在发明汽车近一百年后,汽车电子技术才迎来了快速发展及应用,在此之前的很长一段时间,车上唯一的电子模块可能就是收音机。而现在,一辆现代化轿车上通常需要安装 50 个以上的电子模块,整车电线长度超过 3km。
实际上,汽车电子化在更早之前的 1955 年便开始了。随着第一台晶体管汽车收音机的推出,便拉开了汽车电子化的历史大幕。此后,汽车电子技术迅速发展,各种电子模块如雨后春笋般被发明出来,并广泛应用于各种车辆上,如 ABS、安全气囊系统、电子控制门锁系统、卫星导航系统、车辆防盗系统等。根据 Statista.com 的数据,在此期间,汽车中电子设备价值的整车占比跃升了 10 倍以上,从 20世纪 60 年代占汽车成本的 3% 上升到 2020 年的约 40%,预计在 2030 年后将达到 50% 以上。
#01
通常所说的 ECU,是 Electronic Control Unit 的缩写,ECU 又称电子控 制单元或电控单元,是汽车电子系统中用来控制电子电气系统及汽车子系统的嵌入式系统。而发动机控制器(Engine Control Unit)的缩写也为 ECU,为避免混淆,发动机控制器一般简称为发动机 ECU。汽车上存在大量用于实 现控制功能的嵌入式系统模块,这些模块可以统称为电子控制模块或电控模 块,它们同其他一些不实现控制功能的汽车电子模块,如仪表、影音娱乐、 导航模块等,统称为电子模块。
汽车电子技术发展到现在,设计一辆汽车成了一件极其复杂的事情,而这其中很大一部分要归因于车辆电气化、智能化带来的 ECU 数量的不断增加。如今的中型燃油轿车,ECU 可能多达 70 个,豪华车的ECU 通常超过 100 个,各个 ECU 负责相应的控制功能。
采集信号即通过各种方式(有线或无线)采集输入 ECU 的各种信号(数字或模拟信号)。
-
有线信号:通过线缆直接输入的信号,硬线信号如各类开关信号、传感器信号等。
-
通信信号:通过通信方式如串行外设接口(Serial Peripheral Interface,SPI)、控制器局域网(Controller Area Network ,CAN)、局域互联网络(Local Interconnect Network ,LIN)或以太网(Ethernet)等。
-
无线信号:如低频(Low Frequency,LF)信号、射频(Radio Frequency,RF)信号、蓝牙(Bluetooth,BLE)信号等。
-
数字信号:简单的如高有效或低有效的开关信号,或如脉冲宽度调制(Pulse-Width Modulation ,PWM)形式的调制信号,复杂的如数字摄像头信号。
模拟信号:如各种温度、压力、角度传感器信号,雨量传感器信号等,模拟信号一般在输入 ECU 后都需要再转为数字信号,然后才能进行处理。
1.2 信号处理
ECU 通常采用嵌入式系统,处理器通常为 MCU 。MCU 通常具有处理开关数字信号、模拟信号、PWM 信号、CAN/LIN/ 以太网通信信号的接口。但大多数时候,这些信号都需要经过专门的信号处理 / 转换电路或芯片,经处理后转化为 MCU 可识别的信号,然后才能进行最终处理,具体算法或策略则根据应用而定。
1.3 输出结果
ECU 输出结果的方式也根据应用的不同差异较大,既可以仅输出控制信号,通过如继电器等间接方式驱动负载;也可以直接控制,通过大电流输出的方式直接驱动负载。输出信号可以通过有线或无线方式,有线方式既可以是硬线信号,也可以是通信信号。
最初,人们为了控制排放,发明了发动机 ECU;为了被动安全,发明了 ABS 和安全气囊;为了乘车的舒适性及便利性,发明了座椅控制器和电子控制门锁系统;为了减轻长途驾驶的疲劳,发明了自动巡航系统。纵观近半个多世纪,车辆技术的发展史基本就是各种 ECU 及电子模块的发明史,电子技术对车辆技术的发展贡献巨大。
#02
任何产品设计,无论是消费品、工业品或汽车零部件,实际上都遵从相同的设计理念,也就是说,产品设计的底层逻辑实际上是互通的。
2.1 设计要求
