CN104423374A - 用于汽车的控制器及具有其的汽车、监测方法 - Google Patents
用于汽车的控制器及具有其的汽车、监测方法 Download PDFInfo
- Publication number
- CN104423374A CN104423374A CN201310389650.5A CN201310389650A CN104423374A CN 104423374 A CN104423374 A CN 104423374A CN 201310389650 A CN201310389650 A CN 201310389650A CN 104423374 A CN104423374 A CN 104423374A
- Authority
- CN
- China
- Prior art keywords
- transceiver
- processor
- signal
- fault
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012544 monitoring process Methods 0.000 title claims abstract description 24
- 238000004891 communication Methods 0.000 claims description 14
- 230000009977 dual effect Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 13
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000011664 signaling Effects 0.000 abstract 1
- 230000008569 process Effects 0.000 description 12
- 230000001052 transient effect Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 239000000203 mixture Substances 0.000 description 5
- 238000003745 diagnosis Methods 0.000 description 4
- 238000009434 installation Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000005669 field effect Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0286—Modifications to the monitored process, e.g. stopping operation or adapting control
Abstract
本发明提出一种用于汽车的控制器,包括:第一和第二CAN收发器和处理器,处理器包括第一处理器核和第二处理器核且第一处理器核和所述第二处理器核运行有相同的处理程序,第一CAN收发器用于接收来自所述第一处理器核发送的第一CAN信号,并向所述处理器发送第一反馈信号;第一处理器核用于生成所述第一CAN信号,并根据第一CAN信号和第一反馈信号判断第一CAN收发器是否存在故障,并在判断第一或第二CAN收发器存在故障时,控制存在故障的第一或所述第二CAN收发器停止发送CAN信号。根据本发明的控制器具有架构简单,安全反应迅速,成本低,适合安全控制领域的应用。本发明还提出了一种汽车及用于汽车的控制器的监测方法。
Description
技术领域
本发明涉及汽车制造技术领域,特别涉及一种用于汽车的控制器及具有其的汽车、用于汽车的控制器的监测方法。
背景技术
随着汽车电子功能越来越多,可编程系统变得越来越复杂,安全问题越来越突出,控制器系统的安全性关系到整车系统功能的实现。
CAN总线由BOSCH发明,其采用了CRC校验,采用差分电平信号进行传输,是一种多主并且较安全的总线。在汽车电子和工业领域应用均非常广泛。然而,CAN总线系统也有其固有的故障模式,包括总线对电源短路,对地短路,CAN总线开路,以及受制于电子元器件如CAN收发器本身的可靠性等。
传统的控制器为实现安全功能,通常采用双芯片处理器的方案,这种方案的通常由一个主芯片负责系统功能的实现,一个从芯片负责对主芯片程序运行状况和系统功能的监控,主芯片和从芯片均各自具有自己的看门狗。
由以上分析可知,采用双芯片处理器的控制器系统具有如下缺点:
由于从芯片需要不断地与校验主芯片来做到故障诊断,所以故障发现时间较长,从而导致系统故障容忍时间较长(故障容忍时间定义为从发现故障,进行故障处理到系统过渡到安全状态的总时间,参考ISO26262-1,术语定义),不利于一些实时性要求较高的场合。
由于从芯片对主芯片的校验主要通过通讯来完成,故主芯片内部发生的瞬时硬件故障很难被发现,从而导致系统故障诊断覆盖率较低。
由于采用了双芯片处理器系统,系统需要两个处理器芯片,从而需要两套处理器芯片最小系统,提高了系统成本。
由于主从处理器之间相互通讯,处理器处理其他事务的时间缩短,且系统设计复杂,导致可靠性降低。
发明内容
本发明旨在至少解决上述技术问题之一。
为此,本发明的一个目的在于提出一种用于汽车的控制器,该控制器具有架构简单,安全反应迅速,成本低,适合安全控制领域的应用。
本发明的另一目的在于提出一种汽车。
本发明的再一个目的在于提出一种用于汽车的控制器的监测方法。
