聶飛， 周文華， 王科杰， 趙俊鵬， 郭修其

(浙江大學(xué)能源工程學(xué)系， 浙江 杭州 310027)

?

基于ISO 26262標(biāo)準(zhǔn)的高壓共軌ECU監(jiān)控單元的設(shè)計(jì)與開發(fā)

聶飛， 周文華， 王科杰， 趙俊鵬， 郭修其

(浙江大學(xué)能源工程學(xué)系， 浙江 杭州 310027)

進(jìn)行了高壓共軌ECU監(jiān)控單元硬件電路和監(jiān)控策略的設(shè)計(jì)與開發(fā)，提出了三層監(jiān)控架構(gòu)并對其中的問詢/應(yīng)答通信監(jiān)控策略進(jìn)行開發(fā)。利用Matlab/Simulink工具對監(jiān)控策略進(jìn)行模型搭建與仿真，利用Real-Time Workshop工具實(shí)現(xiàn)模型到代碼的自動生成，運(yùn)用滿足ISO 26262標(biāo)準(zhǔn)的工具鏈和開發(fā)流程對代碼進(jìn)行優(yōu)化，最后在高壓共軌柴油機(jī)上進(jìn)行試驗(yàn)驗(yàn)證。試驗(yàn)結(jié)果證明此監(jiān)控單元能有效檢測主CPU故障并及時(shí)作出響應(yīng)，極大提高了高壓共軌系統(tǒng)的穩(wěn)定性。

高壓共軌； 電控單元； 自動代碼生成； 監(jiān)控單元； 控制策略

隨著汽車電子技術(shù)的發(fā)展，電子產(chǎn)品的廣泛性和復(fù)雜度不斷提高，系統(tǒng)失效、部件失效等功能安全問題日益嚴(yán)峻[1]，汽車電子行業(yè)因此推出最新道路車輛功能安全國際標(biāo)準(zhǔn)ISO 26262。ISO 26262是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508中派生出來，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn)[2]。對于柴油機(jī)電控高壓共軌系統(tǒng)而言，開發(fā)監(jiān)控單元使之符合ISO 26262標(biāo)準(zhǔn)是非常有必要的。

ISO26262標(biāo)準(zhǔn)中對硬件信號的要求包括關(guān)鍵傳感器信號的冗余設(shè)計(jì)、關(guān)鍵輸出信號的獨(dú)立關(guān)斷路徑、主控微處理器的監(jiān)控等[3]。本研究借鑒MathWorks公司推出的符合ISO 26262標(biāo)準(zhǔn)的基于模型的參考開發(fā)流程，實(shí)現(xiàn)主控微處理器的監(jiān)控單元的開發(fā)，該流程已通過TüV SüD公司的ISO 26262資格認(rèn)證[4-6]。

1 高壓共軌系統(tǒng)監(jiān)控功能架構(gòu)

基于柴油機(jī)高壓共軌系統(tǒng)安全監(jiān)控的要求，設(shè)計(jì)了三層監(jiān)控架構(gòu)(見圖1)，通過對監(jiān)控內(nèi)容進(jìn)行分層，使其在軟/硬件層面均達(dá)到失效安全要求。

1.1 硬件失效安全策略

高壓共軌ECU(Electronic Control Unit)采用兩個獨(dú)立的CPU[7]，主CPU(Function Chip,以下簡稱FC)完成輸入信號的采集檢查、輸出信號的控制、數(shù)據(jù)存儲器的訪問等功能,監(jiān)控CPU(Monitoring Module,以下簡稱MM)完成對FC運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控、自身內(nèi)存的診斷、對驅(qū)動級關(guān)斷路徑的診斷與控制等功能。兩個CPU互相監(jiān)控，任何一個出現(xiàn)問題，均能觸發(fā)整個系統(tǒng)的復(fù)位并關(guān)斷輸出級，實(shí)現(xiàn)失效安全。

圖1 三層監(jiān)控架構(gòu)

