基于功能安全的電子換擋控制器硬件設(shè)計(jì)

蘇晨曦，周文華，郭修其，高 維

(1.浙江大學(xué)能源工程學(xué)院，浙江 杭州 310027；2.寧波高發(fā)汽車控制系統(tǒng)股份有限公司，浙江 寧波 315000)

0 引言

傳統(tǒng)機(jī)械液力式自動(dòng)變速器的換擋操作是通過拉索組合，將換擋指令輸入自動(dòng)變速器，自動(dòng)變速器對應(yīng)切換到相應(yīng)的檔位[1]。電子換擋器的優(yōu)勢在于駕駛員的操作命令會(huì)首先由控制器進(jìn)行判斷，根據(jù)當(dāng)前的車輛的工況判斷是否可以進(jìn)入目標(biāo)檔位，從而防止檔位識(shí)別錯(cuò)誤、信號(hào)傳輸錯(cuò)誤、檔位狀態(tài)與當(dāng)前汽車工況不符等故障，避免對變速器造成損傷[2]。檔位請求的方式從純機(jī)械觸發(fā)到CAN信號(hào)傳遞的轉(zhuǎn)變，提升了換擋過程的舒適性和可靠性的同時(shí)，也帶來了電氣設(shè)計(jì)所面臨的安全性問題，例如元器件失效、傳感器失效等因素導(dǎo)致錯(cuò)誤換擋，甚至?xí)：θ松戆踩；诖耍娮訐Q擋控制器的設(shè)計(jì)者應(yīng)該將這些故障發(fā)生的概率控制在可以接受的范圍內(nèi)。

1 硬件電路設(shè)計(jì)

國際標(biāo)準(zhǔn)化組織(ISO)為提高汽車電子、電氣產(chǎn)品功能安全，發(fā)布了ISO26262《道路車輛功能安全標(biāo)準(zhǔn)》[3]。該標(biāo)準(zhǔn)提供了決定風(fēng)險(xiǎn)等級的具體評估方法——汽車安全完整性等級(ASIL)，通過使用ASIL方法來確定獲得可接受的殘余風(fēng)險(xiǎn)的必要安全需求[4]。在本項(xiàng)目中，故障導(dǎo)致的危害事件為非預(yù)期加速或動(dòng)力丟失，根據(jù)項(xiàng)目對安全具體指標(biāo)分析確定其安全完整性等級為C(表1)。

表1 危險(xiǎn)事件風(fēng)險(xiǎn)評估

為滿足功能安全等級ASIL C的要求，硬件設(shè)計(jì)對關(guān)鍵電路主要采取的技術(shù)路線包括：1)數(shù)字電路MCU采用Infineon公司AURX系列的TC234型號(hào)單片機(jī)，其雙核架構(gòu)通過合理配置可以滿足安全完整性等級ASIL D的要求；2)關(guān)鍵輸入信號(hào)如電機(jī)位置信號(hào)、P擋輸入信號(hào)采用雙路冗余，具有高的故障診斷覆蓋率；3)檔桿位置傳感器采用Infineon公司的TLE5501霍爾芯片，可以滿足ASIL D的要求；4)驅(qū)動(dòng)電路核心芯片采用Infineon公司的TLE92104，其具有內(nèi)部超時(shí)看門狗、外部MOSFET源漏極電壓檢測等功能，并提供獨(dú)立的外部驅(qū)動(dòng)關(guān)斷路徑；5)電源芯片采用Infineon公司的TLF35584，該芯片除了能為數(shù)字電路、傳感器等提供穩(wěn)定的電壓，還具有監(jiān)控主芯片的正常運(yùn)行、向外部發(fā)送故障信號(hào)等功能，能夠滿足ASIL D的要求，可以提高整個(gè)系統(tǒng)的安全性。硬件總體方案如圖1。

圖1 硬件方案示意圖

2 硬件安全架構(gòu)

本硬件設(shè)計(jì)中與安全相關(guān)的硬件架構(gòu)如圖2。

圖2 硬件安全架構(gòu)

