一種高可靠共軌柴油發動機電控單元

熊 　 建，　顧 　 宏

( 大連理工大學 控制科學與工程學院, 遼寧 大連　116024 )

?

一種高可靠共軌柴油發動機電控單元

熊 建，顧 宏*

( 大連理工大學 控制科學與工程學院, 遼寧 大連116024 )

摘要：柴油發動機電控單元(ECU)是車輛最關鍵的部件之一，不僅要求系統可靠性高，還要成本低廉．首先對ECU失效模式進行了簡要分析，然后基于機載計算機硬件容錯控制系統理論和軟硬件協同優化設計思想，設計并實現了一款具有高可靠性的共軌柴油發動機ECU．實驗結果表明，該電控單元不僅能有效提高系統可靠性，同時還具有成本低、可用性高的優點．

關鍵詞：電控單元(ECU)；硬件容錯；雙機熱備份；仲裁邏輯；共軌發動機

0引言

汽車的心臟是發動機，而發動機的電控單元(electronic control unit，簡稱ECU)是整個發動機的控制核心．汽車發動機控制器要求系統在具有高可用性、高可靠性的同時，還要求系統的批量成本具有一定優勢．因此，汽車發動機ECU的設計，既要考慮系統的高可靠性以及汽車發動機控制的運行環境等多種因素，又要考慮系統硬件成本．尤其是中重型的商用車領域的柴油發動機，對終端用戶來說，在成本相同的情況下，衡量ECU優劣的一個重要標志是其工作可靠性，因為ECU的可靠性直接關系到用戶的生命財產安全．

柴油發動機ECU的基本原理是：首先通過采集發動機的凸輪相位與曲軸轉速、冷卻水溫度、燃油溫度、增壓壓力及中冷后溫度等信號來確定發動機的工作狀態；然后綜合選擇恰當的噴油正時與噴油壓力，并以最快的方式打開噴油電磁閥，完成噴油過程．

柴油發動機ECU控制噴油的過程中，噴油電磁閥的打開過程需要瞬時的高電壓和強電流，這部分電路是整個電控單元功率最高、可靠性最低的部分．根據某市公交車指定維修中心的維修記錄，在所維修的共軌柴油機公交系統中，80%以上的ECU損壞都是在噴油器的驅動電路部分，尤其以高邊MOSFET燒壞居多．究其原因，發現這與共軌柴油發動機ECU的驅動電路設計及驅動功率大小有關．

進一步分析發現，目前各大公司的做法通常都是把噴油器驅動電路設計為高低邊半橋驅動電路．這種驅動電路在噴油器加電的過程中，為了加快響應時間，要求驅動電路首先加上一段遠高于電池電壓的BOOST高電壓(該電壓值要根據噴油器的機械特性進行優化選擇，比如德國BOSCH噴油器要求是48 V，日本DENSO早期的噴油器甚至要求120 V高壓)，在這段高電壓下，要求電流峰值迅速拉升到一個較大的值(根據噴油器的特性，一般在18~25 A)以便噴油器快速打開．在這樣的高電壓、強電流的沖擊下，這部分電路經常會出現高邊功率開關燒毀斷路，或者高邊對地短路等嚴重故障現象，從而使ECU完全失效．

航空機載設備由于可靠性的要求極高，通常采用各種基于容錯控制理論與硬件容錯模型的可靠性設計[1-4]．但是，機載設備對系統成本沒有太高的要求，如果完全按照機載設備做冗余控制，就會因過高的產品成本，讓客戶對產品望而卻步．因此，本文在借鑒傳統機載設備硬件容錯模型的基礎上，根據發動機控制系統高邊驅動的分時復用原理，將系統硬件仲裁與故障診斷等需要硬件成本較高的模塊利用軟件方法來實現，然后分別從軟件與硬件兩個方面協同優化，使得產品在增加極少硬件成本的情況下，明顯提高系統的運行可靠性．

1硬件容錯模型介紹

微電子技術及VLSI技術的發展，使得電子元件的體積不斷減小，元件產品的成本也不斷下降．所以，在對系統可靠性要求較高的機載設備等應用場合中較多采用硬件容錯技術．硬件冗余容錯技術利用系統資源的冗余和系統結構的實時調整來完成，這種技術主要包括主動、被動、混合等3種硬件冗余形式[5]．

被動硬件冗余(靜態硬件冗余)的核心思想是故障掩蔽，即故障情況的變化不會引起冗余結構的變化．二模冗余(twice modular redundancy)和三模冗余(triple modular redundancy)兩種結構形式應用最為廣泛．如果需要進一步提高系統的可靠性，則還可以增加更多的冗余模塊，采用N(N>3)模冗余(Nmodular redundancy)結構形式．N模冗余結構與三模冗余結構原理相似，只是采用N(N>3)個相同的模塊．通常N=2n+1(n為大于1的自然數)，目的是易于對系統進行表決，通常的表決原則是少數服從多數．

主動硬件冗余技術通過對系統故障的檢測、定位及恢復等幾個步驟來完成系統的容錯處理，然后對系統結構進行重組，這種技術也被稱為動態硬件冗余技術．這種技術通常有3種方式，分別是雙機比較系統、備用替換系統、成對備用系統．其中，備用替換系統是以一個模塊為主模塊(master module)在正常工作時產生輸出，另外的部分作為備用模塊(standby module)．采用各種智能故障檢測方法以及智能故障定位技術來確定發生故障的位置與相應的模塊．如果主模塊發生故障，則系統將進行結構重組，使一個正常工作的備用模塊成為主模塊．其中備用替換中的備件又可以分為熱備份與冷備份兩種方式[4-5]．

冷備份工作模式是指主模塊工作時，備份模塊不需要加電工作，只有當系統檢測并確認系統出現故障，需要備份模塊接替工作時才加電并初始化，切換工作模塊．

熱備份是指系統正常工作情況下，備份模塊與主模塊同步工作．帶熱備份的雙機比較系統，是在普通的增強型雙機比較的基礎上，增加了一個熱備份計算機作為備用，而且這種系統中通常帶有進行故障定位和檢測的自診斷電路．系統開始以雙機同時運行，如果檢測出系統出現故障，系統將會啟動自診斷程序進行故障定位，當定位故障完成后，將故障機從系統中去除并切換到處于正常工作狀態的熱備份的計算機，系統繼續正常運行．

Kim等便是根據上述增強型雙機比較系統模型，去掉比較器、熱備份計算機，提出了如圖1所示的簡化的雙機熱備份系統工作模型，并加以實現[4]．

圖1　雙機熱備份系統工作模型

如圖1所示的是基于雙機容錯的某機載燃油測控系統的工作示意圖，系統啟動時，1號機與2號機同時工作，但是系統啟動時會默認將1號機作為主系統輸出，而將2號機作為熱備份機使用(或者相反)，且1號機和2號機各有相對獨立的外圍設備與控制邏輯，這樣做的好處是不會引起系統資源的競爭，同時還能增加整體系統的穩定性．但是，這樣會花費更多的硬件設施，系統的硬件成本會急劇增加．另外，如圖1所示的系統模型中，1號主機與2號備用機之間的切換需要用專門設計的仲裁檢測電路來實現，這個仲裁檢測電路根據1號主機與2號備用機周期向它發送的工作狀態信息來判斷2號備用機與1號主機的運行狀況，并通過控制切換開關S1、S2的操作來完成系統切換．這種方案目前在航空機載設備上應用較多，但是汽車發動機的ECU與航空設備不同，除了對發動機控制有較強的可靠性要求外，還必須做到成本低廉．而上述方案雖然提高了系統的可靠性和可用性，但其中增加的硬件幾乎是單機的兩倍，這在汽車工業領域是不可接受的．

傳統的發動機工作原理如圖2所示．噴油器高邊一般分為2個BANK，每個BANK各自負責3個缸的電流調制工作(也有部分ECU設計為了節省成本只用一個BANK實現電流調制工作)．高邊驅動采用分時工作原理，也就是說，考慮到發動機工作時，每個缸不是同時工作的，因此，配合低邊驅動的選缸信號，高邊驅動不需要用與低邊6路驅動對應的6組高邊驅動來完成，理論上講只需要1路即可．

圖2　傳統發動機控制單元示意圖

圖2中虛線部分是傳統的ECU對電控噴油器的驅動電路．進一步的示意如圖3所示．由圖3可以看出，在傳統的電控噴油器驅動控制方案中大多數采用專用芯片完成對噴油器的驅動．

圖3　傳統噴油器驅動模式

這樣的專用芯片有Freescale的MC33816，德國BOSCH的CY220及CY335等．這些專用芯片功能強大，不僅能針對噴油器的特點選擇合適的驅動電流波形，而且有較強的故障診斷能力．但是，用這種專用芯片設計的電路實現的噴油驅動使高邊驅動分別各自負責兩個BANK的工作，一旦其中的一個BANK出現了故障，這個BANK所對應的幾個缸就無法正常工作，整個系統工作就會因此而失效．

因此，為了提高整個ECU的工作可靠性及可用性，本文提出一種新的硬件設計方案，只需要在硬件上稍做改動，并通過相應的軟件調整，就能避免大量增加冗余硬件，使兩個BANK不僅可以分時協同驅動噴油器工作，而且還能各自作為獨立的冗余單元工作，使得任意一個BANK的高邊電路出現故障時，系統也能靈活切換到另外一個冗余BANK繼續工作．

2硬件設計方案與工作原理

2.1硬件設計方案

根據上述設計目標，MCU主控板平臺結構如圖2所示，主控機系統核心處理器采用的是Freescale公司的微處理器系列MPC56xx[6]．MPC56xx系列微處理器是Freescale公司與ST公司基于Power Architecture技術的32位Qorivva微控制器的設計應用．Freescale公司Qorivva MCU系列器件采用功能較強大的高性能e200z7系列內核架構，從單核到多核解決方案有廣闊的產品線可滿足各種汽車應用需求．同時，該系列MCU通過系統架構的一致性、更高的集成能力以及軟件和工具的重用性降低了開發成本．本文采用的是這個系列的一款雙核處理器MPC5676L微控制器，它是一個專門針對汽車發動機及動力總成控制的符合ISO26262安全標準的雙核專用芯片．Freescale公司針對要求嚴格的汽車電子動力總成等方面安全應用，推出了符合ASILD的安全標準，同時在硬件中加入關鍵安全組件和自測功能，有效降低了軟件的復雜程度．本文采用的汽車級雙核微控制器MPC5676L，采用32位數據總線與地址總線．這種雙核單片機與用兩個獨立的單片機作為冗余備份的方法相比，更具成本低與可靠性高的特點[7]．

本文提出的系統設計目標是在不顯著增加硬件成本的基礎上，以最簡潔的方法實現一個汽車發動機燃油嵌入式容錯管理控制系統．因此，在圖1所示方案的基礎上，提出了一種新型的雙機熱備份冗余控制模型，如圖4所示．在本控制模型中，針對發動機ECU噴油驅動失效問題，巧妙地利用發動機噴油器高邊電路分時驅動工作的原理，做了進一步的軟件與硬件協同優化與改進，并將其中的雙處理器部分與仲裁檢測電路部分通過軟件來實現，從而節省了大量的硬件資源．圖4是一個噴油驅動硬件電路優化之后的發動機ECU的工作原理示意圖．

圖4　雙機熱備份ECU工作原理

圖4所示的軟硬件協同優化設計的雙機熱備份冗余系統模型主要包括硬件驅動電路、電流異常故障診斷管理、仲裁邏輯設計等．系統的主要功能包括高低邊驅動電流的采集，系統回路的基本狀態自診斷(自測試)邏輯，系統提供低邊開關單點故障容錯、高邊驅動實現雙機熱切換等．在電路方面的優化主要體現在將傳統的驅動方式中BANK1與BANK2兩路通過大電流續流二極管相連，這樣改進后的驅動電路實際上并沒有直接增加另外兩個可以熱備份的BANK1′和BANK2′，而只是將原有的兩個只能負責各自3個缸的BANK設計成每個BANK都可以獨立控制所有這6個缸，這就相當于將原來的BANK1與BANK2分成了A、B兩路獨立的驅動，除了可以在軟件的協同下像以前一樣各自控制3個缸，聯合一起控制6個缸工作以外，還可以讓高邊驅動A(BANK1)與高邊驅動B(BANK2) 分別單獨驅動6個缸工作．

將圖1中的計算機部分用一個雙核的CPU代替．同時，考慮到系統的成本以及硬件的復雜度，將圖1方案中的仲裁檢測電路與診斷部分也通過軟件模塊來實施．通過這樣的軟硬件協同優化設計，系統在成本與可靠性之間取得一定的平衡，在原有的系統基礎上，幾乎沒有新的硬件成本的增加，實現了雙機冗余系統的可靠性．

2.2雙路容錯ECU系統工作原理

如圖4所示，正常工作情況下，系統采用雙機工作模式，高邊驅動B路負責1、2、3三個缸的工作，高邊驅動A路負責4、5、6三個缸的工作．系統結構工作原理如圖5所示．在本系統中，系統可以在3種模式下工作：正常工作態、故障態A和故障態B．

正常工作態下，系統將高邊驅動分為A、B兩個組，輪流控制系統的6個缸．A組高邊有一個10 mΩ高精度的采樣電阻，將高邊驅動電流轉換成電壓，經差分放大與調理，然后送入MPC5676L的模數轉換模塊，可以作為電流反饋控制與短路保護依據之一．B組高邊也用同樣大小的檢測電路．低邊驅動電路也是同樣分為兩個10 mΩ采樣電阻，如前文所述，本文采用與傳統做法不同的是，不是將A、B兩個模塊分開，而是將其進行并聯(為防止電流倒流，分別在兩路增加了功率二極管D1和D2)，這樣A、B兩個模塊都能單獨控制6個缸工作，不需要增加額外的硬件就能實現硬件冗余．如圖4所示，為了表述方便，將系統按1~6缸依次排列．

正常狀態下的工作時序，按照通常的發動機噴油順序應該是1-5-3-6-2-4(6缸機)．其電流驅動順序與噴油過程為第1缸噴油過程：高邊驅動B打開，負責完成噴油驅動電流波形的調制，同時，低邊驅動1打開，其他低邊驅動關閉，這時電流從B到1號噴油器通過，1缸開始噴油．第5缸噴油過程：當高邊驅動A打開，負責完成另一缸噴油驅動電流波形的調制時，低邊驅動5打開，其他低邊驅動均關閉，這時電流從A到5號噴油器通過，第5缸開始噴油．第3缸噴油過程：當準備第3缸噴油器打開的時候，由軟件系統關閉高邊驅動A，然后用B路高邊驅動完成噴油驅動波形的調制，低邊驅動3打開完成選缸，電流從高邊驅動B經過3號噴油器，流經低邊驅動3，完成3缸噴油．其他6、2、4等各缸工作原理類似，如此，A、B兩模塊共同驅動，完成發動機1-5-3-6-2-4一個正常驅動的發動機工作循環的噴油過程．

當系統監測到B路故障的時候(用高邊檢測的電流與低邊檢測的電流作比較，可以很清楚地診斷出系統低邊某選缸信號是短路還是開路故障，或是高邊驅動出現故障)，系統自動關閉B路輸出，切換為由A路系統獨立工作．由于原來B路與A路的輸出并聯，此時A路高邊調制信號除了驅動原來的4、5、6缸以外，還接替原來B路的1、2、3缸的高邊調制工作，從而依然可以保持驅動6個缸正常工作．

同理，當系統檢測到A路故障的時候，系統切斷A路高邊開關，由B路高邊開關進行噴油調制信號的處理，此時B路開關調制信號除了驅動原來的1、2、3缸以外，還要按照正常時序接替原來A路的4、5、6缸的高邊調制工作，從而依然能保持驅動6個缸正常工作．

3軟件設計方案與工作原理

3.1軟件設計方案

與硬件可靠性設計中的冗余技術相對應，軟件系統的可靠性也有類似的方法．由前面所述，硬件冗余技術主要通過對重要部件及易損部件提供多重備份實現容錯，從而提高系統的可靠性[8]．而軟件冗余方法主要是利用系統中不同軟件模塊在功能上的多模塊冗余和多模塊獨立，結合程序設計的解耦來提高整個控制系統的冗余度，從而改善系統的容錯性能[9-12]．

本系統設計的高邊調制信號端有A和B兩路電流檢測，通過采樣電阻(本文采用10 mΩ高精度電阻)，將信號放大濾波等調理之后，送入MCU內部的數模轉換模塊進行模數轉換．低邊也有兩路高精度的電流檢測，同樣經過信號變換濾波輸入數模轉換模塊進行模數轉換．每一次噴油時刻，MCU就對當前驅動電流進行采集，然后進行綜合判斷．

通過對上面4組信號進行采樣比較，對應的故障狀態有高邊A路與地短路，高邊B路與地短路(或表現為電流過大，超過限制值)；高邊A路與電源開路，高邊B路與電源開路(或表現為電流過小，超過限制值，以至于打不開噴油器)；低邊選缸信號(1～6缸)與地開路；低邊選缸信號(1～6缸)與電源短路(或電流過小，超過限制值，以至于打不開噴油器)．

仲裁與切換是在上述電流異常情況下，綜合考慮當前大氣壓力、進氣流量、發動機轉速及水溫等多種因素之后，確定完成故障處理措施，決定選擇何種單機工作模式，保證雙機熱備份系統的正常工作及出錯板極切換，對系統做故障燈指示，對發動機做降功率處理．

3.2軟件系統工作原理

文獻[9]對軟件可靠性有較清晰的分析．軟件系統的可靠性與硬件系統的可靠性不一樣，軟件系統可靠性只與軟件設計質量有關．硬件系統可靠性除了包含硬件設計質量以外，還要包括硬件的物理性質及硬件本身老化衰敗對系統可靠性產生的影響．由此可見，軟件可靠性與硬件可靠性相比，它對于設計的依賴程度更大一些．另外，在通常情況下，軟件可靠性設計準則是由軟件開發流程與軟件代碼的質量來確定的，軟件開發流程的目的是用來指導和規范設計人員，給他們提供統一標準的設計依據[10-11]．

本文的軟件開發是基于模型的開發方式，利用Matlab/Simulink強大的建模與仿真能力，以及Simulink下的自動代碼生成工具Embedded coder將代碼生成嵌入式C代碼，與底層手動編寫的基礎軟件在Codewarrior環境下集成編譯下載．為了便于模型測試與代碼集成，采用手動編寫的仲裁邏輯．從可靠性考慮，本文將A/B協同工作模塊、A路單機工作模塊、B路單機工作模塊等部分分別單獨開發，每個模塊都可以獨立工作，代碼以S-Function方式加入到Simulink模型中，實現了軟件驅動的冗余控制，如圖6所示．

在軟件的可靠性設計方面，主要是利用了模塊化冗余設計思想．將A/B協同工作、A通道工作、B通道工作分別寫成3個軟件模塊，共享一組數據．同時還有針對發動機保護的余量設計．

圖6　軟件冗余架構

由圖6可見，系統底層分別將A通道和B通道的高低邊電流采樣值(變量HS_CurrentA表示A路高邊電流，變量LS_CurrentA表示A路低邊電流，變量HS_CurrentB表示B路高邊電流，變量LS_CurrentB表示B路低邊電流)送入Debunce 模塊進行確認，Debunce模塊的兩個極限值用兩個標定變量表示，用戶可以根據實際情況靈活定義．經Debunce模塊處理確定后，傳遞給仲裁模塊．如圖4所示，針對3種工作模式分別設計了3個模塊，系統正常工作時，也就是系統默認的值為A/B協同工作，并將工作狀態參數3傳遞給變量InjCtl_stOfDriver(驅動電路狀態變量)，表明系統處于正常工作狀態．當仲裁模塊判斷A通道出故障時，仲裁輸出值為1，這時系統切換到B模塊工作，同時工作狀態參數1傳遞給變量InjCtl_stOfDriver，表明系統處于單機B工作狀態，需要通過故障燈指示維修，以及功率限制模塊限制發動機的功率輸出；同理，當仲裁模塊判斷B通道出故障時，仲裁輸出值為2，這時系統切換到A模塊工作，同時工作狀態參數2傳遞給變量InjCtl_stOfDriver，表明系統處于單機A工作狀態，需要通過故障燈指示維修，以及功率限制模塊限制發動機的功率輸出．

3.3系統可靠性分析

系統可靠性是指被分析對象所具有的在一段時間內，在給定條件下，完成指定功能的特征．也即被定義為在特定時間周期內實現預期功能的能力．為了便于衡量和研究系統可靠性，首先定義與可靠性函數相關的幾個概念[12-13]．

定義1 無故障時間(time to failure)，研究大量單元數目(i=1，2，3，…，N)，觀測單元i能正常工作的期間內的時間Ti，稱為觀測單元i的無故障時間．

依據大數定理，當N0取無窮大時，故障發生的頻率就可以看成故障概率F(t)．相對應地，故障發生的概率的補集R(t)=1-F(t)就是經驗可靠性函數．因此，R(t)就是觀測單元在0~t時間間隔期間處于能夠正常工作的概率[12]．

在中重型的發動機控制系統正式裝車前，一般要求系統具有2 000 h的可靠性實驗．對ECU器件的無故障時間要求是2 000 h，因此，其可靠性R(t)=1-F(t)=1-0.000 5=99.95%．

利用本文提出的方案，系統的可靠性R(t)=1-0.000 25= 99.975%，由此可見，本文所提出的系統采用雙機冗余備份的方案，系統只多增加了一路低邊采樣電阻，與單路高邊調制ECU方案相比，只部分增加了一路驅動(注：當前很多中重型ECU高邊驅動被設計成兩路，分時控制兩個BANK，與這種方案相比，本系統高邊部分沒有增加硬件成本，只需要高邊驅動MOSFET適當提高功率參數即可)．相對于整個ECU而言，硬件成本只增加不到2%，系統的可靠性明顯提高，從而顯著提高了系統的可用性．

4實驗

根據本文所提出的設計思想，設計了一款高可靠性ECU，如圖7所示．接插件采用Tyco公司生產的型號為284617的端子，該接口與德國BOSCH公司的EDC17C35針腳一致．在硬件設計時，將電源、傳感器、執行器的針腳定義也盡量與該型號ECU兼容，以便可以直接替換ECU．

在實驗中分兩個方面進行驗證．一方面，在實際油量測試臺與發動機臺架測試．首先在裝有BOSCH原裝噴油器的冷拖實驗臺上進行了2 000 h 的冷拖實驗．冷拖實驗完成之后，將同一ECU安裝在1臺裝有BOSCH共軌燃油系統的某重型發動機上進行2 000 h的熱機可靠性測試．實驗結果表明，該ECU完全滿足設計要求．

另一方面，將本文所設計的ECU在自行研制的可靠性模擬實驗臺上進行半物理仿真測試．實驗中，分別人為制造出A路高邊驅動和B路高邊驅動短路及開路系統故障，結果表明，在這兩路高邊分別出現故障態時，系統檢測到故障并能順利切換到備用通道工作，達到了預期的設計目標．同時，為了更進一步對小批ECU進行可靠性測試，在可靠性模擬實驗臺上設計了多組發動機信號模擬器，可以同時模擬出多個發動機曲軸(60-2齒)磁電轉速信號和凸輪(6+1齒)霍爾相位信號，按照某重型發動機(配BOSCH的原裝燃油系統和控制系統)的極限工作工況，設置每工作循環3次噴射(預噴+主噴+后噴)，驅動負載采用某國產電控噴油器實物進行模擬噴油測試．對10套新型ECU進行全速全負荷運行4 000 h的模擬實驗，結果表明系統的穩定性較傳統設計的電控單元有明顯提高．驗證結果進一步表明，本文設計的ECU可靠性完全達到了預期的容錯功能．

圖7　高可靠性ECU電路板

5結語

初步實驗結果表明，本文所設計的電控單元具有系統可靠性高、通用性強、成本低等優點，有很強的實用性和市場推廣價值．目前，該系統已在基于汽車電子嵌入式安全實時操作系統OSEK Turbo的支持下，開發完成上層應用軟件的主體控制軟件，正在進行整車標定實驗，隨后將進一步進行批量整車的驗證工作．

參考文獻：

[1]周東華. 容錯控制理論及其應用[J]. 自動化學報, 2000, 26(6):788-797.

ZHOU Dong-hua. Theory and applications of fault tolerant control [J]. Acta Automatica Sinica, 2000, 26(6):788-797. (in Chinese)

[2]Wensley J H, Lamport L, Goldberg J,etal. SIFT:Design and analysis of a fault-tolerant computer for aircraft control [J]. Proceedings of the IEEE, 1978, 66(10):1240-1255.

[3]Hopkins Jr A L, Smith Ⅲ T B, Lala J H. FTMP - A highly reliable fault-tolerant multiprocessor for aircraft [J]. Proceedings of the IEEE, 1978, 66(10):1221.

[4]Kim K H. Issues insufficiently resolved in century 20 in the fault-tolerant distributed computing field [J]. Proceedings of the IEEE Symposium on Reliability Distributed Systems, 2000:106-115.

[5]熊 建,熊光澤. 一種高可信賴測控計算機的設計與實現[J]. 計算機測量與控制, 2005(7):671-673, 695.

XIONG Jian, XIONG Guang-ze. Design and realization of a highly reliable measuring and control computer [J]. Computer Measurement & Control, 2005(7):671-673, 695. (in Chinese)

[6]Freescale Semiconductor, Inc.. MPC5676L User′s Manual and Datasheet [M]. Austin:Freescale Semiconductor, Inc., 2012.

[7]衡軍山,甄成剛. 基于軟件的雙CPU冗余控制研究[J]. 微計算機信息, 2005, 21(7):59-61.

HENG Jun-shan, ZHEN Cheng-gang. Research on CPU redundancy control based on software [J]. Microcomputer Information, 2005, 21(7):59-61. (in Chinese)

[8]陳 宇. 高可靠容錯實時系統的支撐技術研究[D]. 成都:電子科技大學, 2002.

CHEN Yu. Research on supporting techniques for high-reliable fault tolerant real time systems [D]. Chengdu:University of Electronic Science and Technology of China, 2002. (in Chinese)

[9]劉 邏. 軟件可靠性設計技術應用研究[D]. 長春:中國科學院長春光學精密機械與物理研究所, 2013.

LIU Luo. Study on the application of software reliability design technology [D]. Changchun:Changchun Institute of Optics, Fine Mechanics and Physics, Chinese Academy of Sciences, 2013. (in Chinese)

[10]張治生,陳懷民,吳成富,等. 小型無人機飛控系統軟件可靠性設計與建模研究[J]. 計算機測量與控制, 2011, 19(6):1489-1492.

ZHANG Zhi-sheng, CHEN Huai-min, WU Cheng-fu,etal. Research of software reliability designing and modeling of flight control system of SUAV [J]. Computer Measurement & Control, 2011, 19(6):1489-1492. (in Chinese)

[11]陸志肖,聶永昱,謝劍斌,等. 軟件可靠性設計在機電管理系統軟件中的應用[J]. 直升機技術, 2010(3):53-58.

LU Zhi-xiao, NIE Yong-yu, XIE Jian-bin,etal. The application of the soft reliability design on the UMS′s soft [J]. Helicopter Technique, 2010(3):53-58. (in Chinese)

[12]紹弗勒 J. 汽車軟件工程——原理、過程、方法、工具[M]. 張聚, 等譯. 北京:電子工業出版社, 2008.

Schauffele J. Automotive Software Engineering Principles, Processes, Methods, and Tools [M]. ZHANG Ju,etal. trans. Beijing:Publishing House of Electronics Industry, 2008. (in Chinese)

[13]Birolini A. Reliability Engineering — Theory and Practice [M]. 3rd ed. New York:Springer, 1999.

A highly reliable ECU of common rail diesel engine

XIONGJian,GUHong*

( School of Control Science and Engineering, Dalian University of Technology, Dalian 116024, China )

Abstract：The electronic control unit (ECU) of diesel engine is a key module of the vehicle. It requires not only the high reliability but also the low cost. Firstly, the failure mode of ECU is analyzed briefly. Then, based on the theory of airborne computer fault-tolerant control system and co-design method of software and hardware, a kind of highly reliable ECU of common rail diesel engine is designed and implemented. The experimental results show that this ECU can not only improve the reliability of system effectively, but also has the advantages of low cost and high availability.

Key words：electronic control unit(ECU); hardware fault tolerance; duplicate hot standby; arbitration logic; common rail engine

作者簡介:熊 建(1974-)，男，博士生，E-mail:cd_xj@163.com；顧 宏*(1961-)，男，教授，博士生導師，E-mail:guhong@dlut.edu.cn.

基金項目:國家自然科學基金資助項目(61305034)；高等學校博士學科點專項科研基金資助項目(20120041110008).

收稿日期：2015-07-15；修回日期: 2015-11-18．

中圖分類號：U464.136

文獻標識碼：A

doi:10.7511/dllgxb201601009

文章編號：1000-8608(2016)01-0056-08