞，第一阈值对应的ftti大于第二阈值对应的ftti，第二阈值对应的ftti大于第三阈值对应的ftti。
136.在一种可实施的方式中，第一安全状态对应的第一安全策略包括控制汽车的车速小于或等于当前车速，通过仪表进行告警提示，并在下电重启后按照小于或等于预设车速的车速进行跛行；第二安全状态对应的第二安全策略包括控制汽车的车速小于或等于当前车速，通过仪表进行告警提示，并在下电重启后动力丢失；第三安全状态对应的第三安全策略包括通过仪表进行告警提示，并在预设时间之后丢失动力。
137.在本可实施方式中，在汽车的行驶状态为动态时，不同的安全状态对应不同的安全策略。具体的：在第一安全状态下，扭矩控制设备通过控制电机等来控制汽车的车速小于或等于当前车速，通过仪表进行告警提示，以提示驾驶员扭矩异常并采取应对措施，并在(再次)下一次重启后按照小于或等于40km/h等目标预设速度跛行回家或去修理站；在第二安全状态下，扭矩控制设备控制汽车的车速小于或等于当前车速，通过仪表与语音进行告警提示，并在(再次)下一次复位重启后动力丢失；在第三安全状态下，扭矩控制设备通过仪表与语音进行告警提示，并在(再次)下一次复位重启后动力丢失。可以看出，扭矩差值越大，其采取的安全措施越严格，因此，通过应用本实施方式能进一步提高扭矩控制的安全性，防止动力丢失这段时间，驾驶员不知情状况下产生误操作，带来更严重的安全事故。
138.请参见图7，图7是本技术的一示例性实施例示出的车辆动力丢失安全控制装置的框图。应理解的是，该装置也可以适用于其它的示例性实施环境，并本实施例不对该装置所适用的实施环境进行限制。
139.如图7所示，在一示例性的实施例中，车辆动力丢失安全控制装置至少包括故障检测模块701、故障检测模块702、故障确定模块703与安全控制模块704，详细介绍如下：
140.信息获取模块701，用于实时获取车辆的状态信息，并存储；
141.故障检测模块702，用于若检测到第一整车控制器发生故障，则对第一整车控制器进行复位操作，并判断第一整车控制器是否在第一预设时间内完成重启；
142.故障确定模块703，用于若未在第一预设时间内完成重启，则确定第一整车控制器为故障点，触发第二整车控制器进行切换，其中，第一、二整车控制器形成冗余控制；
143.在上述实施例基础上，还包括：故障恢复模块，用于若在第一预设时间内完成重启，判断车辆内电池与电机是否处于故障；若是，根据电池与电机反馈的故障信息进行故障处理；若否，则控制第一整车控制器基于状态信息恢复故障之前的状态，第一预设时间小于第二预设时间。
144.安全控制模块704，用于判断第二整车控制器在第二预设时间内是否完成切换，若完成，则第二整车控制器根据状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
145.在本实施例中，车辆动力丢失安全控制装置通过监测车辆行驶中的状态信息，若检测到第一整车控制器发生故障，则对所述第一整车控制器进行复位操作，通过重启第一整车控制器的方式来消除故障，以进入到一种安全状态，并判断所述第一整车控制器是否在第一预设时间内完成重启；若未在第一预设时间内完成重启，则确定所述第一整车控制器为故障点，触发第二整车控制器进行切换；判断所述第二整车控制器在第二预设时间内是否完成切换，若完成，则所述第二整车控制器根据所述状态信息进行冗余控制；若未完成，则确定第一、二整车控制器故障，执行安全控制策略并报警。
146.通过第一、二整车控制器形成冗余控制架构，一方面，在第一整车控制器故障时，可切换到第二整车控制器进行冗余控制，同时，基于状态信息使得车辆恢复故障前的状态，采用上述快速自恢复机制，避免对外表现动力异常，提升了驾驶体验感；另一方面，通过判断所述第一整车控制器是否在第一预设时间内完成重启，形成分级安全处理方式，若在第一预设时间内完成重启，第一整车控制器功能自恢复后继续响应驾驶；若未在第一预设时间内完成重启，切换为冗余的第二整车控制器进行控制，这样，上述方式不会导致动力系统的丢失给驾驶带来安全隐患，大大提升了车辆驾驶安全性；若确定第一、二整车控制器故障，执行安全控制策略并报警，进而保证驾驶员安全。
147.需要说明的是，上述实施例所提供的车辆动力丢失安全控制装置与上述实施例所提供的车辆动力丢失安全控制方法属于同一构思，其中各个模块执行操作的内容已经在方法实施例中进行了详细描述，此处不再赘述。
148.请参见图8，图8是本技术的一实施例提供的电子设备的一种结构示意图。图8示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。需要说明的是，图8示出的电子设备的计算机系统800仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
149.如图8所示，计算机系统800包括中央处理单元(central processing unit，cpu)801，其可以根据存储在只读存储器(read-only memory，rom)802中的程序或者从储存部分808加载到随机访问存储器(random access memory，ram)803中的程序而执行各种适当的动作和处理，例如执行上述实施例中的方法。在ram803中，还存储有系统操作所需的各种程序和数据。cpu801、rom 802以及ram803通过总线804彼此相连。输入/输出(input/output，i/o)接口805也连接至总线804。
150.以下部件连接至i/o接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(cathode ray tube，crt)、液晶显示器(liquid crystal display，lcd)等以及扬声器等的输出部分807；包括硬盘等的储存部分808；以及包括诸如lan(local area network，局域网)卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至i/o接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入储存部分808。
151.特别地，根据本技术的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元(cpu)801执行时，执行本技术的系统中限定的各种功能。
152.需要说明的是，本技术实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
153.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意
的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
154.描述于本发明实施例中所涉及的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。
155.本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机的处理器执行时，使计算机执行如上述的车辆动力丢失安全控制方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。
156.上述实施例仅示例性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，但凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。