熊 　 建，　顧 　 宏

( 大連理工大學(xué) 控制科學(xué)與工程學(xué)院, 遼寧 大連　116024 )

?

一種高可靠共軌柴油發(fā)動(dòng)機(jī)電控單元

熊 建，顧 宏*

( 大連理工大學(xué) 控制科學(xué)與工程學(xué)院, 遼寧 大連116024 )

摘要：柴油發(fā)動(dòng)機(jī)電控單元(ECU)是車(chē)輛最關(guān)鍵的部件之一，不僅要求系統(tǒng)可靠性高，還要成本低廉．首先對(duì)ECU失效模式進(jìn)行了簡(jiǎn)要分析，然后基于機(jī)載計(jì)算機(jī)硬件容錯(cuò)控制系統(tǒng)理論和軟硬件協(xié)同優(yōu)化設(shè)計(jì)思想，設(shè)計(jì)并實(shí)現(xiàn)了一款具有高可靠性的共軌柴油發(fā)動(dòng)機(jī)ECU．實(shí)驗(yàn)結(jié)果表明，該電控單元不僅能有效提高系統(tǒng)可靠性，同時(shí)還具有成本低、可用性高的優(yōu)點(diǎn)．

關(guān)鍵詞：電控單元(ECU)；硬件容錯(cuò)；雙機(jī)熱備份；仲裁邏輯；共軌發(fā)動(dòng)機(jī)

0引言

汽車(chē)的心臟是發(fā)動(dòng)機(jī)，而發(fā)動(dòng)機(jī)的電控單元(electronic control unit，簡(jiǎn)稱ECU)是整個(gè)發(fā)動(dòng)機(jī)的控制核心．汽車(chē)發(fā)動(dòng)機(jī)控制器要求系統(tǒng)在具有高可用性、高可靠性的同時(shí)，還要求系統(tǒng)的批量成本具有一定優(yōu)勢(shì)．因此，汽車(chē)發(fā)動(dòng)機(jī)ECU的設(shè)計(jì)，既要考慮系統(tǒng)的高可靠性以及汽車(chē)發(fā)動(dòng)機(jī)控制的運(yùn)行環(huán)境等多種因素，又要考慮系統(tǒng)硬件成本．尤其是中重型的商用車(chē)領(lǐng)域的柴油發(fā)動(dòng)機(jī)，對(duì)終端用戶來(lái)說(shuō)，在成本相同的情況下，衡量ECU優(yōu)劣的一個(gè)重要標(biāo)志是其工作可靠性，因?yàn)镋CU的可靠性直接關(guān)系到用戶的生命財(cái)產(chǎn)安全．

柴油發(fā)動(dòng)機(jī)ECU的基本原理是：首先通過(guò)采集發(fā)動(dòng)機(jī)的凸輪相位與曲軸轉(zhuǎn)速、冷卻水溫度、燃油溫度、增壓壓力及中冷后溫度等信號(hào)來(lái)確定發(fā)動(dòng)機(jī)的工作狀態(tài)；然后綜合選擇恰當(dāng)?shù)膰娪驼龝r(shí)與噴油壓力，并以最快的方式打開(kāi)噴油電磁閥，完成噴油過(guò)程．

柴油發(fā)動(dòng)機(jī)ECU控制噴油的過(guò)程中，噴油電磁閥的打開(kāi)過(guò)程需要瞬時(shí)的高電壓和強(qiáng)電流，這部分電路是整個(gè)電控單元功率最高、可靠性最低的部分．根據(jù)某市公交車(chē)指定維修中心的維修記錄，在所維修的共軌柴油機(jī)公交系統(tǒng)中，80%以上的ECU損壞都是在噴油器的驅(qū)動(dòng)電路部分，尤其以高邊MOSFET燒壞居多．究其原因，發(fā)現(xiàn)這與共軌柴油發(fā)動(dòng)機(jī)ECU的驅(qū)動(dòng)電路設(shè)計(jì)及驅(qū)動(dòng)功率大小有關(guān)．

進(jìn)一步分析發(fā)現(xiàn)，目前各大公司的做法通常都是把噴油器驅(qū)動(dòng)電路設(shè)計(jì)為高低邊半橋驅(qū)動(dòng)電路．這種驅(qū)動(dòng)電路在噴油器加電的過(guò)程中，為了加快響應(yīng)時(shí)間，要求驅(qū)動(dòng)電路首先加上一段遠(yuǎn)高于電池電壓的BOOST高電壓(該電壓值要根據(jù)噴油器的機(jī)械特性進(jìn)行優(yōu)化選擇，比如德國(guó)BOSCH噴油器要求是48 V，日本DENSO早期的噴油器甚至要求120 V高壓)，在這段高電壓下，要求電流峰值迅速拉升到一個(gè)較大的值(根據(jù)噴油器的特性，一般在18~25 A)以便噴油器快速打開(kāi)．在這樣的高電壓、強(qiáng)電流的沖擊下，這部分電路經(jīng)常會(huì)出現(xiàn)高邊功率開(kāi)關(guān)燒毀斷路，或者高邊對(duì)地短路等嚴(yán)重故障現(xiàn)象，從而使ECU完全失效．

航空機(jī)載設(shè)備由于可靠性的要求極高，通常采用各種基于容錯(cuò)控制理論與硬件容錯(cuò)模型的可靠性設(shè)計(jì)[1-4]．但是，機(jī)載設(shè)備對(duì)系統(tǒng)成本沒(méi)有太高的要求，如果完全按照機(jī)載設(shè)備做冗余控制，就會(huì)因過(guò)高的產(chǎn)品成本，讓客戶對(duì)產(chǎn)品望而卻步．因此，本文在借鑒傳統(tǒng)機(jī)載設(shè)備硬件容錯(cuò)模型的基礎(chǔ)上，根據(jù)發(fā)動(dòng)機(jī)控制系統(tǒng)高邊驅(qū)動(dòng)的分時(shí)復(fù)用原理，將系統(tǒng)硬件仲裁與故障診斷等需要硬件成本較高的模塊利用軟件方法來(lái)實(shí)現(xiàn)，然后分別從軟件與硬件兩個(gè)方面協(xié)同優(yōu)化，使得產(chǎn)品在增加極少硬件成本的情況下，明顯提高系統(tǒng)的運(yùn)行可靠性．

