基于ISO 26262标准的高压共轨ECU监控单元的设计与开发

聂飞， 周文华， 王科杰， 赵俊鹏， 郭修其

(浙江大学能源工程学系， 浙江 杭州 310027)



基于ISO 26262标准的高压共轨ECU监控单元的设计与开发

聂飞， 周文华， 王科杰， 赵俊鹏， 郭修其

(浙江大学能源工程学系， 浙江 杭州 310027)

进行了高压共轨ECU监控单元硬件电路和监控策略的设计与开发，提出了三层监控架构并对其中的问询/应答通信监控策略进行开发。利用Matlab/Simulink工具对监控策略进行模型搭建与仿真，利用Real-Time Workshop工具实现模型到代码的自动生成，运用满足ISO 26262标准的工具链和开发流程对代码进行优化，最后在高压共轨柴油机上进行试验验证。试验结果证明此监控单元能有效检测主CPU故障并及时作出响应，极大提高了高压共轨系统的稳定性。

高压共轨； 电控单元； 自动代码生成； 监控单元； 控制策略

随着汽车电子技术的发展，电子产品的广泛性和复杂度不断提高，系统失效、部件失效等功能安全问题日益严峻[1]，汽车电子行业因此推出最新道路车辆功能安全国际标准ISO 26262。ISO 26262是从电子、电气及可编程器件功能安全基本标准IEC61508中派生出来，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准[2]。对于柴油机电控高压共轨系统而言，开发监控单元使之符合ISO 26262标准是非常有必要的。

ISO26262标准中对硬件信号的要求包括关键传感器信号的冗余设计、关键输出信号的独立关断路径、主控微处理器的监控等[3]。本研究借鉴MathWorks公司推出的符合ISO 26262标准的基于模型的参考开发流程，实现主控微处理器的监控单元的开发，该流程已通过TÜV SÜD公司的ISO 26262资格认证[4-6]。

1 高压共轨系统监控功能架构

基于柴油机高压共轨系统安全监控的要求，设计了三层监控架构(见图1)，通过对监控内容进行分层，使其在软/硬件层面均达到失效安全要求。

1.1 硬件失效安全策略

高压共轨ECU(Electronic Control Unit)采用两个独立的CPU[7]，主CPU(Function Chip,以下简称FC)完成输入信号的采集检查、输出信号的控制、数据存储器的访问等功能,监控CPU(Monitoring Module,以下简称MM)完成对FC运行状态的实时监控、自身内存的诊断、对驱动级关断路径的诊断与控制等功能。两个CPU互相监控，任何一个出现问题，均能触发整个系统的复位并关断输出级，实现失效安全。

图1 三层监控架构

1.2 软件失效安全策略

软件架构按照监控功能的基本原理分为三层。

1) 第一层包括高压共轨发动机基本控制功能的实现，如喷油正时与油量控制、共轨压力控制等。输入信号的诊断和处理也是监控功能的一部分，包括油门踏板信号、曲轴与凸轮轴信号、冷却液温度信号等。一旦以上信号出现故障，系统将执行跛行回家功能。

2) 第二层主要实现对发动机输出扭矩的监控。根据第一层中的相关参数计算需求扭矩、实际输出扭矩等，当实际输出扭矩大于安全限制扭矩时，监控功能触发错误响应，限制喷油器与燃油泵输出，从而限制扭矩输出，确保车辆处于安全状态[8]。

3) 第三层包括FC硬件环境的检查、监控单元自诊断、两个CPU间的监控策略等。其中硬件环境检查包括FC的程序流与指令测试、内存和定时器监控、A/D模数转换模块和通信模块监控等[9]。MM和FC实时通信，当故障出现并达到累计次数后，将执行关断输出与复位操作，确保整个高压共轨系统的失效安全。

2 监控功能硬件设计

2.1 整体硬件框架

监控功能硬件示意见图2，主要包括SPI通信电路(FC为master，MM为slaver)和复位关断电路。FC和MM分别采用XC2785和XC866芯片。硬件设计主要实现以下几个功能：1)FC与MM间能相互复位；2)FC和MM两芯片之间能通过SPI接口实时交互，FC将监测结果发送给MM；3)对输出级的关断与使能控制。FC和MM都自带SPI模块，只需要对芯片进行配置，然后按图2中所示引脚进行连接即可。

图2 监控功能硬件示意

2.2 相互复位与输出级关断电路

为了实现安全监控，保证监控单元对错误作出正确及时的响应，监控单元设计时应综合考虑复位与关断需求。设计的复位关断电路见图3。

图3 复位关断电路

该电路能实现以下功能：

1) 主CPU能复位监控CPU。当监控CPU运行错误时，MAIN_RESET_IN将被置为低电平，MON_RESET_OUT也相应置低，从而触发监控CPU复位。

2) 监控CPU能复位主CPU。当监控芯片检测到故障时，监控CPU将MON_RESET_IN置低，连接主CPU复位引脚的MAIN_RESET_OUT也被拉低，从而触发主CPU复位。

