(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022075577
(43)【公開日】2022-05-18
(54)【発明の名称】交流バッテリの安全コンセプトのための方法及びシステム
(51)【国際特許分類】
H02J 7/00 20060101AFI20220511BHJP
B60L 3/00 20190101ALI20220511BHJP
B60L 58/18 20190101ALI20220511BHJP
【FI】
H02J7/00 S
H02J7/00 P
B60L3/00 S
B60L58/18
【審査請求】有
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2021178537
(22)【出願日】2021-11-01
(31)【優先権主張番号】10 2020 129 130.2
(32)【優先日】2020-11-05
(33)【優先権主張国・地域又は機関】DE
(71)【出願人】
【識別番号】510238096
【氏名又は名称】ドクター エンジニール ハー ツェー エフ ポルシェ アクチエンゲゼルシャフト
【氏名又は名称原語表記】Dr. Ing. h.c. F. Porsche Aktiengesellschaft
【住所又は居所原語表記】Porscheplatz 1, D-70435 Stuttgart, Germany
(74)【代理人】
【識別番号】100202647
【弁理士】
【氏名又は名称】寺町 健司
(72)【発明者】
【氏名】ドクター ハラルト シェフラー
(72)【発明者】
【氏名】スフェン リル
(72)【発明者】
【氏名】ヘルマン ヘルムート ディボス
(72)【発明者】
【氏名】ダニエル シモン
(72)【発明者】
【氏名】エドゥアルト シュペヒト
(72)【発明者】
【氏名】クリスティアン コルテ
(72)【発明者】
【氏名】ヤン カチェトル
(72)【発明者】
【氏名】トーマス カチェトル
【テーマコード(参考)】
5G503
5H125
【Fターム(参考)】
5G503AA01
5G503AA07
5G503BA01
5G503BB01
5G503CA01
5G503FA06
5G503FA17
5G503GD03
5G503GD06
5H125AA01
5H125AC12
5H125AC23
5H125BC28
5H125CC01
5H125CD04
5H125EE26
(57)【要約】 (修正有)
【課題】交流バッテリの安全コンセプトのための方法及びシステムを提供する。
【解決手段】交流バッテリは、中央コントローラと、複数のスイッチング状態を有するパワー基板を夫々有する複数のバッテリモジュールと、複数のコンタクタと、複数の電流センサと、故障ループと、高速バスとを備え、トラクション機構に接続され、中央コントローラのプロセッサユニット上で、バッテリモジュール、複数のコンタクタ、及び故障ループを制御するように制御プログラムが構成される。バッテリモジュールは、中央コントローラから高速バスを介して故障ループまで接続され、中断故障が発生すると、交流バッテリが安全動作状態に変更される。安全状態は、各バッテリモジュールの「バイパス」スイッチング状態及び各コンタクタのそれぞれの安全スイッチング位置によって、中央コントローラによる緊急切断によって少なくとも実現される。
【選択図】なし
【特許請求の範囲】
【請求項1】
交流バッテリの安全コンセプトのための方法であって、前記交流バッテリが、中央コントローラと、少なくとも1つのストリングに配置され、複数のスイッチング状態を有するパワー基板をそれぞれ有する複数のバッテリモジュールと、複数のコンタクタと、複数の電流センサと、故障ループと、高速バスとを備え、及びトラクション機構に接続され、前記中央コントローラが、少なくとも1つのマイクロプロセッサコアを有するハードウェアプログラマブルプロセッサユニットを有し、前記ハードウェアプログラマブルプロセッサユニット上で、前記バッテリモジュール、前記複数のコンタクタ、及び前記故障ループを制御するように制御プログラムが構成され、状態機械が前記制御プログラムによって実装され、前記バッテリモジュールが前記中央コントローラから前記高速バスを介して前記故障ループまで接続され、中断故障が検出されると、各コンタクタがそれぞれの安全スイッチング位置を取ることによって、及び前記中央コントローラが最終的に切断されることによって「バイパス」スイッチング状態を取るように、前記中央コントローラによって前記高速バスを介して各バッテリモジュールに要求することによって、前記交流バッテリが前記中央コントローラによって安全動作状態に変更される、方法。
【請求項2】