1硬件容錯(cuò)模型介紹

微電子技術(shù)及VLSI技術(shù)的發(fā)展，使得電子元件的體積不斷減小，元件產(chǎn)品的成本也不斷下降．所以，在對(duì)系統(tǒng)可靠性要求較高的機(jī)載設(shè)備等應(yīng)用場(chǎng)合中較多采用硬件容錯(cuò)技術(shù)．硬件冗余容錯(cuò)技術(shù)利用系統(tǒng)資源的冗余和系統(tǒng)結(jié)構(gòu)的實(shí)時(shí)調(diào)整來(lái)完成，這種技術(shù)主要包括主動(dòng)、被動(dòng)、混合等3種硬件冗余形式[5]．

被動(dòng)硬件冗余(靜態(tài)硬件冗余)的核心思想是故障掩蔽，即故障情況的變化不會(huì)引起冗余結(jié)構(gòu)的變化．二模冗余(twice modular redundancy)和三模冗余(triple modular redundancy)兩種結(jié)構(gòu)形式應(yīng)用最為廣泛．如果需要進(jìn)一步提高系統(tǒng)的可靠性，則還可以增加更多的冗余模塊，采用N(N>3)模冗余(Nmodular redundancy)結(jié)構(gòu)形式．N模冗余結(jié)構(gòu)與三模冗余結(jié)構(gòu)原理相似，只是采用N(N>3)個(gè)相同的模塊．通常N=2n+1(n為大于1的自然數(shù))，目的是易于對(duì)系統(tǒng)進(jìn)行表決，通常的表決原則是少數(shù)服從多數(shù)．

主動(dòng)硬件冗余技術(shù)通過(guò)對(duì)系統(tǒng)故障的檢測(cè)、定位及恢復(fù)等幾個(gè)步驟來(lái)完成系統(tǒng)的容錯(cuò)處理，然后對(duì)系統(tǒng)結(jié)構(gòu)進(jìn)行重組，這種技術(shù)也被稱為動(dòng)態(tài)硬件冗余技術(shù)．這種技術(shù)通常有3種方式，分別是雙機(jī)比較系統(tǒng)、備用替換系統(tǒng)、成對(duì)備用系統(tǒng)．其中，備用替換系統(tǒng)是以一個(gè)模塊為主模塊(master module)在正常工作時(shí)產(chǎn)生輸出，另外的部分作為備用模塊(standby module)．采用各種智能故障檢測(cè)方法以及智能故障定位技術(shù)來(lái)確定發(fā)生故障的位置與相應(yīng)的模塊．如果主模塊發(fā)生故障，則系統(tǒng)將進(jìn)行結(jié)構(gòu)重組，使一個(gè)正常工作的備用模塊成為主模塊．其中備用替換中的備件又可以分為熱備份與冷備份兩種方式[4-5]．

冷備份工作模式是指主模塊工作時(shí)，備份模塊不需要加電工作，只有當(dāng)系統(tǒng)檢測(cè)并確認(rèn)系統(tǒng)出現(xiàn)故障，需要備份模塊接替工作時(shí)才加電并初始化，切換工作模塊．

熱備份是指系統(tǒng)正常工作情況下，備份模塊與主模塊同步工作．帶熱備份的雙機(jī)比較系統(tǒng)，是在普通的增強(qiáng)型雙機(jī)比較的基礎(chǔ)上，增加了一個(gè)熱備份計(jì)算機(jī)作為備用，而且這種系統(tǒng)中通常帶有進(jìn)行故障定位和檢測(cè)的自診斷電路．系統(tǒng)開(kāi)始以雙機(jī)同時(shí)運(yùn)行，如果檢測(cè)出系統(tǒng)出現(xiàn)故障，系統(tǒng)將會(huì)啟動(dòng)自診斷程序進(jìn)行故障定位，當(dāng)定位故障完成后，將故障機(jī)從系統(tǒng)中去除并切換到處于正常工作狀態(tài)的熱備份的計(jì)算機(jī)，系統(tǒng)繼續(xù)正常運(yùn)行．

Kim等便是根據(jù)上述增強(qiáng)型雙機(jī)比較系統(tǒng)模型，去掉比較器、熱備份計(jì)算機(jī)，提出了如圖1所示的簡(jiǎn)化的雙機(jī)熱備份系統(tǒng)工作模型，并加以實(shí)現(xiàn)[4]．

