时代汽车 wwwautotime
李漠尘 熊建 赵鑫龙 宋屹璋
北汽福田汽车股份有限公司 北京市 102206
摘 要: 本文介绍了一种应用在新能源商用车VCU 上的电源管理方案,以一款符合车载功能安全(ISO26262标
准和ASIL D 等级)的电源管理芯片FS8510为核心,聚焦电源系统的芯片选型依据和软硬件设计方案,突出其在提升车载电控模块功能安全方面所做的措施。
关键词:新能源商用车 VCU 电源 功能安全 FS8510
1 引言
整车控制器VCU(Vehicle Controller Unit)作为新能源汽车“三电”的核心模块之一,担负着控制汽车行驶的重要任务,其可靠性的高低直接决定着车辆的安全性[14],VCU 的主要功能是依据采集到的的档位及加速踏板等信号,将控制信息发送给各类子系统[11],驱动车辆正常行驶。
随着电控系统越来越多的参与到整车控制中,对电控系统的安全性提出了更高的要求。针对这一情况,国际标准化组织在2011年颁布了ISO26262标准,并在2018年对其进行了更新[5](对应的国家标准为GB/T 34590.1-2017,道路车辆功能安全)。新标准对于大于3.5t 的商用车也开始适用,且引入了半导体层面功能安全。
电源系统是VCU 中不可缺少的重要组成部分。本文简要介绍了以FS8510为核心芯片的电源架构及其软硬件实现方法,突出该方案在满足电压生成、电压监测、休眠唤
醒、看门狗刷新、异常上报等常规功能的基
础上,在提升车载VCU 功能安全方面采取的诸多措施。
2 电源总体方案
下面对应用在新能源商用车VCU 上的电源管理总体方案进行说明,包括核心芯片选型依据、电源架构、FS8510功能介绍等。
2.1 商用车电源芯片选型
VCU 电源芯片在选型过程中,应遵循以下原则。
(1)电源芯片最好适用于24V 商用车系统,这样就无需前级DC/DC 降压电路,可提高电源转换效率。
(2)依据ISO26262的定义,按照严重程度、暴露概率和可控制性的三维风险矩阵,确定应用在VCU 上的电源管理芯片应符合ASIL C 以上安全等级。
表1为在VCU 电源系统设计选型阶段参照的四款常见车载电源管理芯片的对照表。
对照电源芯片选型原则,NXP 公司的
FS8510在满足VCU 电源系统各项需求的基础上,可同时满足12V 和24V 车载系统的应用,且符合ASIL D 安全等级,是新能源商用车VCU 电源管理芯片的理想选择。
2.2 电源架构
图1为VCU 板上供电架构示意图,从图
Functional Safe Power Management Scheme Applied to New Energy Commercial V ehicle VCU
Li Mochen Xiong Jian Zhao Xinlong Song Yizhang
Abstract :
T his article introduces a power management scheme applied to VCU of new energy commercial vehicles, which applies FS8510 which is an automotive functional safe multi-output power supply integrated circuit with ISO26262 standard and ASIL D capable, and focuses on the chip selection basis and hardware/software design solutions for power system to improve the functional safety of the vehicle electronic control module.
Key words :
new energy commercial vehicle, VCU, power, functional safety, FS8510
表1 VCU 电源管理芯片选型
图1 VCU 电源架构
Vbat WAKE1WAKE2
9~32V
5V-IC
3.3V 1.3V 5V-ADC
5.74V
For sensor
GND
中可以看出,该方案用一个芯片满足了硬件所
2.3 FS8510
2.3.1 电压生成
FS8510
表2所列。
表2 电源芯片输入输出电压分配
2.3.2 模拟多路复用器
FS8510提供多路复用器的电源监测功能,
将AMUX脚接到单片机的ADC输入口,通
过SPI/I2C配置AMUX[4:0]实现不同通道
电压的采集。
表3 AMUX输出选择
2.3.3 通信接口
表4 SPI通信数据格式
写命令:MISO[23:8]为写之前寄存器
的内容,MISO[7:0]为FS8510所发内容的
CRC校验码。
读命令:MOSI[23:8]应全为0,MOSI[7:0]
为MCU发送内容的CRC校验码。
2.3.4 休眠唤醒功能
配置“M_MODE”寄存器的
“GOTOSTBY”位为1,芯片将进入休眠模式;
给WAKE1或WAKE2管脚一个上升沿的脉
冲,芯片即被唤醒。
2.3.5 看门狗
电源芯片采用窗口看门狗,前半个窗
口被称作关闭(CLOSED),后半个窗口被
称作打开(OPEN)。有效喂狗操作是指在
OPEN窗口中进行了正确的看门狗应答,无
效喂狗操作是指在OPEN窗口中进行了错误
的看门狗应答,或没有在OPEN窗口中刷新
看门狗,或在CLOSE窗口中进行了正确的
看门狗应答。在一次有效喂狗操作或无效喂
狗操作之后,新的窗口周期立即启动,这就
确保了MCU与窗口看门狗保持同步,如图2
所示,其中的窗口周期和窗口占空比可通过
寄存器配置。
(1)喂狗方式
喂狗方式涉及到MCU与FS8510的交互,
分为如下几个步骤。
①FS8510生成一个16位伪随机码,
作为线性回馈移位寄存器LFSR(Linear
Feedback Shift Register)的值。
②MCU通过读取FS_WD_SEED寄存器
得到看门狗LFSR值,即WD_SEED。
③MCU通过图3所示的公式计算WD_
ANSWER。
图3 复杂看门狗计算公式
aaa-031017
④MCU在OPEN看门狗窗口期间将
WD_ANSWER发送给FS8510。
⑤FS8510对WD_ANSWER进行验
证,如果校验通过,看门狗窗口重启并生
成一个新的LFSR;如果校验失败,WD
错误计数器值增加,看门狗窗口重启且
LFSR的值不变。
(2)看门狗效果
FS8510内含看门狗错误计数器,用于为
无效喂狗操作滤波。每次看门狗刷新失败,
错误计数器的值加2;每次看门狗刷新成功且
其值不为0,错误计数器的值减1。当其值增
为6(可配置)时,可配置RSTB拉低,从
而使单片机复位。
2.3.6 电压管理
电压管理负责监控VCOREMON、
VDDIO和VMONx管脚(x=1、2、3、4)
的输入电压是否过压或欠压。当它们的输入
电压高于或低于理论值的10%时,相关寄存
器的相应标志会置位,同时可通过配置触发
RSTB或FS0B管脚生效(下降沿),表5列
出各管脚监控电压的理论值。
图2 看门狗刷新原理示意图
时代汽车 wwwautotime 表5 电压管理监控电压理论值
商用汽车
2.3.7 工作流程
FS8510的工作流程分为主状态机
(main state machine)和失效安全状态
机(fail-safe state)两部分,是彼此电子
独立、物理分离又同时运行的两套流程。
(1)主状态机
FS8510主状态机主要实现各电压的上
下电。上电顺序为:VPRE、VBOOST、
VREGx(BUCK1、BUCK2、BUCK3、
LDO1、LDO2);下电顺序为:VREGx
(BUCK1、BUCK2、BUCK3、LDO1、
LDO2)、VBOOST、VPRE。
(2)失效安全状态机
失效安全状态机主要涉及到功能安全
相关的操作,包括安全输出口(RSTB、
FS0B)释放、内部自检等。
3 硬件设计
图4为FS8510的应用框图,下面列出新
能源VCU硬件电路电源模块设计的要点。
图4 FS8510应用框图
3.1 唤醒功能
外部信号的上升沿可通过WAKE1或
WAKE2唤醒电源芯片,单片机可监测发生
作用的唤醒源。新能源VCU共设计了5路
唤醒源,其中钥匙开关KL15信号同时连接
WAKE1和WAKE2,目的是当其中一路唤
醒源失效时仍可以通过用户“开启钥匙开关”
保证VCU正常工作。
图5 FS8510唤醒电路
3.2 单片机复位
FS8510芯片的RSTB脚与单片机的
RESET相连,当程序无法正常喂狗导致
RSTB拉低时,可同时触发主控芯片复位。
4 软件设计
新能源VCU软件采用AUTOSAR平台进
行开发,电源部分程序设计分为以下几个部分。
4.1 MCAL和ECAL设计
MCAL是“微控制器抽象层”的简称,
即单片机外设驱动程序设计。与电源软件相
关的MCAL包括DIO、ADC和SPI三个模块,
在“EB Tresos”中配置参数并生成代码即可,
其中SPI通信设定为“异步”方式。
ECAL是“ECU抽象层”的简称,包含
ADC结果轮询读取和模拟量含义封装两部分,
前者以10ms为周期读取各ADC通道的转换
结果;后者将每个模拟量所代表的意义封装
起来供需要的程序模块调用,FS8510驱动仅
需要获取AMUX电压的采样值。
4.2 电源芯片驱动设计
FS8510芯片驱动程序分初始化和主流程
两部分,下面分别进行说明。
4.2.1 芯片驱动初始化
图6为FS8510芯片驱动的初始化流程,
下面分模块进行说明。
(1)初始化FS_I寄存器
FS_I寄存器是指必须在“INIT_FS”阶
段进行初始化操作的寄存器,这里主要将看
门狗窗口寄存器FS_WD_WINDOW配置为
“看门狗窗口周期256ms,看门狗窗口占空
比50%”。
(2)退出INIT_FS
退出“INIT_FS”的方法是执行1次正确
的看门狗刷新。
在正确退出INIT_FS后,RSTB管脚为
高电平,FS0B仍保持低电平状态,需要任意
1次SPI操作使失效安全流程启动ABIST2,
待其校验成功后,再手动释放FS0B,使其变
为高电平。
(3)初始化非FS_I寄存器
根据需要配置非FS_I寄存器,特别指出
的是为满足EMC要求,最好将时钟寄存器
M_CLOCK配置为“主频调制使能”。
(4)时间要求
所有初始化步骤应在100ms内完成,芯
片驱动模块将向应用层上报FS8510初始化成
功或失败的标志。
图6 FS8510芯片驱动初始化流程
4.2.2 芯片驱动主流程
FS8510初始化完成后将周期性执行各个任务,如表6
所列。
表6 FS8510芯片驱动主流程任务描述
(1)管脚采集
FS8510芯片驱动需要采集FS0B 的状态,程序采用“连续2次值一致认定有效”的方式。
(2)AMUX 通道切换
FS8510可通过配置AMUX 寄存器,采用分时复用的方式监测各路模拟量的值,这个任务实现轮询切换
的过程。
(3)看门狗刷新
看门狗窗口周期为256ms,其中CLOSE 窗口128ms,程序在每个周期开始后的150ms 处启动喂狗,图7为看门狗操作程序流程图。
(4)获取芯片运行和异常状态
根据需要获取芯片运行和异常状态,程序分两个步骤进行:读取和存储寄存器的状态;清除寄存器标志。
(5)获取电源芯片安全参数
判定设备安全自检状态:当LBIST_OK、ABIST1_OK、ABIST2_OK 的值均为1时,认为安全自检通过;否则认为安全自检不通过。
获取故障偏差计数器的值:直接读取寄存器值即可。
(6)FS0B 释放
当同时满足以下3个条件时,需执行
FS0B 释放的操作。
①LBIST_OK=ABIST1_OK= ABIST2_OK=1
②故障偏差计数器=0③FS0B=0
图7 看门狗操作程序流程图
5 结语
本文从新能源商用车VCU 对电源系统功能安全方面的需求入手,介绍了以FS8510为核心芯片的板上供电架构及软硬件设计方案。从前文描述可知,该方案的核心芯片符合ASIL D 等级,每一路电压输出都有过欠压监控和保护,两路唤醒源冗余输入,电源芯片与主控芯片进行复杂问答式看门狗交互,这些措施使得其更符合功能安全的要求,为车载ECU 的板上供电方案提供了很好的参考。
参考文献:
[1]FS84_FS85 v3.0,Datasheet,2019.[2]35FS4500-35FS6500SDS,Datasheet,2019.[3]Infineon-TLE9278-3BQX V33-DataSheet-v01_50-EN,Datasheet,2019.
[4]MC33907-MC33908D2,Datasheet,2019.[5]ISO 26262: 2018 Road vehicles-Functional safety.
[6]GB/T 34590.1 - 2017,道路车辆功能安全.[7]王启彬,刘洪梅,曹鲁明,等. 基于ISO26262的商用车车身电控系统功能安全设计[J]. 重型汽车,2019,5: 12-13.[8]何晓宁. 高级电源管理芯片FS1610及其应用[J]. 电子元器件应用,2019,2: 22-28.
[9]徐闯,谭雁清. 基于ISO26262的商用车电动助力转向功能安全设计[J]. 汽车零部件,2018,6:34-36.
[10]孟海斌,张红雨. 嵌入式系统电源芯片选型与应用[J]. 单片机与嵌入式系统应用,2012,12:7-10.
[11]冯云梅,石芹侠,廉小亲. 电源管理芯片MAX710的应用[J]. 北京工商大学学报(自然科学版),2001,12,21-24.
[12]姜朋昌,王春芳,戴能红,等. 纯电动汽车整车控制器开发[J]. 轻型汽车技术,2015,5/6,13-16.
[13]汪静. 纯电动汽车整车控制器的设计[J]. 无线互联科技,2019. 4: 68-70.
[14]王炜. 基于功能安全的电动汽车整车控制器开发与实现[D]. 长沙: 湖南大学,2018.
[15]芦文峰. 满足ISO26262标准的EV 整车控制单元开发研究[D]. 成都: 西华大学,2018.
发布评论