監(jiān)控芯片TLF35584可以監(jiān)控其內(nèi)部調(diào)壓器的輸出電壓以及芯片溫度，同時(shí)內(nèi)置窗口看門狗和功能看門狗，主芯片TC234須向監(jiān)控芯片發(fā)送正確的看門狗觸發(fā)信號(hào)(其中功能看門狗觸發(fā)信號(hào)需要通過SPI指令)，當(dāng)監(jiān)控芯片檢測出以上故障后，可以采取以下措施： 1)重置主芯片；2)產(chǎn)生中斷令主芯片采取相應(yīng)措施；3)其安全狀態(tài)控制功能通過關(guān)斷路徑1向外部發(fā)送故障信號(hào)，關(guān)閉驅(qū)動(dòng)輸出。主芯片檢測到自身的故障后，可向監(jiān)控芯片的安全狀態(tài)控制模塊發(fā)送單片機(jī)故障信號(hào)，安全狀態(tài)控制模塊通過關(guān)斷路徑1向外部發(fā)送故障信號(hào)，關(guān)閉驅(qū)動(dòng)輸出。主芯片可以通過內(nèi)部程序管控監(jiān)控芯片的功能完整性，當(dāng)監(jiān)控芯片無法向外部發(fā)送故障信號(hào)或者其與主芯片之間的SPI通信發(fā)生異常，則主芯片可以通過SPI指令來重置監(jiān)控芯片，并通過關(guān)斷路徑2向外部發(fā)送故障信號(hào)，關(guān)閉驅(qū)動(dòng)輸出。電機(jī)驅(qū)動(dòng)芯片TLE92104內(nèi)置超時(shí)看門狗以檢測其與主芯片之間通信的完整性，主芯片需要通過SPI指令向電機(jī)驅(qū)動(dòng)芯片發(fā)送正確的看門狗觸發(fā)信號(hào)。電機(jī)驅(qū)動(dòng)芯片能夠監(jiān)控外部MOSFET的源漏極電壓，并且可以向主芯片發(fā)送驅(qū)動(dòng)電流反饋信號(hào)，以保證驅(qū)動(dòng)輸出的可靠性。除電機(jī)驅(qū)動(dòng)芯片自身的關(guān)斷機(jī)制外，兩路外部關(guān)斷路徑的故障信號(hào)均可以關(guān)斷電機(jī)驅(qū)動(dòng)。

2.1 雙核鎖步主控芯片TC234

主控芯片TC234[5]屬于Infineon公司的AURIX系列，在本項(xiàng)目中，除了作為軟件運(yùn)行、信號(hào)處理、邏輯運(yùn)算的平臺(tái)外，還具有以下內(nèi)部安全機(jī)制：CPU雙核鎖步、輸入輸出信號(hào)監(jiān)控、時(shí)鐘監(jiān)控、溫度監(jiān)控、電壓監(jiān)控、中斷路徑硬件監(jiān)控、SRI安全機(jī)制、SRAM/FLASH校驗(yàn)、通信外設(shè)CRC校驗(yàn)等。主芯片的安全管理單元(SMU)采集以上安全機(jī)制檢測出的故障信息后，可令主芯片重置，向電源芯片發(fā)送故障信息。還可以通過程序設(shè)置，提供電機(jī)驅(qū)動(dòng)電路的外部獨(dú)立關(guān)斷路徑，以防電源芯片或電機(jī)驅(qū)動(dòng)芯片無法及時(shí)關(guān)斷驅(qū)動(dòng)、保證安全。

2.2 電源及監(jiān)控模塊設(shè)計(jì)

2.2.1 電壓監(jiān)控模塊

電源(監(jiān)控)芯片采用TLF35584[6]，其內(nèi)部具有一個(gè)獨(dú)立的電壓監(jiān)控模塊，同時(shí)具備一個(gè)溫度傳感器。當(dāng)輸出電壓或溫度異常時(shí)，芯片將采取關(guān)閉調(diào)壓器、重置單片機(jī)、產(chǎn)生中斷等措施來保護(hù)芯片。