圖1　雙機(jī)熱備份系統(tǒng)工作模型

如圖1所示的是基于雙機(jī)容錯(cuò)的某機(jī)載燃油測(cè)控系統(tǒng)的工作示意圖，系統(tǒng)啟動(dòng)時(shí)，1號(hào)機(jī)與2號(hào)機(jī)同時(shí)工作，但是系統(tǒng)啟動(dòng)時(shí)會(huì)默認(rèn)將1號(hào)機(jī)作為主系統(tǒng)輸出，而將2號(hào)機(jī)作為熱備份機(jī)使用(或者相反)，且1號(hào)機(jī)和2號(hào)機(jī)各有相對(duì)獨(dú)立的外圍設(shè)備與控制邏輯，這樣做的好處是不會(huì)引起系統(tǒng)資源的競(jìng)爭(zhēng)，同時(shí)還能增加整體系統(tǒng)的穩(wěn)定性．但是，這樣會(huì)花費(fèi)更多的硬件設(shè)施，系統(tǒng)的硬件成本會(huì)急劇增加．另外，如圖1所示的系統(tǒng)模型中，1號(hào)主機(jī)與2號(hào)備用機(jī)之間的切換需要用專門(mén)設(shè)計(jì)的仲裁檢測(cè)電路來(lái)實(shí)現(xiàn)，這個(gè)仲裁檢測(cè)電路根據(jù)1號(hào)主機(jī)與2號(hào)備用機(jī)周期向它發(fā)送的工作狀態(tài)信息來(lái)判斷2號(hào)備用機(jī)與1號(hào)主機(jī)的運(yùn)行狀況，并通過(guò)控制切換開(kāi)關(guān)S1、S2的操作來(lái)完成系統(tǒng)切換．這種方案目前在航空機(jī)載設(shè)備上應(yīng)用較多，但是汽車(chē)發(fā)動(dòng)機(jī)的ECU與航空設(shè)備不同，除了對(duì)發(fā)動(dòng)機(jī)控制有較強(qiáng)的可靠性要求外，還必須做到成本低廉．而上述方案雖然提高了系統(tǒng)的可靠性和可用性，但其中增加的硬件幾乎是單機(jī)的兩倍，這在汽車(chē)工業(yè)領(lǐng)域是不可接受的．

傳統(tǒng)的發(fā)動(dòng)機(jī)工作原理如圖2所示．噴油器高邊一般分為2個(gè)BANK，每個(gè)BANK各自負(fù)責(zé)3個(gè)缸的電流調(diào)制工作(也有部分ECU設(shè)計(jì)為了節(jié)省成本只用一個(gè)BANK實(shí)現(xiàn)電流調(diào)制工作)．高邊驅(qū)動(dòng)采用分時(shí)工作原理，也就是說(shuō)，考慮到發(fā)動(dòng)機(jī)工作時(shí)，每個(gè)缸不是同時(shí)工作的，因此，配合低邊驅(qū)動(dòng)的選缸信號(hào)，高邊驅(qū)動(dòng)不需要用與低邊6路驅(qū)動(dòng)對(duì)應(yīng)的6組高邊驅(qū)動(dòng)來(lái)完成，理論上講只需要1路即可．

圖2　傳統(tǒng)發(fā)動(dòng)機(jī)控制單元示意圖

圖2中虛線部分是傳統(tǒng)的ECU對(duì)電控噴油器的驅(qū)動(dòng)電路．進(jìn)一步的示意如圖3所示．由圖3可以看出，在傳統(tǒng)的電控噴油器驅(qū)動(dòng)控制方案中大多數(shù)采用專用芯片完成對(duì)噴油器的驅(qū)動(dòng)．

圖3　傳統(tǒng)噴油器驅(qū)動(dòng)模式

這樣的專用芯片有Freescale的MC33816，德國(guó)BOSCH的CY220及CY335等．這些專用芯片功能強(qiáng)大，不僅能針對(duì)噴油器的特點(diǎn)選擇合適的驅(qū)動(dòng)電流波形，而且有較強(qiáng)的故障診斷能力．但是，用這種專用芯片設(shè)計(jì)的電路實(shí)現(xiàn)的噴油驅(qū)動(dòng)使高邊驅(qū)動(dòng)分別各自負(fù)責(zé)兩個(gè)BANK的工作，一旦其中的一個(gè)BANK出現(xiàn)了故障，這個(gè)BANK所對(duì)應(yīng)的幾個(gè)缸就無(wú)法正常工作，整個(gè)系統(tǒng)工作就會(huì)因此而失效．

因此，為了提高整個(gè)ECU的工作可靠性及可用性，本文提出一種新的硬件設(shè)計(jì)方案，只需要在硬件上稍做改動(dòng)，并通過(guò)相應(yīng)的軟件調(diào)整，就能避免大量增加冗余硬件，使兩個(gè)BANK不僅可以分時(shí)協(xié)同驅(qū)動(dòng)噴油器工作，而且還能各自作為獨(dú)立的冗余單元工作，使得任意一個(gè)BANK的高邊電路出現(xiàn)故障時(shí)，系統(tǒng)也能靈活切換到另外一個(gè)冗余BANK繼續(xù)工作．

2硬件設(shè)計(jì)方案與工作原理

2.1硬件設(shè)計(jì)方案

根據(jù)上述設(shè)計(jì)目標(biāo)，MCU主控板平臺(tái)結(jié)構(gòu)如圖2所示，主控機(jī)系統(tǒng)核心處理器采用的是Freescale公司的微處理器系列MPC56xx[6]．MPC56xx系列微處理器是Freescale公司與ST公司基于Power Architecture技術(shù)的32位Qorivva微控制器的設(shè)計(jì)應(yīng)用．Freescale公司Qorivva MCU系列器件采用功能較強(qiáng)大的高性能e200z7系列內(nèi)核架構(gòu)，從單核到多核解決方案有廣闊的產(chǎn)品線可滿足各種汽車(chē)應(yīng)用需求．同時(shí)，該系列MCU通過(guò)系統(tǒng)架構(gòu)的一致性、更高的集成能力以及軟件和工具的重用性降低了開(kāi)發(fā)成本．本文采用的是這個(gè)系列的一款雙核處理器MPC5676L微控制器，它是一個(gè)專門(mén)針對(duì)汽車(chē)發(fā)動(dòng)機(jī)及動(dòng)力總成控制的符合ISO26262安全標(biāo)準(zhǔn)的雙核專用芯片．Freescale公司針對(duì)要求嚴(yán)格的汽車(chē)電子動(dòng)力總成等方面安全應(yīng)用，推出了符合ASILD的安全標(biāo)準(zhǔn)，同時(shí)在硬件中加入關(guān)鍵安全組件和自測(cè)功能，有效降低了軟件的復(fù)雜程度．本文采用的汽車(chē)級(jí)雙核微控制器MPC5676L，采用32位數(shù)據(jù)總線與地址總線．這種雙核單片機(jī)與用兩個(gè)獨(dú)立的單片機(jī)作為冗余備份的方法相比，更具成本低與可靠性高的特點(diǎn)[7]．

