一种基于双冗余EPS系统的单独刷新实现方案.pdf

1、第 61 卷 第 8 期Vol.61 No.82023 年 8 月August 2023农业装备与车辆工程AGRICULTURAL EQUIPMENT&VEHICLE ENGINEERING0 引言智能驾驶发展要求 EPS 的失效率达到 100fit（109h 内出现 1 次故障为 1fit）及以上，为降低单点失效率，EPS 系统设计了双冗余结构1（如图1 所示）。2 个系统之间通过 IPC（Inter-ProcessorCommunication）进行同步通信，实现驱动扭矩协调分配和关键信息共享。在系统设计中，当 2 个系统之间 IPC 通信丢失后，系统会切换至物理最大半助力状态，从而避免实

2、际助力输出超出请求的输出水平而导致危险。更为严重的是系统无法在本驾驶循环恢复到正常状态，该设计方案对刷新本身产生了严重影响，尤其是当终端客户在进行 OTA 刷新后发现系统无助力，进而产生恐慌。一种比较简单的解决方案是主从刷新，通过EPS1 刷新 EPS2，此时 EPS1 除了实现 EPS1 本身的刷新功能外，在对 EPS2 进行刷新时作为诊断仪对 EPS2 进行数据传输，在 EPS2 刷新完毕后对EPS1 本身和 EPS2 进行同步重启，从而解决不同步问题。但该方法具有刷新时间长、实现逻辑复杂、刷新工具复杂等缺点。基于以上刷新背景，对比其他方案的优缺点，再结合以往对单系统刷新的方法及双系统在总

3、线的可见性，本文设计了一种单独刷新的实现方案，能doi:10.3969/j.issn.1673-3142.2023.08.015一种基于双冗余 EPS 系统的单独刷新实现方案席刚刚1，解友华1，曾晓松2，解光耀1，张圣洋1，单淼刚1（1.201821上海市博世华域转向系统有限公司；2.201800湖北省武汉市博世华域转向系统（武汉）有限公司）摘要 随着智能驾驶技术的不断进步，双冗余系统的EPS（DualElectricPowerSteeringSystem）设计成为了技术主流。为了解决基于 bootloader 刷写软件时由于双系统不同步导致系统状态异常，进而 EPS 无法正确提供助力的问题，

4、提出了一种单独刷新的实现方式，区别于主从刷写方式，在数据传输完成跳出 boot 模式后，采用一种强制复位方式使整个系统重置，能够有效解决单独刷新过程中双 EPS 系统之间的同步异常问题。经测试，采用这种刷新方法刷写后 EPS 系统状态正常。关键词 EPS；冗余；软件刷写；同步 中图分类号 U463.4 文献标志码 A 文章编号 1673-3142(2023)08-0073-04引用格式：席刚刚,解友华,曾晓松,等.一种基于双冗余 EPS 系统的单独刷新实现方案 J.农业装备与车辆工程,2023,61(8):73-76.An independent flashing solution for d

5、ual EPS systems XIGanggang1,XIEYouhua1,ZENGXiaosong2,XIEGuangyao1,ZHANGShengyang1,SHANMiaogang1（1.BoschHuayuSteeringSystemCo.,Ltd.,Shanghai201800,China;2.BoschHuayuSteeringSystem(Wuhan)Co.,Ltd.,Wuhan201800,Hubei,China)AbstractWiththecontinuousprogressofintelligentdrivingtechnology,thedesignofdualred

6、undancyElectricPowerSteeringSystem(EPS)hasbecomethemainstreamtechnology.Whenwritingsoftwarebasedonbootloader,thesystemstatuswasabnormalbecausethetwosystemswerenotsynchronized,andEPScouldnotcorrectlyprovideelectricassistant.Differentfromthemaster/slavescrubmode,thisthesisproposedanimplementationmodeo

7、fseparaterefresh,andusedaforcibleresetmodetoresetthewholesystemafterdatatransferandjumpoutofthebootmode,whichcaneffectivelysolvethesynchronizationanomalybetweendoubleEPSsystemsintheprocessofseparaterefresh.Afterthetest,itcanbeseenthattheEPSsystemstatuswasnormalaftertherefreshmethod.Key wordsEPS;redu

