基於汽車開放系統架構規範開發的失效可運作整車控制器

作者:

 王詠辰、陳榮順

刊登日期:2022/04/12

摘要:在本研究中,使用了EGAS規範為基礎進行整車控制器的設計,並進行架構的改善,使系統在失效的時候仍然可以透過備援的控制器持續運作,同時在該控制器上導入自行研發符合汽車開放系統架構(Automotive Open System Architecture, AUTOASR)基礎軟體規範的作業系統與中間層,並透過智慧化的需求文檔分析工具來配置基礎軟體參數與自動化產生程式碼,而在應用程式的部分則是並透過邁斯沃克公司的工具箱建立了一組虛擬運行階段環境,讓使用者可以在圖形化的使用者介面進行應用程式的二次開發。
Abstract:In this article, the EGAS standard is used as the design specification for the vehicle controller and the architecture was improved to make sure the system can continue to operate through the fault. The controller also introduces self-developed operating systems and middleware that comply with automotive open system architecture specifications, and configures basic software module parameters and automated code generation through intelligent requirements file analysis tools. For the application layer, a virtual runtime environment has been created through MATLAB toolbox, allowing users to develop the application in a graphical user interface.

關鍵詞:整車控制器、EGAS架構、汽車開放系統架構
Keywords:Vehicle controller unit, EGAS architecture, AUTOSASR

前言
現今電動車輛功能越趨複雜,電子控制單元負責各樣訊號的處理與致動器的控制,是現代車輛中相當重要的一環,其中整車控制器更是主管動力系統的關鍵零部件,因此對於整車控制器的架構設計、安全等級與產品可靠度均會經常被放大檢視,因此如何讓硬體在發生故障時可以被即時診斷出並進行隔離,同時提供備援的容錯機制對於車廠而言是相當重要的一個環節。
軟體部分,汽車開放系統架構(Automotive Open System Architecture, AUTOSAR) [1-2]已經成為各車廠開發車用控制器軟體的基礎。對於產品開發者而言。使用AUTOSAR規範可以確保軟體的開發流程與品質得到一定的提升並且可以很好的被驗證;對於整車廠而言使用標準AUTOSAR控制器可以降底整合系統時候的風險,並且可以在多個供應商中進行選用,避免供應商供應不足的狀況。同時AUTOSAR對於車用功能安全[3]與車用資訊安全[4]的實踐有很大的幫助,例如功能安全規範中要求的開發者需要證明軟體之間不會互相干擾,透過AUTOSAR的作業系統記憶體保護、時序監控與端對端通訊驗證的功能就能夠輕易地實現。AUTOSAR帶給車輛產業許多新的契機,然而該規範所涉及範圍相當龐大且學習時間長,並且在導入規範前期需要投入高昂地費用來採購第三方軟體公司所提供的基礎軟體,導致進入該領域的門檻提高,讓許多供應商卻步,如何有效的降低開發成本與學習曲線是一個相當重要的課題。
本研究主要的貢獻在於基於EGAS規範進行整車控制器架構的改良,並透過自行研發符合AUTOSAR規範的基礎軟體層與文檔分析工具來自動配置參數,使終端用戶可以減少配置的人力成本與學習成本,同時簡化的應用程式開發邏輯與特製的Simulink工具箱,也可以使習慣傳統的模型化開發的人力,可以更快速的瞭解並使用AUTOSAR技術。
整車控制器系統
整車控制器是車輛動力系統中的一個關鍵零部件,必須符合功能安全等級得需求,因此在架構的設計與周邊元件的選用需要格外的注意,在本研究中會針對整車控制器的系統架構進行設計,同時確保在運算的主晶片失效後備援系統可以即時進行接手,讓系統可以運行在跛行模式,以下會針對架構設計與周邊零件的選用進行探討。
1.整車控制器系統架構設計與改良
EGAS架構是由奧迪與戴姆勒等車廠所建議在動力系統所實現的軟體架構[5],完整的實現該架構可以在提供足夠的安全機制讓系統在失效的時候可以被快速的偵測並避免危害,一般而言需要至少兩顆晶片來完成EGAS架構如圖 1左半邊所示,分別是功能控制器(Function controller)與監視控制器(Monitoring controller),功能控制器上會運行三個階層的軟體,第一階層是提供控制器的運作功能,例如電池電量估測、電機扭力控制等功能均是屬於一階功能,第二階主要是對第一階段控制器所提供的功能進行監控,透過模型或是其他訊號來源來獲取比對與監控訊號,同時也負責執行流程的順序監控。第二階段能正確運作依賴於微處理機可以提供正確的運算結果且記憶體不會出現異常等,第三階層軟體則是依賴在功能控制器上需要提供相關的自檢與監控,此外也會透過監視控制器來確保功能控制器能在正確的時間內做出正確的響應,並提供明確的錯誤處理機制。
近期各車廠對於功能安全要求更趨於嚴苛,在系統失效後除了能正確診斷與避免危害外,更進一步的要求供應商需要提供失效可運作機制,因此本研究基於EGAS架構進行架構調整,透過額外新增一組安全控制器(Safety controller)來提供額外的防護力如圖 1右半邊所示,其中所有與扭矩相關的輸入訊號均會同時進入到功能控制器與安全控制器並以不同的數位類比轉換倍率來檢查訊號的合理性,功能控制器與安全控制器兩者均會運行主要的控制器功能,以確保系統失效的時候安全控制器可以即時的處理。第三階的監控則是透過外部系統基礎晶片(System basis chip, SBC)來對功能控制器進行監控確保功能晶片能在正確的時間做出合理的響應。

圖 1 增強式EGAS架構-失效可運作系統

…本文未結束

更完整的內容 歡迎訂購 2022年4月號 469期
機械工業雜誌‧每期220元‧一年12期2200元

我要訂購