3) 监控芯片能独立关断输出级。当检测到故障时，监控CPU将MON_SHUT_OUT引脚置低，从而使SHUTOFF_PATH_OUT拉低，最终关闭与之相连的所有输出级。

3 监控单元软件设计

3.1 监控单元自诊断功能

由于MM对FC的监控依赖于其自身运行环境，因此需检查自身的硬件环境(RAM/ROM等)[10]。自诊断内容包括：1)在初始化阶段或者每次复位操作后，MM都要执行一次完整的ROM区检查，通过检查当前Checksum(校验和)和记录的Checksum是否相符，从而判断ROM是否正常;2)在每一个通信过程中，需要对被使用的RAM区进行一次检查。通过对其执行读写操作，若能进行正确的读写则表示RAM正常，否则将执行复位操作并重新检查。

3.2 监控单元问询/应答策略

每个监控周期，MM通过虚拟的随机信号发生器(算法实现)发出16种不同的问询，通过SPI端口传输到FC，等待FC对每个问询作出明确的应答，问询/应答通信监控示意见图4。

图4 应答通信监控示意

MM向FC发送随机问询并启动定时器T1，当FC接收完毕后，立刻启动定时器T2，然后根据问询计算应答结果并发送，当发送完时，T2停止计时，此时T2的时间差Δ T2即为应答时间。当MM接收应答完毕时，T1停止计时，并发出接收中断请求，此时T1的时间差Δ T1即为整个通信时间。其应答通信时序图见图5。

图5 应答通信时序图

应答校验包括应答时间和结果的校验，其问询/应答监控流程图见图6。当ΔT2≤ΔT1≤ΔT2+T时表示响应时间合理(On time)，当ΔT1<ΔT2时表示时间太早(Too early)，当ΔT1>ΔT2+T时表示时间太晚(Too late)；当应答结果与预期规定的一致时表示应答结果为True，否则为False。

图6 问询/应答监控流程图

3.3 错误响应机制

监控芯片在实现监控功能的同时，需要有合理的错误响应机制。在MM的软件方案中，定义了3种错误响应机制：

1) SPI通信错误。初始化阶段，若MM监测到SPI信号电平不正确，它会再次初始化，若电平仍然错误则触发错误标志位，并停在Bootloader(系统启动引导程序)中并报错。

2) ROM/RAM错误。初始化阶段，若MM检测到ROM 区或RAM区故障，则触发相应错误标志位并执行复位操作。

3) 应答校验错误。若MM在规定的时间段内未接收到应答，或者接收到的应答结果错误， MM则发送相同的问询请求且错误计数器MoCCom_ctErrMM的值增加。当错误计数器超过规定值时，MM会关断输出级并对FC执行复位操作。

4 模型仿真与试验验证

4.1 模型仿真

以问询/应答监控策略开发为例进行仿真验证，通过SPI接收中断Receive_Interrupt的上升和下降沿触发应答时间和结果校验。仿真设定的合理时间范围为5～17.8 ms，正确结果为3。每次中断，MM会判断应答时间T1是否在设定的合理时间范围内，接收的应答结果Input_Result是否与设定的正确结果相等，从而判定问询/应答通信是否正常。仿真结果表明：该控制策略能对应答时间和应答结果进行及时有效地校验，正确识别错误类型并根据MoCCom_ctErrMM的值作出正确的应对措施。从图7仿真结果可知，当7>MoCCom_ctErrMM>4时，输出路径关断标志MoCCom_ShutOff_mp能及时置1，且关闭是可恢复的；当MoCCom_ctErrMM=7时，输出路径关断标志与复位标志MoCCom_Reset_mp均置1，且操作是不可恢复的。

图7 仿真结果

4.2 试验验证

试验过程采用Vector CANape标定软件建立监控和标定平台[11]，试验用柴油机型号为康明斯IFS2.8S4161P，型式为高压共轨直列式、增压中冷柴油机，采用EGR+DOC技术，缸径94 mm，行程100 mm，排量2.78 L，最大输出功率120 kW(3 600 r/min)，最大扭矩360 N· m。

