基于ISO 26262標準的高壓共軌ECU監控單元的設計與開發

聶飛， 周文華， 王科杰， 趙俊鵬， 郭修其

(浙江大學能源工程學系， 浙江 杭州 310027)

?

基于ISO 26262標準的高壓共軌ECU監控單元的設計與開發

聶飛， 周文華， 王科杰， 趙俊鵬， 郭修其

(浙江大學能源工程學系， 浙江 杭州 310027)

進行了高壓共軌ECU監控單元硬件電路和監控策略的設計與開發，提出了三層監控架構并對其中的問詢/應答通信監控策略進行開發。利用Matlab/Simulink工具對監控策略進行模型搭建與仿真，利用Real-Time Workshop工具實現模型到代碼的自動生成，運用滿足ISO 26262標準的工具鏈和開發流程對代碼進行優化，最后在高壓共軌柴油機上進行試驗驗證。試驗結果證明此監控單元能有效檢測主CPU故障并及時作出響應，極大提高了高壓共軌系統的穩定性。

高壓共軌； 電控單元； 自動代碼生成； 監控單元； 控制策略

隨著汽車電子技術的發展，電子產品的廣泛性和復雜度不斷提高，系統失效、部件失效等功能安全問題日益嚴峻[1]，汽車電子行業因此推出最新道路車輛功能安全國際標準ISO 26262。ISO 26262是從電子、電氣及可編程器件功能安全基本標準IEC61508中派生出來，主要定位在汽車行業中特定的電氣器件、電子設備、可編程電子器件等專門用于汽車領域的部件，旨在提高汽車電子、電氣產品功能安全的國際標準[2]。對于柴油機電控高壓共軌系統而言，開發監控單元使之符合ISO 26262標準是非常有必要的。

ISO26262標準中對硬件信號的要求包括關鍵傳感器信號的冗余設計、關鍵輸出信號的獨立關斷路徑、主控微處理器的監控等[3]。本研究借鑒MathWorks公司推出的符合ISO 26262標準的基于模型的參考開發流程，實現主控微處理器的監控單元的開發，該流程已通過TüV SüD公司的ISO 26262資格認證[4-6]。

1 高壓共軌系統監控功能架構

基于柴油機高壓共軌系統安全監控的要求，設計了三層監控架構(見圖1)，通過對監控內容進行分層，使其在軟/硬件層面均達到失效安全要求。

1.1 硬件失效安全策略

高壓共軌ECU(Electronic Control Unit)采用兩個獨立的CPU[7]，主CPU(Function Chip,以下簡稱FC)完成輸入信號的采集檢查、輸出信號的控制、數據存儲器的訪問等功能,監控CPU(Monitoring Module,以下簡稱MM)完成對FC運行狀態的實時監控、自身內存的診斷、對驅動級關斷路徑的診斷與控制等功能。兩個CPU互相監控，任何一個出現問題，均能觸發整個系統的復位并關斷輸出級，實現失效安全。

圖1 三層監控架構

1.2 軟件失效安全策略

軟件架構按照監控功能的基本原理分為三層。

1) 第一層包括高壓共軌發動機基本控制功能的實現，如噴油正時與油量控制、共軌壓力控制等。輸入信號的診斷和處理也是監控功能的一部分，包括油門踏板信號、曲軸與凸輪軸信號、冷卻液溫度信號等。一旦以上信號出現故障，系統將執行跛行回家功能。

2) 第二層主要實現對發動機輸出扭矩的監控。根據第一層中的相關參數計算需求扭矩、實際輸出扭矩等，當實際輸出扭矩大于安全限制扭矩時，監控功能觸發錯誤響應，限制噴油器與燃油泵輸出，從而限制扭矩輸出，確保車輛處于安全狀態[8]。

3) 第三層包括FC硬件環境的檢查、監控單元自診斷、兩個CPU間的監控策略等。其中硬件環境檢查包括FC的程序流與指令測試、內存和定時器監控、A/D模數轉換模塊和通信模塊監控等[9]。MM和FC實時通信，當故障出現并達到累計次數后，將執行關斷輸出與復位操作，確保整個高壓共軌系統的失效安全。

2 監控功能硬件設計

2.1 整體硬件框架

監控功能硬件示意見圖2，主要包括SPI通信電路(FC為master，MM為slaver)和復位關斷電路。FC和MM分別采用XC2785和XC866芯片。硬件設計主要實現以下幾個功能：1)FC與MM間能相互復位；2)FC和MM兩芯片之間能通過SPI接口實時交互，FC將監測結果發送給MM；3)對輸出級的關斷與使能控制。FC和MM都自帶SPI模塊，只需要對芯片進行配置，然后按圖2中所示引腳進行連接即可。

圖2 監控功能硬件示意

2.2 相互復位與輸出級關斷電路

為了實現安全監控，保證監控單元對錯誤作出正確及時的響應，監控單元設計時應綜合考慮復位與關斷需求。設計的復位關斷電路見圖3。

圖3 復位關斷電路

該電路能實現以下功能：

1) 主CPU能復位監控CPU。當監控CPU運行錯誤時，MAIN_RESET_IN將被置為低電平，MON_RESET_OUT也相應置低，從而觸發監控CPU復位。

2) 監控CPU能復位主CPU。當監控芯片檢測到故障時，監控CPU將MON_RESET_IN置低，連接主CPU復位引腳的MAIN_RESET_OUT也被拉低，從而觸發主CPU復位。

3) 監控芯片能獨立關斷輸出級。當檢測到故障時，監控CPU將MON_SHUT_OUT引腳置低，從而使SHUTOFF_PATH_OUT拉低，最終關閉與之相連的所有輸出級。

3 監控單元軟件設計

3.1 監控單元自診斷功能

由于MM對FC的監控依賴于其自身運行環境，因此需檢查自身的硬件環境(RAM/ROM等)[10]。自診斷內容包括：1)在初始化階段或者每次復位操作后，MM都要執行一次完整的ROM區檢查，通過檢查當前Checksum(校驗和)和記錄的Checksum是否相符，從而判斷ROM是否正常;2)在每一個通信過程中，需要對被使用的RAM區進行一次檢查。通過對其執行讀寫操作，若能進行正確的讀寫則表示RAM正常，否則將執行復位操作并重新檢查。

3.2 監控單元問詢/應答策略

每個監控周期，MM通過虛擬的隨機信號發生器(算法實現)發出16種不同的問詢，通過SPI端口傳輸到FC，等待FC對每個問詢作出明確的應答，問詢/應答通信監控示意見圖4。

圖4 應答通信監控示意

MM向FC發送隨機問詢并啟動定時器T1，當FC接收完畢后，立刻啟動定時器T2，然后根據問詢計算應答結果并發送，當發送完時，T2停止計時，此時T2的時間差Δ T2即為應答時間。當MM接收應答完畢時，T1停止計時，并發出接收中斷請求，此時T1的時間差Δ T1即為整個通信時間。其應答通信時序圖見圖5。

圖5 應答通信時序圖

應答校驗包括應答時間和結果的校驗，其問詢/應答監控流程圖見圖6。當ΔT2≤ΔT1≤ΔT2+T時表示響應時間合理(On time)，當ΔT1<ΔT2時表示時間太早(Too early)，當ΔT1>ΔT2+T時表示時間太晚(Too late)；當應答結果與預期規定的一致時表示應答結果為True，否則為False。

圖6 問詢/應答監控流程圖

3.3 錯誤響應機制

監控芯片在實現監控功能的同時，需要有合理的錯誤響應機制。在MM的軟件方案中，定義了3種錯誤響應機制：

1) SPI通信錯誤。初始化階段，若MM監測到SPI信號電平不正確，它會再次初始化，若電平仍然錯誤則觸發錯誤標志位，并停在Bootloader(系統啟動引導程序)中并報錯。

2) ROM/RAM錯誤。初始化階段，若MM檢測到ROM 區或RAM區故障，則觸發相應錯誤標志位并執行復位操作。

3) 應答校驗錯誤。若MM在規定的時間段內未接收到應答，或者接收到的應答結果錯誤， MM則發送相同的問詢請求且錯誤計數器MoCCom_ctErrMM的值增加。當錯誤計數器超過規定值時，MM會關斷輸出級并對FC執行復位操作。

4 模型仿真與試驗驗證

4.1 模型仿真

以問詢/應答監控策略開發為例進行仿真驗證，通過SPI接收中斷Receive_Interrupt的上升和下降沿觸發應答時間和結果校驗。仿真設定的合理時間范圍為5～17.8 ms，正確結果為3。每次中斷，MM會判斷應答時間T1是否在設定的合理時間范圍內，接收的應答結果Input_Result是否與設定的正確結果相等，從而判定問詢/應答通信是否正常。仿真結果表明：該控制策略能對應答時間和應答結果進行及時有效地校驗，正確識別錯誤類型并根據MoCCom_ctErrMM的值作出正確的應對措施。從圖7仿真結果可知，當7>MoCCom_ctErrMM>4時，輸出路徑關斷標志MoCCom_ShutOff_mp能及時置1，且關閉是可恢復的；當MoCCom_ctErrMM=7時，輸出路徑關斷標志與復位標志MoCCom_Reset_mp均置1，且操作是不可恢復的。

圖7 仿真結果

4.2 試驗驗證

試驗過程采用Vector CANape標定軟件建立監控和標定平臺[11]，試驗用柴油機型號為康明斯IFS2.8S4161P，型式為高壓共軌直列式、增壓中冷柴油機，采用EGR+DOC技術，缸徑94 mm，行程100 mm，排量2.78 L，最大輸出功率120 kW(3 600 r/min)，最大扭矩360 N· m。

