2024年3月18日发(作者:戴音华)
基于AURIX的电动汽车电池管理系统电源模块设计
谢立洁;杜森;徐梓荐;翟世欢
【摘 要】电池管理系统(BMS)的优劣是评价电动汽车性能好坏的重要指标之一.为
提高电动汽车动力电源的安全性,采用了一种基于AURIX和TLF35584的BMS设
计.CPU选用AURIX系列单片机中的TC234L,电源芯片选用TLF35584.软件搭建
基于AUTOSAR MCAL层的MC-ISAR底层驱动和英飞凌提供的功能安全测试库
SafeTlib.该设计符合功能安全标准ISO 26262,通过TLF35584监控系统运行状态,
在BMS软硬件运行不正常时能够及时复位及关闭电源,提高了BMS的安全性.
【期刊名称】《汽车工程师》
【年(卷),期】2018(000)006
【总页数】5页(P25-29)
【关键词】BMS;AURIX芯片;TLF35584;功能安全
【作 者】谢立洁;杜森;徐梓荐;翟世欢
【作者单位】天津易鼎丰动力科技有限公司;天津易鼎丰动力科技有限公司;天津易
鼎丰动力科技有限公司;天津易鼎丰动力科技有限公司
【正文语种】中 文
近几年,新能源汽车越来越受到人们的广泛关注。其中,以电动汽车发展最为迅速。
除去国家对新能源汽车颁布的相关优惠政策及财政补贴之外,最主要的还是人们的
环保意识增强。相比于传统汽车,电动汽车电子系统的复杂度更高,汽车电子的系
统失效和随机失效可能导致的安全风险也随之提高。为此,ISO组织在2011年
11月颁布了和汽车相关的功能安全标准ISO 26262[1],为汽车电子提供了在整个
生命周期中的工作流程和管理流程的指导。文章采用符合文献 [1]的AURIX
TC234L与电源芯片TLF35584,加上搭建了基于MCAL软件架构和功能安全测试
库SafeTlib的软件平台,在一定程度上提高了BMS的安全性与可靠性。
1 硬件介绍
1.1 AURIX TC234L单片机
AURIX是英飞凌公司推出的32位微控制器系列,堪称汽车电子系统中性能与安全
的完美结合。其中本设计中采用的AURIX TC234L是具有高度创新的安全技术[2],
包括:1)独特的锁步架构,具备时钟延迟;2)配备多个不同类型的定时器模块
(GTM,CCU6,GPT12);3)访问许可系统;4)安全管理单元;5)DMA;6)
I/O、时钟及电压监测器;7)满足文献[1]中的ASIL-D的安全要求。
1.2 TLF35584基本特性
本设计中采用的TLF35584是高性能电源管理芯片,因其具有其他芯片不可替代
的优点,现在逐渐应用到电动汽车相关控制器上,TLF35584芯片主要有以下特性
[3]6:
1)该芯片是一种高效率多电压电源芯片;2)该芯片具有串行升压和降压稳压器
的宽输入,电压范围:3~40 V;3)功能全且功耗损失低;4)该芯片提供启用、
同步输出信号及电压监测(内部),用于可选外柱的装置核心供应调节器;5) 备
用调节器 5 V/10 mA(TLF35584xxvs1)或 3.3 V/10 mA(tlf35584xxvs2);6)
具有复位功能的独立电压监视块;7)可配置窗口狗和看门狗的功能;8)该芯片
具有16位SPI;9)具有可编程延迟的2个安全状态信号。
2 基于AURIX与TLF35584的电池管理系统(BMS)电源模块硬件设计
TC234L与TLF35584通过SPI进行通信,TLF35584在上电后会自动开启,并进
入初始化状态(INIT)。首先TC234L在进行正确的配置之后(SPI通信)控制
TLF35584进入正常状态(NORMAL),然后对TLF35584进行周期喂狗和读取
TLF35584的状态(SPI通信),最后在检测到上电触发信号消失后,控制
TLF35584进入等待状态(STANDBY)实现BMS的下电。
应用TLF35584与TC234L的BMS电源模块硬件设计原理图,如图1和图2所示。
图1 TLF35584硬件原理图截图
图2 TC234L电源部分硬件原理图截图
2.1 与TLF35584的唤醒功能相关的触发机制
1)TLF35584状态从FAILSAFE进入INIT,或者从低功耗模式STANDBY进入
INIT,或者从SLEEP进入WAKE时,可以通过控制TLF35584上面的ENA和
WAK引脚完成。
2)TLF35584状态从 NORMAL进入 SLEEP状态时,如果产生ENA或WAK的
控制使能,则状态进入WAKE,并产生一个中断。