8、ndancy;softwareflash;synchronize收稿日期：2023-02-13图 1 冗余 EPS 系统结构Fig.1 Redundant EPS system structure电源 1EPS1电源 2EPS2传感器模块1传感器模块2电机控制模块1电机控制模块2电机模块M1M2ECUs12V12VCANCANIPC+-+74农业装备与车辆工程 2023 年够实现快捷刷新，并保证刷新完成后无系统异常情况，保证 EPS 系统正确的助力输出。1 刷写方案实现1.1 一般刷新过程简述如图 2 所示，刷新过程一般分为 3 个阶段：刷新前准备、刷新过程和刷新后处理2-5。（1）在刷新准备

9、阶段，会检查整车的刷新条件（如对 EPS 刷新而言，车速必须小于设定值），之后会通过 28 服务关闭普通通信和 DTC 检测。除此之外，一般会涉及刷新安全认证。当这些所有步骤均成功完成后，软件会跳转到刷新模式。（2）刷新过程中，程序运行环境与正常运行模式做对应，主要包含对设定区域的擦除、解析总线数据并做校验。校验通过后，调用相关的Flash驱动，完成相应区域的数据刷新。数据刷新完毕后，一般还会回读设定刷新区域的数据进行完整性校验，以保证数据被正确刷新成功后才会退出刷新模式。（3）成功退出刷新模式后，一般会进行相关的后勤数据更新，如刷新时间和刷新诊断相关信息等。上述刷新过程比较耗时，主要体现在2

10、个方面：一是擦除对应的 flash 和写入新数据本身比较耗时；二是目前越来越多的整车厂都集成了刷新的正当性校验，即保证刷新数据经过整车厂授权且其本身并未被篡改，这其中会涉及相关的数字签名和哈希函数6计算或校验，其计算过程本身比较耗时。此外，现阶段的 EPS 需要实现的功能较多，需要传输的数据量大，导致数据传输需要一定时间，如果等待给 EPS1 传输完数据后再进行 EPS2 数据传输会占用大量时间，包括数据传输时间、等待 EPS 响应的时间等。因此，在刷新前准备阶段要求上位机对部分共性的诊断服务进行功能寻址请求，并以较小的时间间隔请求 EPS1 和 EPS2 分别进入 boot 模式。刷新过程中

11、穿插传送EPS1和EPS2需要写入的数据，进而减少总的刷新时间。最后在刷新后处理阶段写入后勤数据时同样穿插进行，能够极大缩短任务处理的等待时间。1.2 同步机制实现结合上述刷新过程，考虑到在刷新模式下 EPS本身并不需要支持其相应的应用功能，在此情况下，如果能确保 EPS1 和 EPS2 在刷新过程完毕后同步进入到 APP 模式（正常工作模式），则可以解决二者不同步导致的系统状态异常。实际中，以 UDS 刷新为例，在上位机获知各个 ECU 已经刷新完毕后（如获得了 ECU 针对 37 服务给出的肯定响应），上位机一般会发出 1001 指令通过各 ECU退出刷新模式，进而进入APP模式。需要指出

12、的是，对 EPS 而言，EPS1 和 EPS2 本身初始化过程并不完全相同，其初始化时间也不可能完全相同，在底层驱动软件中，会对二者的初始化过程有容错处理，即二者允许一定的时间差，这对后续的同步处理机制比较关键。在不同的软件刷写场景下，特别是在整车产线的刷新场合，为了降低通信异常，在刷新阶段结束后，一般尽量使得各个被刷新的 EPS 同步进入正常模式，此时上位机的退出指令一般采用功能寻址的方式，确保所连接总线的各个ECU均可以收到，进而同步进入到工作模式。以下是几种不同的刷写情况，需要考虑 EPS1 和 EPS2 的同步情况：（1）由图 1 可知 EPS1 和 EPS2 均对刷新诊断仪可见，即诊

