[发明专利]具有安全等级设计的TCMS-MPU控制单元

权利要求书

1.一种具有安全等级设计的TCMS-MPU控制单元，其特征在于，包括电源板卡、主控板卡MCPU、网络板卡NET1、背板；主控板卡MCPU、网络板卡NET1之间通过背板上的CPCI板级总线，进行数据交互；电源板卡通过背板对主控板卡MCPU和网络板卡NET1供电；

主控板卡MCPU包括主处理器CPU、MCU1功能模块；

网络板卡NET1包括FPGA功能模块、CPLD功能模块、MCU2功能模块；MCU2功能模块有两个：MCU2.1功能模块和MCU2.2功能模块；

安全设计包括主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视，和网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视；

主控板卡MCPU的MCU1功能模块对其主处理器CPU进行实时监视：

1）CPU温度检测：MCU1通过CPU附近的温度传感器获取CPU温度，通过IIC总线发送给CPU，CPU提供温度控制逻辑，在控制逻辑中判断温度大于70℃时， CPU应用层整车控制逻辑产生故障并进行故障保护处理；

2）CPU心跳检测：MCU1开启硬件看门狗，CPU周期性喂狗，当CPU异常，喂狗中断；CPU喂狗中断时，MCU1通过硬件看门狗复位CPU；

3）CPU重要软件任务及操作系统执行情况检测：3.1）内存检测：MCU1使用CPU VXworks操作系统提供的内存异常回调函数进行内存检测，当内存出现异常时，MCU1产生故障并生成故障码，同时重启CPU；3.2）系统故障监测：MCU1检测CPU电源过压或欠压故障，如发生故障则生成故障码，并重启CPU；3.3）通过软件看门狗检测重要周期性任务运行周期：当运行周期偏离15次或者运行终止时，喂狗发生异常，产生故障码并重启CPU；周期性任务包含：周期性喂狗、温度获取、事件处理、事件检测、MVB数据交互、IO数据更新、逻辑运行MVB从栈状态检测；

4）CPU启动过程检测：4.1）CPU最小系统上电自检：包含存储模块、温度传感器、系统实时时钟RTC、USB程序升级检测；故障时程序终止运行，MCU1硬件看门狗复位CPU；4.2）系统初始化故障检测：包含启动过程中软件程序初始化运行过程错误、硬件设备初始化错误；发生故障，CPU进入系统模式，终止运行；4.3）网络板卡上电自检：包括系统故障监测、3.3V和5V电源检测、网络板卡和CPU连接检测、CPLD异常检测、MCU2异常检测；发生故障，CPU进入系统模式，终止运行；4.4）MVB通信检测：驱动加载异常检测、MVB配置检测；发生故障，CPU进入系统模式，终止运行；

网络板卡NET1的CPLD功能模块对网络板卡NET1的执行情况进行监视：

1）MCU2.1检测：MCU2.1发送心跳给CPLD，如果心跳停止，MCU2.1故障，CPLD上报故障给主控板卡的CPU，CPU存储故障，并重启MCU2.1；

2）MCU2.2检测：MCU2.2发送心跳给CPLD，如果心跳停止，MCU2.2故障，CPLD上报故障给主控板卡的CPU，CPU存储故障，并重启MCU2.2；

由安全回路设计相同的主控MPU1和从控MPU2构成，MPU1与MPU2通过各自网络板卡的CAN总线接口以及MVB总线接口相连，共同实现冗余功能设计，默认MPU1为主控设备，MPU2为从控设备；

MPU1周期性检测其CPU心跳和状态信息，通过CAN总线发送到MPU2；MPU1检测自身状态故障的条件包括以下几项：主控板卡故障，包括主控板卡CPU心跳异常、CPU的MVB数据交互任务异常、CPU逻辑任务异常；网络板卡故障，包括CPCI通信故障、MCU2心跳检测、CPLD异常以及其他硬件故障；MVB网卡故障；

MPU2周期性接收MPU1通过CAN总线发送的心跳及状态信息，并且通过MVB总线获取MPU1的MVB状态，存在以下几种情况：1）MPU1有心跳并运行状态正常，此时MPU2设置为未激活，MVB源端口设置为宿端口同步接收MPU1发送的MVB数据，MPU 2的CAN总线实时检测MPU1心跳及状态；2）MPU1有心跳，但检测到MPU1状态故障，此时MPU1重新启动，MPU2设置为激活状态，替代MPU1工作，MVB源端口设置为正常，并发送心跳和自身状态，MPU1启动后设置自己为从控设备；3）MPU1心跳异常或未收到心跳信号，此时MPU2检测MPU1的MVB状态，如果MVB状态正常，则确定MPU1处于正常状态，判断为CAN总线断路或接触不良；如果MVB状态异常或未更新，判断为MPU1断电或者设备故障，此时MPU2激活，切换成主控设备。