国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于ISO 26262的車身域控制器開發(fā)

2024-02-23 04:03:58邵廣亞馮雪張維田松張博林海峰
關(guān)鍵詞:域控制器轉(zhuǎn)向燈度量

邵廣亞,馮雪,張維,田松,張博,林海峰

(1.徐州徐工汽車制造有限公司,徐州 221000;2.南京林業(yè)大學(xué) 信息科學(xué)技術(shù)學(xué)院,南京 210003)

0 引言

新能源商用車車身功能越來越多,給車身控制和整車線束帶來了新的挑戰(zhàn)。為降低控制器數(shù)量和成本,減少整車線束的復(fù)雜程度,需要將原本多個獨立的控制器集中在一個控制器上,域控制器的概念由此提出[1]。徐工汽車原有車身域控制器設(shè)計方案采用單個微控制單元(microcontroller unit,MCU)作為主控處理器,在集成了更多功能以后,原有的設(shè)計已經(jīng)無法滿足功能安全要求,因此本文考慮采用雙MCU協(xié)同控制的設(shè)計方案。雙MCU的設(shè)計已廣泛應(yīng)用于整車控制器、防抱死系統(tǒng)等整車控制或者主動安全核心裝置,其目的是增加故障冗余,在主MCU發(fā)生故障時由從MCU接管控制,實現(xiàn)部分核心功能可以繼續(xù)工作從而避免車輛失控[2-5]。

本文采用了主從MCU的方法,對原有車身域控制器方案進(jìn)行修改,并設(shè)計了一套主從MCU的通信協(xié)議,在協(xié)議內(nèi)增加了診斷功能。2個MCU可以相互監(jiān)控對方的工作狀態(tài),如果對方發(fā)生死機(jī)或工作異常,可以發(fā)起MCU復(fù)位,并記錄故障信息,不僅滿足了功能設(shè)計要求,還提高了功能安全等級。

1 車身域控制器設(shè)計需求

新能源商用車的車身域控制器(body domain controller,BDC)集成了車身控制模塊(body control module,BCM)、空調(diào)控制器(air conditioner,AC)、副駕駛門控制模塊(pilot door control module,PDCM)和中央網(wǎng)關(guān)控制器。其中車身控制模塊負(fù)責(zé)危險報警燈、天窗、門控、閱讀燈、睡眠燈、喇叭、安全指示燈、行車燈等多個功能[6];空調(diào)控制器負(fù)責(zé)駕駛室空調(diào)功能;副駕駛門控制模塊負(fù)責(zé)車窗升降、后視鏡調(diào)節(jié)燈功能;中央網(wǎng)關(guān)控制器作為不同網(wǎng)絡(luò)間信息傳遞的樞紐,負(fù)責(zé)協(xié)調(diào)不同CAN總線網(wǎng)絡(luò)與其他數(shù)據(jù)網(wǎng)絡(luò)協(xié)議間的數(shù)據(jù)交換、協(xié)議轉(zhuǎn)換以及故障診斷等任務(wù)。

為節(jié)省控制器數(shù)量和成本,減少整車線束,簡化整車網(wǎng)絡(luò)結(jié)構(gòu),本文設(shè)計了一種集成中央網(wǎng)關(guān)、空調(diào)控制器、車身控制器、副駕駛門窗控制器的車身域控制器,并基于功能安全進(jìn)行優(yōu)化。

2 ISO 26262功能安全要求

ISO 26262是針對汽車電子系統(tǒng)開發(fā)和生產(chǎn)制定的功能安全標(biāo)準(zhǔn),適用于所有提供安全相關(guān)功能的電力、電子和軟件元素組成的設(shè)備。

2.1 功能安全目標(biāo)確認(rèn)