2.2.2 看門狗模塊

電源芯片配置了兩個(gè)相互獨(dú)立的看門狗功能：窗口看門狗和功能看門狗，用于監(jiān)控主芯片，其工作原理圖如圖3。

圖3 窗口看門狗與功能看門狗工作框圖

2.2.2.1 窗口看門狗

主芯片必須要在一個(gè)周期內(nèi)的特定時(shí)向電源芯片發(fā)送看門狗觸發(fā)信號(hào)，每個(gè)有效觸發(fā)會(huì)令窗口看門狗故障計(jì)數(shù)器減1(最小為0)，每個(gè)無效觸發(fā)出現(xiàn)會(huì)令窗口看門狗故障計(jì)數(shù)器加2；當(dāng)窗口看門狗故障計(jì)數(shù)器的值超過計(jì)數(shù)器閾值(可通過SPI編程設(shè)定)時(shí)，產(chǎn)生中斷，并向外部發(fā)送故障信號(hào)，關(guān)閉驅(qū)動(dòng)輸出。

2.2.2.2 功能看門狗

在一個(gè)穩(wěn)定的工作狀態(tài)下，一個(gè)“Question”由看門狗產(chǎn)生，同時(shí)一個(gè)計(jì)時(shí)器開始計(jì)時(shí)，在計(jì)數(shù)器計(jì)數(shù)的時(shí)間內(nèi)，看門狗必須得到“Question”對應(yīng)的正確的“Answer”。功能看門狗的工作邏輯見圖4。

圖4 功能看門狗工作邏輯圖

2.2.3 監(jiān)控安全機(jī)制設(shè)計(jì)

監(jiān)控芯片的安全狀態(tài)控制模塊能夠監(jiān)控所有與安全相關(guān)的信號(hào)并且控制安全狀態(tài)輸出SS1和SS2，發(fā)生故障時(shí)，作為關(guān)斷路徑1關(guān)閉電機(jī)驅(qū)動(dòng)輸出。該模塊的監(jiān)控功能如圖5所示。

圖5 安全狀態(tài)控制功能框圖

圖5中，ERR為來自主芯片的安全管理單元(SMU)的單片機(jī)故障信號(hào)。

2.3 檔位電機(jī)驅(qū)動(dòng)及安全機(jī)制設(shè)計(jì)

2.3.1 電壓、溫度監(jiān)控

電機(jī)驅(qū)動(dòng)芯TLE92104[7]能夠監(jiān)控外部MOSFET的源漏極電壓、電源電壓Vs、邏輯電源電壓VDD和電荷泵輸出電壓(VCP)，同時(shí)內(nèi)部集成溫度監(jiān)測電路，可以檢測芯片溫度。電壓或溫度異常及監(jiān)控模塊的響應(yīng)如表2。

表2 TLE92104電壓、溫度異常及響應(yīng)

2.3.2 超時(shí)看門狗

為了監(jiān)控與單片機(jī)通信的完整性，TLE92104內(nèi)部集成了一個(gè)超時(shí)看門狗，TC234需要在設(shè)定的看門狗周期內(nèi)通過SPI指令將控制寄存器的WDTRIG位翻轉(zhuǎn)，其工作邏輯見圖6。

圖6 超時(shí)看門狗工作邏輯圖

當(dāng)看門狗故障被檢測到時(shí)，所有的MOSFET驅(qū)動(dòng)關(guān)閉。

2.3.3 電機(jī)驅(qū)動(dòng)獨(dú)立關(guān)斷路徑設(shè)計(jì)

