CN110781019B - 一种基于功能安全的汽车仪表设计方法 - Google Patents

一种基于功能安全的汽车仪表设计方法 Download PDF

Info

Publication number
CN110781019B
CN110781019B CN201910829385.5A CN201910829385A CN110781019B CN 110781019 B CN110781019 B CN 110781019B CN 201910829385 A CN201910829385 A CN 201910829385A CN 110781019 B CN110781019 B CN 110781019B
Authority
CN
China
Prior art keywords
correction coding
error correction
ram
rom
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910829385.5A
Other languages
English (en)
Other versions
CN110781019A (zh
Inventor
李映文
黄潇榕
覃晓昌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huizhou Desay SV Automotive Co Ltd
Original Assignee
Huizhou Desay SV Automotive Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huizhou Desay SV Automotive Co Ltd filed Critical Huizhou Desay SV Automotive Co Ltd
Priority to CN201910829385.5A priority Critical patent/CN110781019B/zh
Publication of CN110781019A publication Critical patent/CN110781019A/zh
Application granted granted Critical
Publication of CN110781019B publication Critical patent/CN110781019B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1008Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's in individual solid state devices
    • G06F11/1044Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's in individual solid state devices with specific ECC/EDC distribution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1438Restarting or rejuvenating

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及仪表功能安全技术领域,具体公开了一种基于功能安全的汽车仪表设计方法,包括RAM纠错编码安全机制、ROM纠错编码安全机制、心跳机制和监控安全机制中的至少一种机制。设置的RAM纠错编码安全机制/ROM纠错编码安全机制,能够启用自身的纠错编码模块(ECC)实施监控ROM/RAM中是否出现bit错误,并对检测出的1bit错误自行纠正,若检测出2bits错误,向错误控制模块(ECM)报告错误,并且使仪表进入安全状态,进行看门狗复位。设置心跳机制是基于虚拟仪表采用的MCU+SoC(片上***)双***的架构,使用MCU监控SoC是否可以正常运行。设置监控安全机制,SoC内部使用HAM监控其他各个进程,并在指定的事件发生后,做出预设的特定动作,监控的实时性良好。