前記中断故障が、断線、故障ループがトリガを運んでいること、及び前記中央コントローラに接続されたCANバスが不適切な動作状態を指示していることのうちのいずれかイベントが存在する場合に取得される、請求項1に記載の方法。
【請求項3】
電流センサとマイクロプロセッサを有するモジュールコントローラとが各バッテリモジュールに配置され、前記モジュールコントローラは、前記中断故障が検出されると前記故障ループに前記トリガを渡す、請求項1又は2に記載の方法。
【請求項4】
前記交流バッテリが、以下のリスト:
低電圧DC/DCコンバータ、前記トラクション機構のそれぞれの相電流のための電流センサ、及び充電プラグ
のうちから少なくとも1つの周辺ユニットを有し、前記少なくとも1つの周辺ユニットが前記故障ループに接続され、前記少なくとも1つの周辺ユニットは、前記中断故障が検出されると前記故障ループに前記トリガを渡す、請求項1~3のいずれか一項に記載の方法。
【請求項5】
前記ハードウェアプログラマブルプロセッサユニットとしてFPGAが選択され、前記状態機械が前記制御プログラムによって前記少なくとも1つのマイクロプロセッサコア上で実装される、請求項1~4のいずれか一項に記載の方法。
【請求項6】
交流バッテリの安全コンセプトのためのシステムであって、前記交流バッテリが、中央コントローラと、少なくとも1つのストリングに配置され、複数のスイッチング状態を有するパワー基板をそれぞれ有する複数のバッテリモジュールと、複数のコンタクタと、複数の電流センサと、故障ループと、高速バスとを備え、及びトラクション機構に接続され、前記中央コントローラが、少なくとも1つのマイクロプロセッサコアを有するハードウェアプログラマブルプロセッサユニットを有し、前記ハードウェアプログラマブルプロセッサユニット上で、前記バッテリモジュール、前記複数のコンタクタ、及び前記故障ループを制御するように制御プログラムが構成され、状態機械が前記制御プログラムによって実装され、前記バッテリモジュールが前記中央コントローラから前記高速バスを介して前記故障ループまで接続され、中断故障が検出されると、前記中央コントローラが前記交流バッテリを安全動作状態に変更するように構成され、前記変更することが、「バイパス」スイッチング状態を取るように前記高速バスを介して各バッテリモジュールに要求することと、各コンタクタにおいてそれぞれの安全スイッチング位置を命令することと、最後に前記中央コントローラを切断することとを含む、システム。
【請求項7】
前記中断故障が、以下のリスト:断線、故障ループがトリガを運んでいること、及び前記中央コントローラに接続されたCANバスが不適切な動作状態を指示していること、のうちのいずれかのイベントの場合に存在する、請求項6に記載のシステム。
【請求項8】
電流センサとマイクロプロセッサを有するモジュールコントローラとが各バッテリモジュールに配置され、前記モジュールコントローラは、前記中断故障が検出されると前記故障ループに前記トリガを渡すように構成される、請求項6又は7に記載のシステム。
【請求項9】
前記交流バッテリが、以下のリスト:
低電圧DC/DCコンバータ、及び前記トラクション機構のそれぞれの相電流のための電流センサ
のうちから前記故障ループに接続される少なくとも1つの周辺ユニットを有し、前記少なくとも1つの周辺ユニットが前記故障ループに接続され、前記少なくとも1つの周辺ユニットは、中断故障が検出されると前記故障ループに前記トリガを渡すように構成される、請求項6~8のいずれか一項に記載のシステム。
【請求項10】
前記ハードウェアプログラマブルプロセッサユニットがFPGAであり、前記状態機械が前記少なくとも1つのマイクロプロセッサコア上で前記制御プログラムによって実装される、請求項6~9のいずれか一項に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電気自動車のトラクションシステムにエネルギーを供給するために使用される交流バッテリの安全コンセプトのための方法に関する。また、本方法が実行されるシステムも提示する。
【背景技術】
【0002】
電気自動車では、トラクションシステムにエネルギーを供給するために交流バッテリが使用され、トラクション機構に交流電流を供給するための1つ又は複数の位相は、直流電圧源の接続を連続的に変えることによってもたらされる。交流電源内でのケーブル断線などの故障が発生した場合には、トラクションシステムを安全状態に変更できなければならない。このようなタスクは、例えば、トラクションシステムのコントローラによって、特に交流バッテリのコントローラによって、様々なコンポーネントどうしを電気的に遮断したり接続したりする目的でトラクションシステムの内部に配置されたコンタクタを介して実行され得る。
【0003】
(特許文献1)には、電気自動車で使用されるエネルギーを貯蔵するためのシステム及び方法が含まれる。システムは、それぞれの制御可能なスイッチを介して互いに独立に車両のエネルギー供給源に接続され得るバッテリストリングを備える。
