基于EGAS監控概念的高壓共軌柴油機控制器功能安全實現

覃艷 衛文晉 紀小娟 叢聰

摘要：為將汽車電子、電氣系統失效的危害控制在可接受范圍內，實現高壓共軌柴油發動機控制器功能安全，按照ISO 26262的開發流程，圍繞發動機控制器進行相關項分析；通過危害分析和風險評估確定安全目標預防非預期加速，其安全完整性等級為B級；通過功能安全概念分析確定功能安全需求為轉矩監控；在技術安全概念階段，采用EGAS 3級監控概念將轉矩監控需求進一步細化并實現安全完整性等級的分解；設計基于TC29x芯片的控制器功能安全實現方案。采用MATLAB/Simulink搭建策略模型，進行故障注入測試。結果表明，該監控策略能有效地識別輸入軸轉速過高的故障，并立即做出響應，有效降低了人身傷害的風險。

關鍵詞：ISO 26262；高壓共軌柴油發動機；轉矩監控；TC29x

中圖分類號： U463.6文獻標志碼：A文章編號：1673-6397（2023）01-0065-07

引用格式：覃艷，衛文晉，紀小娟，等. 基于EGAS監控概念的高壓共軌柴油機控制器功能安全實現［J］.內燃機與動力裝置，2023，40（1）：65-71.

QIN Yan，WEI Wenjin，JI Xiaojuan，et al. Functional safety implementation of highpressure common rail diesel engine control unit based on EGAS monitoring concept［J］.Internal Combustion Engine & Powerplant，2023，40（1）：65-71.

0引言

安全性是汽車研發過程的關鍵要素之一。由于高壓共軌柴油機電控系統的復雜性，各種傳感器和執行器經常處于高溫、強電磁干擾的惡劣工作環境中，可能出現由于控制器接收到錯誤信號、軟件邏輯計算過程出現內存崩潰或者指令執行錯誤而產生違背需求的控制信號等異常情況，這些異常情況在某些場景中會對人的生命安全造成危害[1]。為提高汽車電子、電氣產品功能安全，國際標準化組織（international organization for standardization，ISO）分別于2011年、2018年頒布了文獻[2-3]。文獻[3]主要定位于汽車的電氣器件、電子設備、可編程電子器件等部件，且不再僅限于文獻[2]規定的質量為3.5 t以下的乘用車，將卡車、公共汽車、摩托車、重型乘用車、全掛車及半掛車也納入標準應用范圍，新增摩托車危害分析和風險評估、半導體應用指南等。

近年來，越來越多的整車廠開始重視功能安全，各大芯片廠商相繼為功能安全芯片推出了商業化的軟件包，如英飛凌公司為AURIX 系列單片機提供的功能安全測試庫SafeTlib，可簡化開發工作，加速功能安全產品化進程[4-6]。

雖然文獻[3]為道路車輛功能安全的實現提供了一套完整的流程、方法論及技術指導，但由于該標準體系龐大、復雜，難以實施落地。奧迪、寶馬、戴姆勒、保時捷、大眾等公司共同撰寫發布了文獻[7]（簡稱為EGAS監控概念），為發動機電子控制單元（electronic control unit，ECU）等控制器的開發明確基本原則，提出開發指南。EGAS監控概念涵蓋文獻[3]的相關項定義、危害分析和風險評估、功能安全概念及技術安全概念（technical safety concept，TSC），TSC中提出的3級監控架構已得到廣泛的認可和應用，是一種符合文獻[3]要求的功能安全技術解決方案，可用于發動機控制器軟、硬件的設計開發。本文中依照文獻[3]的開發流程，探討EGAS監控概念在高壓共軌柴油發動機控制器多核芯片功能安全實現中的應用。

1概念階段

1.1相關項定義

概念階段是后續功能安全開發活動的基礎。功能安全概念設計的第一階段為相關項定義，該階段應對整車層面的相關項進行定義并描述其功能，圖1柴油機電控系統基本框圖此外還需描述某相關項與駕駛員、環境及其他相關項之間的依賴和交互接口[8]。對于配有高壓共軌柴油發動機的乘用車，發動機是車輛轉矩的唯一來源，直接與驅動輪相連并由ECU控制，ECU結合當前工況的發動機轉速、共軌管壓力、燃油溫度等，將駕駛員的駕駛需求即加速踏板傳感器信號，經過轉矩計算轉換為噴油量，ECU通過噴油器的加電時間控制噴油量。除加速踏板傳感器信號外，剎車、巡航控制開關、來自其他控制器的轉矩請求都影響最終需求的轉矩。柴油機電控系統基本框圖如圖1所示。

1.2危害分析和風險評估

相關項定義完成后，應對引起相關項故障的危害事件進行識別與分類，制定預防危害事件發生或減輕危害程度的安全目標及其安全完整性等級（automotive safety integrity level，ASIL），這一過程稱為危害分析和風險評估[9]。

文獻[3]將ASIL分為QM、A、B、C、D 5個等級，QM指只需遵循標準的質量管理（quality manage）流程，無需額外的安全措施。決定ASIL的3個要素分別為嚴重度SX、暴露率EY和可控性CZ，其中：X=0、1、2、3，S0為無傷害，S3為傷害程度最嚴重；Y=0、1、2、3、4，E0為幾乎不可能暴露于危險中，E4為暴露于危險的可能性極高；Z=0、1、2、3，C0為完全可控，C3為幾乎不可控。X、Y、Z中有一個為0或X+Y+Z＜7，則AISL為QM；X+Y+Z = 7、8、9、10時，ASIL分別為A、B、C、D。對于某一安全目標，系統達到的ASIL等級越高，避免不合理風險的能力就越高。

基于相關項定義，采用EGAS監控概念分析典型駕駛情景下的系統行為及其風險，確定系統安全目標是：預防非預期加速，安全完整性等級為ASIL B。根據安全目標，應對非預期加速行為進行檢測，并在適當的故障容錯時間內使車輛進入安全可控的狀態。

1.3功能安全概念

文獻[3]中從概念到軟件的安全需求分解過程如圖2所示。由圖2可知：安全目標、功能安全需求、技術安全需求、系統級安全需求及軟/硬件安全需求共5個層級的需求共同確保安全需求的完整性、追溯性及可實現性。安全目標是最頂層的安全需求。安全目標確定后，需要在功能安全概念階段，結合初步的系統架構設計，從安全目標提取功能安全需求并分配給相關的子系統。功能安全需求是符合安全目標的功能行為或降級的功能行為，包含相關故障的檢測和控制、為達到所需的故障容錯時間或減輕故障的影響而采取的系統級策略或措施。

由于非預期加速只能由轉矩定義或實現過程中的故障引起，即監控駕駛轉矩，或者監控車輛加速度，本文中選擇對駕駛轉矩進行監控[10]，為此，將安全需求分配給傳感器、執行器和ECU。EGAS監控概念中的安全框圖如圖3所示。采用雙踏板傳感器設計并對其信號路徑進行物理隔離，利用兩路冗余的傳感器信號實現可信性校驗；對執行器執行狀態進行實時監控；ECU檢測傳感器和執行器的故障，并對基本功能進行監控。

1.4技術安全概念

技術安全概念階段將功能安全需求細化為具體的技術安全需求，即安全機制，并基于具體的系統架構實現對技術安全需求的軟硬件分配[10]。

ASIL自上而下繼承，若不對其進行分解，傳感器、執行器、ECU都要按照ASIL B來開發。與基本功能相比，安全機制規模更小、復雜度更低，ASIL等級的分解有利于降低開發難度。ASIL分解應遵循免干擾的原則（freedom from interference，FFI），安全機制與基本功能應相互獨立，確保不存在共因失效；另外，ASIL的分解使得不同ASIL的功能并存于ECU中，應確保不存在級聯失效，即基本功能和ECU硬件的錯誤不影響安全機制。加入轉矩監控這一安全機制后，安全機制和基本功能構成冗余設計，共同滿足安全目標，因此，“預防非預期加速”這一安全目標等級ASIL B可分解為兩部分：原轉矩計算策略按照QM開發，記為QM（B）；轉矩監控策略按照ASIL B開發，記為ASIL B（B）。

