一種功能應用的監控方法及車輛控制器系統與流程
1.本發明涉及車載控制領域,尤其涉及具有功能應用監控的車輛控制器系統及功能應用的監控方法。
背景技術:
2.汽車新四化“電動化、智能化、網聯化、共享化”是汽車產業的重大變革。隨著“新四化”的推進,車內功能日益復雜,傳統的分布式電子電氣架構(electrical/electronic architecture,eea)已無法適應這種趨勢。因此,eea開始發生變革,從原先的分布式逐步向域集中式、中央集中式的eea演變,如圖1所示。
3.以中央集中式以區域導向的eea為例,如圖2所示。未來,在車內將具備一個或者多個高算力的車載計算機,若干個區域控制器(zone controller),以及若干個傳統嵌入式控制器。其中,區域控制器和嵌入式控制器只是職責的劃分不同,它們的實現方式還是基于微控制器(micro-controller unit,mcu)的產品,采用的都是經典autosar平臺(classic autosar platform)。但是,高算力的車載計算機則需要基于微處理器(micro-processing unit,mpu),采用的是自適應autosar平臺(adaptive autosar platform)等其他軟件平臺。對于域集中式eea中,也同樣具有采用mcu和mpu的控制器產品。
4.其次,隨著汽車電控系統日益復雜,大量電氣電子元器件的引入,在帶來控制便利性和多樣性的同時,也因為無法避免的系統性失效和隨機硬件失效,給整車安全帶來了一定風險。iso26262正是因應這一風險而誕生的,標準在分析整車在各工況下的風險和危害的基礎上,評定針對不同安全目標的安全等級(汽車安全完整性等級:automotive safety integrity level,asil),并給出一套切實可行的功能安全開發流程和針對不同失效模式的安全措施,因此受到各整車廠的重視。
5.綜上所述,在新型eea下,車內將具備一個或者是多個高算力的計算單元,其有別于傳統的嵌入式控制器,例如:車載計算機采用的是linux、qnx等操作系統,和傳統嵌入式控制器內的實時操作系統(real time operating system,rtos)有較大差異,且它將基于面向服務的架構(service oriented architecture,soa)進行軟件設計,軟件以實現各種功能的應用(application,app)的形式部署在車載計算機中。但是,在軟件系統發生重大的變革的同時,它們計算得到的結果又可能將運用于安全關鍵(safety critical)的車輛控制與決策功能。所以,如何保證整個系統的功能安全將是一大挑戰。其中一種技術方案就是在車載計算機中也和傳統嵌入式控制器一樣開發一套監控軟件,但是由于該類控制器軟件和傳統嵌入式軟件差異巨大,使得已有的監控策略很難在其中運用,需要重新設計;并且,對于一些關鍵的基礎軟件(如:linux、qnx等操作系統、中間件)以及芯片本身也需要使用支持功能安全的版本,研發成本將大大提升。此外,自2011年iso26262標準第一版發布至今,針對功能安全監控軟件的設計開發,行業內的關注點大部分都集中在嵌入式控制器(mcu端),其功能安全監控方案已經較為成熟了。但是,對于車載計算機(mpu端)的功能安全監控方案行業內仍處于初級階段。
6.有鑒于此,希望能夠提供一種針對于車載計算機的功能安全的監控方法,以保證車輛的安全運行。
技術實現要素:
7.以下給出一個或多個方面的簡要概述以提供對這些方面的基本理解。此概述不是所有構想到的方面的詳盡綜覽,并且既非旨在指認出所有方面的關鍵性或決定性要素亦非試圖界定任何或所有方面的范圍。其唯一的目的是要以簡化形式給出一個或多個方面的一些概念以為稍后給出的更加詳細的描述之序。
8.如上文所描述的,為了現有技術中,在車載計算機中缺乏完善的功能安全監控的問題,本發明提供了一種功能應用的監控方法及車輛控制器系統。
9.本發明的一方面所提供的功能應用的監控方法,應用于車輛的多個控制器,包括:第一控制器發送至少一個分別與功能應用對應的監控請求至第二控制器的監控應用,以基于所述監控應用監控所述第二控制器上的各功能應用;所述監控應用將各所述功能應用的監控結果發送至所述第一控制器;以及所述第一控制器檢驗所述監控結果,以判斷所述第二控制器上的各所述功能應用是否正常運行;其中所述第一控制器的asil等級高于所述第二控制器的asil等級,所述第二控制器為面向服務架構的控制器。
10.在上述監控方法的一實施例中,可選的,還包括:所述監控應用將至少一個所述監控請求轉化為至少一個測試服務,以供對應于各所述監控請求的各所述功能應用進行調用;其中各所述功能應用的監控結果為各所述功能應用的調用結果。
11.在上述監控方法的一實施例中,可選的,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述至少一個監控請求對應的各功能應用的監控結果發送至所述第一控制器;其中響應于在所述預設時間段內,所述監控應用接收到所述功能應用調用所述測試服務后的反饋,將所述反饋作為所述調用結果;響應于在所述預設時間段內,所述監控應用未接收到所述功能應用的反饋,將表征失敗的結果作為所述調用結果;所述預設時間段的長度關聯于所述監控應用轉化監控請求的時間,關聯于各功能應用調用測試服務的時間,且關聯于功能安全故障容錯時間。
12.在上述監控方法的一實施例中,可選的,響應于所述第一控制器發送了與多個功能應用分別對應的多個監控請求,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述多個監控請求對應的所述多個功能應用的多個監控結果融合為一綜合監控結果發送至所述第一控制器,所述第一控制器對所述綜合監控結果進行校驗,以判斷所述多個功能應用是否均正常運行。
13.在上述監控方法的一實施例中,可選的,所述第一控制器根據預設第一頻率多次發送至少一個所述監控請求至所述第二控制器的監控應用;其中對于同一所述功能應用,多次發送的多個監控請求各不相同。
14.在上述監控方法的一實施例中,可選的,所述第一頻率小于各所述功能應用調取服務的第二頻率。
15.在上述監控方法的一實施例中,可選的,所述第一控制器轉發sbc芯片的看門狗模塊產生的至少一個監控請求,并將所述監控應用返回的監控結果轉發至所述sbc芯片進行校驗。
16.在上述監控方法的一實施例中,可選的,所述第一控制器包括多個第一子控制器,所述第二控制器的所述監控應用包括多個監控子應用,各所述第一子控制器與各所述監控子應用一一對應,各所述第一子控制器發送的各監控請求分別對應與之對應的監控子應用所對應的功能應用。
17.在上述監控方法的一實施例中,可選的,所述第二控制器包括第二主控制器和至少一個第二副控制器,所述第二主控制器上設置有所述監控應用,各所述第二副控制器與所述第二主控制器之間支持面向服務的通信,其中所述第一控制器還向所述第二主控制器上的所述監控應用發送對應各所述第二副控制器上的各功能應用的至少一個監控請求,以基于所述第二主控制器與各所述第二副控制器之間的通信監控各第二副控制器上的各功能應用。
18.本發明的另一方面還提供了一種具有功能應用監控的車輛控制器系統,至少包括第一控制器和第二控制器,所述第一控制器的asil等級高于所述第二控制器的asil等級,所述第二控制器為面向服務架構的控制器;其中第一控制器發送至少一個分別與功能應用對應的監控請求至所述第二控制器的監控應用,以基于所述監控應用監控所述第二控制器上的各功能應用;所述監控應用將各所述功能應用的監控結果發送至所述第一控制器;以及所述第一控制器檢驗所述監控結果,以判斷所述第二控制器上的各所述功能應用是否正常運行
19.在上述車輛控制器系統的一實施例中,可選的,所述第二控制器的所述監控應用還將至少一個所述監控請求轉化為至少一個測試服務,以供對應于各所述監控請求的各所述功能應用進行調用;其中各所述功能應用的監控結果為各所述功能應用的調用結果。
20.在上述車輛控制器系統的一實施例中,可選的,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述至少一個監控請求對應的各功能應用的監控結果發送至所述第一控制器;其中響應于在所述預設時間段內,所述監控應用接收到所述功能應用調用所述測試服務后的反饋,將所述反饋作為所述調用結果;響應于在所述預設時間段內,所述監控應用未接收到所述功能應用的反饋,將表征失敗的結果作為所述調用結果;所述預設時間段的長度關聯于所述監控應用轉化監控請求的時間,關聯于各功能應用調用測試服務的時間,且關聯于功能安全故障容錯時間。
21.在上述車輛控制器系統的一實施例中,可選的,響應于所述第一控制器發送了與多個功能應用分別對應的多個監控請求,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述多個監控請求對應的所述多個功能應用的多個監控結果融合為一綜合監控結果發送至所述第一控制器,所述第一控制器對所述綜合監控結果進行校驗,以判斷所述多個功能應用是否均正常運行。
22.在上述車輛控制器系統的一實施例中,可選的,所述第一控制器根據預設第一頻率多次發送至少一個所述監控請求至所述第二控制器的監控應用;其中對于同一所述功能應用,多次發送的多個監控請求各不相同。
23.在上述車輛控制器系統的一實施例中,可選的,所述第一頻率小于各所述功能應用調取服務的第二頻率。
24.在上述車輛控制器系統的一實施例中,可選的,所述車輛控制器系統還包括與所述第一控制器具有通信的sbc芯片,其中所述第一控制器轉發所述sbc芯片的看門狗模塊產
生的至少一個監控請求,并將所述監控應用返回的監控結果轉發至所述sbc芯片進行校驗。
25.在上述車輛控制器系統的一實施例中,可選的,所述第一控制器包括多個第一子控制器,所述第二控制器的所述監控應用包括多個監控子應用,各所述第一子控制器與各所述監控子應用一一對應,各所述第一子控制器發送的各監控請求分別對應與之對應的監控子應用所對應的功能應用。
