您可以捐助,支持我们的公益事业。

1元 10元 50元





认证码:  验证码,看不清楚?请点击刷新验证码 必填



  求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
   
 
     
   
 
 订阅
动力总成变速箱ECU的电源平台和功能安全概念建议
 
作者: AlphaApe
  127  次浏览      2 次
 2024-5-22
 
编辑推荐:
本文主要展示如何按照所提出的设计方法,将功能安全概念应用于真实的安全关键系统。 希望对你的学习有帮助。
本文来自于微信公众号猿力部落,由火龙果软件Linda编辑、推荐。

摘要:在过去的十年中,现代车辆变得非常复杂,配备了嵌入式电子系统,其中包括上千个电子控制单元(ECU)。因此,必须分析汽车系统失效的潜在风险,因为这可能会对人类安全产生重大影响。本文在系统基础芯片(SBC)的电源管理层面提出了一种新颖的功能安全概念,涵盖从开发阶段到系统设计的整个过程。在本例中,安全关键应用由动力总成变速箱电子控制单元代表。提出了逐步的设计指导程序,重点关注成本、安全性和性能,以获得稳健、经济高效、安全和可靠的设计。为了证明符合ISO 26262标准,对硬件进行了最坏情况的定量评估。评估结果使拟议设计符合汽车安全完整性等级(ASIL,最高ASIL-D)。本文的主要贡献是展示如何按照所提出的设计方法,将功能安全概念应用于真实的安全关键系统。

01. 简介

众所周知,汽车集成电路封装不断变小,但封装内集成的功能却越来越多。这也适用于电源模块,它代表电子控制单元 (ECU) 的主电路之一。通常,在汽车中,此类电源模块称为系统基础芯片(SBC)。除了电源之外,它还集成了多种功能,例如用于通信接口的集成收发器、高速控制器局域网(CAN)和本地互连网络(LIN),以及唤醒逻辑输入、看门狗、复位发生器故障输出和中断输出等监控功能。SBC设备在市场上并不陌生,但由于其高集成度、性能和可靠性,它们的使用量在过去一段时间内不断增加。这些优点使它们成为限制设计成本的完美解决方案。通过集成离散组件,ECU成本显著降低。然而,这并不意味着所有组件都是集成的。由于功率耗散有限,一些功率元件仍然是离散的,例如转换器内的功率开关晶体管模块。

需要强调的是,不仅是成本目标,还有功能安全和网络安全,这代表了汽车行业的特殊要求,特别是对于动力总成应用,安全SBC架构应支持对关键安全参数的独立监控。例如,它是电池管理系统的能源和功率管理,以及电动和混合动力汽车应用中的转向和变速箱控制的重要功能。在这些情况下,SBC应满足汽车安全完整性等级 (ASIL) C x, 甚至更高的ASIL-D,并且必须符合ISO 26262和 IEC 61508要求。因此,电源管理的高级诊断必须与电源管理的安全性结合起来,并在系统请求时触发安全状态。在典型的传输控制单元(TCU)应用中,微控制器代表主机并通过串行外设接口(SPI)控制SBC(从机)。微控制器能够使用SBC的集成功能(称为问答 (Q&A) 看门狗)检测故障,从而确保安全运行。当集成功能控制单元检测到可能的SBC故障时,预计会进行多种诊断,例如过欠压或过温。

为了满足动力系统在成本和安全方面的要求,合适的SBC可以是NXP的FS65xx。灵活且可扩展的NXP SBC补充了需要功能安全的动力系统微控制器平台。这些SBC具有支持2.7V至60V输入电压范围(适用于12V和24V市场)的降压-升压DC-DC架构以及可扩展的电源选项,为高性能微控制器提供了节能的解决方案。英飞凌AURIX™ TC3xx微控制器也非常适合安全关键型应用。这些微控制器将性能功能与强大的安全架构相结合,这使得它们非常适合动力总成应用。

