CN117590789A - 一种整车控制器用三层监控架构 - Google Patents

一种整车控制器用三层监控架构 Download PDF

Info

Publication number
CN117590789A
CN117590789A CN202410062925.2A CN202410062925A CN117590789A CN 117590789 A CN117590789 A CN 117590789A CN 202410062925 A CN202410062925 A CN 202410062925A CN 117590789 A CN117590789 A CN 117590789A
Authority
CN
China
Prior art keywords
monitoring
layer
alarm
function
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410062925.2A
Other languages
English (en)
Inventor
王维志
陆阳
佟强
朱仲文
李丞
江维海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hefei University of Technology
Original Assignee
Hefei University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hefei University of Technology filed Critical Hefei University of Technology
Priority to CN202410062925.2A priority Critical patent/CN117590789A/zh
Publication of CN117590789A publication Critical patent/CN117590789A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/60Other road transportation technologies with climate change mitigation effect
    • Y02T10/72Electric energy management in electromobility

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种整车控制器用三层监控架构,包括功能层、功能监控层和控制器监控层,本发明以带有锁步核和内存测试等功能的多核主控芯片和带有监控功能的电源芯片为基础,提出一种更为详细的基于EGAS架构的三层监控架构,包括处理器监控层软件部分相关的安全模块设计与测试。此外,将三个CPU分别分配到三层架构中实现独立运行并充分覆盖三层,实现了软硬件的解耦。与此同时,设计了故障处理策略,使系统在故障容错时间间隔100毫秒内快速恢复或迅速进入安全状态。