3)TLF35584状态从NORMAL进入STANDBY时,如果产生ENA或WAK的控
制使能,则会进入INIT状态,并产生一个复位操作。
ENA和WAK信号中,只要一个信号使能则触发BMS上电,ENA和WAK引脚
的连接参看图1。ENA信号使能条件为一个小于10 μs的从0.8 V上升到2 V的
上升沿。
电动汽车中的钥匙信号和快充12 V信号将连接到ENA信号触发BMS上电。触发
ENA信号原理图,如图3所示。
图3 钥匙信号和快充12 V信号触发ENA信号原理图截图
WAK信号使能的条件是一个持续40 μs的高于2 V的高电平。
电动汽车中的慢充CC信号、慢充CP信号、实时时钟RTC、单片机TC234L使能
信号及CAN激活信号将连接到WAK信号触发BMS上电。触发WAK信号原理
图,如图4所示。
图4 控制器信号触发源触发WAK信号原理图截图
2.2 TLF35584的供电管理
TLF35584是高性能电源管理芯片,其支持升压和降压预调节(PreRegulators),
可以满足3~40 V的宽电压输入。该芯片可以提供后向的不同电压输出(Post
Regulators),为BMS电路中的其他器件提供电源,参看图 1。包括:5 V/200
mA的通信电源 LDO_Com(QCO);3.3 V/600 mA的 TC234L供电电压
LDO_uC(QUC);150 mA用于 ADC的参考电压 Volt_Ref(QVR);2个 150
mA传感器供电电源 Tracker1和Tracker2(QT1,QT2)。此外,还有独立于上
述2个模块的Standby Regulator(QST)为 CC信号、CP信号和 RTC激活信
号提供电源。
2.3 TLF35584的安全管理
TLF35584的安全管理包括监控过压、欠压、过流、过温及过载;监控TC234L输
出的故障引脚;安全状态控制包括TLF35584的引脚SS1、SS2及看门狗(窗口
狗和功能狗)。当TLF35584检测到高危异常,将会进入故障状态(FAILSAFE),
故障状态下所有供电电源将会关闭,看门狗功能关闭,安全状态控制为低电平。故
障状态下各功能状态,如图5所示。
图5 故障状态下各功能状态显示界面
3 基于AURIX与TLF35584的BMS电源模块软件设计
3.1 TC234L的时序设计
TC234L时序图,如图6所示。
图6 单片机TC234L时序图
3.2 初始化阶段
BMS上电后进入初始化阶段,包括系统时钟初始化、GTM模块初始化(定时模
块)、PORT模块初始化、SPI模块初始化、SMU模块初始化、测试模块初始化
及TLF35584配置初始化[3]148。其中测试模块初始化包含EarlyPreRun和
PreRun 2个阶段,这2个阶段能够对潜在故障进行检测。
3.2.1 定时配置
设置TC234L的系统时钟频率为120 MHz,GTM模块的时钟频率为60 MHz,
使用分频因子为65536的CLOCK4,选用TOM0通道实现10 ms的时钟周期定
时[4]。
3.2.2 SPI配置
TC234L使用QSPI2控制TLF35584,通过EBtresos实现对SPI的配置。SPI时
钟频率为60 MHz,QSPI2管脚设置[5],如表1所示。
表1 QSPI2管脚设置MRST P15.4 MTSR2 P15.5 SCLK2 P15.8 ChipSelect
P14.07
3.2.3 SMU模块的FSP配置
TLF35584能够实现对TC234L的FSP(Error Pin)的监控,通过EBtresos实现
对SMU模块FSP配置。配置参数,如表2所示。
表2 SMU模块FSP配置参数SmuFSPPrescaler1 SmuFSPPrescaler2
SmuFSPSignalingMode SmuPESOnFSP SmuFSPFaultStateDuration参数设置
SMU_REF_CLK_FRQ_DIV_16 SMU_REF_CLK_FRQ_DIV_4096
SMU_FSP_TIME_SWITCHING_PROTOCOL SMU_FSP_PES_ENABLE 1
3.2.4 测试模块初始化
EarlyPreRun阶段包括测试函数CpuSbstTst,CpuS-bstTst,
CpuBusMpuLfmTst,CpuMpuTst,DmaTst,FceTst,IomTst及 IRTst。
PreRun阶段包括测试函数 LmuBusMpuLfmTst,PhlSramTst,PmuEccEdcTst,