【0004】
(特許文献2)は、バッテリ制御モジュール及びコントローラを記載している。バッテリ制御モジュールが一定の時間間隔でバッテリの充電状態を出力する一方で、コントローラは、充電状態に関する通知がない場合に、バッテリと電気的ドライブトレーンとの間の電力の流れを制限値に制限するように構成される。この場合、制限値は推定された充電状態から得られる。
【0005】
(特許文献3)は、負荷時にバッテリとトラクションシステムとの間の供給を遮断するためのシステム及び方法を開示している。システムは、この目的のために開放され得る少なくとも1つのコンタクタを備える。
【0006】
電気自動車の動作中には、様々なトラクションシステムの動作状態が望まれることがあり、そのような動作状態では、交流バッテリ、トラクション機構、及び接続周辺機器の様々な接続が必要とされる。コンタクタ及びバッテリモジュールの制御に課せられる要件は、それぞれの動作状態においてトラクションシステムのコンポーネントのそれぞれのハードウェア接続、ハザード及びリスクの解析、並びに機能的安全性規制から生じ、それぞれの動作状態には安全コンセプトが必要である。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】米国特許出願公開第2017/005371A1号明細書
【特許文献2】米国特許出願公開第2018/0134279A1号明細書
【特許文献3】米国特許出願公開第2017/0120770A1号明細書
【発明の概要】
【発明が解決しようとする課題】
【0008】
上記の背景に鑑み、本発明の目的は、交流バッテリの安全コンセプトのための方法を提供することであり、本方法では、トラクション機構のための交流バッテリに対して電力を供給するための割り込み要求があった場合に、交流バッテリが安全状態に変更される。また、本方法が実行されるシステムを提示することも意図されている。
【課題を解決するための手段】
【0009】
上記の目的を達成するために、交流バッテリの安全コンセプトのための方法が提案され、本方法では、交流バッテリが、トラクション機構に接続され、及び中央コントローラと、少なくとも1つのストリングに配置され、複数のスイッチング状態を有するパワー基板をそれぞれ有する複数のバッテリモジュールと、複数のコンタクタと、複数の電流センサと、故障ループと、高速バスとを備える。中央コントローラは、少なくとも1つのマイクロプロセッサコアを有するハードウェアプログラマブルプロセッサユニットを有する。このハードウェアプログラマブルプロセッサユニット上で、バッテリモジュール、複数のコンタクタ、及び故障ループを制御するように制御プログラムが構成される。この場合、状態機械が制御プログラムによって実装され、バッテリモジュールが中央コントローラから高速バスを介して故障ループまで接続される。中断故障が検出されると、各コンタクタがそれぞれの安全スイッチング位置を取ることによって、及び中央コントローラが最終的に切断されることによって「バイパス」スイッチング状態を取るように、中央コントローラによって高速バスを介して各バッテリモジュールに要求することによって、交流バッテリが中央コントローラによって安全動作状態に変更される。各バッテリモジュールに対して「バイパス」スイッチング状態を取るように要求することと、各コンタクタに対してそれぞれの安全スイッチング位置を取るように要求することとは、同時に行われ得る。これは、各バッテリモジュールに要求して「バイパス」スイッチング状態を取ることが、例えばマイクロ秒単位で行われ、コンタクタは、例えば10ミリ秒超の時間範囲で制御されるためである。そうすると、状態機械は安全動作状態に留まり、この安全動作状態からは再起動によってしか離脱することができない。これにより、好都合なことに、機能的安全仕様が考慮される。
【0010】
中断故障は交流バッテリにおけるイベントであり、中断故障が存在する場合には、交流バッテリ及びそのコンポーネントは直ちに安全状態に変更されなければならない。
【0011】
好都合なことに、ハードウェアプログラマブルプロセッサは完全に試験可能であるため、各種試験によって不適切な制御動作を事前に排除することができる。ハードウェアプログラマブルプロセッサを用いることにより、本発明による方法は、それぞれのコンタクタスイッチング状態、すなわち開閉をトラクションシステムのそれぞれの動作状態にいつでも確実に割り当て、ひいては、ハザード及びリスクの分析並びに機能的安全性が制御されたトラクションシステムに課しているすべての安全要件を遵守する。
【0012】