本文提出的系統(tǒng)設(shè)計(jì)目標(biāo)是在不顯著增加硬件成本的基礎(chǔ)上，以最簡(jiǎn)潔的方法實(shí)現(xiàn)一個(gè)汽車(chē)發(fā)動(dòng)機(jī)燃油嵌入式容錯(cuò)管理控制系統(tǒng)．因此，在圖1所示方案的基礎(chǔ)上，提出了一種新型的雙機(jī)熱備份冗余控制模型，如圖4所示．在本控制模型中，針對(duì)發(fā)動(dòng)機(jī)ECU噴油驅(qū)動(dòng)失效問(wèn)題，巧妙地利用發(fā)動(dòng)機(jī)噴油器高邊電路分時(shí)驅(qū)動(dòng)工作的原理，做了進(jìn)一步的軟件與硬件協(xié)同優(yōu)化與改進(jìn)，并將其中的雙處理器部分與仲裁檢測(cè)電路部分通過(guò)軟件來(lái)實(shí)現(xiàn)，從而節(jié)省了大量的硬件資源．圖4是一個(gè)噴油驅(qū)動(dòng)硬件電路優(yōu)化之后的發(fā)動(dòng)機(jī)ECU的工作原理示意圖．

圖4　雙機(jī)熱備份ECU工作原理

圖4所示的軟硬件協(xié)同優(yōu)化設(shè)計(jì)的雙機(jī)熱備份冗余系統(tǒng)模型主要包括硬件驅(qū)動(dòng)電路、電流異常故障診斷管理、仲裁邏輯設(shè)計(jì)等．系統(tǒng)的主要功能包括高低邊驅(qū)動(dòng)電流的采集，系統(tǒng)回路的基本狀態(tài)自診斷(自測(cè)試)邏輯，系統(tǒng)提供低邊開(kāi)關(guān)單點(diǎn)故障容錯(cuò)、高邊驅(qū)動(dòng)實(shí)現(xiàn)雙機(jī)熱切換等．在電路方面的優(yōu)化主要體現(xiàn)在將傳統(tǒng)的驅(qū)動(dòng)方式中BANK1與BANK2兩路通過(guò)大電流續(xù)流二極管相連，這樣改進(jìn)后的驅(qū)動(dòng)電路實(shí)際上并沒(méi)有直接增加另外兩個(gè)可以熱備份的BANK1′和BANK2′，而只是將原有的兩個(gè)只能負(fù)責(zé)各自3個(gè)缸的BANK設(shè)計(jì)成每個(gè)BANK都可以獨(dú)立控制所有這6個(gè)缸，這就相當(dāng)于將原來(lái)的BANK1與BANK2分成了A、B兩路獨(dú)立的驅(qū)動(dòng)，除了可以在軟件的協(xié)同下像以前一樣各自控制3個(gè)缸，聯(lián)合一起控制6個(gè)缸工作以外，還可以讓高邊驅(qū)動(dòng)A(BANK1)與高邊驅(qū)動(dòng)B(BANK2) 分別單獨(dú)驅(qū)動(dòng)6個(gè)缸工作．

將圖1中的計(jì)算機(jī)部分用一個(gè)雙核的CPU代替．同時(shí)，考慮到系統(tǒng)的成本以及硬件的復(fù)雜度，將圖1方案中的仲裁檢測(cè)電路與診斷部分也通過(guò)軟件模塊來(lái)實(shí)施．通過(guò)這樣的軟硬件協(xié)同優(yōu)化設(shè)計(jì)，系統(tǒng)在成本與可靠性之間取得一定的平衡，在原有的系統(tǒng)基礎(chǔ)上，幾乎沒(méi)有新的硬件成本的增加，實(shí)現(xiàn)了雙機(jī)冗余系統(tǒng)的可靠性．

2.2雙路容錯(cuò)ECU系統(tǒng)工作原理

如圖4所示，正常工作情況下，系統(tǒng)采用雙機(jī)工作模式，高邊驅(qū)動(dòng)B路負(fù)責(zé)1、2、3三個(gè)缸的工作，高邊驅(qū)動(dòng)A路負(fù)責(zé)4、5、6三個(gè)缸的工作．系統(tǒng)結(jié)構(gòu)工作原理如圖5所示．在本系統(tǒng)中，系統(tǒng)可以在3種模式下工作：正常工作態(tài)、故障態(tài)A和故障態(tài)B．

正常工作態(tài)下，系統(tǒng)將高邊驅(qū)動(dòng)分為A、B兩個(gè)組，輪流控制系統(tǒng)的6個(gè)缸．A組高邊有一個(gè)10 mΩ高精度的采樣電阻，將高邊驅(qū)動(dòng)電流轉(zhuǎn)換成電壓，經(jīng)差分放大與調(diào)理，然后送入MPC5676L的模數(shù)轉(zhuǎn)換模塊，可以作為電流反饋控制與短路保護(hù)依據(jù)之一．B組高邊也用同樣大小的檢測(cè)電路．低邊驅(qū)動(dòng)電路也是同樣分為兩個(gè)10 mΩ采樣電阻，如前文所述，本文采用與傳統(tǒng)做法不同的是，不是將A、B兩個(gè)模塊分開(kāi)，而是將其進(jìn)行并聯(lián)(為防止電流倒流，分別在兩路增加了功率二極管D1和D2)，這樣A、B兩個(gè)模塊都能單獨(dú)控制6個(gè)缸工作，不需要增加額外的硬件就能實(shí)現(xiàn)硬件冗余．如圖4所示，為了表述方便，將系統(tǒng)按1~6缸依次排列．