SpbTst,SramEccTst,SriTst及WdgTst。
3.2.5 TLF35584配置初始化
TLF35584配置初始化包括使能TLF35584的供电引脚,使能窗口狗和看门狗设置
开关窗口时间均为500 ms,设置功能狗的异或码等。
TLF35584初始化配置完成后通过SPI指令(0x55,0xFA,0x56及 0x05)控制
TLF35584进入 Normal模式。
3.3 周期执行阶段
在周期执行阶段BMS处理其实现的基本功能外,涉及的与TLF35584对接周期执
行的模块有测试模块和定时喂狗模块。每次Run测试阶段运行结束,都会调用喂
狗函数将计算得出的测试签名传递给TLF35584看门狗。
TLF35584包含窗口狗和功能狗,窗口狗需在开窗口时间进行喂狗,功能狗需
TCL234L获得TLF35584提供的种子值(通过SPI),根据种子值计算签名值,
并在规定时间内喂狗[6]。
TCL234L根据随机种子计算签名值的方法为:TCL234L对涉及硬件安全机制的模
块进行自检,自检的方式为对内部程序流进行监控。程序流监控的输入参数有:种
子输入、固定的测试ID、测试输入参数、中间参数及最后测试结果。这些输入利
用CRC算法进行计算得到测试签名,每个测试都会产生相应的签名。所有签名值
最后被合并为一个联合签名值,并将其作为功能狗喂狗密码。CPU周期执行流程,
如图7所示。图7中Run阶段执行的相关测试函数包括CpuSbstTst。
图7 CPU周期执行流程图
3.4 掉电阶段
当TC234L检测到进入BMS的外部信号(KEY_ON,EXT_A+,CC_WAKEUP,
CP_WAKEUP,RTC_WAKEUP)全部无效时,测试模块进入PostRun阶段,停
止对测试函数的周期执行,延时4 s后通过控制TLF35584进入STANDBY模式
实现控制器的掉电。
4 基于AURIX与TLF35584的BMS电源模块的试验结果及分析
4.1 初始化阶段
使用劳特巴赫工具来调试在整个程序运行过程中的变化及测试结果的变化情况。初
始化配置TLF35584及控制TLF35584进入Normal模式的SPI波形图,如图8
所示。
图8 初始化阶段SPI通信波形图
4.2 周期执行阶段
在周期执行期间,由外部看门狗生成的一个随机数作为程序流监控的种子,看门狗
生成的随机数TstM_TstSeed为 0x5。
每个自检函数运行结束后,会生成一个相应的Result值。测试结果,如图9所示。
对于Result的值,若最后2位为FF,则说明自检函数执行成功;反之,则说明自
检函数检测出了硬件安全机制的错误。然后可以根据错误代码来找出相应的错误原
因。
图9 自检结果显示界面
随机生成的种子值与每个Result值经过CRC算法计算得到签名值。测试签名显示
界面,如图10所示。
图10 测试签名值显示界面
所有签名值最后被合并为一个联合签名值,并将其作为喂狗密码。在规定时间内喂
狗时,喂狗SPI波形图,如图11所示。
图11 周期喂狗SPI通信图
4.3 软件复位和下电阶段
通过CAN总线发送特定CAN报文触发BMS程序非正常对TLF35584进行喂狗,
能够触发软件复位。
监控信号状态,当满足下电条件(所有触发TLF35584上电的信号无效),发送
SPI数据(0x55,0xEC,0x56,0x13)能够触发 BMS成功下电。
5 结论
文章基于AURIX与TLF35584的BMS电源管理模块设计,能够有效实现电动汽
车上多种信号激活BMS上电,实现电动汽车正常行驶、快充及慢充的过程。通过
TLF35584的安全管理,保证在BMS硬件出现高危异常的状态下,所有供电电源
将会关闭,BMS停止工作,在BMS软件运行不正常的状态(如快充状态下程序
跑飞)能够及时复位,保证电动车的安全性。本设计与实现经过多次仿真测试和实
车测试,结果证明应用该设计的电池管理系统运行稳定可靠。
参考文献
【相关文献】
[1]International Organization for /FDIS 26262(2011)Road vehicles—
Functional safety—Part 6:Product development at the
softwarelevel[S].Switzerland:International Organization for Standardization,2011:20-23.
