清华大学 汽车工程系, 汽车安全与节能国家重点实验室, 智能型新能源汽车协同创新中心, 北京 100084
收稿日期: 2015-05-19
基金项目: 清华大学汽车安全与节能国家重点实验室自主课题重点项目
作者简介: 苗丰(1991-), 女, 博士研究生
通信作者: 连小珉, 教授, E-mail:lianxm@mail.tsinghua.edu.cn
摘要:汽车电子电器网络中的中央协调器负责全车电器的协调控制。为了保证汽车电子电器系统的安全性,需要提高中央协调器的可靠度。该文提出了一种主控辅助的全等双余度方案。设置两个硬件、软件均完全相同的中央协调器,通过控制器区域网络(CAN)总线收发仲裁帧进行随机竞争,完成主控协调器和辅助协调器的角色划分;通过收发状态帧进行在线实时故障互监测,并在检测到中央协调器一次故障时完成任务接替和驾驶员预警。实验证明:该全等双余度中央协调器系统可以良好运转。全等双余度方法可以在不增加设计制造成本的条件下有效提高系统可靠度,延长系统平均寿命。
关键词: 汽车电子电器网络 中央协调器 全等双余度系统
Congruent duplex redundant central coordinators in automotive electric and electronic networks
MIAO Feng, LIAN Xiaomin
Collaborative Innovation Center of Intelligent New Energy Vehicle, State Key Laboratory of Automotive Safety and Energy, Department of Automotive Engineering, Tsinghua University, Beijing 100084, China
Abstract:The central coordinators in automotive electric and electronic networks control all the electrical devices in the vehicle, so they need to be very reliable. This paper describes a congruent duplex redundant central coordinating system for automobiles. The two central coordinators are congruent in both their hardware and software. They communicate through the controller area network (CAN) bus, vote by sending and receiving arbitration frames, and monitor each other by sending and receiving status frames. They work as the master and assistant coordinators. When one of them fails, the other takes over the task and sends a warning message to the driver. Tests validate that the congruent duplex redundant central coordinating system can work well in vehicles. The congruent duplex redundant method improves the system reliability and mean life without design and manufacturing cost increases.
Key words: automotive electric and electronic networkcentral coordinatorcongruent duplex redundant system
20世纪90年代以来,现场总线技术得到了迅速发展[1]。在此基础上,汽车电子电器网络也逐渐完善[2]。汽车电子电器网络可以分为分布协调式和中央协调式[3-4]。中央协调式架构将全车电器的状态信息都汇总至中央协调器,由中央协调器统一协调并发出指令信息,个别电器的故障不会影响其余电器的工作,因而系统复杂度较低。本文研究基于一种中央协调式汽车电子电器网络,如图 1所示。
 |
| 图 1 中央协调式汽车电子电器网络 |
| 图选项 |
图 1中,该电子电器网络的骨干网为控制器区域网络(controller area network, CAN),局域网为局域互联网络(local interconnect network, LIN)。在这种中央协调式汽车电子电器网络中,一旦中央协调器发生故障,则会影响全车电器的工作,危及驾乘人员以及道路上其他车辆的安全,因此中央协调器的可靠性尤为重要。
由于汽车电子装置长期处于高温差、高湿度、高振动、多灰尘、强电磁干扰的恶劣工作环境中,车载电子控制单元(electronic control unit, ECU)的故障率约为10-6~10-5 h-1 [5]。根据汽车电子电器产品功能安全规范ISO26262,汽车电子电器设备故障率应低于10-6 h-1 [4, 6]。可见,单一中央协调器难以满足汽车的可靠性要求。
余度技术可以利用多个可靠度不太高的组件组成高可靠性系统,因此常被用来提高系统的可靠性和安全性[7]。余度技术最先被应用在飞机的飞控计算机系统上。Brière等[8]设计了空客A320/A330/A340系列飞机的非相似余度飞控计算机系统。Yeh[9]设计了波音B777的冗余飞控系统,其倾斜、俯仰、转向动作均可分别由3个相互独立的通道实现控制。潘计辉等[10]针对小型飞行器可靠性指标要求,提出了3余度飞控计算机方案。SHI等[11]为了满足大型客机的可靠性要求,提出了非相似的双余度飞控执行系统。余度技术也被应用在轨道交通中。Johansson[12]针对轨道列车的电控制动系统提出了3控制器余度系统,提高了故障容错率。近年来,由于汽车电子电器网络的快速发展,余度技术在汽车上也得到了广泛应用。HUANG等[13]针对汽车线控制动系统提出了一种瞬时容错方案,该方案基于包含3个制动踏板传感器的3模块冗余方案。Bertacchini等[14]针对汽车线控转向系统的转向电机位置传感器,设计了一种混合4余度系统。Koizumi等[15]研究了一款线控转向实车的横向加速反馈控制,该车的线控转向系统采用了双余度ECU以及双余度转向电机。季学武等[16]指出英菲尼迪Q50车型的电控转向系统采用了电控和机械的双冗余系统。胡忠义等[17]针对汽车转向系统的安全性及可靠性,设计了一种冗余容错架构,包括ECU冗余、电机冗余、总线冗余、传感器冗余,以及电源冗余。李小龙等[18]利用总线冗余的设计思想,提出了一种冗余的CAN总线网关,使整个车载CAN网络稳定可靠运行。
基于以上研究,本文拟采用余度技术解决汽车电子电器网络中央协调器的可靠性问题,提出一种主控辅助的全等双余度方案。两个全等的中央协调器通过收发仲裁帧进行随机竞争,完成主控协调器和辅助协调器的角色划分;通过收发状态帧进行在线实时故障互监测,并在监测到中央协调器一次故障时完成任务接替和驾驶员预警。
1 中央协调器的余度方案1.1 中央协调器的余度等级对于汽车电子电器网络中的中央协调器,应要求在一次故障后仍能正常工作,以给驾驶员留出维修更换的时间。因此,中央协调器的容错能力准则应为至少一次故障-工作(fail-operational),即应保证余度数n≥2。
另外,余度数也并非越高越好。系统余度数越高,则任一元器件故障的可能性越高,相应地维修任务增加。因此,在满足容错能力准则的基础上,应选择尽可能小的余度数。
本文选择余度数n=2,两个中央协调器均连接至骨干CAN总线,均可以接收总线上的状态信息,也都可以发出指令信息。
1.2 中央协调器的主控辅助余度型式本文提出一种主控辅助的全等双余度中央协调器系统。主控协调器发出控制指令,辅助协调器不发出控制指令。主控协调器和辅助协调器都接收并存储总线上的状态信息,在一个协调器出现故障时,另一个协调器可以及时接管工作。
在这种主控辅助型全等双余度中央协调器系统中,每个中央协调器都有5种状态,分别为:仲裁状态、主控状态、辅助状态、独立状态、故障。仅考虑一次故障,双中央协调器的协同工作状态机如图 2所示。
 |
| 图 2 双中央协调器协同工作状态机 |
| 图选项 |
图 2中,c1、c2、c3为状态跳变条件,其代表的事件及含义如表 1所示。
表 1 双中央协调器协同工作状态跳变条件
| 符号 | 事件 | 取值 | 含义 |
| c1 | 仲裁结果 | 0 1 | 仲裁选中中央协调器1 仲裁选中中央协调器2 |
| c2 | 中央协调器1故障状态 | 0 1 | 中央协调器1无故障 中央协调器1故障 |
| c3 | 中央协调器2故障状态 | 0 1 | 中央协调器2无故障 中央协调器2故障 |
表选项
定义中央协调器1的状态为S1,中央协调器2的状态为S2。S1和S2的取值集合为{0, 1, 2, 3, 4},0代表仲裁状态,1代表主控状态,2代表辅助状态,3代表独立状态,4代表故障状态。由于仲裁状态为一个过渡状态,此处不予考虑,则双中央协调器的协同工作状态机可以表示为:
| ${S_1} = \left\{ \begin{gathered} 1,\;\;\;\;{c_1} = 0 \hfill \\ 2,\;\;\;\;{c_1} = 1 \hfill \\ 3,\;\;\;\;{c_3} = 0 \hfill \\ 4,\;\;\;\;{c_2} = 0 \hfill \\ \end{gathered} \right.;\;\;{S_2} = \left\{ \begin{gathered} 1,\;\;\;\;{c_1} = 1 \hfill \\ 2,\;\;\;\;{c_1} = 0 \hfill \\ 3,\;\;\;\;{c_2} = 1 \hfill \\ 4,\;\;\;\;{c_3} = 1 \hfill \\ \end{gathered} \right..$ | (1) |
2 全等双余度中央协调器可靠性模型2.1 可靠度在全等双余度中央协调器系统中,主控中央协调器负责全车所有电器的协调控制,与单一协调器承担的功能一致,因此可以认为主控中央协调器的故障率等于单一工作的中央协调器。主控中央协调器的故障率λ=10-5h-1。定义单一中央协调器的可靠度为R1(t),则有
| ${{R}_{1}}\left( t \right)={{e}^{-\lambda t}}.$ | (2) |