试验在不同工况下验证了监控单元的可靠性，发动机转速Eng_nAvrg_mp从800 r/min上升至1 600 r/min，2 400 r/min，3 200 r/min时故障监控结果见图8，试验表明，在怠速、急加速、急减速等工况下监控单元均能有效监测通信故障，且发动机在工况变化较大过程时更容易发生故障，因为在变工况时中断和运算处理更为频繁。图中虽出现了随机故障，但并未达到错误计数器的最大值。为了模拟问询/应答通信故障，当轨压为120 MPa、转速1 300 r/min时通过标定软件手动设置故障，使主CPU通过SPI返回错误的响应结果和响应时间，试验结果如图9所示。从图中可见，当应答通信出现故障时，错误计数器MoCCom_ctErrMM_mp在不断增加。当MoCCom_ctErrMM_mp=5时，输出路径关断标志MoCCom_ShutOff_mp迅速响应并置1。由于关断了输出级，发动机转速和轨压迅速下降，响应时间约为0.2 s，能快速实现失效安全。当MoCCom_ctErrMM_mp=7时，复位标志MoCCom_Reset_mp置1，发动机停止工作，需要重新启动，整个试验结果完全满足预期要求。

图8 变工况故障监控结果

图9 错误监控与响应试验结果

5 结束语

高压共轨ECU的安全运行是整个发动机正常工作的核心,本研究针对ISO 26262道路车辆功能安全标准的要求,使用MathWorks提供的工具链和参考开发流程,设计了高压共轨ECU的监控单元,提出了三层监控的系统架构，最后完成了模型仿真和试验论证。

研究结果表明：该监控单元能在不同工况下准确识别主CPU的问询/应答通信故障并执行设定的安全目标，极大提高了整个高压共轨系统的安全性，实现了预期的功能目标。问询/应答通信监控策略的开发流程可作为参考，对整个监控单元的开发有借鉴意义。此外，硬件电路作为监控功能实现的基础完全满足设计要求，并具有通用性。

[1] 赵俊鹏.基于ISO 26262标准的电控柴油机扭矩监控策略研究[J].机电工程，2014(3)：376-372.

[2] ISO 26262 Road vehicles-Functional safety[S].[S.l.]：International Organization for Standardization，2011.

[3] Ziqing Zhai.Achieving ASIL D for Microcontroller in Safety-Critical Drive-by-Wire System[C].SAE Paper 2009-01-0759.

[4] MathWorks.MATHWORKS应用基于模型的设计为ISO 26262项目提供定制服务[EB/OL].2012-03-14.http：//www.mathworks.cn/company/newsroom/article 66137.html.

[5] Conrad M.Software Tool Qualification According to ISO 26262[C].SAE Paper 2011-01-1005.

[6] Conrad M， Munier P，Rauch F.Qualifying Software Tools According to ISO 26262[C].MBEES，2010：117-128.

[7] 王克明.汽油机ECU监控系统的设计与实现[D].西安：长安大学，2012.

[8] 赵俊鹏.ISO 26262标准在柴油机高压共轨ECU开发中的研究与应用[D].杭州：浙江大学，2014.

[9] Rolf Schneider，Manfred Kalhammer，Denis Eberhard.Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems[C].SAE Paper 2007-01-1488.

[10] Simon Brewerton，Rolf Schneider，Denis Eberhard.Implementation of a Basic Single-Microcontroller Monitoring Concept for Safety Critical Systems on a Dual-Core Microcontroller[C].SAE Paper 2007-01-1486.

[11] 郭修其， 周文华， 郑朝武．基于自动代码生成的共轨压力控制策略[J].浙江大学学报(工学版)，2011(8)：1441-1445.

[编辑: 李建新]

Design and Development of Monitoring Unit for High Pressure Common Rail ECU Based on ISO 26262

NIE Fei， ZHOU Wenhua， WANG Kejie， ZHAO Junpeng， GUO Xiuqi

(College of Energy Engineering， Zhejiang University， Hangzhou 310027， China)

The hardware circuits and monitoring strategies of the monitoring unit for high pressure common rail ECU were designed and developed，which mainly focused on query and response monitoring strategy of the three-level monitoring architecture. The model of monitoring strategy was built and simulated by using Matlab/Simulink tool，the codes were generated automatically by using Real-Time Workshop tool，the generated codes were optimized by using the tool chain and development process according to ISO 26262，and finally the test verification was conducted on a high pressure common rail diesel engine. The results showed that the monitoring unit could effectively inspect the fault of CPU and make the decision in time. Accordingly, the stability of high pressure common rail system improved greatly.

high pressure common rail； ECU； auto-code generation； monitoring unit； control strategy

2015-05-06;

2015-11-06

聂飞(1990—)，男，硕士，主要研究方向为发动机电子控制技术；hunanniefei@126。com。

周文华，男，副教授，硕士生导师；zhouwh999@126.com。

10.3969/j.issn.1001-2222.2016.01.003

TK414.32

B

1001-2222(2016)01-0017-05