CN109696903B - 一种用于汽车控制器的功能安全电路 - Google Patents
一种用于汽车控制器的功能安全电路 Download PDFInfo
- Publication number
- CN109696903B CN109696903B CN201811513021.8A CN201811513021A CN109696903B CN 109696903 B CN109696903 B CN 109696903B CN 201811513021 A CN201811513021 A CN 201811513021A CN 109696903 B CN109696903 B CN 109696903B
- Authority
- CN
- China
- Prior art keywords
- output
- circuit
- module
- signal
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0221—Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Emergency Protection Circuit Devices (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种用于汽车控制器的功能安全电路。它实时监测输入电压、输出电压和喂狗信号,当输入电压、输出电压和喂狗信号均正常时通过MCU模块控制输出驱动控制模块驱动负载工作;当输入电压或输出电压或喂狗信号异常时通过跛行检测控制模块控制输出驱动控制模块驱动负载工作。本发明功能安全电路在系统电源和单片机均正常时,采用正常工作模式驱动负载工作;当车辆控制系统的主电源或单片机出现故障时,启动备用电源、备用电路和跛行电路,采用跛行工作模式驱动负载工作,确保了汽车的正常工作,保障了人车安全,能够满足ISO26262的功能安全要求,具有通用性强、可靠性强、静功耗低、成本低的优点。
Description
技术领域
本发明属于汽车控制功能安全技术领域,具体涉及一种用于汽车控制器的功能安全电路。
背景技术
随着汽车电控系统复杂度地提高,来自系统失效和随机硬件失效的风险也日益增加,汽车电子产品的安全性能也变得非常重要。国际标准化组织在2011年11月正式颁布了汽车功能安全标准ISO26262,汽车功能安全是避免由系统功能性故障导致的不可接受的风险,它根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级,每个等级都有相应的定义和要求,其中D级要求最为苛刻。为了满足等级要求,可以选用相应等级的器件,但是价格高昂,而且还不一定有,也可以采用冗余措施和故障自恢复措施来降低器件的等级要求,此方法在行业内较为常见。采用冗余措施(即设计多套相同设备作为备用)和故障自恢复措施的方式很多,但它们有共同的缺点:通用性差、性能低、静功耗大、成本高和写入程序不方便等。
发明内容
本发明的目的就是为了解决上述背景技术存在的不足,提供一种高性能的、低静功耗的和低成本的用于汽车控制器的功能安全电路。
本发明采用的技术方案是:一种用于汽车控制器的功能安全电路,包括
复位与看门狗可控模块,用于向MCU模块和输出驱动控制模块供电,用于在输入电压、输出电压及喂狗信号正常时输出第一复合复位信号至跛行检测控制模块和MCU模块,用于在输入电压或输出电压或喂狗信号异常时输出第二复合复位信号至跛行检测控制模块和MCU模块;
跛行检测控制模块,用于在接收到第一复合复位信号时输出无效信号,用于在接收到第二复合复位信号时向输出驱动控制模块供电、输出跛行状态信号至MCU模块和输出驱动控制模块;
MCU模块,用于定时向复位与看门狗可控模块输出喂狗信号,用于在接收到第一复合复位信号时输出驱动控制信号至输出驱动控制模块,用于在接收到第二复合复位信号或跛行状态信号时输出无效信号;
输出驱动控制模块,用于根据接收的驱动控制信号或跛行状态信号驱动负载工作。
进一步地,所述复位与看门狗可控模块包括第一稳压芯片、电阻R1、电阻R2、电阻R3和电阻R4,所述第一稳压芯片的喂狗信号输入端连接电阻R1一端,电阻R1另一端连接MCU模块的喂狗信号输出端,所述第一稳压芯片的电源输出端连接MCU模块的电源输入端和输出驱动控制模块的电源输入端,所述MCU模块的看门狗使能信号输入端通过电阻R4接地,所述电阻R2和电阻R3串联,电阻R2另一端连接第一稳压芯片的电源输出端,电阻R3另一端接地,第一稳压芯片的复位电压输入端连接在电阻R2与电阻R3之间。
进一步地,所述跛行检测控制模块包括MOS管、输入电压滤波电路、输出电压滤波电路和跛行状态信号滤波电路,所述MOS管的栅极通过电阻R10连接复位与看门狗可控模块的复合复位信号输出端,MOS管的源极连接输入电源,MOS管的漏极连接输出驱动控制模块的电源输入端,MOS管的漏极还通过跛行状态信号滤波电路连接MCU模块和输出驱动控制模块的跛行状态信号输入端,所述输入电压滤波电路连接在MOS管的栅极与源极之间,所述输出电压滤波电路一端连接MOS管的漏极、另一端接地。
进一步地,所述输出驱动控制模块包括
第一驱动模块,用于根据接收驱动控制信号驱动负载工作;
第二驱动模块,用于根据接收驱动控制信号或跛行状态信号驱动负载工作;
第三驱动模块,用于根据接收跛行状态信号驱动负载工作。
进一步地,还包括复合电源电路,所述复合电源电路用于对输入的两路电源进行预处理,所述复合电源电路的两个输入端分别连接复位与看门狗可控模块的电源输出端和跛行检测控制模块的电源输出端,复合电源电路的输出端连接输出驱动控制模块的电源输入端。
进一步地,所述复合电源电路包括二极管D5、二极管D6和输出滤波电路,所述二极管D5阳极连接复位与看门狗可控模块的电源输出端、阴极作为复合电源电路的输出端,所述二极管D6阳极连接跛行检测控制模块的电源输出端、阴极作为复合电源电路的输出端,所述输出滤波电路一端连接二极管D5阴极、另一端接地。
进一步地,还包括输入电源的预处理电路,所述预处理电路包括反接浪涌保护电路和电源滤波电路,所述反接浪涌保护电路的输入端连接输入电源、输出端连接复位与看门狗可控模块的电源输入端,所述电源滤波电路一端连接反接浪涌保护电路的输出端、另一端接地。
进一步地,还包括稳压滤波电路,所述稳压滤波电路包括第二稳压芯片,所述第二稳压芯片的输入端连接输入电源、输出端连接跛行检测控制模块的电源输入端,所述第二稳压芯片的输入端连接有多个并联的接地电容,第二稳压芯片的输出端连接有多个并联的接地电容。
更进一步地,还包括程序写入模块,所述程序写入模块包括看门狗禁止电路和程序写入设备,所述程序写入设备用于对MCU模块写入程序,所述看门狗禁止电路用于在程序写入设备写入程序时禁止复位与看门狗可控模块的看门狗电路。
一种用于汽车控制器的功能安全控制方法,实时监测输入电压、输出电压和喂狗信号,当输入电压、输出电压和喂狗信号均正常时通过MCU模块控制输出驱动控制模块驱动负载工作;当输入电压或输出电压或喂狗信号异常时通过跛行检测控制模块控制输出驱动控制模块驱动负载工作。
本发明功能安全电路在系统电源和单片机均正常时,采用正常工作模式驱动负载工作;当车辆控制系统的主电源或单片机出现故障时,启动备用电源、备用电路和跛行电路,采用跛行工作模式驱动负载工作,确保了汽车的正常工作,保障了人车安全,满足了ISO26262的功能安全要求,具有通用性强、可靠性强、静功耗低、成本低的优点;当写入程序时,可以自动地或者很容易地关闭看门狗电路,减少了人工干预可能对控制器造成的损坏,当系统进入休眠时,自动关闭看门电路,减少控制器的静电流。
附图说明
图1为本发明的系统结构框图。
图2为本发明预处理电路和复位与看门狗可控模块的电路原理图。
图3为本发明稳压滤波电路和跛行检测控制模块的电路原理图。
图4为本发明复合电源电路的电路原理图。
图5为本发明程序写入模块的一种原理图。
图6为本发明程序写入模块的另一种原理图。
具体实施方式
为了使本发明的用途、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图1-4所示,本发明一种用于汽车控制器的功能安全电路,采用了三种信号电路的供电电源,分别是正常情况下的电路供电电源(VDD_+5V)、异常情况下的电路供电电源(LimpHome_+5V)和VDD_+5V与LimpHome_+5V线或后形成的一个复合电源(V_+5V)。为了方便写入程序,使用了程序写入模块,包括三种程序写入设备及对应的看门狗禁止电路,三种设备分别是ICT设备(一种自动在线测试设备)、Multilink设备(一种程序写入和调试设备),IC5000(一种程序写入、调试和仿真设备)。包含三种输出驱动控制电路,它们分别是带有跛行控制的输出驱动电路(Device with LH)、跛行输出驱动电路(Device only LH)和正常输出驱动电路(Device)。包含一种单片机(uC)电路,它使用VDD_+5V电源,具有监控跛行状态信号(LHI)、“喂狗”和输出控制信号等功能。包含一种跛行检测控制电路(Limphome检测及控制电路),在看门狗使能的状态下,它可以检测看门狗电路的输出,并控制LimpHome_+5V和LHI的输出。
VDD_+5V电源电路具有异常复位和看门狗监控功能,当VDD_+5V电源异常或看门狗输出异常时,可以控制单片机自动复位,试图使VDD_+5V电源和看门狗输出恢复到正常工作状态。当看门狗电路使能时,如果单片机软件跑飞、单片机硬件损坏或者VDD_+5V输出异常,看门狗电路就输出PWM信号或低电平,Limphome检测及控制电路在检测识别后,就开启LimpHome_+5V电源,并使LHI输出有效,进入跛行控制模式,在跛行控制模式,带有跛行控制的输出驱动电路进入跛行控制状态,跛行输出驱动电路进入工作状态,正常输出驱动电路退出工作状态。当VDD_+5V电源和看门狗输出正常,或者VDD_+5V电源和看门狗输出恢复正常时,进入正常工作模式,在正常工作模式,带有跛行控制的输出驱动电路进入正常控制状态,跛行输出驱动电路退出工作状态,正常输出驱动电路进入工作状态。
根据上述的技术方案,本发明各模块的功能如下:
输入电源的预处理电路1,用于对输入电源进行防护和前级滤波处理后输出给复位与看门狗可控模块2,增加电路可靠性。