| ${{R}_{2}}\left( t \right)={{e}^{-\lambda t}}+\frac{\lambda }{\mu }\left[ {{e}^{-\lambda t}}-{{e}^{-\left( \lambda +\mu \right)t}} \right].$ | (3) |
| ${{R}_{\text{b}}}\left( t \right)={{e}^{-{{\lambda }_{\text{b}}}t}}.$ | (4) |
 |
| 图 3 电子电器系统可靠度对比 |
| 图选项 |
因此,主控辅助的全等双余度中央协调器系统可以满足汽车电子电器系统的可靠性要求。
2.2 平均寿命系统的平均寿命即故障前工作时间的期望值,可以表示为可靠度函数的无穷积分。单一中央协调器的平均寿命为θ1,
| ${{\theta }_{1}}=\int\limits_{0}^{\infty }{{{R}_{1}}\left( t \right)\text{d}t=\frac{1}{\lambda }={{10}^{5}}\ \ \text{h}\text{.}}$ | (5) |
| ${{\theta }_{2}}=\int\limits_{0}^{\infty }{{{R}_{2}}\left( t \right)\text{d}t=\frac{1}{\lambda }+\frac{1}{\lambda +\mu }=1.91\times {{10}^{5}}\ \ \text{h}\text{.}}$ | (6) |
3 全等双余度中央协调器的余度管理全等双余度中央协调器系统的余度管理包括仲裁和故障检测与切换。
3.1 随机竞争式仲裁每个中央协调器在完成上电初始化后,都要先经过仲裁过程,确定自身应工作于主控状态还是辅助状态。全等双余度中央协调器的仲裁通过互相发送仲裁帧来实现。仲裁帧是一个标识符(identifier, ID)为一个集合内的随机数、数据场长度为0的信息帧。仲裁帧ID的取值集合与总线上其余信息的ID集合无交集。仲裁过程如图 4所示。
 |
| 图 4 双中央协调器的仲裁 |
| 图选项 |
图 4中,s1、s2、s3为状态跳变条件,其代表的事件及含义如表 2所示。
表 2 双中央协调器仲裁状态跳变条件
| 符号 | 事件 | 取值 | 含义 |
| s1 | 监听结果 | 0 1 | 未收到中央协调器信息 收到中央协调器信息 |
| s2 | 接收仲裁帧结果 | 0 1 | 未收到仲裁帧 收到仲裁帧 |
| s3 | 仲裁帧比较结果 | 012 | 仲裁帧相等 发送>接收 发送<接收 |
表选项
定义仲裁结果为Z,Z的取值集合为{0, 1},0表示仲裁选中本中央协调器,1表示仲裁未选中本中央协调器,则仲裁方程可以表示为
| $Z=\left\{ \begin{align} & 0,\left( {{s}_{1}}=0\wedge {{s}_{2}}=0 \right)\vee \left( {{s}_{1}}=0\wedge {{s}_{2}}=1\wedge {{s}_{3}}=1 \right) \\ & 1,\left( {{s}_{1}}=1 \right)\vee \left( {{s}_{1}}=0\wedge {{s}_{2}}=1\wedge {{s}_{3}}=2 \right) \\ \end{align} \right..$ | (7) |
由于两个中央协调器仲裁帧的ID随机抽取于同一集合,因此任一中央协调器某一次仲裁被选中或未被选中的概率是相等的,这就可以保证两个中央协调器有基本一致的工作时长,从而避免了因长期工作或长期闲置而导致的高故障率。
在实际应用中,中央协调器的正常工作周期为T=20 ms。上电后监听时间T1=60 ms,即3个正常工作周期。在通信速率50 kb/s的CAN总线上,发送包含3个字节的仲裁帧耗时0.48 ms。发送仲裁帧后,等待时间T2=40 ms。因此,整个仲裁过程用时约101 ms,低于一般人的反应时间,可以认为仲裁带来的时间延迟不影响驾驶员的操作感受。
3.2 状态互监测式故障检测与切换在完成仲裁后,两个协调器分别进入主控工作状态和辅助工作状态。在正常工作期间,两个协调器一直向总线发送状态帧,表明自己正常工作无故障。主控协调器状态帧和辅助协调器状态帧的ID是不同的两个确定值,数据场长度为0。状态互监测如图 5所示。
 |
| 图 5 双中央协调器的互监测 |
| 图选项 |
图 5中:mA为主控协调器发送的状态帧,mB为辅助协调器发送的状态帧。一个无故障的中央协调器按照正常工作周期T运转,每个周期发送一帧状态帧。因此,中央协调器可以根据状态帧的接收时间间隔判断另一协调器是否发生故障。中央协调器每次接收到另一中央协调器的状态帧,都会刷新时间tS,如果超过规定阈值时间Δt后仍未接收到下一帧状态帧,则认为另一协调器故障。如果判断另一协调器故障,则本协调器进入独立工作状态。处于独立工作状态的中央协调器接收全车电器的状态信息,协调处理后发出指令信息,同时向仪表盘发出故障报警信号,以提示驾驶员。
定义中央协调器在第k个工作周期的工作状态为S(k),S(k)的取值集合为{1, 2, 3},1代表主控状态,2代表辅助状态,3代表独立状态。当前时间为t,最近一次接收到另一协调器的状态帧的时间为tS,则故障检测与切换可以表示为
