基于功能安全的车载控制器、控制系统及车辆的制作方法

1.本技术涉及汽车电子技术领域，特别涉及一种基于功能安全的车载控制器、控制系统及车辆。


背景技术：

2.在控制器通信中，一般为蓄电池为一个或多个控制器ecu提供输入电源，再经控制器ecu内部的电源芯片将蓄电池电压降压处理后为处理器mcu和/或can/lin收发器等芯片供电，同时，一个或多个控制器ecu中的can/lin收发器通过can/lin总线与其他的控制器ecu通信，实现不同控制器ecu之间信息交互。
3.然而，目前的控制器通知还存在如下弊端：
4.在控制器的输入电压vin、输出电压vout和处理器mcu等出现错误时，也是可能会导致处理器mcu、can/lin收发器的异常供电和报文收发错误，进而导致了控制器与外界通讯异常而产生安全隐患。


技术实现要素：

5.本技术实施例提供一种基于功能安全的车载控制器、控制系统及车辆，以解决相关技术中控制器与外界通信时安全可靠性存在隐患的技术问题。
6.第一方面，本技术实施例提供了一种基于功能安全的车载控制器，所述车载控制器包括电源芯片、处理器mcu和can/lin收发器，还包括：
7.与门电路，所述与门电路的两个输入端与所述电源芯片和所述处理器mcu一一连接，一个输出端与所述can/lin收发器相连，且所述电源芯片与所述处理器mcu连接；
8.同时，所述电源芯片被配置为监测所述电源芯片的输出电压，并根据所述处理器mcu和所述输出电压确定是否向所述与门电路发出第一故障信号；
9.所述处理器mcu被配置为监测所述电源芯片的输入电压，并根据所述电源芯片、所述处理器mcu和所述输入电压确定是否向所述与门电路发出第二故障信号；
10.所述与门电路被配置为在接收到所述第一故障信号和第二故障信号之后触发所述can/lin收发器停止报文收发。
11.一些实施例中，所述车载控制器为片上系统。
12.一些实施例中，所述电源芯片和所述处理器mcu均具有：
13.串行通信模块，两个所述串行通信模块被配置为传送所述输出电压到所述处理器mcu，使得所述处理器mcu根据所述输出电压判断该输出电压是否异常。
14.一些实施例中，所述串行通信模块包括spi/iic。
15.一些实施例中，若所述第二故障信号包括异常的输出电压和异常的输入电压，则所述处理器mcu还被配置为判断所述输入电压是否异常，且所述处理器mcu还具有：
16.故障监测模块，所述故障监测模块被配置为由所述处理器mcu确定异常的输出电压或异常的输入电压激活，并发出与输出电压或输入电压相关的第二故障信号至所述与门
电路和所述电源芯片。
17.一些实施例中，若所述输出电压在所述处理器mcu中设定的电压阈值以上，则所述处理器mcu通过其故障监测模块发出与输出电压相关的第二故障信号；
18.若所述输出电压低于所述电压阈值，则所述处理器mcu不外发与输出电压相关的第二故障信号。
19.一些实施例中，若所述第二故障信号还包括mcu运行故障，则所述故障监测模块还被配置为由所述处理器mcu确定异常的mcu运行信号激活，并发出与mcu运行信号相关的第二故障信号至所述与门电路和所述电源芯片；
20.以及，所述电源芯片还被配置为根据发出的与mcu运行信号相关的第二故障信号确定是否发出所述第一故障信号。
21.第二方面，本技术实施例还提供了一种基于功能安全的车载控制系统，包括蓄电池、can/lin收发器总线和至少一个如上述的基于功能安全的车载控制器；
22.所述车载控制器的一端与所述蓄电池相连，另一端与所述can/lin收发器总线相连。
23.一些实施例中，所述车载控制器的数量至少为两个，各个所述车载控制器的一端均与所述蓄电池相连，另一端均与所述can/lin收发器总线相连。
24.第三方面，本技术实施例还提供了一种具有如上述的基于功能安全的车载控制系统的车辆。
