技术领域
[0001] 本
发明设计新
能源汽车技术领域,具体说是一种符合功能安全的异构冗余整车控制器。
背景技术
[0002] 整车控制器
软件架构趋于规范化,各整车厂之间合作不断加深,从而统一对整车控制器的整体架构制定了统一标准。AUTOSAR汽车开发系统架构就是在此背景下应运而生的,统一标准便于工程人员缩短开发时间,提高各公司软件的兼容性和可靠性,打破行业壁垒。
发明内容
[0003] 本发明的目的是致
力于开发一种符合功能安全的异构冗余整车控制器,符合功能安全要求、平台化的整车控制器产品。整车控制器开发过程遵循ISO26262 开发流程,在
硬件和软件上实现了双V字型流程,硬件架构上符合ASIL-D的要求,软件通过模
块测试、系统测试、硬件在环测试等环节,确保产品在量产后不会出现逻辑故障和失效故障。
[0004] 为实现上述目的本发明采用的技术方案是:
[0006] (1)符合功能安全要求;
[0007] 功能安全作为一种系统化设计、评估、验证安全性的方法被普遍采用,并由核电、石化等重大工业领域向汽车行业渗透。通俗地讲,首先,功能安全产品高度可靠。其次,即便失效也要求产品在保障设备、车和人不出现重大损害的前提下,降级运行,安全停机、停车。
[0008] (2)图形化的编程方法;
[0009] 通常整车设计者不懂
计算机编程语言,语句级的
算法细节也不是他们关心的重点,他们希望把设计的
重心放在高级算法的研究、试验上。图形化的编程方法可以让整车的设计者在计算机上像画图一样编程调试,并将调试好的程序下载到整车控制器硬件中去执行。
[0010] (3)平台化开发;
[0011] 图形化编程需要有相应的软件工具保障程序的编写、调试,计算机可执行代码的生成和下载,同时还要求有相应的
基础图元库、功能模块库、典型算法库作
支撑,还要求能够让使用者开发自己的高级算法,来丰富算法库。这些功能汇集到一起,就是平台化开发环境。
[0012] (4)为了整车控制器系统的可靠性,需要采用有效的异构冗余容错控制技术,[0013] 重点解决整车控制器系统异构冗余系统的失效分析与安全评估的问题。
[0014] 随着汽车
电子系统的日益增多和复杂,软件和
机电一体化应用不断增多,来自系统失效和随机硬件失效的
风险逐渐增加。根据目前国内外硬件技术已经非常先进,设计技术、制造工艺较之以往也大大提高,相对于软件,硬件的检测技术也比较成熟,硬件设计错误的概率也非常低。因此采用硬件是异构冗余技术主要目的是为了能有效的防止瞬时或偶发故障带来的问题。软件故障是软件或软件的一部分计算、观察、测量的值或条件与实际的规定的或理论上的值或条件不符。在不考虑异构冗余的情况下,软件出故障就会导致失效,即功能部件执行其功能能力的丧失。
[0015] (5)本发明采用系统调用的任务级同步技术来进行双MCU同步工作,实现高安全要求环境下整车控制器的硬件、软件的异构冗余容错控制技术,实现整车控制器的安全运行。
[0016] (6)能够基于系统的自测试程序,实现检测失效、诊断结果、报告错误,并且实现危险情况下的安全处理,完成异构冗余整车控制器各部件的单元
自诊断技术。
[0017] (7)整车控制器系统中各个任务模块都是按给定的调度时间、执行顺序等执行,任务调度技术实现这种控制,整个系统的管理软件采用相同的算法实现。系统中采用双MCU容错的实现,是建立在双MCU同步的基础上的。如果双 MCU不能很好的同步,各自处理各自的任务,这种方式下的双机容错,就跟单机容错没有任何区别了。因此,在协调完成多模块容错系统的判决、故障模块的隔离,降级等控制过程中,同步技术是整车控制器系统的核心。本发明中采用任务级同步,使双MCU执行相同的算法,当计算完成时进行同步比较,优点是各个模块的时钟可以独立且简单易行。系统的故障检测采用交叉比较法进行监控。当双MCU比较不一致时,则启动各自的自测试程序,进行自主式故障检测。当自测试程序能够
定位故障时停止交叉比较,系统屏蔽故障MCU输出,将输出切换到正常工作的MCU;当自测试程序无法定位故障时,保持上次输出或切换到安全输出。
附图说明
[0018] 图1为本发明的整车控制器
系统软件架构图。
[0020] 图3为双MCU工作机制图。
[0021] 图4为电源单元工作框图。
[0022] 图5为外部
传感器供电电源
电路原理图。
[0024] 图7为频率输出电路图。
[0025] 图8存储处理单元电路图。
具体实施方式
[0026] 下面结合
说明书附图1-8对本发明进一步说明。
[0027] 一种符合功能安全的异构冗余整车控制器,整车控制器负责管理整个动力系统,协调BMS、
电机控制器,AMT等多个零部件工作;决定高压
接触器的闭合和断开;整车控制器作为动力系统的核心控
制模块,整车的控制主要在于实现转矩的控制;通过转矩控制实现起步、停车、
加速、减速、前进、后退等动作。整车控制器需计算整车需求
扭矩,并根据零部件当前的状态和效率控制车辆的运行。整车控制器的软件根据功能划分可以分配多能源管理策略和辅助功能模块两部分。其中多能源管理策略包括整车需求扭矩计算,模式调度,
