李漠塵 熊建 趙鑫龍 宋屹璋

摘 要：本文介紹了一種應(yīng)用在新能源商用車VCU上的電源管理方案，以一款符合車載功能安全（ISO26262標(biāo)準(zhǔn)和ASIL D等級）的電源管理芯片F(xiàn)S8510為核心，聚焦電源系統(tǒng)的芯片選型依據(jù)和軟硬件設(shè)計方案，突出其在提升車載電控模塊功能安全方面所做的措施。

關(guān)鍵詞：新能源商用車 VCU 電源 功能安全 FS8510

Abstract：This article introduces a power management scheme applied to VCU of new energy commercial vehicles， which applies FS8510 which is an automotive functional safe multi-output power supply integrated circuit with ISO26262 standard and ASIL D capable， and focuses on the chip selection basis and hardware/software design solutions for power system to improve the functional safety of the vehicle electronic control module.

Key words：new energy commercial vehicle， VCU， power， functional safety， FS8510

1 引言

整車控制器VCU（Vehicle Controller Unit）作為新能源汽車“三電”的核心模塊之一，擔(dān)負(fù)著控制汽車行駛的重要任務(wù)，其可靠性的高低直接決定著車輛的安全性[14]，VCU的主要功能是依據(jù)采集到的的檔位及加速踏板等信號，將控制信息發(fā)送給各類子系統(tǒng)[11]，驅(qū)動車輛正常行駛。

隨著電控系統(tǒng)越來越多的參與到整車控制中，對電控系統(tǒng)的安全性提出了更高的要求。針對這一情況，國際標(biāo)準(zhǔn)化組織在2011年頒布了ISO26262標(biāo)準(zhǔn)，并在2018年對其進(jìn)行了更新[5]（對應(yīng)的國家標(biāo)準(zhǔn)為GB/T 34590.1-2017，道路車輛功能安全）。新標(biāo)準(zhǔn)對于大于3.5t的商用車也開始適用，且引入了半導(dǎo)體層面功能安全。

電源系統(tǒng)是VCU中不可缺少的重要組成部分。本文簡要介紹了以FS8510為核心芯片的電源架構(gòu)及其軟硬件實現(xiàn)方法，突出該方案在滿足電壓生成、電壓監(jiān)測、休眠喚醒、看門狗刷新、異常上報等常規(guī)功能的基礎(chǔ)上，在提升車載VCU功能安全方面采取的諸多措施。

2 電源總體方案

下面對應(yīng)用在新能源商用車VCU上的電源管理總體方案進(jìn)行說明，包括核心芯片選型依據(jù)、電源架構(gòu)、FS8510功能介紹等。

2.1 商用車電源芯片選型

VCU電源芯片在選型過程中，應(yīng)遵循以下原則。

（1）電源芯片最好適用于24V商用車系統(tǒng)，這樣就無需前級DC/DC降壓電路，可提高電源轉(zhuǎn)換效率。

（2）依據(jù)ISO26262的定義，按照嚴(yán)重程度、暴露概率和可控制性的三維風(fēng)險矩陣，確定應(yīng)用在VCU上的電源管理芯片應(yīng)符合ASIL C以上安全等級。

表1為在VCU電源系統(tǒng)設(shè)計選型階段參照的四款常見車載電源管理芯片的對照表。

對照電源芯片選型原則，NXP公司的FS8510在滿足VCU電源系統(tǒng)各項需求的基礎(chǔ)上，可同時滿足12V和24V車載系統(tǒng)的應(yīng)用，且符合ASIL D安全等級，是新能源商用車VCU電源管理芯片的理想選擇。

2.2 電源架構(gòu)

圖1為VCU板上供電架構(gòu)示意圖，從圖中可以看出，該方案用一個芯片滿足了硬件所有供電需求，降低了電路復(fù)雜度及物料成本。

2.3 FS8510功能介紹

2.3.1 電壓生成

FS8510的電壓入口是蓄電池電源，出口是通過升壓或降壓電路生成的各個電壓，如表2所列。

2.3.2 模擬多路復(fù)用器

FS8510提供多路復(fù)用器的電源監(jiān)測功能，將AMUX腳接到單片機(jī)的ADC輸入口，通過SPI/I2C配置AMUX[4：0]實現(xiàn)不同通道電壓的采集。

2.3.3 通信接口

單片機(jī)可通過SPI/I2C方式對FS8510的寄存器進(jìn)行配置或讀取。新能源商用車VCU項目中，MCU與FS8510通過四線制SPI通信，通信數(shù)據(jù)格式如表4所列。

寫命令：MISO[23：8]為寫之前寄存器的內(nèi)容，MISO[7：0]為FS8510所發(fā)內(nèi)容的CRC校驗碼。

讀命令：MOSI[23：8]應(yīng)全為0，MOSI[7：0]為MCU發(fā)送內(nèi)容的CRC校驗碼。

2.3.4 休眠喚醒功能

配置“M_MODE”寄存器的“GOTOSTBY”位為1，芯片將進(jìn)入休眠模式;給WAKE1或WAKE2管腳一個上升沿的脈沖，芯片即被喚醒。

2.3.5 看門狗

電源芯片采用窗口看門狗，前半個窗口被稱作關(guān)閉（CLOSED），后半個窗口被稱作打開（OPEN）。有效喂狗操作是指在OPEN窗口中進(jìn)行了正確的看門狗應(yīng)答，無效喂狗操作是指在OPEN窗口中進(jìn)行了錯誤的看門狗應(yīng)答，或沒有在OPEN窗口中刷新看門狗，或在CLOSE窗口中進(jìn)行了正確的看門狗應(yīng)答。在一次有效喂狗操作或無效喂狗操作之后，新的窗口周期立即啟動，這就確保了MCU與窗口看門狗保持同步，如圖2所示，其中的窗口周期和窗口占空比可通過寄存器配置。

（1）喂狗方式

喂狗方式涉及到MCU與FS8510的交互，分為如下幾個步驟。

①FS8510生成一個16位偽隨機(jī)碼，作為線性回饋移位寄存器LFSR（Linear Feedback Shift Register）的值。

②MCU通過讀取FS_WD_SEED寄存器得到看門狗LFSR值，即WD_SEED。

③MCU通過圖3所示的公式計算WD_ANSWER。

④MCU在OPEN看門狗窗口期間將WD_ANSWER發(fā)送給FS8510。

⑤FS8510對WD_ANSWER進(jìn)行驗證，如果校驗通過，看門狗窗口重啟并生成一個新的LFSR;如果校驗失敗，WD錯誤計數(shù)器值增加，看門狗窗口重啟且LFSR的值不變。

（2）看門狗效果

FS8510內(nèi)含看門狗錯誤計數(shù)器，用于為無效喂狗操作濾波。每次看門狗刷新失敗，錯誤計數(shù)器的值加2;每次看門狗刷新成功且其值不為0，錯誤計數(shù)器的值減1。當(dāng)其值增為6（可配置）時，可配置RSTB拉低，從而使單片機(jī)復(fù)位。

2.3.6 電壓管理

電壓管理負(fù)責(zé)監(jiān)控VCOREMON、VDDIO和VMONx管腳（x=1、2、3、4）的輸入電壓是否過壓或欠壓。當(dāng)它們的輸入電壓高于或低于理論值的10%時，相關(guān)寄存器的相應(yīng)標(biāo)志會置位，同時可通過配置觸發(fā)RSTB或FS0B管腳生效（下降沿），表5列出各管腳監(jiān)控電壓的理論值。

2.3.7 工作流程

FS8510的工作流程分為主狀態(tài)機(jī)（main state machine）和失效安全狀態(tài)機(jī)（fail-safe state）兩部分，是彼此電子獨立、物理分離又同時運行的兩套流程。

（1）主狀態(tài)機(jī)

FS8510主狀態(tài)機(jī)主要實現(xiàn)各電壓的上下電。上電順序為：VPRE、VBOOST、VREGx（BUCK1、BUCK2、BUCK3、LDO1、LDO2）;下電順序為：VREGx（BUCK1、BUCK2、BUCK3、LDO1、LDO2）、VBOOST、VPRE。

