|
我們接著前兩期的專題繼續(xù)�����,上一次我們講到了功能安全需求FSR是如何提出來的���。FSR完成以后�,我們會(huì)做功能安全系統(tǒng)設(shè)計(jì)�,其中很重要的工作輸出是技術(shù)安全需求(Technical safety requirements)文檔。 對(duì)于扭矩安全這個(gè)話題��,從避免非期望的車輛加速度這個(gè)Safety goal出發(fā)����,可以推導(dǎo)出很多條功能安全需求FSR��。比如對(duì)于“HCU應(yīng)該實(shí)現(xiàn)傳動(dòng)扭矩的監(jiān)控”這條FSR而言���,如何展開這條技術(shù)需求,并生成下探到具體細(xì)節(jié)的技術(shù)安全需求呢��? 3-level監(jiān)控結(jié)構(gòu) 提到Monitoring, Three level監(jiān)控結(jié)構(gòu)是必須要學(xué)習(xí)和了解的����。下面這張圖節(jié)選自'邪惡聯(lián)盟(寶馬、奔馳����、奧迪等)'的<Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units>這篇文獻(xiàn)。網(wǎng)上可以直接download, 后面有機(jī)會(huì)我們?cè)僮屑?xì)研讀這篇文章�����。 
對(duì)于Torque monitoring這個(gè)安全需求�,如何在技術(shù)安全設(shè)計(jì)上��,運(yùn)用三層監(jiān)控架構(gòu)呢����? 1. Hardware design and selection 控制系統(tǒng)是軟硬件結(jié)合的東西���,軟件設(shè)計(jì)的非常可靠�����,編程規(guī)范做的很牛����。但是承載代碼的硬件不可靠,經(jīng)常死機(jī)��、程序跑飛���。你所設(shè)計(jì)的系統(tǒng)也不會(huì)是一個(gè)可靠的系統(tǒng)��。 所以對(duì)于Torque monitoring的安全需求��,第一步是要設(shè)計(jì)并選擇合適的硬件系統(tǒng)�。雙核MCU+獨(dú)立的系統(tǒng)基礎(chǔ)芯片SBC是目前的主流架構(gòu)�,其中MCU中運(yùn)行控制代碼,SBC芯片負(fù)責(zé)處理器供電��、看門狗、硬件監(jiān)控等功能����。 雙核MCU中的雙核是啥意思呢?我們以TMS570LS0x32這款主控芯片為例來學(xué)習(xí)下���。這款芯片是一個(gè)典型的1oo1D雙核架構(gòu)系統(tǒng)�,具有以下特點(diǎn): 第二個(gè)CPU鏡像旋轉(zhuǎn)90度 兩個(gè)CPU隔離設(shè)計(jì)����、間距至少100um 時(shí)鐘延遲鎖步模式 每個(gè)CPU有獨(dú)立保護(hù)環(huán) 每個(gè)CPU獨(dú)立的時(shí)鐘系統(tǒng) 具備診斷單元CCM,檢查CPU內(nèi)部故障,在并行或鎖步模式下比較兩個(gè)CPU的輸出結(jié)果
在鎖步模式下(Lock step)��,同時(shí)將同一組輸入發(fā)送到這兩個(gè)內(nèi)核��,然后這兩個(gè)內(nèi)核在相同的時(shí)鐘周期內(nèi)執(zhí)行相同的計(jì)算�����,定期比較結(jié)果��,檢測(cè)是否發(fā)生了故障(無論是瞬時(shí)故障����、間歇性還是永久性故障)。一旦輸出不匹配����,通常會(huì)標(biāo)記故障并執(zhí)行處理器重啟。延遲鎖步是鎖步的一種�,其中一個(gè)內(nèi)核的輸入延遲了N個(gè)時(shí)鐘周期,另一個(gè)內(nèi)核的輸出也延遲了相同的時(shí)間�����,然后比較結(jié)果�。用這種方法,可獲得時(shí)間分集����。由于一個(gè)內(nèi)核在N個(gè)時(shí)鐘周期后將執(zhí)行相同的運(yùn)算,沖擊這兩個(gè)內(nèi)核并以相同的方式影響其功能的噪聲脈沖的概率將大大減少��。 查詢TMS570LS0x32芯片手冊(cè)��,可以看出CPU1和CPU2差了2個(gè)時(shí)鐘周期�。 
