基于功能安全的电子换挡控制器硬件设计

苏晨曦，周文华，郭修其，高 维

(1.浙江大学能源工程学院，浙江 杭州 310027；2.宁波高发汽车控制系统股份有限公司，浙江 宁波 315000)

0 引言

传统机械液力式自动变速器的换挡操作是通过拉索组合，将换挡指令输入自动变速器，自动变速器对应切换到相应的档位[1]。电子换挡器的优势在于驾驶员的操作命令会首先由控制器进行判断，根据当前的车辆的工况判断是否可以进入目标档位，从而防止档位识别错误、信号传输错误、档位状态与当前汽车工况不符等故障，避免对变速器造成损伤[2]。档位请求的方式从纯机械触发到CAN信号传递的转变，提升了换挡过程的舒适性和可靠性的同时，也带来了电气设计所面临的安全性问题，例如元器件失效、传感器失效等因素导致错误换挡，甚至会危害人身安全。基于此，电子换挡控制器的设计者应该将这些故障发生的概率控制在可以接受的范围内。

1 硬件电路设计

国际标准化组织(ISO)为提高汽车电子、电气产品功能安全，发布了ISO26262《道路车辆功能安全标准》[3]。该标准提供了决定风险等级的具体评估方法——汽车安全完整性等级(ASIL)，通过使用ASIL方法来确定获得可接受的残余风险的必要安全需求[4]。在本项目中，故障导致的危害事件为非预期加速或动力丢失，根据项目对安全具体指标分析确定其安全完整性等级为C(表1)。

表1 危险事件风险评估

为满足功能安全等级ASIL C的要求，硬件设计对关键电路主要采取的技术路线包括：1)数字电路MCU采用Infineon公司AURX系列的TC234型号单片机，其双核架构通过合理配置可以满足安全完整性等级ASIL D的要求；2)关键输入信号如电机位置信号、P挡输入信号采用双路冗余，具有高的故障诊断覆盖率；3)档杆位置传感器采用Infineon公司的TLE5501霍尔芯片，可以满足ASIL D的要求；4)驱动电路核心芯片采用Infineon公司的TLE92104，其具有内部超时看门狗、外部MOSFET源漏极电压检测等功能，并提供独立的外部驱动关断路径；5)电源芯片采用Infineon公司的TLF35584，该芯片除了能为数字电路、传感器等提供稳定的电压，还具有监控主芯片的正常运行、向外部发送故障信号等功能，能够满足ASIL D的要求，可以提高整个系统的安全性。硬件总体方案如图1。

图1 硬件方案示意图

2 硬件安全架构

本硬件设计中与安全相关的硬件架构如图2。

图2 硬件安全架构

监控芯片TLF35584可以监控其内部调压器的输出电压以及芯片温度，同时内置窗口看门狗和功能看门狗，主芯片TC234须向监控芯片发送正确的看门狗触发信号(其中功能看门狗触发信号需要通过SPI指令)，当监控芯片检测出以上故障后，可以采取以下措施： 1)重置主芯片；2)产生中断令主芯片采取相应措施；3)其安全状态控制功能通过关断路径1向外部发送故障信号，关闭驱动输出。主芯片检测到自身的故障后，可向监控芯片的安全状态控制模块发送单片机故障信号，安全状态控制模块通过关断路径1向外部发送故障信号，关闭驱动输出。主芯片可以通过内部程序管控监控芯片的功能完整性，当监控芯片无法向外部发送故障信号或者其与主芯片之间的SPI通信发生异常，则主芯片可以通过SPI指令来重置监控芯片，并通过关断路径2向外部发送故障信号，关闭驱动输出。电机驱动芯片TLE92104内置超时看门狗以检测其与主芯片之间通信的完整性，主芯片需要通过SPI指令向电机驱动芯片发送正确的看门狗触发信号。电机驱动芯片能够监控外部MOSFET的源漏极电压，并且可以向主芯片发送驱动电流反馈信号，以保证驱动输出的可靠性。除电机驱动芯片自身的关断机制外，两路外部关断路径的故障信号均可以关断电机驱动。

2.1 双核锁步主控芯片TC234

主控芯片TC234[5]属于Infineon公司的AURIX系列，在本项目中，除了作为软件运行、信号处理、逻辑运算的平台外，还具有以下内部安全机制：CPU双核锁步、输入输出信号监控、时钟监控、温度监控、电压监控、中断路径硬件监控、SRI安全机制、SRAM/FLASH校验、通信外设CRC校验等。主芯片的安全管理单元(SMU)采集以上安全机制检测出的故障信息后，可令主芯片重置，向电源芯片发送故障信息。还可以通过程序设置，提供电机驱动电路的外部独立关断路径，以防电源芯片或电机驱动芯片无法及时关断驱动、保证安全。

2.2 电源及监控模块设计

2.2.1 电压监控模块

电源(监控)芯片采用TLF35584[6]，其内部具有一个独立的电压监控模块，同时具备一个温度传感器。当输出电压或温度异常时，芯片将采取关闭调压器、重置单片机、产生中断等措施来保护芯片。

2.2.2 看门狗模块

电源芯片配置了两个相互独立的看门狗功能：窗口看门狗和功能看门狗，用于监控主芯片，其工作原理图如图3。

图3 窗口看门狗与功能看门狗工作框图

2.2.2.1 窗口看门狗

主芯片必须要在一个周期内的特定时向电源芯片发送看门狗触发信号，每个有效触发会令窗口看门狗故障计数器减1(最小为0)，每个无效触发出现会令窗口看门狗故障计数器加2；当窗口看门狗故障计数器的值超过计数器阈值(可通过SPI编程设定)时，产生中断，并向外部发送故障信号，关闭驱动输出。

2.2.2.2 功能看门狗

在一个稳定的工作状态下，一个“Question”由看门狗产生，同时一个计时器开始计时，在计数器计数的时间内，看门狗必须得到“Question”对应的正确的“Answer”。功能看门狗的工作逻辑见图4。

图4 功能看门狗工作逻辑图

2.2.3 监控安全机制设计

监控芯片的安全状态控制模块能够监控所有与安全相关的信号并且控制安全状态输出SS1和SS2，发生故障时，作为关断路径1关闭电机驱动输出。该模块的监控功能如图5所示。

图5 安全状态控制功能框图

图5中，ERR为来自主芯片的安全管理单元(SMU)的单片机故障信号。

2.3 档位电机驱动及安全机制设计

2.3.1 电压、温度监控

电机驱动芯TLE92104[7]能够监控外部MOSFET的源漏极电压、电源电压Vs、逻辑电源电压VDD和电荷泵输出电压(VCP)，同时内部集成温度监测电路，可以检测芯片温度。电压或温度异常及监控模块的响应如表2。

表2 TLE92104电压、温度异常及响应

2.3.2 超时看门狗

为了监控与单片机通信的完整性，TLE92104内部集成了一个超时看门狗，TC234需要在设定的看门狗周期内通过SPI指令将控制寄存器的WDTRIG位翻转，其工作逻辑见图6。

图6 超时看门狗工作逻辑图

当看门狗故障被检测到时，所有的MOSFET驱动关闭。

2.3.3 电机驱动独立关断路径设计

独立的安全输出关断路径是指任意故障状态下，主控芯片和电源芯片均可独立关断电机驱动输出，从而确保车辆进入安全状态。现驱动输出关闭机制如下：1)电源芯片出现故障后，主控芯片通过关断路径2关断驱动输出；2)主控芯片未完全失效(如正常应答监控芯片，但内部出现故障无法关断驱动输出)，可通过SMU向电源芯片发送故障信号，通过关断路径1关闭输出；3)主控芯片完全失效(如无法应答监控芯片)时，电源芯片可通过关断路径1关闭驱动输出；4)当电机驱动芯片检测到故障，可自动关闭输出，并向主控芯片反馈故障状态。安全独立关断电路图如图7所示。

图7 安全独立关断电路

3 硬件功能安全指标验证

根据硬件安全架构总结出的系统安全机制以及根据国家标准GB/T.37963(IEC 62380)[8]得到的安全机制诊断覆盖率如表3所示。

表3 硬件技术诊断及其覆盖率

根据ISO26262标准中硬件层面的故障分类流程分析，可以得出与安全目标直接相关的电路为信号输入电路(P挡输出信号、电机位置信号、档杆位置信号检测电路)、CAN通信电路、数字电路MCU、电机驱动电路。该部分的电路如图8所示。

图8 功能安全相关电路

根据故障分类流程及以上安全机制覆盖率可以得到失效模式与失效率计算表格(图9)。

图9 失效模式与失效率

计算可得硬件架构安全相关总失效率[9]：

∑SR，HWλ=358FIT

(1)

单点和残余故障总失效率：

∑SR，HW(λSPF+λRF)=3.236FIT

(2)

潜在故障总失效率：

∑SR，HWλMPF，L=13.7FIT

(3)

经计算，单点故障度量为：

=99.07%>97%

(4)

潜在故障度量为：

=96.13%>80%

(5)

随机硬件失效概率度量为：

PMHF=ΣλSPF+ΣλRF+ΣλDPF，latent

=16.936FIT<100FIT

(6)

由计算结果可知，单点故障度量、潜在故障度量和随机硬件失效概率度量均满足ASIL C的要求。其他电路中，电源电路中具有监控功能，独立关断电路具有保护功能，这两部分电路不会单独导致违背安全目标，考虑其中多点失效的可能性，对其按照上述流程进行指标计算，得出其满足ASIL C等级的要求。由以上分析可以得出：整个硬件系统满足功能安全完整性等级ASIL C的要求。

4 结论

电子换挡系统是汽车电控系统中的重要组成部分，本研究针对ISO26262道路车辆功能安全标准的要求，设计了一种符合安全完整性等级ASIL C的电子换挡器硬件架构，设计了多种硬件故障诊断安全机制，以及独特的输出关断路径，最后完成了硬件指标的相关计算。

研究结果表明：该硬件系统能够满足ASIL C的要求，多重安全机制可以有效地减少单点/残余故障失效率和潜在故障失效率，同时安全输出独立关断功能，可以保证系统在任意故障下都能及时关断输出，具有借鉴意义。