基于AURIX的电动汽车电池管理系统电源模块设计

谢立洁 杜森 徐梓荐 翟世欢

（天津易鼎丰动力科技有限公司）

近几年，新能源汽车越来越受到人们的广泛关注。其中，以电动汽车发展最为迅速。除去国家对新能源汽车颁布的相关优惠政策及财政补贴之外，最主要的还是人们的环保意识增强。相比于传统汽车，电动汽车电子系统的复杂度更高，汽车电子的系统失效和随机失效可能导致的安全风险也随之提高。为此，ISO组织在2011年11月颁布了和汽车相关的功能安全标准ISO 26262[1]，为汽车电子提供了在整个生命周期中的工作流程和管理流程的指导。文章采用符合文献 [1]的AURIX TC234L与电源芯片TLF35584，加上搭建了基于MCAL软件架构和功能安全测试库SafeTlib的软件平台，在一定程度上提高了BMS的安全性与可靠性。

1　硬件介绍

1.1　AURIX TC234L单片机

AURIX是英飞凌公司推出的32位微控制器系列，堪称汽车电子系统中性能与安全的完美结合。其中本设计中采用的AURIX TC234L是具有高度创新的安全技术[2]，包括：1）独特的锁步架构，具备时钟延迟；2）配备多个不同类型的定时器模块（GTM，CCU6，GPT12）；3）访问许可系统；4）安全管理单元；5）DMA；6）I/O、时钟及电压监测器；7）满足文献[1]中的ASIL-D的安全要求。

1.2　TLF35584基本特性

本设计中采用的TLF35584是高性能电源管理芯片，因其具有其他芯片不可替代的优点，现在逐渐应用到电动汽车相关控制器上，TLF35584芯片主要有以下特性[3]6：

1）该芯片是一种高效率多电压电源芯片；2）该芯片具有串行升压和降压稳压器的宽输入，电压范围：3～40 V；3）功能全且功耗损失低；4）该芯片提供启用、同步输出信号及电压监测（内部），用于可选外柱的装置核心供应调节器；5） 备用调节器 5 V/10 mA（TLF35584xxvs1）或 3.3 V/10 mA（tlf35584xxvs2）；6）具有复位功能的独立电压监视块；7）可配置窗口狗和看门狗的功能；8）该芯片具有16位SPI；9）具有可编程延迟的2个安全状态信号。

2　基于AURIX与TLF35584的电池管理系统（BMS）电源模块硬件设计

TC234L与TLF35584通过SPI进行通信，TLF35584在上电后会自动开启，并进入初始化状态（INIT）。首先TC234L在进行正确的配置之后（SPI通信）控制TLF35584进入正常状态（NORMAL），然后对TLF35584进行周期喂狗和读取TLF35584的状态（SPI通信），最后在检测到上电触发信号消失后，控制TLF35584进入等待状态（STANDBY）实现BMS的下电。

应用TLF35584与TC234L的BMS电源模块硬件设计原理图，如图1和图2所示。

图1　TLF35584硬件原理图截图

图2　TC234L电源部分硬件原理图截图

2.1　与TLF35584的唤醒功能相关的触发机制

1）TLF35584状态从FAILSAFE进入INIT，或者从低功耗模式STANDBY进入INIT，或者从SLEEP进入WAKE时，可以通过控制TLF35584上面的ENA和WAK引脚完成。

2）TLF35584状态从 NORMAL进入 SLEEP状态时，如果产生ENA或WAK的控制使能，则状态进入WAKE，并产生一个中断。

3）TLF35584状态从NORMAL进入STANDBY时，如果产生ENA或WAK的控制使能，则会进入INIT状态，并产生一个复位操作。

ENA和WAK信号中，只要一个信号使能则触发BMS上电，ENA和WAK引脚的连接参看图1。ENA信号使能条件为一个小于10 μs的从0.8 V上升到2 V的上升沿。

电动汽车中的钥匙信号和快充12 V信号将连接到ENA信号触发BMS上电。触发ENA信号原理图，如图3所示。

图3　钥匙信号和快充12 V信号触发ENA信号原理图截图

WAK信号使能的条件是一个持续40 μs的高于2 V的高电平。

电动汽车中的慢充CC信号、慢充CP信号、实时时钟RTC、单片机TC234L使能信号及CAN激活信号将连接到WAK信号触发BMS上电。触发WAK信号原理图，如图4所示。

图4　控制器信号触发源触发WAK信号原理图截图

2.2　TLF35584的供电管理

TLF35584是高性能电源管理芯片，其支持升压和降压预调节（PreRegulators），可以满足3～40 V的宽电压输入。该芯片可以提供后向的不同电压输出（Post Regulators），为BMS电路中的其他器件提供电源，参看图 1。包括：5 V/200 mA的通信电源 LDO_Com（QCO）；3.3 V/600 mA的 TC234L供电电压 LDO_uC（QUC）；150 mA用于 ADC的参考电压 Volt_Ref（QVR）；2个 150 mA传感器供电电源 Tracker1和Tracker2（QT1，QT2）。此外，还有独立于上述2个模块的Standby Regulator（QST）为 CC信号、CP信号和 RTC激活信号提供电源。

2.3　TLF35584的安全管理

TLF35584的安全管理包括监控过压、欠压、过流、过温及过载；监控TC234L输出的故障引脚；安全状态控制包括TLF35584的引脚SS1、SS2及看门狗（窗口狗和功能狗）。当TLF35584检测到高危异常，将会进入故障状态（FAILSAFE），故障状态下所有供电电源将会关闭，看门狗功能关闭，安全状态控制为低电平。故障状态下各功能状态，如图5所示。

图5　故障状态下各功能状态显示界面

3　基于AURIX与TLF35584的BMS电源模块软件设计

3.1　TC234L的时序设计

TC234L时序图，如图6所示。

图6　单片机TC234L时序图

3.2　初始化阶段

BMS上电后进入初始化阶段，包括系统时钟初始化、GTM模块初始化（定时模块）、PORT模块初始化、SPI模块初始化、SMU模块初始化、测试模块初始化及TLF35584配置初始化[3]148。其中测试模块初始化包含EarlyPreRun和PreRun 2个阶段，这2个阶段能够对潜在故障进行检测。

3.2.1定时配置

设置TC234L的系统时钟频率为120 MHz，GTM模块的时钟频率为60 MHz，使用分频因子为65536的CLOCK4，选用TOM0通道实现10 ms的时钟周期定时[4]。

3.2.2SPI配置

TC234L使用QSPI2控制TLF35584，通过EBtresos实现对SPI的配置。SPI时钟频率为60 MHz，QSPI2管脚设置[5]，如表1所示。

表1　QSPI2管脚设置

3.2.3SMU模块的FSP配置

TLF35584能够实现对TC234L的FSP（Error Pin）的监控，通过EBtresos实现对SMU模块FSP配置。配置参数，如表2所示。

表2　SMU模块FSP配置

3.2.4测试模块初始化

EarlyPreRun阶段包括测试函数CpuSbstTst，CpuS-bstTst，CpuBusMpuLfmTst，CpuMpuTst，DmaTst，FceTst，IomTst及 IRTst。

PreRun阶段包括测试函数 LmuBusMpuLfmTst，PhlSramTst，PmuEccEdcTst，SpbTst，SramEccTst，SriTst及WdgTst。

3.2.5TLF35584配置初始化

TLF35584配置初始化包括使能TLF35584的供电引脚，使能窗口狗和看门狗设置开关窗口时间均为500 ms，设置功能狗的异或码等。

TLF35584初始化配置完成后通过SPI指令（0x55，0xFA，0x56及 0x05）控制 TLF35584进入 Normal模式。

3.3　周期执行阶段

在周期执行阶段BMS处理其实现的基本功能外，涉及的与TLF35584对接周期执行的模块有测试模块和定时喂狗模块。每次Run测试阶段运行结束，都会调用喂狗函数将计算得出的测试签名传递给TLF35584看门狗。

TLF35584包含窗口狗和功能狗，窗口狗需在开窗口时间进行喂狗，功能狗需TCL234L获得TLF35584提供的种子值（通过SPI），根据种子值计算签名值，并在规定时间内喂狗[6]。

TCL234L根据随机种子计算签名值的方法为：TCL234L对涉及硬件安全机制的模块进行自检，自检的方式为对内部程序流进行监控。程序流监控的输入参数有：种子输入、固定的测试ID、测试输入参数、中间参数及最后测试结果。这些输入利用CRC算法进行计算得到测试签名，每个测试都会产生相应的签名。所有签名值最后被合并为一个联合签名值，并将其作为功能狗喂狗密码。CPU周期执行流程，如图7所示。图7中Run阶段执行的相关测试函数包括CpuSbstTst。

图7　CPU周期执行流程图

3.4　掉电阶段

当TC234L检测到进入BMS的外部信号（KEY_ON，EXT_A+，CC_WAKEUP，CP_WAKEUP，RTC_WAKEUP）全部无效时，测试模块进入PostRun阶段，停止对测试函数的周期执行，延时4 s后通过控制TLF35584进入STANDBY模式实现控制器的掉电。

4　基于AURIX与TLF35584的BMS电源模块的试验结果及分析

4.1　初始化阶段

使用劳特巴赫工具来调试在整个程序运行过程中的变化及测试结果的变化情况。初始化配置TLF35584及控制TLF35584进入Normal模式的SPI波形图，如图8所示。

图8　初始化阶段SPI通信波形图

4.2　周期执行阶段

在周期执行期间，由外部看门狗生成的一个随机数作为程序流监控的种子，看门狗生成的随机数TstM_TstSeed为 0x5。

每个自检函数运行结束后，会生成一个相应的Result值。测试结果，如图9所示。对于Result的值，若最后2位为FF，则说明自检函数执行成功；反之，则说明自检函数检测出了硬件安全机制的错误。然后可以根据错误代码来找出相应的错误原因。

图9　自检结果显示界面

随机生成的种子值与每个Result值经过CRC算法计算得到签名值。测试签名显示界面，如图10所示。

图10　测试签名值显示界面

所有签名值最后被合并为一个联合签名值，并将其作为喂狗密码。在规定时间内喂狗时，喂狗SPI波形图，如图11所示。

图11　周期喂狗SPI通信图

4.3　软件复位和下电阶段

通过CAN总线发送特定CAN报文触发BMS程序非正常对TLF35584进行喂狗，能够触发软件复位。

监控信号状态，当满足下电条件（所有触发TLF35584上电的信号无效），发送 SPI数据（0x55，0xEC，0x56，0x13）能够触发 BMS成功下电。

5　结论

文章基于AURIX与TLF35584的BMS电源管理模块设计，能够有效实现电动汽车上多种信号激活BMS上电，实现电动汽车正常行驶、快充及慢充的过程。通过TLF35584的安全管理，保证在BMS硬件出现高危异常的状态下，所有供电电源将会关闭，BMS停止工作，在BMS软件运行不正常的状态（如快充状态下程序跑飞）能够及时复位，保证电动车的安全性。本设计与实现经过多次仿真测试和实车测试，结果证明应用该设计的电池管理系统运行稳定可靠。