基于功能安全的電子換擋控制器硬件設計

蘇晨曦，周文華，郭修其，高 維

(1.浙江大學能源工程學院，浙江 杭州 310027；2.寧波高發汽車控制系統股份有限公司，浙江 寧波 315000)

0 引言

傳統機械液力式自動變速器的換擋操作是通過拉索組合，將換擋指令輸入自動變速器，自動變速器對應切換到相應的檔位[1]。電子換擋器的優勢在于駕駛員的操作命令會首先由控制器進行判斷，根據當前的車輛的工況判斷是否可以進入目標檔位，從而防止檔位識別錯誤、信號傳輸錯誤、檔位狀態與當前汽車工況不符等故障，避免對變速器造成損傷[2]。檔位請求的方式從純機械觸發到CAN信號傳遞的轉變，提升了換擋過程的舒適性和可靠性的同時，也帶來了電氣設計所面臨的安全性問題，例如元器件失效、傳感器失效等因素導致錯誤換擋，甚至會危害人身安全?；诖?，電子換擋控制器的設計者應該將這些故障發生的概率控制在可以接受的范圍內。

1 硬件電路設計

國際標準化組織(ISO)為提高汽車電子、電氣產品功能安全，發布了ISO26262《道路車輛功能安全標準》[3]。該標準提供了決定風險等級的具體評估方法——汽車安全完整性等級(ASIL)，通過使用ASIL方法來確定獲得可接受的殘余風險的必要安全需求[4]。在本項目中，故障導致的危害事件為非預期加速或動力丟失，根據項目對安全具體指標分析確定其安全完整性等級為C(表1)。

表1 危險事件風險評估

為滿足功能安全等級ASIL C的要求，硬件設計對關鍵電路主要采取的技術路線包括：1)數字電路MCU采用Infineon公司AURX系列的TC234型號單片機，其雙核架構通過合理配置可以滿足安全完整性等級ASIL D的要求；2)關鍵輸入信號如電機位置信號、P擋輸入信號采用雙路冗余，具有高的故障診斷覆蓋率；3)檔桿位置傳感器采用Infineon公司的TLE5501霍爾芯片，可以滿足ASIL D的要求；4)驅動電路核心芯片采用Infineon公司的TLE92104，其具有內部超時看門狗、外部MOSFET源漏極電壓檢測等功能，并提供獨立的外部驅動關斷路徑；5)電源芯片采用Infineon公司的TLF35584，該芯片除了能為數字電路、傳感器等提供穩定的電壓，還具有監控主芯片的正常運行、向外部發送故障信號等功能，能夠滿足ASIL D的要求，可以提高整個系統的安全性。硬件總體方案如圖1。

圖1 硬件方案示意圖

2 硬件安全架構

本硬件設計中與安全相關的硬件架構如圖2。

圖2 硬件安全架構

監控芯片TLF35584可以監控其內部調壓器的輸出電壓以及芯片溫度，同時內置窗口看門狗和功能看門狗，主芯片TC234須向監控芯片發送正確的看門狗觸發信號(其中功能看門狗觸發信號需要通過SPI指令)，當監控芯片檢測出以上故障后，可以采取以下措施： 1)重置主芯片；2)產生中斷令主芯片采取相應措施；3)其安全狀態控制功能通過關斷路徑1向外部發送故障信號，關閉驅動輸出。主芯片檢測到自身的故障后，可向監控芯片的安全狀態控制模塊發送單片機故障信號，安全狀態控制模塊通過關斷路徑1向外部發送故障信號，關閉驅動輸出。主芯片可以通過內部程序管控監控芯片的功能完整性，當監控芯片無法向外部發送故障信號或者其與主芯片之間的SPI通信發生異常，則主芯片可以通過SPI指令來重置監控芯片，并通過關斷路徑2向外部發送故障信號，關閉驅動輸出。電機驅動芯片TLE92104內置超時看門狗以檢測其與主芯片之間通信的完整性，主芯片需要通過SPI指令向電機驅動芯片發送正確的看門狗觸發信號。電機驅動芯片能夠監控外部MOSFET的源漏極電壓，并且可以向主芯片發送驅動電流反饋信號，以保證驅動輸出的可靠性。除電機驅動芯片自身的關斷機制外，兩路外部關斷路徑的故障信號均可以關斷電機驅動。

2.1 雙核鎖步主控芯片TC234

主控芯片TC234[5]屬于Infineon公司的AURIX系列，在本項目中，除了作為軟件運行、信號處理、邏輯運算的平臺外，還具有以下內部安全機制：CPU雙核鎖步、輸入輸出信號監控、時鐘監控、溫度監控、電壓監控、中斷路徑硬件監控、SRI安全機制、SRAM/FLASH校驗、通信外設CRC校驗等。主芯片的安全管理單元(SMU)采集以上安全機制檢測出的故障信息后，可令主芯片重置，向電源芯片發送故障信息。還可以通過程序設置，提供電機驅動電路的外部獨立關斷路徑，以防電源芯片或電機驅動芯片無法及時關斷驅動、保證安全。

2.2 電源及監控模塊設計

2.2.1 電壓監控模塊

電源(監控)芯片采用TLF35584[6]，其內部具有一個獨立的電壓監控模塊，同時具備一個溫度傳感器。當輸出電壓或溫度異常時，芯片將采取關閉調壓器、重置單片機、產生中斷等措施來保護芯片。