1.2 軟件失效安全策略

軟件架構(gòu)按照監(jiān)控功能的基本原理分為三層。

1) 第一層包括高壓共軌發(fā)動機(jī)基本控制功能的實(shí)現(xiàn)，如噴油正時(shí)與油量控制、共軌壓力控制等。輸入信號的診斷和處理也是監(jiān)控功能的一部分，包括油門踏板信號、曲軸與凸輪軸信號、冷卻液溫度信號等。一旦以上信號出現(xiàn)故障，系統(tǒng)將執(zhí)行跛行回家功能。

2) 第二層主要實(shí)現(xiàn)對發(fā)動機(jī)輸出扭矩的監(jiān)控。根據(jù)第一層中的相關(guān)參數(shù)計(jì)算需求扭矩、實(shí)際輸出扭矩等，當(dāng)實(shí)際輸出扭矩大于安全限制扭矩時(shí)，監(jiān)控功能觸發(fā)錯誤響應(yīng)，限制噴油器與燃油泵輸出，從而限制扭矩輸出，確保車輛處于安全狀態(tài)[8]。

3) 第三層包括FC硬件環(huán)境的檢查、監(jiān)控單元自診斷、兩個CPU間的監(jiān)控策略等。其中硬件環(huán)境檢查包括FC的程序流與指令測試、內(nèi)存和定時(shí)器監(jiān)控、A/D模數(shù)轉(zhuǎn)換模塊和通信模塊監(jiān)控等[9]。MM和FC實(shí)時(shí)通信，當(dāng)故障出現(xiàn)并達(dá)到累計(jì)次數(shù)后，將執(zhí)行關(guān)斷輸出與復(fù)位操作，確保整個高壓共軌系統(tǒng)的失效安全。

2 監(jiān)控功能硬件設(shè)計(jì)

2.1 整體硬件框架

監(jiān)控功能硬件示意見圖2，主要包括SPI通信電路(FC為master，MM為slaver)和復(fù)位關(guān)斷電路。FC和MM分別采用XC2785和XC866芯片。硬件設(shè)計(jì)主要實(shí)現(xiàn)以下幾個功能：1)FC與MM間能相互復(fù)位；2)FC和MM兩芯片之間能通過SPI接口實(shí)時(shí)交互，F(xiàn)C將監(jiān)測結(jié)果發(fā)送給MM；3)對輸出級的關(guān)斷與使能控制。FC和MM都自帶SPI模塊，只需要對芯片進(jìn)行配置，然后按圖2中所示引腳進(jìn)行連接即可。

圖2 監(jiān)控功能硬件示意

2.2 相互復(fù)位與輸出級關(guān)斷電路

為了實(shí)現(xiàn)安全監(jiān)控，保證監(jiān)控單元對錯誤作出正確及時(shí)的響應(yīng)，監(jiān)控單元設(shè)計(jì)時(shí)應(yīng)綜合考慮復(fù)位與關(guān)斷需求。設(shè)計(jì)的復(fù)位關(guān)斷電路見圖3。

圖3 復(fù)位關(guān)斷電路

該電路能實(shí)現(xiàn)以下功能：

1) 主CPU能復(fù)位監(jiān)控CPU。當(dāng)監(jiān)控CPU運(yùn)行錯誤時(shí)，MAIN_RESET_IN將被置為低電平，MON_RESET_OUT也相應(yīng)置低，從而觸發(fā)監(jiān)控CPU復(fù)位。

2) 監(jiān)控CPU能復(fù)位主CPU。當(dāng)監(jiān)控芯片檢測到故障時(shí)，監(jiān)控CPU將MON_RESET_IN置低，連接主CPU復(fù)位引腳的MAIN_RESET_OUT也被拉低，從而觸發(fā)主CPU復(fù)位。

3) 監(jiān)控芯片能獨(dú)立關(guān)斷輸出級。當(dāng)檢測到故障時(shí)，監(jiān)控CPU將MON_SHUT_OUT引腳置低，從而使SHUTOFF_PATH_OUT拉低，最終關(guān)閉與之相連的所有輸出級。

3 監(jiān)控單元軟件設(shè)計(jì)

