基于ISO 26262標準的高壓共軌ECU監(jiān)控單元的設(shè)計與開發(fā)

聶飛， 周文華， 王科杰， 趙俊鵬， 郭修其

(浙江大學(xué)能源工程學(xué)系， 浙江 杭州 310027)

?

基于ISO 26262標準的高壓共軌ECU監(jiān)控單元的設(shè)計與開發(fā)

聶飛， 周文華， 王科杰， 趙俊鵬， 郭修其

(浙江大學(xué)能源工程學(xué)系， 浙江 杭州 310027)

進行了高壓共軌ECU監(jiān)控單元硬件電路和監(jiān)控策略的設(shè)計與開發(fā)，提出了三層監(jiān)控架構(gòu)并對其中的問詢/應(yīng)答通信監(jiān)控策略進行開發(fā)。利用Matlab/Simulink工具對監(jiān)控策略進行模型搭建與仿真，利用Real-Time Workshop工具實現(xiàn)模型到代碼的自動生成，運用滿足ISO 26262標準的工具鏈和開發(fā)流程對代碼進行優(yōu)化，最后在高壓共軌柴油機上進行試驗驗證。試驗結(jié)果證明此監(jiān)控單元能有效檢測主CPU故障并及時作出響應(yīng)，極大提高了高壓共軌系統(tǒng)的穩(wěn)定性。

高壓共軌； 電控單元； 自動代碼生成； 監(jiān)控單元； 控制策略

隨著汽車電子技術(shù)的發(fā)展，電子產(chǎn)品的廣泛性和復(fù)雜度不斷提高，系統(tǒng)失效、部件失效等功能安全問題日益嚴峻[1]，汽車電子行業(yè)因此推出最新道路車輛功能安全國際標準ISO 26262。ISO 26262是從電子、電氣及可編程器件功能安全基本標準IEC61508中派生出來，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標準[2]。對于柴油機電控高壓共軌系統(tǒng)而言，開發(fā)監(jiān)控單元使之符合ISO 26262標準是非常有必要的。

ISO26262標準中對硬件信號的要求包括關(guān)鍵傳感器信號的冗余設(shè)計、關(guān)鍵輸出信號的獨立關(guān)斷路徑、主控微處理器的監(jiān)控等[3]。本研究借鑒MathWorks公司推出的符合ISO 26262標準的基于模型的參考開發(fā)流程，實現(xiàn)主控微處理器的監(jiān)控單元的開發(fā)，該流程已通過TüV SüD公司的ISO 26262資格認證[4-6]。

1 高壓共軌系統(tǒng)監(jiān)控功能架構(gòu)

基于柴油機高壓共軌系統(tǒng)安全監(jiān)控的要求，設(shè)計了三層監(jiān)控架構(gòu)(見圖1)，通過對監(jiān)控內(nèi)容進行分層，使其在軟/硬件層面均達到失效安全要求。

1.1 硬件失效安全策略

高壓共軌ECU(Electronic Control Unit)采用兩個獨立的CPU[7]，主CPU(Function Chip,以下簡稱FC)完成輸入信號的采集檢查、輸出信號的控制、數(shù)據(jù)存儲器的訪問等功能,監(jiān)控CPU(Monitoring Module,以下簡稱MM)完成對FC運行狀態(tài)的實時監(jiān)控、自身內(nèi)存的診斷、對驅(qū)動級關(guān)斷路徑的診斷與控制等功能。兩個CPU互相監(jiān)控，任何一個出現(xiàn)問題，均能觸發(fā)整個系統(tǒng)的復(fù)位并關(guān)斷輸出級，實現(xiàn)失效安全。

圖1 三層監(jiān)控架構(gòu)

1.2 軟件失效安全策略

軟件架構(gòu)按照監(jiān)控功能的基本原理分為三層。

1) 第一層包括高壓共軌發(fā)動機基本控制功能的實現(xiàn)，如噴油正時與油量控制、共軌壓力控制等。輸入信號的診斷和處理也是監(jiān)控功能的一部分，包括油門踏板信號、曲軸與凸輪軸信號、冷卻液溫度信號等。一旦以上信號出現(xiàn)故障，系統(tǒng)將執(zhí)行跛行回家功能。

2) 第二層主要實現(xiàn)對發(fā)動機輸出扭矩的監(jiān)控。根據(jù)第一層中的相關(guān)參數(shù)計算需求扭矩、實際輸出扭矩等，當實際輸出扭矩大于安全限制扭矩時，監(jiān)控功能觸發(fā)錯誤響應(yīng)，限制噴油器與燃油泵輸出，從而限制扭矩輸出，確保車輛處于安全狀態(tài)[8]。