それぞれのコンタクタにおいて、それぞれの安全スイッチング位置が異なり得る。したがって、いわゆる能動短絡回路コンタクタ、つまりトラクション機構の能動短絡回路のコンタクタの場合、安全スイッチング位置は、トラクション機構の相を短絡するために、当業者には「常閉」又は「常閉接点」とも呼ばれる閉スイッチング位置になる。対照的に、バッテリモジュールストリングと充電接続との間のコンタクタでは、安全スイッチング位置は、電気的接続を遮断するための開スイッチング位置を意味する。
【0013】
特に、時間的に調整する必要があり、且つそれぞれの動作状態に応じて調整する必要がある複数のコンタクタを制御するためには、本発明による方法によるプログラムによるハードウェア実装が好都合である。これは、プログラムによって制御された車両システム全体に、及び/又はプログラムによって制御された交流バッテリ、例えば、シリアル及びパラレル接続のモジュール型マルチレベルコンバータに状態機械を適合させること(例えば、Goetz,S.M.;Peterchev,A.V.;Weyh,T.,“Modular Multilevel Converter With Series and Parallel Module Connectivity:Topology and Control,”Power Electronics,IEEE Transactions on, vol.30,no.1,pp.203,215,2015.doi:10.1109/TPEL.2014.2310225で説明されている)が、容易であり複雑ではなく、純粋にプログラムによって行われ得るためである。
【0014】
それぞれのバッテリモジュールにおいて、「バイパス」スイッチング状態とは、それぞれのバッテリモジュール接続に電流が流れたときに、それぞれのバッテリモジュールに配置されたそれぞれのエネルギー貯蔵素子がバイパスされるように、それぞれのパワー基板のスイッチが切り替えられることを意味する。より正確には、2つの入力接続及び2つの出力接続を有するそれぞれのバッテリモジュールの構成の場合、「バイパス」スイッチング状態の取り方は2つ考えられ、本明細書では「バイパス+」及び「バイパス-」と呼ぶ。「バイパス+」の場合、それぞれのバッテリモジュールの2つの入力及び出力接続間の割り当てにおいて極性が保持され、「バイパス-」の場合は極性が入れ替わる。ここで「バイパス」スイッチング状態とは、単にそれぞれのエネルギー貯蔵素子をバイパスすることではなく、すべてのバッテリモジュールが「バイパス-」若しくは「バイパス+」のいずれかに接続されること、又はすべてのバッテリモジュールが並列に接続され、トラクション機構に最も近いバッテリモジュールのみが(各相又はモジュールストリングごとに)「バイパス-」若しくは「バイパス+」のいずれかとして接続されることのいずれかを意味する。
【0015】
本発明による方法の一実施形態では、中断故障は、断線、故障ループがトリガを運んでいること、及び中央コントローラに接続されたCANバスが不適切な動作状態を指示していることのうちのいずれかのイベントが存在する場合に取得される。
【0016】
それぞれの動作状態は、例えば、「アイドル」又は静止状態、モータ運転、直流電圧充電、交流電圧充電、スイッチオフから選択され得る。「アイドル」動作状態は安全状態であり、つまり、コンタクタを介した能動短絡回路が既に存在する。CANバスが不適切な動作状態を指示している場合、故障メッセージがCANバスに報告され、いわゆる「ソフトシャットダウン」が開始される。しかしながら、このプロセスを通常の故障として処理することも可能である(プレイプロテクション)。
【0017】
いわゆる「急停止」の場合に実現される安全動作状態を取るのは、「モータオフ」動作状態の場合のみであり得る。これらの動作状態間に可能な遷移条件としては、例えば、第1に、モータ制御ユニットによるトルクの指定が失敗したという事実(CANメッセージが監視される)、又は、例えば、第2に、モータ制御システムが要求されたトルク又は要求された速度を達成できない(例えば、モータ制御ユニットが事前に定義された限界を無視したため)という事実があり、この場合、遷移条件は短い時間枠でのみ許容され、その後直ちに「急停止」が開始される。この場合、「急停止」はゼロトルク制御に対応する。状態機械のコマンドチェーンにおいて、ユーザが追加で介入する必要はない。
【0018】
交流バッテリの安全動作状態に到達した後、運転動作を再開するためには、モータ制御システムは、まずゼロ値のトルク、つまりゼロトルクに設定されなければならない。この場合、トラクション機構では交流バッテリによっていかなるトルクも供給されておらず、電気自動車は停止している。「急停止」から「モータ」動作状態に戻るためには、第1に、モータ制御システムのそれぞれの入力パラメータがそれぞれ有効範囲にあるという条件と、第2に、モータ制御ユニットからのCANメッセージが存在するという条件と、第3に、車両の速度がゼロであるという条件と、第4に、いわゆる致命的なエラー(IRQ)がトリガされていないという条件とをすべて満たさなければならない。