3.1 監(jiān)控單元自診斷功能

由于MM對FC的監(jiān)控依賴于其自身運(yùn)行環(huán)境，因此需檢查自身的硬件環(huán)境(RAM/ROM等)[10]。自診斷內(nèi)容包括：1)在初始化階段或者每次復(fù)位操作后，MM都要執(zhí)行一次完整的ROM區(qū)檢查，通過檢查當(dāng)前Checksum(校驗(yàn)和)和記錄的Checksum是否相符，從而判斷ROM是否正常;2)在每一個通信過程中，需要對被使用的RAM區(qū)進(jìn)行一次檢查。通過對其執(zhí)行讀寫操作，若能進(jìn)行正確的讀寫則表示RAM正常，否則將執(zhí)行復(fù)位操作并重新檢查。

3.2 監(jiān)控單元問詢/應(yīng)答策略

每個監(jiān)控周期，MM通過虛擬的隨機(jī)信號發(fā)生器(算法實(shí)現(xiàn))發(fā)出16種不同的問詢，通過SPI端口傳輸?shù)紽C，等待FC對每個問詢作出明確的應(yīng)答，問詢/應(yīng)答通信監(jiān)控示意見圖4。

圖4 應(yīng)答通信監(jiān)控示意

MM向FC發(fā)送隨機(jī)問詢并啟動定時(shí)器T1，當(dāng)FC接收完畢后，立刻啟動定時(shí)器T2，然后根據(jù)問詢計(jì)算應(yīng)答結(jié)果并發(fā)送，當(dāng)發(fā)送完時(shí)，T2停止計(jì)時(shí)，此時(shí)T2的時(shí)間差Δ T2即為應(yīng)答時(shí)間。當(dāng)MM接收應(yīng)答完畢時(shí)，T1停止計(jì)時(shí)，并發(fā)出接收中斷請求，此時(shí)T1的時(shí)間差Δ T1即為整個通信時(shí)間。其應(yīng)答通信時(shí)序圖見圖5。

圖5 應(yīng)答通信時(shí)序圖

應(yīng)答校驗(yàn)包括應(yīng)答時(shí)間和結(jié)果的校驗(yàn)，其問詢/應(yīng)答監(jiān)控流程圖見圖6。當(dāng)ΔT2≤ΔT1≤ΔT2+T時(shí)表示響應(yīng)時(shí)間合理(On time)，當(dāng)ΔT1<ΔT2時(shí)表示時(shí)間太早(Too early)，當(dāng)ΔT1>ΔT2+T時(shí)表示時(shí)間太晚(Too late)；當(dāng)應(yīng)答結(jié)果與預(yù)期規(guī)定的一致時(shí)表示應(yīng)答結(jié)果為True，否則為False。

圖6 問詢/應(yīng)答監(jiān)控流程圖

3.3 錯誤響應(yīng)機(jī)制

監(jiān)控芯片在實(shí)現(xiàn)監(jiān)控功能的同時(shí)，需要有合理的錯誤響應(yīng)機(jī)制。在MM的軟件方案中，定義了3種錯誤響應(yīng)機(jī)制：

1) SPI通信錯誤。初始化階段，若MM監(jiān)測到SPI信號電平不正確，它會再次初始化，若電平仍然錯誤則觸發(fā)錯誤標(biāo)志位，并停在Bootloader(系統(tǒng)啟動引導(dǎo)程序)中并報(bào)錯。

2) ROM/RAM錯誤。初始化階段，若MM檢測到ROM 區(qū)或RAM區(qū)故障，則觸發(fā)相應(yīng)錯誤標(biāo)志位并執(zhí)行復(fù)位操作。

3) 應(yīng)答校驗(yàn)錯誤。若MM在規(guī)定的時(shí)間段內(nèi)未接收到應(yīng)答，或者接收到的應(yīng)答結(jié)果錯誤， MM則發(fā)送相同的問詢請求且錯誤計(jì)數(shù)器MoCCom_ctErrMM的值增加。當(dāng)錯誤計(jì)數(shù)器超過規(guī)定值時(shí)，MM會關(guān)斷輸出級并對FC執(zhí)行復(fù)位操作。