为了实现上述目的,本发明第一方面的实施例提出了一种用于汽车的控制器,包括:第一CAN收发器、第二CAN收发器和处理器,所述处理器包括第一处理器核和第二处理器核且所述第一处理器核和所述第二处理器核运行有相同的处理程序,其中,所述第一CAN收发器用于接收来自所述第一处理器核发送的第一CAN信号,并向所述处理器发送第一反馈信号,所述第二CAN收发器用于接收来自所述第二处理器核发送的第二CAN信号,并向所述处理器发送第二反馈信号;所述处理器的第一处理器核用于生成所述第一CAN信号,所述第二处理器核用于生成所述第二CAN信号,所述处理器根据所述第一CAN信号和所述第一反馈信号判断所述第一CAN收发器是否存在故障,且根据所述第二CAN信号和所述第二反馈信号判断所述第二CAN收发器是否存在故障,并在判断所述第一CAN收发器或所述第二CAN收发器存在故障时,控制存在故障的第一CAN收发器或所述第二CAN收发器停止发送CAN信号。
根据本发明实施例的用于汽车的控制器,采用双核锁步MCU处理器芯片,该芯片至少具有2个CAN模块;CAN总线故障相互监测:MCU通道1发出的数据经外部线路被MCU通道2监测到,MCU通道2发出的数据经外部线路被MCU通道1监测到;负载故障处理方式,执行故障和负载状态均反馈给MCU。
本发明实施例的用于汽车的控制器具有如下优点:
(1)控制器系统采用了LOCKSTEP(双核异步)处理器,由于在芯片设计时,双核的物理结构不尽相同(同样的逻辑可以由不同的组合电路去实现),安装位置为异构,最大限度的消除了双核同集成于一个DIE上的共因失效,同时,由于系统安全基础芯片对处理器进行不断的问答处理,进一步降低了处理器时钟和供电的共因失效,提高了系统可靠性。
(2)当处理器内部任一处理器核发生瞬时故障,由于双核执行结果进行了比较,比较本身由硬件实现,能很快发现故障,具备较少的故障容忍时间。
(3)由于处理器内部采用了双CPU备份处理,同时,第一CAN收发器和第二CAN收发器也互为备份,当任一处瞬时故障出现时,均能及时发现和处理,因此,本发明方案对CAN通讯和处理器的瞬时故障不敏感。
(4)该控制器虽然采用了双核处理器芯片,但由于每一核运行的程序相同,因此相比传统的双芯片方案,本发明实现只需要熟悉一款处理器,并且软件不需要对处理器内部硬件的瞬时故障进行考虑(硬件自身会比较出结果),降低了软件开发难度。
(5)由于每个局域网的软件相同,虽然有两个CAN网络,但CAN总线网络可采用同一个协议,降低了系统实现难度。
(6)由于对执行单元和负载单元均进行了故障诊断和状态反馈,对负载故障有好的监测度,据此进行针对性处理,有效降低系统失效风险。
(7)由于控制器仅采用了一个主芯片MCU,与双芯片处理器系统相比,本发明的控制器系统具有较低的成本。
综上所述,本发明实施例的用于汽车的控制器架构简单,安全反应迅速,成本低,适合安全控制领域的应用。
另外,根据本发明上述实施例的用于汽车的控制器还可以具有如下附加的技术特征:
在一些示例中,所述处理器在判断所述第一CAN收发器和所述第二CAN收发器均不存在故障之后,还用于比较所述第一反馈信号和第二反馈信号,并在所述第一反馈信号和所述第二反馈信号不同时,分别控制所述第一处理器核和所述第二处理器核重新发送所述第一CAN信号和所述第二CAN信号。
在一些示例中,还包括:第一电源开关单元、第二电源开关单元、传感器、系统安全基础芯片和故障处理模块,其中,所述第一电源开关单元用于接收点火信号和电源供电信号,以及接收来自于所述处理器的电源保持信号,并在闭合时通过电源对控制器系统供电组和系统安全基础芯片供电;所述第二电源开关单元由所述处理器控制以在断开时切断其对传感器供电;所述传感器由所述系统安全基础芯片和所述第二电源开关单元供电;所述系统安全基础芯片用于为所述处理器和所述传感器供电,并通过SPI接口与所述处理器通讯,并在判断通讯失效时对所述处理器进行复位;所述故障处理模块用于在所述系统安全基础芯片和所述处理器发生通讯失效时,对来自所述系统安全基础芯片的失效信号和来自所述处理器的失效信号进行分析和处理。
在一些示例中,还包括:负载;用于驱动负载运行的负载驱动单元,用于接收来自所述处理器的驱动信号,并向所述处理器发送故障反馈信息,以使所述处理器对所述负载驱动单元进行监测和控制;与所述负载相连的负载状态反馈单元,用于接收负载信号,并将所述负载信号反馈给所述处理器,以便所述处理器对所述负载进行监测和控制。
在一些示例中,还包括:电源防护单元,所述电源防护单元设置在电源和所述第一电源开关单元之间,以对所述第一电源开关单元进行过压保护。
在一些示例中,所述处理器为异步双核处理器。
本发明第二方面的实施例提供了一种汽车,该汽车包括上述第一方面实施例所述的用于汽车的控制器,该汽车具有结构简单、安全反应迅速,成本低的优点。
本发明第三方面的实施例提供了一种用于汽车的控制器的监测方法,包括以下步骤:在控制器运行时,判断第一CAN收发器和第二CAN收发器是否有故障;如果有,则进一步判断是否为第一CAN收发器有故障;如果所述第一CAN收发器有故障,则禁止所述第一CAN收发器并控制系统进入仅第二CAN收发器有效模式;以及如果所述第二CAN收发器有故障,则禁止所述第二CAN收发器并控制系统进入仅第一CAN收发器有效模式。
根据本发明实施例的用于汽车的控制器的监测方法,可迅速地判断出是第一CAN收发器故障还是第二CAN收发器故障,从而保证了汽车的控制器的安全、可靠。
另外,根据本发明上述实施例的用于汽车的控制器的监测方法还可以具有如下附加的技术特征:
在一些示例中,在判断第一CAN收发器和第二CAN收发器是否有故障之后,还包括:如果判断所述第一CAN收发器和所述第二CAN收发器均没有故障,则进一步判断处理器是否存在故障;如果有,则控制所述处理器复位。