[2]谢晖,徐辉.英飞凌多核单片机应用技术AURIXTM三天入门篇[M].天津:天津大学出版社,
2017:69-117.
[3]英飞凌科技股份有限公司.TLF35584-Target-Data-Sheet-085-Infineon[Z].德国:英飞凌科技
股份有限公司,2015.
[4]朱元,陆科.基于AUTOSAR规范的车用电机控制器软件开发[M].上海:同济大学出版社,2017:
37-48.
[5]英飞凌科技股份有限公司.AURIX TC23xD-Step 32-Bit Single-Chip ’s
Manual[Z].北京:北京晶川电子技术发展有限公司,2014:1495-1613.
[6]英飞凌科技股份有限公司.AURIX 32-Bit 234 Preliminary Data sheet[Z].
德国:英飞凌科技股份有限公司,2014:13-178.
2024年3月18日发(作者:戴音华)
基于AURIX的电动汽车电池管理系统电源模块设计
谢立洁;杜森;徐梓荐;翟世欢
【摘 要】电池管理系统(BMS)的优劣是评价电动汽车性能好坏的重要指标之一.为
提高电动汽车动力电源的安全性,采用了一种基于AURIX和TLF35584的BMS设
计.CPU选用AURIX系列单片机中的TC234L,电源芯片选用TLF35584.软件搭建
基于AUTOSAR MCAL层的MC-ISAR底层驱动和英飞凌提供的功能安全测试库
SafeTlib.该设计符合功能安全标准ISO 26262,通过TLF35584监控系统运行状态,
在BMS软硬件运行不正常时能够及时复位及关闭电源,提高了BMS的安全性.
【期刊名称】《汽车工程师》
【年(卷),期】2018(000)006
【总页数】5页(P25-29)
【关键词】BMS;AURIX芯片;TLF35584;功能安全
【作 者】谢立洁;杜森;徐梓荐;翟世欢
【作者单位】天津易鼎丰动力科技有限公司;天津易鼎丰动力科技有限公司;天津易
鼎丰动力科技有限公司;天津易鼎丰动力科技有限公司
【正文语种】中 文
近几年,新能源汽车越来越受到人们的广泛关注。其中,以电动汽车发展最为迅速。
除去国家对新能源汽车颁布的相关优惠政策及财政补贴之外,最主要的还是人们的
环保意识增强。相比于传统汽车,电动汽车电子系统的复杂度更高,汽车电子的系
统失效和随机失效可能导致的安全风险也随之提高。为此,ISO组织在2011年
11月颁布了和汽车相关的功能安全标准ISO 26262[1],为汽车电子提供了在整个
生命周期中的工作流程和管理流程的指导。文章采用符合文献 [1]的AURIX
TC234L与电源芯片TLF35584,加上搭建了基于MCAL软件架构和功能安全测试
库SafeTlib的软件平台,在一定程度上提高了BMS的安全性与可靠性。
1 硬件介绍
1.1 AURIX TC234L单片机
AURIX是英飞凌公司推出的32位微控制器系列,堪称汽车电子系统中性能与安全
的完美结合。其中本设计中采用的AURIX TC234L是具有高度创新的安全技术[2],
包括:1)独特的锁步架构,具备时钟延迟;2)配备多个不同类型的定时器模块
(GTM,CCU6,GPT12);3)访问许可系统;4)安全管理单元;5)DMA;6)
I/O、时钟及电压监测器;7)满足文献[1]中的ASIL-D的安全要求。
1.2 TLF35584基本特性
本设计中采用的TLF35584是高性能电源管理芯片,因其具有其他芯片不可替代
的优点,现在逐渐应用到电动汽车相关控制器上,TLF35584芯片主要有以下特性
[3]6:
1)该芯片是一种高效率多电压电源芯片;2)该芯片具有串行升压和降压稳压器
的宽输入,电压范围:3~40 V;3)功能全且功耗损失低;4)该芯片提供启用、