扭矩分配等部分,是软件的核心部分。辅助功能模块包括
信号处理和驱动模块,通讯和标定模块,故障诊断模块,高压电安全管理,
开关机模块等。
[0028] 低压电管理,包括各控制器的上电策略、下电策略、低压电源诊断以及充电管理等;
[0029] 高压电源管理,包括在整车层次上的高压电系统故障诊断、上电管理和下电管理以及高压电系统的整车安全控制策略(如驾驶过程中的高压电安全、高压零部件安全等);
[0030] 与硬件自诊断相结合的故障诊断和失效控制策略,通过对各传感器信息的独立诊断和交互式诊断,形成一个完整的故障诊断系统,既防止零部件损坏,同时防止因故障引起的驾驶安全问题;
[0031] 驱动力与动态协调控制策略,根据驾驶信息,实时计算驱动力需求,满足车辆稳态和动态工况的驱动力需;
[0032] 能源管理和SOC平衡控制策略,实现了
制动能力回收等功能。
[0033] 集成了整车控制功能,例如车辆唤醒、驾驶驱动控制和制动控制、车辆巡航控制、车辆加减速控制、车辆超速限制等一系列的功能;
[0034] 标定策略,设计CCP协议,实现整车动态标定并提供控制器运行参数和车辆、动力系统各部件的运行参数,实现高效准确优化系统的目的。
[0035] 整车控制器系统软件设计包括底层
接口设计、算法设计、
通信接口设计(CAN 总线)。设计任务调度模型,将变速箱控制器的功能分为时间任务调度模块、CAN 接受模块、10毫秒周期任务、20毫秒周期任务、50毫秒周期任务、100毫秒周期任务、1秒周期任务、CAN报文通讯接口变量名、软件功能模块架构,还有软件各模块之间的接口变量。任务调度模块包含整车的控制策略。包括:整车上、下
电流程,档位控制,充电流程,换挡策略,车辆驱动控制策略等。即为基于 MATLAB模块化设计的整车控制器总体任务调度模块。
[0036] (1)整车控制器上电流程
[0037] 钥匙
门拧到Key On后,由On供电唤醒整车控制器的电源管理芯片,进而唤醒主芯[0038] 片和其他IC,整车控制器进行上电自检;
[0039] 初始化和自检完成后,通过CAN总线上报整车控制器其他器件,BMS和 MCU等控制器进行上电自检;
[0040] 钥匙门拧到Key Start 1秒后,且在无充电互
锁信号和BMS和MCU无2级以[0041] 上故障的情况下,整车控制器进入等待上高压状态,整车控制器发送给BMS 高压上电指令,BMS闭合总负和预充继电器,在规定时间内BMS状态由检测到预充过程完成,则闭合总正继电器,断开预充继电器。
[0042] (2)整车控制器下电流程
[0043] 钥匙门由Key On关闭后,整车控制器将
驱动电机输出扭矩变为0Nm,整车控制器发送给BMS高压下电指令;
[0044] BMS检测到下电指令后,BMS进入下电状态,断开总正和总负继电器,完成下高压流程;
[0045] 高压下电完成后,整车控制器切断主继电器,BMS和其他控制器进入低压下电过程;
[0046] 然后整车控制器延时10s后,通过内部电源管理芯片进行自杀下电;
[0047] 如果在下低压电和延时等待过程中,钥匙门拧到Key On,则整车控制器认为驾驶员期望重新进入上电模式,整车控制器与BMS和Inverter配合完成上电流程。
[0048] (3)IO量输入接口模块
[0049]
数字信号做防抖处理,以滤掉信号中的噪声;
[0050] 当数字信号出现瞬时故障时,通过多次判断确定信号是否出现问题,当数字信号故障被确认后,防抖处理后的数字信号值则等于默认值,再进行处理故障;
[0051] 数字
输入信号应具备可标定重写功能,以便后续的测试验证。
[0052] (4)CAN信号输入接口模块
[0053] 需要判断接收到的CAN消息的每一
帧是否有效,是否超时,帧中包含 checksum或rolling counter,需检测checksum和rolling counter是否正确;
[0054] 信号原始值(raw value)转化为具有实际物理意义的工程量;
[0055] CAN输入信号需进行防抖处理,当CAN输入信号出现瞬时故障时,通过多次判断确定信号是否出现问题;当CAN输入信故障被确认后,防抖处理后的CAN 输入信值则等于默认值,再进行处理故障;
[0056] CAN输入信号应具备可标定重写功能,以便后续的测试验证。
[0058] 本发明整车采用的是电子油门
踏板总成。为了防止电源
波动的干扰,需要独立的两路电源供电。
[0059] 加速踏板供电
电压为5V,根据整车控制器采集的两路油门踏板信号的反馈电压,反馈电压与踏板
角度成正比关系;
[0060] 当加速踏板反馈电压1在0.75V以下或者在3.84V以上时,则认为踏板信号无效;
[0061] 当加速踏板反馈电压2在0.35V以下或者在1.92V以上时,则认为踏板信号无效;
[0062] 加速踏板反馈电压2乘以2后与加速踏板反馈电压1进行安全校验,如果差值大于预设值,则认为踏板信号无效;
[0063] 在D档或者R档,当驾驶员踏下加速踏板时,整车控制器通过令电机进入转矩控制模式,扭矩输出随着踏板的踩下而线性变化。