ISO 26262要求通過危害分析和風(fēng)險評估(hazard analysis and risk assessment,HARA)來識別產(chǎn)品功能故障引起的危害,對危害事件進(jìn)行分類,然后定義與之對應(yīng)的安全目標(biāo)(safety goal,SG),以避免不可接受的風(fēng)險[7]。每一安全目標(biāo)得到相應(yīng)的汽車安全完整性等級(automotive safety integrity level,ASIL)。ASIL從低到高分為A、B、C、D四個等級,等級越高,表示危害事件的風(fēng)險越高。

通過整車危害分析與風(fēng)險評估,得到車身域所有相關(guān)功能的安全目標(biāo)。本文以表1中部分燈光及雨刮器控制功能為例進(jìn)行說明。

表1 安全目標(biāo)概要Table 1 Summary of safety goal

2.2 元器件的安全機(jī)制與診斷覆蓋率確認(rèn)

ISO 26262標(biāo)準(zhǔn)中將診斷覆蓋率分為低、中、高3種等級,各等級的覆蓋率分別可達(dá)到60%、90%和99%[8]。

控制器MCU選用國產(chǎn)車規(guī)芯片AC78406,該芯片基于ARM CortexM4F內(nèi)核,144引腳,包含1.128 MB的Flash和124 KB 的系統(tǒng) SRAM,功能安全符合ASIL B。AC78406芯片具有內(nèi)核自測、訪問保護(hù)、安全管理單元、內(nèi)部錯誤檢查和糾正 (error checking and correction,ECC)及循環(huán)冗余校驗 (cyclic redundancy check,CRC)、時鐘和電源監(jiān)控等機(jī)制,并具有數(shù)字回讀功能來檢查數(shù)據(jù)發(fā)送的正確性。

為防止板上5 V供電模塊出現(xiàn)硬件隨機(jī)故障,額外增加了一路跛行電源。當(dāng)供電發(fā)生故障時,跛行電源啟動,并由硬件機(jī)制直接打開報警燈及轉(zhuǎn)向燈等,實現(xiàn)對駕駛員的提醒。

高邊驅(qū)動選用德州儀器公司的TPS1H100,該驅(qū)動帶有過載保護(hù)和短路保護(hù)功能,并具有自恢復(fù)功能的熱關(guān)斷/熱調(diào)節(jié)失地保護(hù)和失電保護(hù)功能;除此之外帶有一路診斷引腳,可以對開路、短路、過載和接地短路進(jìn)行檢測以及對電流限制進(jìn)行診斷。

表2為元器件的安全機(jī)制和診斷覆蓋率。

表2 信號處理安全機(jī)制與診斷覆蓋率Table 2 Signal processing security mechanism and diagnostic coverage

2.3 功能安全指標(biāo)的硬件參數(shù)要求

硬件功能安全確認(rèn)主要是通過硬件架構(gòu)指標(biāo)來衡量是否符合對應(yīng)的ASIL要求,行業(yè)內(nèi)一般對電路進(jìn)行失效模式影響與診斷分析(failure mode effect and diagnostic analysis,FMEDA),根據(jù)電路圖中各個元器件的失效和失效影響,編制硬件指標(biāo)計算表格來計算3個參數(shù):單點故障度量(single-point fault metric,SPFM)、潛在故障度量(latent fault metric,LFM)、隨機(jī)硬件失效概率度量(probabilistic metric for random hardware failures,PMHF)[9-10]。具體計算公式如下:

(1)

(2)

MPMHF=∑λSPF+∑λRF+∑0.5λMPF,LatentT

(3)

式中:下標(biāo)“SR,HW”表示安全相關(guān)的硬件元素;λ為安全相關(guān)失效率;MSPF為單點故障度量;MLF為潛在故障度量;MPMHF為隨機(jī)硬件失效概率度量;λSPF為單點故障失效率;λRF為殘余故障失效率;λMPF,Latent為潛在多點故障失效率;T為產(chǎn)品生命周期。

失效率的單位是FIT(failures in time),1 FIT表示器件每運行109h失效1次。高的單點故障度量意味著相關(guān)硬件的單點故障和殘余故障所占比例低,所以單點故障度量的值越高越好。