將冗余的安全機制分配給足夠獨立的系統，是滿足FFI要求的效率最高的分配方式。EGAS提出3級監控概念，將不同ASIL的功能分解到3個不同的軟、硬件層級：Level2對Level1進行監控，確保Level1的基本功能正常；Level3對Level2的監控確保Level2的監控功能正常，另外，Level3還監控芯片級的硬件故障并提供獨立的故障響應。

至此，概念階段的活動都得以有效實施，高壓共軌柴油機ECU的3級功能安全架構得以確定：相關項定義識別出高壓共軌柴油機控制器的功能安全相關因素及其邊界；危害分析與風險評估得出了最頂層的安全需求，即安全目標——預防非預期加速（ASIL B）；功能安全概念由安全目標派生出轉矩監控需求——對功能安全相關的核心控制功能轉矩計算進行監控；在技術安全概念階段，轉矩監控需求進一步細化并通過ASIL的分解來降低開發成本，提高需求的可實現性。轉矩監控需求派生并細化自安全目標，因此，實現了轉矩監控需求，就實現了整個ECU的安全目標。

2高壓共軌柴油機控制器轉矩監控設計

2.1基于TC29x的EGAS 3級監控概念

英飛凌的AURIX系列32位單片機專用于滿足汽車行業對ECU功能安全的要求。TC29x單片機共3個Tricore內核，其中，主芯片CPU1帶鎖步核，且單片機自帶的硬件安全機制可以檢測不同的單點故障，極大減少工作量[6]。

基于TC29x的高壓共軌柴油機ECU轉矩監控設計EGAS 3級監控概念如圖4所示。

2.2功能級

Level1實現基本功能[QM（B）]，稱為功能級，位于主芯片CPU0上，包含需求轉矩的實現、傳感器信號的診斷和校驗、傳感器故障反應等發動機控制功能。

對與安全相關的傳感器信號進行診斷和信號范圍校驗是最基本的要求。對軌壓信號進行信號范圍校驗及梯度診斷，若檢測到故障則使用設定值作為當前軌壓信號的替代值跛行回家。而對雙路踏板傳感器信號，應分別對其進行信號范圍校驗，當其中一路信號范圍超上、下限時，采用另一路信號跛行回家；當兩路信號的差值超限時，取兩路信號中的最小值跛行回家；當已使用其中一路信號跛行回家而之后該路信號也檢測到超上、下限故障時，發動機進入怠速工況，檢測到傳感器供電故障也會觸發發動機進入怠速工況。

來自其他控制器的轉矩請求通常通過CAN線傳輸，應加入循環冗余校驗碼校驗進行數據保護，同時，ECU也應對解析后的信號進行可信性校驗。

2.3功能監控級

Level2為功能監控級[ASIL B（B）]，位于主芯片CPU1上，對Level1的轉矩計算進行監控并在故障狀況下觸發系統反應。轉矩監控策略如圖5所示。Level1轉矩計算使用的輸入信號也是Level2的輸入，進行需求轉矩冗余計算，計算結果與實際的發動機轉矩進行比較。實際發動機轉矩采用測量所得的噴油提前角、噴油器加電時間、噴油次數，結合軌壓、發動機轉速反向計算得到。若兩者不同，觸發獨立于Level1的故障反應。如果Level2無法觸發獨立的故障反應，則觸發Level1的故障反應并對Level1的故障反應進行監控，例如監控發動機轉速是否降至合理范圍等。

除轉矩監控外，Level2還應對Level1計算的噴油相關輸出參數進行監控，包括噴油提前角、噴油缸號及最大噴油次數，當有參數不在有效范圍之內時，說明Level1發生了故障。

當前主流高壓共軌柴油機ECU大多采用智能電磁閥驅動芯片來驅動噴油器：主芯片控制噴油觸發信號，驅動芯片根據配置參數調制驅動電流并通過串行外圍設備接口（serial peripheral interface，SPI） 向主芯片實時報告診斷信息。Level1應對診斷信息進行處理，Level2應測量噴油器的實際加電時間并與Level1設定值進行比較，防止Level1中存放噴油驅動參數的隨機存取存儲器（random access memory， RAM）發生位翻轉等錯誤，或者參數向驅動芯片傳遞過程中發生SPI傳輸錯誤而導致噴油實際執行與設定出現偏差。

2.4控制器監控級

Level3為控制器監控級（ASIL B（B）），位于主芯片CPU1和監控芯片上，監控芯片獨立于主芯片，通過與主芯片的問答通信測試控制器程序執行的正確性，發生錯誤以后，觸發獨立于主控制器的監控系統反應。

為檢測單點故障，主芯片TC29x需要激活并配置鎖步核、內存測試、內存保護等功能[4]。

1）鎖步核功能。根據EGAS監控概念，鎖步核功能可替代指令集測試，對于帶有鎖步核功能的主芯片CPU1，校驗核在物理上與主核獨立，較主核延遲2個時鐘周期且與主核執行完全相同的指令，通過比較兩核的輸出檢查軟件錯誤或其他瞬時錯誤。

2）內存測試功能。EGAS監控概念要求在每個駕駛循環發動機起動前對整個只讀存儲器（readonly memory，ROM）進行一次校驗，而對Level2和Level3相關的ROM和RAM進行周期性循環校驗；TC29x的存儲器測試模塊配置內存測試功能，自帶的錯誤檢測和糾正模塊能自動糾正1位的錯誤并檢測2位的錯誤。

3）內存保護功能。由于不同ASIL的軟件模塊并存于ECU中，為實現FFI，為QM和ASIL B軟件模塊劃分不同的內存空間，并通過內存保護單元進行配置，使不同ASIL的軟件模塊對各內存空間具備不同的訪問權限，QM軟件模塊無法改變ASIL B軟件模塊的代碼和數據，而ASIL B模塊可訪問QM模塊，實現不同ASIL的軟件模塊的協同工作，降低故障級聯的概率。

4）時鐘監控功能。時鐘監控的目的是檢測并通知時鐘異常，TC29x的時鐘控制模塊最多可監控6個時鐘源。

5）供電監控功能。單片機內部不同功能模塊的供電電壓源不同，TC29x的電源控制模塊提供對外部5 V、內部3.3 V、內部1.3 V供電等的過壓和欠壓監控，供電監控與時鐘監控都是為了避免出現共因失效。

單片機所支持的監控功能將檢測到的錯誤傳輸給錯誤收集和處理模塊SMU，SMU模塊將錯誤通知ERR信號發送給外部監控芯片，外部監控芯片觸發獨立于主芯片的故障反應，從而實現外部監控芯片對主芯片的監控。監控芯片采用功能安全電源芯片TLF35xxx，除可實現對芯片自身供電輸入、供電輸出（單片機供電、通訊專用供電、2路5 V傳感器供電）的過壓、欠壓、對地短路故障監控外，內嵌的窗口狗和功能狗可實現對主芯片的實時監控和程序流監控（AUTOSAR中稱之為邏輯監控）。

窗口狗將時間窗口分為開啟（open window，OW）和關閉（closed window，CW）2個階段，CW內不允許喂狗，喂狗必須在OW結束前；喂狗使OW結束，CW開啟；若在OW內無喂狗或在CW內喂狗，則窗口狗錯誤計數器會加2，并開啟一個新的OW；當錯誤計數器大于0時，正確的喂狗會使計數器減1。窗口狗不僅可以檢測實時任務是否超時，還可檢測任務執行間隔是否過快或過慢。

功能狗即問答通信。TLF35xxx向主芯片提出一個4位的問題，同時啟動一個從0開始計數的心跳計數器，主芯片的答案應包含4個響應，根據獲得的問題編號和響應編號采用偽隨機算法實時計算所得，于心跳周期結束（EGAS認為不能超過80 ms）前按順序將4個響應回復給TLF35xxx，即最后一個響應復位心跳計數器。響應錯誤或心跳計數器超時，則功能狗錯誤計數器加2。Level3對Level2的監控程序進行監控，確保程序按照正確的時序執行，監控結果作為答案的一部分回復給監控芯片，出現問題后監控芯片可發起獨立于主芯片的故障反應。

