唐坤,刘文烽
(1.广西科技大学电气与工程学院,广西 柳州 545006;2.柳州市自动化科学研究所,广西 柳州 545006)
电动汽车主控制器双机热备的设计
唐坤1,刘文烽2
(1.广西科技大学电气与工程学院,广西 柳州 545006;2.柳州市自动化科学研究所,广西 柳州 545006)
文章主要介绍一种基于电动汽车主控制器的双机热备份设计方案,对双机备份技术进行研究,并分析其各种工作模式的结构和特点以及可能产生的故障类型,提出故障检测方法。电动汽车主控制器即使在发生故障时也能实现无缝切换。其特点是简化仲裁模块,提高系统的可靠性,降低系统性能消耗,确保系统能够无间断的可靠运行。
双机;热备份;故障检测;仲裁
10.16638 /j.cnki.1671-7988.2016.10.006
CLC NO.: U472.4 Document Code: A Article ID: 1671-7988 (2016)10-17-03
随着日益加剧环境和污染问题,电动汽车凭借其零污染、高效率以及结构简易的优点越来越受到人们的青睐。电动汽车主控制器作为整个电动汽车的通信与控制枢纽,其稳定、可靠、有效、持续的运行直接关系到整个电动汽车的安全行驶。一旦电动汽车的主控制器发生严重故障,将会带来惨重的后果。综上因素,想要提高电动汽车主控制器的可靠性一方面要提高单台嵌入式处理器的可靠性;另一方面要从系统冗余的角度进行设计,提高系统容错能力。[1]现在,在许多的嵌入式实时系统中,越来越多地采用双机备份的结构。因此,双机备份技术的研究有着重要的现实意义。
本文设计基于电动汽车的主控制器,其需要采集车速、温度等实时数据,并对这些实时数据及时的进行响应处理,要求系统必须不间断的运行,并且能够对数据准确的处理。针对主控制器的这些工作特点,设计了双机热备系统。处理器的双机冗余设计保证了主控制器的可用性;而热备份技术的采用,能够实现系统不间断运行,以及在发生故障时实现无缝切换,较大程度上提高了电动汽车的可靠性。
在工程实现中,双机备份通常为同构型双机备份,其原理为两套具有相同内外在特征的处理单元,能够执行相同的任务。[2]两套处理单元分别被定义为一主机和一备机,即主机为处于工作状态的处理单元,备机为处于等待状态的处理单元。当主机发生故障时,备机通过切换装置承担起与主机相同的工作,进而保证整个控制系统的可靠运行。按照工作模式不同,通常双机冗余备份分为双机冷备份模式、双机温备份模式和双机热备份模式。
1.1 双机冷备份模式
双机冷备份模式是指系统工作时只有一套处理单元加电,另外一套断电冷备用。外部监控设备检测到主机故障时,备机加电启动并通过手动或自动切换装置接替主机工作,备机转换为主机,发生故障的处理单元排除故障后转换为冷备份状态。冷备份模式设计简单,但是由于处理单元从加电到正常工作通常需要一定时间,双机冷备份模式无法完全满足实时性系统的需求。
1.2 双机温备份模式
双机温备份模式是指系统工作时两套处理单元同时加电,但只有一套处理单元处于工作状态,另一套处理单元处于等待或故障诊断状态。当主机出现故障时,能够迅速自动切换,由备机接替主机工作。发生故障的处理单元排除故障后转换为备机状态。与双机冷备份模式相比,双机温备份模式缩短了主备机的切换时间,减小了系统故障造成的损失。与双机热备份模式相比,结构简单,性能消耗较小。
1.3 双机热备份模式
双机热备模式是双机温备模式的一种升级,通常带有同步装置,保证两套处理单元产生的关键数据同步。其分为主从模式和全双工模式。主从模式指当系统工作时,两套处理单元同时加电,并且都处于工作状态。但只有主机的处理结果输出。[3]当主机发生故障时,主备机通过同步装置,能够实现“无缝切换”,并接替主机控制,从而保证了控制的连贯性和稳定性。全双工模式指当系统工作时,两套控制单元同时加电,同时工作,产生两个处理结果。然后两个处理结果需要经过表决器进行比较选择对外输出的结果,表决器的设计十分复杂,输出若相同则通过表决;若不同则有多种比较方法。因此,全双工模式设计十分复杂,对两套控制单元的时序同步、数据同步等要求十分严格。然而,其实现无缝切换的性能也十分优越。
