基于双MPU的整车控制器及其安全监控方法与流程

本发明涉及一种整车控制器及其安全监控方法，尤其涉及一种基于双MPU的整车控制器及其安全监控方法。

背景技术：

目前电动汽车的整车控制器基本都是使用单MCU模式工作，所有的任务处理以及安全监控工作都由一颗芯片完成，这样就会面临诸如电源异常或者数据采集异常等等问题出现时，单个处理器出现故障时，本身无法自身检测自己的故障；即使单个MCU的不同模块可以相互监控，但由于单体MCU所处的温度、振动等环境是一致的，不同的模块的失效机制也会相同，一旦失效会造成整个整车控制器失效从而失去对汽车的控制，影响电动汽车安全性与可靠性。因此提供一种具有高可靠性和安全性的电动汽车整车控制器成为现有技术中需要解决的问题。

技术实现要素：

针对现有技术中的问题，本发明在传统单芯片整车控制器的基础上提出双MCU芯片互相监督工作的硬件结构控制器，主MCU芯片除了负责完成控制器的各项控制、运算以及监控任务外，还要监控供电电源电压并向监控MCU芯片发送指令，监控MCU芯片亦监控供电电源电压，并应答主MCU芯片的指令。这种双MCU整车控制器能够消除单芯片整车控制器的诸多弊端，通过互相监控的工作方式，增强了整车控制器的安全监控能力，提高了控制系统的可靠性与安全性。

本发明提供了一种基于双MCU的整车控制器，其特征是所述的整车控制器包括主电源模块、监控电源模块、主MCU、继电器驱动模块和监控MCU，主MCU和监控MCU之间通过SPI总线连接，主电源模块与主MCU连接并为其供电，监控电源模块与监控MCU连接并为其供电，主电源模块输出端与监控MCU的模拟量输入端口连接，监控电源模块输出端与监控MCU的模拟量输入端口连接；主MCU的复位引脚与监控MCU相连，监控MCU的复位引脚与主MCU相连；主MCU与继电器驱动模块的输入端连接，监控MCU与继电器驱动模块的使能端相连接。

一种利用所述双MPU的整车控制器的安全监控方法，其特征是

1)所述主MCU和监控MCU各自通过其模拟量输入端口分别监控监控电源模块和主电源模块的输出电压；当监控电源模块供电异常时，主MCU通过控制监控MCU的复位引脚对监控MCU进行复位操作，当主电源模块供电异常时，监控MCU通过控制主MCU的复位引脚对主MCU进行复位操作；

2)所述监控MCU对主MCU任务执行时间进行监控和管理，当主MCU在执行一项任 务前后，会分别发送给监控MCU一条指令，当监控MCU在超过任务预计执行时长20-50％的时间后未收到主MCU完成任务后发出的指令时，即对主MCU进行复位操作；

3)所述整车控制器运行是，主MCU和监控MCU之间将定时发送应答以及接受应答确认指令。

所述的安全监控方法，还包括所述主MCU中对程序中的关键控制参数的运算采用两种不同的算法，并将两种算法的结果均发送至监控MCU，监控MCU将受到的结果与预置值进行比较，若比较结果不一致则对MCU进行复位操作。

与现有技术相比，本发明的有益效果是：

本发明的双MCU结构整车控制器及其安全监控方法有效的提高了整车控制器的监控安全性，通过两个MCU的相互监督及协同工作，相对于单MCU整车控制器在整车控制的可靠性和安全性方面有了很大的提高。

附图说明

图1为本发明实施例中提供的整车控制器结构示意图；

图中：1、主电源模块，2、监控电源模块，3、主MCU，4、继电器驱动模块，5、监控MCU，35、SPI总线。

具体实施方式

下面结合具体的实施例，并参照附图，对本发明做进一步的说明：

如图1所示的整车控制器结构示意图，所述的整车控制器结构包括主电源模块1、监控电源模块2、主MCU3、继电器驱动模块4和监控MCU5，主MCU和监控MCU之间通过SPI总线35连接，主电源模块与主MCU连接并为其供电，监控电源模块与监控MCU连接并为其供电，主电源模块输出端与监控MCU的模拟量输入端口(AD)连接，监控电源模块输出端与监控MCU的模拟量输入端口(AD)连接；主MCU的复位引脚(RST)与监控MCU相连，监控MCU的复位引脚(RST)与主MCU相连；主MCU与继电器驱动模块的输入端(Input)连接，监控MCU与继电器驱动模块的使能端(Enable)相连接。

本实施例中，主MCU型号为TC1782、监控MCU型号为CIC61508，继电器驱动模块型号为TLE8110E。

所述整车控制器安全监控方法，

1)当整车控制器的监控电源模块失效时，监控MCU将立即检测到监控电源模块供电异常故障，并将主MCU置于复位状态。同样，当主电源模块失效时，主MCU将立即检测到主电源模块供电异常故障，并将监控MCU置于复位状态；

2)主MCU负责驱动模块输入端口的控制，监控MCU负责驱动模块使能控制，如果整车控制器想要驱动暖风继电器闭合，开启暖风功能，首先监控MCU必须使能驱动模块，然后主MCU通过输出暖风继电器控制信号到驱动模块的相应端口，这样才能实现暖风继电器的控制。

3)整车控制器的监控MCU负责对主MCU任务执行时间的监控和管理。整车控制器在运行时，当主MCU执行一条耗时5ms的任务前，会给监控MCU发送一个指令，监控MCU收到这条指令后开始计时，当主MCU执行完该项任务命令时，再次向监控MCU发送任务完成指令。每条指令执行时间如果超出预期时间2ms以上，则整车系统判定任务执行失败。当监控MCU计时时间在7ms以内时收到主MCU的任务完成指令，则该项任务执行成功。如果监控MCU计时超过7ms还没有收到主MCU的任务完成指令，则监控MCU判定任务执行失败，主MCU将被置于复位状态。

4)整车控制器运行中，主MCU会对程序中的关键控制参数的运算采用两套算法，如电机驱动扭矩的计算，主MCU会采用两种算法A和B进行采集，并将两种采集结果都发送给监控MCU，监控MCU会对这两个结果进行比较，事先会在监控MCU内存中设置两种运算的比较结果，当监控MCU的比较结果和内存中的结果一直时，则扭矩运算的结果正确，否则主MCU将被置于复位状态。

5)整车控制器运行时，主MCU和监控MCU之间将定时发送应答以及接受应答确认指令。这样的模式类似于看门狗功能，主MCU和监控MCU之间互相实现看门狗功能，保证系统的监控安全。

尽管上面结合图对本发明进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨的情况下，还可以做出很多变形，这些均属于本发明的保护之内。