复位与看门狗可控模块2,用于向MCU模块6和输出驱动控制模块4供电,用于在输入电压、输出电压及喂狗信号正常时输出第一复合复位信号(即高电平)至跛行检测控制模块4和MCU模块6,用于在输入电压或输出电压或喂狗信号异常时输出第二复合复位信号(即低电平或PWM信号)至跛行检测控制模块4和MCU模块6。
稳压滤波电路3,用于对输入电源进行稳压、滤波处理后输出给跛行检测控制模块,增加电路可靠性。
跛行检测控制模块4,用于在接收到第一复合复位信号时输出无效信号,用于在接收到第二复合复位信号时向输出驱动控制模块供电、输出跛行状态信号至MCU模块和输出驱动控制模块。
复合电源电路5,用于对复位与看门狗可控模块和跛行检测控制模块输出的两路电源进行预处理后输出给输出驱动控制模块,防止复位与看门狗可控模块和跛行检测控制模块给输出驱动控制模块供电时出现短路等故障。
MCU模块6,用于定时向复位与看门狗可控模块输出喂狗信号,用于在接收到第一复合复位信号时输出驱动控制信号至输出驱动控制模块,用于在接收到第二复合复位信号或跛行状态信号时输出无效信号,即不再控制输出驱动控制模块;
输出驱动控制模块,用于根据接收的驱动控制信号或跛行状态信号驱动负载工作。输出驱动控制模块包括第一驱动模块9、第二驱动模块8和第三驱动模块7,上述复位与看门狗可控模块为第一驱动模块供电,第一驱动模块用于根据接收驱动控制信号驱动负载工作;复合电源电路为第二驱动模块供电,第二驱动模块用于根据接收驱动控制信号或跛行状态信号驱动负载工作;跛行检测控制模块为第三驱动模块供电,第三驱动模块用于根据接收跛行状态信号驱动负载工作。
程序写入模块包括看门狗禁止电路和程序写入设备,所述程序写入设备用于对MCU模块写入程序,所述看门狗禁止电路用于在程序写入设备写入程序时禁止复位与看门狗可控模块的看门狗电路。
本发明各模块具体电路及性能参数的实现方式如下:
预处理电路1包括反接浪涌保护电路和电源滤波电路,所述反接浪涌保护电路的输入端连接输入电源KL30(蓄电池常电,一般为+12V)、输出端连接复位与看门狗可控模块的电源输入端,所述电源滤波电路一端连接反接浪涌保护电路的输出端、另一端接地。反接浪涌保护电路包括反接保护、脉冲防护、ESD保护,防反电路采用耐压200V、载流2A的快返二极管D1,并联耐压200V、容量100pF的电容C1以防浪涌冲击,用27V、5kW的TVS D2作ESD防护和脉冲防护,用35V的100uF电容C2、10uF电容C3和100nF的电容C4并联作输入电源滤波,反接电压至少为24V,脉冲保护满足ISO7637标准,ESD保护达到GB/T19951的±25KV等级,前级滤波电路的滤波频率范围为100Hz~16MHz。
复位与看门狗可控模块2包括第一稳压芯片U1、电阻R1、电阻R2、电阻R3和电阻R4,第一稳压芯片的电源输入端连接预处理电路的输出端,所述第一稳压芯片的喂狗信号输入端连接电阻R1一端,电阻R1另一端连接MCU模块的喂狗信号输出端,所述第一稳压芯片的电源输出端连接MCU模块的电源输入端和输出驱动控制模块的电源输入端,所述MCU模块的看门狗使能信号输入端通过电阻R4接地,所述电阻R2和电阻R3串联,电阻R2另一端连接第一稳压芯片的电源输出端,电阻R3另一端接地,第一稳压芯片的复位电压输入端连接在电阻R2与电阻R3之间。
第一稳压芯片U1的VDD_+5V是输出电源,WD_IN是输入的“喂狗”信号,WD_Control是输入的看门狗使能信号,RST&WD是输入的复合复位信号,稳压芯片采用输入电压范围为6V~18V、输出电压为5V、输出电流为200mA、低压差和低静功耗的LDO(型号TLE4678)。
具有电流小于阈值自动关闭看门狗的功能,且具有复位电压阈值可调、看门狗使能电流阈值可调和复位时间可调的特征。复位电压阈值取决于R2和R3的值,按图中参数设置其阀值为3.6~4.0V。使能看门狗的电流阈值取决于R4,按图中参数设置其阀值为3~4mA。将复位输出RO和看门狗输出WO连接在一起,形成复合复位信号,其复合复位信号的定时特性取决于C8的值,按图中参数设置,其复位脉冲低电平时间为18~45ms,复位脉冲高电平时间为36~45ms。为了能在看门狗电路输出复位脉冲之前“喂狗”,“喂狗”脉冲的特性要求为周期27~45ms、占空比40~60%和5V TTL电平。用16V的10uF的电容C7、10nF的电容C5和1nF的电容C6并联作电源输出滤波。当看门狗电路使能时,如果单片机软件跑飞、单片机硬件损坏或者VDD_+5V输出异常,RST&WD就输出PWM信号或持续低电平,后级滤波电路的滤波频率范围为100kHz~160MHz。
稳压滤波电路3包括第二稳压芯片U2,所述第二稳压芯片U2的输入端连接输入电源、输出端连接跛行检测控制模块的电源输入端,所述第二稳压芯片U2的输入端连接有多个并联的接地电容,第二稳压芯片的输出端连接有多个并联的接地电容。第二稳压芯片U2采用输入电压为5.5~45V、输出电压为5V和输出电流为150mA的低静功耗LDO(型号为NCV4264-2C),纹波低于200mV,低压差稳压输出,前级滤波电路的滤波频率范围为100kHz~16MHz,后级滤波电路的滤波频率范围为100kHz~50MHz,用35V 10uF的电容C21和100nF的电容C21并联作电源输入滤波,用16V 10uF的电容C11和10nF的电容C12并联作电源输出滤波,功能简单,成本低廉。
跛行检测控制模块4包括MOS管Q2、输入电压滤波电路、输出电压滤波电路和跛行状态信号滤波电路,所述MOS管Q2的栅极通过电阻R10连接复位与看门狗可控模块的复合复位信号输出端,MOS管Q2的源极连接输入电源,MOS管Q2的漏极连接输出驱动控制模块的电源输入端,MOS管Q2的漏极还通过跛行状态信号滤波电路连接MCU模块和输出驱动控制模块的跛行状态信号输入端,所述输入电压滤波电路连接在MOS管Q2的栅极与源极之间,所述输出电压滤波电路一端连接MOS管的漏极、另一端接地。
图3中,LH_+5V是输入电源,RST&WD是输入的复位复合信号,LimpHome_+5V是输出电源,LHI是输出的跛行状态信号,输入电压滤波电路中的电容C13值取22uF/16V,充电电阻R10取10kΩ,放电电阻R9取68kΩ,从PWM产生到MOS管导通的时间不超过50ms,约22ms,RST&WD输入信号允许类型为PWM信号或持续低电平、允许频率范围为10Hz~10kHz和允许占空比范围为20%~80%。P沟道MOS管型号为NVR5124PL,耐压-60V,电流为-1.1A,封装小。LimpHome_+5V的滤波电容是100nF的电容C14和1nF的电容C15并联,LHI的滤波电容是10uF的电容C19,其串联电阻R8是1kΩ。
使用P沟道MOS管作为电源开关,当RST&WD为持续高电平时,MOS管截止,LimpHome_+5V输出为0V,LHI输出0V(即上述的无效信号)。当RST&WD为低电平时,MOS管的GS为-5V,MOS管导通,LimpHome_+5V输出为5V,LHI输出5V(即上述的跛行状态信号);当RST&WD为PWM信号时,电容的充电时间常数远远小于放电时间常数,电容持续充电,电容电压就是P沟道MOS管的GS端电压,当电容电压超过了MOS管的开启电压阈值,MOS管就导通,LimpHome_+5V输出为5V,LHI输出5V(即上述的跛行状态信号)。
复合电源电路5的两个输入端分别连接复位与看门狗可控模块的电源输出端和跛行检测控制模块的电源输出端,复合电源电路的输出端连接输出驱动控制模块的电源输入端。复合电源电路具体包括二极管D5、二极管D6和输出滤波电路,所述二极管D5阳极连接复位与看门狗可控模块的电源输出端、阴极作为复合电源电路的输出端,所述二极管D6阳极连接跛行检测控制模块的电源输出端、阴极作为复合电源电路的输出端,所述输出滤波电路一端连接二极管D5阴极、另一端接地。如图4所示。VDD_+5V和LimpHome_+5V是两路输入电源,且VDD_+5V和LimpHome_+5V互不影响,V_+5V是输出电源,电流值不低于150mA,纹波值低于200mV,V_+5V的滤波电容是10uF电容C16、100nF电容C17和1nF电容C18的并联,滤波频率范围为100kHz~160MHz。
MCU模块6采用常规单片机,单片机使用复位与看门狗可控模块的VDD_+5V供电,RST&WD下降沿和低电平信号复位单片机,单片机输出PWM“喂狗”信号(WD_IN),其频率为30Hz~60Hz,占空比为50%,单片机接收跛行状态信号(LHI),单片机输出PWM控制信号、SPI控制信号或DO控制信号给第一驱动模块和第二驱动模块,驱动外部负载设备,单片机使用CAN总线通信。
第一驱动模块9为正常驱动电路,输入电源是复位与看门狗可控模块提供的VDD_+5V,此电路仅在正常模式下工作,跛行时不工作,它接收单片机的DO、PWM或SPI信号,驱动负载按相应方式工作。第一驱动模块的PWM输入和数字输入分别接收MCU模块的PWM控制信号和数字输出信号,SPI是采用全双工高速同步的通信总线,用以控制外部负载和反馈设备状态信息;PVDD是外部设备的功率电源,一般不与信号电源共用;PGND是外部设备的功率地,一般不与信号地共用,PVDD和PGND取其一。
第二驱动模块7是带有跛行控制的驱动电路,在正常模式和跛行模式都由复合电源电路提供的V_+5V供电,在正常工作模式,它接收单片机的DO、PWM或SPI信号,驱动负载按相应方式工作。在跛行工作模式,它驱动负载按跛行方式工作,以满足汽车控制器的功能安全需求。跛行工作模式优先于正常工作模式。LHI是第二驱动模块的跛行输入(LIMP),当LHI为高电平时,OUT输出有效控制信号,外部负载激活;PWM/DO是该驱动模块的PWM输入或数字输入;SPI是该驱动模块的全双工高速同步的通信总线,用以控制外部负载和反馈设备状态信息;PWM/DO/SPI是正常工作状态下的有效输入信号,LHI是跛行工作状态下的有效输入信号,LHI控制优先于PWM/DO/SPI控制;PVDD是外部设备的功率电源,一般不与信号电源共用;PGND是外部设备的功率地,一般不与信号地共用,PVDD和PGND取其一。
第三驱动模块8为跛行驱动电路,使用跛行检测控制模提供的LimpHome_+5V供电,仅在跛行模式下工作,正常时不工作。它可以和第一驱动电路驱动同一负载,也可以驱动单独负载。其LHI是设备的控制输入(DI),当LHI为高电平时,OUT输出有效控制信号,外部负载激活,外部负载可以是独立负载,也可以是和其它驱动电路共用的负载;PVDD是外部设备的功率电源,一般不与信号电源共用;PGND是外部设备的功率地,一般不与信号地共用,PVDD和PGND取其一。
程序写入模块包括三种看门狗禁止电路和三种程序写入设备,
改进的Multilink 13是一种仿真器,可以用来对MCU模块写入程序,Multilink禁止看门狗电路10用于在改进的Multilink写入程序时,使复位与看门狗可控模块的WD_Control接GND,禁止看门狗电路,避免看门狗复位造成无法写入程序。
ICT设备14是一种自动在线测试设备,可以用来对MCU模块写入程序,ICT设备禁止看门狗电路11用于在ICT设备写入程序时,使复位与看门狗可控模块的WD_Control接GND,禁止看门狗电路,避免看门狗复位造成无法写入程序。
IC5000 16是一种高级仿真设备,可以用来对MCU模块写入程序,IC5000禁止看门狗电路12用于在IC5000写入程序时,可以通过插入跳线帽,使复位与看门狗可控模块的WD_Control接GND,禁止看门狗电路,避免看门狗复位造成无法写入程序。
上述改进的Multilink 13、ICT设备14和IC5000 16与MCU模块的连接均为常规技术,故图中未显示。
如图5所示为程序写入模块的一种实施例原理图,Multilink禁止看门狗电路、ICT设备禁止看门狗电路、IC5000禁止看门狗电路为图5中虚线框外所示部分的示意图,为了防护ICT设备引入静电或脉冲干扰,在WD_Control和GND之间并10nF的电容C9和6.8V的TVS二极管D3。Multilink的第8脚原本是空脚,在此电路里第8脚与WD_Control相连,其余的按标准设计即可;ICT_program是个编程测试点,它与WD_Control相连;IC5000_program是个两脚排针,一脚与WD_Control相连,另一脚与GND相连。
采用改进的Multiink编程时,将Multiink内部的第8脚和第6脚焊在一起,插入Multilink设备时,WD_Control自动接地,禁止看门狗电路;ICT设备的第1脚短接到GND,ICT编程时,WD_Control自动接地,禁止看门狗电路,其余的按需求设计即可;当用IC5000编程时,插入跳线帽,WD_Control自动接地,禁止看门狗电路。
如图6所示为程序写入模块的另一种实施例原理图,Multilink禁止看门狗电路、ICT设备禁止看门狗电路、IC5000禁止看门狗电路为图6中虚线框外所示部分的示意图,Multilink禁止看门狗电路与上述方案实施例相同,不再赘述;“ICT设备禁止看门狗电路”和“IC5000禁止看门狗电路”共用信号处理电路,只是“KL30”引入方式不同,ICT设备是自动引入,IC5000是人工插跳线帽引入。图中,电阻R5、二极管D4和电阻R6串联后一端用于连接“KL30”、另一端连接到MOS管Q1的栅极,MOS管Q1的源极接地,MOS管Q1的漏极用于连接复位与看门狗可控模块的WD_Control端,二极管D7和电容C22一端均连接在电阻R5与电阻R6之间、另一端均接地,电阻R7和电容C10一端均连接在电阻R6与MOS管Q1的栅极之间、另一端均接地。电阻R5(510Ω)起过流防护作用,二极管D4(BAS21-03W)起防反作用,二极管D7(SZMMSZ27VT1G)起脉冲和ESD防护,电容C22(10nF)和电容C10(1nF)起滤波作用,电阻R6(10k)和电阻R7(4.7k)起分压作用,为了匹配MOS管Q1的GS电压范围,MOS管Q1(2N7002BK)起高电平转换作用,相当于非门。
采用改进的Multiink编程与上述方案实施例相同,不再赘述;ICT设备的第1脚短接到KL30,ICT编程时,禁止看门狗电路,其余的按需求设计即可;当用IC5000编程时,插入跳线帽,即可禁止看门狗电路。
本发明还提供一种用于汽车控制器的功能安全控制方法,其具体控制方式如下:
复位与看门狗可控模块实时监测输入电压、输出电压和喂狗信号,当输入电压VCC_+12、输出电压VDD_+5V和MCU模块输出的喂狗信号均当正常时,处于正常工作模式,此时复位与看门狗可控模块的RSD&WD输出持续的5V高电平信号,通过MCU模块控制第一驱动模块和/或第二驱动模块,进而驱动负载工作;当输入电压或输出电压或喂狗信号异常时,处于跛行工作模式,此时复位与看门狗可控模块的RSD&WD输出0V低电平或PWM信号至跛行检测控制模块,通过跛行检测控制模块第二驱动模块和/或第三驱动模块,进而驱动负载工作。
正常工作模式向跛行模式过渡的条件:正常工作模式的任何一个必要条件不满足。跛行模式向正常工作模式过渡的条件:正常工作模式的全部必要条件都满足。
在正常工作模式,V_+5V和VDD_+5V输出5V,LimpHome_+5V输出0V,LHI输出低电平。MCU模块按程序策略采集输入信号(LHI等)、输出控制信号(PWM/DO和SPI等)、采集外设状态信息(SPI等)和CAN网络通信。第一驱动模块正常工作,第二驱动模块接受PWM/DO和SPI控制,第三驱动模块不工作。如果满足了向跛行模式过渡的条件,就进入了跛行模式。
在跛行工作模式,VDD_+5V输出0V,LimpHome_+5V和V_+5V输出5V,LHI输出高电平。跛行工作模式优先于正常工作模式,第二驱动模块接受LHI控制,第三驱动模块工作,第一驱动模块不工作。如果满足了向正常模式过渡的条件,就进入了正常工作模式。
程序写入过程及状态:产品下线阶段,用ICT写入,看门狗被ICT设备禁止;调试阶段,用Multilink写入,看门狗被Multilink设备禁止;调试阶段,用IC5000写入,看门狗跳线帽禁止;在线更新程序,用CAN总线写入,单片机持续“喂狗”。禁止看门狗可以确保程序正常写入。退出这些阶段并拔掉跳帽后,控制器自动进入正常工作模式。
程序写入时看门狗被禁止(WADJ等于0V),写入完成后自动进入正常工作模式,且看门狗被使能(WADJ大于0.7V)。
以上所述,仅为本发明的具体实施方式,应当指出,任何熟悉本领域的技术人员在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
Claims (8)
1.一种用于汽车控制器的功能安全电路,其特征在于:包括
复位与看门狗可控模块(2),用于向MCU模块和输出驱动控制模块供电,用于在输入电压、输出电压及喂狗信号均正常时输出第一复合复位信号至跛行检测控制模块和MCU模块,用于在输入电压或输出电压或喂狗信号异常时输出第二复合复位信号至跛行检测控制模块和MCU模块;
跛行检测控制模块(4),用于在接收到第一复合复位信号时输出无效信号,用于在接收到第二复合复位信号时向输出驱动控制模块供电、输出跛行状态信号至MCU模块和输出驱动控制模块;
MCU模块(6),用于定时向复位与看门狗可控模块输出喂狗信号,用于在接收到第一复合复位信号时输出驱动控制信号至输出驱动控制模块,用于在接收到第二复合复位信号或跛行状态信号时输出无效信号;
输出驱动控制模块,用于根据接收的驱动控制信号或跛行状态信号驱动负载工作;所述输出驱动控制模块包括
第一驱动模块(9),用于根据接收驱动控制信号驱动负载工作;
第二驱动模块(7),用于根据接收驱动控制信号或跛行状态信号驱动负载工作;
第三驱动模块(8),用于根据接收跛行状态信号驱动负载工作。
2.根据权利要求1所述的用于汽车控制器的功能安全电路,其特征在于:所述复位与看门狗可控模块(2)包括第一稳压芯片、电阻R1、电阻R2、电阻R3和电阻R4,所述第一稳压芯片的喂狗信号输入端连接电阻R1一端,电阻R1另一端连接MCU模块的喂狗信号输出端,所述第一稳压芯片的电源输出端连接MCU模块的电源输入端和输出驱动控制模块的电源输入端,所述MCU模块的看门狗使能信号输入端通过电阻R4接地,所述电阻R2和电阻R3串联,电阻R2另一端连接第一稳压芯片的电源输出端,电阻R3另一端接地,第一稳压芯片的复位电压输入端连接在电阻R2与电阻R3之间。
3.根据权利要求1所述的用于汽车控制器的功能安全电路,其特征在于:所述跛行检测控制模块(4)包括MOS管、输入电压滤波电路、输出电压滤波电路和跛行状态信号滤波电路,所述MOS管的栅极通过电阻R10连接复位与看门狗可控模块的复合复位信号输出端,MOS管的源极连接输入电源,MOS管的漏极连接输出驱动控制模块的电源输入端,MOS管的漏极还通过跛行状态信号滤波电路连接MCU模块和输出驱动控制模块的跛行状态信号输入端,所述输入电压滤波电路连接在MOS管的栅极与源极之间,所述输出电压滤波电路一端连接MOS管的漏极、另一端接地。
4.根据权利要求1所述的用于汽车控制器的功能安全电路,其特征在于:还包括复合电源电路(5),所述复合电源电路用于对输入的两路电源进行预处理,所述复合电源电路的两个输入端分别连接复位与看门狗可控模块的电源输出端和跛行检测控制模块的电源输出端,复合电源电路的输出端连接输出驱动控制模块的电源输入端。
5.根据权利要求4所述的用于汽车控制器的功能安全电路,其特征在于:所述复合电源电路(5)包括二极管D5、二极管D6和输出滤波电路,所述二极管D5阳极连接复位与看门狗可控模块的电源输出端、阴极作为复合电源电路的输出端,所述二极管D6阳极连接跛行检测控制模块的电源输出端、阴极作为复合电源电路的输出端,所述输出滤波电路一端连接二极管D5阴极、另一端接地。
6.根据权利要求1所述的用于汽车控制器的功能安全电路,其特征在于:还包括输入电源的预处理电路(1),所述预处理电路包括反接浪涌保护电路和电源滤波电路,所述反接浪涌保护电路的输入端连接输入电源、输出端连接复位与看门狗可控模块的电源输入端,所述电源滤波电路一端连接反接浪涌保护电路的输出端、另一端接地。
7.根据权利要求1所述的用于汽车控制器的功能安全电路,其特征在于:还包括稳压滤波电路(3),所述稳压滤波电路包括第二稳压芯片,所述第二稳压芯片的输入端连接输入电源、输出端连接跛行检测控制模块的电源输入端,所述第二稳压芯片的输入端连接有多个并联的接地电容,第二稳压芯片的输出端连接有多个并联的接地电容。
8.根据权利要求1所述的用于汽车控制器的功能安全电路,其特征在于:还包括程序写入模块,所述程序写入模块包括看门狗禁止电路和程序写入设备,所述程序写入设备用于MCU模块写入程序,所述看门狗禁止电路用于在程序写入设备写入程序时禁止复位与看门狗可控模块的看门狗电路。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811513021.8A CN109696903B (zh) | 2018-12-11 | 2018-12-11 | 一种用于汽车控制器的功能安全电路 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811513021.8A CN109696903B (zh) | 2018-12-11 | 2018-12-11 | 一种用于汽车控制器的功能安全电路 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109696903A CN109696903A (zh) | 2019-04-30 |
| CN109696903B true CN109696903B (zh) | 2020-07-03 |
Family
ID=66230495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811513021.8A Active CN109696903B (zh) | 2018-12-11 | 2018-12-11 | 一种用于汽车控制器的功能安全电路 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109696903B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111497762B (zh) * | 2020-04-09 | 2021-08-06 | 东风汽车集团有限公司 | 一种用于汽车电子控制器的双cpu控制系统及控制方法 |
| CN111736502B (zh) * | 2020-06-15 | 2023-08-01 | 杭州高锦科技有限公司 | 一种外部看门狗与程序烧录互不干扰电路 |
| CN111736453B (zh) * | 2020-06-18 | 2023-06-06 | 西安微电子技术研究所 | 一种控制异常指令输出的方法及电路结构 |
| CN112986713A (zh) * | 2020-12-16 | 2021-06-18 | 安徽阿瑞特汽车电子科技有限公司 | 一种客车车身控制模块功率负载状态监测装置 |
| CN112597598A (zh) * | 2020-12-30 | 2021-04-02 | 大运汽车股份有限公司 | 一种整车控制器的pcb设计方法及系统 |
| CN114312343A (zh) | 2021-01-14 | 2022-04-12 | 华为数字能源技术有限公司 | 电机控制系统及汽车 |
| CN113296431B (zh) * | 2021-04-19 | 2022-07-01 | 东风汽车集团股份有限公司 | 用于汽车电子控制器的跛行回家控制电路 |
| CN113326222B (zh) * | 2021-08-03 | 2021-12-10 | 深圳英集芯科技股份有限公司 | 基于通用串行总线供电的通信方法及相关装置 |
| CN114609947A (zh) * | 2022-03-17 | 2022-06-10 | 佛山市美的清湖净水设备有限公司 | 漏水保护控制系统及净水装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN203093853U (zh) * | 2012-12-26 | 2013-07-31 | 联合汽车电子有限公司 | 车身控制器 |
| CN204028597U (zh) * | 2014-08-20 | 2014-12-17 | 北汽福田汽车股份有限公司 | 一种整车控制器及具有其的车辆 |
| CN104375441A (zh) * | 2014-11-06 | 2015-02-25 | 联合汽车电子有限公司 | 车载电源管理装置及其控制方法 |
| CN106292434A (zh) * | 2016-08-19 | 2017-01-04 | 东风汽车公司 | 一种用于汽车电子控制器的看门狗电路 |
| CN106740264A (zh) * | 2017-01-09 | 2017-05-31 | 金龙联合汽车工业(苏州)有限公司 | 基于电动汽车分布式驱动系统的跛行控制方法及系统 |
| CN107933567A (zh) * | 2017-11-28 | 2018-04-20 | 东风商用车有限公司 | 一种车身网络控制器跛行控制系统及其控制方法 |
-
2018
- 2018-12-11 CN CN201811513021.8A patent/CN109696903B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN203093853U (zh) * | 2012-12-26 | 2013-07-31 | 联合汽车电子有限公司 | 车身控制器 |
| CN204028597U (zh) * | 2014-08-20 | 2014-12-17 | 北汽福田汽车股份有限公司 | 一种整车控制器及具有其的车辆 |
| CN104375441A (zh) * | 2014-11-06 | 2015-02-25 | 联合汽车电子有限公司 | 车载电源管理装置及其控制方法 |
| CN106292434A (zh) * | 2016-08-19 | 2017-01-04 | 东风汽车公司 | 一种用于汽车电子控制器的看门狗电路 |
| CN106740264A (zh) * | 2017-01-09 | 2017-05-31 | 金龙联合汽车工业(苏州)有限公司 | 基于电动汽车分布式驱动系统的跛行控制方法及系统 |
| CN107933567A (zh) * | 2017-11-28 | 2018-04-20 | 东风商用车有限公司 | 一种车身网络控制器跛行控制系统及其控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109696903A (zh) | 2019-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109696903B (zh) | 一种用于汽车控制器的功能安全电路 | |
| CN105711520B (zh) | 一种整车控制器的电源管理电路及其控制方法 | |
| CN104201652B (zh) | 一种电源保护控制方法 | |
| DE112006003189B4 (de) | System und Verfahren zur Überspannungskontrolle für ein Energieversorgungssystem | |
| DE102012223045B4 (de) | Motorantriebssteuervorrichtung | |
| DE102005048699B4 (de) | Steuereinheit für einen Fahrzeuggenerator | |
| CN106655399B (zh) | 一种电动汽车充电信息处理方法、装置、充电机和汽车 | |
| DE102005046676A1 (de) | Im Fahrzeug montierte elektronische Steuervorrichtung | |
| CN103883405B (zh) | 车辆的汽油缸内直喷发动机的控制系统及车辆 | |
| DE102012108561B4 (de) | Laststeuerungseinrichtung | |
| DE102017223806A1 (de) | Ladesteuerverfahren, zugehörige Einrichtung und Fahrzeug | |
| DE10345424B4 (de) | Vorrichtung zur Steuerung der Ansaugung von Luft in einer Brennkraftmaschine | |
| EP2766595B1 (de) | Verfahren zur überprüfung einer versorgungsschaltung und zugehörige versorgungsschaltung für mindestens einen zündkreis | |
| CN103600662B (zh) | 用于超级电容纯电动客车的高压控制管理系统 | |
| CN110618723B (zh) | 车载电子系统及其电压自适应控制方法和车辆 | |
| DE102004052019B4 (de) | Leistungssteuerungsvorrichtung für ein Fahrzeug | |
| WO2024066310A1 (zh) | 一种用于底盘域控制器系统的五连阀功能安全电路及方法 | |
| CN112994441A (zh) | 一种车载ecu电源输入电路 | |
| CN113147633B (zh) | 电源分配模块及车身控制器 | |
| CN211908360U (zh) | 摄像头供电保护电路 | |
| DE102007015291B4 (de) | Fehlstrommessung für eine elektronische Steuereinheit | |
| CN114734941A (zh) | 一种匹配不同线径的车身控制系统及方法 | |
| DE102018123828B4 (de) | Verfahren zum Betreiben eines Treibers mit Unterscheidungsmöglichkeit zwischen Bootstrap-Kapazitätsnachladung und Kurzschlussfehlerfall | |
| CN112531832A (zh) | 充电路径管理电路及装置 | |
| CN202917396U (zh) | 高可靠性的单片机控制继电器装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |