ETCS-i 硬件设计分析
0赞这是整理ETCS-i第二篇文章,这个系列的报告,多读一下,对以前的安全相关的ECU设计是非常有帮助的。
从设计的角度,其实都是分两个角度来校核设计的情况的,一为功能,从功能角度去分析核心安全功能造成损坏的问题,通常做着做着,下面都变成了块;所以从ECU实现功能转变为ECU的各部分功能(电源、处理器、输入和输出块)就顺理成章了。
原报告里面的鱼骨图,我都一个个挑出来,列出来是这个样子的,以电源为例:
功能为例:ECU认为油门踏板使能
2.1.2 Computer Thinks Pedal Depressed
2.1.2.1 踏板位置传感器输入、电源和线束
2.1.2.1.1 电气连接不良或线束损坏
2.1.2.1.2 传感器故障
2.1.2.1.3 传感器电源或地线故障
2.1.2.1.4 耦合能量舰3.1
2.1.2.2 ECM输入硬件到AD
2.1.2.2.1 ECM电路故障
2.1.2.2.2 模拟滤波器件故障
2.1.2.2.3 AD转换故障
2.1.2.3 ASIC和软件
2.1.2.3.1 ASIC硬件故障
2.1.2.3.2 软件故障(2.3)
2.1.2.3.3 学习算法错误
2.1.2.3.4 电源故障(2.4)
2.1.2.3.5 Watchdog 计时器/Reset故障
2.1.2.3.6 电压监测故障
2.1.2.3.7 主从检测故障
2.1.2.4 电源故障(2.4)
结构为例:ECU电源模块失效
2.4 电源错误
2.4.1 CAN总线电源故障
2.4.1.1 传感器电源故障VOC5
2.4.1.1.1 开关预恒压故障
2.4.1.1.1.1 继电器电源故障
2.4.2 传感器电源故障
2.4.2.1 传感器电源故障VOC6
2.4.2.1.1 开关预恒压故障
2.4.2.1.1.1 继电器电源故障
2.4.3 主MCU电源故障
2.4.3.1 主MCU恒压电源故障VOM5
2.4.3.1.1 开关预恒压故障
2.4.3.1.1.1 继电器电源故障
2.4.3.2 主MCU恒压电源故障VOM2
2.4.3.2.1 开关预恒压故障
2.4.3.2.1.1 继电器电源故障
2.4.3.2.2 电池电压故障
2.4.3.3 主MCU恒压电源故障VOS2
2.4.3.3.1 电池电压故障
2.4.4 子MCU电源故障
整个ECU的系统架构图,由于这是把丰田三代的ECU都拿出来,也可以看到从3个MCU,变成2个MCU再到2MCU和自动变速箱控制器合着一起来控制系统
在报告里面,分别对主从MCU、电源电路和驱动IC做了失效模式的分析,这里重点来谈谈电源电路,这个电源IC是5路独立输出,取电是从KL15和30上取电,同时给主从MCU供电,而且还是一路输出给两个MCU:
1. +5.0 Vdc powers major components involved with throttle control.
这里包括主从单片机(ADC电源、IO口电源),电机驱动IC逻辑电源,加速传感器电源和节气门位置传感器电源
2. +5.0 Vdc for the Main relay driver on the Sub processor.
3. +5.0 Vdc for the CAN bus logic.
4. +1.5 Vdc for the Main processor SRAM.
5. +1.5 Vdc for the Main processor core.
说实话:我觉得有些不可思议,特别是外部的传感器电源,那么多路都是一个5V电源给供的,有点颠覆我的认知
框图和失效鱼骨图
电源电路失效模式分析
·输出过载 电源IC里面做了过载保护,本身的电流负荷余量留了100%
·输出短路 3.5V以下,是将发动机关闭
·欠压 同上
·过电压 会损坏电路,但是不会造成意外加速
·过温 使用SOI技术进行隔离,这里有做了温度降额设计
·电气噪声和电压瞬变 有做足够的EMI防护
·闩锁效应 使用了SOI技术
小结
1)硬件工程师,接下去的工作,确实需要与芯片厂家更紧密的跟踪,其实对丰田来说是一样的,ASIC是定制的,整个内部的芯片FMEA也是有的,模块级的设计就变得简单一些了。你知道多了做的多了,控制多了,自然可以在芯片层面做更多改进,在模块级别做简化
2)如果芯片厂家对你交底的文件和数据不够,还是老老实实像下面这样设计,如果不知道足够详细和足够细致,就得积累这个过程
3)其实从硬件结构来看,ECU本身并不复杂,具体牵涉到外部的传感器和执行机构特性,大量的设计控制工作需要进行,最终系统工作是在软件结构里面成型的
个人拙见,与诸位分享