3) 第三層包括FC硬件環(huán)境的檢查、監(jiān)控單元自診斷、兩個CPU間的監(jiān)控策略等。其中硬件環(huán)境檢查包括FC的程序流與指令測試、內(nèi)存和定時器監(jiān)控、A/D模數(shù)轉(zhuǎn)換模塊和通信模塊監(jiān)控等[9]。MM和FC實時通信，當故障出現(xiàn)并達到累計次數(shù)后，將執(zhí)行關(guān)斷輸出與復(fù)位操作，確保整個高壓共軌系統(tǒng)的失效安全。

2 監(jiān)控功能硬件設(shè)計

2.1 整體硬件框架

監(jiān)控功能硬件示意見圖2，主要包括SPI通信電路(FC為master，MM為slaver)和復(fù)位關(guān)斷電路。FC和MM分別采用XC2785和XC866芯片。硬件設(shè)計主要實現(xiàn)以下幾個功能：1)FC與MM間能相互復(fù)位；2)FC和MM兩芯片之間能通過SPI接口實時交互，F(xiàn)C將監(jiān)測結(jié)果發(fā)送給MM；3)對輸出級的關(guān)斷與使能控制。FC和MM都自帶SPI模塊，只需要對芯片進行配置，然后按圖2中所示引腳進行連接即可。

圖2 監(jiān)控功能硬件示意

2.2 相互復(fù)位與輸出級關(guān)斷電路

為了實現(xiàn)安全監(jiān)控，保證監(jiān)控單元對錯誤作出正確及時的響應(yīng)，監(jiān)控單元設(shè)計時應(yīng)綜合考慮復(fù)位與關(guān)斷需求。設(shè)計的復(fù)位關(guān)斷電路見圖3。

圖3 復(fù)位關(guān)斷電路

該電路能實現(xiàn)以下功能：

1) 主CPU能復(fù)位監(jiān)控CPU。當監(jiān)控CPU運行錯誤時，MAIN_RESET_IN將被置為低電平，MON_RESET_OUT也相應(yīng)置低，從而觸發(fā)監(jiān)控CPU復(fù)位。

2) 監(jiān)控CPU能復(fù)位主CPU。當監(jiān)控芯片檢測到故障時，監(jiān)控CPU將MON_RESET_IN置低，連接主CPU復(fù)位引腳的MAIN_RESET_OUT也被拉低，從而觸發(fā)主CPU復(fù)位。

3) 監(jiān)控芯片能獨立關(guān)斷輸出級。當檢測到故障時，監(jiān)控CPU將MON_SHUT_OUT引腳置低，從而使SHUTOFF_PATH_OUT拉低，最終關(guān)閉與之相連的所有輸出級。

3 監(jiān)控單元軟件設(shè)計

3.1 監(jiān)控單元自診斷功能

由于MM對FC的監(jiān)控依賴于其自身運行環(huán)境，因此需檢查自身的硬件環(huán)境(RAM/ROM等)[10]。自診斷內(nèi)容包括：1)在初始化階段或者每次復(fù)位操作后，MM都要執(zhí)行一次完整的ROM區(qū)檢查，通過檢查當前Checksum(校驗和)和記錄的Checksum是否相符，從而判斷ROM是否正常;2)在每一個通信過程中，需要對被使用的RAM區(qū)進行一次檢查。通過對其執(zhí)行讀寫操作，若能進行正確的讀寫則表示RAM正常，否則將執(zhí)行復(fù)位操作并重新檢查。

3.2 監(jiān)控單元問詢/應(yīng)答策略

每個監(jiān)控周期，MM通過虛擬的隨機信號發(fā)生器(算法實現(xiàn))發(fā)出16種不同的問詢，通過SPI端口傳輸?shù)紽C，等待FC對每個問詢作出明確的應(yīng)答，問詢/應(yīng)答通信監(jiān)控示意見圖4。

圖4 應(yīng)答通信監(jiān)控示意

MM向FC發(fā)送隨機問詢并啟動定時器T1，當FC接收完畢后，立刻啟動定時器T2，然后根據(jù)問詢計算應(yīng)答結(jié)果并發(fā)送，當發(fā)送完時，T2停止計時，此時T2的時間差Δ T2即為應(yīng)答時間。當MM接收應(yīng)答完畢時，T1停止計時，并發(fā)出接收中斷請求，此時T1的時間差Δ T1即為整個通信時間。其應(yīng)答通信時序圖見圖5。