Description

一种基于功能安全的汽车仪表设计方法
技术领域
本发明涉及仪表功能安全技术领域,尤其涉及一种基于功能安全的汽车仪表设计方法。
背景技术
基于汽车仪表市场的需求,整车厂OEM对供应商Tier1汽车仪表要求满足功能安全ISO26262的ASIL B等级要求。功能安全是指检测到潜在的危险情况,从而启动保护或纠正装置,以防止发生危险事件或提供缓解措施以减少危险事件的后果。功能安全是整体安全的一部分,取决于***或设备是否正确地响应其输入。在自动驾驶汽车领域,功能安全可以确保路上有猫突然冲出时刹车,而如果是一片废纸飘过,则不会刹车;在拥堵路段,它确保汽车不会加速,或者在高速路上突然进入泊车模式。“就像传统汽车中的安全气囊,在没有事故的情况下,你不希望安全气囊在你的面前展开。”
OEM对仪表也要求满足功能安全ASIL B等级的要求,比如功能安全目标的功能不会意外的开启或关闭。仪表供应商Tier1 在设计的时候,如何满足快速启动、满足仪表的功能安全成为一大难题。
发明内容
本发明提供一种基于功能安全的汽车仪表设计方法,解决的技术问题是,在功能安全ASIL B等级的要求下,如何满足快速启动、满足仪表的功能安全。
为解决以上技术问题,本发明提供一种基于功能安全的汽车仪表设计方法, 包括RAM纠错编码安全机制、ROM纠错编码安全机制、心跳机制和监控安全机制中的至少一种机制。
其中,所述RAM纠错编码安全机制具体包括步骤:
A1,在汽车仪表MCU上配置RAM纠错编码模块(RAM-ECC)和错误控制模块(ECM);
A2,启动阶段:汽车仪表MCU开机后,所述RAM纠错编码模块(RAM-ECC)进行自检,若自检错误则进入所述RAM纠错编码安全机制的安全状态,若自检通过则进入下一步;
A3,运行阶段:所述RAM纠错编码模块(RAM-ECC)实时监测RAM,并对检测出的第一类型错误自行处理,而将检测出的第二类型错误发送到所述错误控制模块(ECM)进行处理且自身进入所述RAM纠错编码安全机制的安全状态。
进一步地,在所述步骤A3中,所述第一类型错误为读取RAM中数据的过程中产生的一位错误;所述第二类型错误为读取RAM中数据的过程中产生的二位错误;
所述RAM纠错编码模块(RAM-ECC)对检测出的所述第一类型错误自行处理的方式是,将产生的所述一位错误比照读取前RAM中数据进行纠正,使得从RAM中读取的数据与存入的数据一致;
所述错误控制模块(ECM)进行处理的过程为:
所述错误控制模块(ECM)根据产生的所述二位错误,生成中断和内部复位信号以及输出对应的误差销;
所述RAM纠错编码安全机制的安全状态为看门狗复位,不产生文本报警,不写入只读存储器(EEPROM)。
具体地,所述RAM纠错编码模块(RAM-ECC)由纠错编码和数据字组成,所述纠错编码的长度为7bits,所述数据字的代码长度为32 bits。
其中,所述ROM纠错编码安全机制具体包括步骤:
B1,在汽车仪表MCU上配置ROM纠错编码模块(ROM-ECC)和错误控制模块(ECM);
B2,启动阶段:汽车仪表MCU开机后,所述ROM纠错编码模块(ROM-ECC)进行自检,若自检错误则进入所述ROM纠错编码安全机制的安全状态,若自检通过则进入下一步;
B3,运行阶段:所述ROM纠错编码模块(ROM-ECC)实时监测ROM,并对检测出的第一类型错误自行处理,而将检测出的第二类型错误发送到所述错误控制模块(ECM)进行处理且自身进入所述ROM纠错编码安全机制的安全状态。
进一步地,在所述步骤B3中,所述第一类型错误为读取ROM中数据的过程中产生的一位错误;所述第二类型错误为读取ROM中数据的过程中产生的二位错误;
所述ROM纠错编码模块(ROM-ECC)对检测出的所述第一类型错误自行处理的方式是,将产生的所述一位错误比照读取前ROM中数据进行纠正,使得从ROM中读取的数据与存入的数据一致;
所述错误控制模块(ECM)进行处理的过程为:
所述错误控制模块(ECM)根据产生的所述二位错误,生成中断和内部复位信号以及输出对应的误差销;
