具有功能安全保護和集成網關的整車控制器的制作方法

本實用新型涉及電動汽車技術領域，尤其涉及電動汽車中控制技術領域，具體是指一種具有功能安全保護和集成網關的整車控制器。

背景技術：

整車控制模塊是電動汽車控制系統的核心部件，它控制汽車主要核心部件如空調、EPS、DCDC、巡航、方向盤、充電等其他系統，它不僅控制車輛的正常行駛，還對車輛的狀態進行監控，在電動汽車上起到關鍵性的作用。

網關控制模塊是電動汽車電子架構中的核心部件，其作為整車網絡的數據交互樞紐，可將CAN、LIN、MOST等網絡數據在不同網絡中進行路由。另外，由于獨立網關控制器的存在，整車電子架構的設計可以更加優化，整車廠可以通過它來提高整車拓撲結構的可擴展性、整車的安全性，以及整車網絡數據的保密性。因此，網關控制器已經日益成為整車電子電氣架構中不可或缺的重要部件。

然而，網關及整車控制系統與安全密切相關，其中可能存在的系統性失效和隨機硬件失效，有導致汽車安全事故的風險。由于系統的復雜性和集成度在不斷提高，這種風險也隨之增大；因此，為了使系統自身的安全性應得到保證，即其中可能存在的殘余安全風險應當被控制在可接受的范圍之內。為此，國際標準化組織(ISO)成立了工作組，研究并制定了汽車電子電氣系統的功能安全國際標準ISO26262。

功能安全是指避免由系統功能性故障導致的不可接受的風險。功能安全關注系統故障后的行為，而不是系統的原有功能或性能。功能安全的概念設計必須與整個系統的概念設計同步進行。在概念設計階段，要基于系統定義和系統初步架構，分析可能存在的功能安全風險并評估風險的等級。然后根據功能安全風險定義安全目標和針對每個安全目標的功能安全概念。以采用電子節氣門的發動機管理系統為例，加速踏板位置傳感器信號是發動機輸出轉矩主要決定因素，若該傳感器發生故障使其指示位置大于實際位置，則可能導致發動機輸出轉矩過大，造成車輛發生非駕駛員期望的加速，這是發動機管理系統的一個功能安全風險。從設計上采取措施，使加速踏板傳感器故障發生時發動機轉矩仍然可控，則提高了發動機管理 系統的安全性。

技術實現要素：

本實用新型的目的是克服了上述現有技術的缺點，提供了一種能夠實現增加功能安全性保護、提高電動汽車控制準確性和穩定性的具有功能安全保護和集成網關的整車控制器。

為了實現上述目的，本實用新型具有如下構成：

該具有功能安全保護和集成網關的整車控制器，其主要特點是，所述的控制器包括網關模塊和整車控制模塊，所訴的網關模塊包括副MCU控制單元，所述的整車控制模塊包括主MCU控制單元，所述的副MCU控制單元和主MCU控制單元相通信，所述的主MCU控制單元連接有高有效電平輸入單元、低有效電平輸入單元、高邊輸出單元和低邊輸出單元，所述的副MCU控制單元連接有網絡管理單元、網絡診斷單元和喚醒單元。

較佳地，所述的主MCU控制單元采用TC275芯片，所述的副MCU控制單元采用TC234芯片。

較佳地，所述的主MCU控制單元和副MCU控制單元之間通過SPI總線進行通信。

較佳地，所述的主MCU控制單元還連接有傳感器供電單元。

較佳地，所述的主MCU控制單元還連接有模擬通道輸入單元和PWM通道輸入單元。

較佳地，所述的主MCU控制單元還連接有CAN通信單元。

較佳地，所述的主MCU控制單元還連接有實時時鐘單元。

較佳地，所述的網絡診斷單元包括網關自診斷子單元、整車網絡相關診斷子單元和整車對外診斷接口，喚醒單元包括本地喚醒子單元和總線喚醒子單元。

較佳地，所述的副MCU控制單元還連接有bootloader單元、速率轉換與協議翻譯單元和報文/信號路由功能單元。

較佳地，所述的副MCU控制單元還連接有開關采集單元、整車節點配置單元、整車數據信息備份單元和整車運輸模式控制單元。

采用了該實用新型中的具有功能安全保護和集成網關的整車控制器，通過設置網關模塊和整車控制模塊，采用雙CPU模式，在整車控制模塊和網關模塊中增加功能安全性保護，對電動汽車的整車控制進行優化，提高了整車控制的安全性、準確性和穩定性，具有更廣泛的應用范圍。

附圖說明

圖1為本實用新型的網關模塊的結構示意圖。

圖2為本實用新型的整車控制模塊的結構示意圖。

圖3為本實用新型的具有功能安全保護和集成網關的整車控制器的結構示意圖。

具體實施方式

為了能夠更清楚地描述本實用新型的技術內容，下面結合具體實施例來進行進一步的描述。

本實用新型的具有功能安全保護和集成網關的整車控制器，其主要特點是，所述的控制器包括網關模塊和整車控制模塊，所訴的網關模塊包括副MCU控制單元，所述的整車控制模塊包括主MCU控制單元，所述的副MCU控制單元和主MCU控制單元相通信，所述的主MCU控制單元連接有高有效電平輸入單元、低有效電平輸入單元、高邊輸出單元和低邊輸出單元，所述的副MCU控制單元連接有網絡管理單元、網絡診斷單元和喚醒單元。

在一種較佳的實施方式中，所述的主MCU控制單元采用TC275芯片，所述的副MCU控制單元采用TC234芯片。

在一種較佳的實施方式中，所述的主MCU控制單元和副MCU控制單元之間通過SPI總線進行通信。

在一種較佳的實施方式中，所述的主MCU控制單元還連接有傳感器供電單元。

在一種較佳的實施方式中，所述的主MCU控制單元還連接有模擬通道輸入單元和PWM通道輸入單元。

在一種較佳的實施方式中，所述的主MCU控制單元還連接有CAN通信單元。

在一種較佳的實施方式中，所述的主MCU控制單元還連接有實時時鐘單元。

在一種較佳的實施方式中，所述的網絡診斷單元包括網關自診斷子單元、整車網絡相關診斷子單元和整車對外診斷接口，喚醒單元包括本地喚醒子單元和總線喚醒子單元。

在一種較佳的實施方式中，所述的副MCU控制單元還連接有bootloader單元、速率轉換與協議翻譯單元和報文/信號路由功能單元。

在一種較佳的實施方式中，所述的副MCU控制單元還連接有開關采集單元、整車節點配置單元、整車數據信息備份單元和整車運輸模式控制單元。

為達到以上要求，如圖3所示，本實用新型的整車控制器采用包括：滿足ISO26262要求設計的電源芯片、雙MCU單元及功率輸出模塊邏輯控制等。

1、根據ISO26262開發的適合功能安全系統的TLF35584模塊；

2、雙MCU模塊均采用英飛凌最新AURIX多核架構。通過ISO26262認證的流程開發和 設計，可高效地滿足ASIL D級應用的要求。這種多核架構在多樣的鎖步架構中使用多達兩顆TriCore CPU，并結合采用安全內部通信總線和分布式內存保護系統等安全技術。創新的封裝技術允許不同來源的具備不同安全等級(高達ASIL D)的軟件實現集成。與傳統的鎖步架構相比，安全系統的開發工作量可減少30％，從而縮短產品的開發周期。此外，為滿足未來更好地防止汽車應用被盜竊、欺詐或篡改的安全要求，AURIX系列的各款產品均內置一個硬件安全模塊(HSM)。

主MCU采用TC275；不同的鎖步架構，以降低ISO26262系統的開發工作；高集成度，可降低復雜性和顯著的成本節約；Delta-Sigma模擬到數字的快速和精確的測量轉換器；創新的單電源的概念導致了低功耗和低成本的外部電源；可擴展封裝系列跨平臺概念的靈活性；多核調試，跟蹤和校準專用仿真設備芯片(ED)；ISO26262符合支持安全要求達到ASIL-DAUTOSAR V3.2和V4.x中；

副MCU采用TC234；不同的鎖步架構，以減少對ASIL-D系統的開發工作；高集成度，可降低復雜性和顯著的成本節約；在外部電源最好的一流的功耗和成本節約創新的單電源供電的概念；可擴展的性能，封裝，內存方面和外圍設備跨平臺概念的靈活性；最新連接CANFD(靈活的數據速率)；硬件安全模塊，以滿足最新的標準EVITA；從質量管理的可擴展安全ASIL D；

如圖2所示，整車控制模塊包括如下功能：1、高有效電平輸入單元；2、低有效電平輸入單元；3、模擬通道輸入單元；4、PWM通道輸入單元；5、各路傳感器供電單元；6、CAN通信單元；7、主MCU控制單元；8、高邊輸出單元；9、低邊輸出單元；10、實時時鐘單元；

其中高有效、低有效及模擬通道輸入分別對油門、剎車、檔位、空調、EPS、PTC、充電等整車主要信號進行采集監控；

傳感器供電單元分別給撥片開關、巡航開關、溫度傳感器、壓力傳感器等供電；

主MCU控制單元用來監控整車各路信號并處理，同時和輔助MCU進行通信，實現數據交互；

高低邊輸出單元用來控制車上各路繼電器，并進行診斷，反饋控制結果；并輸出使能車上其他模塊，實現整車的控制；

此外，還包含4路普通CAN總線和高速CAN總線。對外用于和車內其他模塊之間的通信；對內預留和網關模塊交互通信；

實時時鐘單元來提高整車控制功能的多樣化，可以精確記錄當前時間，滿足用戶的需要。

如圖1所示，以上網關模塊功能包括：副MCU內部具有6路CAN總線擴展；其中包括 普通CAN總線和高速CAN總線以及喚醒功能；此網關具有網絡管理、網關自診斷、整車網絡相關診斷、本地喚醒、總線喚醒、整車對外診斷接口、bootloader(引導加載程序)、速率轉換與協議翻譯、報文/信號路由功能、開關采集、整車節點配置、整車數據信息備份、整車運輸模式控制及其他等功能。此外，LIN總線也擴展了其功能的通用性。

本實用新型的具有功能安全保護和集成網關的整車控制器的技術方案中，其中所包括的各個功能設備和模塊裝置均能夠對應于實際的具體硬件電路結構，因此這些模塊和單元僅利用硬件電路結構就可以實現，不需要輔助以特定的控制軟件即可以自動實現相應功能。

采用了該實用新型中的具有功能安全保護和集成網關的整車控制器，通過設置網關模塊和整車控制模塊，采用雙CPU模式，在整車控制模塊和網關模塊中增加功能安全性保護，對電動汽車的整車控制進行優化，提高了整車控制的安全性、準確性和穩定性，具有更廣泛的應用范圍。

在此說明書中，本實用新型已參照其特定的實施例作了描述。但是，很顯然仍可以作出各種修改和變換而不背離本實用新型的精神和范圍。因此，說明書和附圖應被認為是說明性的而非限制性的。