在做一个产品设计时,通常首先考虑的是其功能的实现,在此基础上再考虑其他有形或无形的一些要求,例如:
-
满足行业标准要求。
-
满足客户标准要求。
-
满足客户成本要求。
-
满足客户项目周期要求。
-
尽可能采用最新的技术。
-
尽可能降低开发成本。
-
尽可能降低 BOM 成本。
尽可能降低生产成本。
汽车行业标准及客户标准都较为复杂,同时产品的成本要求又极高,项目周期也较消费级和工业级要长。同时,因为可靠性要求很高,车辆的开发成本也较其他行业要高得多。以上这些复杂的要求暂时先抛开不谈,下面先从基础功能实现的角度出发,介绍一个 ECU 的设计过程。
2.2 设计流程
ECU 的产品设计,简单来讲,通常可分为以下几步:
-
系统设计。
-
硬件与结构设计。
-
软件设计。
产品测试。
2.2.1 系统设计
如图3所示,ECU 系统框图包含了其与外部的连接关系及内部的系统原理。
图3 可以理解为一个 ECU 最小系统,其中包含:
1. 电源部分。电源部分包含电源输入(乘用车通常为 12V 系统,商用车为 24V 系统)和 ECU 内部的电压转换部分。ECU 内部的芯片,如 MCU、运算放大器、逻辑芯片等,工作电压通常为 5V 或 3.3V,这就需要电源芯片对电源电压进行转换,压差较小或小电流应用通常采用低压差线性稳压器(Low Dropout Regulator ,LDO),压差较大或大电流应用则通常 采用直流转直流( Direct Current to Direct Current ,DC/DC)电源芯片,如需要多个电源轨,则通常采用电源管理芯片(Power Management Integrated Circuit ,PMIC )。
4. 输出部分。MCU 作为处理芯片,受限于驱动能力,通常无法直接驱动任何负载,所以在 ECU 设计中会使用专门的驱动电路或芯片来直接或间接驱动负载工作。图3 即为 ECU 直接驱动灯类负载工作。
2.2.2 硬件及结构设计
不同于软件设计,硬件设计和结构设计都属于具体的实物设计。结构设计和硬件设计通常会同步进行,并相互影响。对 ECU 来讲,结构设计通常包括壳体设计、连接器设计、散热设计等,设计时主要考虑产品尺寸、安装方式、安装位置、防护等级、机械强度等。
简单来讲,硬件设计主要包括器件选型、设计原理图、创建 BOM、设计 PCB 等。图4 为一个简化的 ECU 原理图,其中包含接口部分、电源部分、输入检测部分、MCU 控制部分以及输出驱动部分。
原理图设计完成后就可以导出产品的初始 BOM,表 1 为一个产品的 BOM 举例。通常意义上的 BOM 仅仅是一个物料清单,类似于人们去超市购物列的购物清单,但对一个汽车 ECU 来讲,BOM 绝不仅仅是 BOM,它同时包含了非常多的其他信息。如表 1 中的 BOM 至少包含了以下信息:器件位置(顶层或底层)、物料编码、物料描述、数量、位号、封装、器件制造商、制造商物料编码等。
图4 简化的 ECU 原理图
表 1 BOM 物料清单
BOM 对一个产品来讲极其重要,从 ECU 设计前期开始,贯穿了整个 ECU 的一生。BOM 并不是通常认为的设计完成后就一成不变,相反,BOM 是鲜活的,是有生命的,是随着 ECU 一直在更新和进化的;BOM 见证了 ECU 的一生,从 ECU 的诞生到成长,从成熟到淘汰。
PCB 设计完成后就可以外发给 PCB 制板厂制板,工厂收到PCB 后就可以根据 BOM 进行 PCB 贴片,贴片完成后的电路板称为电路板总成(PCB Assembly ,PCBA),如图5 所示。PCBA 制作完成后会和结构设计进行校 核,此时的壳体通常为 3D 打印样件,在确认设计匹配没有问题后才会下达 开模指令进行开模。
实际上硬件设计工作远不止原理图及 PCB 设计,结构设计也不止壳体设计,还有大量的设计分析、测试验证及流程文档工作,这里暂不做过多描述。
2.2.3 软件设计
假定客户需求如下:
-
输入信号 1 有效,则红灯亮,无效则红灯灭。
-
输入信号 2 有效,则绿灯亮,无效则绿灯灭。
