摘 要:使用单个微控制单元(microcontroller unit,MCU)的车身域控制器由于缺少外部芯片监控主控MCU的工作情况,缺少对多点故障失效的诊断覆盖,影响潜在失效率。此外,单MCU由于芯片引脚不足,使用复选芯片后大幅增加了单点故障失效率,因而很难达到功能安全等级B的要求。为满足功能安全的要求,设计了一种基于国产车规芯片AC78406的双MCU架构的车身域控制器。该控制器设计方案可消除多路复选芯片的硬件随机失效率,同时增加对MCU失效的诊断覆盖,从而提高功能安全等级。
0 引言
新能源商用车车身功能越来越多,给车身控制和整车线束带来了新的挑战。为降低控制器数量和成本,减少整车线束的复杂程度,需要将原本多个独立的控制器集中在一个控制器上,域控制器的概念由此提出[1]。徐工汽车原有车身域控制器设计方案采用单个微控制单元(microcontroller unit,MCU)作为主控处理器,在集成了更多功能以后,原有的设计已经无法满足功能安全要求,因此本文考虑采用双MCU协同控制的设计方案。双MCU的设计已广泛应用于整车控制器、防抱死系统等整车控制或者主动安全核心装置,其目的是增加故障冗余,在主MCU发生故障时由从MCU接管控制,实现部分核心功能可以继续工作从而避免车辆失控[2-5]。
本文采用了主从MCU的方法,对原有车身域控制器方案进行修改,并设计了一套主从MCU的通信协议,在协议内增加了诊断功能。2个MCU可以相互监控对方的工作状态,如果对方发生死机或工作异常,可以发起MCU复位,并记录故障信息,不仅满足了功能设计要求,还提高了功能安全等级。
1 车身域控制器设计需求
新能源商用车的车身域控制器(body domain controller,BDC)集成了车身控制模块(body control module,BCM)、空调控制器(air conditioner,AC)、副驾驶门控制模块(pilot door control module,PDCM)和中央网关控制器。其中车身控制模块负责危险报警灯、天窗、门控、阅读灯、睡眠灯、喇叭、安全指示灯、行车灯等多个功能[6];空调控制器负责驾驶室空调功能;副驾驶门控制模块负责车窗升降、后视镜调节灯功能;中央网关控制器作为不同网络间信息传递的枢纽,负责协调不同CAN总线网络与其他数据网络协议间的数据交换、协议转换以及故障诊断等任务。
为节省控制器数量和成本,减少整车线束,简化整车网络结构,本文设计了一种集成中央网关、空调控制器、车身控制器、副驾驶门窗控制器的车身域控制器,并基于功能安全进行优化。
2 ISO 26262功能安全要求
ISO 26262是针对汽车电子系统开发和生产制定的功能安全标准,适用于所有提供安全相关功能的电力、电子和软件元素组成的设备。
2.1 功能安全目标确认
ISO 26262要求通过危害分析和风险评估(hazard analysis and risk assessment,HARA)来识别产品功能故障引起的危害,对危害事件进行分类,然后定义与之对应的安全目标(safety goal,SG),以避免不可接受的风险[7]。每一安全目标得到相应的汽车安全完整性等级(automotive safety integrity level,ASIL)。ASIL从低到高分为A、B、C、D四个等级,等级越高,表示危害事件的风险越高。
通过整车危害分析与风险评估,得到车身域所有相关功能的安全目标。本文以表1中部分灯光及雨刮器控制功能为例进行说明。
表1 安全目标概要
Table 1 Summary of safety goal
表2 信号处理安全机制与诊断覆盖率
Table 2 Signal processing security mechanism and diagnostic coverage
(1)
(2)
式中:下标“SR,HW”表示安全相关的硬件元素;λ为安全相关失效率;MSPF为单点故障度量;MLF为潜在故障度量;MPMHF为随机硬件失效概率度量;λSPF为单点故障失效率;λRF为残余故障失效率;λMPF,Latent为潜在多点故障失效率;T为产品生命周期。
失效率的单位是FIT(failures in time),1 FIT表示器件每运行109 h失效1次。高的单点故障度量意味着相关硬件的单点故障和残余故障所占比例低,所以单点故障度量的值越高越好。
功能安全对硬件指标的要求如表3所示。
表3 硬件度量指标
Table 3 Hardware index
图1 单MCU转向灯控制电路
Fig.1 Turn signal control circuit under a single MCU
转向灯开关作为信号输入,经过上拉操作后接入MCU,MCU输出引脚驱动高边驱动。当MCU检测到开关为低电平时,设置控制输出引脚高电平,驱动高边驱动输出高电压给灯组。TPS1H100会有一路诊断引脚输出电流诊断信号,该引脚通过电阻接地。MCU根据该引脚的电压反馈来判断高边驱动的故障情况。由于域控制器主控MCU引脚不足,输入需要采用复选芯片。
当R6出现对地短路时,U1出现过流故障,故障反馈信号会拉高,并关断输出。而当U2发生故障时,由于缺少足够的诊断措施覆盖,所以该失效单点故障率较高。当MCU发生诸如ECC错误、外部时钟不稳定等失效时,使用安全机制SM1~4可以有效检测该类故障。
根据ISO 26262-5中列出的电子元器件的失效模式及其分布律和各失效模式下适用的安全机制及其诊断覆盖率,再参考GB/T 37963—2019[11]标准中对电子元器件失效率的标准规定,编制了表4所示的转向灯控制电路的硬件指标计算表格。
表4 单MCU下转向灯控制电路硬件指标计算表
Table 4 Hardware index calculation table of turn signal control circuit under single MCU
表5 单MCU下转向灯控制电路硬件指标计算结果
Table 5 The result of hardware index calculation of turn signal control circuit under single MCU
以上结果表明单MCU的设计方案无法满足ASIL B的目标。原因是缺少外部芯片监控主控MCU是否工作正常,导致缺少对多点故障失效的覆盖,影响潜在失效率;其次,由于车身域控制器集成了多个功能以后,单MCU由于引脚不足,必须要使用多路复选IC才能满足设计要求,造成单点失效率大幅增加,从而无法满足技术安全目标。
图2 双MCU下转向灯控制电路
Fig.2 Turn signal control circuit under dual MCU
相较于图1,图2减少了元器件U2,同时增加了从MCU。根据新的控制原理图,结合新增加的诊断条件,重新计算转向灯控制电路硬件指标。由于增加了诊断机制SM7,主从MCU在发生单点失效和潜在多点失效时均可以被该机制覆盖。经过计算,改进后硬件指标结果如表6所示。
表6 双MCU下转向灯控制电路硬件指标计算结果
Table 6 The hardware index calculation result of turn signal control circuit under dual MCU
由表6可以看出,优化后转向灯控制系统硬件架构的单点故障度量为94.7%,潜在故障度量为78.8%,参照ISO 26262硬件架构指标要求,该指标符合ASIL B。
通过前文的分析,额外增加一个MCU的方式可以在仅增加少量成本下,提高单点故障度量和潜在故障度量,并降低随机硬件失效概率度量,由此将功能安全等级从ASIL A提高到ASIL B,从而提高车身域控制器的可靠性。
图3 故障注入测试
Fig.3 Fault injection testing
图4 通信协议
Fig.4 Communication protocol
如图5~6所示,通信分为读、写2组数据包,2组数据包均为16字节,包含了序列号、数据帧和循环冗余校验。写数据包由主MCU发送给从MCU,用于从MCU数字输出以及脉冲宽度调制(pulse width modulation,PWM)占空比的控制;读数据包由从MCU回复给主MCU,用于返回从MCU数字输入的读取值和错误状态。
图5 写数据包
Fig.5 Write data packets
图6 读数据包
Fig.6 Read data packets
如图7所示,通过使用逻辑分析仪获取的波形可以清楚地看出,主从MCU的通信过程与所设计的通信协议一致。
图7 主从MCU通信过程
Fig.7 Master-slave MCU communication process
图8 仿真设置窗口
Fig.8 Simulation setup window
根据该车身域控制器的功能及具体的HIL测试条件搭建测试面板,它包含商用车的前大灯、转向灯、驾驶室内部照明灯、雨刮、天窗、空调等功能的控制。此外,将各个执行部件的控制信号也做在面板上,以便于及时观察控制器控制信号的响应情况。
6.3 车身域控制器功能测试
测试项目工程搭建完毕后,基于车身域控制器的功能规范编写测试用例,再通过上述测试平台所搭建的测试面板对车身域控制器的功能进行逐一验证。该过程既可以验证应用层的功能逻辑的正确性,又能验证控制器底层对于输入输出的数字信号、模拟信号、PWM调速信号以及CAN信号处理的实效性。表7罗列了域控制器的所有功能测试项,将测试项目按照用例编写成脚本进行自动化测试,仅最后对测试结果进行分析,可省去大量测试时间。CANoe测试脚本运行结果如图9所示。
图9 测试脚本运行结果
Fig.9 Test script execution result
表7 控制器功能测试项目
Table 7 Controller function test items
经过测试,车身域控制器上述功能满足设计要求,车身域、门控及空调的应用层功能都可以被正确地执行。该种控制器对域控制器功能中所涉及的数字信号、模拟信号、PWM信号以及CAN信号的处理能力均达到设计要求,对应用层逻辑的处理符合预期目标。
参考文献:
[1] 邹渊,孙文景,张旭东,等.智能网联汽车多域电子电气架构技术发展研究[J].汽车工程,2023,45(6):895-909.ZOU Y,SUN W J,ZHANG X D,et al.Study on the technology development of multi-domain electrical and electronic architecture for intelligent networked vehicles[J].Automotive Engineering,2023,45(6):895-909.(in Chinese)
[2] 秦林.纯电动汽车整车控制器功能安全性分析与设计[D].重庆:重庆邮电大学,2019.QIN L.Analysis and design of the function safety for pure electric vehicle controller[D].Chongqing:Chongqing University of Posts and Telecommunications,2019.(in Chinese)
[3] 杜德清.电动汽车VCU故障诊断系统开发与测试[D].长春:吉林大学,2016.DU D Q.Development and testing of VCU fault diagnosis system for pure electric vehicle[D].Changchun:Jilin University,2016.(in Chinese)
[4] 王伟达,张为,江帆.基于双MCU架构的ABS/ASR/VDC故障诊断系统[J].微型机与应用,2010,29(22):79-82.WANG W D,ZHANG W,JIANG F.Research on the fault diagnosis technique of automotive integral ABS/ASR/VDC systems based on dual MCU[J].Microcomputer &Its Applications,2010,29(22):79-82.(in Chinese)
[5] 宋雪静.基于双MCU的纯电动汽车整车控制器硬件设计[J].汽车电器,2014(5):33-36.SONG X J.Hardware design of vehicle control unit for EV based on dual MCU[J].Auto Electric Parts,2014(5):33-36.(in Chinese)
[6] 芦文峰.满足ISO 26262标准的EV整车控制单元开发研究[D].成都:西华大学,2018.LU W F.Research on the development of EV vehicle control unit according to ISO 26262 standard[D].Chengdu:Xihua University,2018.(in Chinese)
[7] 杨莉,王强,隋建鹏,等.基于ISO 26262的失效模式和诊断策略分析准确度研究[J].汽车技术,2020(7):58-62.YANG L,WANG Q,SUI J P,et al.Research on FMEDA accuracy based on ISO 26262[J].Automobile Technology,2020(7):58-62.(in Chinese)
[8] 王喜洋.纯电动汽车整车控制器系统功能安全技术研究[D].天津:河北工业大学,2018.WANG X Y.Study on functional safety technology of vehicle control unit system for pure electric vehicle[D].Tianjin:Hebei University of Technology,2018.(in Chinese)
[9] BHAVANA R,INDELA O,YARAGATTI M S.Functional safety requirements of traction inverter in accordance to ISO 26262[J].E3S Web of Conferences,2020,184:01062.
[10] 苏晨曦.基于功能安全的电子换挡器电控平台硬件开发[D].杭州:浙江大学,2022.SU C X.Hardware development of electronic control platform for shift-by-wire system based on functional safety standard[D].Hangzhou:Zhejiang University,2022.(in Chinese)
[11] 郭健忠,张举,闵锐,等.基于功能安全的汽车全液晶仪表电源供电系统设计[J].电子器件,2021,44(6):1339-1345.GUO J Z,ZHANG J,MIN R,et al.Design of power supply system for automobile instrument based on functional safety[J].Chinese Journal of Electron Devices,2021,44(6):1339-1345.(in Chinese)
[12] 丁志华,罗峰,孙泽昌.基于CANoe的汽车故障诊断系统研制[J].汽车工程,2007,29(5):449-452.DING Z H,LUO F,SUN Z C.Development of vehicle fault diagnostic system based on CANoe[J].Automotive Engineering,2007,29(5):449-452.(in Chinese)
[13] 夏超,李鑫,程越.机电控制无级变速器控制单元硬件在环测试系统[J].重庆理工大学学报(自然科学),2016,30(9):18-25.XIA C,LI X,CHENG Y.Hardware in the loop test system of transmission control unit for electronic-mechanical continuously variable transmission[J].Journal of Chongqing University of Technology(Natural Science),2016,30(9):18-25.(in Chinese)
[14] LEI L Y,LIU K,FU Y.AMT control quality evaluation test system based on CANoe[J].Advanced Materials Research,2014,902:195-200.
END