功能安全對硬件指標(biāo)的要求如表3所示。

表3 硬件度量指標(biāo)Table 3 Hardware index

3 單MCU方案硬件架構(gòu)指標(biāo)計算

3.1 單MCU方案硬件失效度量計算

下文以安全目標(biāo)SG1(控制器正確響應(yīng)轉(zhuǎn)向燈)為例,結(jié)合系統(tǒng)的診斷措施進(jìn)行硬件失效分析。轉(zhuǎn)向燈控制電路如圖1所示。

圖1 單MCU轉(zhuǎn)向燈控制電路Fig.1 Turn signal control circuit under a single MCU

轉(zhuǎn)向燈開關(guān)作為信號輸入,經(jīng)過上拉操作后接入MCU,MCU輸出引腳驅(qū)動高邊驅(qū)動。當(dāng)MCU檢測到開關(guān)為低電平時,設(shè)置控制輸出引腳高電平,驅(qū)動高邊驅(qū)動輸出高電壓給燈組。TPS1H100會有一路診斷引腳輸出電流診斷信號,該引腳通過電阻接地。MCU根據(jù)該引腳的電壓反饋來判斷高邊驅(qū)動的故障情況。由于域控制器主控MCU引腳不足,輸入需要采用復(fù)選芯片。

當(dāng)R6出現(xiàn)對地短路時,U1出現(xiàn)過流故障,故障反饋信號會拉高,并關(guān)斷輸出。而當(dāng)U2發(fā)生故障時,由于缺少足夠的診斷措施覆蓋,所以該失效單點故障率較高。當(dāng)MCU發(fā)生諸如ECC錯誤、外部時鐘不穩(wěn)定等失效時,使用安全機(jī)制SM1~4可以有效檢測該類故障。

根據(jù)ISO 26262-5中列出的電子元器件的失效模式及其分布律和各失效模式下適用的安全機(jī)制及其診斷覆蓋率,再參考GB/T 37963—2019[11]標(biāo)準(zhǔn)中對電子元器件失效率的標(biāo)準(zhǔn)規(guī)定,編制了表4所示的轉(zhuǎn)向燈控制電路的硬件指標(biāo)計算表格。

表4 單MCU下轉(zhuǎn)向燈控制電路硬件指標(biāo)計算表Table 4 Hardware index calculation table of turn signal control circuit under single MCU

3.2 硬件隨機(jī)失效分析結(jié)論

硬件指標(biāo)計算結(jié)果如表5所示。單點故障度量為88.5%,潛在故障度量為41.1%,僅符合ASIL A的要求。

表5 單MCU下轉(zhuǎn)向燈控制電路硬件指標(biāo)計算結(jié)果Table 5 The result of hardware index calculation of turn signal control circuit under single MCU

以上結(jié)果表明單MCU的設(shè)計方案無法滿足ASIL B的目標(biāo)。原因是缺少外部芯片監(jiān)控主控MCU是否工作正常,導(dǎo)致缺少對多點故障失效的覆蓋,影響潛在失效率;其次,由于車身域控制器集成了多個功能以后,單MCU由于引腳不足,必須要使用多路復(fù)選IC才能滿足設(shè)計要求,造成單點失效率大幅增加,從而無法滿足技術(shù)安全目標(biāo)。

4 功能安全優(yōu)化

4.1 功能安全優(yōu)化電路

為了解決以上問題,可以采用更高規(guī)格的MCU作為主控芯片,比如英飛凌公司的TRAVEO T2G系列車身控制專用芯片和恩智浦公司的S32K344系列都符合設(shè)計要求,但是兩者的價格都遠(yuǎn)超AC78406,成本過高。

本文提出了一種可以提高車身域控制器功能安全的有效方式。為了消除多路復(fù)選芯片的硬件隨機(jī)失效率,同時增加對MCU失效的診斷覆蓋,最終符合功能安全目標(biāo),選擇額外增加一個相同的MCU作為從MCU,同時設(shè)計一套主從MCU的通信協(xié)議,在協(xié)議內(nèi)增加診斷功能。2個MCU分別獨立接入總線診斷網(wǎng)絡(luò),支持診斷讀取和清除,與使用高規(guī)格進(jìn)口芯片相比,使用2個國產(chǎn)MCU也更具有成本優(yōu)勢。

根據(jù)以上設(shè)計,該車身域控制器增加了SM7安全機(jī)制,即雙MCU之間相互監(jiān)控,診斷覆蓋率定為90%。

新的轉(zhuǎn)向燈控制電路如圖2所示,2個MCU直接接入對方復(fù)位引腳,從MCU直接驅(qū)動讀取外部IO信號。由于增加了SM7這種安全機(jī)制,2個MCU可以互相監(jiān)控,所以當(dāng)其中一個MCU發(fā)生共因失效時,另一個MCU可以及時發(fā)現(xiàn),并復(fù)位系統(tǒng)進(jìn)入安全狀態(tài),魯棒性較高,同時避免了多路復(fù)選芯片失效造成的單點故障。

圖2 雙MCU下轉(zhuǎn)向燈控制電路Fig.2 Turn signal control circuit under dual MCU

相較于圖1,圖2減少了元器件U2,同時增加了從MCU。根據(jù)新的控制原理圖,結(jié)合新增加的診斷條件,重新計算轉(zhuǎn)向燈控制電路硬件指標(biāo)。由于增加了診斷機(jī)制SM7,主從MCU在發(fā)生單點失效和潛在多點失效時均可以被該機(jī)制覆蓋。經(jīng)過計算,改進(jìn)后硬件指標(biāo)結(jié)果如表6所示。

表6 雙MCU下轉(zhuǎn)向燈控制電路硬件指標(biāo)計算結(jié)果Table 6 The hardware index calculation result of turn signal control circuit under dual MCU

由表6可以看出,優(yōu)化后轉(zhuǎn)向燈控制系統(tǒng)硬件架構(gòu)的單點故障度量為94.7%,潛在故障度量為78.8%,參照ISO 26262硬件架構(gòu)指標(biāo)要求,該指標(biāo)符合ASIL B。

通過前文的分析,額外增加一個MCU的方式可以在僅增加少量成本下,提高單點故障度量和潛在故障度量,并降低隨機(jī)硬件失效概率度量,由此將功能安全等級從ASIL A提高到ASIL B,從而提高車身域控制器的可靠性。

4.2 硬件設(shè)計驗證

ISO 26262推薦了3種硬件集成測試方法,分別是功能測試、故障注入測試、電氣測試。這里采用故障注入測試,在電路上增加測試點,手動模擬故障的發(fā)生,并使用示波器監(jiān)視控制器輸出信號,從而驗證安全機(jī)制的完整性和正確性。以TPH1S100為例,正常工作時,診斷引腳會將輸出以電流的形式反饋,當(dāng)發(fā)生故障對地短路以后,診斷引腳反饋會超過正常范圍,MCU可以通過該引腳判斷驅(qū)動芯片的工作狀態(tài)。當(dāng)手動在R6位置觸發(fā)短路故障時,診斷引腳電平如圖3所示,符合設(shè)計要求。

圖3 故障注入測試Fig.3 Fault injection testing

5 主從MCU通信協(xié)議設(shè)計

5.1 通信流程

為保證主從MCU通信的準(zhǔn)確性和實時性,基于串行外設(shè)接口(serial peripheral interface,SPI)通信設(shè)計了一種主從MCU間的通信協(xié)議,如圖4所示。其中,主MCU為主機(jī),從MCU為從機(jī)。由于SPI為全雙工通信,主從MCU可同時相互進(jìn)行數(shù)據(jù)交換,全部通信的最大超時時間為200 μs。