13、断仪在刷新完毕后的退出指令二者均可以收到，当正常完成刷新后，EPS1 和 EPS2 同步进入 APP 模式，系统在不需要进行额外操作（如整车休眠）的情况下恢复到正常系统状态和助力状态，此时自然满足客户产线或售后刷新，特别是OTA 的应用场景。（2）假定 EPS1 和 EPS2 在第一次刷新过程中有失败而进行重新刷新，此时分 2 种情况，一是EPS1 和 EPS2 均刷新失败了，二者均需要重新刷新，从同步的角度与第一次刷新情况相同；二是只有 EPS1 或 EPS2 刷新失败了，重新刷新的过程中，刷新诊断仪一般情况下只会对失败的 EPS 进行刷新，刷新完毕后，上位机仍然会发送 1001 指令，理论

14、上 EPS1 和 EPS2 均可以收到，此时之前刷新成功的 EPS 可以主动进行 reset，从而与处于 Boot模式下 EPS 进行同步。如图 3 所示，在软件策略中有一个决定 EPS系统是否进入APP模式或Boot模式的软件模块图 2 一般刷新过程Fig.2 Generic flashing process刷新前准备刷新过程刷新后处理关闭普通通信关闭故障码记录检查刷新条件安全认证擦除待刷新区域请求下载数据数据正当性校验刷新数据数据完整性校验写入刷新日期写入诊断仪标志写入其他数据更新APP 模式BOOT 模式APP 模式75第 61 卷第 8 期BootManager，一般情况下此部分代码在

15、程序启动后首先执行来判断系统是否应进入 APP 模式或Boot 模式。如图 4 所示，BootManager 中对 APP 完整性校验和刷新请求检查二者可以不分先后。一般的刷新过程即系统软件在 APP 模式下，收到刷新请求并确认后，置位相应的标志位触发程序重启，BootManager 再检测到这些标志位后，会进入刷新模式。因此，为保证在刷写结束后 EPS1 和 EPS2 能够实现同步，刷写诊断仪的进入 APP 模式指令要求通过功能寻址请求。2 同步机制优化可见上述同步过程以上位机的刷新结束命令为起点，处于 APP 模式的 EPS1 或 EPS2 主动重启以达到同步的目的。其中，严格设定处于 A

16、PP 模式下的 EPS1 或 EPS2 进行重启前提条件是优化的核心，以减少对其正常功能的影响。图 5 所示为EPS 重启功能的设定条件，包含禁用非诊断通信、关闭 DTC 记录、相应的安全认证、不同的诊断仪地址等。在满足图 5 所有的条件之后调用 HWLI_ShutdownTaskContainer 函数，HWLib 软件控制 2 个ASIC 芯片进行重启。MCU（Micro-ControllerUnit）芯片由 ASIC 芯片供电，因此 2 个 MCU 同样发生复位重启，在初始化完成后由于 CAN 收发器在持续接收总线信息，此时收发器通知 ASIC 芯片工作并给 MCU 芯片供电激活 MCU

17、 工作。在完成一系列重启工作后，整个 EPS 系统的 2 个子系统保持在相同的模式下，此时系统状态正常且能够输出期望的助力。3 测试验证在EPS设计阶段，定义了表1所示的系统状态。表 1 EPS 系统状态定义Tab.1 Defination of EPS system state 系统状态数值描述NMWait1等待唤醒KL30Wait2等待上 KL30 电PreDrive3准备进入驱动模式DriveDown4系统状态正常但通讯不满足助力条件DriveUp5提供助力PostRun6休眠过程Off7关断Error8错误状态FailOp11失败操作在没有前文同步机制的情况下，利用原始的刷写步骤及 E

18、PS 软件测试，对 EPS2 进行单独刷写后出现读取故障，如图 6（a）所示。图 6（a）中EPS 从 40s 左右开始进入 Boot 刷新模式，142s 时跳出 Boot 模式，之后完成信息写入。在 167s 时观察 EPS 的状态和故障码，ECU1 触发了同步失调故席刚刚等：一种基于双冗余 EPS 系统的单独刷新实现方案ECU1APP 模式ECU2Boot 模式BootManagerBootManagerAPP 模式APP 模式IPC图 4 部分刷新跳转模式Fig.4 Transition mode of partly flashed图 3 Boot Manager 基本逻辑Fig.3 B