所述ROM纠错编码安全机制的安全状态为看门狗复位,不产生文本报警,不写入只读存储器(EEPROM)。
具体地,所述ROM纠错编码模块(ROM-ECC)由纠错编码和数据字组成,所述纠错编码的长度为9bits,所述数据字的代码长度为128 bits。
其中,所述心跳机制具体包括步骤:
C1,在汽车仪表MCU上配置片上***(SoC);
C2,启动阶段:所述汽车仪表MCU在开机后,给定第一预设时间段的超时时间,等待接收来自所述片上***(SoC)的心跳报文,若超时未收到心跳报文,则进入所述心跳机制的安全状态;若收到,则重置所述超时时间为第二预设时间段;
C3,运行阶段:所述汽车仪表MCU按照重置的所述第二预设时间段的超时时间,等待接收来自所述片上***(SoC)的心跳报文,若超时未收到心跳报文,则进入所述心跳机制的安全状态;若收到,则重置所述超时时间为所述第二预设时间段。
优选地,所述第一预设时间段的取值区间为[10,14]秒,所述第二预设时间段的取值区间为[4,6]秒;所述心跳机制的安全状态为重启仪表。
其中,所述监控安全机制具体为:检测***任意进程的状态,并在指定的事件发生后,做出预设的特定动作。
本发明提供的一种基于功能安全的汽车仪表设计方法,其有益效果在于:
(1)设置的RAM纠错编码安全机制/ROM纠错编码安全机制,能够启用自身的纠错编码模块(ECC)实施监控ROM/RAM中是否出现bit错误,并对检测出的1 bit错误自行纠正,若检测出2 bits错误,向错误控制模块(ECM)报告错误,并且使仪表进入安全状态,进行看门狗复位,从而检测出ROM/RAM的物理性故障,保证MCU中代码的可靠性。在检验纠错编码模块(ECC)时,不需要对MCU的整个地址范围进行全部运算,而是对规定的地址范围采用4种测试模式进行检查,确定是否有损坏,做到快速启动。
(2)设置心跳机制是基于虚拟仪表采用的MCU + SoC(片上***)双***的架构,使用MCU监控SoC是否可以正常运行,即,在运行期间,SoC周期性向MCU发送心跳,MCU累计第二预设时间段(比如5秒)没有收到心跳,则判断SoC发送故障,MCU复位仪表。而在首次上电时,由于SoC启动较慢,所以,判断故障时间设置为更长的第一预设时间段(比如12秒)。
(3)设置监控安全机制,即是SoC内部使用HAM(高可用性管理器)监控其他各个进程,并在指定的事件发生后(如进程死亡),做出预设的特定动作(如重启进程),监控的实时性良好。
附图说明
图1是本发明实施例提供的RAM纠错编码安全机制/ROM纠错编码安全机制的步骤流程图;
图2是本发明实施例提供的RAM纠错编码模块(RAM-ECC)/ROM纠错编码模块(ROM-ECC)的监控原理图;
图3-1是本发明实施例提供的RAM纠错编码模块(RAM-ECC)/ROM纠错编码模块(ROM-ECC)的检测流程框图;
图3-2是本发明实施例提供的错误控制模块(ECM)的检测流程框图;
图4是本发明实施例提供的RAM纠错编码模块(RAM-ECC)的数据结构图;
图5是本发明实施例提供的故障响应时间和容错时间间隔的关系定义图;
图6是本发明实施例提供的ROM纠错编码模块(ROM-ECC)的数据结构图;
图7是本发明实施例提供的心跳机制的步骤流程图;
图8是本发明实施例提供的心跳机制的监控框图;
图9-1是本发明实施例提供的心跳机制在开机阶段的检测框图;
图9-2是本发明实施例提供的心跳机制在运行阶段的检测框图。
具体实施方式
下面结合附图具体阐明本发明的实施方式,实施例的给出仅仅是为了说明目的,并不能理解为对本发明的限定,包括附图仅供参考和说明使用,不构成对本发明专利保护范围的限制,因为在不脱离本发明精神和范围基础上,可以对本发明进行许多改变。
本发明实施例提供的一种基于功能安全的汽车仪表设计方法,包括RAM纠错编码安全机制、ROM纠错编码安全机制、心跳机制和监控安全机制中的至少一种机制。
为了保证实施效果,本实施例以同时在汽车仪表中设定了RAM纠错编码安全机制、ROM纠错编码安全机制、心跳机制和监控安全机制为例进行说明。本实施例应用在汽车仪表上,可包括乘用车、商用车、工程机械和摩托车仪表等。