圖4 通信協(xié)議Fig.4 Communication protocol

如圖5~6所示,通信分為讀、寫2組數(shù)據(jù)包,2組數(shù)據(jù)包均為16字節(jié),包含了序列號、數(shù)據(jù)幀和循環(huán)冗余校驗。寫數(shù)據(jù)包由主MCU發(fā)送給從MCU,用于從MCU數(shù)字輸出以及脈沖寬度調(diào)制(pulse width modulation,PWM)占空比的控制;讀數(shù)據(jù)包由從MCU回復(fù)給主MCU,用于返回從MCU數(shù)字輸入的讀取值和錯誤狀態(tài)。

圖5 寫數(shù)據(jù)包Fig.5 Write data packets

圖6 讀數(shù)據(jù)包Fig.6 Read data packets

如圖7所示,通過使用邏輯分析儀獲取的波形可以清楚地看出,主從MCU的通信過程與所設(shè)計的通信協(xié)議一致。

圖7 主從MCU通信過程Fig.7 Master-slave MCU communication process

5.2 通信故障診斷

本文制定的基于SPI的通信協(xié)議有2種故障:通信超時故障、校驗錯誤故障。

通信超時故障:在主從MCU通信中,當(dāng)主MCU連續(xù)2個周期沒有收到從MCU回復(fù)的信息,則從MCU通信超時,主MCU將從MCU復(fù)位,錯誤計數(shù)器清零,并記錄故障信息。

校驗錯誤:校驗錯誤分為序列號校驗、數(shù)據(jù)幀校驗和CRC校驗。序列號校驗是總線上傳輸?shù)拿總€單獨的安全相關(guān)幀中包含一個作為信息一部分的計數(shù)器,在生成每個連續(xù)幀時計數(shù)器值增加。接收方隨后能通過驗證計數(shù)器的值是否加1來探測任何的幀丟失或者幀未更新。數(shù)據(jù)幀每個字節(jié)的bit0為奇校驗位。讀寫數(shù)據(jù)包的最后2個字節(jié)為CRC校驗部分。通過以上校驗方式可以確保主從通信過程的穩(wěn)定性和安全性。

6 硬件在環(huán)仿真測試

6.1 硬件在環(huán)仿真系統(tǒng)

本文采用基于Vector設(shè)備的硬件在環(huán) (hardware in loop,HIL)仿真測試系統(tǒng)對車身域控制器進(jìn)行功能測試。硬件在環(huán)仿真是一種半實物的閉環(huán)仿真方式,通過將真實的控制器接入虛擬建模出來的環(huán)境中進(jìn)行各項功能的測試和驗證,從而提高開發(fā)質(zhì)量,縮短研發(fā)周期[12]。測試機(jī)柜由電源管理模塊、程控電源、調(diào)理電源、工控機(jī)以及一系列Vector功能板卡組成[13]。測試時控制器通過擴(kuò)展架與HIL機(jī)柜相連,以總線仿真與測試工具CANoe為載體搭建測試工程,以此來實現(xiàn)控制器與HIL機(jī)柜之間的信號實時交互;根據(jù)測試工程面板創(chuàng)建的輸入輸出信號按鍵來控制HIL機(jī)柜模擬實車給控制器發(fā)送開關(guān)量信號,同時將控制器的輸出響應(yīng)信號通過機(jī)柜顯示到上位機(jī)用于觀察結(jié)果。LabCar臺架作為一個接近實車尺寸大小的物理裝置,其中各類器件均按照實車結(jié)構(gòu)進(jìn)行布局[14]。按照實車零部件、線束、蓄電池等電器部件位置在LabCar臺架上進(jìn)行實物搭建。將通過HIL機(jī)柜驗證后的控制器安裝到LabCar上進(jìn)行測試,檢查車燈、轉(zhuǎn)向燈等零部件是否可以正常工作。