26.在上述車輛控制器系統的一實施例中,可選的,所述第二控制器包括第二主控制器和至少一個第二副控制器,所述第二主控制器上設置有所述監控應用,各所述第二副控制器與所述第二主控制器之間支持面向服務的通信,其中所述第一控制器還向所述第二主控制器上的所述監控應用發送對應各所述第二副控制器上的各功能應用的至少一個監控請求,以基于所述第二主控制器與各所述第二副控制器之間的通信監控各第二副控制器上的各功能應用。
27.本發明的另一方面還提供了一種計算機可讀存儲介質,其上存儲有計算機程序,所述計算機程序被處理器執行時實現如本發明任意一項實施例所描述的功能應用的監控方法。
28.根據本發明所提供的功能應用的監控方法及車輛控制器系統,在無需硬件支持的情況下,充分利用面向服務架構(soa)下的服務化軟件,通過高安全等級的控制器來監控車載計算機中運行的各app是否在正確地執行,及其使用的硬件資源和基礎軟件是否安全可靠,可支持最高功能安全asil-d等級,本發明可以實現整車層面的監控軟件復用,以節省軟硬件開發成本。
附圖說明
29.在結合以下附圖閱讀本公開的實施例的詳細描述之后,能夠更好地理解本發明的上述特征和優點。在附圖中,各組件不一定是按比例繪制,并且具有類似的相關特性或特征的組件可能具有相同或相近的附圖標記。
30.圖1示出了現有技術中汽車電子電氣架構eea的演進趨勢的示意圖。
31.圖2示出了以區域為導向的中央集中式的電子電氣構架eea的結構示意圖。
32.圖3示出了本發明一方面所提供的車輛控制器系統一實施例的示意圖。
33.圖4示出了本發明一方面所提供的車輛控制器系統另一實施例的示意圖。
34.圖5示出了本發明一方面所提供的車輛控制器系統另一實施例的示意圖。
35.圖6示出了本發明一方面所提供的車輛控制器系統另一實施例的示意圖。
36.圖7示出了本發明一方面所提供的車輛控制器系統另一實施例的示意圖。
37.圖8示出了本發明一方面所提供的車輛控制器系統另一實施例的示意圖。
38.圖9示出了本發明一方面所提供的功能應用的監控方法的流程示意圖。
39.圖10示出了本發明中各車輛控制器的通用結構示意圖。
具體實施方式
40.以下結合附圖和具體實施例對本發明作詳細描述。注意,以下結合附圖和具體實施例描述的諸方面僅是示例性的,而不應被理解為對本發明的保護范圍進行任何限制。
41.給出以下描述以使得本領域技術人員能夠實施和使用本發明并將其結合到具體
應用背景中。各種變型、以及在不同應用中的各種使用對于本領域技術人員將是容易顯見的,并且本文定義的一般性原理可適用于較寬范圍的實施例。由此,本發明并不限于本文中給出的實施例,而是應被授予與本文中公開的原理和新穎性特征相一致的最廣義的范圍。
42.在以下詳細描述中,闡述了許多特定細節以提供對本發明的更透徹理解。然而,對于本領域技術人員顯而易見的是,本發明的實踐可不必局限于這些具體細節。換言之,公知的結構和器件以框圖形式示出而沒有詳細顯示,以避免模糊本發明。
43.請讀者注意與本說明書同時提交的且對公眾查閱本說明書開放的所有文件及文獻,且所有這樣的文件及文獻的內容以參考方式并入本文。除非另有直接說明,否則本說明書(包含任何所附權利要求、摘要和附圖)中所揭示的所有特征皆可由用于達到相同、等效或類似目的的可替代特征來替換。因此,除非另有明確說明,否則所公開的每一個特征僅是一組等效或類似特征的一個示例。
44.注意,在使用到的情況下,標志左、右、前、后、頂、底、正、反、順時針和逆時針僅僅是出于方便的目的所使用的,而并不暗示任何具體的固定方向。事實上,它們被用于反映對象的各個部分之間的相對位置和/或方向。此外,術語“第一”、“第二”僅用于描述目的,而不能理解為指示或暗示相對重要性。
45.注意,在使用到的情況下,進一步地、較優地、更進一步地和更優地是在前述實施例基礎上進行另一實施例闡述的簡單起頭,該進一步地、較優地、更進一步地或更優地后帶的內容與前述實施例的結合作為另一實施例的完整構成。在同一實施例后帶的若干個進一步地、較優地、更進一步地或更優地設置之間可任意組合的組成又一實施例。
46.如上文所描述的,為了現有技術中,在車載計算機中缺乏完善的功能安全監控的問題,本發明提供了一種功能應用的監控方法及車輛控制器系統。
47.首先,請結合圖3和圖9來理解本發明所提供的功能應用的監控方法及車輛控制器系統的一具體實現方法。如圖9所示出的,本發明的一方面所提供的功能應用的監控方法包括步驟:
48.s100:第一控制器發送至少一個分別與功能應用對應的監控請求至第二控制器的監控應用;
49.s200:監控應用將各功能應用的監控結果發送至第一控制器;以及
50.s300:第一控制器檢驗監控結果,以判斷第二控制器上的各功能應用是否正常運行。
51.請結合圖3示出的車輛控制器系統,本發明中的第一控制器指向asil等級較高的控制器,例如圖3中的嵌入式控制器,第二控制器的asil等級低于第一控制器的asil等級,即圖3中的車載計算機。
52.進一步的,第二控制器為面向服務架構的控制器,從圖3中可以看出,軟件是應用(application,app)的形式部署在車載計算機中。第一控制器于第二控制器之間具有通信連接。
53.在本發明中,第一控制器和第二控制器亦可以根據不同的車載硬件結構分為不同的表現形式,并且根據不同的硬件分布情況,上述通信連接可以分為不同的情況,后文將結合附圖進行描述,在此不再贅述。
54.在本發明所提供的功能應用的監控方法的一實施例中,為了保證第二控制器(車
載計算機)中“功能appn”(n=1,2,3,4
……
),下文簡稱“功能app”的正確執行,采取了問/答(question/answer)的機制,即由高asil等級的第一控制器(嵌入式控制器)向低asil等級的第二控制器(車載計算機)發送question(步驟s100),在第二控制器上的、本發明中特別設置的“安全監控app”收到question后將其轉化為服務,供其他需要被監控的“功能app”調用(步驟s110)。
55.由于第二控制器上的各“功能app”為了實現各自的功能,會向真實的服務提供模塊發送請求,以調用相關的服務,當第二控制器上的“安全監控app”將question轉化為服務后,相當于提供了“虛擬服務”供“功能app”調用。而在正常的情況下,即不出現異常的情況下,“功能app”調用“虛擬服務”后會反饋調用結果,而根據question轉化的“虛擬服務”,亦能夠得到一個answer值。各“功能app”將answer反饋給“安全監控app”,“安全監控app”將各“功能app”反饋的結果發送給高asil等級的第一控制器(嵌入式控制器)(步驟s200),以使第一控制器對監控結果(即反饋的調用結果)進行校驗(步驟s300),如果校驗不通過則根據具體應用對應的安全目標(safety goal,sg)進行安全響應。
56.為了提高診斷覆蓋度,高asil等級的嵌入式控制器發送的question(監控請求)可以是動態變化的,即對于同一個功能應用,多次發送的多個監控請求各不相同,例如:0x0,0x1,0x2,0x3
…
0xf等隨機出現,從而避免“功能app”預測調用結果。其次,“功能app”中基于question得到answer的方法也可根據診斷覆蓋率需求選擇,可以是直接查表得到,也可以基于線性反饋移位寄存器(linear feedback shift register,lfsr)等運算得到。更進一步的,若要進一步提升診斷覆蓋率,上述的運算還可將各種軟硬件資源的監控結果都融合進來,例如:如果將“功能app”所用到的cpu指令集參與到answer的計算,且answer在“功能app”所用的存儲區域進行先寫后讀的操作,則為了得到answer的運算可以覆蓋“功能app”所用的芯片資源(cpu、存儲等)。
57.其次,如果對于“功能app”的執行時間、運行周期等時間相關的參數有限制要求,則可以在高asil等級的嵌入式控制器中對其進行時間相關的監控。例如,可以調整嵌入式控制器發送監控請求的頻率,以檢驗“功能app”調用服務的頻率(運行周期)是否合理。為了保證頻率的調整是能夠合理地反映出“功能app”的運行周期,需要設置使得第一控制器發送監控請求的頻率小于各功能應用調取服務的第二頻率。
58.同時,可以設定監控應用響應于接收到監控請求且經過一預設時間段后,將至少一個監控請求對應的各功能應用的監控結果發送至第一控制器。在預設時間段內,若監控應用接收到功能應用調用所述測試服務后的反饋,將反饋調用結果(說明“功能app”的執行時間合理)。若在預設時間段內,監控應用未接收到所述功能應用的反饋,將表征失敗的結果作為調用結果反饋給第一控制器,即認為“功能app”的執行時間異常。
59.進一步的,為了使監控結果能夠更加合理表征“功能app”的實際調用結果,上述的預設時間段需要綜合考慮監控應用轉化監控請求的時間、考慮各功能應用調用測試服務的時間。同時,為了保證安全性請,還需要考慮滿足功能安全故障容錯時間間隔(fault tolerant time interval,ftti)等要求。
60.在一實施例中,響應于所述第一控制器發送了與多個功能應用分別對應的多個監控請求,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述多個監控請求對應的所述多個功能應用的多個監控結果融合為一綜合監控結果發送至所述第一
控制器,所述第一控制器對所述綜合監控結果進行校驗,以判斷所述多個功能應用是否均正常運行。
61.舉例來說,在上述的實施例中,若第一控制器向監控應用發送了對應“功能app1”、“功能app3”、“功能app6”的三個監控請求,監控應用將三個監控請求轉化為對應的測試服務后,并在預設時間段內接收“功能app1”、“功能app3”、“功能app6”反饋的結果,在經過了預設時間段后,無論有沒有接收到“功能app1”、“功能app3”、“功能app6”分別反饋的結果,均會將對應三個“功能app”的監控結果融合為一條綜合監控結果,發送至第一控制器進行檢驗。在這個過程中,若“功能app1”、“功能app3”、“功能app6”均反饋的正確的結果,則綜合監控結果亦是正確的,第一控制器能夠檢測出“功能app1”、“功能app3”、“功能app6”均正常運行。
62.一旦“功能app1”、“功能app3”、“功能app6”中有任意一個反饋了錯誤的結果,或者沒有反饋結果,融合后的綜合監控結果均是錯誤的,第一控制器能夠檢測出“功能app1”、“功能app3”、“功能app6”發生異常。
63.在上述的實施例中,通過融合后的綜合監控結果,雖然對發生異常后的異常定位不利,但能夠降低反饋結果的數據傳輸量、檢驗量,從而能夠在“功能app”均正常時減低數據處理量、提高處理速度,在任意“功能app”發生異常時快速(只需要處理一個數據)、準確地檢測到異常。
64.如前文所描述的,在本發明中,第一控制器和第二控制器可以根據不同的車載硬件結構分為不同的表現形式,并且根據不同的硬件分布情況,上述通信連接可以分為不同的情況,例如,在如圖3所示出的實施例中,第一控制器與第二控制器均為獨立的控制器,則在該實施例中,第一控制器(嵌入式控制器)與第二控制器(車載計算機)之間為板間通信。
65.在如圖4所示出的實施例中,第一控制器和第二控制器可以為在同一個控制器中的兩塊獨立芯片,例如高asil等級的mcu芯片與低asil等級的mpu芯片,則在該實施例中,mcu芯片與mpu芯片之間為板內通信。
66.在如圖5所示出的實施例中,第一控制器和第二控制器可以為在同一個片上系統(system on chip,soc)中的兩個獨立內核,即,高asil等級的mcu內核與低asil等級的mpu內核,則在該實施例中,mcu內核與mpu內核之間為芯片內通信。
67.在本發明的另一實施例中,如圖6所示出的,產生question的機制還可以通過系統基礎芯片(system basis chip,sbc)內部的智能看門狗來產生。系統基礎芯片和嵌入式控制器的mcu之間通過串行外設接口(serial peripheral interface,spi)、微秒通道(micro second channel,msc)等進行通信。目前,主流的sbc均具備智能看門狗功能。在一定配置下,sbc會定期發送question,mcu需要在一定時間窗內反饋answer,如果反饋的answer錯誤,則將觸發故障響應。
68.在上述的實施例中,由于sbc產生的question是通過馬爾可夫鏈(markov chain,mc)等機制產生的,具備一定隨機性,可有效防止卡滯(stuck)等失效模式。并且,通過一定數學轉化,可將“安全監控app”匯總得到的answer由嵌入式控制器轉發給sbc進行校驗,這樣不但可以檢測功能app,由于檢驗是由sbc芯片進行的,還會對嵌入式控制器是否正常做出檢驗,使得整個方案的診斷覆蓋率進一步提升,能夠進一步的保證整個系統的安全性。
69.在本發明的另一實施例中,如圖7所示出的,本方案中還可根據“功能app”對應的
高asil等級的控制器的不同,在車載計算機中設計多個“安全監控app”(如圖7中的安全監控app1-app3),每一個“安全監控app”對應一個高asil等級的第一控制器,每個第一子控制器發送的各監控請求分別對應與之對應的監控子應用所對應的功能應用,以實現前述question/answer機制。
70.舉例來說,如圖7所示。高asil等級的嵌入式控制器1提供的question用于“安全監控app1”,“功能app1”和“功能app2”調用“安全監控app1”提供的服務,最終得到的answer反饋給嵌入式控制器1進行校驗。高asil等級的嵌入式控制器3提供的question用于“安全監控app2”,“功能app3”調用“安全監控app2”提供的服務,最終得到的answer反饋給嵌入式控制器3進行校驗。高asil等級的區域控制器n提供的question用于“安全監控app3”,“功能appn”調用“安全監控app3”提供的監控服務,最終得到的answer反饋給區域控制器n進行校驗。若圖7中的嵌入式控制器3所覆蓋的路徑更長,即可覆蓋更多硬件資源和軟件的失效。
71.在另一實施例中,基于車載以太網(ethernet)的some/ip(scalable service-oriented middleware over ip)等面向服務(service-oriented)的通信,若車內不同控制器內的服務是可被動態發現的,即“安全監控app”可在整車內復用,如圖8所示出的。在圖8中,第二控制器包括基于mpu支持面向服務架構的控制器1(第二主控制器,其上設置由安全監控app)以及基于mpu支持面向服務架構的控制器2(第二副控制器),第二主控制器和第二副控制器之間支持面向服務的通信,也就是說,第二副控制器的功能app可以向第二主控制器發送調用服務的請求,從而能夠調用到第二主控制器的安全監控app提供的測試服務。
72.至此,已經描述了本發明所提供的功能應用的監控方法和具有功能應用監控的車輛控制器系統。根據本發明,不但可以覆蓋各“功能app”所使用的硬件資源,如供電、時鐘、指令集、存儲器等,還可以涉及基礎軟件資源,如操作系統等,更可覆蓋車載計算機與嵌入式控制器之間通信鏈路的失效。