同步输出信号及电压监测(内部),用于可选外柱的装置核心供应调节器;5) 备
用调节器 5 V/10 mA(TLF35584xxvs1)或 3.3 V/10 mA(tlf35584xxvs2);6)
具有复位功能的独立电压监视块;7)可配置窗口狗和看门狗的功能;8)该芯片
具有16位SPI;9)具有可编程延迟的2个安全状态信号。
2 基于AURIX与TLF35584的电池管理系统(BMS)电源模块硬件设计
TC234L与TLF35584通过SPI进行通信,TLF35584在上电后会自动开启,并进
入初始化状态(INIT)。首先TC234L在进行正确的配置之后(SPI通信)控制
TLF35584进入正常状态(NORMAL),然后对TLF35584进行周期喂狗和读取
TLF35584的状态(SPI通信),最后在检测到上电触发信号消失后,控制
TLF35584进入等待状态(STANDBY)实现BMS的下电。
应用TLF35584与TC234L的BMS电源模块硬件设计原理图,如图1和图2所示。
图1 TLF35584硬件原理图截图
图2 TC234L电源部分硬件原理图截图
2.1 与TLF35584的唤醒功能相关的触发机制
1)TLF35584状态从FAILSAFE进入INIT,或者从低功耗模式STANDBY进入
INIT,或者从SLEEP进入WAKE时,可以通过控制TLF35584上面的ENA和
WAK引脚完成。
2)TLF35584状态从 NORMAL进入 SLEEP状态时,如果产生ENA或WAK的
控制使能,则状态进入WAKE,并产生一个中断。
3)TLF35584状态从NORMAL进入STANDBY时,如果产生ENA或WAK的控
制使能,则会进入INIT状态,并产生一个复位操作。
ENA和WAK信号中,只要一个信号使能则触发BMS上电,ENA和WAK引脚
的连接参看图1。ENA信号使能条件为一个小于10 μs的从0.8 V上升到2 V的
上升沿。
电动汽车中的钥匙信号和快充12 V信号将连接到ENA信号触发BMS上电。触发
ENA信号原理图,如图3所示。
图3 钥匙信号和快充12 V信号触发ENA信号原理图截图
WAK信号使能的条件是一个持续40 μs的高于2 V的高电平。
电动汽车中的慢充CC信号、慢充CP信号、实时时钟RTC、单片机TC234L使能
信号及CAN激活信号将连接到WAK信号触发BMS上电。触发WAK信号原理
图,如图4所示。
图4 控制器信号触发源触发WAK信号原理图截图
2.2 TLF35584的供电管理
TLF35584是高性能电源管理芯片,其支持升压和降压预调节(PreRegulators),
可以满足3~40 V的宽电压输入。该芯片可以提供后向的不同电压输出(Post
Regulators),为BMS电路中的其他器件提供电源,参看图 1。包括:5 V/200
mA的通信电源 LDO_Com(QCO);3.3 V/600 mA的 TC234L供电电压
LDO_uC(QUC);150 mA用于 ADC的参考电压 Volt_Ref(QVR);2个 150
mA传感器供电电源 Tracker1和Tracker2(QT1,QT2)。此外,还有独立于上
述2个模块的Standby Regulator(QST)为 CC信号、CP信号和 RTC激活信
号提供电源。
2.3 TLF35584的安全管理
TLF35584的安全管理包括监控过压、欠压、过流、过温及过载;监控TC234L输
出的故障引脚;安全状态控制包括TLF35584的引脚SS1、SS2及看门狗(窗口
狗和功能狗)。当TLF35584检测到高危异常,将会进入故障状态(FAILSAFE),
故障状态下所有供电电源将会关闭,看门狗功能关闭,安全状态控制为低电平。故
障状态下各功能状态,如图5所示。
图5 故障状态下各功能状态显示界面
3 基于AURIX与TLF35584的BMS电源模块软件设计
3.1 TC234L的时序设计
TC234L时序图,如图6所示。
图6 单片机TC234L时序图
3.2 初始化阶段
BMS上电后进入初始化阶段,包括系统时钟初始化、GTM模块初始化(定时模
块)、PORT模块初始化、SPI模块初始化、SMU模块初始化、测试模块初始化
及TLF35584配置初始化[3]148。其中测试模块初始化包含EarlyPreRun和
PreRun 2个阶段,这2个阶段能够对潜在故障进行检测。
3.2.1 定时配置
设置TC234L的系统时钟频率为120 MHz,GTM模块的时钟频率为60 MHz,
使用分频因子为65536的CLOCK4,选用TOM0通道实现10 ms的时钟周期定
时[4]。
3.2.2 SPI配置
TC234L使用QSPI2控制TLF35584,通过EBtresos实现对SPI的配置。SPI时
钟频率为60 MHz,QSPI2管脚设置[5],如表1所示。
表1 QSPI2管脚设置MRST P15.4 MTSR2 P15.5 SCLK2 P15.8 ChipSelect
P14.07
3.2.3 SMU模块的FSP配置
TLF35584能够实现对TC234L的FSP(Error Pin)的监控,通过EBtresos实现
对SMU模块FSP配置。配置参数,如表2所示。
表2 SMU模块FSP配置参数SmuFSPPrescaler1 SmuFSPPrescaler2
SmuFSPSignalingMode SmuPESOnFSP SmuFSPFaultStateDuration参数设置
SMU_REF_CLK_FRQ_DIV_16 SMU_REF_CLK_FRQ_DIV_4096
SMU_FSP_TIME_SWITCHING_PROTOCOL SMU_FSP_PES_ENABLE 1
3.2.4 测试模块初始化
EarlyPreRun阶段包括测试函数CpuSbstTst,CpuS-bstTst,
CpuBusMpuLfmTst,CpuMpuTst,DmaTst,FceTst,IomTst及 IRTst。
PreRun阶段包括测试函数 LmuBusMpuLfmTst,PhlSramTst,PmuEccEdcTst,
SpbTst,SramEccTst,SriTst及WdgTst。
3.2.5 TLF35584配置初始化
TLF35584配置初始化包括使能TLF35584的供电引脚,使能窗口狗和看门狗设置
开关窗口时间均为500 ms,设置功能狗的异或码等。
TLF35584初始化配置完成后通过SPI指令(0x55,0xFA,0x56及 0x05)控制
TLF35584进入 Normal模式。
3.3 周期执行阶段
在周期执行阶段BMS处理其实现的基本功能外,涉及的与TLF35584对接周期执
行的模块有测试模块和定时喂狗模块。每次Run测试阶段运行结束,都会调用喂
狗函数将计算得出的测试签名传递给TLF35584看门狗。
TLF35584包含窗口狗和功能狗,窗口狗需在开窗口时间进行喂狗,功能狗需
TCL234L获得TLF35584提供的种子值(通过SPI),根据种子值计算签名值,
并在规定时间内喂狗[6]。
TCL234L根据随机种子计算签名值的方法为:TCL234L对涉及硬件安全机制的模
块进行自检,自检的方式为对内部程序流进行监控。程序流监控的输入参数有:种
子输入、固定的测试ID、测试输入参数、中间参数及最后测试结果。这些输入利
用CRC算法进行计算得到测试签名,每个测试都会产生相应的签名。所有签名值
最后被合并为一个联合签名值,并将其作为功能狗喂狗密码。CPU周期执行流程,
如图7所示。图7中Run阶段执行的相关测试函数包括CpuSbstTst。
图7 CPU周期执行流程图
3.4 掉电阶段
当TC234L检测到进入BMS的外部信号(KEY_ON,EXT_A+,CC_WAKEUP,
CP_WAKEUP,RTC_WAKEUP)全部无效时,测试模块进入PostRun阶段,停
止对测试函数的周期执行,延时4 s后通过控制TLF35584进入STANDBY模式
实现控制器的掉电。
4 基于AURIX与TLF35584的BMS电源模块的试验结果及分析
4.1 初始化阶段
使用劳特巴赫工具来调试在整个程序运行过程中的变化及测试结果的变化情况。初
始化配置TLF35584及控制TLF35584进入Normal模式的SPI波形图,如图8
所示。
图8 初始化阶段SPI通信波形图
4.2 周期执行阶段
在周期执行期间,由外部看门狗生成的一个随机数作为程序流监控的种子,看门狗
生成的随机数TstM_TstSeed为 0x5。
每个自检函数运行结束后,会生成一个相应的Result值。测试结果,如图9所示。
对于Result的值,若最后2位为FF,则说明自检函数执行成功;反之,则说明自
检函数检测出了硬件安全机制的错误。然后可以根据错误代码来找出相应的错误原
因。
图9 自检结果显示界面
随机生成的种子值与每个Result值经过CRC算法计算得到签名值。测试签名显示
界面,如图10所示。
图10 测试签名值显示界面
所有签名值最后被合并为一个联合签名值,并将其作为喂狗密码。在规定时间内喂
狗时,喂狗SPI波形图,如图11所示。
图11 周期喂狗SPI通信图
4.3 软件复位和下电阶段
通过CAN总线发送特定CAN报文触发BMS程序非正常对TLF35584进行喂狗,
能够触发软件复位。
监控信号状态,当满足下电条件(所有触发TLF35584上电的信号无效),发送
SPI数据(0x55,0xEC,0x56,0x13)能够触发 BMS成功下电。
5 结论
文章基于AURIX与TLF35584的BMS电源管理模块设计,能够有效实现电动汽
车上多种信号激活BMS上电,实现电动汽车正常行驶、快充及慢充的过程。通过
TLF35584的安全管理,保证在BMS硬件出现高危异常的状态下,所有供电电源
将会关闭,BMS停止工作,在BMS软件运行不正常的状态(如快充状态下程序
跑飞)能够及时复位,保证电动车的安全性。本设计与实现经过多次仿真测试和实
车测试,结果证明应用该设计的电池管理系统运行稳定可靠。
参考文献
【相关文献】
[1]International Organization for /FDIS 26262(2011)Road vehicles—
Functional safety—Part 6:Product development at the
softwarelevel[S].Switzerland:International Organization for Standardization,2011:20-23.
[2]谢晖,徐辉.英飞凌多核单片机应用技术AURIXTM三天入门篇[M].天津:天津大学出版社,
2017:69-117.
[3]英飞凌科技股份有限公司.TLF35584-Target-Data-Sheet-085-Infineon[Z].德国:英飞凌科技
股份有限公司,2015.
[4]朱元,陆科.基于AUTOSAR规范的车用电机控制器软件开发[M].上海:同济大学出版社,2017:
37-48.
[5]英飞凌科技股份有限公司.AURIX TC23xD-Step 32-Bit Single-Chip ’s
Manual[Z].北京:北京晶川电子技术发展有限公司,2014:1495-1613.
[6]英飞凌科技股份有限公司.AURIX 32-Bit 234 Preliminary Data sheet[Z].
德国:英飞凌科技股份有限公司,2014:13-178.