正常狀態(tài)下的工作時(shí)序，按照通常的發(fā)動(dòng)機(jī)噴油順序應(yīng)該是1-5-3-6-2-4(6缸機(jī))．其電流驅(qū)動(dòng)順序與噴油過(guò)程為第1缸噴油過(guò)程：高邊驅(qū)動(dòng)B打開(kāi)，負(fù)責(zé)完成噴油驅(qū)動(dòng)電流波形的調(diào)制，同時(shí)，低邊驅(qū)動(dòng)1打開(kāi)，其他低邊驅(qū)動(dòng)關(guān)閉，這時(shí)電流從B到1號(hào)噴油器通過(guò)，1缸開(kāi)始噴油．第5缸噴油過(guò)程：當(dāng)高邊驅(qū)動(dòng)A打開(kāi)，負(fù)責(zé)完成另一缸噴油驅(qū)動(dòng)電流波形的調(diào)制時(shí)，低邊驅(qū)動(dòng)5打開(kāi)，其他低邊驅(qū)動(dòng)均關(guān)閉，這時(shí)電流從A到5號(hào)噴油器通過(guò)，第5缸開(kāi)始噴油．第3缸噴油過(guò)程：當(dāng)準(zhǔn)備第3缸噴油器打開(kāi)的時(shí)候，由軟件系統(tǒng)關(guān)閉高邊驅(qū)動(dòng)A，然后用B路高邊驅(qū)動(dòng)完成噴油驅(qū)動(dòng)波形的調(diào)制，低邊驅(qū)動(dòng)3打開(kāi)完成選缸，電流從高邊驅(qū)動(dòng)B經(jīng)過(guò)3號(hào)噴油器，流經(jīng)低邊驅(qū)動(dòng)3，完成3缸噴油．其他6、2、4等各缸工作原理類似，如此，A、B兩模塊共同驅(qū)動(dòng)，完成發(fā)動(dòng)機(jī)1-5-3-6-2-4一個(gè)正常驅(qū)動(dòng)的發(fā)動(dòng)機(jī)工作循環(huán)的噴油過(guò)程．

當(dāng)系統(tǒng)監(jiān)測(cè)到B路故障的時(shí)候(用高邊檢測(cè)的電流與低邊檢測(cè)的電流作比較，可以很清楚地診斷出系統(tǒng)低邊某選缸信號(hào)是短路還是開(kāi)路故障，或是高邊驅(qū)動(dòng)出現(xiàn)故障)，系統(tǒng)自動(dòng)關(guān)閉B路輸出，切換為由A路系統(tǒng)獨(dú)立工作．由于原來(lái)B路與A路的輸出并聯(lián)，此時(shí)A路高邊調(diào)制信號(hào)除了驅(qū)動(dòng)原來(lái)的4、5、6缸以外，還接替原來(lái)B路的1、2、3缸的高邊調(diào)制工作，從而依然可以保持驅(qū)動(dòng)6個(gè)缸正常工作．

同理，當(dāng)系統(tǒng)檢測(cè)到A路故障的時(shí)候，系統(tǒng)切斷A路高邊開(kāi)關(guān)，由B路高邊開(kāi)關(guān)進(jìn)行噴油調(diào)制信號(hào)的處理，此時(shí)B路開(kāi)關(guān)調(diào)制信號(hào)除了驅(qū)動(dòng)原來(lái)的1、2、3缸以外，還要按照正常時(shí)序接替原來(lái)A路的4、5、6缸的高邊調(diào)制工作，從而依然能保持驅(qū)動(dòng)6個(gè)缸正常工作．

3軟件設(shè)計(jì)方案與工作原理

3.1軟件設(shè)計(jì)方案

與硬件可靠性設(shè)計(jì)中的冗余技術(shù)相對(duì)應(yīng)，軟件系統(tǒng)的可靠性也有類似的方法．由前面所述，硬件冗余技術(shù)主要通過(guò)對(duì)重要部件及易損部件提供多重備份實(shí)現(xiàn)容錯(cuò)，從而提高系統(tǒng)的可靠性[8]．而軟件冗余方法主要是利用系統(tǒng)中不同軟件模塊在功能上的多模塊冗余和多模塊獨(dú)立，結(jié)合程序設(shè)計(jì)的解耦來(lái)提高整個(gè)控制系統(tǒng)的冗余度，從而改善系統(tǒng)的容錯(cuò)性能[9-12]．

本系統(tǒng)設(shè)計(jì)的高邊調(diào)制信號(hào)端有A和B兩路電流檢測(cè)，通過(guò)采樣電阻(本文采用10 mΩ高精度電阻)，將信號(hào)放大濾波等調(diào)理之后，送入MCU內(nèi)部的數(shù)模轉(zhuǎn)換模塊進(jìn)行模數(shù)轉(zhuǎn)換．低邊也有兩路高精度的電流檢測(cè)，同樣經(jīng)過(guò)信號(hào)變換濾波輸入數(shù)模轉(zhuǎn)換模塊進(jìn)行模數(shù)轉(zhuǎn)換．每一次噴油時(shí)刻，MCU就對(duì)當(dāng)前驅(qū)動(dòng)電流進(jìn)行采集，然后進(jìn)行綜合判斷．

通過(guò)對(duì)上面4組信號(hào)進(jìn)行采樣比較，對(duì)應(yīng)的故障狀態(tài)有高邊A路與地短路，高邊B路與地短路(或表現(xiàn)為電流過(guò)大，超過(guò)限制值)；高邊A路與電源開(kāi)路，高邊B路與電源開(kāi)路(或表現(xiàn)為電流過(guò)小，超過(guò)限制值，以至于打不開(kāi)噴油器)；低邊選缸信號(hào)(1～6缸)與地開(kāi)路；低邊選缸信號(hào)(1～6缸)與電源短路(或電流過(guò)小，超過(guò)限制值，以至于打不開(kāi)噴油器)．