19、oot Manager basic workflowAPP 模式Boot 模式是否否是开始是否有刷新请求APP 是否完整图 5 软件重启条件判定Fig.5 Software reset condition76农业装备与车辆工程 2023 年障码并且为当前故障。EPS1 的系统状态变量显示为半助力状态，此时助力降级。用于触发仪表显示故障的标志位也被置位，此时仪表显示“转向助力减弱”字样，从而影响整车下线。在售后 OTA应用场景下，还可能会造成驾驶员恐慌。在集成了同步机制的新软件中，重复原有的刷写步骤，在 EPS1 软件不刷的情况下，只对 EPS2进行刷写，结束后读取故障如图 6（b）所示。软件大

20、概在 65s 时进入 Boot 刷新模式，158s 左右跳出 Boot 模式。随后观察 ECU 的系统状态和故障码，发现 ECU 当前只有历史故障码（历史同步超时），EPS1 和 EPS2 均 恢 复到正常工作模式，触发仪表亮灯标志位也没有置位。可以看出，在不进行额外重新上下电操作的情况下，系统恢复了正常。4 结语结合实际项目，本文提出了一种针对双ECU 冗余 EPS 系统的单独刷新方案。通过这种方案，最大限度地减少刷新时间，实测达到了客户对刷新时间的要求；同时设计了一种有效的同步机制，保证了冗余系统的同步特性，刷新完毕后系统能自行恢复正常，在售后OTA 应用场景下发挥重要作用。目前应用项目已

21、经进入批产状态，实际测试结果很好地证明该方案的可行性和可靠性。参考文献1 徐平,郑虎.自动驾驶中的电动助力转向系统 J.汽车电器,2018(06):28-31.2朱鹏波,温小锋,杨毅.远程诊断技术在汽车 OTA 刷新应用的研究 J.汽车实用技术,2021,46(07):45-49.3李娟,刘鑫,张玉敏,等.基于 CAN 的 UDS 服务 Bootloader 设计 J.电脑知识与技术,2021,17(27):129-131.4陈睿智,石春,吴刚,等.面向 OTA 需求的汽车电控单元Bootloader 设计 J.仪表技术,2021(02):8-12+22.DOI:10.19432/ki.iss

22、n1006-2394.2021.02.003.5汪春华,白稳峰,刘胤博,等.基于 CAN 总线 UDS 服务Bootloader 应用开发 J.电子测量技术,2017,40(02):166-1706王孟钊.SHA1算法的研究及应用J.信息技术,2018,42(08):152-153,158作者简介 席刚刚，男，硕士，研究方向：软件测试与软件技术支持。E-mail：ganggang.xiboschhuayu-（b）图 6 2 种方案刷写结果对比Fig.6 Comparison of the flashing results of two schemes（a）未采用同步机制前（b）采用同步机制后D

23、TC 高中字节DTC 低字节ECU1 系统状态ECUI2 系统状态仪表故障指示6000055000500004500040000350003000025000200001500010000200150100500-50-100-150-200-250-3005550454035302520151050-5-1050454035302520151050-5-10-15-20-25-30-358765432TrueFalse刷写前系统状态为4(drivedown)刷写前系统状态为4(drivedown)刷写前未降助力刷写后故障码高中字节为 61440，对应 hex 为 0F000刷写后故障码低字节

24、为 73，对应 hex 为 049刷写后系统状态为 11(failop)刷写后仪表显示降助力软件刷写阶段455565758595105115125135145155165175185刷写后系统状态为 11(failop)（a）DTC 高中字节DTC 低字节ECU1 系统状态ECUI2 系统状态仪表故障指示6000040000200000-20000-40000-60000-80000-100000-120000-140000200150100500-50-100-150-200-250454035302520151050-5-102520151050-5-10-158765432TrueFalse-16080100120140160180200220240260刷写前系统状态为 4(drivedown)刷写前系统状态为 4(drivedown)刷写前未降助力刷写后故障码高中字节为 61440，对应 hex 为 0F000刷写后故障码低字节为 73，对应 hex为049，状态为历史刷写后系统状态为 4(drivedown)刷写后系统状态为 4(drivedown)刷写后仪表未显示降助力软件刷写阶段