使用 C2000™ 实时 MCU 实现功能安全和网络安全的电动汽车动力总成
本技术文章系与 Prometo 功能安全和网络安全高级顾问 Jürgen Belz 共同编写。从内燃机 (ICE) 过渡到电动汽车 (EV),需要至少新增五个电气/电子/可编程电子 (E/E/PE) 系统。图 1 描绘了电动汽车中的这些系统。
图 1:典型电动汽车动力总成方框图
为了实现零尾气排放并减少对化石燃料的持续依赖,电动汽车开始在充电站“补充能量”。这些电动汽车充电站可使用太阳能和风能等可再生能源转化成电能,从而增加电动汽车对环境的积极影响。车载充电器与高压电池形成一个功能单元,确保快速、高效充电,同时保护电池免于过度充电。国际标准化组织 (ISO) 6469 第 1、2 和 3 部分描述了上述及其他安全要求 – 该标准负责制定道路电动车辆高压电气系统的安全要求。
电动汽车中的所有电子控制单元 (ECU) 都需要一个由高压/低压直流/直流转换器充电的 12V 电池,这有助于在低压 (12V) 电池和高压(400V 或 800V)电池之间实现电隔离。逆变器和电机(推进电机)为受控运动提供扭矩。具有高功率密度且非常紧凑的永磁同步电机通常部署在电动汽车推进电机中。在较低功率级别下,异步电机在电动汽车中的使用有限。该高压/低压直流/直流转换器的功能安全特性可帮助确保在电动汽车运行时充分发挥所有 ECU 功能,ISO 26262:2018 也对电动汽车牵引逆变器 (EVTI) 进行了概述。
例如,对于装有 ICE 的车辆,半导体元件的工作时间(或通电小时数)在 8,000 到 10,000 小时之间。而在电动汽车中,这会增加到 30,000 小时或更多。这是因为,半导体元件不仅在车辆行驶时,而且在车辆充电时都必须保持通电。这种功率值会带来一定的影响,例如,影响 ISO 26262 中随机硬件故障概率指标的计算,还需要工程师开发一种元件发生危险故障或时基故障的平均概率要低五倍的系统。
在电气化动力总成中,C2000 实时微控制器 (MCU) 通常负责功率变换并与连接到总线的通用 MCU 通信,实现更高级别的安全性,如图 2 所示。
图 2:电气化动力总成系统中的 C2000 实时控制
通常在无线升级中,您可能仍要考虑通信 MCU 和 C2000 实时控制器之间进行加密通信。在上述情况下,您需要评估威胁级别并确定系统级别的安全策略,从而充分利用 C2000 实时 MCU 提供的各种信息安全机制,如图 3 中所列。
图 3:C2000 支持的安全机制状态
支持这些信息安全机制的一些技术特性包括:
• 可保护内存块。
• 总线主控器(例如 C28x 中央处理单元 (CPU)、控制律加速器和直接存储器存取)的存储器区域所有权。
• 对某些存储器区域提供仅执行保护(在引导只读存储器中具有可调用的安全复制和安全循环冗余校验软件应用程序编程接口功能)。
• 在从安全存储区域(也称为安全联合测试行动组)执行代码时,通过调试端口和逻辑保护 CPU 免于不当访问。
• 每个产品具有唯一标识。
• 用于 128 位高级嵌入式标准 (AES) 加密的硬件加速引擎。
• 安全启动。
结语
由于电力驱动或电压转换器必须具有功能安全、高压安全、高能效和成本效益,因此挑战和复杂性呈指数级增加。使用 C2000 实时 MCU 进行设计时,电动汽车充电设计人员可选择使用满足所有这些要求的单个器件来解决这些挑战。