獨(dú)立的安全輸出關(guān)斷路徑是指任意故障狀態(tài)下，主控芯片和電源芯片均可獨(dú)立關(guān)斷電機(jī)驅(qū)動(dòng)輸出，從而確保車輛進(jìn)入安全狀態(tài)。現(xiàn)驅(qū)動(dòng)輸出關(guān)閉機(jī)制如下：1)電源芯片出現(xiàn)故障后，主控芯片通過關(guān)斷路徑2關(guān)斷驅(qū)動(dòng)輸出；2)主控芯片未完全失效(如正常應(yīng)答監(jiān)控芯片，但內(nèi)部出現(xiàn)故障無法關(guān)斷驅(qū)動(dòng)輸出)，可通過SMU向電源芯片發(fā)送故障信號(hào)，通過關(guān)斷路徑1關(guān)閉輸出；3)主控芯片完全失效(如無法應(yīng)答監(jiān)控芯片)時(shí)，電源芯片可通過關(guān)斷路徑1關(guān)閉驅(qū)動(dòng)輸出；4)當(dāng)電機(jī)驅(qū)動(dòng)芯片檢測到故障，可自動(dòng)關(guān)閉輸出，并向主控芯片反饋故障狀態(tài)。安全獨(dú)立關(guān)斷電路圖如圖7所示。

圖7 安全獨(dú)立關(guān)斷電路

3 硬件功能安全指標(biāo)驗(yàn)證

根據(jù)硬件安全架構(gòu)總結(jié)出的系統(tǒng)安全機(jī)制以及根據(jù)國家標(biāo)準(zhǔn)GB/T.37963(IEC 62380)[8]得到的安全機(jī)制診斷覆蓋率如表3所示。

表3 硬件技術(shù)診斷及其覆蓋率

根據(jù)ISO26262標(biāo)準(zhǔn)中硬件層面的故障分類流程分析，可以得出與安全目標(biāo)直接相關(guān)的電路為信號(hào)輸入電路(P擋輸出信號(hào)、電機(jī)位置信號(hào)、檔桿位置信號(hào)檢測電路)、CAN通信電路、數(shù)字電路MCU、電機(jī)驅(qū)動(dòng)電路。該部分的電路如圖8所示。

圖8 功能安全相關(guān)電路

根據(jù)故障分類流程及以上安全機(jī)制覆蓋率可以得到失效模式與失效率計(jì)算表格(圖9)。

圖9 失效模式與失效率

計(jì)算可得硬件架構(gòu)安全相關(guān)總失效率[9]：

∑SR，HWλ=358FIT

(1)

單點(diǎn)和殘余故障總失效率：

∑SR，HW(λSPF+λRF)=3.236FIT

(2)

潛在故障總失效率：

∑SR，HWλMPF，L=13.7FIT

(3)

經(jīng)計(jì)算，單點(diǎn)故障度量為：

=99.07%>97%

(4)

潛在故障度量為：

=96.13%>80%

(5)

隨機(jī)硬件失效概率度量為：

PMHF=ΣλSPF+ΣλRF+ΣλDPF，latent

=16.936FIT<100FIT

(6)

由計(jì)算結(jié)果可知，單點(diǎn)故障度量、潛在故障度量和隨機(jī)硬件失效概率度量均滿足ASIL C的要求。其他電路中，電源電路中具有監(jiān)控功能，獨(dú)立關(guān)斷電路具有保護(hù)功能，這兩部分電路不會(huì)單獨(dú)導(dǎo)致違背安全目標(biāo)，考慮其中多點(diǎn)失效的可能性，對其按照上述流程進(jìn)行指標(biāo)計(jì)算，得出其滿足ASIL C等級的要求。由以上分析可以得出：整個(gè)硬件系統(tǒng)滿足功能安全完整性等級ASIL C的要求。

4 結(jié)論

電子換擋系統(tǒng)是汽車電控系統(tǒng)中的重要組成部分，本研究針對ISO26262道路車輛功能安全標(biāo)準(zhǔn)的要求，設(shè)計(jì)了一種符合安全完整性等級ASIL C的電子換擋器硬件架構(gòu)，設(shè)計(jì)了多種硬件故障診斷安全機(jī)制，以及獨(dú)特的輸出關(guān)斷路徑，最后完成了硬件指標(biāo)的相關(guān)計(jì)算。

研究結(jié)果表明：該硬件系統(tǒng)能夠滿足ASIL C的要求，多重安全機(jī)制可以有效地減少單點(diǎn)/殘余故障失效率和潛在故障失效率，同時(shí)安全輸出獨(dú)立關(guān)斷功能，可以保證系統(tǒng)在任意故障下都能及時(shí)關(guān)斷輸出，具有借鑒意義。