25.本技术提供的技术方案带来的有益效果包括：通过控制器上自带的电源芯片和处理器mcu实现故障的相互监测，通过新增一个与门电路避免报错率过于频繁，提高了控制器运行的安全可靠性，防止车载控制器与外界交互出错导致危险发生。
附图说明
26.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1为本技术实施例提供的一种基于功能安全的车载控制系统的结构原理图。
28.本技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
29.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
30.附图中所示的流程图仅是示例说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解、组合或部分合并，因此实际执行的顺序有可能根据实际情况改变。
31.本技术实施例提供了一种基于功能安全的车载控制器，通过控制器上自带的电源
芯片和处理器mcu实现故障的相互监测，通过新增一个与门电路避免报错率过于频繁，提高了控制器运行的安全可靠性，防止控制器与外界交互出错导致危险发生。
32.下面结合附图，对本技术的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。
33.请参照图1，本技术实施例提供了一种基于功能安全的车载控制器，所述车载控制器包括电源芯片、处理器mcu和can/lin收发器，还包括：
34.与门电路，所述与门电路的两个输入端与所述电源芯片和所述处理器mcu一一连接，一个输出端与所述can/lin收发器相连，且所述电源芯片与所述处理器mcu连接；
35.同时，所述电源芯片被配置为监测所述电源芯片的输出电压，并根据所述处理器mcu和所述输出电压确定是否向所述与门电路发出第一故障信号；
36.所述处理器mcu被配置为监测所述电源芯片的输入电压，并根据所述电源芯片、所述处理器mcu和所述输入电压确定是否向所述与门电路发出第二故障信号；
37.所述与门电路被配置为在接收到所述第一故障信号和第二故障信号之后触发所述can/lin收发器停止报文收发。
38.在本技术实施例中，与常规的车载控制器相比，硬件上仅新增了与门电路，整体构造上的改动较小。以及，对电源芯片和处理器mcu都进行了优化，通过处理器mcu监测电源芯片的输入电压，也就是蓄电池的输入电压状态，能够根据监测到的输入电压确定该检测参数是有异常；通过电源芯片监测电源芯片的输出电压，该输出电压一方面能够由电源芯片确定是否是异常并发出第一故障信号，另一方面也会发给处理器mcu来进行仲裁判断以确定是否需要由处理器mcu发出第二故障信号以通过与门电路控制can/lin收发器停止报文收发。
39.通过控制器上自带的电源芯片和处理器mcu实现故障的相互监测，通过新增一个与门电路避免报错率过于频繁，提高了控制器运行的安全可靠性，防止控制器与外界交互出错导致危险发生。
40.作为本技术实施例的优选实施例，所述车载控制器为片上系统。新增的与门电路结构简单，易于集成设置，在提高功能安全的前提下也不会大范围改变原有硬件结构。
41.作为本技术实施例的优选实施例，所述电源芯片和所述处理器mcu均具有：
42.串行通信模块，两个所述串行通信模块被配置为传送所述输出电压到所述处理器mcu，使得所述处理器mcu根据所述输出电压判断该输出电压是否异常。
43.进一步地，所述串行通信模块包括spi/iic。
44.在本实施例中，所述串行通信模块为spi/iic，其中，spi在芯片的管脚上只占用四根线，节约了芯片的管脚，同时为pcb的布局上节省空间，简单易用；iic总线是双向、两线、串行、多主控接口标准，具有总线仲裁机制，非常适合在器件之间进行近距离、非经常性的数据通信。