Description

一种整车控制器用三层监控架构
技术领域
本发明涉及新能源汽车安全控制领域,具体是一种整车控制器用三层监控架构。
背景技术
由于新能源汽车具有环保减排、节能等显著优点,故发展新能源汽车是解决汽车污染与保护环境的重要途径。而随着新能源汽车不断向智能化、集成化方向发展,汽车电子电气系统的数量和复杂度不断增加,这给汽车整体安全性提出了新的要求。整车控制器(VCU)作为新能源汽车的核心控制单元,负责解析驾驶员意图,并提供期望扭矩给电机控制系统,实现车辆的行驶。由于扭矩控制是VCU的核心功能之一,直接关系到车辆的安全性与稳定性,如果在车辆行驶中VCU输出非预期的扭矩,将可能造成交通事故甚至生命危害,所以提高VCU扭矩控制的安全性成为一项必要的问题。 现有技术中的分层架构的实现,还存在着分层不彻底、覆盖不充分、未考虑监控层软件部分的相关模块的设计与测试等问题。因此,本发明提出一种整车控制器用三层监控架构。
发明内容
针对上述存在的问题,本发明提出一种整车控制器用三层监控架构。
为实现上述目的,本发明提供如下技术方案:
一种整车控制器用三层监控架构,包括:
功能层,其用于实现基本的扭矩控制功能,依据实际信息解析驾驶员需求,同时计算目标扭矩,最后输出控制信号,所述实际信息包括踏板位置、挡位、车速、电机实际转速;
功能监控层,其通过冗余的软件逻辑监控功能层;整体的思想是独立于功能层的另一种算法估计驾驶员的目标扭矩,同时依据电机控制器反馈给VCU的实际电机扭矩输出,将目标扭矩与实际扭矩进行比较,如果两者的差值大于预定义的阈值并持续超过预设时间时,则会进入安全状态;另外,使用第二路独立的信息采集与处理路径作为功能层的冗余;
控制器监控层,其由两部分组成:硬件上独立的监控模块和功能控制器中的监控软件。
作为本发明进一步的技术方案,在控制器监控层中,带有锁步核和内存测试功能的多核主控芯片的SMU具有灵活的Alarm配置功能。
作为本发明进一步的技术方案,控制器监控层硬件部分:所述多核主控芯片的Error Pin与电源芯片的ERR引脚相连,当发生Alarm事件时,多核主控芯片的SMU通过ErrorPin向电源芯片报告内部故障;当电源芯片的安全状态信号SS1和SS2都为低电平时,将从硬件层面使VCU一直处于复位状态;
Alarm分为软件Alarm和硬件Alarm;当Alarm发生时,软件Alarm需要在软件中调用函数设置Alarm,而硬件Alarm则由芯片硬件自检测自动设置Alarm并触发后续动作;当Alarm产生后将进入中断,首先调用函数清除Alarm状态,然后调用函数释放FSP;其次,将故障计数加1并存储到已定义的Flash中,其中故障计数的初始值为0;再次,调用设置DTC状态函数将已定义的SMU故障设置为FAILED状态;最后,将触发VCU的软件复位;而当故障计数的值超过10次并再次出现Alarm时,进入中断清除Alarm状态后将会进入While死循环,等待SS1和SS2信号从高电平变为低电平,最终使VCU一直处于复位状态。
作为本发明进一步的技术方案,所述功能层还具有诊断功能。
作为本发明进一步的技术方案,当功能监控层的故障响应是关闭电机的扭矩输出或复位VCU时,功能监控层独立于功能层完成;但是,功能监控层的故障响应为对电机的扭矩输出进行分级限制时,由于功能监控层并非功能层的完整冗余,其不具备控制扭矩输出的能力,故对扭矩限制的实现依赖于功能层,此时功能监控层需要对功能层扭矩限制的执行进行监控。
作为本发明进一步的技术方案,在控制器监控层中,采用带锁步核功能和内存测试的多核主控芯片作为功能控制器,带有监控功能的电源芯片作为监控控制器,所述多核主控芯片与电源芯片通过SPI进行通信;所述电源芯片定时向多核主控芯片提问,所述多核主控芯片在规定时间内回答;所述电源芯片如果得到错误答案,将会重复发送相同的问题并启动故障计数器;为检测所述电源芯片的潜伏失效,所述多核主控芯片会定时发送一个错误答案以测试所述电源芯片的监控功能是否正常。
作为本发明进一步的技术方案,所述控制器监控层还包括了电压监控、内存测试、关断路径测试和A/D转换测试。
作为本发明进一步的技术方案,所述ERR引脚正常状态下为高低电平切换的信号,当停止高低电平切换并保持低电平或者高电平时将被检测为错误;ERR引脚的反应分为两种:立即反应和恢复延迟反应,利用电源芯片的恢复延迟反应机制,作为控制器监控层的监控模块的安全状态控制;
当Alarm发生时,ERR信号停止切换并保持低电平;在超过检测时间后,将会产生中断指示恢复延迟时间/>开始;如果Alarm发生的时间超过/>,即在到达/>之后,SS1将被拉至低电平,然后在可选延迟时间/>后SS2被拉至低电平,而如果Alarm发生的时间短于/>,即在到达/>之前ERR信号重新开始切换,则SS1和SS2将一直保持高电平,其中,/>配置为10ms,/>配置为0ms,即SS1和SS2引脚情况相同。
作为本发明进一步的技术方案,所述多核主控芯片的三个CPU分别是两个锁步CPU和一个非锁步CPU,所述两个锁步CPU分别是CPU0和CPU1,所述非锁步CPU为CPU2;此外,CPU0是高效率、低功耗架构,CPU1和CPU2是高性能架构;由于CPU0是高效率、低功耗架构并且带有锁步核,故将其分配给功能层用于实现基本的功能,保证扭矩控制功能高效执行,同时降低功耗、提高可靠性;其次,由于CPU1是高性能架构并且带有锁步核,故将其分配给功能监控层用于实现功能层的监控功能,确保目标扭矩与实际扭矩的对比校验能够快速执行并通过锁步监控提高容错能力;最后,由于CPU2是高性能架构,故将其分配给控制器监控层软件部分,确保A/D转换测试、内存测试更快速执行。
与现有技术相比,本发明的有益效果是:本发明提供了一种符合功能安全要求的整车控制器用三层监控架构,本发明以带有锁步核、内存测试等功能的多核主控芯片和带有监控功能的电源芯片为基础,提出一种更为详细的基于EGAS架构的三层监控架构,包括处理器监控层软件部分相关的安全模块设计与测试。此外,将三个CPU分别分配到三层架构中实现独立运行并充分覆盖三层,实现了软硬件的解耦。与此同时,设计了故障处理策略,使系统在故障容错时间间隔100毫秒内快速恢复或迅速进入安全状态。
附图说明
图1为一种整车控制器用三层监控架构的结构示意图。
图2为一种整车控制器用三层监控架构中Alarm处理流程图。
图3为一种整车控制器用三层监控架构中Alarm时间超过恢复延迟时间。
图4为一种整车控制器用三层监控架构中Alarm时间短于恢复延迟时间。
具体实施方式
下面结合具体实施方式对本专利的技术方案作进一步详细地说明。
请参阅图1,作为本发明的一种实施例,一种整车控制器用三层监控架构,包括:
功能层(Level 1),其用于实现基本的扭矩控制功能,依据实际信息解析驾驶员需求,同时计算目标扭矩,最后输出控制信号,所述功能层还具有诊断功能,例如对踏板信号的合理性检查等,基于诊断结果,功能层也将执行相应的故障响应,所述实际信息包括踏板位置、挡位、车速、电机实际转速;
在保证踏板扭矩需求有效的前提下,例如电机使能、不处于充电状态和车辆处于Ready状态等,踏板扭矩需求可根据踏板开度、挡位、车速和电机实际转速等确定。
为了提高计算效率以及简化计算过程的目的,Level 1选择查表法计算踏板扭矩。电机实际转速由电机控制系统(MCU)发送给VCU的CAN报文获取,而电机实际转速下对应的最大扭矩通过查表线性插值法确定,然后将获得的最大扭矩与踏板开度相乘即可得到踏板扭矩。本发明将认为踏板扭矩即为目标扭矩。
功能监控层(Level 2),其通过冗余的软件逻辑监控功能层;整体的思想是独立于功能层的另一种算法估计驾驶员的目标扭矩,同时依据电机控制器反馈给VCU的实际电机扭矩输出,将目标扭矩与实际扭矩进行比较,如果两者的差值大于预定义的阈值并持续超过预设时间时,则会进入安全状态;另外,使用第二路独立的信息采集与处理路径作为功能层的冗余;
当功能监控层的故障响应是关闭电机的扭矩输出或复位VCU时,功能监控层独立于功能层完成;但是,功能监控层的故障响应为对电机的扭矩输出进行分级限制时,由于功能监控层并非功能层的完整冗余,其不具备控制扭矩输出的能力,故对扭矩限制的实现依赖于功能层,此时功能监控层需要对功能层扭矩限制的执行进行监控。
Level 2用不同于Level 1的目标扭矩计算方式,出于简化以及相比于查表线性插值法更高精度的目的,使用拟合曲线的方法获取电机实际转速下的最大扭矩。将计算出的目标扭矩与电机控制器反馈给VCU的电机实际输出扭矩进行比较,当实际输出的扭矩与目标扭矩的差值超过5%时启用不同的故障响应:当目标扭矩与实际扭矩差值小于5%时,故障等级为无故障,限速140,故障响应为正常运行;当目标扭矩与实际扭矩差值大于5%且小于10%时,故障等级为三级故障,限速80/>,故障响应为发出警报通知驾驶员,对车辆限速并且VCU尝试复位;当目标扭矩与实际扭矩差值大于10%且小于20%时,故障等级为二级故障,限速30/>,故障响应为发出警报通知驾驶员,对车辆限速并且VCU尝试复位;当目标扭矩与实际扭矩差值大于20%时,故障等级为一级故障,限速0/>,故障响应为VCU中断扭矩输出并且控制车辆停车。
控制器监控层(Level 3),其由两部分组成:硬件上独立的监控模块和功能控制器中的监控软件。
在控制器监控层中,采用带锁步核功能和内存测试的多核主控芯片(如AURIXTC275)作为功能控制器,带有监控功能的电源芯片(如TLF35584)作为监控控制器,所述多核主控芯片(如AURIX TC275)与电源芯片(如TLF35584)通过SPI进行通信;所述电源芯片(如TLF35584)定时向多核主控芯片(如AURIX TC275)提问,所述多核主控芯片(如AURIXTC275)在规定时间内回答;所述电源芯片(如TLF35584)如果得到错误答案,将会重复发送相同的问题并启动故障计数器;为检测所述电源芯片(如TLF35584)的潜伏失效,所述多核主控芯片(如AURIX TC275)会定时发送一个错误答案以测试所述电源芯片(如TLF35584)的监控功能是否正常。所述控制器监控层还包括了电压监控、内存测试、关断路径测试和A/D转换测试。
Level 3软件部分,对Level 3中的软件部分设计安全功能模块,主要包括问答监控、关断路径测试、A/D转换测试和内存测试。
问答监控:采用带有监控功能的电源芯片(如TLF35584)的功能看门狗功能,带有监控功能的电源芯片(如TLF35584)提出问题并期望在定义的时间段内从带有锁步核、内存测试等功能的多核主控芯片(如AURIX TC275)获得正确的答案,如果回答错误或在错误时刻收到正确回答,都认为是错误回答。此外,为了测试带有监控功能的电源芯片(如TLF35584)的功能处于正常状态,带有锁步核、内存测试等功能的多核主控芯片(如AURIXTC275)会在一定的时间间隔内给出错误答案。错误的回答都将使功能看门狗故障计数器增加,当计数超过阈值时,带有监控功能的电源芯片(如TLF35584)将触发VCU复位。
关断路径测试:关断路径测试。主要为确保在出现故障时能安全关断。每次车辆启动前都要测试一次,只有在测试通过后才可以授权电机运行。如果关断路径出现故障,VCU将会一直处于复位状态,直到能授权电机运行才会解除复位状态。
A/D转换测试:主要是确保A/D转换功能正常,如果A/D转换功能出现故障,将会导致驾驶员扭矩需求解析出现偏差,从而引起扭矩控制的异常。当A/D转换出现故障时,将复位TC275并排除故障,否则车辆不能启动。
内存测试:确保带有锁步核、内存测试等功能的多核主控芯片(如AURIX TC275)内部RAM和FLASH模块能正常工作,同时帮助检测硬件问题以及预防由硬件问题引起的软件问题,从而提高带有锁步核、内存测试等功能的多核主控芯片(如AURIX TC275)的稳定性、可靠性和安全性。在每次车辆启动之前,都应该执行一次RAM和FLASH测试,只有检查无故障时才允许启动。在内存测试中至少需要检测出寻址错误、地址缓冲区溢出错误以及位翻转错误。
本实施例中,在控制器监控层中,带有锁步核和内存测试功能的多核主控芯片(如AURIX TC275)的SMU具有灵活的Alarm配置功能。本发明针对所设计的三层控制架构,从软件和硬件层面设置相应的Alarm事件:
Alarm-01:层级与模块为Level 1,Alarm事件为冗余的加速或制动信号不可信,涉及安全机制为软件监控,触发的模块为软件模块;
Alarm-02:层级与模块为Level 2(关断路径测试),Alarm事件为当Level 2向外部控制模块输出关断信号时没有成功关断,涉及安全机制为软件监控,触发的模块为软件模块;
Alarm-03:层级与模块为Level 2(扭矩对比校验),Alarm事件为电机实际输出扭矩与VCU发送的目标扭矩的差值超过5%,涉及安全机制为软件监控,触发的模块为软件模块;
Alarm-04:层级与模块为Level 2(程序流检查),Alarm事件为Level 2中有软件模块没有按照程序逻辑正确运行,涉及安全机制为软件监控,触发的模块为软件模块;
Alarm-05:层级与模块为Level 3(关断路径测试),Alarm事件为当Level 3向外部控制模块输出关断信号时没有成功关断,涉及安全机制为软件监控,触发的模块为软件模块;
Alarm-06:层级与模块为Level 3(A/D转换测试),Alarm事件为踏板传感器输入的模拟信号值转换为数字信号值误差过大,涉及安全机制为软件监控,触发的模块为软件模块;
Alarm-07:层级与模块为Level 3(内存测试),Alarm事件为SRAM寻址错误,涉及安全机制为SRAM监控,触发的模块为硬件模块;
Alarm-08:层级与模块为Level 3(内存测试),Alarm事件为SRAM地址缓存区溢出,涉及安全机制为SRAM监控,触发的模块为硬件模块;
Alarm-09:层级与模块为Level 3(内存测试),Alarm事件为SRAM单个位错误,涉及安全机制为SRAM监控,触发的模块为硬件模块;
Alarm-10:层级与模块为Level 3(内存测试),Alarm事件为PFLASH寻址错误,涉及安全机制为PFLASH监控,触发的模块为硬件模块;
Alarm-11:层级与模块为Level 3(内存测试),Alarm事件为PFLASH地址缓存区溢出,涉及安全机制为PFLASH监控,触发的模块为硬件模块;
Alarm-12:层级与模块为Level 3(内存测试),Alarm事件为PFLASH单个位错误,涉及安全机制为PFLASH监控,触发的模块为硬件模块;
本实施例中,控制器监控层硬件部分:
所述多核主控芯片(如AURIX TC275)的Error Pin与电源芯片(如TLF35584)的ERR引脚相连,当发生Alarm事件时,多核主控芯片(如AURIX TC275)的SMU通过Error Pin向电源芯片(如TLF35584)报告内部故障;当电源芯片(如TLF35584)的安全状态信号SS1和SS2都为低电平时,将从硬件层面使VCU一直处于复位状态;
Alarm分为软件Alarm和硬件Alarm;当Alarm发生时,软件Alarm需要在软件中调用函数设置Alarm,而硬件Alarm则由芯片硬件自检测自动设置Alarm并触发后续动作;当Alarm产生后将进入中断,首先调用函数清除Alarm状态,然后调用函数释放FSP;其次,将故障计数加1并存储到已定义的Flash中,其中故障计数的初始值为0;再次,调用设置DTC状态函数将已定义的SMU故障设置为FAILED状态;最后,将触发VCU的软件复位;而当故障计数的值超过10次并再次出现Alarm时,进入中断清除Alarm状态后将会进入While死循环,等待SS1和SS2信号从高电平变为低电平,最终使VCU一直处于复位状态。Alarm处理流程如图2所示。
本实施例中,所述ERR引脚正常状态下为高低电平切换的信号,当停止高低电平切换并保持低电平或者高电平时将被检测为错误;ERR引脚的反应分为两种:立即反应和恢复延迟反应,利用电源芯片的恢复延迟反应机制,作为控制器监控层的监控模块的安全状态控制;
当Alarm发生时,ERR信号停止切换并保持低电平;在超过检测时间后,将会产生中断指示恢复延迟时间/>开始;如果Alarm发生的时间超过/>,即在到达/>之后,SS1将被拉至低电平,然后在可选延迟时间/>后SS2被拉至低电平,如图3所示。而如果Alarm发生的时间短于/>,即在到达/>之前ERR信号重新开始切换,则SS1和SS2将一直保持高电平,如图4所示。其中,/>配置为10ms,/>配置为0ms,即SS1和SS2引脚情况相同。
本实施例中,所述多核主控芯片(如AURIX TC275)的三个CPU分别是两个锁步CPU和一个非锁步CPU(CPU2),所述两个锁步CPU分别是CPU0和CPU1,所述非锁步CPU为CPU2;此外,CPU0是高效率、低功耗架构,CPU1和CPU2是高性能架构;根据本发明设计的三层架构,现对三个CPU进行分配。首先,由于CPU0是高效率、低功耗架构并且带有锁步核,故将其分配给功能层用于实现基本的功能,保证扭矩控制功能高效执行,同时降低功耗、提高可靠性;其次,由于CPU1是高性能架构并且带有锁步核,故将其分配给功能监控层用于实现功能层的监控功能,确保目标扭矩与实际扭矩的对比校验能够快速执行并通过锁步监控提高容错能力;最后,由于CPU2是高性能架构,故将其分配给控制器监控层软件部分,确保A/D转换测试、内存测试更快速执行。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (6)

1.一种整车控制器用三层监控架构,其特征在于,包括:
功能层,其用于实现基本的扭矩控制功能,依据实际信息解析驾驶员需求,同时计算目标扭矩,最后输出控制信号,所述实际信息包括踏板位置、挡位、车速、电机实际转速;
功能监控层,其通过冗余的软件逻辑监控功能层;估计驾驶员的目标扭矩,同时依据电机控制器反馈给VCU的实际电机扭矩输出,将目标扭矩与实际扭矩进行比较,如果两者的差值大于预定义的阈值并持续超过预设时间时,则会进入安全状态;另外,使用第二路独立的信息采集与处理路径作为功能层的冗余;
控制器监控层,其由两部分组成:硬件上独立的监控模块和功能控制器中的监控软件;
在控制器监控层中,带有锁步核和内存测试功能的多核主控芯片的SMU具有灵活的Alarm配置功能;
控制器监控层硬件部分:所述多核主控芯片的Error Pin与电源芯片的ERR引脚相连,当发生Alarm事件时,多核主控芯片的SMU通过Error Pin向电源芯片报告内部故障;当电源芯片的安全状态信号SS1和SS2都为低电平时,将从硬件层面使VCU一直处于复位状态;
Alarm分为软件Alarm和硬件Alarm;当Alarm发生时,软件Alarm需要在软件中调用函数设置Alarm,而硬件Alarm则由芯片硬件自检测自动设置Alarm并触发后续动作;当Alarm产生后将进入中断,首先调用函数清除Alarm状态,然后调用函数释放FSP;其次,将故障计数加1并存储到已定义的Flash中,其中故障计数的初始值为0;再次,调用设置DTC状态函数将已定义的SMU故障设置为FAILED状态;最后,将触发VCU的软件复位;而当故障计数的值超过10次并再次出现Alarm时,进入中断清除Alarm状态后将会进入While死循环,等待SS1和SS2信号从高电平变为低电平,最终使VCU一直处于复位状态。
2.根据权利要求1所述的一种整车控制器用三层监控架构,其特征在于,所述功能层还具有诊断功能。
3.根据权利要求1所述的一种整车控制器用三层监控架构,其特征在于,在控制器监控层中,采用带锁步核功能和内存测试的多核主控芯片作为功能控制器,带有监控功能的电源芯片作为监控控制器,所述多核主控芯片与电源芯片通过SPI进行通信;所述电源芯片定时向多核主控芯片提问,所述多核主控芯片在规定时间内回答;所述电源芯片如果得到错误答案,将会重复发送相同的问题并启动故障计数器;为检测所述电源芯片的潜伏失效,所述多核主控芯片会定时发送一个错误答案以测试所述电源芯片的监控功能是否正常。
4.根据权利要求3所述的一种整车控制器用三层监控架构,其特征在于,所述控制器监控层还包括了电压监控、内存测试、关断路径测试和A/D转换测试。
5.根据权利要求1所述的一种整车控制器用三层监控架构,其特征在于,所述ERR引脚正常状态下为高低电平切换的信号,当停止高低电平切换并保持低电平或者高电平时将被检测为错误;ERR引脚的反应分为两种:立即反应和恢复延迟反应,利用电源芯片的恢复延迟反应机制,作为控制器监控层的监控模块的安全状态控制;
当Alarm发生时,ERR信号停止切换并保持低电平;在超过检测时间后,将会产生中断指示恢复延迟时间/>开始;如果Alarm发生的时间超过/>,即在到达/>之后,SS1将被拉至低电平,然后在可选延迟时间/>后SS2被拉至低电平,而如果Alarm发生的时间短于,即在到达/>之前ERR信号重新开始切换,则SS1和SS2将一直保持高电平,其中,/>配置为10ms,/>配置为0ms,即SS1和SS2引脚情况相同。
6.根据权利要求1所述的一种整车控制器用三层监控架构,其特征在于,所述多核主控芯片的三个CPU分别是两个锁步CPU和一个非锁步CPU,所述两个锁步CPU分别是CPU0和CPU1,所述非锁步CPU为CPU2;CPU0被分配给功能层,CPU1被分配给功能监控层,CPU2被分配给控制器监控层软件部分。
CN202410062925.2A 2024-01-17 2024-01-17 一种整车控制器用三层监控架构 Pending CN117590789A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410062925.2A CN117590789A (zh) 2024-01-17 2024-01-17 一种整车控制器用三层监控架构

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410062925.2A CN117590789A (zh) 2024-01-17 2024-01-17 一种整车控制器用三层监控架构

Publications (1)

Publication Number Publication Date
CN117590789A true CN117590789A (zh) 2024-02-23

Family

ID=89915358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410062925.2A Pending CN117590789A (zh) 2024-01-17 2024-01-17 一种整车控制器用三层监控架构

Country Status (1)

Country Link
CN (1) CN117590789A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102320277A (zh) * 2011-07-05 2012-01-18 苏州力久新能源科技有限公司 基于并行结构的汽车力矩安全架构
CN108146250A (zh) * 2016-12-02 2018-06-12 上海汽车集团股份有限公司 一种基于多核cpu的汽车扭矩安全控制方法
CN108536045A (zh) * 2018-04-27 2018-09-14 国机智骏(北京)汽车科技有限公司 电动汽车的整车控制器、车辆及方法
CN111007713A (zh) * 2019-07-10 2020-04-14 沈阳中科一唯电子技术有限公司 一种符合功能安全的异构冗余整车控制器

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102320277A (zh) * 2011-07-05 2012-01-18 苏州力久新能源科技有限公司 基于并行结构的汽车力矩安全架构
CN108146250A (zh) * 2016-12-02 2018-06-12 上海汽车集团股份有限公司 一种基于多核cpu的汽车扭矩安全控制方法
CN108536045A (zh) * 2018-04-27 2018-09-14 国机智骏(北京)汽车科技有限公司 电动汽车的整车控制器、车辆及方法
CN111007713A (zh) * 2019-07-10 2020-04-14 沈阳中科一唯电子技术有限公司 一种符合功能安全的异构冗余整车控制器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
伍理勋;陈建明;陈磊;郑汉锋;: "电动汽车电机驱动控制器功能安全架构研究", 控制与信息技术, no. 03, 1 June 2018 (2018-06-01), pages 1 - 5 *

Similar Documents

Publication Publication Date Title
US8099179B2 (en) Fault tolerant control system
US7251551B2 (en) On-vehicle electronic control device
JP2003131906A (ja) Cpuの暴走監視制御回路
KR20160110203A (ko) 안전 관련 중대한 에러를 처리하는 방법 및 장치
CN113968237B (zh) 一种无人驾驶车辆转向系统及运行方法、存储装置
JPH0588924A (ja) 自動車のマルチコンピユータシステム
JP6145345B2 (ja) 自動車用電子制御装置
CN112631256A (zh) 一种功能安全的开关量输出模块和诊断处理方法
CN110955571A (zh) 面向车规级芯片功能安全的故障管理系统
CN108146250B (zh) 一种基于多核cpu的汽车扭矩安全控制方法
CN117590789A (zh) 一种整车控制器用三层监控架构
Li et al. The research of electric vehicle's MCU system based on ISO26262
KR100836297B1 (ko) 듀얼 프로세서를 이용한 차량 고장 감시 시스템
Nag et al. A novel multi-core approach for functional safety compliance of automotive electronic control unit according to ISO 26262
JP2768693B2 (ja) 2台のプロセッサを有するコンピュータシステムを監視する装置
CN114153189B (zh) 一种自动驾驶控制器安全诊断及保护方法、系统及存储装置
JP2925437B2 (ja) 自己診断機能を備えた車両制御用コンピュータシステム
JP7163576B2 (ja) 車両制御システムおよび車両制御装置
CN115827320A (zh) 一种基于fpga的双余度飞控计算机控制装置及方法
CN210181430U (zh) 一种具有冗余安全的异构双核电机伺服控制器
US11481226B2 (en) Control apparatus and reset method of control apparatus
CN113954957A (zh) 扭矩传感器冗余控制方法、装置、线控转向系统及车辆
CN117555310A (zh) 一种冗余智能驾驶控制器的功能设计方法、装置及设备
JP2010101249A (ja) 内燃機関のアイドルストップ制御装置
JPH0717337A (ja) 電子制御ユニットの故障判定方法及び故障判定装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination