3 Diseño de la ECU

3.1 La ECU
Una Unidad de Control Electrónico, o ECU, es un dispositivo conectado a la red de comu-
nicaciones interna del vehículo y se utiliza para controlar el comportamiento del resto de
dispositivos. Funciona por lo tanto como la centralita del sistema de potencia, automati-
zando el funcionamiento del coche, supervisando los errores y actuando en consecuencia.
El ordenador sobre el que va a trabajar la ECU debe tener entradas y salidas suficientes y
soporte para comunicación CAN. Además, debe tener una buena capacidad de cálculo que
permita controlar el sistema en tiempo reall. Debe ser compacto, de dimensiones reducidas,
con el fin de poder portarse y embeberse en el vehículo. Es deseable que sea versátil, esto
es, que sea capaz de desempeñar tareas de propósito general como supervisión, comunica-
ción con otros dispositivos, alarmas, etc. Tiene que tener un alto nivel de compatibilidad
con los estándares más usados en este tipo de aplicaciones y con el software típico en la
investigación.
Se le aplican al dispositivo, por tanto, dos atributos importantes como son funcionar
en “tiempo real” y ser “embebido”. Se puede entender que un sistema funciona en tiempo
real si es capaz de procesar y proporcionar una respuesta a una entrada dada en un tiempo,
como mucho, igual al que tarda en recibir la siguiente entrada. Es decir, no se dan intervalos
acumulativos de espera que podrían producir retardo e inestabilidad. Esto, obviamente, es
relativo y depende enormemente del entorno y del sistema sujeto a control. Se trata entonces
de establecer una concordancia entre el tiempo interno, que es el aquél característico de
funcionamiento del sistema controlador, y el tiempo externo, que es el tiempo en que se
suceden eventos de consideración en el sistema a controlar. El primero puede ser más o
menos fácil de establecer, teniendo en cuenta el tiempo de muestreo, la velocidad de cálculo
(supeditada a la frecuencia de reloj) y el retardo de los componentes físicos. El segundo es
más abstracto y depende tanto de la naturaleza del sistema como de su correspondiente
modelo y qué queremos obtener de él. Como es lógico, cuanto menor sea el interno con
relación al externo, mejor.
Un sistema embebido es, literalmente, un sistema dentro de otro. En el sentido espacial el
sistema externo suele contener al interno (excepto cuando el embebido es a su vez el propio
revestimiento del conjunto, como un chasis inteligente), ubicados como una sola entidad
física, siendo este último de menores dimensiones y a menudo transportado por aquél,
como es el caso de un vehículo. Esta particularidad exige al sistema embebido una serie de
especificaciones, no sólo en cuanto a tamaño y peso, sino también en cuanto a temperatura,

55
56 Capítulo 3. Diseño de la ECU

consumo de energía, robustez. . . En el sentido del control automático, el sistema embebido

controla uno o varios procesos del sistema externo, funcionando a menudo como maestro y
comunicándose con el resto de subsistemas a través de buses. Por consiguiente, la rapidez
de funcionamiento del sistema embebido es muy importante, debiendo ser idealmente
mucho mayor que la del sistema en que se embebe para un buen comportamiento en línea
del conjunto. Es por ello que en muchas ocasiones “sistema embebido” y “sistema en
tiempo real” son conceptos que van cogidos de la mano.
Todos estos aspectos de diseño confluyen en la elección de un PC como plataforma por
su versatilidad y compatibilidad, pero en el formato de PC/104. Éste es un computador de
arquitectura x86 compacto, el cual lleva incorporadas la interfaz CAN y la tarjeta CAD/C-
DA de adquisición de datos analógicos y digitales, así como su fuente de alimentación.
Asimismo, el programa de la ECU está desarrollado en lenguaje de programación C, que
permite la utilización del estándar POSIX para el trabajo con subprocesos paralelos en
tiempo real. El sistema operativo en tiempo real usado para el desarrollo y para la ejecución
del programa es QNX.
Particularmente, las funciones de la ECU del DELFÍN 2 son:

- Control y supervisión de las pilas de combustible: haciendo uso de las señales pro-
porcionadas y generadas por la tarjeta de adquisición y de la información transmitida
por el CVM a través de uno de los buses CAN.
- Control y supervisión del circuito de hidrógeno: haciendo uso de las señales analógi-
cas proporcionadas y generadas por la tarjeta de adquisición.
- Medición de otras señales de interés, como el pedal de aceleración y la seta de
emergencia: a través de la tarjeta de adquisición.
- Gestión de potencia: mediante el bus CAN ejerce de maestro del DSP del bus de
potencia, supervisando su estado, la tensión en el bus y la carga de las baterías. De
la misma forma, le manda los comandos de arranque/parada de los convertidores y
las consignas de corriente de las pilas.
- Comunicación con la interfaz de usuario: a través del otro bus CAN recibe del PC-
Car las selecciones que el usuario hace en la pantalla y le manda los valores de los
parámetros y los errores del sistema para su registro e impresión.

3.2 Hardware de la ECU

3.2.1 PC/104

Un PC/104 es un form factor 1 estandarizado de un PC de arquitectura x86. Se caracteriza

por una placa base con la CPU y sus periféricos principales de forma cuadrangular y
compacta, de volumen pequeño, y cuyo bus de expansión (PCI, ISA,...) permite que los
periféricos añadidos se agreguen verticalmente, unos encima de otros, conformando un
apilamiento. No llevan incluída adaptación a la red eléctrica, que debe hacerse externamente.
1
El término form factor es una manera de expresar las diferentes formas existentes en el mercado con que se
presenta una microcomputadora, en términos de distribución de sus elementos físicos, de características
geométricas, eléctricas y térmicas.
 3.3 Tarjeta de adquisición 57

Figura 3.1 El PC/104 montado con sus tarjetas de expansión.

Su configuración física busca la compactación, por lo que los elementos de refrigeración

se reducen al mínimo. Asimismo, es posible su funcionamiento con sistemas de almacena-
miento que eviten la utilización de discos duros o unidades de disco óptico. En este caso
usamos una tarjeta compact flash. Es por ello que es un dispositivo muy apropiado para
instalarse embebido en entornos con vibraciones y poco espacio, tales como vehículos, sin
perder las ventajas de un PC y su capacidad de ampliación. En la Figura 3.1 se muestra el
aspecto del modelo usado PCM-3375 de Advantech con todas las tarjetas de expansión
montadas. Para la identificación de conectores y demás elementos, se remite al lector al
manual. Las características de interés se muestran en la Tabla 3.1.

3.3 Tarjeta de adquisición

Se trata de un módulo para el puerto ISA de expansión del PC/104 provisto de convertidores
analógico/digital y digital/analógico con un número suficiente de entradas y salidas para
medir y proporcionar las señales eléctricas necesarias en el sistema. Además, está provisto de
entradas/salidas digitales que permiten detectar el estado de los elementos discretos y actuar
sobre los relés. La dirección de memoria base2 y el modo de lectura (simple o diferencial)
se seleccionan mediante jumpers, mientras que el rango, la ganancia y la polaridad de
2
Hay que prestar atención en proporcionar distintas direcciones de memoria base e interrupciones IRQ a la
tarjeta de adquisición y a la tarjeta CAN.
58 Capítulo 3. Diseño de la ECU

Tabla 3.1 Especificaciones del PC/104.

