从基础到实践（三十二）：CAN的设计指南—功能安全

本文链接：https://blog.csdn.net/qq_41898507/article/details/147377074

在功能安全项目中，CAN芯片至关重要。它作为关键通信枢纽，承担高效、稳定的数据传输任务，确保系统各模块间信息准确交互。其错误检测与处理能力，可及时规避潜在风险；高可靠性设计，保障系统在恶劣环境下正常运转，为自动驾驶、工业控制等领域的功能安全筑牢基础。

一、功能安全核心要求（ISO 26262）

通信可靠性
- 错误检测覆盖率
  - CRC校验：
    - CAN FD使用21位CRC（传统CAN为15位），覆盖范围包括帧起始（SOF）、ID、控制域、数据域及CRC自身，计算公式为：
    - 漏检率：21位CRC在64字节数据域下的漏检概率为 10−1410−14（满足ASIL D要求）。
  - 端到端（E2E）保护：
    - Autosar Profile 1：计数器（4位） + CRC（16位），覆盖数据域，适用于ASIL B。
    - Autosar Profile 4：时间戳（16位） + 序列号（8位） + CRC（32位），覆盖完整报文，适用于ASIL D。
- 单点故障度量（SPFM）
  - 目标值：ASIL D要求SPFM ≥99%，需通过硬件冗余与诊断覆盖实现。
  - 实现方案：
    - 双核锁步（Lockstep）MCU（如Infineon Aurix TC397），实时比对指令执行结果。
    - CAN收发器内置短路检测（如TI TCAN1044HV的VIO引脚监控总线电压）。
实时性与确定性
- 端到端延迟控制：
  
  关键信号 最大允许延迟 实现技术
  刹车指令 ≤20ms 优先级ID（低值ID） + TTCAN
  安全气囊触发 ≤5ms 专用时隙（TTCAN Slot 0）
- 时间触发通信（TTCAN）：
  - 时基同步：通过参考报文（Reference Message）同步全局时钟，误差≤1μs。
  - 时隙分配：关键帧固定分配至独占时隙（如0~10ms为刹车指令窗口）。
冗余与容错
- 双通道冗余设计：
  - 物理隔离：双CAN总线独立布线，间距≥30cm，避免共模故障（如奔驰EQS电动转向系统）。
  - 数据一致性校验：
    - 数据交叉比对（如ID相同但通道不同的帧），允许差异阈值（如车速信号±0.5km/h）。
    - 硬件比较器（如FPGA实现实时校验，响应时间≤1μs）。

关键信号	最大允许延迟	实现技术
刹车指令	≤20ms	优先级ID（低值ID） + TTCAN
安全气囊触发	≤5ms	专用时隙（TTCAN Slot 0）

二、硬件设计要求

安全关键收发器选型

型号	ASIL等级	耐压	隔离电压	驱动能力	应用场景
TI TCAN1044HV-Q1	ASIL D	±58V	无	70mA	刹车/转向系统
ADI ADM3053	ASIL C	±30V	5kVrms	50mA	BMS/高压电池监控
NXP TJA1151	ASIL B	±40V	无	30mA	车身控制（车门/座椅）

电源与接地设计
- 独立供电设计：
  - LDO选型：TPS7A6650（输入3.3V-36V，输出1.2V-5V，PSRR 70dB@100kHz）。
  - 去耦电容：10μF钽电容（低频滤波） + 100nF陶瓷电容（高频滤波），布局距离≤5mm。
- 接地策略：
  - 星型接地：所有节点接地线汇聚至中央接地点（如车身金属框架）。
  - 跨分割处理：信号线跨越地平面分割时，并联10nF电容（如GRM188R71H103KA01D）。
EMC强化设计
- 线束设计：
  
  参数要求 示例型号
  屏蔽层覆盖率 ≥85% Belden 3106A（双层屏蔽）
  特性阻抗 120Ω±10% 线径0.5mm²，绞距15mm
- 滤波电路设计：
  - 共模扼流圈：TDK ACT45B-510-2P（100Ω@100MHz，额定电流300mA）。
  - TVS管阵列：Littelfuse SMBJ6.5CA（钳位电压9.2V，峰值脉冲功率600W）。

参数	要求	示例型号
屏蔽层覆盖率	≥85%	Belden 3106A（双层屏蔽）
特性阻抗	120Ω±10%	线径0.5mm²，绞距15mm

三、软件与协议设计要求

安全协议栈实现

SecOC（安全车载通信）：

安全机制	实现步骤	示例
密钥管理	预置AES-256密钥，通过HSM（硬件安全模块）加密存储	英飞凌 OPTIGA™ TPM
MAC生成	CMAC算法（基于AES），覆盖ID+数据域+新鲜度值	AUTOSAR SecOC 模块

网络管理（NM）：
- 唤醒策略：KL15硬线唤醒 + 总线显性电平唤醒（如TJA1145的INH引脚控制）。
- 睡眠超时：200ms内未收到NM报文则进入睡眠模式（功耗≤5μA）。

错误注入防御

异常帧过滤：

攻击类型	防御措施	硬件支持
洪泛攻击	限制单位时间帧数量（如≤1000帧/秒）	CAN控制器硬件过滤器
非法ID注入	动态配置接收掩码（如仅允许ID 0x100~0x200）	STM32 FDCAN的全局过滤器

四、诊断与测试要求

在线诊断
- UDS服务深度集成：
  
  服务ID 功能 安全场景
  0x22 ReadDataByIdentifier（读取信号）实时监控电池电压
  0x27 SecurityAccess（安全认证）固件刷写前的密钥验证
- 信号质量监控：
  - 显性电平范围：CANH=3.5V±0.5V，CANL=1.5V±0.5V（ISO 11898-2）。
  - 隐性电平容差：CANH/CANL=2.5V±0.2V，差分电压≤0.05V。
离线测试
- 故障注入测试平台：
  
  设备功能 测试用例
  NI PXIe-4300 模拟总线短路/断路 CANH对地短路，持续100ms
  Vector CANstress 生成100%负载流量验证关键帧延迟是否超标
- EMC测试配置：
  
  测试类型 标准参数
  BCI（大电流注入） ISO 11452-4 100mA@1MHz-400MHz
  辐射发射 CISPR 25 Class5 30MHz-1GHz，峰值≤30dBμV/m

服务ID	功能	安全场景
0x22	ReadDataByIdentifier（读取信号）	实时监控电池电压
0x27	SecurityAccess（安全认证）	固件刷写前的密钥验证

设备	功能	测试用例
NI PXIe-4300	模拟总线短路/断路	CANH对地短路，持续100ms
Vector CANstress	生成100%负载流量	验证关键帧延迟是否超标

测试类型	标准	参数
BCI（大电流注入）	ISO 11452-4	100mA@1MHz-400MHz
辐射发射	CISPR 25 Class5	30MHz-1GHz，峰值≤30dBμV/m

五、典型设计案例

案例1：ASIL D刹车系统（博世iBooster）
- 双总线架构：
  - 主通道：CAN FD（5Mbps），传输刹车踏板位置信号。
  - 备用通道：传统CAN（500kbps），传输冗余计算后的刹车压力值。
- 硬件设计：
  - 双MCU（Infineon TC377T）实现Lockstep运行，指令周期比对误差≤1ns。
  - 隔离电源模块（TI ISO7741）隔离主备通道电源域。
案例2：ASIL C电池管理系统（宁德时代）
- 信号链设计：
  - 电池采样芯片（如ADI LTC6813）通过SPI连接MCU，MCU通过隔离CAN（ADM3053）上传数据。
  - 均衡电路：基于CAN指令动态调整MOSFET开关，均衡电流精度±1mA。
- 安全监控：
  - 周期性自检：每100ms检测CAN收发器偏置电压（正常范围2.3V~2.7V）。

六、工具链与认证

开发与验证工具

工具	功能	适用阶段
Vector CANoe	协议仿真、安全分析（插件：CANoe.Secure）	系统设计/测试
dSPACE SCALEXIO	HIL测试（支持故障注入）	硬件验证
ETAS ISOLAR-A	AUTOSAR SecOC配置与代码生成	软件集成

认证流程
- ISO 26262认证步骤：
  1. 需求定义：制定安全目标（Safety Goal）与ASIL等级。
  2. 架构设计：分配硬件/软件安全机制（HSM/SWM）。
  3. 测试验证：通过HIL/故障注入测试覆盖率 ≥99%。
  4. 审计与发布：第三方机构（如TÜV）审核文档与测试报告。
- 关键文档：
  - 安全计划（Safety Plan）
  - FMEA（故障模式与影响分析）
  - 安全案例（Safety Case）