[0064] (6)制动踏板信号处理模块
[0065] 本发明整车采用的是电子制动踏板总成。制动踏板信号为0.5—4.5V输出的
模拟信号。
[0066] 制动踏板采集信号电压过低超过3s(<0.1V),报三级故障模拟量制动信号过低,整车输出扭矩置0,停车不断高压;制动踏板采集信号电压过高超过3s(>4.8V),报一级故障制动踏板值过高;
[0067] 制动踏板值过低,制动深度为0;制动踏板值过高,制动深度为100%。
[0068] 制动踏板的深度根据制动踏板的电压—深度特性曲线进行标定。
[0069] 若油门和制动同时有信号的时间大于1s,报一级故障制动踏板和油门踏板同时有信号,但不影响踏板深度的计算。
[0070] 整车控制器判断制动信号有效地初始值设为0.88V
[0071] (7)换挡逻辑控制策略模块
[0072] 档位信号通过VCU接
插件数字量输入端口进行判断;
[0073] RND三个档位全部为数字量输入低有效,判断时采用
真值表进行,通过排列组合除D、R档位外,其他状态都为N档;
[0074] 在R档下,令电机工作转速为反转,使能倒车灯驱动;
[0075] 在N档下,令电机目标扭矩慢变为0Nm;
[0076] 在D档下,令电机工作转速为正转。
[0077] (8)车辆驱动控制策略模块
[0078] 在D档或者R档的情况下,驾驶员踏下油门,则车辆进入车辆驱动模式;
[0079] 在驱动模式下,扭矩输出主要是通过查表法实现,
[0080] 在不同踏板深度下,扭矩输出不同,用户可通过调整扭矩MAP,实现不同的驾驶感受;
[0081] 整车
能量管理的实现也主要是在车辆驱动模式中,根据BMS SOP的信息,在满足驾驶需求的前提下,最优分配主驱动电机、
电池等高压部件的功率或扭矩输出,实现能量的最优管理,当电池包总电流大于SOP中规定数值时,则进行限制扭矩输出;
[0082] 在制动踏板和油门踏板同时踩下的情况下,制动踏板计算的扭矩优先执行。
[0083] 电动汽车控制系统的应用是当今汽车行业高新技术发展的必然趋势,电动汽车控制系统的四个主要控制单元为电动汽车整车控制系统,电机控制系统,充电机控制系统和
电池管理系统。电动汽车整车控制系统由整车控制器、通讯系统、零部件控制器以及驾驶员
操作系统构成,其主要功能是根据驾驶员的操作和当前整车和零部件工作状况,在保证安全和动力性的前提下,选择尽可能优化的工作模式和能量分配比例,以达到最佳的经济性和动力性,可靠性。
[0084] 本发明的整车控制器主要针对的
配对车型是纯电动和混动车型,作为整车的主控单元协调各子控制器工作,功能上实现新能源整车控制器功能,并具备后期再研发的扩展性,满足EMS和TCU的硬件需求,作为平台化产品拥有充足的接口,方便用户再次开发其他类型产品。本发明以提高整车控制器的安全等级为设计目标,对整车控制器的硬件设计进行危害分析和风险评估,通过相应的安全机制的设计,并且加入了具有故障检测和故障冗余功能的异构冗余双控制器;软件部分,实现了双控制器的故障检测和故障冗余的功能,试验表明,双
微控制器能够实现互相监测故障,并且能够在其中一路微控制器失效的情况下由另一路微控制器代替其工作。该异构冗余系统的设计使整车控制器满足ISO26262中规定的 ASIL等级要求,这对于提高整车控制器的功能安全等级有着十分重要的意义。
[0085] 整车控制器系统功能框图如图2所示。
[0086] 整车控制器是电动汽车整车控制系统的核心部件,它采集电机控制系统信号、油门踏板信号、制动踏板信号及其他部件信号,根据驾驶员的驾驶意图综合分析并作出相应的判断后,监控整车各单元的工作。在硬件设计中,整车控制器基于模块化是设计理念,主要包含微控制器单元、高级电源管理单元、输入信号处理单元、
输出信号处理单元、通讯处理单元、存储管理电源和故障处理单元。
[0087] (1)微控制器单元
[0088] 微控制器是整车控制器的核心器件,负责整车数据的采集、处理和系统的逻辑运算,为了提高整车控制器的安全性。在整车控制器系统中安全设计的核心在于异构冗余技术。本发明采用诊断
覆盖率较高的异构冗余双处理器架构及增加功能电路的数量来实现,整体冗余量达到60%以上。
[0089] 主控微控制器采用英飞凌的AURIXTMTC275三核处理器。AURIXTM多核架构采用通过ISO26262认证的流程开发和设计,可高效地满足ASIL-D级应用的要求。丰富的通信接口如CAN、SPI、LIN、CAN_FD、Flexray、以太网,可满足未来10年汽车
动力总成系统通信接口的需求。电源管理采用集成化安全解决方案,符合ISO26262 ASIL-D的设计标准,具有1.3V,3.3V和5V电压调节器功能。供电单元将外部
蓄电池24V电压稳压为5V或者3.3V,给
单片机供电。除此之外,还包括晶振、调试接口和基本配置引脚等。CAN总线收发功能、电压监控功能和片外看门狗功能;片内和片外双看门狗方案,最大程度上保障软硬件系统的安全,集成化安全电源管理芯片减少了PCB上元器件的数量,降低了系统的复杂度,提高了产品可靠性。