Fabricante Advantech
Modelo PCM-3375
CPU VIA Mark 533MHz
BIOS 256 KB Flash
Memoria 512 MB SDRAM
Chipset VIA VT8606
Memoria caché 64 KB L2
Puertos serie 1 puerto RS-232 port, 1 puerto RS-232/422/485
Puertos USB 2 puertos USB 1.1
Interfaz ethernet Intel 82551ER 10/100BASE-T
Tensión de alimentación AT, +5V +/-5 %, +12V +/-5 %
Temperatura de operación 0 a 60 °C

las señales se pueden configurar mediante el software. El fabricante proporciona tanto el

controlador compatible con QNX como la librería de funciones en C necesarias para su
funcionamiento.

Tabla 3.2 Especificaciones de la tarjeta de adquisición.

Fabricante Diamond Systems

Modelo DIAMOND-MM-16-AT
Entradas analógicas
16/8 entradas simples/diferenciales
16 bits de resolución
100 KHz tasa de muestreo
Rango máximo +/- 10 V
Rangos unipolares y bipolares
Salidas analógicas
4 salidas
12 bits de resolución
Rango máximo +/- 10 V
Rangos unipolares y bipolares
Tiempo de refresco 4 ms
E/S digitales
8 entradas/salidas
Tensión para el 0 de 0 V a 0,33 V
Tensión para el 1 de 3,8 V a 5 V

3.3.1 Tarjeta de comunicación CAN

El periférico instalado en el PC/104 para la comunicación con los buses CAN es PCAN-
PC/104-Plus de PEAK Systems. Está dotado con dos canales CAN de hasta 1 Mbps. El
fabricante provee controlador y librería de funciones para su uso sobre QNX.
 3.4 Software de la ECU 59

Figura 3.2 La tarjeta PCAN de Peak Sys..

3.3.2 Módulo de alimentación

El PC requiere de alimentaciones a 5V y 12V. Para ello se utiliza el módulo PM-P005 del

fabricante IEI Tech. Corp., que puede conectarse en el bus ISA como un módulo más. Sus
principales características son:

Tabla 3.3 Especificaciones del módulo de alimentación del PC/104.

Fabricante IEI Tech. Corp.

Modelo PM-P005-UMN
Entrada de 8 a 36 VDC
Capacidad total de salida 60 W
Salida de 5 V 12 A máx.
Salida de 12 V 5 A máx.
Salida de 3,3 V 10 A máx.
Salida de 5 V standby 1 A máx.

3.4 Software de la ECU

El objetivo es el control de muchos sistemas diferentes en paralelo y con rápida respuesta

ante eventos. Se requiere por ello un soporte software que pueda trabajar en tiempo real.
Se ha escogido el sistema operativo QNX.

3.4.1 QNX

QNX (pronunciado Q.N.X. o Q-nix) es un sistema operativo en tiempo real basado en Unix
que cumple con la norma POSIX. Desarrollado por la empresa canadiense QNX Software
Systems, está disponible para diferentes arquitecturas como x86, PowerPC, o ARM. QNX
está basado en una estructura de micronúcleo que proporciona características de estabilidad
avanzadas frente a fallos de dispositivos, aplicaciones, etc.
60 Capítulo 3. Diseño de la ECU

Este sistema operativo permite su utilización en forma de “imágenes”, es decir, se pueden

configurar distintos arranques que carguen en el sistema versiones parciales del S.O. De esta
forma, se puede trabajar con él tanto en una etapa de desarrollo, donde es necesario cargar
un gran número de controladores y procesos en memoria, como en una etapa de producto
final donde el S.O. arranque con lo mínimo necesario para ejecutar de forma directa el
programa desarrollado, sin intervención humana. En la etapa de desarrollo, por comodidad,
presenta al usuario un sistema de ventanas, llamado Photon. QNX está orientado a su
utilización en microcontroladores y sistemas críticos, y se desarrolla principalmente para
su uso en dispositivos empotrados.

3.4.2 Lenguaje de programación C

El programa de la ECU se ha implementado haciendo uso del lenguaje C, cuya universalidad

y versatilidad se unen a la facilidad para trabajar con tareas en paralelo. El estándar POSIX
se puede explotar en forma de funciones de librería que trabajan con los conceptos de
subprocesos o hilos y de semáforos binarios o “mutex”. Estas funciones consisten en
llamadas al núcleo del sistema operativo, que realiza labores de planificación en tiempo
real de forma transparente al programador.

3.5 Señales eléctricas de sensores y actuadores

En la Tabla 3.4 se sintetiza el juego de señales analógicas y digitales, de entrada y salida,
que la ECU trata a través de la tarjeta de adquisición para medir magnitudes de los sensores
y aplicar señales sobre los elementos actuadores. Se distinguen básicamente tres grupos:
las señales de control de las pilas de combustible, las señales de control del circuito de
hidrógeno y las de otros elementos, como son la señal del pedal de aceleración y el estado
del botón de emergencia. Se incluyen también los nombres de las variables globales que
almacenan sus valores en el programa.

3.6 La comunicación CAN

3.6.1 Controller Area Network (CAN)

CAN es un protocolo de comunicaciones desarrollado por la firma alemana Robert Bosch

GmbH, basado en una topología bus para la transmisión de mensajes en ambientes distri-
buídos que además ofrece una solución a la gestión de la comunicación entre múltiples
unidades centrales de proceso. CAN fue desarrollado inicialmente para aplicaciones en
los automóviles y por lo tanto la plataforma del protocolo es resultado de las necesidades
existentes en el área de la automoción. La Organización Internacional para la Estandari-
zación3 define dos tipos de redes CAN: una red de alta velocidad (hasta 1 Mbps), bajo el
estándar ISO 11898-2, destinada para controlar el motor e interconectar la unidades de
control electrónico (ECU); y una red de baja velocidad tolerante a fallos (menor o igual
a 125 Kbps), bajo el estándar ISO 11519-2/ISO 11898-3, dedicada a la comunicación de
los dispositivos electrónicos internos de un automóvil como son control de puertas, techo
corredizo, luces y asientos.
3
ISO, International Organization for Standarization
 Tabla 3.4 Señales de sensores y actuadores de la ECU.
Señal Tipo Método Rango Rango de tensión Cantidad Variable

Temperatura del aire de entrada In Adq. analog. -20 a 100 ºC 0 a 10 V 1x2 entrada_cad.temp_aire_fc1,2
Temperatura de pila In Adq. analog. -20 a 100 ºC 0 a 10 V 1x2 entrada_cad.temp_stack_fc1,2
Temperatura del depósito de H2 In Adq. analog. -50 a 150 ºC 0a5V 1x1 entrada_cad.temp_depo
Presión del depósito de H2 In Adq. analog. 0 a 450 bar 0a5V 1x1 entrada_cad.pres_depo
Presión alta de H2 In Adq. analog. 0 a 250 bar 0a5V 1x1 entrada_cad.pres_alta
Presión baja de H2 In Adq. analog. 0 a 10 bar 0a5V 1x1 entrada_cad.pres_baja
Acelerador In Adq. analog. 0 a 100 % 0a5V 1x1 entrada_cad.acelerador
Estado de la seta de emergencia In Adq. digital ON/OFF 0/5 V 1x1 entrada_dig (LSb)
Velocidad del ventilador Out Adq. analog. 0 a 100 % 0 a 10 V 1x2 salida_cda.fan_fc1,2
Apertura de válvula de purga de H2 Out Adq. digital ON/OFF 0/5 V 1x2 salida_dig (LSb/LSb+2)
Apertura de válvula del depósito de H2 Out Adq. digital ON/OFF 0/5 V 1x1 salida_dig (LSb+1)
3.6 La comunicación CAN
61
62 Capítulo 3. Diseño de la ECU

El protocolo de comunicaciones CAN proporciona los siguientes beneficios:

- Es un protocolo de comunicaciones normalizado, con lo que se simplifica y economi-

za la tarea de comunicar subsistemas de diferentes fabricantes sobre una red común
o bus.
- El procesador anfitrión (host) delega la carga de comunicaciones a un periférico
inteligente, por lo tanto el procesador anfitrión dispone de mayor tiempo para ejecutar
sus propias tareas.
- Al ser una red multiplexada, reduce considerablemente el cableado y elimina las
conexiones punto a punto.

Principales características de CAN

CAN se basa en el paradigma productor/consumidores de comunicaciones de datos. CAN
es un protocolo orientado a mensajes, es decir, la información que se va a intercambiar
se descompone en mensajes, a los cuales se les asigna un identificador y se encapsulan
en tramas para su transmisión. Cada mensaje tiene un identificador único dentro de la
red, con el cual los nodos deciden aceptar o no dicho mensaje. Dentro de sus principales
características se encuentran:

- Prioridad de mensajes.
- Garantía de tiempos de latencia.
- Flexibilidad en la configuración.
- Recepción por multidifusión (multicast) con sincronización de tiempos.
- Sistema robusto en cuanto a consistencia de datos.
- Sistema multimaestro.
- Detección y señalización de errores.
- Retransmisión automática de tramas erróneas.
- Distinción entre errores temporales y fallas permanentes de los nodos de la red y
desconexión autónoma de nodos defectuosos.

Soporte físico
- Cables: Las señales del bus CAN están eléctricamente aisladas para aumentar la
inmunidad frente al ruido e interferencias, robusteciendo así la comunicación. Ade-
más incorpora elementos de protección de las líneas del bus como supresores de
transitorios de tensión. La información circula por dos cables trenzados que unen
todas las unidades de control que forman el sistema. Esta información se trasmite
por diferencia de tensión entre los dos cables, de forma que un valor alto de tensión
representa un 1 y un valor bajo de tensión representa un 0. La combinación adecuada
de unos y ceros conforman el mensaje a trasmitir. En un cable los valores de tensión
oscilan entre 0 V y 2,25 V, por lo que se denomina cable L (Low) y en el otro, el cable
H (High) lo hacen entre 2,75 V y 5 V. En caso de que se interrumpa la línea H o que
se derive a masa, el sistema trabajará con la señal de Low con respecto a masa, en el
caso de que se interrumpa la línea L, ocurrirá lo contrario. Esta situación permite
 3.6 La comunicación CAN 63

Figura 3.3 Señales eléctricas del bus CAN.

que el sistema siga trabajando con uno de los cables cortados o comunicados a masa,
incluso con ambos comunicados también sería posible el funcionamiento, quedando
fuera de servicio solamente cuando ambos cables se cortan. Es importante tener en
cuenta que el trenzado entre ambas líneas sirve para anular los campos magnéticos,
por lo que no se debe modificar en ningún caso ni el paso ni la longitud de dichos
cables. Para más información remítase al documento [3].
- Elemento de cierre o terminador: Son resistencias conectadas a los extremos de
los cables H y L. Sus valores se obtienen de forma empírica y permiten adecuar el
funcionamiento del sistema a diferentes longitudes de cables y número de unidades
de control abonadas, ya que impiden fenómenos de reflexión que pueden perturbar
el mensaje.
- Conectores: En la Figura 3.3 se indica la correspondencia entre las señales y los
pines correspondientes de los conectores DB-9 usados en este estándar.

La trama CAN
Consiste en una secuencia de bits con cabecera y cola, dividida en campos. Los más
relevantes son:

- Identificador: Es el número que identifica al receptor del mensaje y puede servir

para dotar al mismo de prioridad. En formato simple consta de 11 bits y en formato
extendido 2.0 B de 29 bits (229 identificadores).
- RTR: Se trata de un bit que toma valor 0 para indicar que la trama contiene datos.
- IDE: Bit que indica con valor 0 si la trama es simple y con 1 que es extendida.
- DLC: Indica el número de octetos que ocupa el campo de datos.
- Campo de datos: Puede tener hasta 8 octetos de longitud.
- CRC: Código de redundancia cíclico para la comprobación de errores en la trama.

3.6.2 Los buses CAN del DELFÍN 2

Al disponer de una tarjeta CAN en la ECU de dos canales, se ha optado por la utilización
de ambos al mismo tiempo, resultando de esta forma dos buses CAN como se representa en
la Figura 3.4. En uno de ellos se conecta el CVM, mientras que el otro es compartido por
los convertidores de potencia y por la GUI. El formato de trama utilizado es el extendido,
que permite un mayor juego de identificadores y mayor expansión. La tasa de datos es 1
Mbps, debido a que se trabaja con mensajes de comandos que pueden requerir un tiempo
de respuesta rápido.
64 Capítulo 3. Diseño de la ECU

Figura 3.4 Buses CAN del DELFÍN 2.

3.7 Comunicación con el CVM

En el bus conectado al canal 2 de la ECU, la comunicación se reduce a dos elementos: la

ECU y el conversor de RS/485 a CAN. Por ello, el identificador de mensaje es único y se
establece un diálogo de petición por parte de la ECU y respuesta por parte del CVM. En el
campo de datos de la trama se encapsula la secuencia de caracteres ASCII que pueden leer
los módulos de adquisición del CVM. En Tabla 3.5 se señala la secuencia para un mensaje
de petición de la ECU. Se encabeza con el caracter ] seguido del caracter 0 para indicar que
es una petición de medida, continúa indicando el identificador del módulo correspondiente
y el número del canal y cierra con el caracter retorno de carro (CR). Una vez enviado, el
CVM responde con la secuencia de la Tabla 3.6, empezada con el caracter ! seguido de
la medida en formato de 4 caracteres ASCII empezando por el byte menos significativo.
Para leer la medida, se pasa cada caracter a su valor numérico representado y se realiza la
siguiente conversión:

dato = datos[0]*0x1000+datos[1]*0x100+datos[2]*0x10+datos[3]*0x1;
medida = (float) dato * RANGO_CVM / 0x7FFF;

El par envío-respuesta se realiza para las 56 medidas de tensión de pares de celdas de forma
cíclica.

Tabla 3.5 Formato de mensaje encapsulado

para la petición de medidas.

] 0 ID. MOD. ID. CANAL CR

Tabla 3.6 Formato de mensaje encapsulado con los valo-

res de las medidas.

! DATO 3 DATO 2 DATO 1 DATO 0 CR

 3.8 Comunicación con los convertidores de potencia 65

3.8 Comunicación con los convertidores de potencia

El DSP que gobierna los convertidores se comunica con la ECU a través del bus CAN,
si bien lo hace siguiendo un protocolo atípico de envío-respuesta. La ECU se dirige
específicamente a cada convertidor escribiendo mensajes en el bus CAN con distintos
identificadores, reflejados en la Tabla 3.9. A su vez, las respuestas provenientes del DSP
llevan el identificador asignado a la ECU. En el campo de datos del mensaje CAN va
encapsulada la información con el formato descrito en la Tabla 3.7 y la Tabla 3.8. La ECU
manda en el mensaje un dato y un comando. Los comandos pueden ser de cambio de estado,
de consigna para cambiar el tope de corriente demandada a las pilas o de monitorización
para recoger las medidas. En la Tabla 3.10 están recogidos junto con el número al que
equivalen en el mensaje. En el caso de comando de cambio de estado o de consigna, la
ECU manda un mensaje especificando el comando correspondiente y el dato de consigna
si es necesario. El DSP responde con un mensaje tipo 1 a modo de asentimiento. Para la
monitorización, el procedimiento es el siguiente:

1. La ECU manda un mensaje con el identificador correspondiente al convertidor del

que se quiere obtener datos, con el comando MONITORIZACION y el valor 0 en los
datos.

2. El DSP responde con un mensaje tipo 1 como asentimiento, indicando en el campo

“nº de datos” cuántos datos va a enviar a la ECU y en el campo dato el primero de
ellos.

3. La ECU repite el paso 1 con el valor 1 en datos.

4. El DSP responde con un mensaje tipo 2 con los dos siguientes datos.

5. El proceso se repite hasta que el nº de datos total se recibe correctamente.

Los datos que se monitorizan son 7 (4 mensajes de respuesta) y son los siguientes en este
orden: estado, corriente de entrada, voltaje de entrada, voltaje del condensador, corriente
del motor, error y alarma de error. Es obvio que la naturaleza de los mensajes obliga a
proceder mandando secuencialmente los mensajes de monitorización de forma continua a
cada convertidor, esperando respuesta cada vez, mientras que los de comandos se enviarán
de forma asíncrona cuando procedan, esperando asentimiento para comprobar que han
llegado. En la Tabla 3.11 se reflejan los códigos que equivalen a los distintos estados y en
la Tabla 3.12 los de los errores. Las medidas de corriente y de tensión se envían en forma
de flotante de 32 bits repartido en los 4 octetos.

Tabla 3.7 Formato de mensaje de la ECU a los convertidores.

Byte 0 Byte 1 Byte 2 Byte 3 Byte 4 Byte 5 Byte 6 Byte 7

DATO X X X COMANDO
66 Capítulo 3. Diseño de la ECU

Tabla 3.8 Formato de mensaje de respuesta de los convertidores.

Byte 0 Byte 1 Byte 2 Byte 3 Byte 4 Byte 5 Byte 6 Byte 7
Tipo 1 CONVERT. COMANDO Nº DATOS DATO
Tipo 2 DATO DATO

Tabla 3.10 Comandos a los convertido-

Tabla 3.9 Identificadores de los res.
mensajes CAN entre
ECU y convertidores. Nombre Mapeado
START 1
ID STOP 2
Respuesta 0x01 CONSIGNA 3
Convertidor Pila 1 0x02 REARME 4
Convertidor Pila 2 0x04 MONITORIZACIÓN 5
Convertidor Baterías 0x08 START GENERAL 6
STOP GENERAL 7
Tabla 3.12 Errores de los convertido-
res.
Tabla 3.11 Estados de los Error Código
convertido- Sin error 0x0000
res. Corriente entrada máx. 0x0001
Corriente entrada mín. 0x0002
Estado Código
Voltaje entrada máx. 0x0004
REPOSO 0x00
Voltaje entrada mín. 0x0008
MARCHA 0x01
Corr. Cond. máx. 0x0010
ERROR 0x02
Corr. Cond. mín. 0x0020
REARME 0x03
Volt. Cond. Máx. 0x0040
Volt. Cond. Min. 0x0080
Driver 0x0100

3.9 Comunicación con la GUI

La ECU manda a la GUI una sucesión de mensajes cada 500 ms. Cada uno de ellos tiene
un identificador CAN distinto y porta en el campo de datos un máximo de 8 octetos de
información. Por supuesto, al compartir bus con los convertidores, los identificadores deben
de ser distintos a los usados por aquéllos, que ya están fijados. Según el rango y la resolución
deseada para cada variable, éstas ocupan entre uno y dos octetos dentro del campo de datos.
Esto requiere de una conversión del dato en la ECU que luego será revertida en la GUI. Por
ejemplo, la medida de la tensión en el acelerador tiene un rango de 0 a 5 V. Si aceptamos
una resolución de 0,1 V podemos representar todo el rango con 50 valores, para los cuales
es suficiente un octeto ya que permite representar un total de 256 valores.
En la Tabla 3.13 se recogen las variables agrupadas por el mensaje que las contiene y su
identificador. Se puede observar que se agrupan por afinidad, de forma que se tienen las
medidas del bus de potencia, las del circuito de hidrógeno, las del CVM y de adquisición
de cada pila, la de la seta de emergencia, los estados de los convertidores y los errores. En
sentido contrario, la GUI manda a la ECU los comandos seleccionados por el usuario para
 3.10 Control de las pilas de hidrógeno 67

los convertidores, de forma asíncrona. Además la ECU manda un mensaje de watchdog

para indicarle a la GUI que está operativa, mientras que la GUI hace lo propio con un
heartbeat.

3.10 Control de las pilas de hidrógeno

El control de las dos pilas de combusible se ha realizado de forma independiente para

cada una, siguiendo las condiciones descritas en la Sección 2.7. En función de la corriente
demandada en cada ciclo, se calcula la temperatura óptima de operación con 2.7. En cuanto
al nivel estequiométrico del oxidante, se calcula 2.12 con 2.10 para la temperatura de entrada
medida y además se halla el flujo óptimo en el supuesto de que ésta sea la óptima. La
actuación se ejerce sobre la señal de los ventiladores, pudiendo hacerse uno del controlador
que se desee. En principio, se ha estado usando un control proporcional, aplicando una
constante mayor en el caso de transitorios de potencia. Por otro lado, el control se completa
cambiando los parámetros del subproceso que controla las válvulas de purga, definiendo
diferentes tipos de purga para los distintos estados en función de su duración e intervalo y
de si son únicas o reiteradas.
Se han considerado sendas máquinas de estados, resultando un flujo representado en la
Figura 3.5. La descripción de los estados es la siguiente:
- REPOSO: es el estado inicial en que la pila se deja preparada para empezar el
funcionamiento. No se demanda corriente ni se controla.

- ARRANQUE: es un estado transitorio entre el REPOSO y la MARCHA, donde se

aplica el acondicionamiento con una carga y potencia de ventiladores bajas y una
purga única de arranque con una duración mayor que la normal.

- MARCHA: es el estado donde se controla la pila en función de la corriente deman-

dada, actuando sobre los ventiladores y cambiando el intervalo de purga.

- TRANSITORIO: es un estado al que el estado de MARCHA accede puntualmente en

el caso de que se den transitorios de potencia, es decir, un incremento considerable
en la demanda de corriente en poco tiempo que obliga a aumentar la temperatura y a
aplicar una purga extra para alcanzar antes la estabilización.

- PARADA NORMAL: se trata de la finalización del funcionamiento de la pila, en

que se deja de demandar corriente y de controlarla. El convertidor de la pila sigue en
marcha, ya que se pasa al estado de REPOSO en previsión de volver a ponerse en
marcha.

- PARADA DE EMERGENCIA: es una parada más crítica y tajante, donde además

de detener el convertidor, se corta la corriente y el flujo de H2 .

- ERROR: es el estado en el que permanece la pila ante una parada de emergencia

o circunstancias anómalas durante el funcionamiento, en espera de un comando
especial dado por el usuario o un rearranque del sistema, en que vuelve a estado de
REPOSO.
68 Capítulo 3. Diseño de la ECU

Tabla 3.13 Mensajes CAN entre ECU y GUI.

TX/RX Rango Código Resolución ID CAN
Tensión Conv. Bat ECU→GUI 0-75V 1 Byte Unsigned 1V
Corriente Conv. Bat ECU→GUI -35-60A 1 Byte Signed 1A
Tensión Conv. FC 1 ECU→GUI 0-75V 1 Byte Unsigned 1V
Corriente Conv. FC 1 ECU→GUI 0-60A 1 Byte Unsigned 1A 0x51
Tensión Conv. FC 2 ECU→GUI 0-75V 1 Byte Unsigned 1V
Corriente Conv. FC 2 ECU→GUI 0-60A 1 Byte Unsigned 1A
Tensión DC LINK ECU→GUI 0-150V 1 Byte Unsigned 1V
Corriente DC LINK ECU→GUI 0-60A 1 Byte Signed 1A
Tensión Acelerador ECU→GUI 0-5V 1 Byte Usigned 0,1V
Presión Depósito ECU→GUI 0-450bar 1 Byte Unsigned 10bar
Presión Alta ECU→GUI 0-250bar 1 Byte Unsigned 1bar
Presión Baja ECU→GUI 0-10bar 1 Byte Unsigned 0,1bar
Presión Ánodo ECU→GUI 0-2bar 1 Byte Unsigned 0,01bar 0x52
Tª Depósito ECU→GUI -50-127ºC 1 Byte Signed 1ºC
Carga H2 ECU→GUI 0-100 % 1 Byte Unsigned 1%
Válvula Solenoide ECU→GUI ON/OFF 1 bit boolean
Tensión Media Celda FC1 ECU→GUI 0-1V 2 Bytes Unsigned 0,001V
Tensión Desviación Máx. FC1 ECU→GUI 0-1V 2 Bytes Unsigned 0,001V
Tensión Error Desviación Máx. FC1 ECU→GUI 0-1V 2 Bytes Unsigned 0,001V 0x53
Nº Celda Error Tensión Mín. FC1 ECU→GUI 1-56] 1 Byte Unsigned 1
Nº Celda Error Desv. Máx FC1 ECU→GUI 1-56] 1 Byte Unsigned 1
Tª Aire FC1 ECU→GUI 0-127ºC 1 Byte Unsigned 0,5ºC
Tª Stack FC1 ECU→GUI 0-127ºC 1 Byte Unsigned 0,5ºC
Tª Óptima FC1 ECU→GUI 0-127ºC 1 Byte Unsigned 0,5ºC
Estequiometría FC1 ECU→GUI 10-200 1 Byte Unsigned 1 0x54
Duración de Purga FC1 ECU→GUI 0-500ms 1 Byte Unsigned 20ms
Intervalo de Purga FC1 ECU→GUI 50-600s 1 Byte Unsigned 10s
Tensión Ventilador FC1 ECU→GUI 0-10V 1 Byte Unsigned 0,1V
Estado Válvula Purga FC1 ECU→GUI ON/OFF 1 bit boolean
Tensión Media Celda FC2 ECU→GUI 0-1V 2 Bytes Unsigned 0,001V
Tensión Desviación Máx. FC2 ECU→GUI 0-1V 2 Bytes Unsigned 0,001V
Tensión Error Desviación Máx. FC2 ECU→GUI 0-1V 2 Bytes Unsigned 0,001V 0x55
Nº Celda Error Tensión Mín. FC2 ECU→GUI 1-56] 1 Byte Unsigned 1
Nº Celda Error Desv. Máx FC2 ECU→GUI 1-56] 1 Byte Unsigned 1
Tª Aire FC2 ECU→GUI 0-127ºC 1 Byte Unsigned 0,5ºC
Tª Stack FC2 ECU→GUI 0-127ºC 1 Byte Unsigned 0,5ºC
Tª Óptima FC2 ECU→GUI 0-127ºC 1 Byte Unsigned 0,5ºC
Estequiometría FC2 ECU→GUI 10-200 1 Byte Unsigned 1 0x56
Duración de Purga FC2 ECU→GUI 0-500ms 1 Byte Unsigned 2ms
Intervalo de Purga FC2 ECU→GUI 50-600s 1 Byte Unsigned 10s
Tensión Ventilador FC2 ECU→GUI 0-10V 1 Byte Unsigned 0,1V
Estado Válvula Purga FC2 ECU→GUI ON/OFF 1 bit boolean
Seta Emergencia ECU→GUI ON/OFF 1 bit boolean 0x03
Comandos FC1 GUI→ECU 0-6 1 Byte 1 0x31
Comandos FC2 GUI→ECU 0-6 1 Byte 1 0x32
Comandos Conv. FC1 GUI→ECU 0-6 1 Byte 1 0x33
Comandos Conv. FC2 GUI→ECU 0-6 1 Byte 1 0x34
Comandos Conv. Bat. GUI→ECU 0-6 1 Byte 1 0x35
Estado FC1 ECU→GUI 0-6 1 Byte 1
Estado FC2 ECU→GUI 0-6 1 Byte 1
Estado Conv. FC1 ECU→GUI 0-5 1 Byte 1 0x57
Estado Conv. FC2 ECU→GUI 0-5 1 Byte 1
Estado Conv. Bat. ECU→GUI 0-5 1 Byte 1
Errores Leves ECU→GUI ? 8 Byte boolean 0x07
Errores Graves ECU→GUI ? 8 Byte boolean 0x05
Errores Críticos ECU→GUI ? 8 Byte boolean 0x00
Heartbeat GUI→ECU - 1 bit boolean 0x09
Watchdog ECU→GUI - 1 bit boolean 0x11
Figura 3.5 Diagrama de estados de las pilas.
3.10 Control de las pilas de hidrógeno
69
70 Capítulo 3. Diseño de la ECU

3.11 Gestión de potencia

La estrategia a seguir por la ECU para la gestión de potencia está sujeta a las caracterís-
ticas del bus de potencia y de las magnitudes definidas por el sistema de convertidores
realizado por el grupo de Tecnología Electrónica. Se hará un repaso sobre dicho sistema y
posteriormente se presentará la solución adoptada.

3.11.1 Estados de los convertidores

En la Figura 3.6 vemos el diagrama de estados del convertidor de las baterías y en la

Figura 3.7 el del convertidor de cada una de las pilas. Las transiciones entre estados se
producen bajo determinadas condiciones del sistema o mediante los comandos enviados
por la ECU. La descripción de los estados es la siguiente:

- REPOSO: estado inicial, sin realizar control por parte del DSP.
- PRECARGA: transitorio del convertidor de baterías antes de iniciar la MARCHA,
en que se carga el condensador del bus de potencia para estabilizar la tensión en el
mismo y termina cerrando un relé para permitir el paso de corriente.
- MARCHA: el estado de funcionamiento correcto, con control.
- PREALARMA: estado en que se deja de controlar debido a un exceso de corriente
demandada pero que no necesariamente desemboca en fallo.
- ERROR: estado al que se llega desde cualquiera de los demás debido a errores en
baterías o generales, por sobrecorriente, sobretensión o tensión baja.
- REARME: transitorio donde se limpian las banderas de errores y se pasa al REPOSO.
Es como un reset del sistema.

Se observan dos aspectos reseñables:

- Que el convertidor de baterías esté en estado de marcha es condición necesaria para

que el convertidor de cada pila pueda estar a su vez en marcha.
- El convertidor de baterías mantiene la tensión regulada en el bus (es la tensión en
un condensador), por lo que la gestión de potencia se puede reducir a variar las
corrientes máximas aportadas por cada pila, como se verá más adelante.

Un inconveniente debido a cambios posteriores en el diseño inicial de los convertidores es

que, al alimentar el DSP y cargar el condensador, el convertidor de las baterías se encuentra
en estado de ERROR, por lo que hay que rearmarlo mandando el comando correspondiente
desde la ECU en el arranque del sistema.

3.11.2 Límites de las magnitudes eléctricas del bus de potencia

En la Tabla 3.14 se recogen los valores límites para las magnitudes del bus de potencia,
condicionados por las características de los convertidores. En cuanto a las tensiones, se
puede comentar:

- La tensión en el bus, que es la tensión del motor, está regulada en torno a 80V.
Figura 3.6 Diagrama de estados del convertidor de baterías.
3.11 Gestión de potencia
71
 72
Capítulo 3. Diseño de la ECU

Figura 3.7 Diagrama de estados del convertidor de cada pila.

 3.11 Gestión de potencia 73

Tabla 3.14 Límites de las magnitudes eléctricas del bus de potencia.

Vmin (V ) Vmax (V ) Imin (A) Imax (A) Pmax (W )

Bus 0 80 0 50 4000
Conv. Pila 1 o 2 0 75 0 32 aprox. 1200 x 2 = 2400
Conv. Baterías 0 54 -35 50 2700, -1890

- La tensión en las pilas es, como es lógico, variable en función de su curva caracterís-
tica.
- La tensión en las baterías depende de su estado de carga (SOC).

Respecto a las corrientes:

- En el bus no se acepta corriente inversa (de salida) desde el motor, por lo que no se
puede aprovechar el frenado regenerativo del que dispone.
- La corriente máxima aportada por cada pila está limitada por la existencia de fusibles
de dicho valor, por lo que las pilas funcionarán, como mucho, aportando algo menos
de la mitad de su potencia teórica.
- El valor máximo de corriente absorbida por las baterías está impuesto por el diseño
del convertidor. Si se supera dicho valor de 35 A, el convertidor de baterías pasa a
estado de prealarma o error.
- El valor máximo de corriente aportada por las baterías es igual al del bus, por lo que
no requiere especial atención.

3.11.3 Estado de carga de las baterías (SOC)

La estimación del estado de carga de las baterías (SOC) la realiza la ECU y es dinámica,
teniendo en cuenta tanto la tensión instantánea de las baterías como la variación de corriente.
La intervención de las pilas en el balance de potencia tiene en cuenta constantemente el
SOC. Para el mismo se definen unos niveles principales:

- Nivel mínimo: es el nivel por debajo del cual las baterías son inoperativas. Es
necesario la carga manual.
- Nivel mínimo operativo: es el nivel por debajo del cual no pueden iniciarse de forma
segura todos los elementos del sistema encaminados a, al menos, el arranque completo
y estabilización de una de las pilas. Es equivalente a la energía que consumen todos
los elementos que intervienen durante un tiempo determinado.
- Nivel máximo operativo: es el nivel máximo físico de las baterías menos el margen
necesario para absorber la potencia que las pilas tienen que aportar en el estado de
arranque, ya que durante la estabilización de las mismas deben aportar 5 A cada una
durante un tiempo.

Por tanto, la gestión de potencia debe mantener el SOC entre los niveles mínimo y máximo
operativos.
74 Capítulo 3. Diseño de la ECU

3.11.4 Balance de potencia

El criterio de signos para las corrientes es el siguiente:

- La corriente en el bus Im se considera positiva y de entrada al motor. Es la resultante
del balance de corrientes.
- La corriente aportada por los convertidores de cada pila I f c1 , I f c2 es positiva y de
salida de las pilas. La protección eléctrica impide corrientes de entrada.
- La corriente en las baterías Ib se considera positiva cuando es de salida (aportando
al bus) y negativa cuando es de entrada (absorbiendo del bus).
Tenemos por tanto, una colección de elementos activos: Pila 1, Pila 2 y Baterías. Y un
conjunto de elementos pasivos: Motor, Baterías.
Balance de corrientes en el bus:

I f c1 + I f c2 + Ib − Im = 0 (3.1)

Por conveniencia:
I f c1 + I f c2 − Im = −Ib (3.2)
Esto es, que las baterías funcionen como fuente o como carga dependerá del exceso o
defecto de corriente aportada por las pilas al bus. Tanto I f c1 como I f c2 son controlables en
cuanto a su máximo a través de consignas enviadas a los convertidores. Es decir, la ECU
determina el máximo que cada pila puede aportar al bus y son los elementos pasivos los
que demandan la corriente.
Asimismo, como estrategia de optimización en el uso de las pilas, en cada arranque
se considera una de ellas como la principal o dominante, aportando la mayor parte de la
potencia, y la otra como secundaria o recesiva, aportando el resto de potencia necesaria.
Esta prioridad se asigna de forma alterna. Más detenidamente:
- Si max{I f c1 } + max{I f c2 } = 0 y Im > 0 entonces 0 < Ib < lim{Ib }. Las baterías
aportan al motor toda la potencia de la que son capaces porque las pilas o están en
reposo o con su consigna a 0. Como la corriente máxima que pueden aportar las
baterías es igual a la admisible por el bus, no hay que tener en cuenta una precaución
especial, salvo vigilar el SOC. El motor entonces funciona de forma muy limitada y
no es recomendable demorar el que las pilas aporten corriente.
- Si max{I f c1 } + max{I f c2 } < Im , entonces 0 < Ib < max{I f c1 } + max{I f c2 } − Im .
 

Las pilas alimentan al motor pero no lo suficiente, por lo que las baterías también
aportan corriente. Hay que aumentar la consigna de las pilas si es conveniente y
vigilar el SOC. En realidad, de cara a la gestión, es el mismo caso anterior.
- Si max{I f c1 } + max{I f c2 } > Im entonces lim{Ib } < Ib < 0. Las pilas alimentan al
motor en demanda y además cargan las baterías. En este caso hay que limitar la
corriente de carga a las baterías a 35 para que no salte el error. por lo demás, sea cual
sea la potencia requerida por el motor, las pilas la van a suplir donde sean capaces.
Si el motor requiere un salto de potencia hacia arriba grande, el problema no es para
la gestión de potencia sino para el control de las pilas, que tiene que garantizar las
condiciones adecuadas. Si el salto de potencia es grande hacia abajo (por ejemplo,
dejar de pisar el acelerador de golpe) son las baterías las que pasan a demandar toda
 3.11 Gestión de potencia 75

la potencia que pueden absorber que, por la limitación impuesta, es de 35 A máximo.

Las pilas no se ven perjudicadas. Condición entonces a tener en cuenta: consigna de
baterías a -35 cuando max{I f c1 } + max{I f c2 } > Im , para no pasar a estado de error,
y adaptar la consigna de la pila recesiva a las exigencias del acelerador, cuya medida
se contempla, garantizando que sólo la pila dominante carga las baterías sin rebasar
su límite y la recesiva aporta lo necesario al motor.

En la Figura 3.8 se esquematizan los conceptos presentados para las corrientes en juego.

Figura 3.8 Balance de corrientes en la gestión de potencia.

En resumen, una vez que las pilas han completado el arranque y están estabilizadas,
se sube la consigna de ambas al límite máximo y se pasa a hacer un balance de potencia
incluyendo a las mismas. Entonces hay que tener en cuenta dos aspectos:

- Vigilar que el SOC no baje del mínimo operativo. Las dos pilas por sí solas, por las
limitaciones antes descritas, no pueden suministrar la potencia máxima al motor. Por
tanto, si la conducción es exigente durante un periodo de tiempo, es posible que las
baterías se vayan descargando hasta el punto de que la única solución sea reducir la
potencia del motor. Esto se traducirá en mensajes de advertencia al usuario y, si la
situación continúa, en reducir la consigna de las baterías.

- Vigilar que no se sobrepase la corriente máxima absorbida por las baterías, limitando
la corriente aportada por la pila recesiva.
76 Capítulo 3. Diseño de la ECU

3.12 Tratamiento de fallos

Todo error se convierte en un mensaje informativo al conductor que aparece en la pantalla

de la GUI indicando con el encendido de un led de color amarillo, naranja o rojo que se ha
producido un ERROR LEVE, GRAVE o CRÍTICO. Si el usuario quiere detalles del origen
que ha producido dicho error puede acceder a la pestaña con el nombre del error en la que
un mensaje de texto describe qué error concreto se ha producido. El usuario puede borrar
este mensaje una vez informado. Si el error persiste volverá a aparecer. Todos los errores
son registrados por el programa que está activo en el PC-Car durante el funcionamiento
del sistema (a excepción del error critico producido por el propio PC-Car). Se generan
dos archivos, uno de mensajes CAN y otro con los valores de las variables y descripción
del error producido (a excepción del error critico producido por el propio PC-Car). Estos
registros pueden consultarse posteriormente para su análisis. La diferenciación entre los
tipos de error es la siguiente:

- Error LEVE: La ECU no adopta ninguna acción especial, simplemente avisa a la

GUI para conocimiento del usuario que se está produciendo una situación que puede
dar lugar a errores más graves.
- Error GRAVE: Al mismo tiempo y de manera autónoma, el sistema de control ECU
decide qué acciones tomar en relación con el error producido con el objetivo de
subsanar el origen del problema.
- Error CRÍTICO: Al mismo tiempo y de manera autónoma, el sistema de control ECU
decide que acciones drásticas tomar en relación con el dispositivo que ha generado
dicho error con el objetivo de mantener seguros los dispositivos del sistema y, ante
todo, mantener intacta la integridad del usuario.

En la Tabla 3.15 y la Tabla 3.16 están recogidas las situaciones que dan lugar a los
diferentes tipos de error. Hay actuaciones más elaboradas que tienen que ver con las pilas
de hidrógeno:

- Grave pilas: Parada de emergencia a la pila que corresponda, que incluye parada de
su convertidor. El flujo de hidrógeno no se corta. Esto favorece que si una pila falla
la otra pueda seguir aportando potencia.
- Crítico pilas: Parada de emergencia a ambas pilas, que incluye parada de convertidores
de pilas. El flujo de hidrógeno se corta. Se recomienda la pulsación de la seta de
emergencia para garantizar el corte de corriente eléctrica y flujo de fuel de las pilas.
No hay gestión de potencia pero el coche puede seguir avanzando con baterías.
- Crítico total: Se añade la parada del convertidor de baterías a la actuación para el
crítico de pilas. El motor se detiene y no se puede avanzar.

Cuando se produce una parada de emergencia en una pila, ésta pasa a un estado de error
del que sólo puede salir (pasando a reposo) cuando el usuario manda una orden de “rearme”
desde el display. Los fallos de comunicación se consideran como caídas de los elementos
que intervienen en ella. En general se pueden dar los siguientes casos4 :
4
Para los convertidores, “caerse” significa recibir un estado de error
 Tabla 3.15 Lista de errores.
Rango Nominal Error leve Error grave Error crítico Descripción Acción ECU
Tensión CONV. BAT. [V] [0,56] <49;>54 <48;>55 <40;>56 El límite que permite el GRAVE: (>) Disminuir con-
cargador son 65V total signa CFC1 y CFC2. CRITI-
(16,25V c/u), si bien las CO: Crítico total.
bat. se limitan en carga
a 14,1V (total 56,4V)
Corriente CONV. BAT. [A] [-36,36] <-34;>49,5 <-34,5;>50 <-35;>60 GRAVE: (<) Disminuir con-
signas CFC1 y CFC2. CRITI-
CO: Crítico total.
Tensión CONV. FC{1,2} [V] [0,56] >58 >60 <37;>75 Comprobar que sea si- GRAVE: (>) Grave FC{1,2}.
milar a la medida con el CRITICO: Crítico pilas.
CVM
Corriente CONV. FC{1,2} [A] [0,87] >31 >31.5 32 GRAVE: (>) Disminuir con-
signa CFC{1,2}. CRITICO:
Crítico pilas.
Tensión DC-LINK [V] [0,80] <70;>85 <65;>100 <50;>150 Puede existir un proble- GRAVE: Mensaje informativo.
ma porque en el 1er CRITICO: Mensaje informati-
arranque no consigue vo (No se actúa por redundan-
cargar el condensador. cia con los convertidores: falla
Es necesario un nuevo tensión DC link => falla conv.
arranque para terminar bat. => fallan conv. fc)
de cargarlo.
Corriente DC-LINK [A] [-?,50] <-3;>48 <-4;>50 <-5;>60 Los sensores hall están GRAVE: Mensaje informativo.
configurados para fun- CRITICO: Mensaje informati-
cionar en la zona de tra- vo (No se actúa por redundan-
bajo, ie, en torno a 0A cia con los convertidores).
pueden ofrecer un error
de varias unidades.
Tensión Acelerador [V] [0,5] >5 >5.5 >10 GRAVE y CRITICO: Mensaje
informativo.
Presión Depósito [bar] 200 <15;>350 <10;>360 <2;>370 GRAVE: (<) Disminuir con-
signa CFC1 y CFC2, aconse-
jar el repostaje de hidrógeno.
CRITICO: (<) Crítico pilas;
(>) Crítico total.
Presión Alta [bar] 13,1 <10;>18 <8;>19 <5;>20 GRAVE Y CRITICO: Mensa-
je informativo.
Presión Baja [bar] 0,57 <0,51;>0,63 <0,47;>0.68 <0,35;>1 GRAVE: (<) Comprobar si las
3.12 Tratamiento de fallos

válvulas de purga están abier-

tas => cerrarlas. CRITICO:
Crítico pilas.
77

Tª Depósito [ºC] <-50;>127 <9;>41 <-2;>53 <-15;>65 El sensor no funciona.

 Tabla 3.16 Lista de errores (cont.).
78

Rango Nominal Error leve Error grave Error crítico Descripción Acción ECU
Tensión Media [0,2000] ±200 ±250 ±300 curva sn 11303 (para el caso GRAVE: Disminuir la consigna
Pareja Celdas concreto entre 0A y 40A) Por CFC{1,2} al 50 % y purga extra.
FC{1,2} [mV] encima: afecta al rendimiento. CRITICO: Crítico pilas.
Por debajo: arriesga las mem-
branas en general.
Tensión Des- [0,2000] 40 70 100 Riesgo global de membrana. GRAVE: Disminuir la consigna
viación Típica CFC{1,2} al 50 % y purga extra.
Pareja de Celdas CRITICO: Crítico pilas.
FC{1,2} [mV]
Tensión Pareja [0,2000] <1080;>1990 <1070;>2000 <1066;>2010 Riesgo local de membrana. GRAVE: Disminuir la consigna
Celdas FC{1,2} CFC{1,2} al 50 % y purga extra.
[mV] CRITICO: Crítico pilas.
Tensión Desvia- [0,2000] 40 70 100 curva sn 11303 (para el caso GRAVE: Disminuir la consigna
Capítulo 3. Diseño de la ECU

ción Individual concreto entre 0A y 40A) Ries- CFC{1,2} al 50 % y purga extra.

Pareja de Celdas go local de membrana. CRITICO: Crítico pilas.
FC{1,2} [mV]
Tª Aire FC{1,2} [10,40] <5,5;>41,8 <4;>42,4 <-20;>52 GRAVE: Grave FC{1,2}. CRI-
[ºC] TICO: Crítico pilas.
Tª Stack FC{1,2} [40,70] ±16 ±18 ±20 curva función corriente (para GRAVE: (>) Tensión ventilador
[ºC] el caso concreto entre 0A y FC{1,2} al 100 % y disminuir
40A) la consigna CFC{1,2} al 50 %.
CRITICO: Crítico pilas.
Estequiometría [50,200] 50 20 10 GRAVE: Tensión ventilador
FC{1,2} [s.u.] FC{1,2} al 100 % y disminuir
la consigna CFC{1,2} al 50 %.
CRITICO: Crítico pilas.
Seta Emergencia ON/OFF - - ON Crítico total.
Comunicación - 1 2 3 GRAVE: Mensaje informativo.
ECU- CRITICO: Crítico total.
CONVERT.
[respuestas
fallidas]
Comunicación - 1 2 3 Tiempo sin que la ECU reciba GRAVE: La ECU deja de enviar
ECU-PC-Car [s] mensaje de HEARBEAT del su mensaje WATCHDOG para
PC-Car. No mandar WATCH- indicar al PC-Car que no reci-
DOG y no recibir HEAR- be su mensaje de HEARBEAT.
BEAT es equivalente => error CRITICO: Crítico total.
de comunicación.
Comunicación - 1 2 3 GRAVE: Mensaje informativo.
ECU-CVM CRITICO: Crítico total.
[respuestas
fallidas]
 3.12 Tratamiento de fallos 79

- Caída de convertidor de pila: El balance de potencia pierde una fuente. Es grave pero
no crítico.
- Caída de ambos convertidores de pila: El coche funciona solo con baterías. Es crítico
y se recomienda al usuario parar cuanto antes.
- Caída de convertidor de batería: Ni baterías ni pilas aportan potencia al motor. Error
crítico. El coche se para pero el sistema sigue funcionando si hay carga en baterías.
Si no, ver los casos siguientes.
- Caída de PC-Car: El usuario percibe una situación de incertidumbre. Éste, por sentido
común, pulsaría la seta de emergencia y detendría el sistema porque no es capaz de
supervisarlo.
- Caída de ECU: Equivale a un fallo de comunicación entre la ECU y el PC-Car. Los
convertidores podrían funcionar, pero es una situación incontrolada y arriesgada para
las pilas. El PC-Car, al no recibir el mensaje WATCHDOG de la ECU indicaría error
crítico y pulsar la seta urgentemente.

Los mensajes informativos que aparecen en las consecuentes pantallas de ERROR LEVE,
ERROR GRAVE y ERROR CRÍTICO se muestran ordenados por la naturaleza de su origen
en la Tabla 3.17 (M: valor mínimo, X: valor máximo). Se corresponden con los bits de los
mensajes mandados desde la ECU a la GUI.
80 Capítulo 3. Diseño de la ECU

Tabla 3.17 Mensajes informativos de error.

BYTE 0 bit Error
0 ER_H2_TEMP_DEPO_M
1 ER_H2_TEMP_DEPO_X
2 ER_H2_PRES_DEPO_M
H2 3 ER_H2_PRES_DEPO_X
4 ER_H2_PRES_ALTA_M
5 ER_H2_PRES_ALTA_X
6 ER_H2_PRES_BAJA_M
7 ER_H2_PRES_BAJA_X
BYTE 1 bit Error BYTE 5 bit Error
0 ER_TEMP_AIRE_FC1_M 0 ER_CVM_FC1_PAR_M
1 ER_TEMP_AIRE_FC1_X 1 ER_PB_VOLT_X
2 ER_TEMP_STACK_FC1_M 2 ER_CVBAT_VOLT_M
Aire FC1 3 ER_TEMP_STACK_FC1_X [V] 3 ER_CVBAT_VOLT_X
4 ER_ESTEQ_FC1_M 4 ER_CVFC1_VOLT_M
5 ER_ESTEQ_FC1_X 5 ER_CVFC1_VOLT_X
6 6 ER_CVFC2_VOLT_M
7 7 ER_CVFC2_VOLT_X
BYTE 2 bit Error BYTE 6 bit Error
0 ER_TEMP_AIRE_FC2_M 0 ER_PB_CORR_M
1 ER_TEMP_AIRE_FC2_X 1 ER_PB_CORR_X
2 ER_TEMP_STACK_FC2_M 2 ER_CVBAT_CORR_M
Aire FC2 3 ER_TEMP_STACK_FC2_X [A] 3 ER_CVBAT_CORR_X
4 ER_ESTEQ_FC2_M 4 ER_CVFC1_CORR_M
5 ER_ESTEQ_FC2_X 5 ER_CVFC1_CORR_X
6 6 ER_CVFC2_CORR_M
7 7 ER_CVFC2_CORR_X
BYTE 3 bit Error BYTE 7 bit Error
0 ER_CVM_FC1_PAR_M 0 ER_ACELERADOR_M
1 ER_CVM_FC1_PAR_X 1 ER_ACELERADOR_X
2 ER_CVM_FC1_MEDIA_M 2 ER_SETA
CVM FC1 3 ER_CVM_FC1_MEDIA_X AUX 3 ER_RESP_CVM
4 ER_CVM_FC1_DESVPAR_M 4 ER_RESP_CONVS
5 ER_CVM_FC1_DESVPAR_X 5 ER_RESP_PCCAR
6 ER_CVM_FC1_DESV_M 6
7 ER_CVM_FC1_DESV_X 7
BYTE 4 bit Error
0 ER_CVM_FC2_PAR_M
1 ER_CVM_FC2_PAR_X
2 ER_CVM_FC2_MEDIA_M
CVM FC2 3 ER_CVM_FC2_MEDIA_X
4 ER_CVM_FC2_DESVPAR_M
5 ER_CVM_FC2_DESVPAR_X
6 ER_CVM_FC2_DESV_M
7 ER_CVM_FC2_DESV_X