4 模型仿真與試驗(yàn)驗(yàn)證

4.1 模型仿真

以問詢/應(yīng)答監(jiān)控策略開發(fā)為例進(jìn)行仿真驗(yàn)證，通過SPI接收中斷Receive_Interrupt的上升和下降沿觸發(fā)應(yīng)答時(shí)間和結(jié)果校驗(yàn)。仿真設(shè)定的合理時(shí)間范圍為5～17.8 ms，正確結(jié)果為3。每次中斷，MM會判斷應(yīng)答時(shí)間T1是否在設(shè)定的合理時(shí)間范圍內(nèi)，接收的應(yīng)答結(jié)果Input_Result是否與設(shè)定的正確結(jié)果相等，從而判定問詢/應(yīng)答通信是否正常。仿真結(jié)果表明：該控制策略能對應(yīng)答時(shí)間和應(yīng)答結(jié)果進(jìn)行及時(shí)有效地校驗(yàn)，正確識別錯誤類型并根據(jù)MoCCom_ctErrMM的值作出正確的應(yīng)對措施。從圖7仿真結(jié)果可知，當(dāng)7>MoCCom_ctErrMM>4時(shí)，輸出路徑關(guān)斷標(biāo)志MoCCom_ShutOff_mp能及時(shí)置1，且關(guān)閉是可恢復(fù)的；當(dāng)MoCCom_ctErrMM=7時(shí)，輸出路徑關(guān)斷標(biāo)志與復(fù)位標(biāo)志MoCCom_Reset_mp均置1，且操作是不可恢復(fù)的。

圖7 仿真結(jié)果

4.2 試驗(yàn)驗(yàn)證

試驗(yàn)過程采用Vector CANape標(biāo)定軟件建立監(jiān)控和標(biāo)定平臺[11]，試驗(yàn)用柴油機(jī)型號為康明斯IFS2.8S4161P，型式為高壓共軌直列式、增壓中冷柴油機(jī)，采用EGR+DOC技術(shù)，缸徑94 mm，行程100 mm，排量2.78 L，最大輸出功率120 kW(3 600 r/min)，最大扭矩360 N· m。

試驗(yàn)在不同工況下驗(yàn)證了監(jiān)控單元的可靠性，發(fā)動機(jī)轉(zhuǎn)速Eng_nAvrg_mp從800 r/min上升至1 600 r/min，2 400 r/min，3 200 r/min時(shí)故障監(jiān)控結(jié)果見圖8，試驗(yàn)表明，在怠速、急加速、急減速等工況下監(jiān)控單元均能有效監(jiān)測通信故障，且發(fā)動機(jī)在工況變化較大過程時(shí)更容易發(fā)生故障，因?yàn)樵谧児r時(shí)中斷和運(yùn)算處理更為頻繁。圖中雖出現(xiàn)了隨機(jī)故障，但并未達(dá)到錯誤計(jì)數(shù)器的最大值。為了模擬問詢/應(yīng)答通信故障，當(dāng)軌壓為120 MPa、轉(zhuǎn)速1 300 r/min時(shí)通過標(biāo)定軟件手動設(shè)置故障，使主CPU通過SPI返回錯誤的響應(yīng)結(jié)果和響應(yīng)時(shí)間，試驗(yàn)結(jié)果如圖9所示。從圖中可見，當(dāng)應(yīng)答通信出現(xiàn)故障時(shí)，錯誤計(jì)數(shù)器MoCCom_ctErrMM_mp在不斷增加。當(dāng)MoCCom_ctErrMM_mp=5時(shí)，輸出路徑關(guān)斷標(biāo)志MoCCom_ShutOff_mp迅速響應(yīng)并置1。由于關(guān)斷了輸出級，發(fā)動機(jī)轉(zhuǎn)速和軌壓迅速下降，響應(yīng)時(shí)間約為0.2 s，能快速實(shí)現(xiàn)失效安全。當(dāng)MoCCom_ctErrMM_mp=7時(shí)，復(fù)位標(biāo)志MoCCom_Reset_mp置1，發(fā)動機(jī)停止工作，需要重新啟動，整個試驗(yàn)結(jié)果完全滿足預(yù)期要求。

圖8 變工況故障監(jiān)控結(jié)果

圖9 錯誤監(jiān)控與響應(yīng)試驗(yàn)結(jié)果

5 結(jié)束語

高壓共軌ECU的安全運(yùn)行是整個發(fā)動機(jī)正常工作的核心,本研究針對ISO 26262道路車輛功能安全標(biāo)準(zhǔn)的要求,使用MathWorks提供的工具鏈和參考開發(fā)流程,設(shè)計(jì)了高壓共軌ECU的監(jiān)控單元,提出了三層監(jiān)控的系統(tǒng)架構(gòu)，最后完成了模型仿真和試驗(yàn)論證。