综上所述,可用度较高的模式为双机热备模式,考虑到汽车主控制器对实时性的要求,但对控制的同步要求并不十分的严格,只需当系统出现故障时通过切换装置能够迅速的将主机从系统切除并将备机投入系统使系统仍能不间断地正常工作即可。并且考虑到系统对性能消耗和复杂性的约束,选用STM32F107作为该系统的处理单元,以及uC/OS-II作为操作系统,采用双机热备份主从模式设计方案以提高系统可靠性。
2.1 双机热备份主从模式的整体结构
电动汽车主控制器主要功能包括对整车的控制(仪表、灯光、电动座椅等)和对驱动、电力以及ABS防抱死系统的监控等,是整个汽车控制系统的中枢神经,对汽车的安全运行至关重要,实时性要求较高。图3.1为电动汽车主控制器双机热备份主从模式的结构框图,本方案中,以心跳信号作为仲裁的依据,两套处理单元互为备机,系统工作时处理单元1作为主机,处理单元2作为备机,处理单元1和处理单元2并行执行相同的处理计算,且处理单元1和处理单元2各有独自的外围控制逻辑和外设,这样不会引起系统资源的竞争,增加了整体系统的稳定性,当然这样是以花费更多的硬件设施为代价的。通过可编程逻辑器EPM240T100C5N的软件编程来实现对两套处理单元输出的仲裁,其根据处理单元1和处理单元2周期性发送的心跳信号的频率来判断处理单元1和处理单元2的状况,由于EPM240T100C5N具有并行处理的特性,所以能够实现心跳信号的同步检测。当两套处理单元都正常工作时,心跳信号按照设定的频率正常输出给仲裁单元,仲裁单元默认处理单元1继续作为主机,输出选择控制信号控制选择模块的通道1导通,通道2闭合,处理单元1的处理结果通过CAN总线和RS232分别发送给各个电子控制单元和人机界面;当检测到处理单元1的心跳信号正常,而处理单元2的心跳信号的输出频率异常或检测不到心跳信号时,处理单元1继续作为主机,同时可编程逻辑器EPM240T100C5N发出处理单元2故障的报警;当检测到处理单元2的心跳信号正常,而处理单元1的心跳信号输出频率异常或检测不到心跳信号时,仲裁模块输出选择控制信号控制选择模块的通道1和通道2完成切换,即处理单元2作为主机接替处理器单元1的工作,同时可编程逻辑器EPM 240T100C5N发出处理单元1故障的报警,处理单元1排除故障后作为备机。当开关置于手动状态时(即图中位置),通过触发器发出选择控制信号,实现手动选择处理结果的输出。[4]同时存储模块将两套处理单元工作产生的主要参数以及实时状态存储起来并实现相互共享。
2.2 故障分析与检测
故障检测是双机系统基本的功能实现,基于电动汽车主控制器的运行特点,要求故障检测必须能够及时准确的分辨故障的种类,以便能够快速定位故障;并且要求故障检测占用系统的消耗应尽量要小。根据故障对系统造成的影响,本方案将故障进行了分类,如表1所示。
表1 故障分类
本方案中只采用心跳机制来判断电动汽车主控制器的处理单元的实时运行状态。所谓心跳机制是指处理单元定时的发送一个自定义的信号,用以告知对方自己还“活着”或正在正常运行。心跳信号的定时周期的设定尤为重要,如果定时周期过长,将会造成检测的滞后,不利于故障的及时恢复,如果定时周期过短,将会造成处理单元性能的过度消耗,不利于整个系统的快速运行。确定定时周期后,通过检测在定时周期内心跳信号的频率来分辨故障的类型,若为故障1,心跳信号自动屏蔽该种故障,故系统不作处理;若为故障2或3,将通过检测心跳信号频率进行故障分辨,进行相应的故障恢复操作。
2.3 仲裁模块的设计
为了提高系统的稳定性,本方案采用了现场可编程逻辑控制器EPM240T100C5N作为仲裁控制单元,其具有的并行处理特性简化了心跳信号的同步过程,同时减小了处理单元的性能消耗。当故障仲裁模块的控制流程如图2所示。在可编程逻辑控制器程序设计中,处理单元1的模块和处理单元2的模块同时对心跳信号在定时周期内的频率进行计数,若与正常运行的设定值相等,则相应模块的故障标志为0,否则故障标志为1,主模块通过对处理单元1模块和处理单元2模块的故障标志的值判断两套处理单元的运行情况。若两个故障标志位的值都为0(两套处理单元都正常运行),则通过运行状态位的值,判断此时的主机,并输出相应处理单元的选择控制信号;若两个故障标志位的值分别为0和1(有一个处理单元发生故障),则将运行状态位设定为故障标志位为0的处理单元的对应值,并输出相应处理单元的选择控制信号;若两个故障标志位的值都为1(两套处理单元都异常,这种情况发生概率很小),则没有选择控制信号产生。若此时转换开关接通仲裁单元,则选择控制信号控制选择模块的相应通道导通,另一个通道关闭。
对双机备份的各种模式及特点进行了研究,结合电动汽车主控制器运行的特点,最终应用了双机热备份主从模式。本方案中结合了心跳机制、仲裁切换和故障分辨等技术,并有效的将PLCD与嵌入式系统的结合。本方案主要针对于电动汽车的主控制器,已在电动汽车仿真平台得到应用,证明该方案显著提高了主控制器运行的可靠性。在运行的处理单元故障的情况下,实现处理单元的无缝切换,保证了系统的不间断运行且准确可靠。能够准确的对故障进行分辨,缩短了故障的定位及恢复时间。可编程逻辑控制器的应用极大的简化了仲裁模块的硬件及软件的设计,提高可靠性的同时降低了处理模块的性能消耗,大大降低了汽车的主控制器失效对汽车带来的风险。同时,本方案具有一定的普遍性,在其他的嵌入式系统中均可应用并为其他方案提供了借鉴。
[1] 赵豫峰,张善从. 一种双机热备的嵌入式计算机系统设计[J].研究与开发,2013,32(5),75-78.
[2] 唐仁杰.列车控制车载子系统双机容错模拟研究[D].西南交通大学,2007.
[3] 张科超, 崔刚. 实时嵌入式系统中的双机热备份容错设计[J]. 计算机研究与发展,2010,47(SUPPL)133-136.
[4] 索红军.嵌入式系统中热备份双机切换技术研究[J]. 嵌入式系统应用,2008,24(3-2)32-33,44.
Dual-Unit Hot-Standby Design of Center Controller of Electric Vehicle
Tang Kun1, Liu Wenfeng2
( 1.institute of electrical and engineering of guangxi university of science and technology, Guangxi Liuzhou 545006; 2. Liuzhou automation science institute, Guangxi Liuzhou 545006 )
The paper introduces a design of hot-standby system based on electric vehicle center controller, and studies the technology of Dual-Unit standby. The fault detection method is proposed in the paper, through the analysis of the technology of Dual-Unit standby of structure and characteristics of the various modes and the possible fault types. The design enables electric vehicle center controller to realize seamless switching when a fault occurs. The characteristic is to simplify the arbitration module, improve the reliability of the system, reduce the consumption of system resources, and ensure that the system run reliably without interruption.
dual-unit; hot-standby; fault detection; arbitration
U472.4
A
1671-7988(2016)10-17-03
唐坤,(1987.11-),男,硕士,就读于广西科技大学。研究方向:智能控制与应用。