如图1的步骤流程图和图3-1、3-2的检测流程框图所示,RAM纠错编码安全机制具体包括步骤:
A1,在汽车仪表MCU上配置RAM纠错编码模块(RAM-ECC)和错误控制模块(ECM);
A2,启动阶段:汽车仪表MCU开机后,所述RAM纠错编码模块(RAM-ECC)进行自检,若自检错误则进入所述RAM纠错编码安全机制的安全状态,若自检通过则进入下一步;
A3,运行阶段:所述RAM纠错编码模块(RAM-ECC)实时监测RAM,并对检测出的第一类型错误自行处理,而将检测出的第二类型错误发送到所述错误控制模块(ECM)进行处理且自身进入所述RAM纠错编码安全机制的安全状态。
其中,RAM代表本地内存(Random Access Memory),ECC代表纠错编码模块(ErrorCorrection Coding),ECM代表错误控制模块(Error Control Module)。所述RAM纠错编码安全机制的安全状态为看门狗复位,不产生文本报警,不写入只读存储器(EEPROM)。
在上述步骤A3中,所述第一类型错误为读取RAM中数据的过程中产生的一位错误(1 bit);所述第二类型错误为读取RAM中数据的过程中产生的二位错误(2 bits)。由于MCU是按照ASIL B等级来进行设计,失效率为10-7时,如果MCU出现物理性的损坏产生了大于2位数据错误,则MCU元器件就会损坏。为确保存储在Local RAM中的数据的完整性,MCU需要利用其自身的ECC进行监测,读取内存RAM中的数据时产生的1-bit(1位)及2-bit(2位)错误并进一步进行处理。
所述RAM纠错编码模块(RAM-ECC)对检测出的所述第一类型错误自行处理的方式是,将产生的所述一位错误比照读取前RAM中数据进行纠正,使得从RAM中读取的数据与存入的数据一致。参考图2的监控原理图,RAM纠错编码模块(RAM-ECC)的工作原理如下:
1)在数据位上额外的位存储一个用于数据加密的代码;
2)当数据被写入内存,相应的ECC代码与此同时也被保存下来;
3)当重新读回刚才存储的数据时,保存下来的ECC代码就会和读数据时产生的ECC代码做比较(读取回的数据变化时,其对应读回来的ECC也会变化);
4)如果两个代码不相同,他们则会被解码,以确定数据中的哪一位是不正确的,然后这一错误位会被抛弃,内存控制器则会释放出正确的数据;
5)被纠正的数据很少会被放回内存,假如相同的错误数据再次被读出,则纠正过程再次被执行(重写数据会增加处理过程的开销,这样则会导致***性能的明显降低);
6)如果是随机事件而非内存的缺点产生的错误,则这一内存地址的错误数据会被再次写入的其他数据所取代。
针对产生的二位错误,RAM纠错编码模块(RAM-ECC)仅向错误控制模块(ECM)报告2-bit错误,并在ECM中断服务函数中直接处理该错误。错误控制模块(ECM)收集来自不同监控电路的误差来源和误差信号,它还输出误差信号的误差销(ERROROUT)并生成中断和内部复位信号。
如图4所示,所述RAM纠错编码模块(RAM-ECC)由纠错编码和数据字组成,所述纠错编码的长度为7bits,所述数据字的代码长度为32 bits。
验证RAM具有4种模式,分别是:Walking-1(步行-1)测试模式,All-0(全0)测试模式,All-1(全1)测试模式,2-bit(2位)错误测试模式。
如下表1所示,在本RAM纠错编码安全机制中,在自检阶段或是运行阶段,设置故障容错时间间隔FTTI<1ms,故障检测时间FDT<1ms。其中,故障响应时间和容错时间间隔的关系可参考图5。
表1
Figure SMS_1
对于ROM纠错编码安全机制而言,如图1~5(除图4外)所示,其主要过程与RAM纠错编码安全机制相似,不同的地方在于:
(1)数据结构。如图6所示的数据结构图,ROM-ECC由纠错编码和数据字组成,所述纠错编码的长度为9bits,所述数据字的代码长度为128 bits。
