某控制器ECU的功能安全分析
0赞这是一位朋友周岩做的PPT介绍里面的一部分。功能安全的内容,从头开始做有很多的内容可以谈,这里借用他的稿子来做个简单的切入。总体而言,分析ECU 的设计是比较难的,特别具有特殊的ASIC的条件下,这里首先拿这个案子出来,下周截取chenxin先生在其书中所设计的主动安全一体化模块中的设计, 以作对比。
我们很难知道其他厂家对模块的ASIL的等级,只能从这些细节的设计中,分享得到一些体会。
1)系统框图
从系统上的分配来看,双MCU的设计
* 角度信号两次采样
* 时钟:主MCU没有晶振、辅MCU有晶振
* ASIC1内有看门狗,辅MCU可复位主MCU
* 主MCU也许有途径复位辅MCU,但需将满足条件设置为较难,以免影响安全性
* EEPROM被设计在辅MCU侧
* CAN1的TXD和RXD被连接到主、辅MCU的相应管脚上
* ASIC1
* 电源
* 看门狗
* Pre-driver
* ASIC2
* 扭矩传感器信号调理电路
* 转角传感器信号调理电路
* 三相桥输出
* 6层板 + 铝基板
2)电源设计
* 电源输入来自两条路径
* 12V电池电源
* 可控电源Vrelay
* 5V给主/辅MCU和ASIC2供电
* 这里看出来似乎是只有一条供电路径,无法得知LDO内部做了何种处理,理论上这样是很脆弱的。
3)电源电压管控采集
* 分别进入主、辅MCU
4)功率驱动
* 主MCU控制电机、辅MCU控制升压;主、辅MCU共同控制禁能PWM
对于这块汽车电子ECU的应用,我也不是特别懂。不过看看不同的双MCU架构,硬件上的分配以及软件内部的工作,甚至是ASIC内的设计,都是很有趣的,欢迎各位一起来探讨。
扩展阅读里面有一份比较有趣的资料,