[0090] TC275具有交错电压监测机制,在每个电源轨都有一个主要和一个冗余辅助监视器。每次电源缓慢上升后,都要测试启动电源。当带隙,内部时钟这些基本元件运行,需要进行带隙BI ST,内部时钟检查和电源测试。如果测试成功,EVR13 和EVR33启动,通过SMU引脚配置。当发生电源掉电,不能达到最低运行
阈值时,主监控保证微控器会进入冷上电复位状态。欠压主监控适用于VEXT电源,3.3V VDDP3电源轨和1.3V VDD电源轨。附加比较器也用来监控VEXT和 VEVRSB电源轨,以保证适当待机模式功能的执行。一旦发生过压和欠压报警给 SMU,辅助监控器的功能相当于安全监控。辅助监控确保通过最小共因失效由独立监控机制监控每次嵌入式稳压器输出或电源轨。辅助欠压监控会监控外部 VEXT电源,3.3V VDDP3电源轨和1.3V VDD电源轨。辅助过压监控会监控外部 VEXT电源,3.3V VDDP3电源轨和1.3V VDD电源轨。当外部供电,EVR电源高于最低主复位阈值,解除PROST冷复位状态。开始执行
固件,用户软件配置并激活过压和欠压辅助监视器。
[0091] 辅助MCU使用一片低成本的MCU,采用NXP的16位MC9S12系列单片机。此款芯片在汽车、航模中被广泛使用而且抗
电磁干扰能力强;从芯片资源上看,可满足简单纯
电动车辆的运行要求,内部内存384KB,主频最大50Mhz,CAN、 SPI、I2C、SCI通信接口齐全,属于超高可靠性汽车级别芯片,可运行在恶劣条件下。
[0092] 正常情况下,由主微控制器TC275的32位主核采集整车输入信号根据控制逻辑策略对受控机构输出相应的控制指令,控制整车运行;32位从核运行与主核并行的整车控制策略,实现系统硬件与软件的安全冗余设计;8位
内核负责系统的任务仲裁和故障检测。
[0093] 任务仲裁主要是对数据进行监控,8位内核对于系统内主、从内核的监控主要体现在以下方面:周期自检信号的监控;信号相对上一周期变化梯度检测;主、从内核信号差值大小的检测。在多数情况下内核的故障特征比较岷县。周期变化的自检信号是内核正常运行的重要指标,“心跳”的正常表明了系统软件功能的完好。对于大多数信号而言,瞬时信号变化梯度也有明确上限要求,若有一个超出则可明显断定该组数据错误。自检、同步、梯度变化均正常状态下,若传送信号差值均在允许的门限值范围内,则认为主、从内核均工作正常;若有信号差值超出门限值,启动告警,置状态反馈信号为故障,系统进入预先设定的
安全模式状态,同时运行数据有效性仲裁程序;若通道永久故障,则置状态反馈信号为单内核,指示系统进入单内核运行模式。
[0094] 故障检测采用交叉比较法进行监控。当主、内核比较不一致时,则启动各自的自测试程序,进行自主式故障检测。当自测试程序能够定位故障时停止交叉比较,系统屏蔽故障内核输出,将输出切换到正常工作的内核;当自测试程序无法定位故障时,保持上次输出或切换到安全输出。
[0095] 双MCU之间的系统监控与故障检测也由主微控制器的8位内核来实现。双 MCU之间监控主要体现为以下方面:正常工作模式下,辅助微控制器MC9S12X 主要负责监测
主控制器的工作状态,不参与任何外界的控制工作,辅助控制器通过“心跳”信号监控主微控制器的运行状态,主微控制器与辅助控制器基于 SAEJ1939协议的CAN总线进行通讯,由主微控制器负责采集信号并进行
数据处理,然后根据控制逻辑策略对受控机构输出相应的控制指令,完成整车控制器的功能,保证整车控制器安全可靠的运行。在异构冗余工作模式下辅助微控制器的软件设计和主控制器一样,处于双MCU同步状态。当主微控制器失效后,辅助微控制器代替主微控制器工作,辅助微控制器通过接收各个输入信号和CAN 总线信号来解析驾驶员的操作意图,以继续完成整车控制功能。
[0096] 具体工况如下分析:在主微控制器出现故障的情况下,由辅助微控制器继续采集加速踏板,制动踏板、档位、碰撞开关等关键信号,在保证车辆安全的情况下,关闭主微控制器的CAN收发总线与整车CAN网络各个
节点进行安全状态下的通信,并取代主微控制器去控制风扇,高压气
泵、油泵等继电器的正常运行,最终保证车辆在故障状态下的基本安全行驶功能。相反,在辅助微控制出现故障时,主微控制器可通过内部8位内核进行故障监测与故障冗余处理,并最终完成系统数据处理和控制指令输出,保证整车安全可靠运行。
[0097] (2)高级电源管理单元:对单片机模块、输入模块、输出模块和通讯模块提供合适的电源;
[0098] 汽车内部
电子控制单元数量很多,整车处于一个复杂的电子环境。汽车运行时的环境对
车身控制单元要求是非常严格。24V电源系统的电路要求必须在 9~32V的电压范围内正常工作。而且还要求能够满足电性能试验,包括过电压、供电电压缓降和缓升、反向电压、供电电压瞬态变化等;同时整车控制器是车上最易收到电磁干扰的敏感设备,所以电磁干扰问题是考量整车控制器性能的重要指标。对于整车控制单元,低功耗是衡量整车控制器重要的性能指标。本发明设计的电源部分电路满足了整车控制器对低功耗和抗电磁干扰的需求。
[0099] TriCore AURIXTM家族系列产品仅需要一个单电源芯片就可以产生所有内部电压。TLF35584是用于TriCore AURIXTM家族系列用于多种电压输出的系统集成电源芯片,也是ASIL-D等级的芯片。芯片的使能控制端为点火开关信号和唤醒信号,高电平有效。可实现高达600mA的uC负载电流,通过降压-升压的前稳压器和一个LDO后端稳压器,
输出电压VLDO_QUC为5.0V或3.3V,调节
精度±2%;可实现高达200mA的通信单元负载电流,通过降压-升压的前稳压器和一个LDO 后端稳压器,输出电压为VLDO_QCO为5.0V,调节精度±2%;对于高达150mA 的ADC负载电流,输出为VREF_QVR为5.0V的精确专用参考电压给ADC,精度±1%;
另该电源芯片可输出两路5.0V电压,精度为±1%,为传感器供电。TLF35584 可输出系统待机电压VLDO_QST为5.0V或3.3V,精度±2%,支持20μA到10mA的待机电流。因此,实际应用中,会组合在一起使用并永久连接在VBAT。另外,也可以在前端稳压器输出上连接一个附加的开关模式后端稳压器,这样一来利用 TLF35584可实现外部1.3V内核
电源电压。
[0100] 电源模块部分实现硬件电路的异构冗余设计,满足多路电压输出,对不同功能模块实现供电,保证各个功能模块都能安全稳定正常工作,不会因为单路电压输出不正常而影响其它功能模块的正常运行。
[0101] 主电源由常电KL_30供电,KL_30经由防反接保护
二极管D2正极,从二极管D2负极流出,二极管D2起到防反保护功能;点火钥匙信号KL_15,经由二极管D1正极,从二极管D1负极流出,二极管D1起到防反保护功能;VD1为电源入口TVS瞬变抑制二级管,VD1负极连接TR1,正极连接KL_31,起到电源入口防大电流浪涌的作用,吸收电流尖峰,保护后端电路;电容C10,C9为共模滤波电容;L3为共模
滤波器,
串联在电源入口,P1脚与P4脚串联在电源线中,P2脚与P3脚串联在地线中,L3在电源入口端起到共模滤波的作用。电容C10,C9,L3,C8,C7组成了π型滤波电路;电容C7为电源入口储能电容, L1为滤波电感,D3串联在电路中,D3为
续流二极管,D3的负极连接U1的45 脚和44脚,为芯片U1供电;电容E2为BUCK电路前段储能电容;电容C6起到电源滤波的作用。
电阻R6为限流电阻与
发光二极管LED1为电源VS的电源指示灯;场效应管Q1和电阻RSen1,RSen2组成了电流检测电路,检测后端 PREREG电路电流。如果不用V_PREREG,则不需要
焊接Q1,RSen1,RSen2。 U1的P46脚悬空,P47连接GND,P1,P48连接GND;U1的P2连接P44,为芯片供电;U1的P3为使能信号引脚,高电平有效;U1的P4为唤醒引脚,高电平有效;U1的P17为复位信号引脚,低电平时复位有效;U1的P18为中断信号引脚,低脉冲信号中断信号有效;U1的P15为SPI的片选信号,需串联上拉电阻R13到5V电源;U1的P14为SPI的
时钟信号;U1的P12为SPI的数据输入引脚,需串联上拉电阻R17到5V电源;
U1的P13为SPI数据输出引脚,需串联上拉电阻R19到5V电源;U1的P16为看门狗输入触发信号,输入触发信号,连接主控
微处理器的触发信号输出引脚,如果没有使用,悬空即可;
[0102] U1的P20为故障输入引脚,从主控微处理器安全管理单元(SMU,内部输入错误信号微处理器故障检测)连接“错误信号输出”微处理器到P20;U1的P10 为安全状态输出信号2,将应用程序设置为安全状态。如果信号被延迟对于SS1,可以通过SPI命令调整延迟。电阻R22为限流电阻,发光二极管LED2为安全状态指示灯;U1的P11为安全状态输出信号1,通过该引脚的状态可将应用程序设置为安全状态。电阻R23为限流保护电阻,店主R94为引脚对地下拉电阻,可保证P11的电平状态,是系统处于稳定的工作状态;U1的P8,P9,为U1的模拟地引脚,连接GND;U1的P27非客户使用引脚,直接连接GND;U1的 P22;
[0103] 可用于单片机的调试和编程目的,R25为引脚串联电阻,直接连接GND;U1 的P6,P7,P28,P29为U1的模拟地引脚,直接连接外部板子GND;U1的P5 为备用5V LDO输出引脚;R1为0R电阻,串联在输出电路中,方便调试;电容 C1,C2,FB1,C4,C5组成π型滤波电路,C3为滤波电容,E1为输出储能电容;U1的P24在低频范围内将引脚连接到GND,电阻R78为0R电阻,串联在电路中方便调试;如果不使用预调整器,U1的P25直接连接到GND,电阻R83 为0R电阻,串联在电路中方便调试;U1的P42与P43连接,为Buck开关输出引脚,L2为Buck输出储能电感;R7为0R电阻,串联在输出电路中,方便调试;电容C13,C11,FB2,C14,C15组成π型滤波电路;C12为滤波电容;
电解电容E14为输出储能电容;U1的P40,P41直接连接Bcuk输出电路的GND;U1 的P34,P35,P36,P37,P38与电解电容E4的正极相连,为Buck的输出电压反馈端;U1的P19为同步输出信号,由于未使用外部调压器,所以该引脚悬空; U1的P21为核心供应启用外部后置调节器,由于未使用外部调压器,所以该引脚悬空;U1的P23通过串联电阻R87连接至GND;U1的P26为可选外部调压器输出电压的输入引脚,由于未使用外部调压器,所以该引脚悬空;U1的P30 为MCU供电的LDO输出引脚;U1的P31为通信单元供电的LDO输出引脚; U1的P32,P33为外部传感器供电的LDO输出引脚;U1的P19为参考电压输出引脚;
[0104] 电源部分另设计外围传感器5V供电电路,采用英飞凌电源芯片TLS115,可实现高达150mA负载电流,通过线性稳压器实现5.0V电压输出,供外部传感器工作。通过此部分电路的设计,实现电源部分的异构冗余设计。
[0105] BUCK_OUT为电源芯片TLS115提供供电电源,输入信号5V0_EN2为使能信号,高电平使能有效,电源芯片稳定工作。低电平时,电源芯片不能工作;电阻R224为0R电阻一端连接VCC_5V0为芯片提供参考电压,另一端连接IC4 的ADJ引脚;IC4的P1为电源芯片的输出引脚,可以实现150mA的稳定输出。 C157,C158为芯片输出端的滤波电容;二极管VD10防静电二极管,保证电源芯片的输出端受静电干扰。此部门电路实现了电源部分的异构冗余设计,保证外部传感器供电电源的可靠性。
[0106] (3)输入信号处理模块:
[0107] 整车控制器的输入信号包括开关信号、模拟信号,脉冲量信号。为了保护单片机不被
干扰信号损坏,模拟量,开关信号和脉冲量信号接口的调理电路必须增加保护电路和滤波电路,有效起到信号滤波和安全保护的作用。
[0108] 开关量信号包括高边输入有效和低边输入有效两种类型。开关信号主要来自于风扇反馈信号、干燥器信号、
空调开关信号、PTC开关信号,手刹信号、启动信号以及ON档唤醒和充
电信号。通过开关量采集专用芯片对数字量进行采集,满足单片机TC275的I/O采集;数字量采集芯片采用飞思卡尔的MCD1030。数字量采集实现每路采集电路硬件上高/低电平可配置,采集电路拥有滤波功能,可屏蔽高频干扰;MCD1030也可以实现AD采集,可通过内部通道进行选择,即实现AD和DI通道功能复用;DI采集湿电流可通过软件进行配置。对输入的模拟量进行调理,满足单片机TC275的AD电压转换范围要求;
[0109] 模拟量采集实现电压式与电阻式采集,电压式与电阻式采集可通过硬件配置;整车控制器中的模拟输入信号主要来自于加速踏板、制动踏板;换挡
位置等外围传感器的模拟电压信号,电压范围在0~5V之间。这类信号滤波后,为增加驱
动能力,一般用电压跟随器送到单片机的AD口进行A/D转换。本发明设计中采用集成度高端元器件,TI的集成
运算放大器OPA2348(包含两个
运算放大器)。AD信号输入电路中端口采用ESD防护二极管,保证信号抗静电干扰; OPA2348与多电阻组成电压跟随器,保证电压信号稳定。
[0110] 脉冲量输入信号采用如下电路图实现脉冲量采集,其中脉冲量采集量为
车速传感器信号。
[0111] PWMIN4脉冲输入信号经
磁珠FB16,进行信号滤波处理。电容C185一端连接磁珠FB16,另一端连接壳体地EARTH,电阻R282、电阻R28、
三极管Q34,电阻R282,三极管Q36,电阻R283组成恒流电路,二极管D91为防反接二极管,VD15为防过压保护二极管,电阻R284,电阻R288分压保证三极管稳定导通;电阻R281为三极管输出端限流电阻;PWMIN04为输入频率脉冲信号,进入主控微控制器;
[0112] (4)输出信号处理模块
[0113] 输出信号处理模块主要包含:高边驱动输出,低边驱动输出和频率输出电路。
[0114] 本设计中采用的是16通道低边智能开关芯片TLE6240G,实现风扇使能继电器输出,空调使能输出,制动灯输出。主控MCU和辅助MCU均通过SPI
串行总线实现数据连接;驱动电流输出可达到1A电流,若有更高的功率输出要求,可通过引脚并联实现更高的功率输出;高边驱动输出芯片采用双片4通道高边智能开关芯片BTS724G,实现PTC使能输出,倒车灯控制,高压气泵油泵控制以及电池电机供电寄存器控制。功率驱动输出芯片均具有过温、过压和
短路故障等保护功能。
[0115] 基于输出模块的硬件逻辑和可编程控制技术的在线诊断技术,通过检测运行部件正常运行的行为来判断失效行为,减少由于硬件随机失效引起的故障,报告系统出错状态,实现危险情况下的安全停车,并保证数据处理过程中的数据完整性和可用性。具体工作机制为:各端口故障通过SPI把信息传递给双MCU,双 MCU把故障码进行存储同时做响应。低边驱动,输入接口,通过SPI传递错误码,高边驱动通过电平产生故障码到双MCU并通过双MCU驱动报警信号;当主控MCU与辅助MCU检测到彼此出现故障信息时,在保证车辆安全的情况下,关闭出现问题的MCU的CAN收发总线与整车CAN网络各个节点进行安全状态下的通信,并取代出问题MCU去控制风扇、高压气泵、油泵等继电器的正常运行,最终保证车辆在故障状态下的基本安全行驶功能。相反,在辅助MCU出现故障时,有主控制器完成车辆的基本安全行驶功能。
[0116] 本发明中包含4路脉冲量输出电路。
[0117] PWM_C1信号输入经过限流电阻R249进入Q20基极,电容C175起到滤波作用;电阻R252保证Q20稳定工作,三极管Q20,Q22,电阻R253,电容C176 组成了恒流电路;电阻R241,一端连接VCC_ON,另一端连接二极管D82正极,起到限流的作用;二极管D82为供电电源防反二极管;电阻R246为输出限流电阻;电容C174为信号输出端口防护电容。
[0118] (5)通讯处理模块
[0119] 由于系统中主控MCU和辅助MCU均自带CAN控制器,则各个MCU分别驱动两路CAN接口芯片,芯片采用NXP的TJA1051。通讯模块采用独立的5V 电源供电,确保供电系统的
稳定性与可靠性,为了增强CAN总线节点的抗干扰能力,通信电路增加共模电感去除共模干扰,增加滤波电容去除差模干扰,增加 ESD防干扰和钳位5V电压。CAN通信数据由主控MCU分发给辅助MCU,通过对通信数据进行仲裁,实现CAN数据的高速运行。
[0120] (6)存储处理单元
[0121] 存储处理单元采用汽车级存储级芯片M95M01-DWMN3TP该芯片可实现 1Mbit通信速率,通过SPI与MCU实现通讯,MCU通过SPI与存储单元完成读写。
[0122] 芯片IC6的P5通过上拉电阻R184连接至电源VDD_IO;数据输入信号 SPI0_SIN经端口保护电阻R191,连接至P5。对地连接去耦电容C189,起到滤波作用;芯片IC6的P2通过上拉电阻R192连接至电源VDD_IO;数据输出信号SPI0_SOUT经端口保护电阻R192,连接至IC6的P2脚;芯片IC6的P6经上拉电阻R188连接至电源VDD_IO,对地连接去耦电容C160,起到滤波作用;芯片IC6的P1经上拉电阻R186连接至电源VDD_IO,片选信号SPI0_CS0连接至 P1;芯片IC6的P3通过电阻R195下拉至GND,保证片选信号SPI0_CS1的有效电平;芯片IC6的P8为芯片的电源引脚,连接至电源VDD_IO;芯片IC6的 P7连接至电源VDD_IO,高电平有效,电容C191为去耦电容,连接至GND;芯片IC6的P4为芯片的GND引脚。
[0123] 整车控制器的主微控制器采用TriCore AURIXTM的TC275系列,针对 ISO26262融合了众多的安全机制。校验核(checker core)或锁步核(lockstep core) 机构与SMU(Safety Management Unit)机制的融合,HSM(Hardware Security Module),ECC(Error Checking and Correcting)等都提高了AURIXTM的安全性,是一款ASIL-D等级的芯片。英飞凌单片机AURIXTM三核的系统构架,刚好构成相互冗余的硬件系统,大大降低了单片机完全失效下安TM全风险。AURIX 系列单片机较大的内部存储(4MB Flash),也为软件的安全冗余设计提供开
发条件。
[0124] 辅助MCU使用一片低成本的MCU,采用NXP的16位MC9S12系列单片机。此款芯片在汽车、航模中被广泛使用而且抗电磁干扰能力强;从芯片资源上看,可满足简单纯电动车辆的运行要求,内部内存384KB,主频最大50Mhz, CAN、SPI、I2C、SCI通信接口齐全,属于超高可靠性汽车级别芯片,可运行在恶劣条件下。
[0125] 本发明的相关说明:
[0126] 一、研究整车控制器功能安全技术,开发整车控制器硬件及嵌入式软件;
[0127] 整车控制器开发过程遵循ISO26262开发流程,在硬件和软件上实现了双V 字型流程,硬件架构上符合ASIL-D的要求,软件通过模块测试、系统测试、硬件在环测试等环节,确保产品在量产后不会出现逻辑故障和失效故障。
[0128] 整车控制器采用基于模型(MBD)的开发方式,编程环境采用 MATLAB/Simulink,软件开发采用图形化、模块化的界面,利于开发人员理解和
修改;芯片底层驱动库符合MISRA-C安全标准要求,因此可降低了产品应用过程中的风险,提高可靠性;产品Simulink Library参考Woodward Mototron和Dspace Targetlink;Matlab/Embeded Coder生成的代码通过COM接口与Codewarrior编译环境进行连接,在Codewarrior中自动加载底层和应用层C代码,实现一键代码生成。
[0129] CAN标定功能;CCP功能符合ASAP标准协议CCP 2.1,可直接使用VECTOR CANape工具标定VCU产品,基本指令满足以下列表;
[0130] 表1 CANape基本指令列表
[0131] 基本命令 扩展可选命令CONNECT UNLOCK
GET_CCP_VERSION DNLOAD_6
EXCHANG_ID SHORT UP
SET_MTA SHORT_SELECT_CAL_PAGE
DNLOAD GET_ACTIVE_CAL_PAGE
UPLOAD SET_S_STATUS
GET_DAQ_SIZE GET_S_STATUS
SET_DAQ_PTR BUILD_CHKSUM
WRITE_DAQ CLEAR_MEMORY
START_STOP PROGRAM
DISCONNECT PROGRAM_6
DIAG SERVICE
ACTION_SERVICE
[0132] CCP底层驱动采用Matlab S-Function进行编写,通过Stateflow进行状态和指令管理;
[0133] A2L文件在后编译过程中实现,EmbededCoder生成代码过程中会首次产生 A2L文件,待Codewarrior编译完整工程后,原始A2L文件与MAP文件合并,产生可由CANape调用的A2L文件。
[0134] UDS功能遵循ISO14229和ISO15765中对统一诊断规范的定义,可满足的[0135] 服务如下表,诊断服务可使用LAUNCH或者其他通用诊断设备进行:
[0136] 表2 UDS功能列表
[0137] 服务ID 描述0x09
请求车辆信息
0x10 特定诊断服务控制
0x11 ECU复位
0x14 清除故障码
0x19 读故障码信息
0x22 通过ID读信息
0x28 通信控制
0x2E 根据ID写信息
0x2F 根据ID控制输入输出
0x3E 诊断仪连接
[0138] UDS产品采用Simulink/Stateflow进行开发,诊断服务基本
框架相同,可根据整车厂诊断规范需求进行调整;
[0139] DTC码、Freeze Frame等信息存储在专用IC中,以保证数据的可靠性;
[0140] 整车VIN码写入通过EOL设备,由0x10服务发起VIN写入会话,然后通过0x2E服务写入产品VIN码,再由0x22服务校验写入是否正确。
[0141] 二、研究图形化编程方法,开发编程工具软件;
[0142] 开发图形化和模块化的编程环境:以Matlab/Simulink的软件平台为基础,开发英飞凌TriCore AURIXTM的TC275架构多核安全芯片的底层驱动,结合 EmbedCoder特有的C语言编译环境,开发数学算法、逻辑和条件判断等方面的模块,结合底层驱动模块,形成整车控制器专属的模块库文件,产品研发过程中不再使用C语言进行编程,而采用更高级别、更易理解的图形化编程环境,开发工作就是将想法转换为各个功能模块连接,实现所需的控制逻辑和功能;
[0143] 实现D2P开发模式:即Design To Product,设计思维直接转换为批量生产的产品,为实现D2P的目标,整车控制器产品硬件设计上需要符合高可靠汽车级别,制定严格的DVP测试,产品通过严酷的测试要求,以满足在全地理和全
气候条件下的产品适用性。整车控制器产品软件设计采用图形化的模型设计语言,在编译过程中自动转换为符合高安全级别MISRA C 2012标准的C
语言代码,再通过符合ISO 26262要求的编译器生成芯片硬件可执行代码,进而实现了软件和硬件的结合。
[0144] 三、研究整车控制器控制算法,开发算法库;
[0145] 研究整车控制策略,开发定速巡航、档位管理、车辆运行模式控制、车辆驱动控制、车辆蠕行控制、
滑行能量回收、制动能量回收、高压上下电控制、充电控制、扭矩协调控制、防溜坡控制和DCDC控制等功能的控制算法。
[0146] 分析各类型新能源汽车的车辆驱动方式、车辆运行模式和整车控制策略,从控制系统参数快速辨识、复杂工况参数准确辨识等多方面入手进行技术研究,建立整车控制器的典型控制算法库。
[0147] 四、开发平台化集成技术,开发集成工具包;
[0148] 研究具有完全自主知识产权的平台化集成技术,按照相似的子系统功能、相同的性能、相同的通信接口和相同的生产工艺流程,开发整车控制器的硬件平台化集成技术。不同产品线功能的拓展,比如变速箱控制器、电池管理系统、
发动机控制器、网关、电机控制器等产品,在硬件上仅需替换同封装芯片的从模块,主控模块与从模块使用标准化SPI接口,整车控制器少量更改硬件和软件的前提下,即可向其他多个产品线进行功能拓展,系列化芯片平台化的开发理念,实现了软件和硬件的复用,缩短开发周期,降低开发风险。
[0149] 开发集成工具包,一键生成代码功能,可实现从图形化的模型设计语言到芯片可识别机器码仅需按下Ctrl+B一键完成。一键生成代码功能需要在 Matlab/Simulink中设计工具链自动调用函数,实现从模型转换为C语言转换,再连接相应库函数文件,然后对C语言进行优化和校验,再通过COM接口调用编译器进行编译,实现在Matlab/Simulink集成工具链上所有软件。后台调用的方式避免了中间过程出错的概率,提高工作效率。现场调试时,能够更为及时有效的解决问题。