(2)测试过程。与RAM纠错编码安全机制同样的采用4种模式,分别是:Walking-1(步行-1)测试模式,All-0(全0)测试模式,All-1(全1)测试模式,2-bit(2位)错误测试模式。但不同的是,为了去验证code flash的ECC控制器电路是否损坏,需要进行上面的4种测试模式,为了节省测试时间,不能对全部的Flash空间进行验证,只需要针对合理的范围进行控制器电路进行测试。如下表2所示。
表2
Figure SMS_2
本发明实施例设置的RAM纠错编码安全机制/ROM纠错编码安全机制,能够启用自身的纠错编码模块(ECC)实施监控ROM/RAM中是否出现bit错误,并对检测出的1 bit错误自行纠正,若检测出2 bits错误,向错误控制模块(ECM)报告错误,并且使仪表进入安全状态,进行看门狗复位,从而检测出ROM/RAM的物理性故障,保证MCU中代码的可靠性。在检验纠错编码模块(ECC)时,不需要对MCU的整个地址范围进行全部运算,而是对规定的地址范围采用4种测试模式进行检查,确定是否有损坏,做到快速启动。
如图7、8所示,在本实施例中,所述心跳机制具体包括步骤:
C1,在汽车仪表MCU上配置片上***(SoC);
C2,启动阶段:所述汽车仪表MCU在开机后,给定第一预设时间段的超时时间,等待接收来自所述片上***(SoC)的心跳报文,若超时未收到心跳报文,则进入所述心跳机制的安全状态;若收到,则重置所述超时时间为第二预设时间段;
C3,运行阶段:所述汽车仪表MCU按照重置的所述第二预设时间段的超时时间,等待接收来自所述片上***(SoC)的心跳报文,若超时未收到心跳报文,则进入所述心跳机制的安全状态;若收到,则重置所述超时时间为所述第二预设时间段。
所述第一预设时间段的取值区间为[10,14]秒,优选为12秒,参考图9-1;所述第二预设时间段的取值区间为[4,6]秒,优选为5秒,参考图9-2;所述心跳机制的安全状态为重启仪表。
所述心跳机制在开机阶段和执行阶段的故障容错时间间隔FTTI和故障检测时间FDT如下表3所示,对应于图9-1、9-2。
表3
Figure SMS_3
本发明实施例设置心跳机制是基于虚拟仪表采用的MCU + SoC(片上***)双***的架构,使用MCU监控SoC是否可以正常运行,即,在运行期间,SoC周期性向MCU发送心跳,MCU累计第二预设时间段(比如5秒)没有收到心跳,则判断SoC发送故障,MCU复位仪表。而在首次上电时,由于SoC启动较慢,所以,判断故障时间设置为更长的第一预设时间段(比如12秒)。
在本实施例中,所述监控安全机制具体为:检测***任意进程的状态,并在指定的事件发生后,做出预设的特定动作。
更具体是,QNX***的HAM(高可用性管理器High Availability Manager)提供了可以监控进程或者服务的机制,可以检测***任意进程的状态,并在指定的事件发生后(如进程死亡),做出预设的特定动作(比如重启进程),从而使进程可以持续提供服务,保证***的可用性。HAM和Guardian进程相互监控,确保监控程序可靠进行。
目前被监控进程使用了ham_attach_self()注册到ham,使用ham_condition注册监控条件,使用ham_action_restart()添加在需要restart的时候执行的动作。
高可用性管理器HAM提供了一种机制来监控流程和服务。目标是提供一个有弹性的管理(或“智能看门狗”)可以执行多级恢复时***服务,或流程失败、不再响应,或被发现在一个状态停止提供可接受的服务水平。包含:函数ham_attach_self(),ham_condition(),ham_action_restart()等等。
本发明实施例设置监控安全机制,即是SoC内部使用HAM(高可用性管理器)监控其他各个进程,并在指定的事件发生后(如进程死亡),做出预设的特定动作(如重启进程),监控的实时性良好。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (9)

