VCU上下电流程学习(二)
本文部分内容参考Deepseek,如有问题,请踊跃指出,欢迎交流;
图片来自Koi-Cc:https://blog.csdn.net/qq_39593577/article/details/123496792?fromshare=blogdetail&sharetype=blogdetail&sharerId=123496792&sharerefer=PC&sharesource=cabbage_hhh&sharefrom=from_link
系统主要实现以下功能:低压上电、低压下电、高压上电、高压下电、快充上电、快充下电。
一、低压上电流程
| 状态 | 进入条件 | 执行 |
|---|---|---|
| PMC_02_001 | i)硬线信号被拉高 ii)CAN总线有数据传输时 | 控制器唤醒,VCU进行硬件和软件初始化 |
| PMC_02_002 | 若满足:①充电枪未连接 ②充电枪状态A+无效 ③按键面板指示灯key1左点亮 | VCU发出:①EPower唤醒指令 ②低压主继电器闭合指令,低压主继电器闭合输出24V,唤醒多合一、BMS、T-MCU、TCU。此时上下电系统状态为低压上电,整车状态为低压状态PMC_enumVehPtSt = 0x1。 |
| PMC_02_003 | 多合一、BMS、T-MCU进行自检,并发出正常工作的标志位 ④低压上电的该过程未超时 | 低压上电成功,上下电系统状态为低压上电成功,PMC _enumPMCSysSt = 0x2,整车状态保持低压状态。 |
二、高压上电流程
基于您提供的需求文档,整车上高压的过程是一个多阶段、带条件校验的序列过程。VCU作为总指挥,在每一个阶段都必须确认前置条件已满足后,才会执行该阶段的操作并触发下一阶段。整个过程可以概括为以下几个核心状态跳转:
A[接收上高压指令] --> B[BMS主回路上电]B --> C[低压附件回路上电]C --> D[DCDC使能与高压就绪]D --> E[驱动系统回路上电]E --> F[动力系统扭矩使能]F --> G[上电完成]
| 状态 | 前提条件 | VCU执行动作 | 备注与说明 |
|---|---|---|---|
| 0. 唤醒与初始化阶段(原流程缺失) | 1. 唤醒源有效:启动按钮信号(持续>500ms且<3s,防误触)、远程启动指令(T-BOX校验通过)、充电唤醒(仅低压唤醒,非高压唤醒); 2. VCU自身状态:供电电压9-16V(低压电池正常)、VCU内部MCU自检通过(RAM/ROM/AD采样无故障); 3. 网络状态:CAN总线(动力CAN、车身CAN)通信正常(总线负载率<80%,无总线关闭故障)。 | 1. VCU执行内部初始化(底层驱动、应用层模块加载),耗时≤200ms;2. 控制低压继电器盒,使其他ECU上电,通过CAN向BMS、MCU、DCDC、空调ECU发送**“唤醒请求”报文**(周期100ms);3. 监控各控制器唤醒响应(500ms内收到**“唤醒确认”报文**),未响应则记录DTC(U0xxx通信故障)。 | VCU未完成初始化时,所有高压相关指令均为无效。此阶段为**“高压流程准入门槛”,唤醒失败则触发“低压唤醒故障”**提示,禁止进入下一阶段。 |
| 1. 上电前全局安全校验(ASIL-B级) | 1. 禁止指令闭环: - 无RTD禁止上高压指令、无碰撞信号、急停信号(硬件急停开关+软件急停指令双校验); 2. 高压安全双重校验: - 高压互锁(HVIL):主回路HVIL+各分回路HVIL(空调/PTC/快充)均正常(回路电阻≤100Ω); - 绝缘电阻:BMS实测绝缘电阻≥500Ω/V(系统电压300V时≥150MΩ),无绝缘报警; - 接触器状态:BMS通过预诊断确认主正/主负/预充接触器均处于断开状态(无粘连,反馈电压与状态一致,如主接触器为断开,检测的MCU端直流母线电压也应为0); 3. 核心系统故障分级: - BMS:故障等级<2(无SOH严重衰减、无单体电压超差±0.3V); - MCU/DCDC:无ASIL-B级故障(如功率模块过温预故障、IGBT故障); 4. 基础状态量化: - BMS高压状态为“未上电”(唯一合法初始状态); - 电池SOC≥5%(根据环境温度适配补偿); 5. 充电状态闭环: - 充电枪物理未连接(CC1/CC2信号为低)、充电机无“充电使能”指令,BMS无充电状态反馈。 | 1. 发起**“多控制器协同校验”请求**:VCU作为主节点,接收BMS(高压安全)、Airbag ECU(碰撞)、MCU(驱动系统)、充电ECU(充电状态)的状态反馈,形成“校验矩阵”; 2. 校验超时处理:单个控制器反馈超时(>100ms)则重试3次,仍超时则判定**“通信故障”; 3. 故障定位与存储:记录具体不满足条件的DTC**(如P0AA6绝缘故障、P0B00HVIL故障),并通过CAN发送至仪表; 4. 安全降级:若仅**“舒适性附件(空调)HVIL故障”**,可允许高压上电但禁止激活空调,触发“空调系统故障”提示。 | 1. 此阶段为**“功能安全网关”,采用“一票否决制”,但支持“非核心功能降级”;2. 校验周期≤300ms(启动按钮按下后300ms内完成),超时则触发“系统响应超时”**故障; |
| 2. BMS预充及主回路上电(核心阶段) | 1. 前置条件:阶段1所有条件持续满足(VCU每50ms刷新校验,防止“条件突变”);2. 预充准备:BMS完成**“电池状态主动查询”**(单体电压、温度、均衡状态),无动态故障。 | 1. VCU向BMS发送**“高压上电指令”(CAN信号:0x200,含目标电压、预充时长参数,采用CRC校验防误码);2. 实时监控BMS预充流程**: - 第一阶段(预充接触器闭合):确认预充接触器反馈信号有效(闭合时间20-50ms); - 第二阶段(电容充电):监控MCU直流侧电压(母线预充电压≥电池电压90%为合格,充电时长200-500ms),达到阈值后,判断预充电成功,闭合主正继电器; - 第三阶段(主接触器切换):主正闭合后100ms内断开预充接触器;3. 预充异常处理: - 电压不达标(<85%):触发**“预充失败”,断开所有接触器,记录DTC P0550**; - 超时(>1s):强制下电,执行**“预充超时保护”**。 | 1. 预充顺序为**“主负先合,预充跟进,主正后合,预充断开”,防止拉弧烧蚀接触器;2. 预充电压阈值需匹配MCU电容参数(如400V系统,电容1000μF时,预充至360V以上);3. 此阶段建立“电池→主回路→MCU”的高压路径,但MCU仍处于“扭矩禁止”**状态。 |
| 3. 高压附件与低压系统激活 | 1. 高压确认:BMS发送**“主回路高压建立完成”**报文(主正/主负接触器状态为闭合,总线电压稳定在电池电压±5V);2. 阶段1条件持续满足(无新增故障)。 | 1. 分优先级激活附件: - 一级(安全相关):发送**“DCDC使能指令”(CAN+硬线双使能),监控DCDC输出电压(13.5-14.5V为正常),DCDC反馈“工作正常”后进入下一优先级; 确认EPS/ESC等底盘系统通过CAN报文反馈“系统正常、就绪”,确保在车辆产生驱动力之前,驾驶员拥有完整的转向和制动控制能力。 - 二级(舒适性):根据环境温度自动激活附件(-5℃以下激活PTC,30℃以上激活空调压缩机),发送使能指令后100ms内确认反馈信号;2. 附件故障处理: - DCDC故障(输出电压<12V):立即触发“低压供电故障”**,尝试激活备用低压电源(若有),3s内未恢复则下电; - 空调/PTC故障:仅禁止对应附件,不影响高压主回路。 | 1. 此阶段实现**“高压电能分配”,DCDC为核心——其输出稳定是低压网络(仪表、转向、制动)正常工作的前提,故优先激活;2. 原流程未明确“优先级”**,量产中若先激活空调再激活DCDC,可能导致低压网络电压波动(<9V),触发转向助力失效风险。 |
| 4. 驱动系统初始化与扭矩使能 | 1. 高压基础:BMS持续反馈**“高压状态正常”,总线电压波动≤10V;2. 低压基础:DCDC输出电压稳定(13.5-14.5V),低压网络无欠压/过压;3. 驱动系统状态: - MCU自检完成(IGBT、电流传感器、旋变均正常),无扭矩禁止故障; - VCU与MCU完成“安全通信握手”**(采用SecOC安全通信协议,防报文篡改)。 | 1. 通信层:实施**“扭矩使能三重互锁”机制**: i)软件互锁: VCU内部 Torque_Enable_Command 标志。 ii)硬件互锁: MCU的 Enable 硬线引脚必须为高电平(由VCU驱动)。 iii)状态互锁: 车辆必须处于 P档或N档,且 车速信号 < 2 km/h。三者必须同时满足,MCU才会响应扭矩请求。 2. 控制层: - 发送**“扭矩清零指令”(确保初始扭矩为0); - 清除MCU“扭矩输出禁止标志”(标志位由“1”置“0”,采用双字节确认防误操作); - 读取MCU“最大允许扭矩”(根据电池SOC、MCU温度动态调整,如SOC 5%时限制为额定扭矩30%);3. 故障闭环:若MCU反馈“扭矩使能失败”,立即发送“高压下电指令”,记录DTC P1B00**。 | 1. 此阶段为**“驱动使能核心”,所有操作需满足ASIL-B级安全要求**——SecOC通信、双字节确认等机制防止**“误使能”导致车辆窜动;2. 原流程未提及“安全通信”,量产中可能因CAN报文被干扰导致“扭矩误输出”**,存在重大安全隐患。 |
| 5. 上电完成(READY状态,最终节点) | 1. 全系统状态闭环(持续监控50ms): - BMS:高压状态正常,故障等级<1(仅允许轻微警告); - 核心控制器(MCU/DCDC/空调):均无ASIL-B级及以上故障,反馈“就绪”状态; - 底盘系统:EPS(转向)、**ESC(制动)**自检完成,无故障;2. 驾驶员操作:无换挡请求(处于P/N挡)、油门踏板开度<5%(防窜动)。车身系统:车门/引擎盖关闭(或至少驾驶员车门关闭),安全带未系仅为警告不影响READY。 | 1. VCU置位**“整车READY状态标志”(双变量冗余存储,防止单变量错误);2. 仪表:点亮绿色“READY”指示灯**,显示“车辆就绪”; 向总线广播**“READY状态”报文**(周期10ms);3. 进入**“高压维持阶段”**:每100ms刷新一次全系统状态,确保READY状态持续有效。 | 1. READY状态为**“可行驶准入标志”,但需满足“P/N挡+低油门”前提,防止驾驶员误操作;2. 原流程未提及“底盘系统校验”**,量产中若EPS故障仍进入READY状态,会导致转向失效,违反GB 7258安全要求;3. READY状态丢失机制:任一核心系统故障升级,VCU在100ms内清除READY标志,点亮故障灯。 |
| 6. 异常下电处理(原流程缺失) | 1. 触发条件:阶段1-5中任一安全条件失效、驾驶员按下熄火按钮、碰撞信号触发、远程下电指令;2. 下电前提:无扭矩输出(MCU反馈扭矩≤0.5N·m)、车辆速度≤5km/h(高速下电需先触发减速)。 | 1. 下电顺序(防拉弧与电容放电): - 第一步:发送**“扭矩禁止指令”,清除MCU扭矩请求;(确保无功率输出,避免下电时产生冲击电流) - 第二步:断开空调/PTC等高压附件接触器**;(剥离非核心负载,降低主回路电流) - 第三步:断开主正接触器,保留主负与预充接触器(形成“MCU电容→预充接触器→主负接触器→接地”的放电回路,强制释放电容残余电荷); - 第四步:通过MCU反馈的直流侧电压信号确认电容电压<50V(国标安全电压阈值)后,断开主负与预充接触器(彻底切断高压回路)2. 状态反馈与异常兜底: - 实时监控各接触器状态反馈(断开指令发出后50ms内确认反馈信号,否则记录DTC P0B01接触器故障); - 若电容电压10s内未降至50V以下,触发**“电容放电故障”,立即激活MCU内部主动放电回路,同时断开所有接触器并点亮高压故障灯;3. 状态闭环:向BMS发送“下电完成确认”**,BMS反馈“高压断开+绝缘电阻正常”后,VCU进入“低压待机”状态。 | 异常下电是高压流程的**“安全闭环”,原流程仅讲上电不讲下电,导致“故障后如何安全断电”缺失。下电顺序错误会导致接触器拉弧或电容残余电压触电风险**,必须严格遵循**“先断负载、再断主正、最后主负”**原则。 |
上电时序
三、高压下电流程
下电流程的核心目标是安全、有序地切断高压电源,并确保系统能量得到安全释放。它必须能响应多种触发条件,并在各种工况下(包括故障)都能安全执行。
3.1. 下电触发条件
| 触发场景 | 具体条件 |
|---|---|
| 正常下电 | 1. 车辆处于READY状态且已静止(车速 < 0.5 km/h 并且持续时间大于500ms)。 2. 驾驶员执行下电操作(如按下启动按钮,此处信号需持续200ms防抖)。 |
| 充电中断 | 1. 充电过程中,充电枪被拔出。 2. 充电系统发生故障,收到停止充电指令。 |
| 故障下电 | 1. 系统检测到严重故障(如绝缘故障、高压互锁故障、BMS严重故障等),触发强制下电指令。 2. 电池SOC过低(如 ≤ 1%)。 |
| 紧急下电 | 1. 任何状态下,急停开关被按下。 2. 安全系统(如气囊ECU)发出碰撞信号。 |
| 远程下电 | 需校验TBOX签名合法性 |
3.2. 下电执行流程
下电过程是一个状态机,下表描述了从高压上电完成状态到完全下电休眠的各个阶段。
| 状态 | 条件 | VCU执行动作 | 备注与说明 |
|---|---|---|---|
| S0: 触发与初始化 | 1. 下电触发源有效(钥匙信号防抖200ms/远程指令验签通过/充电完成信号持续1s);2. 高压系统无严重故障(无绝缘故障、无接触器粘连DTC);3. 车速≤1km/h(持续500ms,精度±0.5km/h) | 1. 置 整车READY状态标志 = FALSE,熄灭READY灯。 2. 发送 驱动电机扭矩请求 = 0。 3. 硬线+CAN双路径发送置 驱动电机扭矩使能 = FALSE。 | 核心目标:确保车辆无驱动力。 1. 若扭矩监控超时(200ms未反馈实际扭矩≤0.5Nm),触发MCU硬件复位;2. 若高压系统有严重故障,跳转至紧急下电流程;3. 若车速>1km/h,延迟执行S0,仪表提示“请停车后下电” |
| S1: 高压卸载 | 1. 驱动电机反馈扭矩≤0/5Nm(持续100ms) 2. 车辆车速为0(持续500ms)。 3. 高压附件(空调、PTC)反馈已关闭。 | 1. 发送 DCDC使能 = FALSE。 2. 发送 空调压缩机使能 = FALSE。 3. 发送 PTC加热器使能 = FALSE。 每发送1个指令,等待200ms接收执行确认; 实时采集高压母线总电流 | 此阶段,高压系统仍在供电,但所有负载已被指令关闭。VCU等待系统趋于“静止”。 1. 若某附件无确认,重复发送指令2次,仍失败则记录DTC,强制进入下一阶段;2. 若OBC处于充电状态,先发送充电中断指令,等待充电枪解锁后再卸载;3. 总电流突增>10A时,回溯至S0 |
| S2: 高压负载有序断开 | 1. 接收到各个接触器的断开反馈信号,并排除粘连故障风险。 2.系统总电流 < 一定阈值(如 2A)。 2. 或 高压卸载状态持续时间 > 超时时间(如 3s)。 | 发送以下命令并等待“执行确认”的反馈 1. 发送 驱动系统电源指令 = OFF。 2. 发送 空调系统电源指令 = OFF。 3. 发送 PTC系统电源指令 = OFF。 目的:断开各高压负载分支的接触器,将负载从母线上移除。 | |
| S3: 负载接触器断开并启动放电 | 1. 确认所有负载接触器已断开。 2. 且 负载接触器断开指令发出后持续时间 > 超时时间(如 2s)。 | 1. 核心安全动作:向BMS发送 高压下电指令,BMS同步断开主正、主负、预充接触器。 2. 同时,向驱动电机控制器(MCU)发送 主动放电使能指令。 | 1. 先断开主负继电器,再断开主正继电器。 2. 主动放电:将母线残余电能通过电阻快速消耗,比被动放电更安全、更快速。 |
| S4: 确认安全状态 | 1. BMS反馈所有接触器已断开,且高压状态为“OFF”。 2. MCU反馈直流母线电压已降至安全电压(如 < 30V)。 3. 或 主动放电持续时间 > 超时时间(如 5s)。 | 1. VCU置位 高压安全状态标志。 2. 保存必要的下电日志和故障码。 3. 开始准备进入低压休眠流程。 | 必须确认电压已降至安全水平,才能认为高压下电真正完成。超时逻辑同样是防卡死的保障。 |
| S5: 进入低压休眠 | 1. 高压安全状态已确认。 2. 无其他唤醒源(如车门、充电枪、远程指令)。 | 1. VCU控制低压配电盒断开各个ECU的常电,减少车辆静置时的暗电流。 2. VCU自身与其他ECU根据AUTOSAR网络管理策略,逐步进入休眠模式。 | 整车进入低功耗状态,仅保留必要的防盗、远程唤醒等功能。 |
| S6:紧急下电 | 1.碰撞信号(安全气囊触发);2.绝缘电阻≤200Ω/V(持续100ms);3.接触器粘连故障(DTC激活) | 跳过S0-S2,直接向BMS发送紧急断电指令(强制断开主正/主负);2.触发MCU最大电流主动放电;3.切断所有低压负载(除防盗系统);4.仪表盘持续报警“高压故障” | 若BMS无响应,触发高压互锁强制断开; |
下电时序总结:
下单核心逻辑与安全总结
- 顺序性与安全性:流程严格遵循 “断动力 → 停负载 → 断负载 → 断电源 → 放残电” 的顺序,确保无电弧、无涌流、无意外驱动。
- 故障容错:每个状态都设计了 “条件满足” 和 “超时” 两条路径,防止因传感器故障或通信丢失导致系统“挂起”,确保下电流程一定能被执行完毕。
- 物理隔离优先:先断开主负继电器,然后是主正继电器,这遵循了“故障安全”原则,即使后续放电步骤出现问题,电源也已被隔离。
- 主动放电:采用MCU的主动放电功能,能在数秒内将高压母线电压降至安全范围,远快于通过预充电阻的被动放电,且更可靠。