MCU中的CPU1和CPU2獲取相同的輸入信號(hào),并執(zhí)行相同的計(jì)算邏輯���,定期比較運(yùn)算結(jié)果�����,那硬件上就需要一個(gè)硬件比較器�。對(duì)于TMS570LS0x32而言,內(nèi)置內(nèi)核比較模塊(CCM-R4),如下圖所示���。 
CCM-R4模塊有如下幾種工作模式: 鎖步(Lock Step): 普通執(zhí)行模式 自檢(Self Test): 檢測(cè)其硬件錯(cuò)誤模式(BIST) 強(qiáng)制產(chǎn)生錯(cuò)誤信信號(hào)(Error forcing): 強(qiáng)制不同的CPU信號(hào)到CCM 強(qiáng)制在自檢時(shí)產(chǎn)生錯(cuò)誤信號(hào)(Self Test Error Forcing): 強(qiáng)制輸出自檢錯(cuò)誤信號(hào)
不同工作模式與寄存器配置信息如下表所示 
下面我們說一說系統(tǒng)基礎(chǔ)芯片(System baisc chips)�,SBC不僅可以為系統(tǒng)供電�����,還包含看門狗��、錯(cuò)誤信號(hào)監(jiān)控����、存儲(chǔ)器CRC等多種安全功能。為了方便理解SBC是個(gè)什么東東�,我們以德州儀器的TPS65381芯片為例子進(jìn)行學(xué)習(xí)。 TPS65381是一個(gè)32pin芯片���,可以為多個(gè)MCU��,CAN收發(fā)芯片以及外部傳感器供電��。除此之外�����,該芯片還具有監(jiān)控和保護(hù)功能�����,包括:具有觸發(fā)模式和問答模式的看門狗�、MCU錯(cuò)誤信號(hào)監(jiān)控器���、針對(duì)內(nèi)部振蕩器的時(shí)鐘監(jiān)控��、針對(duì)時(shí)鐘監(jiān)控器的自檢等功能����,典型應(yīng)用電路如下圖所示��。 
TPS65381作為一個(gè)高可靠性的供電芯片和硬件監(jiān)控芯片�����,需要與主控芯片配合使用����。下圖為65381和TMS570配合使用時(shí)����,引腳連接示意圖����。需要注意的是,65831內(nèi)部集成了Error signal monitoring(ESM)模塊���,若TMS570 Core compare module檢測(cè)出錯(cuò)誤時(shí)�,會(huì)把Error信息上報(bào)給ESM模塊��,65831會(huì)執(zhí)行Reset微控制器的操作����。 
其中和TMS570相連的Pin腳解釋如下: VDD5:直流穩(wěn)壓器5V輸出 VDD3/5:直流穩(wěn)壓器3.5V輸出 VDD1: MCU內(nèi)核供電 DIAG_OUT:診斷輸出引腳 ENDRV:使能輸出信號(hào) NRES:微控制器復(fù)位輸出信號(hào) ERR/WDI:來自微控制器的錯(cuò)誤輸入信號(hào)和看門狗觸發(fā)信號(hào) NCS:SPI片選信號(hào) SCLK:SPI時(shí)鐘信號(hào) SDI: SPI串行數(shù)據(jù)輸入 SDO:SPI串行數(shù)據(jù)輸出 設(shè)計(jì)合適的硬件架構(gòu),并選擇適合的主控芯片和系統(tǒng)基礎(chǔ)芯片�,構(gòu)成了扭矩監(jiān)控邏輯運(yùn)行的硬件基礎(chǔ)。上文以德州儀器公司的兩款非常有代表性的芯片為例�,講述了雙核鎖步架構(gòu)的控制器硬件設(shè)計(jì)。 2. Software structure design 軟件架構(gòu)設(shè)計(jì)是一個(gè)非常難的事情�,牽扯到底層的軟件執(zhí)行的順序、操作系統(tǒng)任務(wù)調(diào)度等??刂破鲗用嫒绾螆?zhí)行監(jiān)控模塊,功能層和監(jiān)控層的運(yùn)行時(shí)序上有什么區(qū)別�,這些問題挺難回答的,暫時(shí)我也不是特別清楚�����。Anyway這個(gè)問題問題我們先留在這����,后續(xù)隨著學(xué)習(xí)的深入和認(rèn)知的加深��,我們?cè)僭囍卮疬@些問題��。 但是簡單一點(diǎn)��,我們可以嘗試去分析監(jiān)控軟件結(jié)構(gòu)設(shè)計(jì)(其實(shí)我更喜歡靜態(tài)視圖這個(gè)稱呼)����。雙核鎖步架構(gòu)的控制器硬件、功能層軟件(APP SW)和監(jiān)控層軟件(Monitoring)分布如下圖所示���。Core1和Core2執(zhí)行相同的功能軟件和監(jiān)控邏輯�����。 