73.本方案最大的特點是在無需硬件支持的情況下,充分利用面向服務架構(soa)下的服務化軟件,通過現有的高安全等級的嵌入式控制器來監控車載計算機中運行的各app是否在正確地執行,及其使用的硬件資源和基礎軟件是否安全可靠,可支持最高功能安全asil-d等級,該方案還可實現整車層面的監控軟件復用,以節省軟硬件開發成本。
74.如上文所描述的,在本發明中,第一控制器和第二控制器可以根據不同的車載硬件結構分為不同的表現形式,并且根據不同的硬件分布情況,上述通信連接可以分為不同的情況,但不論怎樣,不論是獨立的控制器、芯片還是核心,都可以認為第一控制器和第二控制器具有通用處理器所具備的能力。
75.圖10示出了通用處理器一實施例的具體結構。通用處理器1000的組件可以包括一個或者多個存儲器1001,一個或多個處理器1002,以及連接不同系統組件(包括存儲器1001和處理器1002)的總線1003。
76.總線1003包括數據總線、地址總線以及控制總線。數據總線的位數與工作頻率的乘積正比于數據傳輸率,地址總線的位數決定了可尋址的最大內存空間,控制總線(讀/寫)指出總線周期的類型和本次輸入/輸出操作完成的時刻。處理器1002通過總線1003連接存儲器1001,并配置用于實施上述任意一個實施例所提供的功能應用的監控方法。
77.處理器1002作為通用處理器1000的運算和控制核心,是信息處理、程序運行的最終執行單元。計算機系統中所有軟件層的操作,最終都將通過指令集映射為處理器1002的
操作。處理器1002的功效主要為處理指令、執行操作、控制時間、處理數據。
78.存儲器1001是指計算機中由存放程序和數據的各種存儲設備。存儲器1001可以包括存儲易失性存儲器形式的計算機系統可讀介質。例如隨機存取存儲器(ram)1004和/或高速緩存存儲器1005。
79.隨機存取存儲器(ram)1004是與處理器1002直接交換數據的內部存儲器。它可以隨時讀寫(刷新時除外),而且速度很快,通常作為操作系統或其他正在運行中的程序的臨時數據存儲介質,一旦斷電其中所存儲的數據將隨之丟失。高速緩存存儲器(cache)1005是存在于主存與處理器1002之間的一級存儲器,其容量比較小但速度比主存高得多,接近于處理器1002的速度。
80.需要注意的是,在通用處理器1000包括多個存儲器1001和多個處理器1002的情況下,多個存儲器1001之間和多個處理器1002之間都可以具有分布式的結構,由多個功能系統的控制器共同實現上述的功能應用的監控方法。更進一步的,在采用分布式結構的實施例中,各個步驟可以根據實際情況調整具體的執行終端,各個步驟在特定終端實現的具體方案不應不當地限制本發明的保護范圍。
81.通用處理器1000還可以進一步包括其它可移動/不可移動的、易失性/非易失性計算機系統存儲介質。本實施例中,存儲系統1006可以用于讀寫不可移動的、非易失性磁介質。
82.存儲器1001還可以包括至少一組程序模塊1007。程序模塊1007可以存儲在存儲器1001中。程序模塊1007包括但不限于操作系統、一個或者多個應用程序、其它程序模塊以及程序數據,這些示例中的每一個或某種組合中可能包括網絡環境的實現。程序模塊1007通常執行本發明所描述的實施例中的功能和/或方法。
83.通用處理器1000也可以與一個或多個外部設備1008通信。本實施例中的外部設備1008包括上文所描述的其他控制器等。
84.通用處理器1000也可與一個或者多個使得用戶能與該通用處理器1000交互的設備通信,和/或與使得該通用處理器1000能與一個或多個其它計算設備進行通信的任何設備(例如網卡,調制解調器等等)通信。這種通信可以通過輸入/輸出(i/o)接口1009進行。
85.通用處理器1000還可以通過網絡適配器1010與一個或者多個網絡(例如局域網(lan),廣域網(wan)和/或公共網絡,如因特網)通信。如圖10所示,網絡適配器1010通過總線1003與通用處理器1000的其它模塊通信。應當明白,盡管圖中未示出,可以結合通用處理器1000使用其它硬件和/或軟件模塊,包括但不限于:微代碼、設備驅動器、冗余處理單元、外部磁盤驅動陣列、raid系統、磁帶驅動器以及數據備份存儲系統等。
86.本發明的另一方面還提供了一種計算機可讀存儲介質,存儲有計算機程序,計算機程序被處理器執行時實現如上文任意一項實施例所描述的功能應用的監控方法,具體請參考上文的描述,在此不再贅述。另外,可以理解的是,上述的計算機可讀存儲介質可以是系統形式,即包括有多個計算機可讀存儲子介質,通過多個計算機可讀存儲介質共同實現上文所描述的功能應用的監控方法的步驟。
87.結合本文所公開的實施例描述的各種解說性邏輯模塊、和電路可用通用處理器、數字信號處理器(dsp)、專用集成電路(asic)、現場可編程門陣列(fpga)或其它可編程邏輯器件、分立的門或晶體管邏輯、分立的硬件組件、或其設計成執行本文所描述功能的任何組
合來實現或執行。通用處理器可以是微處理器,但在替換方案中,該處理器可以是任何常規的處理器、控制器、微控制器、或狀態機。處理器還可以被實現為計算設備的組合,例如dsp與微處理器的組合、多個微處理器、與dsp核心協作的一個或多個微處理器、或任何其他此類配置。
88.結合本文中公開的實施例描述的方法或算法的步驟可直接在硬件中、在由處理器執行的軟件模塊中、或在這兩者的組合中體現。軟件模塊可駐留在ram存儲器、閃存、rom存儲器、eprom存儲器、eeprom存儲器、寄存器、硬盤、可移動盤、cd-rom、或本領域中所知的任何其他形式的存儲介質中。示例性存儲介質耦合到處理器以使得該處理器能從/向該存儲介質讀取和寫入信息。在替換方案中,存儲介質可以被整合到處理器。處理器和存儲介質可駐留在asic中。asic可駐留在用戶終端中。在替換方案中,處理器和存儲介質可作為分立組件駐留在用戶終端中。
89.在一個或多個示例性實施例中,所描述的功能可在硬件、軟件、固件或其任何組合中實現。如果在軟件中實現為計算機程序產品,則各功能可以作為一條或更多條指令或代碼存儲在計算機可讀介質上或藉其進行傳送。計算機可讀介質包括計算機存儲介質和通信介質兩者,其包括促成計算機程序從一地向另一地轉移的任何介質。存儲介質可以是能被計算機訪問的任何可用介質。作為示例而非限定,這樣的計算機可讀介質可包括ram、rom、eeprom、cd-rom或其它光盤存儲、磁盤存儲或其它磁存儲設備、或能被用來攜帶或存儲指令或數據結構形式的合意程序代碼且能被計算機訪問的任何其它介質。任何連接也被正當地稱為計算機可讀介質。例如,如果軟件是使用同軸電纜、光纖電纜、雙絞線、數字訂戶線(dsl)、或諸如紅外、無線電、以及微波之類的無線技術從web網站、服務器、或其它遠程源傳送而來,則該同軸電纜、光纖電纜、雙絞線、dsl、或諸如紅外、無線電、以及微波之類的無線技術就被包括在介質的定義之中。如本文中所使用的盤(disk)和碟(disc)包括壓縮碟(cd)、激光碟、光碟、數字多用碟(dvd)、軟盤和藍光碟,其中盤(disk)往往以磁的方式再現數據,而碟(disc)用激光以光學方式再現數據。上述的組合也應被包括在計算機可讀介質的范圍內。
90.提供之前的描述是為了使本領域中的任何技術人員均能夠實踐本文中所描述的各種方面。但是應該理解,本發明的保護范圍應當以所附權利要求書為準,而不應被限定于以上所解說實施例的具體結構和組件。本領域技術人員在本發明的精神和范圍內,可以對各實施例進行各種變動和修改,這些變動和修改也落在本發明的保護范圍之內。
技術特征:
1.一種功能應用的監控方法,應用于車輛的多個控制器,其特征在于,包括:第一控制器發送至少一個分別與功能應用對應的監控請求至第二控制器的監控應用,以基于所述監控應用監控所述第二控制器上的至少一個功能應用;所述監控應用將各所述功能應用的監控結果發送至所述第一控制器;以及所述第一控制器檢驗所述監控結果,以判斷所述第二控制器上的各所述功能應用是否正常運行;其中所述第一控制器的asil等級高于所述第二控制器的asil等級,所述第二控制器為面向服務架構的控制器。2.如權利要求1所述的監控方法,其特征在于,還包括:所述監控應用將至少一個所述監控請求轉化為至少一個測試服務,以供對應于各所述監控請求的各所述功能應用進行調用;其中各所述功能應用的監控結果為各所述功能應用的調用結果。3.如權利要求2所述的監控方法,其特征在于,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述至少一個監控請求對應的各功能應用的監控結果發送至所述第一控制器;其中響應于在所述預設時間段內,所述監控應用接收到所述功能應用調用所述測試服務后的反饋,將所述反饋作為所述調用結果;響應于在所述預設時間段內,所述監控應用未接收到所述功能應用的反饋,將表征失敗的結果作為所述調用結果;所述預設時間段的長度關聯于所述監控應用轉化監控請求的時間,關聯于各功能應用調用測試服務的時間,且關聯于功能安全故障容錯時間。4.如權利要求3所述監控方法,其特征在于,響應于所述第一控制器發送了與多個功能應用分別對應的多個監控請求,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述多個監控請求對應的所述多個功能應用的多個監控結果融合為一綜合監控結果發送至所述第一控制器,所述第一控制器對所述綜合監控結果進行校驗,以判斷所述多個功能應用是否均正常運行。5.如權利要求1所述的監控方法,其特征在于,所述第一控制器根據預設第一頻率多次發送至少一個所述監控請求至所述第二控制器的監控應用;其中對于同一所述功能應用,多次發送的多個監控請求各不相同。6.如權利要求5所述的監控方法,其特征在于,所述第一頻率小于各所述功能應用調取服務的第二頻率。7.如權利要求1所述的監控方法,其特征在于,所述第一控制器轉發sbc芯片的看門狗模塊產生的至少一個監控請求,并將所述監控應用返回的監控結果轉發至所述sbc芯片進行校驗。8.如權利要求1所述的監控方法,其特征在于,所述第一控制器包括多個第一子控制器,所述第二控制器的所述監控應用包括多個監控子應用,各所述第一子控制器與各所述監控子應用一一對應,各所述第一子控制器發送的各監控請求分別對應與之對應的監控子應用所對應的至少一個功能應用。9.如權利要求1所述的監控方法,其特征在于,所述第二控制器包括第二主控制器和至