45.需要注意的是，本实施例中的串行通信模块用来传送输出电压信号，但并不局限于传递该信息，还能够根据实际需求在电源芯片和处理器mcu之间进行数据的相互传递。
46.作为本技术实施例的一种优选实施例，若所述第二故障信号包括异常的输出电压和异常的输入电压，则所述处理器mcu还被配置为判断所述输入电压是否异常，且所述处理器mcu还具有：
47.故障监测模块，所述故障监测模块被配置为由所述处理器mcu确定异常的输出电压或异常的输入电压激活，并发出与输出电压或输入电压相关的第二故障信号至所述与门电路和所述电源芯片。
48.进一步地，若所述输出电压在所述处理器mcu中设定的电压阈值以上，则所述处理器mcu通过其故障监测模块发出与输出电压相关的第二故障信号；
49.若所述输出电压低于所述电压阈值，则所述处理器mcu不外发与输出电压相关的第二故障信号。
50.在本实施例中，第二故障信号涉及到的监测参数有输出电压和输入电压，当输出电压由电源芯片判断异常并发出第一故障信号之后，还需要由处理器mcu再对监测到的输出电压进行一次判断，增加了异常结果判断的准确性，既能够使得存在异常时通过与门电路的设置来控制can/lin收发器是否停止报文收发。
51.再进一步地，若所述第二故障信号还包括mcu运行故障，则所述故障监测模块还被配置为由所述处理器mcu确定异常的mcu运行信号激活，并发出与mcu运行信号相关的第二故障信号至所述与门电路和所述电源芯片；
52.以及，所述电源芯片还被配置为根据发出的与mcu运行信号相关的第二故障信号确定是否发出所述第一故障信号。
53.在本实施例中，除了电源芯片的输入电压和输出电压的异常之外，还存在处理器mcu的运行故障，处理器mcu通过故障监测模块发出各种故障信号，但是并不能够确定其故障等级程度，故而在电源芯片上设置另一个故障监测模块，两个故障监测模块相连，且由处理器mcu上的故障监测模块单方向地向电源芯片上的故障监测模块传送故障信号，之后，电源芯片根据接收的故障信号再进行仲裁判断以确定是否发出第一故障信号，其中，第一故障信号涉及到的故障类型与第二故障信号相似，故而在此不再详细赘述。
54.具体地，所述第一故障信号由电源芯片中的故障安全输出管脚fo输出。电源芯片上具有电压输入管脚vin、输出电压管脚vout、输出电压监测管脚、spi/iic管脚、故障监测管脚和故障安全输出管脚fo。处理器mcu上具有管脚vcc、输入电压监测管脚、spi/iic管脚和故障监测管脚。can/lin收发器具有管脚vcc和使能管脚en。
55.其中，本技术实施了在处理器mcu上增设了监控输入电压的输入电压监测模块，通过处理器mcu监控该电压状态是否正常；电源芯片增加输出电压的自检模块以及故障安全输出fo模块，自检模块也就是输出电压监测模块。当监测到电源芯片输出电压异常时,电源芯片通过spi/iic将该输出电压信息传递至处理器mcu，并通过故障安全输出fo引脚输出第一故障信号；增加电源芯片对处理器mcu状态监控的部分，当mcu运行出现错误时，处理器mcu通过故障监测管脚输出错误，电源芯片上的故障监测模块能够监测该错误对应的故障；将电源芯片故障安全输出fo和处理器mcu的故障监测输出通过与门电路逻辑运算后控制can/lin收发器使能en；当输入电压、输出电压或mcu运行出现错误时，电源芯片和处理器mcu综合仲裁后通过与门电路控制can/lin收发器停止报文收发，防止车载控制器通过can/lin总线与其他车载控制器ecu信息交互错误而导致危险发生，从而提高车载控制器安全性和可靠性。
56.下面结合几个具体的场景解释本技术实施例。
57.当输入电压、输出电压或mcu运行出现错误时，电源芯片和mcu综合仲裁后通过与