在一些示例中,还包括:如果判断所述处理器不存在故障,则所述处理器通过第一CAN收发器发送第一CAN信号和所述第二CAN收发器发送第二CAN信号且所述处理器通过第二CAN收发器读回第一反馈信号和通过所述第一CAN收发器读回所述第二反馈信号;所述处理器判断所述第一反馈信号和第二反馈信号是否相等,如果相等则判断所述处理器正常,否则控制所述第一处理器核和第二处理器核重新发送所述第一CAN信号和第二CAN信号。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明一个实施例的用于汽车的控制器的结构图;
图2是根据本发明另一个实施例的用于汽车的控制器的结构图;
图3是根据本发明一个实施例的用于汽车的控制器的对第一CAN收发器和第二CAN收发器进行故障监测的流程图;
图4是根据本发明一个实施例的用于汽车的控制器的工作流程图;以及
图5是根据本发明一个实施例的用于汽车的控制器的监测方法的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
以下结合附图描述根据本发明实施例的用于汽车的控制器及具有上述用于汽车的控制器的汽车。
图1是根据本发明一个实施例的用于汽车的控制器的结构图。如图1所示,并结合图2,根据本发明一个实施例的用于汽车的控制器,包括:第一CAN收发器40(如图2所示的CANTr1)、第二CAN收发器41(如图2所示的CANTr2)和处理器30(如图2所示的MCU),处理器30包括第一处理器核31和第二处理器核32,且第一处理器核31和第二处理器核32运行有相同的处理程序。即处理器30为异步双核处理器。
其中,第一CAN收发器40用于接收来自第一处理器核31发送的第一CAN信号,并向处理器30发送第一反馈信号,第二CAN收发器41用于接收来自第二处理器核32发送的第二CAN信号,并向处理器30发送第二反馈信号。处理器30的第一处理器核31用于生成第一CAN信号,第二处理器核32用于生成第二CAN信号,处理器30根据第一CAN信号和第一反馈信号判断第一CAN收发器40是否存在故障,且根据第二CAN信号和第二反馈信号判断第二CAN收发器41是否存在故障,并在判断第一CAN收发器40或第二CAN收发器41存在故障时,控制存在故障的第一CAN收发器40或第二CAN收发器41停止发送CAN信号。
进一步而言,处理器30在判断第一CAN收发器40和第二CAN收发器41均不存在故障之后,还用于比较第一反馈信号和第二反馈信号,并在第一反馈信号和第二反馈信号不同时,分别控制第一处理器核31和第二处理器核32重新发送第一CAN信号和第二CAN信号。
如图3所示,是根据本发明一个实施例的用于汽车的控制器的对第一CAN收发器和第二CAN收发器进行故障监测的流程图。其控制器30对第一CAN收发器40和第二CAN收发器41进行监测的步骤包括:
步骤S301:判断第一CAN收发器40和第二CAN收发器41是否有故障,如果有,则执行步骤S302,否则执行步骤S309。
步骤S302:判断是否为第一CAN收发器40有故障,如果是则执行步骤S303,否则执行步骤S305。
步骤S303:禁止第一CAN收发器40。
步骤S304:处理器30控制系统进入仅第二CAN收发器41有效模式,并报告第一CAN收发器40故障。
步骤S305:判断是否为第二CAN收发器41有故障,如果是则执行步骤S306,否则执行步骤S308。
步骤S306:禁止第二CAN收发器41。
步骤S307:处理器30控制系统进入仅第一CAN收发器40有效模式,并报告第二CAN收发器41故障。
步骤S308:控制处理器30(即MCU)复位。
步骤S309:处理器30通过第一CAN收发器40发送CAN信号(第一CAN信号)。
步骤S310:处理器30通过第二CAN收发器41读回信号,也就是说,在该实例中,第一CAN收发器40的输出端与第二CAN收发器41的输入端相连,这样,第二CAN收发器41可将来自第一CAN收发器40发送的CAN信号(第一反馈信号)发送给处理器30。
步骤S311:处理器30通过第二CAN收发器41发送CAN信号(第二CAN信号)。
步骤S312:处理器30通过第一CAN收发器40读回信号,也就是说,在该实例中,第二CAN收发器41的输出端与第一CAN收发器40的输入端相连,这样,第一CAN收发器40可将来自第二CAN收发器41发送的CAN信号(第二反馈信号)发送给处理器30。
步骤S313:处理器30判断第一反馈信号和第二反馈信号是否相等,如果相等则执行步骤S314,否则控制第一处理器核31和第二处理器核32重新发送第一CAN信号和第二CAN信号。
步骤S314:准备下一次发送数据。
结合图2所示,根据本发明一个实施例的用于汽车的控制器还包括:第一电源开关单元Sw1、第二电源开关单元Sw2、传感器11、系统安全基础芯片21和故障处理模块(图中未示出,故障处理模块例如为汽车的其它控制器)。
其中,第一电源开关单元Sw1用于接收点火信号和电源供电信号,以及接收来自于处理器30的电源保持信号,并在闭合时通过电源BAT对控制器系统供电组20和系统安全基础芯片21供电。即第一电源开关单元Sw1为控制器板上电源开关单元,接收IGN信号(通常为点火信号)和蓄电池供电信号(电源供电信号),以及接收来自处理器30的电源保持信号,输出给控制器系统供电组20和系统安全基础芯片21供电。其第一电源开关单元Sw1实现方式可以为采用三极管或场效应管基本电路组合实现。
第二电源开关单元Sw2由处理器30控制以在断开时切断其对传感器11供电。即第二电源开关单元Sw2为传感器供电电源部分开关,受处理器30控制,可切断它停止给传感器11的冗余供电,从而节省电源。其第二电源开关单元Sw2实现方式可以采用场效应管或模拟开关基本电路实现。