圖5 應(yīng)答通信時序圖

應(yīng)答校驗包括應(yīng)答時間和結(jié)果的校驗，其問詢/應(yīng)答監(jiān)控流程圖見圖6。當ΔT2≤ΔT1≤ΔT2+T時表示響應(yīng)時間合理(On time)，當ΔT1<ΔT2時表示時間太早(Too early)，當ΔT1>ΔT2+T時表示時間太晚(Too late)；當應(yīng)答結(jié)果與預(yù)期規(guī)定的一致時表示應(yīng)答結(jié)果為True，否則為False。

圖6 問詢/應(yīng)答監(jiān)控流程圖

3.3 錯誤響應(yīng)機制

監(jiān)控芯片在實現(xiàn)監(jiān)控功能的同時，需要有合理的錯誤響應(yīng)機制。在MM的軟件方案中，定義了3種錯誤響應(yīng)機制：

1) SPI通信錯誤。初始化階段，若MM監(jiān)測到SPI信號電平不正確，它會再次初始化，若電平仍然錯誤則觸發(fā)錯誤標志位，并停在Bootloader(系統(tǒng)啟動引導(dǎo)程序)中并報錯。

2) ROM/RAM錯誤。初始化階段，若MM檢測到ROM 區(qū)或RAM區(qū)故障，則觸發(fā)相應(yīng)錯誤標志位并執(zhí)行復(fù)位操作。

3) 應(yīng)答校驗錯誤。若MM在規(guī)定的時間段內(nèi)未接收到應(yīng)答，或者接收到的應(yīng)答結(jié)果錯誤， MM則發(fā)送相同的問詢請求且錯誤計數(shù)器MoCCom_ctErrMM的值增加。當錯誤計數(shù)器超過規(guī)定值時，MM會關(guān)斷輸出級并對FC執(zhí)行復(fù)位操作。

4 模型仿真與試驗驗證

4.1 模型仿真

以問詢/應(yīng)答監(jiān)控策略開發(fā)為例進行仿真驗證，通過SPI接收中斷Receive_Interrupt的上升和下降沿觸發(fā)應(yīng)答時間和結(jié)果校驗。仿真設(shè)定的合理時間范圍為5～17.8 ms，正確結(jié)果為3。每次中斷，MM會判斷應(yīng)答時間T1是否在設(shè)定的合理時間范圍內(nèi)，接收的應(yīng)答結(jié)果Input_Result是否與設(shè)定的正確結(jié)果相等，從而判定問詢/應(yīng)答通信是否正常。仿真結(jié)果表明：該控制策略能對應(yīng)答時間和應(yīng)答結(jié)果進行及時有效地校驗，正確識別錯誤類型并根據(jù)MoCCom_ctErrMM的值作出正確的應(yīng)對措施。從圖7仿真結(jié)果可知，當7>MoCCom_ctErrMM>4時，輸出路徑關(guān)斷標志MoCCom_ShutOff_mp能及時置1，且關(guān)閉是可恢復(fù)的；當MoCCom_ctErrMM=7時，輸出路徑關(guān)斷標志與復(fù)位標志MoCCom_Reset_mp均置1，且操作是不可恢復(fù)的。

圖7 仿真結(jié)果

4.2 試驗驗證

試驗過程采用Vector CANape標定軟件建立監(jiān)控和標定平臺[11]，試驗用柴油機型號為康明斯IFS2.8S4161P，型式為高壓共軌直列式、增壓中冷柴油機，采用EGR+DOC技術(shù)，缸徑94 mm，行程100 mm，排量2.78 L，最大輸出功率120 kW(3 600 r/min)，最大扭矩360 N· m。

試驗在不同工況下驗證了監(jiān)控單元的可靠性，發(fā)動機轉(zhuǎn)速Eng_nAvrg_mp從800 r/min上升至1 600 r/min，2 400 r/min，3 200 r/min時故障監(jiān)控結(jié)果見圖8，試驗表明，在怠速、急加速、急減速等工況下監(jiān)控單元均能有效監(jiān)測通信故障，且發(fā)動機在工況變化較大過程時更容易發(fā)生故障，因為在變工況時中斷和運算處理更為頻繁。圖中雖出現(xiàn)了隨機故障，但并未達到錯誤計數(shù)器的最大值。為了模擬問詢/應(yīng)答通信故障，當軌壓為120 MPa、轉(zhuǎn)速1 300 r/min時通過標定軟件手動設(shè)置故障，使主CPU通過SPI返回錯誤的響應(yīng)結(jié)果和響應(yīng)時間，試驗結(jié)果如圖9所示。從圖中可見，當應(yīng)答通信出現(xiàn)故障時，錯誤計數(shù)器MoCCom_ctErrMM_mp在不斷增加。當MoCCom_ctErrMM_mp=5時，輸出路徑關(guān)斷標志MoCCom_ShutOff_mp迅速響應(yīng)并置1。由于關(guān)斷了輸出級，發(fā)動機轉(zhuǎn)速和軌壓迅速下降，響應(yīng)時間約為0.2 s，能快速實現(xiàn)失效安全。當MoCCom_ctErrMM_mp=7時，復(fù)位標志MoCCom_Reset_mp置1，發(fā)動機停止工作，需要重新啟動，整個試驗結(jié)果完全滿足預(yù)期要求。

圖8 變工況故障監(jiān)控結(jié)果

圖9 錯誤監(jiān)控與響應(yīng)試驗結(jié)果

5 結(jié)束語

高壓共軌ECU的安全運行是整個發(fā)動機正常工作的核心,本研究針對ISO 26262道路車輛功能安全標準的要求,使用MathWorks提供的工具鏈和參考開發(fā)流程,設(shè)計了高壓共軌ECU的監(jiān)控單元,提出了三層監(jiān)控的系統(tǒng)架構(gòu)，最后完成了模型仿真和試驗論證。

研究結(jié)果表明：該監(jiān)控單元能在不同工況下準確識別主CPU的問詢/應(yīng)答通信故障并執(zhí)行設(shè)定的安全目標，極大提高了整個高壓共軌系統(tǒng)的安全性，實現(xiàn)了預(yù)期的功能目標。問詢/應(yīng)答通信監(jiān)控策略的開發(fā)流程可作為參考，對整個監(jiān)控單元的開發(fā)有借鑒意義。此外，硬件電路作為監(jiān)控功能實現(xiàn)的基礎(chǔ)完全滿足設(shè)計要求，并具有通用性。

[1] 趙俊鵬.基于ISO 26262標準的電控柴油機扭矩監(jiān)控策略研究[J].機電工程，2014(3)：376-372.

[2] ISO 26262 Road vehicles-Functional safety[S].[S.l.]：International Organization for Standardization，2011.

[3] Ziqing Zhai.Achieving ASIL D for Microcontroller in Safety-Critical Drive-by-Wire System[C].SAE Paper 2009-01-0759.

[4] MathWorks.MATHWORKS應(yīng)用基于模型的設(shè)計為ISO 26262項目提供定制服務(wù)[EB/OL].2012-03-14.http：//www.mathworks.cn/company/newsroom/article 66137.html.

[5] Conrad M.Software Tool Qualification According to ISO 26262[C].SAE Paper 2011-01-1005.

[6] Conrad M， Munier P，Rauch F.Qualifying Software Tools According to ISO 26262[C].MBEES，2010：117-128.

[7] 王克明.汽油機ECU監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[D].西安：長安大學(xué)，2012.

[8] 趙俊鵬.ISO 26262標準在柴油機高壓共軌ECU開發(fā)中的研究與應(yīng)用[D].杭州：浙江大學(xué)，2014.

[9] Rolf Schneider，Manfred Kalhammer，Denis Eberhard.Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems[C].SAE Paper 2007-01-1488.

[10] Simon Brewerton，Rolf Schneider，Denis Eberhard.Implementation of a Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems on a Dual-Core Microcontroller[C].SAE Paper 2007-01-1486.

[11] 郭修其， 周文華， 鄭朝武．基于自動代碼生成的共軌壓力控制策略[J].浙江大學(xué)學(xué)報(工學(xué)版)，2011(8)：1441-1445.

[編輯: 李建新]

Design and Development of Monitoring Unit for High Pressure Common Rail ECU Based on ISO 26262

NIE Fei， ZHOU Wenhua， WANG Kejie， ZHAO Junpeng， GUO Xiuqi

(College of Energy Engineering， Zhejiang University， Hangzhou 310027， China)

The hardware circuits and monitoring strategies of the monitoring unit for high pressure common rail ECU were designed and developed，which mainly focused on query and response monitoring strategy of the three-level monitoring architecture. The model of monitoring strategy was built and simulated by using Matlab/Simulink tool，the codes were generated automatically by using Real-Time Workshop tool，the generated codes were optimized by using the tool chain and development process according to ISO 26262，and finally the test verification was conducted on a high pressure common rail diesel engine. The results showed that the monitoring unit could effectively inspect the fault of CPU and make the decision in time. Accordingly, the stability of high pressure common rail system improved greatly.

high pressure common rail； ECU； auto-code generation； monitoring unit； control strategy

2015-05-06;

2015-11-06

聶飛(1990—)，男，碩士，主要研究方向為發(fā)動機電子控制技術(shù)；hunanniefei@126。com。

周文華，男，副教授，碩士生導(dǎo)師；zhouwh999@126.com。

10.3969/j.issn.1001-2222.2016.01.003

TK414.32

B

1001-2222(2016)01-0017-05