门控制can/lin收发器芯片停止报文收发，防止车载控制器ecu1通过总线与其他ecu信息交互错误而导致危险发生。
58.场景1：输入电压vin、输出电压vout和mcu运行均正常时，can/lin芯片通过总线与其他ecu正常通讯；
59.场景2：若蓄电池输入电压vin电压为e时(工作电压a～c、过压监测阈值d，其中a＜c＜d＜e)，mcu监控输入电压vin超过过压监测阈值，则mcu激活故障监测模块、电源芯片激活故障安全输出fo模块，门激活控制can/lin芯片停止报文收发,防止ecu1通过总线与其他ecu信息交互错误；
60.场景3：若蓄电池输入电压vin电压为b时(工作电压a～c、过压监测阈值d，其中a＜b＜c＜d)，mcu监控输入电压vin超过工作电压但未超出过压监测阈值，则mcu不会激活故障监测模块，与门不激活，can/lin芯片通过总线与其他ecu正常通讯，当蓄电池输入电压vin电压超过过压监测阈时进入场景2；
61.场景4：若电源芯片自检模块监测输出电压vout超过电源芯片正常输出范围时，则电源芯片激活故障安全输出fo模块、mcu激活故障监测模块，与门激活控制can/lin芯片停止报文收发,防止ecu1通过总线与其他ecu信息交互错误；
62.场景5：电源芯片通过故障监测模块对mcu状态进行监测时，当mcu运行出现错误时通过故障监测模块输出故障,电源芯片根据故障等级综合仲裁，通过与门控制can/lin芯片是否使能，进而防止ecu1通过总线与其他ecu信息交互错误。
63.如图1所示，本技术实施例提供了一种基于功能安全的车载控制系统，包括蓄电池、can/lin收发器总线和至少一个如上述的基于功能安全的车载控制器；
64.所述车载控制器的一端与所述蓄电池相连，另一端与所述can/lin收发器总线相连。
65.进一步地，在实际的应用场景中，车载控制器的数量是超过一个的，所述车载控制器的数量至少为两个，各个所述车载控制器的一端均与所述蓄电池相连，另一端均与所述can/lin收发器总线相连。
66.其中，所述车载控制器包括电源芯片、处理器mcu和can/lin收发器，还包括：
67.与门电路，所述与门电路的两个输入端与所述电源芯片和所述处理器mcu一一连接，一个输出端与所述can/lin收发器相连，且所述电源芯片与所述处理器mcu连接；
68.同时，所述电源芯片被配置为监测所述电源芯片的输出电压，并根据所述处理器mcu和所述输出电压确定是否向所述与门电路发出第一故障信号；
69.所述处理器mcu被配置为监测所述电源芯片的输入电压，并根据所述电源芯片、所述处理器mcu和所述输入电压确定是否向所述与门电路发出第二故障信号；
70.所述与门电路被配置为在接收到所述第一故障信号和第二故障信号之后触发所述can/lin收发器停止报文收发。
71.在本技术实施例中，与常规的车载控制器相比，硬件上仅新增了与门电路，整体构造上的改动较小。以及，对电源芯片和处理器mcu都进行了优化，通过处理器mcu监测电源芯片的输入电压，也就是蓄电池的输入电压状态，能够根据监测到的输入电压确定该检测参数是有异常；通过电源芯片监测电源芯片的输出电压，该输出电压一方面能够由电源芯片确定是否是异常并发出第一故障信号，另一方面也会发给处理器mcu来进行仲裁判断以确
定是否需要由处理器mcu发出第二故障信号以通过与门电路控制can/lin收发器停止报文收发。
72.通过控制器上自带的电源芯片和处理器mcu实现故障的相互监测，通过新增一个与门电路避免报错率过于频繁，提高了控制器运行的安全可靠性，防止控制器与外界交互出错导致危险发生。
73.作为本技术实施例的优选实施例，所述车载控制器为片上系统。新增的与门电路结构简单，易于集成设置，在提高功能安全的前提下也不会大范围改变原有硬件结构。
74.作为本技术实施例的优选实施例，所述电源芯片和所述处理器mcu均具有：
75.串行通信模块，两个所述串行通信模块被配置为传送所述输出电压到所述处理器mcu，使得所述处理器mcu根据所述输出电压判断该输出电压是否异常。
76.进一步地，所述串行通信模块包括spi/iic。
77.在本实施例中，所述串行通信模块为spi/iic，其中，spi在芯片的管脚上只占用四根线，节约了芯片的管脚，同时为pcb的布局上节省空间，简单易用；iic总线是双向、两线、串行、多主控接口标准，具有总线仲裁机制，非常适合在器件之间进行近距离、非经常性的数据通信。
78.需要注意的是，本实施例中的串行通信模块用来传送输出电压信号，但并不局限于传递该信息，还能够根据实际需求在电源芯片和处理器mcu之间进行数据的相互传递。
79.作为本技术实施例的一种优选实施例，若所述第二故障信号包括异常的输出电压和异常的输入电压，则所述处理器mcu还被配置为判断所述输入电压是否异常，且所述处理器mcu还具有：
80.故障监测模块，所述故障监测模块被配置为由所述处理器mcu确定异常的输出电压或异常的输入电压激活，并发出与输出电压或输入电压相关的第二故障信号至所述与门电路和所述电源芯片。
81.进一步地，若所述输出电压在所述处理器mcu中设定的电压阈值以上，则所述处理器mcu通过其故障监测模块发出与输出电压相关的第二故障信号；
82.若所述输出电压低于所述电压阈值，则所述处理器mcu不外发与输出电压相关的第二故障信号。
83.在本实施例中，第二故障信号涉及到的监测参数有输出电压和输入电压，当输出电压由电源芯片判断异常并发出第一故障信号之后，还需要由处理器mcu再对监测到的输出电压进行一次判断，增加了异常结果判断的准确性，既能够使得存在异常时通过与门电路的设置来控制can/lin收发器是否停止报文收发。
84.再进一步地，若所述第二故障信号还包括mcu运行故障，则所述故障监测模块还被配置为由所述处理器mcu确定异常的mcu运行信号激活，并发出与mcu运行信号相关的第二故障信号至所述与门电路和所述电源芯片；
85.以及，所述电源芯片还被配置为根据发出的与mcu运行信号相关的第二故障信号确定是否发出所述第一故障信号。
86.在本实施例中，除了电源芯片的输入电压和输出电压的异常之外，还存在处理器mcu的运行故障，处理器mcu通过故障监测模块发出各种故障信号，但是并不能够确定其故障等级程度，故而在电源芯片上设置另一个故障监测模块，两个故障监测模块相连，且由处
理器mcu上的故障监测模块单方向地向电源芯片上的故障监测模块传送故障信号，之后，电源芯片根据接收的故障信号再进行仲裁判断以确定是否发出第一故障信号，其中，第一故障信号涉及到的故障类型与第二故障信号相似，故而在此不再详细赘述。
87.具体地，所述第一故障信号由电源芯片中的故障安全输出管脚fo输出。电源芯片上具有电压输入管脚vin、输出电压管脚vout、输出电压监测管脚、spi/iic管脚、故障监测管脚和故障安全输出管脚fo。处理器mcu上具有管脚vcc、输入电压监测管脚、spi/iic管脚和故障监测管脚。can/lin收发器具有管脚vcc和使能管脚en。
88.其中，本技术实施了在处理器mcu上增设了监控输入电压的输入电压监测模块，通过处理器mcu监控该电压状态是否正常；电源芯片增加输出电压的自检模块以及故障安全输出fo模块，自检模块也就是输出电压监测模块。当监测到电源芯片输出电压异常时,电源芯片通过spi/iic将该输出电压信息传递至处理器mcu，并通过故障安全输出fo引脚输出第一故障信号；增加电源芯片对处理器mcu状态监控的部分，当mcu运行出现错误时，处理器mcu通过故障监测管脚输出错误，电源芯片上的故障监测模块能够监测该错误对应的故障；将电源芯片故障安全输出fo和处理器mcu的故障监测输出通过与门电路逻辑运算后控制can/lin收发器使能en；当输入电压、输出电压或mcu运行出现错误时，电源芯片和处理器mcu综合仲裁后通过与门电路控制can/lin收发器停止报文收发，防止车载控制器通过can/lin总线与其他车载控制器ecu信息交互错误而导致危险发生，从而提高车载控制器安全性和可靠性。
89.本技术实施例还提供了一种具有如上述的基于功能安全的车载控制系统的车辆。
90.其中，车载控制系统包括蓄电池、can/lin收发器总线和至少一个如上述的基于功能安全的车载控制器；
91.所述车载控制器的一端与所述蓄电池相连，另一端与所述can/lin收发器总线相连。
92.进一步地，在实际的应用场景中，车载控制器的数量是超过一个的，所述车载控制器的数量至少为两个，各个所述车载控制器的一端均与所述蓄电池相连，另一端均与所述can/lin收发器总线相连。
93.更进一步地，所述车载控制器包括电源芯片、处理器mcu和can/lin收发器，还包括：
94.与门电路，所述与门电路的两个输入端与所述电源芯片和所述处理器mcu一一连接，一个输出端与所述can/lin收发器相连，且所述电源芯片与所述处理器mcu连接；
95.同时，所述电源芯片被配置为监测所述电源芯片的输出电压，并根据所述处理器mcu和所述输出电压确定是否向所述与门电路发出第一故障信号；
96.所述处理器mcu被配置为监测所述电源芯片的输入电压，并根据所述电源芯片、所述处理器mcu和所述输入电压确定是否向所述与门电路发出第二故障信号；
97.所述与门电路被配置为在接收到所述第一故障信号和第二故障信号之后触发所述can/lin收发器停止报文收发。
98.在本技术实施例中，与常规的车载控制器相比，硬件上仅新增了与门电路，整体构造上的改动较小。以及，对电源芯片和处理器mcu都进行了优化，通过处理器mcu监测电源芯片的输入电压，也就是蓄电池的输入电压状态，能够根据监测到的输入电压确定该检测参
数是有异常；通过电源芯片监测电源芯片的输出电压，该输出电压一方面能够由电源芯片确定是否是异常并发出第一故障信号，另一方面也会发给处理器mcu来进行仲裁判断以确定是否需要由处理器mcu发出第二故障信号以通过与门电路控制can/lin收发器停止报文收发。
99.通过控制器上自带的电源芯片和处理器mcu实现故障的相互监测，通过新增一个与门电路避免报错率过于频繁，提高了控制器运行的安全可靠性，防止控制器与外界交互出错导致危险发生。
100.作为本技术实施例的优选实施例，所述车载控制器为片上系统。新增的与门电路结构简单，易于集成设置，在提高功能安全的前提下也不会大范围改变原有硬件结构。
101.作为本技术实施例的优选实施例，所述电源芯片和所述处理器mcu均具有：
102.串行通信模块，两个所述串行通信模块被配置为传送所述输出电压到所述处理器mcu，使得所述处理器mcu根据所述输出电压判断该输出电压是否异常。
103.进一步地，所述串行通信模块包括spi/iic。
104.在本实施例中，所述串行通信模块为spi/iic，其中，spi在芯片的管脚上只占用四根线，节约了芯片的管脚，同时为pcb的布局上节省空间，简单易用；iic总线是双向、两线、串行、多主控接口标准，具有总线仲裁机制，非常适合在器件之间进行近距离、非经常性的数据通信。
105.需要注意的是，本实施例中的串行通信模块用来传送输出电压信号，但并不局限于传递该信息，还能够根据实际需求在电源芯片和处理器mcu之间进行数据的相互传递。
106.作为本技术实施例的一种优选实施例，若所述第二故障信号包括异常的输出电压和异常的输入电压，则所述处理器mcu还被配置为判断所述输入电压是否异常，且所述处理器mcu还具有：
107.故障监测模块，所述故障监测模块被配置为由所述处理器mcu确定异常的输出电压或异常的输入电压激活，并发出与输出电压或输入电压相关的第二故障信号至所述与门电路和所述电源芯片。
108.进一步地，若所述输出电压在所述处理器mcu中设定的电压阈值以上，则所述处理器mcu通过其故障监测模块发出与输出电压相关的第二故障信号；
109.若所述输出电压低于所述电压阈值，则所述处理器mcu不外发与输出电压相关的第二故障信号。
110.在本实施例中，第二故障信号涉及到的监测参数有输出电压和输入电压，当输出电压由电源芯片判断异常并发出第一故障信号之后，还需要由处理器mcu再对监测到的输出电压进行一次判断，增加了异常结果判断的准确性，既能够使得存在异常时通过与门电路的设置来控制can/lin收发器是否停止报文收发。
111.再进一步地，若所述第二故障信号还包括mcu运行故障，则所述故障监测模块还被配置为由所述处理器mcu确定异常的mcu运行信号激活，并发出与mcu运行信号相关的第二故障信号至所述与门电路和所述电源芯片；
112.以及，所述电源芯片还被配置为根据发出的与mcu运行信号相关的第二故障信号确定是否发出所述第一故障信号。
113.在本实施例中，除了电源芯片的输入电压和输出电压的异常之外，还存在处理器
mcu的运行故障，处理器mcu通过故障监测模块发出各种故障信号，但是并不能够确定其故障等级程度，故而在电源芯片上设置另一个故障监测模块，两个故障监测模块相连，且由处理器mcu上的故障监测模块单方向地向电源芯片上的故障监测模块传送故障信号，之后，电源芯片根据接收的故障信号再进行仲裁判断以确定是否发出第一故障信号，其中，第一故障信号涉及到的故障类型与第二故障信号相似，故而在此不再详细赘述。
114.具体地，所述第一故障信号由电源芯片中的故障安全输出管脚fo输出。电源芯片上具有电压输入管脚vin、输出电压管脚vout、输出电压监测管脚、spi/iic管脚、故障监测管脚和故障安全输出管脚fo。处理器mcu上具有管脚vcc、输入电压监测管脚、spi/iic管脚和故障监测管脚。can/lin收发器具有管脚vcc和使能管脚en。
115.其中，本技术实施了在处理器mcu上增设了监控输入电压的输入电压监测模块，通过处理器mcu监控该电压状态是否正常；电源芯片增加输出电压的自检模块以及故障安全输出fo模块，自检模块也就是输出电压监测模块。当监测到电源芯片输出电压异常时,电源芯片通过spi/iic将该输出电压信息传递至处理器mcu，并通过故障安全输出fo引脚输出第一故障信号；增加电源芯片对处理器mcu状态监控的部分，当mcu运行出现错误时，处理器mcu通过故障监测管脚输出错误，电源芯片上的故障监测模块能够监测该错误对应的故障；将电源芯片故障安全输出fo和处理器mcu的故障监测输出通过与门电路逻辑运算后控制can/lin收发器使能en；当输入电压、输出电压或mcu运行出现错误时，电源芯片和处理器mcu综合仲裁后通过与门电路控制can/lin收发器停止报文收发，防止车载控制器通过can/lin总线与其他车载控制器ecu信息交互错误而导致危险发生，从而提高车载控制器安全性和可靠性。
116.在本技术的描述中，需要说明的是，术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本技术的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本技术中的具体含义。
117.需要说明的是，在本技术中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
118.以上所述仅是本技术的具体实施方式，使本领域技术人员能够理解或实现本技术。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。