传感器11由系统安全基础芯片21和第二电源开关单元Sw2供电。其中,传感器11为传感器组,采用冗余供电方式,一部分供电来自系统安全基础芯片21(SBC),另一部来自第二电源开关单元Sw2闭合时的输出。
系统安全基础芯片21用于为处理器30和传感器11供电,并通过SPI接口与处理器30通讯,并在判断通讯失效时对处理器30进行复位。换言之,系统安全基础芯片21,给处理器30和传感器11供电,同时与处理器30存在SPI通讯问答(Q uestion-Answer)关系,当问答失效时可复位处理器30,其失效输出和处理器的失效输出提供给监测模块SW3。其系统安全基础芯片21实现方式如MC33709,TPS65381芯片结合基本电路实现。
故障处理模块用于在系统安全基础芯片21和处理器30发生通讯失效时,对来自系统安全基础芯片21的失效信号和来自处理器30的失效信号进行分析和处理。例如监测模块SW3对接收到系统安全基础芯片21和/或处理器30单元的故障有效信号进行某种处理,然后反馈给故障处理模块(如汽车的其它控制器),当汽车的其它控制器监测到该信号后,根据该信号进行控制,从而降低和消除由系统安全基础芯片21和处理器30失效带来的风险。
控制器系统供电组20对第一CAN收发器40、第二CAN收发器41和第二电源开关单元Sw2进行供电。在该示例中,第一CAN收发器40和第二CAN收发器41均为对CAN信号可进行收取和发送的CAN收发器。实现方式可以采用TJA1043基本电路实现。
再次结合图2,根据本发明一个实施例的用于汽车的控制器还包括:负载14、负载驱动单元50和负载状态反馈单元51。
其中,负载驱动单元50可驱动负载14运行,用于接收来自处理器30的驱动信号,并向处理器30发送故障反馈信息,以使处理器30对负载驱动单元50进行监测和控制。即负载驱动单元50可接收处理器30的驱动信号,并给出故障反馈信息。其实现方式可以采用BTS6163D的基本电路实现。
负载状态反馈单元51与负载14相连,用于接收负载信号,并将负载信号反馈给处理器30,以便处理器30对负载14进行监测和控制。也就是说,负载状态反馈单元51接收负载信号,并向处理器30进行反馈。其实现方式可以采用电阻电容组合电路(分压和滤波)实现。
再次结合图2,在本发明的一个实施例中,该用于汽车的控制器还可包括:电源防护单元10。电源防护单元10设置在电源BAT和第一电源开关单元Sw1之间,以对第一电源开关单元Sw1进行过压保护。
如图4所示,根据本发明一个实施例的用于汽车的控制器的工作流程图。具体包括如下步骤:
步骤S401:判断IGN(即车辆的点火信号)是否有效,如果是则执行步骤S403,否则执行步骤S402。
步骤S402:结束。
步骤S403:判断第一电源开关单元Sw1输出是否有效,如果是则执行步骤S404。
步骤S404:控制器系统供电组20和系统安全基础芯片21上电。
步骤S405:判断系统安全基础芯片21是否存在故障,如果是则执行步骤S414,否则执行步骤S406。
步骤S406:处理器30、第一CAN收发器40和第二CAN收发器41上电。
步骤S407:判断处理器30是否存在故障,如果是则执行步骤S414,否则执行步骤S408。
步骤S408:处理器30工作,输出上电保持信号给第一电源开关单元Sw1,维持控制器持续上电。
步骤S409:处理器正常工作。
步骤S410:判断系统安全基础芯片21是否存在故障,如果是则执行步骤S414,否则执行步骤S411。
步骤S411:判断处理器30是否存在故障,如果是则执行步骤S414,否则执行步骤S412。
步骤S412:判断IGN是否有效,如果是则执行步骤S414,否则执行步骤S413。
步骤S413:下电处理,处理器禁止上电保持信号,并结束。
步骤S414:监测模块Sw3动作。
步骤S415:通过其它处理器进行危害降低、消除,并控制本发明实施例的控制器进入安全状态。
根据本发明实施例的用于汽车的控制器,采用双核锁步MCU处理器芯片,该芯片至少具有2个CAN模块;CAN总线故障相互监测:MCU通道1发出的数据经外部线路被MCU通道2监测到,MCU通道2发出的数据经外部线路被MCU通道1监测到;负载故障处理方式,执行故障和负载状态均反馈给MCU。
本发明实施例的用于汽车的控制器具有如下优点:
(1)控制器系统采用了LOCKSTEP(双核异步)处理器,由于在芯片设计时,双核的物理结构不尽相同(同样的逻辑可以由不同的组合电路去实现),安装位置为异构,最大限度的消除了双核同集成于一个DIE上的共因失效,同时,由于系统安全基础芯片对处理器进行不断的问答处理,进一步降低了处理器时钟和供电的共因失效,提高了系统可靠性。
(2)当处理器内部任一处理器核发生瞬时故障,由于双核执行结果进行了比较,比较本身由硬件实现,能很快发现故障,具备较少的故障容忍时间。
(3)由于处理器内部采用了双CPU备份处理,同时,第一CAN收发器和第二CAN收发器也互为备份,当任一处瞬时故障出现时,均能及时发现和处理,因此,本发明方案对CAN通讯和处理器的瞬时故障不敏感。
(4)该控制器虽然采用了双核处理器芯片,但由于每一核运行的程序相同,因此相比传统的双芯片方案,本发明实现只需要熟悉一款处理器,并且软件不需要对处理器内部硬件的瞬时故障进行考虑(硬件自身会比较出结果),降低了软件开发难度。
(5)由于每个局域网的软件相同,虽然有两个CAN网络,但CAN总线网络可采用同一个协议,降低了系统实现难度。
(6)由于对执行单元和负载单元均进行了故障诊断和状态反馈,对负载故障有好的监测度,据此进行针对性处理,有效降低系统失效风险。