1.一种基于功能安全的汽车仪表设计方法,其特征在于,包括RAM纠错编码安全机制、ROM纠错编码安全机制、心跳机制和监控安全机制中的至少一种机制;
所述RAM纠错编码安全机制具体包括步骤:
A1,在汽车仪表MCU上配置RAM纠错编码模块(RAM-ECC)和错误控制模块(ECM);
A2,启动阶段:汽车仪表MCU开机后,所述RAM纠错编码模块(RAM-ECC)进行自检,若自检错误则进入所述RAM纠错编码安全机制的安全状态,若自检通过则进入下一步;
A3,运行阶段:所述RAM纠错编码模块(RAM-ECC)实时监测RAM,并对检测出的第一类型错误自行处理,而将检测出的第二类型错误发送到所述错误控制模块(ECM)进行处理且自身进入所述RAM纠错编码安全机制的安全状态。
2.如权利要求1所述的一种基于功能安全的汽车仪表设计方法,其特征在于,在所述步骤A3中,所述第一类型错误为读取RAM中数据的过程中产生的一位错误;所述第二类型错误为读取RAM中数据的过程中产生的二位错误;
所述RAM纠错编码模块(RAM-ECC)对检测出的所述第一类型错误自行处理的方式是,将产生的所述一位错误比照读取前RAM中数据进行纠正,使得从RAM中读取的数据与存入的数据一致;
所述错误控制模块(ECM)进行处理的过程为:
所述错误控制模块(ECM)根据产生的所述二位错误,生成中断和内部复位信号以及输出对应的误差销;
所述RAM纠错编码安全机制的安全状态为看门狗复位,不产生文本报警,不写入只读存储器(EEPROM)。
3.如权利要求2所述的一种基于功能安全的汽车仪表设计方法,其特征在于,所述RAM纠错编码模块(RAM-ECC)由纠错编码和数据字组成,所述纠错编码的长度为7bits,所述数据字的代码长度为32 bits。
4.如权利要求1所述的一种基于功能安全的汽车仪表设计方法,其特征在于,所述ROM纠错编码安全机制具体包括步骤:
B1,在汽车仪表MCU上配置ROM纠错编码模块(ROM-ECC)和错误控制模块(ECM);
B2,启动阶段:汽车仪表MCU开机后,所述ROM纠错编码模块(ROM-ECC)进行自检,若自检错误则进入所述ROM纠错编码安全机制的安全状态,若自检通过则进入下一步;
B3,运行阶段:所述ROM纠错编码模块(ROM-ECC)实时监测ROM,并对检测出的第一类型错误自行处理,而将检测出的第二类型错误发送到所述错误控制模块(ECM)进行处理且自身进入所述ROM纠错编码安全机制的安全状态。
5.如权利要求4所述的一种基于功能安全的汽车仪表设计方法,其特征在于:在所述步骤B3中,所述第一类型错误为读取ROM中数据的过程中产生的一位错误;所述第二类型错误为读取ROM中数据的过程中产生的二位错误;
所述ROM纠错编码模块(ROM-ECC)对检测出的所述第一类型错误自行处理的方式是,将产生的所述一位错误比照读取前ROM中数据进行纠正,使得从ROM中读取的数据与存入的数据一致;
所述错误控制模块(ECM)进行处理的过程为:
所述错误控制模块(ECM)根据产生的所述二位错误,生成中断和内部复位信号以及输出对应的误差销;
所述ROM纠错编码安全机制的安全状态为看门狗复位,不产生文本报警,不写入只读存储器(EEPROM)。
6.如权利要求5所述的一种基于功能安全的汽车仪表设计方法,其特征在于,所述ROM纠错编码模块(ROM-ECC)由纠错编码和数据字组成,所述纠错编码的长度为9bits,所述数据字的代码长度为128 bits。
7.如权利要求1所述的一种基于功能安全的汽车仪表设计方法,其特征在于,所述心跳机制具体包括步骤:
C1,在汽车仪表MCU上配置片上***(SoC);
C2,启动阶段:所述汽车仪表MCU在开机后,给定第一预设时间段的超时时间,等待接收来自所述片上***(SoC)的心跳报文,若超时未收到心跳报文,则进入所述心跳机制的安全状态;若收到,则重置所述超时时间为第二预设时间段;
C3,运行阶段:所述汽车仪表MCU按照重置的所述第二预设时间段的超时时间,等待接收来自所述片上***(SoC)的心跳报文,若超时未收到心跳报文,则进入所述心跳机制的安全状态;若收到,则重置所述超时时间为所述第二预设时间段。
8.如权利要求7所述的一种基于功能安全的汽车仪表设计方法,其特征在于:所述第一预设时间段的取值区间为[10,14]秒,所述第二预设时间段的取值区间为[4,6]秒;所述心跳机制的安全状态为重启仪表。
9.如权利要求1所述的一种基于功能安全的汽车仪表设计方法,其特征在于,所述监控安全机制具体为:检测***任意进程的状态,并在指定的事件发生后,做出预设的特定动作。
CN201910829385.5A 2019-09-03 2019-09-03 一种基于功能安全的汽车仪表设计方法 Active CN110781019B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910829385.5A CN110781019B (zh) 2019-09-03 2019-09-03 一种基于功能安全的汽车仪表设计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910829385.5A CN110781019B (zh) 2019-09-03 2019-09-03 一种基于功能安全的汽车仪表设计方法