根据以上需求制定的软件逻辑如图 6 所示。
图6 ECU 软件逻辑示意图
实际上软件设计工作远不止于此,通常意义上的嵌入式设计包括底层软件设计、模块设计、系统集成,除此之外还有网络通信、诊断、软件测试验证及流程文档工作,这里暂不做过多描述。
2.2.4 产品测试
通常人们认为产品测试就是指产品的功能测试,如根据上面提出的产品功能,可以设计如下测试计划:
-
在输入信号 1 、2 均无效的状态下,接通 ECU 电源。
-
使输入信号 1 有效,红灯亮。
-
使输入信号 1 无效,红灯灭。
-
使输入信号 2 有效,绿灯亮。
使输入信号 2 无效,绿灯灭。
实际对汽车电子产品来讲,产品测试远不止于此。汽车电子产品测试通常可分为研发阶段测试、设计验证(Design Validation ,DV) 测试和量产后的产品验证 PV(Product Validation ,PV )测试。从侧重点来讲,研发阶段测试侧重于产品的功能、性能、可靠性及参数等方面的测试,PV 测试则侧 重于检验产品大批量生产的工艺、质量稳定性及一致性。
DV 测试作为检验汽车电子零部件产品硬件设计质量的一种测试手段, 是一个重要的时间节点。DV 测试通常意味着产品设计的定型,因为硬件设计及结构设计在 DV 测试前需要设计冻结,即不再允许进行任何设计更改,DV 测试结束后产品才被允许进入小批量试生产阶段,然后才能量产。
另外,不同于其他行业,汽车电子产品通常需要进行 100% 产品检测及 100% 功能测试,也就是说,每个产品下线前都必须进行检测,而非抽检;检测时,每项硬件功能都需要进行 100% 测试,而非抽检个别功能,这种测 试在汽车行业称为下线检测(End of Line ,EOL),严格的 EOL 下线检测流程虽然增加了生产时间、降低了生产效率,但却有效地保证了产品的质量。
#03
对于消费级产品或工业级产品来讲,功能实现距离商用已不太远,而对于汽车行业来讲,仅仅实现了基本功能的原型机,通常只能称之为演示样品 (Demonstration ,Demo),意思就是仅仅可以作为功能演示之用,距离实际的车载应用还很遥远。
除基本的功能要求外,车载应用还需要面对严苛的车辆内外部环境、复杂的电气及电磁环境、高可靠性及安全性要求、长寿命要求、低成本要求、生产制造可行性要求、批量一致性要求等。
3.1 严苛的车辆内外部环境
相对于消费级或工业级产品,车载产品所面对的内外部环境则要严苛得多,具体如下。
3.1.1 耐温要求
-
汽车使用环境的温度范围从最热的沙漠到最冷的极地,车载电子模块需要在各种状况下正常工作。
-
研究表明,汽车的驾驶舱工作温度范围为 -40~85℃。
发动机舱温度为 -40~125℃,其某些低温区域也要求达到 105 ℃。
车载应用要求的极宽的温度变化范围,对汽车电子设计来讲是一个极高的挑战,尤其是对于电子元器件来讲,高温会带来很多问题。以电阻器为例,电阻器的额定功率会随温度升高而降低,设计时就必须考虑温度变化产生的降额,如在温度超过 70℃后,功率需要按 1.25%/℃进行降额使用。再如功率芯片,如果最高允许结温为 170℃,而环境温度为 125℃,再叠加壳体密封的温度影响,及功率芯片因高温带来的导通阻抗升高、发热增大,综合影响下,功率芯片的工作温度就仅有不到 40℃的设计裕量。
3.1.2 耐湿度及防水要求
-
车载电子模块要求在所有的湿度范围(相对湿度 10%~ 100%) 内能够正常工作。
-
高相对湿度会导致水汽进入某些电子元器件内部,导致电子模块损坏。
-
某些产品应用要求完全防水,即使采用高温高压喷水,或完全浸入水中亦能正常工作。
3.1.3 耐灰尘、污垢及盐雾
车载电子模块根据安装位置不同,有不同的耐灰尘、污垢及盐雾的要求。对于裸露安装的产品,均要求有相应的防水、防尘等级,对产品上的金属材料,如壳体、金属支架、螺钉等则必须具有相应的耐盐雾腐蚀的能力。