(7)由于控制器仅采用了一个主芯片MCU,与双芯片处理器系统相比,本发明的控制器系统具有较低的成本。
综上所述,本发明实施例的用于汽车的控制器架构简单,安全反应迅速,成本低,适合安全控制领域的应用。
本发明的进一步实施例提出了一种汽车,包括:上述实施例所述的用于汽车的控制器。根据本发明实施例的汽车,具有架构简单,安全反应迅速,成本低的优点。
图5是根据本发明一个实施例的用于汽车的控制器的监测方法流程图。如图5所示,根据本发明一个实施例的用于汽车的控制器的监测方法,包括如下步骤:
步骤S501:在控制器运行时,判断第一CAN收发器和第二CAN收发器是否有故障。
步骤S502:如果有,则进一步判断是否为第一CAN收发器有故障。
步骤S503:如果第一CAN收发器有故障,则禁止第一CAN收发器并控制系统进入仅第二CAN收发器有效模式。即停用第一CAN收发器而仅使用第二CAN收发器收发CAN数据等。
步骤S504:如果第二CAN收发器有故障,则禁止第二CAN收发器并控制系统进入仅第一CAN收发器有效模式。即停用第二CAN收发器而仅使用第一CAN收发器收发CAN数据等。
在本发明的一个实施例中,在判断第一CAN收发器和第二CAN收发器是否有故障之后,还包括:
1、如果判断第一CAN收发器和第二CAN收发器均没有故障,则进一步判断处理器是否存在故障。
2、如果有,则控制处理器复位。即如果为处理器故障,则对处理器进行复位,如断电再启动。
进一步而言,还包括:
3、如果判断处理器不存在故障,则处理器通过第一CAN收发器发送第一CAN信号和第二CAN收发器发送第二CAN信号且处理器通过第二CAN收发器读回第一反馈信号和通过第一CAN收发器读回第二反馈信号。
4、处理器判断第一反馈信号和第二反馈信号是否相等,如果相等则判断处理器正常,否则控制第一处理器核和第二处理器核重新发送第一CAN信号和第二CAN信号。
具体而言,结合图3所示,其控制器30对第一CAN收发器40和第二CAN收发器41进行监测的步骤包括:
步骤S301:判断第一CAN收发器40和第二CAN收发器41是否有故障,如果有,则执行步骤S302,否则执行步骤S309。
步骤S302:判断是否为第一CAN收发器40有故障,如果是则执行步骤S303,否则执行步骤S305。
步骤S303:禁止第一CAN收发器40。
步骤S304:处理器30控制系统进入仅第二CAN收发器41有效模式,并报告第一CAN收发器40故障。
步骤S305:判断是否为第二CAN收发器41有故障,如果是则执行步骤S306,否则执行步骤S308。
步骤S306:禁止第二CAN收发器41。
步骤S307:处理器30控制系统进入仅第一CAN收发器40有效模式,并报告第二CAN收发器41故障。
步骤S308:控制处理器30(即MCU)复位。
步骤S309:处理器30通过第一CAN收发器40发送CAN信号(第一CAN信号)。
步骤S310:处理器30通过第二CAN收发器41读回信号,也就是说,在该实例中,第一CAN收发器40的输出端与第二CAN收发器41的输入端相连,这样,第二CAN收发器41可将来自第一CAN收发器40发送的CAN信号(第一反馈信号)发送给处理器30。
步骤S311:处理器30通过第二CAN收发器41发送CAN信号(第二CAN信号)。
步骤S312:处理器30通过第一CAN收发器40读回信号,也就是说,在该实例中,第二CAN收发器41的输出端与第一CAN收发器40的输入端相连,这样,第一CAN收发器40可将来自第二CAN收发器41发送的CAN信号(第二反馈信号)发送给处理器30。
步骤S313:处理器30判断第一反馈信号和第二反馈信号是否相等,如果相等则执行步骤S314,否则控制第一处理器核31和第二处理器核32重新发送第一CAN信号和第二CAN信号。
步骤S314:准备下一次发送数据。
根据本发明实施例的用于汽车的控制器的监测方法,可迅速地判断出是第一CAN收发器故障还是第二CAN收发器故障,从而保证了汽车的控制器的安全、可靠。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同限定。
Claims (10)
1.一种用于汽车的控制器,其特征在于,包括:第一CAN收发器、第二CAN收发器和处理器,所述处理器包括第一处理器核和第二处理器核且所述第一处理器核和所述第二处理器核运行有相同的处理程序,其中,
所述第一CAN收发器用于接收来自所述第一处理器核发送的第一CAN信号,并向所述处理器发送第一反馈信号,所述第二CAN收发器用于接收来自所述第二处理器核发送的第二CAN信号,并向所述处理器发送第二反馈信号;
所述处理器的第一处理器核用于生成所述第一CAN信号,所述第二处理器核用于生成所述第二CAN信号,所述处理器根据所述第一CAN信号和所述第一反馈信号判断所述第一CAN收发器是否存在故障,且根据所述第二CAN信号和所述第二反馈信号判断所述第二CAN收发器是否存在故障,并在判断所述第一CAN收发器或所述第二CAN收发器存在故障时,控制存在故障的第一CAN收发器或所述第二CAN收发器停止发送CAN信号。
2.根据权利要求1所述的用于汽车的控制器,其特征在于,所述处理器在判断所述第一CAN收发器和所述第二CAN收发器均不存在故障之后,
还用于比较所述第一反馈信号和第二反馈信号,并在所述第一反馈信号和所述第二反馈信号不同时,分别控制所述第一处理器核和所述第二处理器核重新发送所述第一CAN信号和所述第二CAN信号。
3.根据权利要求1所述的用于汽车的控制器,其特征在于,还包括:
第一电源开关单元、第二电源开关单元、传感器、系统安全基础芯片和故障处理模块,其中,