6.2 車身域控制器測試平臺搭建

如圖8所示,將一鍵啟動控制器、主駕駛門控、胎壓傳感器、整車控制器等報文節(jié)點添加到模擬設(shè)置窗口中,它們之間通過總線板卡連接。測試系統(tǒng)根據(jù)整車通信規(guī)則,通過模擬節(jié)點發(fā)送總線報文并使用數(shù)字接口模擬整車信號,通過判斷被測控制器的響應(yīng)情況來檢查控制器是否符合功能設(shè)計要求。

圖8 仿真設(shè)置窗口Fig.8 Simulation setup window

根據(jù)該車身域控制器的功能及具體的HIL測試條件搭建測試面板,它包含商用車的前大燈、轉(zhuǎn)向燈、駕駛室內(nèi)部照明燈、雨刮、天窗、空調(diào)等功能的控制。此外,將各個執(zhí)行部件的控制信號也做在面板上,以便于及時觀察控制器控制信號的響應(yīng)情況。

6.3 車身域控制器功能測試

測試項目工程搭建完畢后,基于車身域控制器的功能規(guī)范編寫測試用例,再通過上述測試平臺所搭建的測試面板對車身域控制器的功能進(jìn)行逐一驗證。該過程既可以驗證應(yīng)用層的功能邏輯的正確性,又能驗證控制器底層對于輸入輸出的數(shù)字信號、模擬信號、PWM調(diào)速信號以及CAN信號處理的實效性。表7羅列了域控制器的所有功能測試項,將測試項目按照用例編寫成腳本進(jìn)行自動化測試,僅最后對測試結(jié)果進(jìn)行分析,可省去大量測試時間。CANoe測試腳本運行結(jié)果如圖9所示。

圖9 測試腳本運行結(jié)果Fig.9 Test script execution result

表7 控制器功能測試項目Table 7 Controller function test items

經(jīng)過測試,車身域控制器上述功能滿足設(shè)計要求,車身域、門控及空調(diào)的應(yīng)用層功能都可以被正確地執(zhí)行。該種控制器對域控制器功能中所涉及的數(shù)字信號、模擬信號、PWM信號以及CAN信號的處理能力均達(dá)到設(shè)計要求,對應(yīng)用層邏輯的處理符合預(yù)期目標(biāo)。

7 結(jié)束語

本文根據(jù)企業(yè)實際需求,在兼顧成本和實用性的情況下,提出了一種雙MCU架構(gòu)的車身域控制器設(shè)計方法。通過使用注入測試和HIL功能測試,證明該控制器符合設(shè)計要求。該方案具有良好的可靠性和工程實用性,給未來車身域控制器設(shè)計提供了新的思路。

猜你喜歡
域控制器轉(zhuǎn)向燈度量
有趣的度量
模糊度量空間的強(qiáng)嵌入
迷向表示分為6個不可約直和的旗流形上不變愛因斯坦度量
基于MoldFlow的汽車轉(zhuǎn)向燈支架注射模澆口優(yōu)化設(shè)計
模具制造(2019年3期)2019-06-06 02:10:58
處理域控制器時間誤差
基于軟件定義網(wǎng)絡(luò)的分層式控制器負(fù)載均衡機(jī)制
修復(fù)域控制器故障
基于單片機(jī)的汽車LED轉(zhuǎn)向燈控制研究
地質(zhì)異常的奇異性度量與隱伏源致礦異常識別
轉(zhuǎn)移域控角色到中轉(zhuǎn)服務(wù)器
申扎县| 会宁县| 洞口县| 青冈县| 西和县| 南召县| 千阳县| 永州市| 新巴尔虎左旗| 新晃| 南城县| 新田县| 元谋县| 读书| 调兵山市| 东方市| 砚山县| 甘谷县| 和田县| 井陉县| 调兵山市| 永嘉县| 瑞昌市| 金溪县| 南皮县| 镇雄县| 高淳县| 临夏县| 邵阳市| 绥棱县| 石泉县| 明光市| 宁南县| 调兵山市| 昌图县| 松潘县| 交城县| 泰顺县| 余姚市| 定安县| 长沙市|