【0019】
この場合に本発明による方法を実行する際の重要な機能として、中央コントローラにおいては、高速バスを介してそれぞれの制御コマンドを伝達する制御プログラムのサブプログラムが挙げられる(以下、HSB_CMD_TXと呼ぶ)。HSB_CMD_TXは、例えば、VHDLでIPコアとしてプログラムされ、ハードウェアプログラマブルプロセッサユニット上で実行される。そのため、HSB_CMD_TXは、故障ループにおいて中断故障を示すトリガの発生を監視する。トリガは、例えば、無故障時に、ある電圧を有する故障ループの遮断(スイッチの開放)などによる故障ループにおける電圧降下によって示すことができ、スイッチはセンサによって制御される。この目的のために、HSB_CMD_TXは、ハードウェアプログラマブルプロセッサユニットに故障ループのための入力を提供する。更に、HSB_CMD_TXは、ハードウェアプログラマブルプロセッサユニットに、更なる監視動作のためのトリガ信号入力、及び/又は更なるトリガ入力として少なくとも1つのマイクロプロセッサコアに対するソフトウェアインターフェースを提供し得る。上述のトリガ信号入力のうちの1つが中断故障を示す場合、いわゆる中断故障のビットがHSB_CMD_TXから(すべてのバッテリモジュールに)ブロードキャストメッセージにおいて設定され、その結果、すべてのバッテリモジュールが同時に「バイパス」スイッチング状態に変更される。中断故障がバッテリモジュールの複数のストリング(例えば、3相電流の場合は3つ)のうちの個々のストリングにおいて発生した場合、このことは、その個々のストリングにおける中断故障が、交流バッテリの安全動作状態に関してすべてのストリングに反映され得るメカニズムを示す。反対に、マイクロプロセッサコアへの割り込みも、中断故障が発生した場合と同様の挙動となり、交流バッテリが安全動作状態に移行され、マイクロプロセッサコア上で実装された状態機械も、例えば故障状態に制御され、再びスイッチが入らないように保護されて、再起動が必要となる。
【0020】
中断故障が発生したときの中央コントローラのシナリオとしては、「バイパス」ブロードキャストメッセージをすべてのバッテリモジュールに送ることが考えられる。好都合なことに、このことは、それぞれのスイッチング位置が「バイパス」ブロードキャストメッセージを用いてすべてのバッテリモジュールに同時に送信されること、つまり、すべてのバッテリモジュールが、例えば「バイパス-」若しくは「バイパス+」のいずれかとして接続されるか、又はすべてのバッテリモジュールが並列に接続され、トラクション機構に最も近いバッテリモジュールのみが(各相又はモジュールストリングごとに)「バイパス-」若しくは「バイパス+」のいずれかとして接続されることを意味する。交流バッテリのストリングとトラクション機構との間の接続におけるコンタクタが(交流バッテリをトラクション機構から切り離すために)開かれ、能動短絡回路コンタクタがこの目的のために時間遅延を伴って閉じられる。状態機械では、緊急遮断動作後の最終状態である「MOTOR FAULT」状態が取られる。この状態は、後にユーザの介入によりパワーオンリセットコマンドを用いて強制的に再起動させるために、シャットダウンするコマンドによってのみ維持される。ユーザの介入は、例えば、CANを介したシャットダウン信号である。
【0021】
本発明による方法の別の実施形態では、中央コントローラの本質的な安全は、以下のシナリオにおいてトラクションシステムのシャットダウンを引き起こすことによって実現される。
・即時シャットダウンが入力信号によって要求される、
・ゼロトルクが不適切に報告される、
・中断故障が故障ループの監視から推測される、
・トラクション機構の相電流の測定センサが中断故障を出力する、
・少なくとも2つの測定センサ、例えばトラクション機構の電流センサの妥当性チェックが中断故障を出力する、
・追加的に配置されたDC/DCコンバータが中断故障を出力する。
【0022】
本発明による方法の更に別の実施形態では、中断故障は以下の事実によって定義される。
・すべての電流センサが故障する、
・1つの電流センサを除くすべての電流センサが故障する、
・相電流トリップに関連して少なくとも1つのヒューズが飛ぶ、
・トラクション機構のロータの回転角度を測定するリゾルバが故障する、又は妥当性監視によって判定され得る、若しくは判定される信号による不適切なロータ位置、
・それぞれの相電流が許容範囲を外れている(例えば、断線の結果として)、
・トラクション機構への電力の流れが許容範囲を外れている。
【0023】