通常来讲,产品的防护等级分为两部分:防尘和防水,二者是相互独立的。对车载电子产品来讲,在对产品的防护等级做出要求时,通常是对二者均有要求。如按照国标 GB/T 4208—2017 《外壳防护等级(IP 代码)》的规 定,第一位特征数字表示防止固体异物进入的防护等级,第二位特征数字表 示防止水进入的防护等级。如 IP57,“5”表示防尘,“7”表示短时间浸水,产品达到 IP57 就表示可以防尘和防短时间浸水。
3.1.4 耐机械振动、冲击
车辆的应用环境极其多样化,从城市到乡村、再到野外,车辆需要应对不同的复杂路况,车载电子模块也需要能够在各种机械振动和冲击下正常工作。以国内某大型乘用车 OEM 的振动测试标准为例,标准从轻度、中度、 剧烈到极度剧烈共分 9 个等级,极度剧烈的最高加速度为 294m/s²,近 30g,而战斗机飞行员最大可以承受的加速度是10g。
3.2 极其复杂的电气及电磁环境
车载电子模块在面对严苛的外部环境条件的同时,还需要面对更加复杂的内部电气及电磁环境条件,这个挑战甚至比外部环境更加严苛。参考汽车行业标准,车载电子模块需要面对的电气和电磁环境包括:
-
供电电压。12V 系统:9~16V;24V 系统:16~32V。
-
反向电压。12V 系统:-14V/1min;24V 系统:-28V/1min。
-
电压瞬降。12V 系统:4.5V/100ms;24V 系统:9V/100ms。
-
跳线启动。12V 系统:24V/1min。
-
启动特性。12V 系统:3V/4.5V;24V 系统:6V/8V。
-
抛负载。12V 系统:87V/400ms;24V 系统:174V/350ms。
-
传导抗扰。12V 系统:150V/-150V;24V 系统:300V/-600V
-
电磁辐射抗干扰及抗大电流注入干扰(BCI)。频率从 kHz 级别到 GHz 级别,电场强度高达 200V/m。
静电放电(ESD)。高达 25kV。
参考汽车行业标准,车载电子模块需要面对的电气及电磁环境条件可以概括如图 8 所示。
图8 车载电子模块需要面对的电气及电磁环境条件
3.3 高可靠性及安全性要求
3.3.1 可靠性要求
通常意义上讲的可靠性是指产品在一定时间内或在一定条件下无故障地执行指定功能的能力,这个能力可以通过 dppm 值、FIT 值、MTBF 值等数据来进行度量,进而评价产品的可靠性。
通常认为一辆车由几万个零部件组成,一个电子模块作为一个零部件来说,通常由数百至上千个电子元器件组成。以图 9 为例,如果一个器件的故障率为 1dppm,对于一百万辆车来讲,就可能会有 1000 辆车的电子模块存在缺陷,而一辆车上的电子模块数量往往在 50 个以上。
图9 器件 1dppm 缺陷对一百万量车的影响
汽车行业中,汽车制造商(OEM) 对质量问题通常用 ppm 来量化,对 ECU 这种电子零部件,一般要达到 10ppm 以内,也就是百万数量中只允许 出现几个不良品。电子元器件供应商则常采用 dppm 来衡量元器件的不良率, 通常可以做到 1dppm 以内。
但对于车载电子模块来讲,由于其应用场景及功能的复杂性,简单采用 dppm 或 FIT 值来衡量其可靠性是不合适的。对此,汽车行业国家标准 GB/ T 28046.1—2011(对应 ISO 16750-1 :2006) 《道路车辆电气及电子设备的环境条件和试验 第 1 部分:一般规定》对被测设备(Device Under Test, DUT) 在试验期间及试验后所处的功能状态进行了清晰地分级,这个分级方法提供一个很好的参考。
GB/T 28046.1—2011 中的功能状态分为 A 、B 、C 、D 、E 共五个等级。
-
A 级:试验中和试验后,装置 / 系统所有功能满足设计要求。
-
B 级:试验中装置 / 系统所有功能满足设计要求,但允许有一个或多个超出规定允差。试验后所有功能应自动恢复到规定限值。存储器功能应符合 A 级。
-
C 级:试验中装置 / 系统一个或多个功能不满足设计要求,但试验后所有功能能自动恢复到正常运行。
-
D 级:试验中装置 / 系统一个或多个功能不满足设计要求且试验后不能自动恢复到正常运行,需要对装置 / 系统通过简单操作重新激活。