仲裁與切換是在上述電流異常情況下，綜合考慮當(dāng)前大氣壓力、進(jìn)氣流量、發(fā)動(dòng)機(jī)轉(zhuǎn)速及水溫等多種因素之后，確定完成故障處理措施，決定選擇何種單機(jī)工作模式，保證雙機(jī)熱備份系統(tǒng)的正常工作及出錯(cuò)板極切換，對(duì)系統(tǒng)做故障燈指示，對(duì)發(fā)動(dòng)機(jī)做降功率處理．

3.2軟件系統(tǒng)工作原理

文獻(xiàn)[9]對(duì)軟件可靠性有較清晰的分析．軟件系統(tǒng)的可靠性與硬件系統(tǒng)的可靠性不一樣，軟件系統(tǒng)可靠性只與軟件設(shè)計(jì)質(zhì)量有關(guān)．硬件系統(tǒng)可靠性除了包含硬件設(shè)計(jì)質(zhì)量以外，還要包括硬件的物理性質(zhì)及硬件本身老化衰敗對(duì)系統(tǒng)可靠性產(chǎn)生的影響．由此可見(jiàn)，軟件可靠性與硬件可靠性相比，它對(duì)于設(shè)計(jì)的依賴程度更大一些．另外，在通常情況下，軟件可靠性設(shè)計(jì)準(zhǔn)則是由軟件開(kāi)發(fā)流程與軟件代碼的質(zhì)量來(lái)確定的，軟件開(kāi)發(fā)流程的目的是用來(lái)指導(dǎo)和規(guī)范設(shè)計(jì)人員，給他們提供統(tǒng)一標(biāo)準(zhǔn)的設(shè)計(jì)依據(jù)[10-11]．

本文的軟件開(kāi)發(fā)是基于模型的開(kāi)發(fā)方式，利用Matlab/Simulink強(qiáng)大的建模與仿真能力，以及Simulink下的自動(dòng)代碼生成工具Embedded coder將代碼生成嵌入式C代碼，與底層手動(dòng)編寫(xiě)的基礎(chǔ)軟件在Codewarrior環(huán)境下集成編譯下載．為了便于模型測(cè)試與代碼集成，采用手動(dòng)編寫(xiě)的仲裁邏輯．從可靠性考慮，本文將A/B協(xié)同工作模塊、A路單機(jī)工作模塊、B路單機(jī)工作模塊等部分分別單獨(dú)開(kāi)發(fā)，每個(gè)模塊都可以獨(dú)立工作，代碼以S-Function方式加入到Simulink模型中，實(shí)現(xiàn)了軟件驅(qū)動(dòng)的冗余控制，如圖6所示．

在軟件的可靠性設(shè)計(jì)方面，主要是利用了模塊化冗余設(shè)計(jì)思想．將A/B協(xié)同工作、A通道工作、B通道工作分別寫(xiě)成3個(gè)軟件模塊，共享一組數(shù)據(jù)．同時(shí)還有針對(duì)發(fā)動(dòng)機(jī)保護(hù)的余量設(shè)計(jì)．

圖6　軟件冗余架構(gòu)

由圖6可見(jiàn)，系統(tǒng)底層分別將A通道和B通道的高低邊電流采樣值(變量HS_CurrentA表示A路高邊電流，變量LS_CurrentA表示A路低邊電流，變量HS_CurrentB表示B路高邊電流，變量LS_CurrentB表示B路低邊電流)送入Debunce 模塊進(jìn)行確認(rèn)，Debunce模塊的兩個(gè)極限值用兩個(gè)標(biāo)定變量表示，用戶可以根據(jù)實(shí)際情況靈活定義．經(jīng)Debunce模塊處理確定后，傳遞給仲裁模塊．如圖4所示，針對(duì)3種工作模式分別設(shè)計(jì)了3個(gè)模塊，系統(tǒng)正常工作時(shí)，也就是系統(tǒng)默認(rèn)的值為A/B協(xié)同工作，并將工作狀態(tài)參數(shù)3傳遞給變量InjCtl_stOfDriver(驅(qū)動(dòng)電路狀態(tài)變量)，表明系統(tǒng)處于正常工作狀態(tài)．當(dāng)仲裁模塊判斷A通道出故障時(shí)，仲裁輸出值為1，這時(shí)系統(tǒng)切換到B模塊工作，同時(shí)工作狀態(tài)參數(shù)1傳遞給變量InjCtl_stOfDriver，表明系統(tǒng)處于單機(jī)B工作狀態(tài)，需要通過(guò)故障燈指示維修，以及功率限制模塊限制發(fā)動(dòng)機(jī)的功率輸出；同理，當(dāng)仲裁模塊判斷B通道出故障時(shí)，仲裁輸出值為2，這時(shí)系統(tǒng)切換到A模塊工作，同時(shí)工作狀態(tài)參數(shù)2傳遞給變量InjCtl_stOfDriver，表明系統(tǒng)處于單機(jī)A工作狀態(tài)，需要通過(guò)故障燈指示維修，以及功率限制模塊限制發(fā)動(dòng)機(jī)的功率輸出．

3.3系統(tǒng)可靠性分析

系統(tǒng)可靠性是指被分析對(duì)象所具有的在一段時(shí)間內(nèi)，在給定條件下，完成指定功能的特征．也即被定義為在特定時(shí)間周期內(nèi)實(shí)現(xiàn)預(yù)期功能的能力．為了便于衡量和研究系統(tǒng)可靠性，首先定義與可靠性函數(shù)相關(guān)的幾個(gè)概念[12-13]．

定義1 無(wú)故障時(shí)間(time to failure)，研究大量單元數(shù)目(i=1，2，3，…，N)，觀測(cè)單元i能正常工作的期間內(nèi)的時(shí)間Ti，稱為觀測(cè)單元i的無(wú)故障時(shí)間．

依據(jù)大數(shù)定理，當(dāng)N0取無(wú)窮大時(shí)，故障發(fā)生的頻率就可以看成故障概率F(t)．相對(duì)應(yīng)地，故障發(fā)生的概率的補(bǔ)集R(t)=1-F(t)就是經(jīng)驗(yàn)可靠性函數(shù)．因此，R(t)就是觀測(cè)單元在0~t時(shí)間間隔期間處于能夠正常工作的概率[12]．

在中重型的發(fā)動(dòng)機(jī)控制系統(tǒng)正式裝車(chē)前，一般要求系統(tǒng)具有2 000 h的可靠性實(shí)驗(yàn)．對(duì)ECU器件的無(wú)故障時(shí)間要求是2 000 h，因此，其可靠性R(t)=1-F(t)=1-0.000 5=99.95%．

利用本文提出的方案，系統(tǒng)的可靠性R(t)=1-0.000 25= 99.975%，由此可見(jiàn)，本文所提出的系統(tǒng)采用雙機(jī)冗余備份的方案，系統(tǒng)只多增加了一路低邊采樣電阻，與單路高邊調(diào)制ECU方案相比，只部分增加了一路驅(qū)動(dòng)(注：當(dāng)前很多中重型ECU高邊驅(qū)動(dòng)被設(shè)計(jì)成兩路，分時(shí)控制兩個(gè)BANK，與這種方案相比，本系統(tǒng)高邊部分沒(méi)有增加硬件成本，只需要高邊驅(qū)動(dòng)MOSFET適當(dāng)提高功率參數(shù)即可)．相對(duì)于整個(gè)ECU而言，硬件成本只增加不到2%，系統(tǒng)的可靠性明顯提高，從而顯著提高了系統(tǒng)的可用性．

4實(shí)驗(yàn)

根據(jù)本文所提出的設(shè)計(jì)思想，設(shè)計(jì)了一款高可靠性ECU，如圖7所示．接插件采用Tyco公司生產(chǎn)的型號(hào)為284617的端子，該接口與德國(guó)BOSCH公司的EDC17C35針腳一致．在硬件設(shè)計(jì)時(shí)，將電源、傳感器、執(zhí)行器的針腳定義也盡量與該型號(hào)ECU兼容，以便可以直接替換ECU．

在實(shí)驗(yàn)中分兩個(gè)方面進(jìn)行驗(yàn)證．一方面，在實(shí)際油量測(cè)試臺(tái)與發(fā)動(dòng)機(jī)臺(tái)架測(cè)試．首先在裝有BOSCH原裝噴油器的冷拖實(shí)驗(yàn)臺(tái)上進(jìn)行了2 000 h 的冷拖實(shí)驗(yàn)．冷拖實(shí)驗(yàn)完成之后，將同一ECU安裝在1臺(tái)裝有BOSCH共軌燃油系統(tǒng)的某重型發(fā)動(dòng)機(jī)上進(jìn)行2 000 h的熱機(jī)可靠性測(cè)試．實(shí)驗(yàn)結(jié)果表明，該ECU完全滿足設(shè)計(jì)要求．

另一方面，將本文所設(shè)計(jì)的ECU在自行研制的可靠性模擬實(shí)驗(yàn)臺(tái)上進(jìn)行半物理仿真測(cè)試．實(shí)驗(yàn)中，分別人為制造出A路高邊驅(qū)動(dòng)和B路高邊驅(qū)動(dòng)短路及開(kāi)路系統(tǒng)故障，結(jié)果表明，在這兩路高邊分別出現(xiàn)故障態(tài)時(shí)，系統(tǒng)檢測(cè)到故障并能順利切換到備用通道工作，達(dá)到了預(yù)期的設(shè)計(jì)目標(biāo)．同時(shí)，為了更進(jìn)一步對(duì)小批ECU進(jìn)行可靠性測(cè)試，在可靠性模擬實(shí)驗(yàn)臺(tái)上設(shè)計(jì)了多組發(fā)動(dòng)機(jī)信號(hào)模擬器，可以同時(shí)模擬出多個(gè)發(fā)動(dòng)機(jī)曲軸(60-2齒)磁電轉(zhuǎn)速信號(hào)和凸輪(6+1齒)霍爾相位信號(hào)，按照某重型發(fā)動(dòng)機(jī)(配BOSCH的原裝燃油系統(tǒng)和控制系統(tǒng))的極限工作工況，設(shè)置每工作循環(huán)3次噴射(預(yù)噴+主噴+后噴)，驅(qū)動(dòng)負(fù)載采用某國(guó)產(chǎn)電控噴油器實(shí)物進(jìn)行模擬噴油測(cè)試．對(duì)10套新型ECU進(jìn)行全速全負(fù)荷運(yùn)行4 000 h的模擬實(shí)驗(yàn)，結(jié)果表明系統(tǒng)的穩(wěn)定性較傳統(tǒng)設(shè)計(jì)的電控單元有明顯提高．驗(yàn)證結(jié)果進(jìn)一步表明，本文設(shè)計(jì)的ECU可靠性完全達(dá)到了預(yù)期的容錯(cuò)功能．

圖7　高可靠性ECU電路板

5結(jié)語(yǔ)

初步實(shí)驗(yàn)結(jié)果表明，本文所設(shè)計(jì)的電控單元具有系統(tǒng)可靠性高、通用性強(qiáng)、成本低等優(yōu)點(diǎn)，有很強(qiáng)的實(shí)用性和市場(chǎng)推廣價(jià)值．目前，該系統(tǒng)已在基于汽車(chē)電子嵌入式安全實(shí)時(shí)操作系統(tǒng)OSEK Turbo的支持下，開(kāi)發(fā)完成上層應(yīng)用軟件的主體控制軟件，正在進(jìn)行整車(chē)標(biāo)定實(shí)驗(yàn)，隨后將進(jìn)一步進(jìn)行批量整車(chē)的驗(yàn)證工作．

參考文獻(xiàn)：

[1]周東華. 容錯(cuò)控制理論及其應(yīng)用[J]. 自動(dòng)化學(xué)報(bào), 2000, 26(6):788-797.