坦白來說�,扭矩監(jiān)控這個(gè)Topic,小編以前也沒有接觸過�。最近download了一些專利和企業(yè)發(fā)的論文,從中整理出了關(guān)于扭矩監(jiān)控的軟件結(jié)構(gòu)���,如下圖所示�。通用一點(diǎn)說:扭矩監(jiān)控主要包括:扭矩容量監(jiān)控��、扭矩和監(jiān)控和輸出扭矩監(jiān)控��。有了簡單的扭矩監(jiān)控結(jié)構(gòu)圖�,下一步要分析具體的扭矩監(jiān)控邏輯,形成扭矩安全的技術(shù)安全需求�����。 
3. Detailed monitoring logic design 涉及到具體的扭矩監(jiān)控邏輯細(xì)節(jié)���,有很多種實(shí)現(xiàn)手段��。小編分析了幾篇典型的專利��,這里我們來學(xué)習(xí)下他們的成果��。 <混合動(dòng)力汽車的扭矩監(jiān)控方法和裝置>--上汽集團(tuán)��,2014年12月 扭矩監(jiān)控的流程圖如下圖所示�����。若作用于車輪端的實(shí)際扭矩值超出允許的穩(wěn)態(tài)扭矩限值�,整車產(chǎn)生超限加速度�����。超限加速度積分產(chǎn)生超限速度和超限位移�,若超限速度/位移超出安全閥值,整車進(jìn)入安全狀態(tài)�����,執(zhí)行降扭或斷油等操作����。 
<新能源汽車的扭矩安全控制方法>--北汽新能源,2015年5月
具體的實(shí)現(xiàn)如下流程圖所示��。該專利描述了2層扭矩監(jiān)控方法,第一層監(jiān)控需求扭矩計(jì)算邏輯��、第二層比較動(dòng)力源實(shí)際輸出扭矩和輪端估算扭矩��。最終仲裁是否出現(xiàn)扭矩錯(cuò)誤�,并做出對(duì)應(yīng)的響應(yīng)措施。 
<一種電動(dòng)汽車的扭矩監(jiān)控系統(tǒng)以及方法>--長安汽車���,2013年7月 具體實(shí)現(xiàn)如下流程圖所示�����。該專利根據(jù)車輛行駛工況�,進(jìn)行電機(jī)控制器扭矩監(jiān)控�����,主要包括:車輛行駛工況判定模塊�、系統(tǒng)電流監(jiān)控模塊、系統(tǒng)電壓監(jiān)控模塊�、電機(jī)控制器扭矩反饋計(jì)算模塊等。 <電動(dòng)汽車的扭矩監(jiān)控方法及其系統(tǒng)>--長安汽車��,2017年7月 具體實(shí)現(xiàn)如下流程圖所示�����。
在完成硬件架構(gòu)設(shè)計(jì)和扭矩監(jiān)控軟件的設(shè)計(jì)之后,需要完成對(duì)應(yīng)的技術(shù)安全需求文檔(TSR)�����。對(duì)于功能安全系統(tǒng)工程師而言�,需要寫出盡可能詳細(xì)的TSR文檔。硬件工程師和軟件工程師基于TSR文檔����,做軟件分解和硬件分解,那就是ISO26262第五章和第六章的部分了�。 比如'HCU應(yīng)該實(shí)現(xiàn)扭矩監(jiān)控'這條需求����,軟件工程師需要作出更詳細(xì)的邏輯文檔,比如:如何實(shí)現(xiàn)扭矩計(jì)算監(jiān)控��、使用哪些冗余信號(hào)�、扭矩監(jiān)控濾波器如何設(shè)計(jì)等。 本期專題我們分了三次���,系統(tǒng)性的講述了扭矩安全這個(gè)話題的功能安全實(shí)現(xiàn)與分解�。但是這只是一個(gè)非常簡單的入門案例,功能安全是一個(gè)非常龐大的系統(tǒng)工程�。優(yōu)秀的安全設(shè)計(jì)是需要下很多功夫、不斷優(yōu)化迭代的過程�����。后面我們繼續(xù)功能安全的topic�����,學(xué)習(xí)變速器控制系統(tǒng)的功能安全知識(shí)�����。
|