对于硬件工程师来说,设计和优化安全电源已成为一项强制性任务。不幸的是,这项任务通常非常耗时且在技术上具有挑战性。为了简化设计任务并提高设计质量和工程师生产力(即变得更加敏捷),本文详细描述了安全关键型应用的电源概念的设计步骤。所提出的方法为变速器控制单元的功能提供了一个具体但组织良好的指南,并且可以很容易地扩展到其他与安全相关的应用中。设计过程以成本、安全性和性能为重点,以获得稳健、经济高效、安全和可靠的电源设计。

本文的结构如下。第2节讨论了针对ECU主组件微控制器5V电源的新概念安全相关电源设计的安全操作挑战。为了防止和限制设计困难和挑战,第3节提出了设计流程。第4节中,通过分析SBC和微控制器的安全供应要求,特别注意获得5V调节器组件的适当值。通过进行最坏情况分析来证明部件的选择,以实现硬件鲁棒性目标。第5节介绍了微控制器和电源SBC在电源管理方面的增强功能,以在出现电源故障时关闭整个系统来保证安全状态。因此,针对印刷电路板(PCB)原理图提出了完整的安全关闭路径(SWOP)电路。最后,第6节得出结论并提出未来的研究工作。

02. 设计挑战

三个问题代表了拟议设计的起点:

1. 要满足ASIL-D,使用FS65xx SBC为TC3xx供电所需的最简单解决方案是什么?3.3 V和1.3 V是如何由TC3xx内部生成的?

2. 如果SBC的电源按照数据表中的描述进行,TC3xx(在整个生命周期内)会发生什么情况?

3.整体安全概念如何?

所提出的电源概念是采用SBC,仅向微控制器提供5 V电压。3.3 V和1.3 V信号是由微控制器本身使用其嵌入式稳压器在内部生成的,如图1所示。通过使用这个概念,可以得出两个主要优点:(1)减少外部组件的使用,这会自动降低电气物料清单(eBOM)和PCB空间的成本,以及(2)避免电磁干扰(EMI)噪声排放;EMI要求是传输应用中需要满足的重要要求。通过降低外部3.3 V电源,可以消除潜在的EMI噪声排放。

图1. 由系统基础芯片(SBC)生成的独特5 V电源的电源概念概述

对于SBC,预调节器(VPRE)配置为同相降压升压型DC-DC转换器,核心输出(VCORE)配置为采用降压拓扑。线性拓扑也是可用的,但在当前情况下,范围是通过DC-DC开关调节器最大限度地减少能耗。VCORE为5 V,代表微控制器的主电源。它还提供其他安全相关电路。计算并考虑总电流消耗的最大值为1.5 A。对于通信,选择了具有集成CAN FD和LIN收发器的物理接口。启用长持续时间定时器(LDT)以在断电模式下检查SBC。SBC组件命名法如图2所示。

图2.SBC (NXP)组件命名法

对于微控制器,我们考虑的是英飞凌AURIX系列的第二代微控制器TC397。微控制器的组件命名法如图3所示,该命名法对应于温度范围为−40℃至125℃的生产器件,采用板级组装建议(BGA)封装292,功耗低于2 W,三核运行频率为200 MHz,支持浮点和定点操作、4 MB闪存大小以及CAN FD通信。

图3.微控制器(英飞凌AURIX)组件命名法

 

03. 设计流程建议

设计安全电源供应需要对细节进行高度关注。通过使用Xmind工具来映射所有必要的步骤,提出了一个简化的程序,如图4所示。从图中可以看出,安全性是贯穿整个流程的核心词。设计必须从车辆原始设备制造商(OEM)的安全要求开始,因为关键应用必须支持和实现安全功能。对于典型的汽车应用,必须从OEM的安全要求入手,采取积极措施,在主动安全领域实现所需的风险降低。例如,对于双离合自动变速器的TCU应用,安全状态反应是禁用执行器的功能(将无刷直流电机置于制动模式)。对于气囊控制单元(ACU),安全反应则相反,应启用执行器。因此,第一步是定义应用程序应采取的安全措施。

图4.针对安全相关应用提出的电源设计步骤

安全机制应从成本和效果的角度仔细分析。因此,在第二步,设计人员应记录适当供电概念的建议配置。此时需要记录所有的挑战、优势和风险。然后,基于这些假设进行设计,考虑到组件的规格和安全建议。为了检查并证明所有提供的电压都在期望范围内,应进行最坏情况分析(WCA),如第四步所述。对于功能安全管理(FSM),WCA通过设计和实施代表了一种安全度量。如果WCA显示监控未得到保障,则应考虑在设计中进行重大更改。通常有两个选项:添加一个额外的监控电路或重新考虑性能更好的组件。只有在改进设计以便更好地覆盖故障检测后,才应发布安全概念(第六步)。在开关路径的安全概念中,所有安全激活信号都在冗余逻辑中考虑。在最终审核后,设计可以完全发布。

04. 电源设计和安全要求评估

本节重点提供一个正确且稳健的SBC设计,以满足汽车安全要求。本文将过程分解为每个设计人员都可以遵循的逐步操作,以在安全相关应用中创建供电和微控制器之间的适当安全电路。

4.1.从FS6512 SBC向TC397供电以实现ASIL-D需要什么(最简单的解决方案)?

4.1.1. FS6512的V配置:用于VCORE—BUCK稳压器

FS6512的 VCORE调节器是一种降压DC-DC拓扑,工作在电压控制模式下。开关晶体管的高端连接到VPRE,并集成到SBC中。VCORE降压调节器应仅针对输出负载调节输出电压。在这种情况下,输入变化是稳定的。典型的开关频率固定在2.4 MHz。VCORE降压通过集成一个由线性反馈放大的误差放大器在反馈回路内完成适当的调节。输出电压VCORE可以通过外部电阻桥(R3/R4)在1 V到5 V的范围内配置,如图5所示。因此,有必要调整分压器的值以获得5 V。第一个分压器连接在VCORE和FB_CORE反馈引脚之间。VCORE= VCORE_FB ((R3+R4)/R4)。为满足ASIL-D要求,出于安全目的,可以使用第二个反馈监视器来冗余监视VCORE电压,将反馈回路连接到FCRBM(反馈核心电阻桥监控)引脚。如果不使用,该引脚直接连接到FB_CORE。安全手册建议使用精度小于1.0%的电阻,设置R4= 8.06 kΩ,并调整R3以获得5 V的VCORE。组件数据表提供了±2.0%的电压精度(不考虑外部电阻的精度)。整个转换器的稳定性仅通过使用连接到COMP_CORE引脚的外部补偿网络(R1/C1/R2/C2) 来确保。

图5.F6512 SBC 5 V、VCORE设计

通常,组件的数据表仅描述了问题的一部分,并推荐组件的通用(典型)值,如图6所示。当处理安全关键设计时,有必要强调所有硬件设计人员应为设计提供证明,而不是把制造商声明的输出能力视为理所当然。因此,在本文中,针对提出的概念,作者添加了证明并考虑了降压电感器(LCORE)和补偿网络(R1/C1/R2/C2)选择的最坏情况。组件选择必须以这样的方式进行,使得SBC能够提供具有一定安全裕度的输出电压(输出功率),在稳定性方面。

图6. F6512 SBC数据表推荐的典型值

为了设计5 V的VCORE,计算了LCORE电感器。正确的电感器选择对于适当设计是强制性的,因为电感器会影响效率、瞬态响应和控制回路稳定性。差的电感器选择可能会对转换器造成损害,导致过流保护过早启动,并限制输出能力。电感器的尺寸应避免饱和,并帮助VCORE转换器在最坏情况下保持连续电流模式(CCM)。使用Mathcad工具计算了最小电感值(Lbuck_min)。使用以下公式进行计算:

其中考虑以下参数:Vin = VPRE(预稳压器输入电压);Vout= VCORE,通过电感器的输出电流 (IL);fsw,转换器开关频率;以及VRds_on(隐含地为开关元件两端的电压)。

考虑到通过开关元件和二极管两端的电压降(Vf_diode),如以下方程所示计算占空比:

通过电感器的最小电流 (ILmin) 计算如下:

其中k是应用于最大允许输出电流 (Ioutmax) 的电感器纹波电流系数 (20–40%)。

通过上述计算,得到降压线圈的最小值为2.118µH,对应于2.2 µH标准值。

考虑到该线圈值、最大输出电流1.5 A、5 V输出电压,并使用NXP提供的图形用户界面(GUI)检查转换器稳定性,按顺序评估瞬态和波特特性图,以便补偿网络获取正确的值。考虑到以下值—C1=330 pF、R1=1.1 kΩ、C2=100 pF、R2=47 kΩ —可以说控制环路已得到适当补偿。图7显示了一个模拟波特图,相位裕度约为55℃和−20 dB的增益裕度。

图7.降压转换器瞬态图和波特图的稳定性

4.1.2. TC397的电源配置概念

SBC提供的5 V信号是微控制器的独特电源,如图8所示。它直接为内核和闪存电源(EVRC和EVR33)的嵌入式稳压器供电。它为模拟端口(VDDM和VADC)、灵活端口(VFLEX,配置为由5 V而非3.3 V供电)以及待机模式下的嵌入式稳压器(ERVRSB)供电。值得一提的是,供电模式选择是在外部硬件配置中完成的。为此,微控制器包含名为HWCFG_x的专用引脚。在HWCFG_1引脚(对应端口P14.5)处,EVR33在启动时启用或禁用。对应端口P14.2,EVRC在启动时启用或禁用。在此设计中,通过在外部添加上拉电阻来选择启用功能,以便在输入端口上具有逻辑1。

图8.微控制器建议的供应概览

EVRC(用于核心电源的嵌入式电压调节器)调节器被实现为开关模式电源调节器(降压拓扑),生成1.25 V的核心电源VDD(电源的标签)。这种降压(VDD)不仅包含集成电压调节器,还包含电压反馈环。由于功率损耗的限制,从外部考虑了开关元件(MOSFET(金属氧化物半导体场效应晶体管)的N沟道和P沟道)和LC(由电感器和电容器组成的电路)滤波器。在原理图中,为了最大限度地减少PCB空间,使用了英飞凌BSZ215C H 组件(互补功率MOSFET),并且N沟道MOSFET和P沟道MOSFET位于同一封装内。对于滤波器,由于谐振频率为3.6MHz,线圈值为3.3 µH (Vishay—IHLP1616BZ-ER-3R3-M-5A),输出电容器值为22 µF(陶瓷电容器22 µF,TDK−CGA6P1×7R1C226KT)。EVR33稳压器代表3.3 V电源电压的嵌入式稳压器。它始终作为LDO(低压差)稳压器实现,并为闪存 (VDDP3) 生成3.3 V的数字电源(使用内部传输器件)。它包含一个集成电压调节器、一个传输器件控制单元和一个电压反馈环路。仅输出电容器(陶瓷电容器100 nF,TDK—CGA3E2X7R1H104KT0Y9N)未集成。

4.2. 如果PSBC的电源按照数据表中的方式供电,TC3xx(在整个生命周期内)会发生什么情况?

通过使用VCORE降压控制器向微控制器及其正确选择的组件提供5V电压,完成了电源设计。通过选择合适的输出组件来完成控制器的供电结构。这还不够。本节强调有必要通过寻找最坏的情况进行更深入的调查。设计的最坏情况分析证明硬件在其使用寿命内满足或超过设计规范。对于像TCU这样的安全应用,必须执行WCA;这不是一个选择。设计人员可以预见设计的潜在损坏,预测寿命缩短,此外,还可以预测系统(SBC微控制器)中的可预测故障。换言之,设计者可以减少财务、法律和安全风险,并有助于确保应用程序的性能令人满意。

4.2.1. TC397微控制器的供货要求

设计中的一个重要步骤是检查当SBC超过5V(即额定电压)时微控制器的剩余使用寿命。为了准确了解TCU最坏情况下的行为,需要进行验证。SBC提供的5 V信号应符合微控制器在质量、稳健性、使用寿命和安全目标方面的规范。微控制器在电源电压范围方面的要求如下表1所示。

表1.微控制器电源工作范围

在4.5 V(对应于−10%公差)和5.3 V(仅对应于6%电压公差)之间可确保正常运行。这是SBC电源主要受到限制的原因。预计过压条件的裕度至少为+10%。在这种情况下,这意味着当VCORE已经超过5.3 V时,SBC必须触发安全情况。此外,正如表中所列,微控制器仍将在不复位的情况下运行,但在安全情况下仍可在5.6V下工作100小时,或在6.5V下工作10小时。除此之外,在复位模式期间,它可以处理6.5 V电压最长60小时。微控制器制造商根据其结构内大量组件的寿命测量给出了运行时间。从设计者的角度来看,获得的结果是值得信赖的,但在汽车领域,需要证据。对于目前的技术来说,无法测量过压情况下的寿命缩短(计算损坏前的剩余时间),而只能进行预测。此外,在安全关键的操作情况下,这一点更为关键。当表中列出的时间不反映实际情况时,就会出现风险。在ASIL-C或D应用中,没有人会冒损坏TCU主组件的风险。安全应在5.3 V时触发并停止TCU系统的运行。这意味着FS6512 SBC应检测5.3 V的过压,并在FS0B引脚处产生安全性。FS0B代表安全块的第一个输出(低电平有效信号类型)。对于此操作,设计人员应通过计算证明5.3 V下的安全激活。只有通过计算,设计人员才能识别设计问题和替代方案,或者对良好的关键设计充满信心。

4.2.2. VCORE 5 V最坏情况 Mathcad计算

本文中用于验证过电压检测的计算方法是极值分析(EVA)方法。计算的目的是获得最坏情况结果的准确指示,特别是对于过压检测范围。在计算过程中,考虑了所有电子元件的公差,包括初始制造公差、环境(温度)公差、老化公差、偏差和漂移因素。

然后使用Mathcad工具对VCORE电路执行WCA,将所有组件的值设置为其最终公差极限。对于计算过程中的反馈电阻(R3、R4),考虑了0.1%的初始公差、0.25%的老化公差以及25 ppm的温度系数(temp_coef)。使用以下公式:

其中ΔTemp是应用的最高温度(125°C)与其额定温度(25°C)之间的差值。获得了以下结果:

最大、额定和最小VCORE计算值与FS6152电源的反馈方向灵敏度电路 (VCORE_FB) 相关。因此,欠压和过压反馈值(VCORE_FB_UV; VCORE_FB_OV)是从制造商规范中提取的,并引入Mathcad工具中,如下列公式所示:

对于使用(6)获得的额定VCORE,额定范围为

对于过压检测范围 (VCORE_5V_OV),VCORE限制将为

对于欠压检测范围(VCORE_5V_UV),VCORE限制将为

上述计算的结果基本上代表了预测电路中5 V电源欠压和过压故障的最佳方法。从图9可以看出,在4.85-5.15 V范围内可确保正常工作。主要缺点出现在欠压和过压监控行为的检测范围内。从图9的图中可以看出,检测明显超出范围。在欠压检测的情况下,可以产生上电复位。临界点代表微控制器可能完全损坏时的过压检测。从这一刻起,很明显,设计需要改进才能正确、安全地运行。有两种选择,第一种是使用性能更好的组件。然而,在本例中,尽管SBC制造商指定了1%,但已经使用了0.1%的电阻器。剩下的选项是在设计中添加一个特定电路,当VCORE电压高于5.3V时,该电路可以限制或关闭操作。建议的电压监控器组件是TPS3702-DX50Q1。当电压高于5.3 V时,它会生成安全状态激活或复位。

图9.最坏情况下检测范围的Mathcad绘图概述

05. 供电安全概念设计方案

5.1.安全连接

正如本文所列,最佳安全机制的选择将是性能和成本之间的权衡。由于无法从组件的角度进行改进的检测,因此将考虑增加额外的电路,这将增加应用的总成本。不可避免地增加成本是因为“安全第一”的原则优先于一切。为满足安全约束而进行的设计工作现在已转移到设计工作中,为TCU创建适当的互连关闭路径,同时考虑所有三个模块:微控制器、SBC以及过压和欠压监控电路。本节提供了一个很好的安全激活概念,逐步查看每个主块的安全激活信号配置。

5.1.1.检查SBC安全激活

FS6512 SBC在面向安全的TCU系统分区中发挥着重要作用。实现了专用的故障安全状态机,以将TCU应用程序带入并保持安全状态。SBC提供FB_CORE的过压和欠压监控功能,该功能是故障安全状态机的一部分,如图10所示。

如果FB_CORE高于或低于SBC数据表指定的值,RSTB(复位引脚)和/或 FS0B(取决于器件配置)将被置为低电平。复位引脚控制和监视微控制器的复位引脚。FS0B可用于控制或停用与微控制器冗余的任何故障安全电路。RSTB和FS0B均应集成到关断概念中。此外,FS6512还有一个中断输出引脚,称为INTB引脚,用于获取错误信息,连接到微控制器的不可屏蔽中断接口。

图10.F6512 SBC内部安全激活电路

5.1.2.检查µC安全激活

为了满足技术安全要求,TC397微控制器具有PMS(电源管理系统,如图11所示)模块,该模块实现了具有交错电压监控的软件。PMS建立在主监视器和辅助监视器的基础上,提供足够的冗余,以在发生欠压或过压故障时激活安全状态。主监控电路只能对以下电压产生欠压检测:5 V、3.3 V和1.25 V。如果发生欠压检测,在PMS的主监控单元中将产生上电复位。在二级监控块中,实现了欠压和过压保护功能。如果PMS的辅助监控单元检测到,SMU(安全监控单元)将在错误引脚(FSPx,故障安全引脚)上生成警报。检测阈值可以通过PMS_EVRUVMON/PMS_EVROVMON寄存器中的SWDUVVAL/SWDOVVAL位在软件代码中设置。微控制器在FSP引脚处提供的信号应是关断概念的一部分。

图11. TC397电源管理系统框图

5.2.关闭概念的安全架构

在关键应用中,仅对电压电平进行连续监控可能不足以实现安全实施。需要报告冗余监控器(通过内部FB_CORE的SBC,或通过PMS或电压监控器的微控制器)检测到的任何故障事件时,以便采取适当的纠正措施(关闭或打开驱动、取决于应用)。对于TCU,SWOP代表关闭位置;所有执行器将停止(例如,电机将进入中断模式)。对于ACU(安全气囊控制单元)来说,这也是一个与安全相关的应用。SWOP代表接通路径的接通位置,因为应触发适当的约束系统。创建SWOP时,设计人员应在冗余逻辑中考虑所有激活信号,以保证应用程序的安全状态并满足严格的ASIL-C或D要求。一种简单但有效的方法是逻辑OR(一种门电路,如果其任何输入上有信号,则产生输出)。本文提出了一种关闭路径架构概念(如图12所示),该架构通过以冗余方式在节点中收集所有激活信号来部署,如下所示:

1.SBC的FS0B;

2.来自微控制器的FSP;

3.来自微控制器的冗余数字输出引脚(GPIOR引脚);

4.电压监控器模块(OV/UV)的欠压或过压复位引脚。

图12.用于变速箱控制单元(TCU)安全激活的安全关闭路径建议

正如第2节中提出的设计流程第6步所列,在功能安全经理发布概念并说明PCB制造之前,必须使用冗余逻辑添加安全激活正常运行的证明。考虑到所有四个冗余信号(UV_OV、FS0B、FSP、uC_GPIO),对电路进行了OrCAD PSpice仿真,如图13所示。对于来自电压监测电路的FS0B和UV_OV信号,模拟了内部漏极开路结构。由于选择的SWOP概念是关闭,因此需要考虑称为ACTIVE_GND的中间信号。该信号的功能如下:只有当ACTIVE_GND为低电平(0 V)并且uC_GPIO引脚为低电平时,才能控制用于驱动的桥式开关(LS-低侧 MOSFET)的栅极。当FS0B、FSP或UV_OU信号引发故障时,ACTIVE_GND变为高电平,从而导致驱动关闭(栅极拉至接地)。在编译所有情况和信号组合(每个信号的低电平和高电平)的仿真后,发布了SWOP概念。

图13. TCU安全激活的安全关闭路径建议的仿真

开始原理图和布局板,最终获得评估板,即TCU板,如图14所示。在PCB上,执行电压故障测试用例,以查看安全反应是否按模拟预期工作。使用数字万用表进行测量,考虑稳定的欠压或过压故障(例如,生成外部UV或OV故障)或开路信号(例如,断开引脚)。对于所有测试案例,都确保了安全状态,从而提供了所提出的SWOP概念可以扩展到所有安全相关应用的原因。

图14.TCU评估板

 

06. 讨论

本文的重点是提供一种新颖的、安全相关的电源设计(SBC仅向微控制器提供5V电压),该设计将满足汽车安全方面的要求。所提出的设计程序被分解为原创的分步操作,每个设计人员都可以遵循该操作在安全相关应用中的电源和微控制器之间创建适当的安全电路。换句话说,按照所提出的设计方法,设计人员可以降低财务、法律和安全风险,并有助于确保应用在电压故障时获得令人满意的性能。通过最坏情况分析来验证硬件的稳健性,以正确选择组件。通过仿真考虑并验证了完整的安全反应。在SWOP电路中,有四种冗余方式在发生过压或欠压故障时产生安全反应:三种是SBC和微控制器中基于软件的集成解决方案,一种是基于外部监控电路的硬件。所有四种方法对于实现安全至关重要,确保TCU设计在电压故障发生时稳健可靠。此外,作者计划在完成产品验证后,将该方法和供应概念扩展到具有更高等级ASIL要求的其他ECU。

   
127 次浏览       2
相关文章

一文了解汽车嵌入式AUTOSAR架构
嵌入式Linux系统移植的四大步骤
嵌入式中设计模式的艺术
嵌入式软件架构设计 模块化 & 分层设计
相关文档

企点嵌入式PHP的探索实践
ARM与STM简介
ARM架构详解
华为鸿蒙深度研究
相关课程

嵌入式C高质量编程
嵌入式操作系统组件及BSP裁剪与测试
基于VxWorks的嵌入式开发、调试与测试
嵌入式单元测试最佳实践

最新活动计划
MBSE(基于模型的系统工程)6-20[北京]
大模型微调原理与实操 6-20[厦门]
基于模型的数据治理与中台 6-25[北京]
DoDAF规范、模型与实例 6-24[北京]
UAF架构体系与实践 7-4[北京]
Linux内核编程及设备驱动 7-25[北京]
 
 
最新文章
基于FPGA的异构计算在多媒体中的应用
深入Linux内核架构——简介与概述
Linux内核系统架构介绍
浅析嵌入式C优化技巧
进程间通信(IPC)介绍
最新课程
嵌入式Linux驱动开发
代码整洁之道-态度、技艺与习惯
嵌入式软件测试
嵌入式C高质量编程
嵌入式软件可靠性设计
成功案例
某军工所 嵌入式软件架构
中航工业某研究所 嵌入式软件开发指南
某轨道交通 嵌入式软件高级设计实践
深圳 嵌入式软件架构设计—高级实践
某企业 基于IPD的嵌入式软件开发
更多...