E 级:试验中装置 / 系统一个或多个功能不满足设计要求且试验后不能自动恢复到正常运行,需要对装置 / 系统进行修理或更换。
ISO 16750 的 5 个标准 (1~5) 已全部升级为 2023 版,即 ISO 16750-1/2/3/4/5:2023,发布时间为 2023 年 7 月 , 对应的国家标准 GB/T 28046 尚未更新,故本书仍沿用现行国标对应的 ISO 版本。
对于车载电子模块来讲,不同的应用场景下,对应的不同功能需要满足不同的可靠性等级,这从某种程度上提高了车载应用对电子模块可靠性的要求。如车门解锁的可靠性,车辆在正常非行驶状态下,即使偶尔解锁功能失效一次,乘客再次执行操作即可,这个偏差是可以接受的,也不会影响使用体验。但如果是在发生碰撞事故后,车门的自动解锁功能出现偏差或失效,那就可能关乎乘客的生命。
参考 ISO 26262-5 :2018 《道路车辆功能安全》(对应 GB/T 34590.5— 2022)标准,若某个电子模块的某个功能定义的功能安全等级为 ASILB,则 其相应的硬件失效概率要求为 100 FIT,从某种意义上则可以认为其 MTBF 为 107h, 即平均预期可安全工作时间为一千万 h,约等于 1141.5 年。而对于转向、制动等功能,功能安全等级要求则更高,达到 ASIL D 级别,为 10 FIT 。ISO 26262-5 :2018 对随机硬件失效目标值的规定见表 2。
表 2 ISO 26262-5:2018 对随机硬件失效目标值的规定
① ASIL:Automotive Safety Integrity Level,汽车安全完整性等级。
② PMHF:Probabilistic Metric for Random Hardware Failures,随机硬件失效概率度量。
3.3.2 安全性要求
对车载应用来讲,电子模块的可靠性和安全性的侧重点有所不同。可靠性侧重于电子模块可靠地实现其相应功能而不发生故障或失效,而安全性则侧重于在其功能未达到设计要求或功能失效后带来的影响。安全性通常又可以分为两方面:一是财产安全,二是人身安全。
-
财产安全。如自动落锁功能失效导致车内财物被盗,或者电子模块防盗性能较差导致车辆被盗。
人身安全。车辆涉及人身安全的地方很多,但对隶属于电子电气系统的电子模块来讲, ISO 26262 标准是一个很好的参考。ISO 26262 标准涵盖的范围主要是与安全相关的电子电气系统(Electrica/Electronic Safety-Related Systems),如娱乐系统的音乐播放功能就不在此范围内。
对于需要考虑人身安全的电子模块功能,在功能失效后可以采取不同的安全机制,如 Fail-Safe(故障安全)和 Fail-Operation(故障工作),其目的是 确保电子模块发生故障时,对驾驶员、乘客和行人所造成的危害风险降低, 并控制在可接受的范围内。
以车辆的近光灯控制功能为例,如果电子模块的近光灯控制功能发生故障,Fail-Safe 的安全机制可以是强制开启近光灯功能(无论当前近光灯功能是否开启);而 Fail-Operation 的安全机制则可以是依据驾驶员的操作决定是 否开启或关闭近光灯。相较于电子模块的正常工作状态,其差异在于 Fail- Operation 是电子模块的故障监测电路检测到电子模块故障后,将控制功能交给冗余控制电路。
电子模块设计中常用的 Limphome(跛行回家)功能就是一种冗余设计。如图10 所示,Limphome 电路在电子模块正常工作时处于关闭状态,当监测电路检测到电子模块故障持续时间超过一定时间(如 128ms),监测电路便会输出一个 Limphome 信号,Limphome 功能便会被激活,电子模块进入 Limphome 模式,Limphome 电路将立即接管设定的控制功能。随后如果电子模块故障解除,Limphome 信号便会无效,Limphome 电路也即自动关闭,控制权将被重新交给电子模块。