少一個第二副控制器,所述第二主控制器上設置有所述監控應用,各所述第二副控制器與所述第二主控制器之間支持面向服務的通信,其中所述第一控制器還向所述第二主控制器上的所述監控應用發送對應各所述第二副控制器上的各功能應用的至少一個監控請求,以基于所述第二主控制器與各所述第二副控制器之間的通信監控各第二副控制器上的各功能應用。10.一種具有功能應用監控的車輛控制器系統,其特征在于,至少包括第一控制器和第二控制器,所述第一控制器的asil等級高于所述第二控制器的asil等級,所述第二控制器為面向服務架構的控制器;其中第一控制器發送至少一個分別與功能應用對應的監控請求至所述第二控制器的監控應用,以基于所述監控應用監控所述第二控制器上的至少一個功能應用;所述監控應用將各所述功能應用的監控結果發送至所述第一控制器;以及所述第一控制器檢驗所述監控結果,以判斷所述第二控制器上的各所述功能應用是否正常運行。11.如權利要求10所述的車輛控制器系統,其特征在于,所述第二控制器的所述監控應用還將至少一個所述監控請求轉化為至少一個測試服務,以供對應于各所述監控請求的各所述功能應用進行調用;其中各所述功能應用的監控結果為各所述功能應用的調用結果。12.如權利要求11所述的車輛控制器系統,其特征在于,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述至少一個監控請求對應的各功能應用的監控結果發送至所述第一控制器;其中響應于在所述預設時間段內,所述監控應用接收到所述功能應用調用所述測試服務后的反饋,將所述反饋作為所述調用結果;響應于在所述預設時間段內,所述監控應用未接收到所述功能應用的反饋,將表征失敗的結果作為所述調用結果;所述預設時間段的長度關聯于所述監控應用轉化監控請求的時間,關聯于各功能應用調用測試服務的時間,且關聯于功能安全故障容錯時間。13.如權利要求12所述的車輛控制器系統,其特征在于,響應于所述第一控制器發送了與多個功能應用分別對應的多個監控請求,所述監控應用響應于接收到所述監控請求且經過一預設時間段后,將所述多個監控請求對應的所述多個功能應用的多個監控結果融合為一綜合監控結果發送至所述第一控制器,所述第一控制器對所述綜合監控結果進行校驗,以判斷所述多個功能應用是否均正常運行。14.如權利要求10所述的車輛控制器系統,其特征在于,所述第一控制器根據預設第一頻率多次發送至少一個所述監控請求至所述第二控制器的監控應用;其中對于同一所述功能應用,多次發送的多個監控請求各不相同。15.如權利要求14所述的車輛控制器系統,其特征在于,所述第一頻率小于各所述功能應用調取服務的第二頻率。16.如權利要求10所述的車輛控制器系統,其特征在于,所述車輛控制器系統還包括與所述第一控制器具有通信的sbc芯片,其中所述第一控制器轉發所述sbc芯片的看門狗模塊產生的至少一個監控請求,并將所述
監控應用返回的監控結果轉發至所述sbc芯片進行校驗。17.如權利要求10所述的車輛控制器系統,其特征在于,所述第一控制器包括多個第一子控制器,所述第二控制器的所述監控應用包括多個監控子應用,各所述第一子控制器與各所述監控子應用一一對應,各所述第一子控制器發送的各監控請求分別對應與之對應的監控子應用所對應的至少一個功能應用。18.如權利要求10所述的車輛控制器系統,其特征在于,所述第二控制器包括第二主控制器和至少一個第二副控制器,所述第二主控制器上設置有所述監控應用,各所述第二副控制器與所述第二主控制器之間支持面向服務的通信,其中所述第一控制器還向所述第二主控制器上的所述監控應用發送對應各所述第二副控制器上的各功能應用的至少一個監控請求,以基于所述第二主控制器與各所述第二副控制器之間的通信監控各第二副控制器上的各功能應用。19.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1-9中任一項所述的功能應用的監控方法。
技術總結
本發明提供了一種功能應用的監控方法及車輛控制器系統。本發明提供的監控方法應用于車輛的多個控制器,包括:第一控制器發送至少一個分別與功能應用對應的監控請求至第二控制器的監控應用,以基于監控應用監控第二控制器上的各功能應用;監控應用將各功能應用的監控結果發送至第一控制器;以及第一控制器檢驗監控結果,以判斷第二控制器上的各功能應用是否正常運行;其中第一控制器的ASIL等級高于第二控制器的ASIL等級,第二控制器為面向服務架構的控制器。本發明能夠充分利用面向服務架構下的服務化軟件,通過現有的高安全等級的控制器來實現應用的安全性監控,降低了軟硬件的開發成本。發成本。發成本。