所述第一电源开关单元用于接收点火信号和电源供电信号,以及接收来自于所述处理器的电源保持信号,并在闭合时通过电源对控制器系统供电组和系统安全基础芯片供电;
所述第二电源开关单元由所述处理器控制以在断开时切断其对传感器供电;
所述传感器由所述系统安全基础芯片和所述第二电源开关单元供电;
所述系统安全基础芯片用于为所述处理器和所述传感器供电,并通过SPI接口与所述处理器通讯,并在判断通讯失效时对所述处理器进行复位;
所述故障处理模块用于在所述系统安全基础芯片和所述处理器发生通讯失效时,对来自所述系统安全基础芯片的失效信号和来自所述处理器的失效信号进行分析和处理。
4.根据权利要求3所述的用于汽车的控制器,其特征在于,还包括:
负载;
用于驱动负载运行的负载驱动单元,用于接收来自所述处理器的驱动信号,并向所述处理器发送故障反馈信息,以使所述处理器对所述负载驱动单元进行监测和控制;
与所述负载相连的负载状态反馈单元,用于接收负载信号,并将所述负载信号反馈给所述处理器,以便所述处理器对所述负载进行监测和控制。
5.根据权利要求3所述的用于汽车的控制器,其特征在于,还包括:
电源防护单元,所述电源防护单元设置在电源和所述第一电源开关单元之间,以对所述第一电源开关单元进行过压保护。
6.根据权利要求1所述的用于汽车的控制器,其特征在于,所述处理器为异步双核处理器。
7.一种汽车,其特征在于,包括:如权利要求1-6任一项所述的用于汽车的控制器。
8.一种如权利要求1-6任一项所述的用于汽车的控制器的监测方法,其特征在于,包括以下步骤:
在控制器运行时,判断第一CAN收发器和第二CAN收发器是否有故障;
如果有,则进一步判断是否为第一CAN收发器有故障;
如果所述第一CAN收发器有故障,则禁止所述第一CAN收发器并控制系统进入仅第二CAN收发器有效模式;以及
如果所述第二CAN收发器有故障,则禁止所述第二CAN收发器并控制系统进入仅第一CAN收发器有效模式。
9.根据权利要求8所述的监测方法,其特征在于,在判断第一CAN收发器和第二CAN收发器是否有故障之后,还包括:如果判断所述第一CAN收发器和所述第二CAN收发器均没有故障,则进一步判断处理器是否存在故障;如果有,则控制所述处理器复位。
10.根据权利要求8所述的监测方法,其特征在于,还包括:
如果判断所述处理器不存在故障,则所述处理器通过第一CAN收发器发送第一CAN信号和所述第二CAN收发器发送第二CAN信号且所述处理器通过第二CAN收发器读回第一反馈信号和通过所述第一CAN收发器读回所述第二反馈信号;
所述处理器判断所述第一反馈信号和第二反馈信号是否相等,如果相等则判断所述处理器正常,否则控制所述第一处理器核和第二处理器核重新发送所述第一CAN信号和第二CAN信号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310389650.5A CN104423374B (zh) | 2013-08-30 | 2013-08-30 | 用于汽车的控制器及具有其的汽车、监测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310389650.5A CN104423374B (zh) | 2013-08-30 | 2013-08-30 | 用于汽车的控制器及具有其的汽车、监测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104423374A true CN104423374A (zh) | 2015-03-18 |
| CN104423374B CN104423374B (zh) | 2017-06-06 |
Family
ID=52972701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310389650.5A Active CN104423374B (zh) | 2013-08-30 | 2013-08-30 | 用于汽车的控制器及具有其的汽车、监测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104423374B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108803399A (zh) * | 2017-05-02 | 2018-11-13 | 联合汽车电子有限公司 | 车辆控制器及其控制方法 |
| CN110379040A (zh) * | 2019-07-12 | 2019-10-25 | 北京三快在线科技有限公司 | 一种汽车黑匣子系统及其数据获取方法 |
| CN111497762A (zh) * | 2020-04-09 | 2020-08-07 | 东风汽车集团有限公司 | 一种用于汽车电子控制器的双cpu控制系统及控制方法 |
| CN112648084A (zh) * | 2020-12-11 | 2021-04-13 | 江苏大学 | 一种基于功能安全的双燃料发动机控制器 |
| CN113126586A (zh) * | 2019-12-30 | 2021-07-16 | 日立汽车系统(苏州)有限公司 | 唤醒诊断装置及唤醒诊断方法 |
| CN113848859A (zh) * | 2021-09-28 | 2021-12-28 | 智新控制系统有限公司 | 一种can通信方法与系统 |
| CN114326371A (zh) * | 2022-03-16 | 2022-04-12 | 天津德科智控股份有限公司 | 一种eps系统mcu片间冗余通信的方法 |