ERR信號、窗口狗和功能狗錯誤都會觸發監控芯片的安全狀態控制功能，TLF35xxx的安全狀態信號SS1/SS2拉低，與其關聯的安全相關驅動隨之關閉，以保護系統。

基于EGAS監控概念的高壓共軌柴油機控制器功能安全監控為包含功能級、功能監控級和控制器監控級在內的3級安全架構，其每層級均涉及到硬件設計（包含芯片選型）和軟件邏輯，軟硬件共同配合滿足需求。該安全架構合理精巧，具有較高的學習和應用價值，其中硬件-Level3（控制器監控級）可作為獨立于環境的安全要素應用于其他場景中，如電機驅動控制器等。

依照文獻[3]描述的各環節過程來評估產品的功能安全完善程度，評估交付產品的技術水平和工程化能力。采用MATLAB/Simulink搭建策略模型，進行故障注入測試，驗證系統設計、軟件設計與硬件設計有效性。測試結果表明，該監控策略能有效地識別輸入軸轉速過高的故障，并在故障發生時立即做出響應，有效降低了人身傷害的風險。

3結語

以工程項目為基礎，探討EGAS監控概念在高壓共軌柴油發動機控制器多核芯片功能安全實現中的應用。針對避免輸入軸轉速過高的“預防非預期加速”安全目標，采用3級監控方法，通過危害分析和風險評估確定安全目標預防非預期加速，其安全完整性等級為ASIL B；經過功能安全概念分析確定功能安全需求為轉矩監控；在技術安全概念階段，采用EGAS 3級監控概念將轉矩監控需求進一步細化并實現ASIL等級的分解；設計基于TC29x芯片的實現控制器功能安全實現方案。該設計解決了系統復雜化帶來的由電氣、電子系統故障導致的風險越來越高這一問題，提高了電控系統的安全性和可靠性。

隨著汽車行業智能駕駛技術的爆炸式發展，人們發現危害通常源自復雜系統和場景導致的非預期安全問題，因此在功能安全之外又出現了預期功能安全，另外，智能駕駛帶來的信息安全問題也日益凸顯。功能安全、預期功能安全與信息安全不是相互獨立的，三者融合必然會成為新的趨勢，整車廠和供應商需要建立起一套完整的安全體系，才能提供給用戶安全可靠的產品。

參考文獻：

[1]榮芩，吳曉東，許敏.基于ISO標準的道路車輛線控轉向系統的功能安全概念設計[J].汽車安全與節能學報，2018，9（3）： 250-257.

[2]International Organization for Standardization. Road vehicles： Functional safety：ISO 26262—2011[S].Geneva， Switzerland： ISO， 2011.

[3]International Organization for Standardization. Road vehicles： Functional safety： ISO 26262—2018[S].2nd ed. Geneva， Switzerland： ISO， 2018.

[4]王俊明，周宏偉.基于ISO 26262的車道保持輔助的功能安全概念設計[J].重慶交通大學學報（自然科學版），2019，38（3）： 135-142.

[5]MISHRA A， BAUMEISTER M.MCU實現汽車功能安全合規性[J].電子產品世界，2013，20（3）：22-24.

[6]Infineon Technologies AG. User′s Manual of TC29x Bstep 32bit Singlechip Microcontroller[M].V1.2. Munich， Germany： Infineon Technologies AG， 2014.

[7]EGAS Workgroup. Standardized EGAS Monitoring Concept for Gasoline and Diesel Engine Control Units[S].Version 6.0. Frankfurt， Germany： EGAS Workgroup， 2015.

[8]董濤，朱元，吳志紅，等.基于AURIX SafeTlib的功能安全軟件實現[J].信息通信，2017，177（9）：57-59.

[9]劉法旺，李艷文.自動駕駛系統功能安全與預期功能安全研究[J].工業技術創新，2021，8（3）：62-68.

[10]吳靜波，盧耀真，李明明，等.基于ISO 26262的新能源汽車轉矩監控策略研究[J].現代電子技術，2021，44（11）：87-92.

[11]李俊杰. EM-CVT的功能安全性分析與控制軟件實現[D].重慶：重慶理工大學，2020.