試驗在不同工況下驗證了監控單元的可靠性，發動機轉速Eng_nAvrg_mp從800 r/min上升至1 600 r/min，2 400 r/min，3 200 r/min時故障監控結果見圖8，試驗表明，在怠速、急加速、急減速等工況下監控單元均能有效監測通信故障，且發動機在工況變化較大過程時更容易發生故障，因為在變工況時中斷和運算處理更為頻繁。圖中雖出現了隨機故障，但并未達到錯誤計數器的最大值。為了模擬問詢/應答通信故障，當軌壓為120 MPa、轉速1 300 r/min時通過標定軟件手動設置故障，使主CPU通過SPI返回錯誤的響應結果和響應時間，試驗結果如圖9所示。從圖中可見，當應答通信出現故障時，錯誤計數器MoCCom_ctErrMM_mp在不斷增加。當MoCCom_ctErrMM_mp=5時，輸出路徑關斷標志MoCCom_ShutOff_mp迅速響應并置1。由于關斷了輸出級，發動機轉速和軌壓迅速下降，響應時間約為0.2 s，能快速實現失效安全。當MoCCom_ctErrMM_mp=7時，復位標志MoCCom_Reset_mp置1，發動機停止工作，需要重新啟動，整個試驗結果完全滿足預期要求。

圖8 變工況故障監控結果

圖9 錯誤監控與響應試驗結果

5 結束語

高壓共軌ECU的安全運行是整個發動機正常工作的核心,本研究針對ISO 26262道路車輛功能安全標準的要求,使用MathWorks提供的工具鏈和參考開發流程,設計了高壓共軌ECU的監控單元,提出了三層監控的系統架構，最后完成了模型仿真和試驗論證。

研究結果表明：該監控單元能在不同工況下準確識別主CPU的問詢/應答通信故障并執行設定的安全目標，極大提高了整個高壓共軌系統的安全性，實現了預期的功能目標。問詢/應答通信監控策略的開發流程可作為參考，對整個監控單元的開發有借鑒意義。此外，硬件電路作為監控功能實現的基礎完全滿足設計要求，并具有通用性。

[1] 趙俊鵬.基于ISO 26262標準的電控柴油機扭矩監控策略研究[J].機電工程，2014(3)：376-372.

[2] ISO 26262 Road vehicles-Functional safety[S].[S.l.]：International Organization for Standardization，2011.

[3] Ziqing Zhai.Achieving ASIL D for Microcontroller in Safety-Critical Drive-by-Wire System[C].SAE Paper 2009-01-0759.

[4] MathWorks.MATHWORKS應用基于模型的設計為ISO 26262項目提供定制服務[EB/OL].2012-03-14.http：//www.mathworks.cn/company/newsroom/article 66137.html.

[5] Conrad M.Software Tool Qualification According to ISO 26262[C].SAE Paper 2011-01-1005.

[6] Conrad M， Munier P，Rauch F.Qualifying Software Tools According to ISO 26262[C].MBEES，2010：117-128.

[7] 王克明.汽油機ECU監控系統的設計與實現[D].西安：長安大學，2012.

[8] 趙俊鵬.ISO 26262標準在柴油機高壓共軌ECU開發中的研究與應用[D].杭州：浙江大學，2014.

[9] Rolf Schneider，Manfred Kalhammer，Denis Eberhard.Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems[C].SAE Paper 2007-01-1488.

[10] Simon Brewerton，Rolf Schneider，Denis Eberhard.Implementation of a Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems on a Dual-Core Microcontroller[C].SAE Paper 2007-01-1486.

[11] 郭修其， 周文華， 鄭朝武．基于自動代碼生成的共軌壓力控制策略[J].浙江大學學報(工學版)，2011(8)：1441-1445.

[編輯: 李建新]

Design and Development of Monitoring Unit for High Pressure Common Rail ECU Based on ISO 26262

NIE Fei， ZHOU Wenhua， WANG Kejie， ZHAO Junpeng， GUO Xiuqi

(College of Energy Engineering， Zhejiang University， Hangzhou 310027， China)

The hardware circuits and monitoring strategies of the monitoring unit for high pressure common rail ECU were designed and developed，which mainly focused on query and response monitoring strategy of the three-level monitoring architecture. The model of monitoring strategy was built and simulated by using Matlab/Simulink tool，the codes were generated automatically by using Real-Time Workshop tool，the generated codes were optimized by using the tool chain and development process according to ISO 26262，and finally the test verification was conducted on a high pressure common rail diesel engine. The results showed that the monitoring unit could effectively inspect the fault of CPU and make the decision in time. Accordingly, the stability of high pressure common rail system improved greatly.

high pressure common rail； ECU； auto-code generation； monitoring unit； control strategy

2015-05-06;

2015-11-06

聶飛(1990—)，男，碩士，主要研究方向為發動機電子控制技術；hunanniefei@126。com。

周文華，男，副教授，碩士生導師；zhouwh999@126.com。

10.3969/j.issn.1001-2222.2016.01.003

TK414.32

B

1001-2222(2016)01-0017-05