2.2.2 看門狗模塊

電源芯片配置了兩個相互獨立的看門狗功能：窗口看門狗和功能看門狗，用于監控主芯片，其工作原理圖如圖3。

圖3 窗口看門狗與功能看門狗工作框圖

2.2.2.1 窗口看門狗

主芯片必須要在一個周期內的特定時向電源芯片發送看門狗觸發信號，每個有效觸發會令窗口看門狗故障計數器減1(最小為0)，每個無效觸發出現會令窗口看門狗故障計數器加2；當窗口看門狗故障計數器的值超過計數器閾值(可通過SPI編程設定)時，產生中斷，并向外部發送故障信號，關閉驅動輸出。

2.2.2.2 功能看門狗

在一個穩定的工作狀態下，一個“Question”由看門狗產生，同時一個計時器開始計時，在計數器計數的時間內，看門狗必須得到“Question”對應的正確的“Answer”。功能看門狗的工作邏輯見圖4。

圖4 功能看門狗工作邏輯圖

2.2.3 監控安全機制設計

監控芯片的安全狀態控制模塊能夠監控所有與安全相關的信號并且控制安全狀態輸出SS1和SS2，發生故障時，作為關斷路徑1關閉電機驅動輸出。該模塊的監控功能如圖5所示。

圖5 安全狀態控制功能框圖

圖5中，ERR為來自主芯片的安全管理單元(SMU)的單片機故障信號。

2.3 檔位電機驅動及安全機制設計

2.3.1 電壓、溫度監控

電機驅動芯TLE92104[7]能夠監控外部MOSFET的源漏極電壓、電源電壓Vs、邏輯電源電壓VDD和電荷泵輸出電壓(VCP)，同時內部集成溫度監測電路，可以檢測芯片溫度。電壓或溫度異常及監控模塊的響應如表2。

表2 TLE92104電壓、溫度異常及響應

2.3.2 超時看門狗

為了監控與單片機通信的完整性，TLE92104內部集成了一個超時看門狗，TC234需要在設定的看門狗周期內通過SPI指令將控制寄存器的WDTRIG位翻轉，其工作邏輯見圖6。

圖6 超時看門狗工作邏輯圖

當看門狗故障被檢測到時，所有的MOSFET驅動關閉。

2.3.3 電機驅動獨立關斷路徑設計

獨立的安全輸出關斷路徑是指任意故障狀態下，主控芯片和電源芯片均可獨立關斷電機驅動輸出，從而確保車輛進入安全狀態?，F驅動輸出關閉機制如下：1)電源芯片出現故障后，主控芯片通過關斷路徑2關斷驅動輸出；2)主控芯片未完全失效(如正常應答監控芯片，但內部出現故障無法關斷驅動輸出)，可通過SMU向電源芯片發送故障信號，通過關斷路徑1關閉輸出；3)主控芯片完全失效(如無法應答監控芯片)時，電源芯片可通過關斷路徑1關閉驅動輸出；4)當電機驅動芯片檢測到故障，可自動關閉輸出，并向主控芯片反饋故障狀態。安全獨立關斷電路圖如圖7所示。

圖7 安全獨立關斷電路

3 硬件功能安全指標驗證

根據硬件安全架構總結出的系統安全機制以及根據國家標準GB/T.37963(IEC 62380)[8]得到的安全機制診斷覆蓋率如表3所示。

表3 硬件技術診斷及其覆蓋率

根據ISO26262標準中硬件層面的故障分類流程分析，可以得出與安全目標直接相關的電路為信號輸入電路(P擋輸出信號、電機位置信號、檔桿位置信號檢測電路)、CAN通信電路、數字電路MCU、電機驅動電路。該部分的電路如圖8所示。

圖8 功能安全相關電路

根據故障分類流程及以上安全機制覆蓋率可以得到失效模式與失效率計算表格(圖9)。

圖9 失效模式與失效率

計算可得硬件架構安全相關總失效率[9]：

∑SR，HWλ=358FIT

(1)

單點和殘余故障總失效率：

∑SR，HW(λSPF+λRF)=3.236FIT

(2)

潛在故障總失效率：

∑SR，HWλMPF，L=13.7FIT

(3)

經計算，單點故障度量為：

=99.07%>97%

(4)

潛在故障度量為：

=96.13%>80%

(5)

隨機硬件失效概率度量為：

PMHF=ΣλSPF+ΣλRF+ΣλDPF，latent

=16.936FIT<100FIT

(6)

由計算結果可知，單點故障度量、潛在故障度量和隨機硬件失效概率度量均滿足ASIL C的要求。其他電路中，電源電路中具有監控功能，獨立關斷電路具有保護功能，這兩部分電路不會單獨導致違背安全目標，考慮其中多點失效的可能性，對其按照上述流程進行指標計算，得出其滿足ASIL C等級的要求。由以上分析可以得出：整個硬件系統滿足功能安全完整性等級ASIL C的要求。

4 結論

電子換擋系統是汽車電控系統中的重要組成部分，本研究針對ISO26262道路車輛功能安全標準的要求，設計了一種符合安全完整性等級ASIL C的電子換擋器硬件架構，設計了多種硬件故障診斷安全機制，以及獨特的輸出關斷路徑，最后完成了硬件指標的相關計算。

研究結果表明：該硬件系統能夠滿足ASIL C的要求，多重安全機制可以有效地減少單點/殘余故障失效率和潛在故障失效率，同時安全輸出獨立關斷功能，可以保證系統在任意故障下都能及時關斷輸出，具有借鑒意義。