本発明による方法の更なる実施形態では、電流センサとマイクロプロセッサを有するモジュールコントローラとが各バッテリモジュールに配置される。モジュールコントローラは、中断故障が検出されると故障ループにトリガを渡す。このトリガにより、交流バッテリは安全状態に変更され、トリガを引き起こしたバッテリモジュールのモジュールコントローラは直ちに「バイパス-」スイッチング状態を実施し、他のすべてのバッテリモジュールは現在の状態を維持し、次のサイクルで更にコマンドを発行することなく「バイパス-」スイッチング状態に同様に変更される。中央コントローラ又はHSB_CMD_TXのIPコアがこの故障を検出し、それを他の相又はモジュールストリングに反映させる。次いで、中央コントローラは、各ブロードキャストメッセージにおいてすべてのモジュールに故障を同期的に送信する。すると、モジュールコントローラが、モジュール制御ソフトウェアが実装されるハードウェアプログラマブルプロセッサユニットを有することができる。また、モジュール状態機械は、モジュール制御ソフトウェアで実装されてもよい。
【0024】
この場合に本発明による方法を実行する際の重要な機能として、各バッテリモジュールにおいては、モジュールコントローラに実装され、高速バスを介してそれぞれの制御コマンドを受信又は実行するプログラム部分が挙げられ、このプログラム部分(以下、HSB_CMD_RXと呼ぶ)は、VHDLでIPコアとして実装され、且つFPGA上で実行される。HSB_CMD_RXは高速バスに接続され、例えば、中央コントローラのHSB_CMD_TXからブロードキャストメッセージを受信することができ、ブロードキャストメッセージには、いわゆる中断故障のビットが設定される。次いで、このことにより、HSB_CMD_RXが各バッテリモジュールのモジュールコントローラに連絡され、そしてモジュールコントローラは、各バッテリモジュールを保護されたスイッチング状態、例えば「バイパス-」に移行させる。
【0025】
それぞれのバッテリモジュールが保護されたスイッチング状態に変更されるために可能なシナリオは、2つの可能な初期状態について次のようになる。すなわち、第1の初期状態では、それぞれのモジュールコントローラは作動していない、又は現在再起動中である、又は完全に起動していない。この場合、それぞれのバッテリモジュールは本質的に「PASSIVE」状態、つまり、バッテリモジュールのすべてのスイッチが非導電状態にある。隣接するバッテリモジュールは切り離され、それぞれのモジュールストリングのトラクション機構には電流が流れない。このような状態は、トラクション機構が停止している場合にのみ安全であり、このとき誘導電圧は発生しない。第2の初期状態では、それぞれのモジュールコントローラ(ここでは、制御基板を略して「CB」)が完全に起動しており、モジュール制御ソフトウェアによって制御される。ここで、モジュール制御ソフトウェアによって実装されたモジュール状態機械は、次のような状態遷移を有し得る。
・「POR」(「パワーオンリセット(Power-On-Reset)」の略)状態の後に取られていた「CB_INIT」状態から「バイパス-」状態に変化している。
・中断故障の発生を意味する「CB_ERROR」状態から「バイパス-」状態に変化している。
・「CP_RUN」状態からは、受信されるブロードキャストメッセージの内容に応じて、故障ループがトリガを運んでいない限り(ここでは「故障ループがトップである」とも言う)、措置が取られる。
・中央コントローラからのシャットダウンコマンド後に取られていた「CB_SHUTDOWN」状態から「BYPASS-」状態に変更される。この状態から、最終的に「PASSIVE」状態に変更され、システムがシャットダウンされる。
【0026】
したがって、モジュール状態機械のすべての可能な状態から、最終的に「BYPASS-」状態が実現される。
【0027】
本発明による方法の更に別の実施形態では、交流バッテリは、以下のリスト:低電圧DC/DCコンバータ、トラクション機構のそれぞれの相電流のための電流センサ、及び充電プラグのうちから、少なくとも1つの周辺ユニットを有する。少なくとも1つの周辺ユニットは故障ループに接続される。少なくとも1つの周辺ユニットは、中断故障が検出されると故障ループにトリガを渡す。トリガはまた、無故障時には、ある電圧レベルの電圧信号を故障ループが運び、故障が発生すると、例えば故障が発生したバッテリモジュールの故障ループが遮断され、その結果、故障ループの電圧信号が中央コントローラにおいて0Vに降下するという事実によって形成され得る。絶縁監視装置は、中断故障をもたらすことはないが、スイッチが(再び)入るのを防ぐことができる更なる周辺ユニットである。
【0028】