Publications (2)

Publication Number Publication Date
CN110781019A CN110781019A (zh) 2020-02-11
CN110781019B true CN110781019B (zh) 2023-06-23

Family

ID=69383668

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910829385.5A Active CN110781019B (zh) 2019-09-03 2019-09-03 一种基于功能安全的汽车仪表设计方法

Country Status (1)

Country Link
CN (1) CN110781019B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113500913B (zh) * 2021-08-30 2022-09-09 电装光庭汽车电子(武汉)有限公司 全液晶仪表的描画组件

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103984630A (zh) * 2014-05-27 2014-08-13 中国科学院空间科学与应用研究中心 一种基于at697处理器的单粒子翻转故障处理方法
CN104346293A (zh) * 2013-07-25 2015-02-11 华为技术有限公司 混合内存的数据访问方法、模块、处理器及终端设备
JP2016081341A (ja) * 2014-10-17 2016-05-16 株式会社デンソー 電子制御装置
CN106372545A (zh) * 2016-08-29 2017-02-01 北京新能源汽车股份有限公司 一种数据处理方法、车载自动诊断***obd控制器及车辆

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104346293A (zh) * 2013-07-25 2015-02-11 华为技术有限公司 混合内存的数据访问方法、模块、处理器及终端设备
CN103984630A (zh) * 2014-05-27 2014-08-13 中国科学院空间科学与应用研究中心 一种基于at697处理器的单粒子翻转故障处理方法
JP2016081341A (ja) * 2014-10-17 2016-05-16 株式会社デンソー 電子制御装置
CN106372545A (zh) * 2016-08-29 2017-02-01 北京新能源汽车股份有限公司 一种数据处理方法、车载自动诊断***obd控制器及车辆

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网友.《QNX学习笔记[IMX6Q/TQIMX6Q]QNX HAM高可用框架》.《https://blog.csdn.net/werweqg/article/details/83214408/》.2018,第1页第1段. *

Also Published As

Publication number Publication date
CN110781019A (zh) 2020-02-11

Similar Documents

Publication Publication Date Title
CN109670319B (zh) 一种服务器flash安全管理方法及其***
US9058419B2 (en) System and method for verifying the integrity of a safety-critical vehicle control system
US10382222B2 (en) Method for protecting configuration data from a data bus transceiver, data bus transceiver and data bus system
US7366597B2 (en) Validating control system software variables
US9207661B2 (en) Dual core architecture of a control module of an engine
US7408475B2 (en) Power supply monitoring device
CN114802059B (zh) 一种液晶仪表***用车辆故障报警方法及***
CN115237644B (zh) ***故障处理方法、中央运算单元以及车辆
CN110781019B (zh) 一种基于功能安全的汽车仪表设计方法
CN114170705A (zh) 车辆数据上传方法、装置和设备
US9925935B2 (en) In-vehicle communication system and in-vehicle communication method
CN114968646A (zh) 一种功能故障处理***及其方法
KR20060067927A (ko) 마이크로컴퓨터의 프로그램 실행 모니터링 방법
JP2016126692A (ja) 電子制御装置
US20110029191A1 (en) Processor system and fault managing unit thereof
US10514970B2 (en) Method of ensuring operation of calculator
CN113711209A (zh) 电子控制装置
CN108829417B (zh) 一种cpld的升级装置、方法、设备及存储介质
CN109478160B (zh) 用于检测***性故障和随机故障的电路
US8539283B2 (en) System and method for executing a high-reliability application
US20140189462A1 (en) Error correcting device, method for monitoring an error correcting device and data processing system
JPH11328045A (ja) バッテリバックアップ機能付きdram装置の初期化制御方式
CN105871362A (zh) 音频芯片失效的自恢复方法
CN112799370B (zh) 一种控制装置、车载***软件还原方法及其***
CN108153272B (zh) 车载总线电子模块故障重启后总线行为保护方法及其***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant