|
我們接著前兩期的專題繼續(xù)��,上一次我們講到了功能安全需求FSR是如何提出來的����。FSR完成以后,我們會做功能安全系統(tǒng)設(shè)計��,其中很重要的工作輸出是技術(shù)安全需求(Technical safety requirements)文檔����。 對于扭矩安全這個話題�����,從避免非期望的車輛加速度這個Safety goal出發(fā)��,可以推導(dǎo)出很多條功能安全需求FSR�����。比如對于“HCU應(yīng)該實現(xiàn)傳動扭矩的監(jiān)控”這條FSR而言,如何展開這條技術(shù)需求��,并生成下探到具體細(xì)節(jié)的技術(shù)安全需求呢�? 3-level監(jiān)控結(jié)構(gòu) 提到Monitoring, Three level監(jiān)控結(jié)構(gòu)是必須要學(xué)習(xí)和了解的。下面這張圖節(jié)選自'邪惡聯(lián)盟(寶馬�、奔馳、奧迪等)'的<Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units>這篇文獻��。網(wǎng)上可以直接download, 后面有機會我們再仔細(xì)研讀這篇文章���。 
對于Torque monitoring這個安全需求��,如何在技術(shù)安全設(shè)計上�,運用三層監(jiān)控架構(gòu)呢���? 1. Hardware design and selection 控制系統(tǒng)是軟硬件結(jié)合的東西�����,軟件設(shè)計的非?���?煽浚幊桃?guī)范做的很牛���。但是承載代碼的硬件不可靠�,經(jīng)常死機�、程序跑飛。你所設(shè)計的系統(tǒng)也不會是一個可靠的系統(tǒng)�����。 所以對于Torque monitoring的安全需求����,第一步是要設(shè)計并選擇合適的硬件系統(tǒng)。雙核MCU+獨立的系統(tǒng)基礎(chǔ)芯片SBC是目前的主流架構(gòu)����,其中MCU中運行控制代碼�����,SBC芯片負(fù)責(zé)處理器供電����、看門狗����、硬件監(jiān)控等功能�。 雙核MCU中的雙核是啥意思呢?我們以TMS570LS0x32這款主控芯片為例來學(xué)習(xí)下���。這款芯片是一個典型的1oo1D雙核架構(gòu)系統(tǒng)����,具有以下特點: 第二個CPU鏡像旋轉(zhuǎn)90度 兩個CPU隔離設(shè)計�、間距至少100um 時鐘延遲鎖步模式 每個CPU有獨立保護環(huán) 每個CPU獨立的時鐘系統(tǒng) 具備診斷單元CCM,檢查CPU內(nèi)部故障,在并行或鎖步模式下比較兩個CPU的輸出結(jié)果
在鎖步模式下(Lock step)�����,同時將同一組輸入發(fā)送到這兩個內(nèi)核�,然后這兩個內(nèi)核在相同的時鐘周期內(nèi)執(zhí)行相同的計算,定期比較結(jié)果���,檢測是否發(fā)生了故障(無論是瞬時故障����、間歇性還是永久性故障)。一旦輸出不匹配�,通常會標(biāo)記故障并執(zhí)行處理器重啟。延遲鎖步是鎖步的一種��,其中一個內(nèi)核的輸入延遲了N個時鐘周期���,另一個內(nèi)核的輸出也延遲了相同的時間�����,然后比較結(jié)果����。用這種方法����,可獲得時間分集。由于一個內(nèi)核在N個時鐘周期后將執(zhí)行相同的運算��,沖擊這兩個內(nèi)核并以相同的方式影響其功能的噪聲脈沖的概率將大大減少���。 查詢TMS570LS0x32芯片手冊,可以看出CPU1和CPU2差了2個時鐘周期��。 
MCU中的CPU1和CPU2獲取相同的輸入信號,并執(zhí)行相同的計算邏輯�����,定期比較運算結(jié)果��,那硬件上就需要一個硬件比較器��。對于TMS570LS0x32而言��,內(nèi)置內(nèi)核比較模塊(CCM-R4),如下圖所示��。 
CCM-R4模塊有如下幾種工作模式: 鎖步(Lock Step): 普通執(zhí)行模式 自檢(Self Test): 檢測其硬件錯誤模式(BIST) 強制產(chǎn)生錯誤信信號(Error forcing): 強制不同的CPU信號到CCM 強制在自檢時產(chǎn)生錯誤信號(Self Test Error Forcing): 強制輸出自檢錯誤信號
不同工作模式與寄存器配置信息如下表所示 
下面我們說一說系統(tǒng)基礎(chǔ)芯片(System baisc chips)�,SBC不僅可以為系統(tǒng)供電,還包含看門狗����、錯誤信號監(jiān)控、存儲器CRC等多種安全功能��。為了方便理解SBC是個什么東東�,我們以德州儀器的TPS65381芯片為例子進行學(xué)習(xí)。 TPS65381是一個32pin芯片�,可以為多個MCU,CAN收發(fā)芯片以及外部傳感器供電���。除此之外�����,該芯片還具有監(jiān)控和保護功能����,包括:具有觸發(fā)模式和問答模式的看門狗、MCU錯誤信號監(jiān)控器��、針對內(nèi)部振蕩器的時鐘監(jiān)控�、針對時鐘監(jiān)控器的自檢等功能,典型應(yīng)用電路如下圖所示�。 
TPS65381作為一個高可靠性的供電芯片和硬件監(jiān)控芯片,需要與主控芯片配合使用�����。下圖為65381和TMS570配合使用時���,引腳連接示意圖�。需要注意的是��,65831內(nèi)部集成了Error signal monitoring(ESM)模塊�����,若TMS570 Core compare module檢測出錯誤時��,會把Error信息上報給ESM模塊��,65831會執(zhí)行Reset微控制器的操作��。 
其中和TMS570相連的Pin腳解釋如下: VDD5:直流穩(wěn)壓器5V輸出 VDD3/5:直流穩(wěn)壓器3.5V輸出 VDD1: MCU內(nèi)核供電 DIAG_OUT:診斷輸出引腳 ENDRV:使能輸出信號 NRES:微控制器復(fù)位輸出信號 ERR/WDI:來自微控制器的錯誤輸入信號和看門狗觸發(fā)信號 NCS:SPI片選信號 SCLK:SPI時鐘信號 SDI: SPI串行數(shù)據(jù)輸入 SDO:SPI串行數(shù)據(jù)輸出 設(shè)計合適的硬件架構(gòu)�����,并選擇適合的主控芯片和系統(tǒng)基礎(chǔ)芯片�,構(gòu)成了扭矩監(jiān)控邏輯運行的硬件基礎(chǔ)。上文以德州儀器公司的兩款非常有代表性的芯片為例�����,講述了雙核鎖步架構(gòu)的控制器硬件設(shè)計��。 2. Software structure design 軟件架構(gòu)設(shè)計是一個非常難的事情��,牽扯到底層的軟件執(zhí)行的順序����、操作系統(tǒng)任務(wù)調(diào)度等��??刂破鲗用嫒绾螆?zhí)行監(jiān)控模塊��,功能層和監(jiān)控層的運行時序上有什么區(qū)別���,這些問題挺難回答的���,暫時我也不是特別清楚�。Anyway這個問題問題我們先留在這,后續(xù)隨著學(xué)習(xí)的深入和認(rèn)知的加深�,我們再試著回答這些問題。 但是簡單一點��,我們可以嘗試去分析監(jiān)控軟件結(jié)構(gòu)設(shè)計(其實我更喜歡靜態(tài)視圖這個稱呼)��。雙核鎖步架構(gòu)的控制器硬件�����、功能層軟件(APP SW)和監(jiān)控層軟件(Monitoring)分布如下圖所示����。Core1和Core2執(zhí)行相同的功能軟件和監(jiān)控邏輯���。 
坦白來說,扭矩監(jiān)控這個Topic�,小編以前也沒有接觸過。最近download了一些專利和企業(yè)發(fā)的論文�����,從中整理出了關(guān)于扭矩監(jiān)控的軟件結(jié)構(gòu)�,如下圖所示�。通用一點說:扭矩監(jiān)控主要包括:扭矩容量監(jiān)控、扭矩和監(jiān)控和輸出扭矩監(jiān)控�。有了簡單的扭矩監(jiān)控結(jié)構(gòu)圖,下一步要分析具體的扭矩監(jiān)控邏輯�,形成扭矩安全的技術(shù)安全需求。 
3. Detailed monitoring logic design 涉及到具體的扭矩監(jiān)控邏輯細(xì)節(jié)��,有很多種實現(xiàn)手段�。小編分析了幾篇典型的專利,這里我們來學(xué)習(xí)下他們的成果����。 <混合動力汽車的扭矩監(jiān)控方法和裝置>--上汽集團,2014年12月 扭矩監(jiān)控的流程圖如下圖所示。若作用于車輪端的實際扭矩值超出允許的穩(wěn)態(tài)扭矩限值�,整車產(chǎn)生超限加速度。超限加速度積分產(chǎn)生超限速度和超限位移����,若超限速度/位移超出安全閥值,整車進入安全狀態(tài)����,執(zhí)行降扭或斷油等操作。 
<新能源汽車的扭矩安全控制方法>--北汽新能源�����,2015年5月
具體的實現(xiàn)如下流程圖所示����。該專利描述了2層扭矩監(jiān)控方法,第一層監(jiān)控需求扭矩計算邏輯�����、第二層比較動力源實際輸出扭矩和輪端估算扭矩���。最終仲裁是否出現(xiàn)扭矩錯誤�,并做出對應(yīng)的響應(yīng)措施。 
<一種電動汽車的扭矩監(jiān)控系統(tǒng)以及方法>--長安汽車����,2013年7月 具體實現(xiàn)如下流程圖所示。該專利根據(jù)車輛行駛工況�,進行電機控制器扭矩監(jiān)控,主要包括:車輛行駛工況判定模塊���、系統(tǒng)電流監(jiān)控模塊���、系統(tǒng)電壓監(jiān)控模塊���、電機控制器扭矩反饋計算模塊等�����。 <電動汽車的扭矩監(jiān)控方法及其系統(tǒng)>--長安汽車�,2017年7月 具體實現(xiàn)如下流程圖所示���。
在完成硬件架構(gòu)設(shè)計和扭矩監(jiān)控軟件的設(shè)計之后���,需要完成對應(yīng)的技術(shù)安全需求文檔(TSR)。對于功能安全系統(tǒng)工程師而言,需要寫出盡可能詳細(xì)的TSR文檔���。硬件工程師和軟件工程師基于TSR文檔����,做軟件分解和硬件分解����,那就是ISO26262第五章和第六章的部分了。 比如'HCU應(yīng)該實現(xiàn)扭矩監(jiān)控'這條需求��,軟件工程師需要作出更詳細(xì)的邏輯文檔�����,比如:如何實現(xiàn)扭矩計算監(jiān)控�、使用哪些冗余信號、扭矩監(jiān)控濾波器如何設(shè)計等�����。 本期專題我們分了三次�����,系統(tǒng)性的講述了扭矩安全這個話題的功能安全實現(xiàn)與分解。但是這只是一個非常簡單的入門案例����,功能安全是一個非常龐大的系統(tǒng)工程。優(yōu)秀的安全設(shè)計是需要下很多功夫�、不斷優(yōu)化迭代的過程。后面我們繼續(xù)功能安全的topic��,學(xué)習(xí)變速器控制系統(tǒng)的功能安全知識�����。
|