本発明による方法の続く更なる実施形態では、ハードウェアプログラマブルプロセッサユニットとしてFPGAが選択され、状態機械が少なくとも1つのマイクロプロセッサコア上で制御プログラムによって実装される。FPGAは「フィールドプログラマブルゲートアレイ(Field Programmable Gate Array)」の略語である。本発明によるコンタクタ制御を有する電気自動車を起動するとき、例えば、それぞれのプロセッサのプログラミングがFPGA上で構成でき、このプログラミングはハードウェア実装とみなされ、したがって安全に実行され得る。動作開始時には、制御プログラムは、ハードウェアプログラマブルプロセッサユニット上でプログラムローダによって構成される。動作開始時にハードウェアプログラマブルプロセッサユニットに制御プログラムをそれぞれ新たに供給するプログラムローダは、例えば、ファーストステージブートローダ(FSBLと略す)であってもよい。
【0029】
本発明による方法の続く更なる実施形態では、それぞれのバッテリモジュール又はそのモジュールコントローラの本質的な安全性は、次の理由により(それぞれの)モジュールコントローラへの入力信号が中断故障を示すシナリオによって達成される。
・電流センサがRS485インターフェースを介して故障メッセージを発する
・電流センサが接続の遮断を判定する
・規定範囲外の電圧値が判定される
・所定の温度範囲を超えた(例えば、86℃超)と温度センサが判定する
・HSB_CMD_RX(IPコア)が機能持続時間(定期的に送信される信号の「タイムアウト」)を超える
・ウォッチドッグ又はその測定センサが短時間の電圧降下を判定する(ウォッチドッグ電圧降下検出)
【0030】
交流バッテリの安全コンセプトのためのシステムも特許請求の範囲に記載され、本システムでは、交流バッテリが、中央コントローラと、複数のスイッチング状態を有するパワー基板をそれぞれ有する複数のバッテリモジュールと、複数のコンタクタと、複数の電流センサと、故障ループと、高速バスとを備え、及びトラクション機構に接続される。中央コントローラは、少なくとも1つのマイクロプロセッサコアを有するハードウェアプログラマブルプロセッサユニットを有する。ハードウェアプログラマブルプロセッサユニット上で、バッテリモジュール、複数のコンタクタ、及び故障ループを制御するように制御プログラムが構成され、状態機械が制御プログラムによって実装される。バッテリモジュールは、中央コントローラから高速バスを介して故障ループまで接続される。この場合、中断故障が検出されると、中央コントローラは交流バッテリを安全動作状態に変更するように構成される。このことは、「バイパス」スイッチング状態を取るように高速バスを介して各バッテリモジュールに要求することと、各コンタクタにおいてそれぞれの安全スイッチング位置を命令することと、最後に中央コントローラを切断することとを含む。
【0031】
本発明によるシステムの一構成では、中断故障は、以下のリスト:断線、故障ループがトリガを運んでいること、及び中央コントローラに接続されたCANバスが不適切な動作状態を指示していること、のうちのいずれかのイベントの場合に存在する。
【0032】
本発明によるシステムの別の構成では、中央コントローラが故障ループを備え、各モジュールが更なる故障ループを備え、ある相のすべてのモジュールが中央コントローラの対応する相に接続される。加えて、中央コントローラの3つの相は、HSB_CMD_RX(IPコア)を介して接続され、したがって一緒にシステム全体にわたって故障ループを形成する。
【0033】
本発明によるシステムの更なる構成では、電流センサとマイクロプロセッサを有するモジュールコントローラとが各バッテリモジュールに配置される。この場合、モジュールコントローラは、中断故障が検出されると故障ループにトリガを渡すように構成される。
【0034】
本発明によるシステムの更に別の構成では、交流バッテリは、以下のリスト:低電圧DC/DCコンバータ、及びトラクション機構のそれぞれの相電流のための電流センサのうちから故障ループに接続される少なくとも1つの周辺ユニットを有する。この場合、少なくとも1つの周辺ユニットが故障ループに接続される。加えて、少なくとも1つの周辺ユニットは中断故障が検出されると故障ループにトリガを渡すように構成される。
【0035】
本発明によるシステムの続く更なる構成では、ハードウェアプログラマブルプロセッサユニットがFPGAであり、状態機械が少なくとも1つのマイクロプロセッサコア上で制御プログラムによって実装される。
【0036】
本発明の更なる利点及び構成は、説明及び添付の図面から明らかになる。
【0037】
当然のことながら、上述の特徴及び以下に説明する特徴は、本発明の範囲を逸脱することなしに、それぞれの記載された組み合わせだけではなく、他の組み合わせでも単独でも使用され得る。
【図面の簡単な説明】
【0038】
【
図1】本発明によるシステムの1つの構成における、中断故障を処理するための中央コントローラのブロック図である。
【
図2】本発明によるシステムの更なる構成における、中断故障を処理するためのモジュールコントローラのブロック図である。
【発明を実施するための形態】
【0039】
図1は、本発明によるシステムの1つの構成における、中断故障を処理するための中央コントローラ100のブロック図を示しており、参照符号103の矢印で示される中央コントローラ上でプロセス101、102が行われ、参照符号104の矢印で示される制御基板に信号が送信される(134、143)。中央コントローラ100の少なくとも1つの専用マイクロプロセッサ上のプロセス101は、オンチップ温度監視110、電流センサチェック111、エラーライン導体遮断検出112、HSB_Dataタイムアウト監視113などの監視装置によって形成される。つまり、データを送信するための高速バスにおいて信号送信時間の超過を監視し、中断故障をトラクションシステム状態機械114に報告する。また、HSB_CMDブロック127によってトリガされた致命的なエラーIRQ115がトラクションシステム状態機械114に報告され得る。次いで、トラクションシステム状態機械114は、HSB_CMDブロック127に中断故障を報告する。ハードウェアプログラマブルプロセッサユニット102(ここではFPGA)上のプロセスは、同期ADC120及び「ADC_RAWが所定範囲内にある」121などのアナログ/デジタルコンバータを有するブロックによって行われ、また、スケーラ122、リゾルバ/デコーダ123、永久磁石式同期モータコントローラ124、デルタシグマ変調器125、及びスケジューラなどのブロックで行われ、これらが中断故障をHSB_CMDブロック127に報告する。また、HSB_CMDブロック127は、「ADC_RAW信号が所定範囲内にある」ブロック121、零相電流/リゾルバ128、及び飽和/電力制限ブロック129から、このような中断故障メッセージを直接受信する。HSB_CMDブロック127は、例えば、すべてのバッテリモジュールが接続されている制御基板にHSB_CMD134としてコマンドを送信し、制御基板に接続されている故障ループ143を監視する。
【0040】
図2は、本発明によるシステムの更なる構成における、中断故障を処理するためのモジュールコントローラ200のブロック図を示しており、参照符号203の矢印で示されるモジュールコントローラ上でプロセス201、202が行われ、参照符号204の矢印で示される制御基板に、又はこの制御基板への電気接続に信号が送信される(234、243)。モジュールコントローラ200の少なくとも1つの専用マイクロプロセッサ上のプロセス201は、オンチップ温度監視210、電流センサ導体遮断検出211、及び「電流センサ閾値が信号に到達」ブロック212などの監視装置によって形成され、中断故障をモジュール状態機械213に報告する。次いで、モジュール状態機械213は、バッテリモジュールのHSB_CMDブロック221に中断故障を報告する。また、モジュールコントローラ200のハードウェアプログラマブルプロセッサユニット202(例えば、ここではFPGA)上のプロセスでは、中断故障がバッテリモジュールのHSB_CMDブロック221に「不足電圧/過電圧検出」モジュールによって報告される。バッテリモジュールのHSB_CMDブロック221は、HSB_CMD234としてコマンドを受信し、故障ループ243に接続される。
【符号の説明】
【0041】
200 制御基板の故障の処理
201 モジュールコントローラのマイクロプロセッサ上のプロセス
202 FPGAモジュールコントローラ上のプロセス
203 中央コントローラ上のプロセス
204 モジュールコントローラから制御基板へ
210 オンチップ温度監視
211 電流センサ導体遮断検出
212 電流センサ閾値が信号に到達
213 モジュール状態機械
220 不足電圧/過電圧検出モジュール
221 HSB_CMD
234 制御基板からのHSB_CMD
243 制御基板へのエラーライン
100 中央コントローラ
101 中央コントローラのマイクロプロセッサ上のプロセス
102 FPGA中央コントローラ上のプロセス
103 中央コントローラ上のプロセス
104 中央コントローラから制御基板へ
110 オンチップ温度監視
111 電流センサチェック
112 エラーライン導体遮断検出
113 HSB_Dataタイムアウト監視
114 トラクションシステム状態機械
115 致命的エラーIRQ
120 同期ADC
121 ADC_RAWが範囲内である
122 スケーラ
123 リゾルバ/デコーダ
124 永久磁石式同期モータコントローラ
125 デルタシグマ変調器
126 スケジューラ
127 HSB_CMDブロック
128 零相電流/リゾルバ
129 飽和/電力制限
134 制御基板へのHSB_CMD
143 制御基板の故障ループ