| CN114679374A (zh) * | 2020-12-24 | 2022-06-28 | 上海汽车集团股份有限公司 | 一种重置控制方法、装置及电子设备 |
| CN116643935A (zh) * | 2023-07-21 | 2023-08-25 | 天津国芯科技有限公司 | 一种可配置延迟时间的双核锁步芯片 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101339432A (zh) * | 2008-08-19 | 2009-01-07 | 上海汽车集团股份有限公司 | 一种整车控制器监控系统及其实现方法 |
| CN201262707Y (zh) * | 2008-08-19 | 2009-06-24 | 上海汽车集团股份有限公司 | 一种整车控制器监控系统 |
| US20100117788A1 (en) * | 2007-04-26 | 2010-05-13 | Freescale Semiconductor, Inc. | Diagnosis for mixed signal device for use in a distributed system |
| CN102087621A (zh) * | 2009-12-04 | 2011-06-08 | 北京广利核系统工程有限公司 | 一种具有自诊断功能的处理器装置 |
-
2013
- 2013-08-30 CN CN201310389650.5A patent/CN104423374B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100117788A1 (en) * | 2007-04-26 | 2010-05-13 | Freescale Semiconductor, Inc. | Diagnosis for mixed signal device for use in a distributed system |
| CN101339432A (zh) * | 2008-08-19 | 2009-01-07 | 上海汽车集团股份有限公司 | 一种整车控制器监控系统及其实现方法 |
| CN201262707Y (zh) * | 2008-08-19 | 2009-06-24 | 上海汽车集团股份有限公司 | 一种整车控制器监控系统 |
| CN102087621A (zh) * | 2009-12-04 | 2011-06-08 | 北京广利核系统工程有限公司 | 一种具有自诊断功能的处理器装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108803399B (zh) * | 2017-05-02 | 2024-03-19 | 联合汽车电子有限公司 | 车辆控制器及其控制方法 |
| CN108803399A (zh) * | 2017-05-02 | 2018-11-13 | 联合汽车电子有限公司 | 车辆控制器及其控制方法 |
| CN110379040A (zh) * | 2019-07-12 | 2019-10-25 | 北京三快在线科技有限公司 | 一种汽车黑匣子系统及其数据获取方法 |
| CN110379040B (zh) * | 2019-07-12 | 2021-10-08 | 北京三快在线科技有限公司 | 一种汽车黑匣子系统及其数据获取方法 |
| CN113126586A (zh) * | 2019-12-30 | 2021-07-16 | 日立汽车系统(苏州)有限公司 | 唤醒诊断装置及唤醒诊断方法 |
| CN111497762A (zh) * | 2020-04-09 | 2020-08-07 | 东风汽车集团有限公司 | 一种用于汽车电子控制器的双cpu控制系统及控制方法 |
| CN111497762B (zh) * | 2020-04-09 | 2021-08-06 | 东风汽车集团有限公司 | 一种用于汽车电子控制器的双cpu控制系统及控制方法 |
| CN112648084A (zh) * | 2020-12-11 | 2021-04-13 | 江苏大学 | 一种基于功能安全的双燃料发动机控制器 |
| CN112648084B (zh) * | 2020-12-11 | 2023-02-17 | 江苏大学 | 一种基于功能安全的双燃料发动机控制器 |
| CN114679374A (zh) * | 2020-12-24 | 2022-06-28 | 上海汽车集团股份有限公司 | 一种重置控制方法、装置及电子设备 |
| CN113848859B (zh) * | 2021-09-28 | 2023-08-04 | 智新控制系统有限公司 | 一种can通信方法与系统 |
| CN113848859A (zh) * | 2021-09-28 | 2021-12-28 | 智新控制系统有限公司 | 一种can通信方法与系统 |
| CN114326371B (zh) * | 2022-03-16 | 2022-06-14 | 天津德科智控股份有限公司 | 一种eps系统mcu片间冗余通信的方法 |
| CN114326371A (zh) * | 2022-03-16 | 2022-04-12 | 天津德科智控股份有限公司 | 一种eps系统mcu片间冗余通信的方法 |
| CN116643935A (zh) * | 2023-07-21 | 2023-08-25 | 天津国芯科技有限公司 | 一种可配置延迟时间的双核锁步芯片 |
| CN116643935B (zh) * | 2023-07-21 | 2023-09-26 | 天津国芯科技有限公司 | 一种可配置延迟时间的双核锁步芯片 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104423374B (zh) | 2017-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104423374A (zh) | 用于汽车的控制器及具有其的汽车、监测方法 | |
| US8996927B2 (en) | Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer | |
| US20120065823A1 (en) | Electronic control unit for vehicles | |
| CN109888864B (zh) | 电池管理系统 | |
| CN107065830A (zh) | 一种基于仲裁方式的双冗余热备份系统 | |
| CN103149907A (zh) | 基于双dsp的热冗余can总线高容错性控制终端及容错控制方法 | |
| CN109747480B (zh) | 一种多安全模式的电池管理系统及其设计方法 | |
| CN203490495U (zh) | 汽车的控制系统及具有其的汽车 | |
| CN105242608A (zh) | 整车控制器及其控制方法 | |
| CN112099412B (zh) | 一种微控制单元的安全冗余架构 | |
| CN107433977B (zh) | 具有看门狗监控功能的电动助力转向系统及其控制方法 | |
| CN111497762A (zh) | 一种用于汽车电子控制器的双cpu控制系统及控制方法 | |
| JP6983991B2 (ja) | 電池制御装置 | |
| CN107428297A (zh) | 车辆用控制装置及其控制方法 | |
| CN104832563A (zh) | 双离合器电控装置 | |
| CN206133294U (zh) | 一种控制器故障保护系统 | |
| CN104608711A (zh) | 一种车辆控制器电源电路拓扑结构及电源管理方法 | |
| JP2011093389A (ja) | 制御システム、電子装置、制御装置及び装置起動方法 | |
| CN104361652A (zh) | 一种列车网络控制及监控系统的数据记录装置 | |
| CN203224778U (zh) | 电动车用高安全性能ecu架构 | |
| CN203097556U (zh) | 一种站台边门控制器 | |
| KR20100115965A (ko) | 차량용 자기진단 제어 시스템 | |
| CN105774590B (zh) | 电池管理系统和电动车 | |
| CN210155547U (zh) | 用于主动式电子制动系统的控制器的安全控制电路 | |
| CN114184992A (zh) | 用于验证电源监测的方法、装置和计算机程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180416 Address after: No. 188, Miyun District, Miyun District, Beijing, Beijing Patentee after: Beijing treasure Car Co.,Ltd. Address before: 102206 Changping District City, Shahe, Sha Yang Road, Beijing Patentee before: BEIQI FOTON MOTOR Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP03 | Change of name, title or address |
Address after: No. 188, Miyun District, Miyun District, Beijing, Beijing Patentee after: Beijing baowo Automobile Co.,Ltd. Guo jiahuodiqu after: Zhong Guo Address before: No. 188, Miyun District, Miyun District, Beijing, Beijing Patentee before: Beijing treasure Car Co.,Ltd. Guo jiahuodiqu before: Zhong Guo |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240226 Address after: 102206, Beijing, Shahe, Changping District Town, Sha Yang Road, Lao Wan Village North Patentee after: BEIQI FOTON MOTOR Co.,Ltd. Guo jiahuodiqu after: Zhong Guo Address before: No. 188, Miyun District, Miyun District, Beijing, Beijing Patentee before: Beijing baowo Automobile Co.,Ltd. Guo jiahuodiqu before: Zhong Guo |
|
| TR01 | Transfer of patent right |