（2）失效安全狀態(tài)機(jī)

失效安全狀態(tài)機(jī)主要涉及到功能安全相關(guān)的操作，包括安全輸出口（RSTB、FS0B）釋放、內(nèi)部自檢等。

3 硬件設(shè)計

圖4為FS8510的應(yīng)用框圖，下面列出新能源VCU硬件電路電源模塊設(shè)計的要點。

3.1 喚醒功能

外部信號的上升沿可通過WAKE1或WAKE2喚醒電源芯片，單片機(jī)可監(jiān)測發(fā)生作用的喚醒源。新能源VCU共設(shè)計了5路喚醒源，其中鑰匙開關(guān)KL15信號同時連接WAKE1和WAKE2，目的是當(dāng)其中一路喚醒源失效時仍可以通過用戶“開啟鑰匙開關(guān)”保證VCU正常工作。

3.2 單片機(jī)復(fù)位

FS8510芯片的RSTB腳與單片機(jī)的RESET相連，當(dāng)程序無法正常喂狗導(dǎo)致RSTB拉低時，可同時觸發(fā)主控芯片復(fù)位。

4 軟件設(shè)計

新能源VCU軟件采用AUTOSAR平臺進(jìn)行開發(fā)，電源部分程序設(shè)計分為以下幾個部分。

4.1 MCAL和ECAL設(shè)計

MCAL是“微控制器抽象層”的簡稱，即單片機(jī)外設(shè)驅(qū)動程序設(shè)計。與電源軟件相關(guān)的MCAL包括DIO、ADC和SPI三個模塊，在“EB Tresos”中配置參數(shù)并生成代碼即可，其中SPI通信設(shè)定為“異步”方式。

ECAL是“ECU抽象層”的簡稱，包含ADC結(jié)果輪詢讀取和模擬量含義封裝兩部分，前者以10ms為周期讀取各ADC通道的轉(zhuǎn)換結(jié)果;后者將每個模擬量所代表的意義封裝起來供需要的程序模塊調(diào)用，F(xiàn)S8510驅(qū)動僅需要獲取AMUX電壓的采樣值。

4.2 電源芯片驅(qū)動設(shè)計

FS8510芯片驅(qū)動程序分初始化和主流程兩部分，下面分別進(jìn)行說明。

4.2.1 芯片驅(qū)動初始化

圖6為FS8510芯片驅(qū)動的初始化流程，下面分模塊進(jìn)行說明。

（1）初始化FS_I寄存器

FS_I寄存器是指必須在“INIT_FS”階段進(jìn)行初始化操作的寄存器，這里主要將看門狗窗口寄存器FS_WD_WINDOW配置為“看門狗窗口周期256ms，看門狗窗口占空比50%”。

（2）退出INIT_FS

退出“INIT_FS”的方法是執(zhí)行1次正確的看門狗刷新。

在正確退出INIT_FS后，RSTB管腳為高電平，F(xiàn)S0B仍保持低電平狀態(tài)，需要任意1次SPI操作使失效安全流程啟動ABIST2，待其校驗成功后，再手動釋放FS0B，使其變?yōu)楦唠娖健?/p>

（3）初始化非FS_I寄存器

根據(jù)需要配置非FS_I寄存器，特別指出的是為滿足EMC要求，最好將時鐘寄存器M_CLOCK配置為“主頻調(diào)制使能”。

（4）時間要求

所有初始化步驟應(yīng)在100ms內(nèi)完成，芯片驅(qū)動模塊將向應(yīng)用層上報FS8510初始化成功或失敗的標(biāo)志。

4.2.2 芯片驅(qū)動主流程

FS8510初始化完成后將周期性執(zhí)行各個任務(wù)，如表6所列。

（1）管腳采集

FS8510芯片驅(qū)動需要采集FS0B的狀態(tài)，程序采用“連續(xù)2次值一致認(rèn)定有效”的方式。

（2）AMUX通道切換

FS8510可通過配置AMUX寄存器，采用分時復(fù)用的方式監(jiān)測各路模擬量的值，這個任務(wù)實現(xiàn)輪詢切換的過程。

（3）看門狗刷新

看門狗窗口周期為256ms，其中CLOSE窗口128ms，程序在每個周期開始后的150ms處啟動喂狗，圖7為看門狗操作程序流程圖。

（4）獲取芯片運行和異常狀態(tài)

根據(jù)需要獲取芯片運行和異常狀態(tài)，程序分兩個步驟進(jìn)行：讀取和存儲寄存器的狀態(tài);清除寄存器標(biāo)志。

（5）獲取電源芯片安全參數(shù)

判定設(shè)備安全自檢狀態(tài)：當(dāng)LBIST_OK、ABIST1_OK、ABIST2_OK的值均為1時，認(rèn)為安全自檢通過;否則認(rèn)為安全自檢不通過。

獲取故障偏差計數(shù)器的值：直接讀取寄存器值即可。

（6）FS0B釋放

當(dāng)同時滿足以下3個條件時，需執(zhí)行FS0B釋放的操作。

①LBIST_OK=ABIST1_OK= ABIST2_OK=1

②故障偏差計數(shù)器=0

③FS0B=0

5 結(jié)語

本文從新能源商用車VCU對電源系統(tǒng)功能安全方面的需求入手，介紹了以FS8510為核心芯片的板上供電架構(gòu)及軟硬件設(shè)計方案。從前文描述可知，該方案的核心芯片符合ASIL D等級，每一路電壓輸出都有過欠壓監(jiān)控和保護(hù)，兩路喚醒源冗余輸入，電源芯片與主控芯片進(jìn)行復(fù)雜問答式看門狗交互，這些措施使得其更符合功能安全的要求，為車載ECU的板上供電方案提供了很好的參考。

參考文獻(xiàn)：

[1]FS84_FS85 v3.0，Datasheet，2019.

[2]35FS4500-35FS6500SDS，Datasheet，2019.

[3]Infineon-TLE9278-3BQX V33-DataSheet-v01_50-EN，Datasheet，2019.

[4]MC33907-MC33908D2，Datasheet，2019.

[5]ISO 26262： 2018 Road vehicles-Functional safety.

[6]GB/T 34590.1 - 2017，道路車輛功能安全.

[7]王啟彬，劉洪梅，曹魯明，等. 基于ISO26262的商用車車身電控系統(tǒng)功能安全設(shè)計[J]. 重型汽車，2019，5： 12-13.

[8]何曉寧. 高級電源管理芯片F(xiàn)S1610及其應(yīng)用[J]. 電子元器件應(yīng)用，2019，2： 22-28.

[9]徐闖，譚雁清. 基于ISO26262的商用車電動助力轉(zhuǎn)向功能安全設(shè)計[J]. 汽車零部件，2018，6：34-36.

[10]孟海斌，張紅雨. 嵌入式系統(tǒng)電源芯片選型與應(yīng)用[J]. 單片機(jī)與嵌入式系統(tǒng)應(yīng)用，2012，12：7-10.

[11]馮云梅，石芹俠，廉小親. 電源管理芯片MAX710的應(yīng)用[J]. 北京工商大學(xué)學(xué)報（自然科學(xué)版），2001，12，21-24.

[12]姜朋昌，王春芳，戴能紅，等. 純電動汽車整車控制器開發(fā)[J]. 輕型汽車技術(shù)，2015，5/6，13-16.

[13]汪靜. 純電動汽車整車控制器的設(shè)計[J]. 無線互聯(lián)科技，2019. 4： 68-70.

[14]王煒. 基于功能安全的電動汽車整車控制器開發(fā)與實現(xiàn)[D]. 長沙： 湖南大學(xué)，2018.

[15]蘆文峰. 滿足ISO26262標(biāo)準(zhǔn)的EV整車控制單元開發(fā)研究[D]. 成都： 西華大學(xué)，2018.