ZHOU Dong-hua. Theory and applications of fault tolerant control [J]. Acta Automatica Sinica, 2000, 26(6):788-797. (in Chinese)

[2]Wensley J H, Lamport L, Goldberg J,etal. SIFT:Design and analysis of a fault-tolerant computer for aircraft control [J]. Proceedings of the IEEE, 1978, 66(10):1240-1255.

[3]Hopkins Jr A L, Smith Ⅲ T B, Lala J H. FTMP - A highly reliable fault-tolerant multiprocessor for aircraft [J]. Proceedings of the IEEE, 1978, 66(10):1221.

[4]Kim K H. Issues insufficiently resolved in century 20 in the fault-tolerant distributed computing field [J]. Proceedings of the IEEE Symposium on Reliability Distributed Systems, 2000:106-115.

[5]熊 建,熊光澤. 一種高可信賴測(cè)控計(jì)算機(jī)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)測(cè)量與控制, 2005(7):671-673, 695.

XIONG Jian, XIONG Guang-ze. Design and realization of a highly reliable measuring and control computer [J]. Computer Measurement & Control, 2005(7):671-673, 695. (in Chinese)

[6]Freescale Semiconductor, Inc.. MPC5676L User′s Manual and Datasheet [M]. Austin:Freescale Semiconductor, Inc., 2012.

[7]衡軍山,甄成剛. 基于軟件的雙CPU冗余控制研究[J]. 微計(jì)算機(jī)信息, 2005, 21(7):59-61.

HENG Jun-shan, ZHEN Cheng-gang. Research on CPU redundancy control based on software [J]. Microcomputer Information, 2005, 21(7):59-61. (in Chinese)

[8]陳 宇. 高可靠容錯(cuò)實(shí)時(shí)系統(tǒng)的支撐技術(shù)研究[D]. 成都:電子科技大學(xué), 2002.

CHEN Yu. Research on supporting techniques for high-reliable fault tolerant real time systems [D]. Chengdu:University of Electronic Science and Technology of China, 2002. (in Chinese)

[9]劉 邏. 軟件可靠性設(shè)計(jì)技術(shù)應(yīng)用研究[D]. 長(zhǎng)春:中國(guó)科學(xué)院長(zhǎng)春光學(xué)精密機(jī)械與物理研究所, 2013.

LIU Luo. Study on the application of software reliability design technology [D]. Changchun:Changchun Institute of Optics, Fine Mechanics and Physics, Chinese Academy of Sciences, 2013. (in Chinese)

[10]張治生,陳懷民,吳成富,等. 小型無(wú)人機(jī)飛控系統(tǒng)軟件可靠性設(shè)計(jì)與建模研究[J]. 計(jì)算機(jī)測(cè)量與控制, 2011, 19(6):1489-1492.

ZHANG Zhi-sheng, CHEN Huai-min, WU Cheng-fu,etal. Research of software reliability designing and modeling of flight control system of SUAV [J]. Computer Measurement & Control, 2011, 19(6):1489-1492. (in Chinese)

[11]陸志肖,聶永昱,謝劍斌,等. 軟件可靠性設(shè)計(jì)在機(jī)電管理系統(tǒng)軟件中的應(yīng)用[J]. 直升機(jī)技術(shù), 2010(3):53-58.

LU Zhi-xiao, NIE Yong-yu, XIE Jian-bin,etal. The application of the soft reliability design on the UMS′s soft [J]. Helicopter Technique, 2010(3):53-58. (in Chinese)

[12]紹弗勒 J. 汽車(chē)軟件工程——原理、過(guò)程、方法、工具[M]. 張聚, 等譯. 北京:電子工業(yè)出版社, 2008.

Schauffele J. Automotive Software Engineering Principles, Processes, Methods, and Tools [M]. ZHANG Ju,etal. trans. Beijing:Publishing House of Electronics Industry, 2008. (in Chinese)

[13]Birolini A. Reliability Engineering — Theory and Practice [M]. 3rd ed. New York:Springer, 1999.

A highly reliable ECU of common rail diesel engine

XIONGJian,GUHong*

( School of Control Science and Engineering, Dalian University of Technology, Dalian 116024, China )

Abstract：The electronic control unit (ECU) of diesel engine is a key module of the vehicle. It requires not only the high reliability but also the low cost. Firstly, the failure mode of ECU is analyzed briefly. Then, based on the theory of airborne computer fault-tolerant control system and co-design method of software and hardware, a kind of highly reliable ECU of common rail diesel engine is designed and implemented. The experimental results show that this ECU can not only improve the reliability of system effectively, but also has the advantages of low cost and high availability.

Key words：electronic control unit(ECU); hardware fault tolerance; duplicate hot standby; arbitration logic; common rail engine

作者簡(jiǎn)介:熊 建(1974-)，男，博士生，E-mail:cd_xj@163.com；顧 宏*(1961-)，男，教授，博士生導(dǎo)師，E-mail:guhong@dlut.edu.cn.

基金項(xiàng)目:國(guó)家自然科學(xué)基金資助項(xiàng)目(61305034)；高等學(xué)校博士學(xué)科點(diǎn)專項(xiàng)科研基金資助項(xiàng)目(20120041110008).

收稿日期：2015-07-15；修回日期: 2015-11-18．

中圖分類號(hào)：U464.136

文獻(xiàn)標(biāo)識(shí)碼：A

doi:10.7511/dllgxb201601009

文章編號(hào)：1000-8608(2016)01-0056-08