研究結(jié)果表明：該監(jiān)控單元能在不同工況下準(zhǔn)確識別主CPU的問詢/應(yīng)答通信故障并執(zhí)行設(shè)定的安全目標(biāo)，極大提高了整個高壓共軌系統(tǒng)的安全性，實(shí)現(xiàn)了預(yù)期的功能目標(biāo)。問詢/應(yīng)答通信監(jiān)控策略的開發(fā)流程可作為參考，對整個監(jiān)控單元的開發(fā)有借鑒意義。此外，硬件電路作為監(jiān)控功能實(shí)現(xiàn)的基礎(chǔ)完全滿足設(shè)計(jì)要求，并具有通用性。

[1] 趙俊鵬.基于ISO 26262標(biāo)準(zhǔn)的電控柴油機(jī)扭矩監(jiān)控策略研究[J].機(jī)電工程，2014(3)：376-372.

[2] ISO 26262 Road vehicles-Functional safety[S].[S.l.]：International Organization for Standardization，2011.

[3] Ziqing Zhai.Achieving ASIL D for Microcontroller in Safety-Critical Drive-by-Wire System[C].SAE Paper 2009-01-0759.

[4] MathWorks.MATHWORKS應(yīng)用基于模型的設(shè)計(jì)為ISO 26262項(xiàng)目提供定制服務(wù)[EB/OL].2012-03-14.http：//www.mathworks.cn/company/newsroom/article 66137.html.

[5] Conrad M.Software Tool Qualification According to ISO 26262[C].SAE Paper 2011-01-1005.

[6] Conrad M， Munier P，Rauch F.Qualifying Software Tools According to ISO 26262[C].MBEES，2010：117-128.

[7] 王克明.汽油機(jī)ECU監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].西安：長安大學(xué)，2012.

[8] 趙俊鵬.ISO 26262標(biāo)準(zhǔn)在柴油機(jī)高壓共軌ECU開發(fā)中的研究與應(yīng)用[D].杭州：浙江大學(xué)，2014.

[9] Rolf Schneider，Manfred Kalhammer，Denis Eberhard.Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems[C].SAE Paper 2007-01-1488.

[10] Simon Brewerton，Rolf Schneider，Denis Eberhard.Implementation of a Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems on a Dual-Core Microcontroller[C].SAE Paper 2007-01-1486.

[11] 郭修其， 周文華， 鄭朝武．基于自動代碼生成的共軌壓力控制策略[J].浙江大學(xué)學(xué)報(bào)(工學(xué)版)，2011(8)：1441-1445.

[編輯: 李建新]

Design and Development of Monitoring Unit for High Pressure Common Rail ECU Based on ISO 26262

NIE Fei， ZHOU Wenhua， WANG Kejie， ZHAO Junpeng， GUO Xiuqi

(College of Energy Engineering， Zhejiang University， Hangzhou 310027， China)

The hardware circuits and monitoring strategies of the monitoring unit for high pressure common rail ECU were designed and developed，which mainly focused on query and response monitoring strategy of the three-level monitoring architecture. The model of monitoring strategy was built and simulated by using Matlab/Simulink tool，the codes were generated automatically by using Real-Time Workshop tool，the generated codes were optimized by using the tool chain and development process according to ISO 26262，and finally the test verification was conducted on a high pressure common rail diesel engine. The results showed that the monitoring unit could effectively inspect the fault of CPU and make the decision in time. Accordingly, the stability of high pressure common rail system improved greatly.

high pressure common rail； ECU； auto-code generation； monitoring unit； control strategy

2015-05-06;

2015-11-06

聶飛(1990—)，男，碩士，主要研究方向?yàn)榘l(fā)動機(jī)電子控制技術(shù)；hunanniefei@126。com。

周文華，男，副教授，碩士生導(dǎo)師；zhouwh999@126.com。

10.3969/j.issn.1001-2222.2016.01.003

TK414.32

B

1001-2222(2016)01-0017-05