| $S\left( k+1 \right)=\left\{ \begin{align} & 1,\ \ \ \ \left( \left( t-{{t}_{s}} \right)\le \Delta t \right)\wedge \left( S\left( k \right)=1 \right) \\ & 2,\ \ \ \ \left( \left( t-{{t}_{s}} \right)\le \Delta t \right)\wedge \left( S\left( k \right)=2 \right) \\ & 3,\ \ \ \ \left( t-{{t}_{s}} \right)>\Delta t \\ \end{align} \right..$ | (8) |
这种状态互监测的故障检测与切换方式,使得故障检测装置和切换装置成为非必要物,系统的可靠性也不再受额外元器件的限制,系统可靠性可以得到进一步提高。
在实际应用中,阈值Δt=60 ms,即3个正常工作周期。当辅助中央协调器出现故障,主控中央协调器可以及时检测并报警,电器操作不受影响。当主控中央协调器出现故障,辅助中央协调器可以在60 ms后决定接替工作,再在20 ms后发出控制指令。在这80 ms期间,电器维持之前的状态不变。亦即,一个中央协调器故障会对电器操作带来最大80 ms的延迟,这几乎是无法被驾驶员察觉的。因此,这种状态互监测式故障检测与切换可以在一个中央协调器出现故障时实现另一个中央协调器快速接替,大幅提高系统的可靠性。
4 中央协调器的全等双余度方案验证将含有本文的全等双余度中央协调器的电子电器网络应用在一款乘用车上,对全等双余度中央协调器系统的随机竞争式仲裁进行了多次测试。仲裁结果为0表示该次仲裁选中本中央协调器,仲裁结果为1表示未选中本中央协调器。在10次测试中,中央协调器1的仲裁结果为0110001101,中央协调器2的仲裁结果为1001110010。测试证明,两个中央协调器可以通过发送仲裁帧自行决定主控与辅助工作状态。两个中央协调器进入主控状态的概率是均等的,符合主控辅助的设计初衷。
此外,本文还对全等双余度中央协调器的故障检测与切换进行了测试,结果如表 3所示。
表 3 双余度中央协调器的故障检测与切换
| 上电状态 | 测试条件 | 状态响应 | 仪表盘报警 |
| 双协调器 | 双协调器 | 正常工作 | 无 |
| 双协调器 | 主控协调器故障 | 正常工作 | 有 |
| 双协调器 | 辅助协调器故障 | 正常工作 | 有 |
| 单一协调器 | 单一协调器 | 正常工作 | 有 |
表选项
测试证明,当两个中央协调器中的一个缺失或故障时,另一个中央协调器可以继续完成全车电子电器的协调控制,并及时检测到故障信息,向仪表盘发出报警信号,提醒驾驶员尽快维修。
5 结论本文提出了一种应用于中央协调式汽车电子电器网络的主控辅助的全等双余度中央协调器系统。在一款乘用车上的测试实验证明这种全等双余度方案能够正常运行,两个中央协调器能够获得均等的工作机会,在某一中央协调器缺失或故障时系统可以保持正常运行,有效提高了电子电器网络的中央协调器的可靠性。本文研究可以得到以下结论:
1) 中央协调器全等双余度方案中,两个中央协调器的硬件和软件均完全相等,系统的设计、加工、安装、维修均较为简便,系统成本较低;
2) 主控辅助的余度型式使得全等双余度成为可能;
3) 随机竞争的仲裁方法使得两个协调器有均等的可能成为主控协调器,避免了因长期工作或长期空闲而导致的高故障率,提高系统可靠性,延长系统平均寿命;
4) 状态互监测的故障检测和切换可以在不需要额外元器件的条件下完成故障检测和切换,减小系统复杂度,使得系统可靠性不受故障检测装置或切换装置的影响,进一步提高了系统可靠性。
参考文献
| [1] | Journal of Central South University(Science and Technology), 41(2):649-654.-->王黎明, 夏立, 邵英. CAN现场总线系统的设计与应用[M].北京: 电子工业出版社, 2008.WANG Liming, XIA Li, SHAO Ying. Design and Application of CAN Field Bus System[M].Beijing: Electronic Industrial Press, 2008.(in Chinese) |
| [2] | Journal of Central South University(Science and Technology), 41(2):649-654.-->Sinha P. Architectural design and reliability analysis of a fail-operational brake-by-wire system from ISO26262 perspectives[J]. Reliability Engineering & System Safety, 2011, 96(10) : 1349–1359. |
| [3] | Journal of Central South University(Science and Technology), 41(2):649-654.-->张新丰, 杨殿阁, 连小珉. 全分布式车身电器系统的附加成本模型[J]. 汽车安全与节能学报, 2011, 2(4) : 356–362.ZHANG Xinfeng, YANG Diange, LIAN Xiaomin. Additional cost model for a complete-distributed automotive body electrical/electronic system[J]. J Automotive Safety and Energy, 2011, 2(4) : 356–362.(in Chinese) |
| [4] | Journal of Central South University(Science and Technology), 41(2):649-654.--> FAN Shanshan, YANG Diange, ZHANG Tao, et al. Fault diagnosis of vehicle electric/electronic devices based on electronic coordination [C]//Proc 2011 International Conference on Electronics, Communications and Control. Ningbo, 2011: 2053-2056. |
| [5] | Journal of Central South University(Science and Technology), 41(2):649-654.-->李建秋, 赵六奇, 韩晓东. 汽车电子学教程[M].北京: 清华大学出版社, 2011: 274.LI Jianqiu, ZHAO Liuqi, HAN Xiaodong. Automotive Electronics[M].Beijing: Tsinghua University Press, 2011: 274.(in Chinese) |
| [6] | Journal of Central South University(Science and Technology), 41(2):649-654.-->彭晓燕, 董晓丹, 章兢. 汽车线控制动系统的可靠性分析和容错技术研究[J]. 汽车工程, 2009, 31(7) : 624–628.PENG Xiaoyan, DONG Xiaodan, ZHANG Jing. A research on the reliability of vehicle BBW system[J]. Automotive Engineering, 2009, 31(7) : 624–628.(in Chinese) |
| [7] | Journal of Central South University(Science and Technology), 41(2):649-654.-->姚一平, 李沛琼. 可靠性及余度技术[M].北京: 航空工业出版社, 1991: 181.YAO Yiping, LI Peiqiong. Reliability and Redundancy Technology[M].Beijing: Aviation Industrial Press, 1991: 181.(in Chinese) |
| [8] | Journal of Central South University(Science and Technology), 41(2):649-654.--> Brière D, Traverse P. Airbus A320/A330/A340 electrical flight controls: A family of fault-tolerant systems [C]//Proc 23rd International Symposium on Fault-Tolerant Computing FTCS-23. Toulouse, France: IEEE Press, 1993: 616-623. |
| [9] | Journal of Central South University(Science and Technology), 41(2):649-654.--> Yeh Y C. Triple-triple redundant 777 primary flight computer [C]//Proc Aerospace Applications Conference. Aspen, CO, USA: IEEE Press, 1996: 293-307. |
| [10] | Journal of Central South University(Science and Technology), 41(2):649-654.-->潘计辉, 张小林. 三余度飞控计算机关键技术研究及工程实现[J]. 计算机测量与控制, 2010, 18(2) : 440–442.PAN Jihui, ZHANG Xiaolin. Design and realization of treble-redundancy management method of flight control system[J]. Computer Measurement & Control, 2010, 18(2) : 440–442.(in Chinese) |
| [11] | Journal of Central South University(Science and Technology), 41(2):649-654.-->SHI Cun, WANG Xingjian, WANG Shaoping, et al. Adaptive decoupling synchronous control of dissimilar redundant actuation system for large civil aircraft[J]. Aerospace Science and Technology, 2015, 47(12) : 114–124. |
| [12] | Journal of Central South University(Science and Technology), 41(2):649-654.-->Johansson R. A fault-tolerant architecture for computer-based railway vehicle brake systems[J]. Proceedings of the Institution of Mechanical Engineers, Part F: Journal of Rail and Rapid Transit, 2004, 218(3) : 189–201.DOI:10.1243/0954409042389418 |
| [13] | Journal of Central South University(Science and Technology), 41(2):649-654.-->HUANG Shuang, ZHOU Chunjie, YANG Lili, et al. Transient fault tolerant control for vehicle brake-by-wire systems[J]. Reliability Engineering & System Safety, 2016, 149(5) : 148–163. |
| [14] | Journal of Central South University(Science and Technology), 41(2):649-654.--> Bertacchini A, Pavan P, Tamagnini L, et al. Control of brushless motor with hybrid redundancy for force feedback in steer-by-wire applications [C]//Proc 31st Annual Conference of the IEEE Industrial Electronics Society. Raleigh, NC, USA, 2005: 1407-1412. |
| [15] | Journal of Central South University(Science and Technology), 41(2):649-654.--> Koizumi R, Kurata F, Yamamoto M. Experimental study of lateral acceleration feedback control with steer-by-wire system [C]//Proc SAE 2010 World Congress & Exhibition. SAE Technical Paper, 2010-01-0996. Detroit, MI, USA, 2010. |
| [16] | Journal of Central South University(Science and Technology), 41(2):649-654.-->季学武, 刘亚辉, 杨恺明, 等. 乘用车电控转向系统的发展趋势[J]. 汽车安全与节能学报, 2015, 6(3) : 208–216.JI Xuewu, LIU Yahui, YANG Kaiming, et al. Trend of passenger car steering system with electronic control[J]. J Automotive Safety and Energy, 2015, 6(3) : 208–216.(in Chinese) |
| [17] | Journal of Central South University(Science and Technology), 41(2):649-654.-->胡忠义, 张凤登, 刘岳威. 汽车线控转向系统的容错策略与可靠性研究[J]. 通信电源技术, 2015, 32(4) : 66–69.HU Zhongyi, ZHANG Fengdeng, LIU Yuewei. Research on fault-tolerant strategy and reliability of automobile steering-by-wire system[J]. Telecom Power Technology, 2015, 32(4) : 66–69.(in Chinese) |
| [18] | Journal of Central South University(Science and Technology), 41(2):649-654.-->李小龙, 宋欣, 徐强, 等. 基于ARM7的汽车CAN总线冗余网关设计[J]. 吉林大学学报:信息科学版, 2015, 33(1) : 57–63.LI Xiaolong, SONG Xin, XU Qiang, et al. Design of vehicle CAN bus redundancy gateway based on ARM7[J]. Journal of Jilin University: Information Science Edition, 2015, 33(1) : 57–63.(in Chinese) |
