CN115291497A - 一种功能应用的监控方法及车辆控制器*** - Google Patents
一种功能应用的监控方法及车辆控制器*** Download PDFInfo
- Publication number
- CN115291497A CN115291497A CN202210857810.3A CN202210857810A CN115291497A CN 115291497 A CN115291497 A CN 115291497A CN 202210857810 A CN202210857810 A CN 202210857810A CN 115291497 A CN115291497 A CN 115291497A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- controller
- application
- sub
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种功能应用的监控方法及车辆控制器***。本发明提供的监控方法应用于车辆的多个控制器,包括:第一控制器发送至少一个分别与功能应用对应的监控请求至第二控制器的监控应用,以基于监控应用监控第二控制器上的各功能应用;监控应用将各功能应用的监控结果发送至第一控制器;以及第一控制器检验监控结果,以判断第二控制器上的各功能应用是否正常运行;其中第一控制器的ASIL等级高于第二控制器的ASIL等级,第二控制器为面向服务架构的控制器。本发明能够充分利用面向服务架构下的服务化软件,通过现有的高安全等级的控制器来实现应用的安全性监控,降低了软硬件的开发成本。
Description
技术领域
本发明涉及车载控制领域,尤其涉及具有功能应用监控的车辆控制器***及功能应用的监控方法。
背景技术
汽车新四化“电动化、智能化、网联化、共享化”是汽车产业的重大变革。随着“新四化”的推进,车内功能日益复杂,传统的分布式电子电气架构(Electrical/ElectronicArchitecture,EEA)已无法适应这种趋势。因此,EEA开始发生变革,从原先的分布式逐步向域集中式、中央集中式的EEA演变,如图1所示。
以中央集中式以区域导向的EEA为例,如图2所示。未来,在车内将具备一个或者多个高算力的车载计算机,若干个区域控制器(Zone Controller),以及若干个传统嵌入式控制器。其中,区域控制器和嵌入式控制器只是职责的划分不同,它们的实现方式还是基于微控制器(Micro-Controller Unit,MCU)的产品,采用的都是经典AUTOSAR平台(ClassicAUTOSAR Platform)。但是,高算力的车载计算机则需要基于微处理器(Micro-ProcessingUnit,MPU),采用的是自适应AUTOSAR平台(Adaptive AUTOSAR Platform)等其他软件平台。对于域集中式EEA中,也同样具有采用MCU和MPU的控制器产品。
其次,随着汽车电控***日益复杂,大量电气电子元器件的引入,在带来控制便利性和多样性的同时,也因为无法避免的***性失效和随机硬件失效,给整车安全带来了一定风险。ISO26262正是因应这一风险而诞生的,标准在分析整车在各工况下的风险和危害的基础上,评定针对不同安全目标的安全等级(汽车安全完整性等级:Automotive SafetyIntegrity Level,ASIL),并给出一套切实可行的功能安全开发流程和针对不同失效模式的安全措施,因此受到各整车厂的重视。
综上所述,在新型EEA下,车内将具备一个或者是多个高算力的计算单元,其有别于传统的嵌入式控制器,例如:车载计算机采用的是Linux、QNX等操作***,和传统嵌入式控制器内的实时操作***(Real Time Operating System,RTOS)有较大差异,且它将基于面向服务的架构(Service Oriented Architecture,SOA)进行软件设计,软件以实现各种功能的应用(Application,APP)的形式部署在车载计算机中。但是,在软件***发生重大的变革的同时,它们计算得到的结果又可能将运用于安全关键(Safety Critical)的车辆控制与决策功能。所以,如何保证整个***的功能安全将是一大挑战。其中一种技术方案就是在车载计算机中也和传统嵌入式控制器一样开发一套监控软件,但是由于该类控制器软件和传统嵌入式软件差异巨大,使得已有的监控策略很难在其中运用,需要重新设计;并且,对于一些关键的基础软件(如:Linux、QNX等操作***、中间件)以及芯片本身也需要使用支持功能安全的版本,研发成本将大大提升。此外,自2011年ISO26262标准第一版发布至今,针对功能安全监控软件的设计开发,行业内的关注点大部分都集中在嵌入式控制器(MCU端),其功能安全监控方案已经较为成熟了。但是,对于车载计算机(MPU端)的功能安全监控方案行业内仍处于初级阶段。
有鉴于此,希望能够提供一种针对于车载计算机的功能安全的监控方法,以保证车辆的安全运行。
发明内容
以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览,并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。
如上文所描述的,为了现有技术中,在车载计算机中缺乏完善的功能安全监控的问题,本发明提供了一种功能应用的监控方法及车辆控制器***。
本发明的一方面所提供的功能应用的监控方法,应用于车辆的多个控制器,包括:第一控制器发送至少一个分别与功能应用对应的监控请求至第二控制器的监控应用,以基于所述监控应用监控所述第二控制器上的各功能应用;所述监控应用将各所述功能应用的监控结果发送至所述第一控制器;以及所述第一控制器检验所述监控结果,以判断所述第二控制器上的各所述功能应用是否正常运行;其中所述第一控制器的ASIL等级高于所述第二控制器的ASIL等级,所述第二控制器为面向服务架构的控制器。
在上述监控方法的一实施例中,可选的,还包括:所述监控应用将至少一个所述监控请求转化为至少一个测试服务,以供对应于各所述监控请求的各所述功能应用进行调用;其中各所述功能应用的监控结果为各所述功能应用的调用结果。
在上述监控方法的一实施例中,可选的,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述至少一个监控请求对应的各功能应用的监控结果发送至所述第一控制器;其中响应于在所述预设时间段内,所述监控应用接收到所述功能应用调用所述测试服务后的反馈,将所述反馈作为所述调用结果;响应于在所述预设时间段内,所述监控应用未接收到所述功能应用的反馈,将表征失败的结果作为所述调用结果;所述预设时间段的长度关联于所述监控应用转化监控请求的时间,关联于各功能应用调用测试服务的时间,且关联于功能安全故障容错时间。
在上述监控方法的一实施例中,可选的,响应于所述第一控制器发送了与多个功能应用分别对应的多个监控请求,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述多个监控请求对应的所述多个功能应用的多个监控结果融合为一综合监控结果发送至所述第一控制器,所述第一控制器对所述综合监控结果进行校验,以判断所述多个功能应用是否均正常运行。
在上述监控方法的一实施例中,可选的,所述第一控制器根据预设第一频率多次发送至少一个所述监控请求至所述第二控制器的监控应用;其中对于同一所述功能应用,多次发送的多个监控请求各不相同。
在上述监控方法的一实施例中,可选的,所述第一频率小于各所述功能应用调取服务的第二频率。
在上述监控方法的一实施例中,可选的,所述第一控制器转发SBC芯片的看门狗模块产生的至少一个监控请求,并将所述监控应用返回的监控结果转发至所述SBC芯片进行校验。
在上述监控方法的一实施例中,可选的,所述第一控制器包括多个第一子控制器,所述第二控制器的所述监控应用包括多个监控子应用,各所述第一子控制器与各所述监控子应用一一对应,各所述第一子控制器发送的各监控请求分别对应与之对应的监控子应用所对应的功能应用。
在上述监控方法的一实施例中,可选的,所述第二控制器包括第二主控制器和至少一个第二副控制器,所述第二主控制器上设置有所述监控应用,各所述第二副控制器与所述第二主控制器之间支持面向服务的通信,其中所述第一控制器还向所述第二主控制器上的所述监控应用发送对应各所述第二副控制器上的各功能应用的至少一个监控请求,以基于所述第二主控制器与各所述第二副控制器之间的通信监控各第二副控制器上的各功能应用。
本发明的另一方面还提供了一种具有功能应用监控的车辆控制器***,至少包括第一控制器和第二控制器,所述第一控制器的ASIL等级高于所述第二控制器的ASIL等级,所述第二控制器为面向服务架构的控制器;其中第一控制器发送至少一个分别与功能应用对应的监控请求至所述第二控制器的监控应用,以基于所述监控应用监控所述第二控制器上的各功能应用;所述监控应用将各所述功能应用的监控结果发送至所述第一控制器;以及所述第一控制器检验所述监控结果,以判断所述第二控制器上的各所述功能应用是否正常运行
在上述车辆控制器***的一实施例中,可选的,所述第二控制器的所述监控应用还将至少一个所述监控请求转化为至少一个测试服务,以供对应于各所述监控请求的各所述功能应用进行调用;其中各所述功能应用的监控结果为各所述功能应用的调用结果。
在上述车辆控制器***的一实施例中,可选的,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述至少一个监控请求对应的各功能应用的监控结果发送至所述第一控制器;其中响应于在所述预设时间段内,所述监控应用接收到所述功能应用调用所述测试服务后的反馈,将所述反馈作为所述调用结果;响应于在所述预设时间段内,所述监控应用未接收到所述功能应用的反馈,将表征失败的结果作为所述调用结果;所述预设时间段的长度关联于所述监控应用转化监控请求的时间,关联于各功能应用调用测试服务的时间,且关联于功能安全故障容错时间。
在上述车辆控制器***的一实施例中,可选的,响应于所述第一控制器发送了与多个功能应用分别对应的多个监控请求,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述多个监控请求对应的所述多个功能应用的多个监控结果融合为一综合监控结果发送至所述第一控制器,所述第一控制器对所述综合监控结果进行校验,以判断所述多个功能应用是否均正常运行。
在上述车辆控制器***的一实施例中,可选的,所述第一控制器根据预设第一频率多次发送至少一个所述监控请求至所述第二控制器的监控应用;其中对于同一所述功能应用,多次发送的多个监控请求各不相同。
在上述车辆控制器***的一实施例中,可选的,所述第一频率小于各所述功能应用调取服务的第二频率。
在上述车辆控制器***的一实施例中,可选的,所述车辆控制器***还包括与所述第一控制器具有通信的SBC芯片,其中所述第一控制器转发所述SBC芯片的看门狗模块产生的至少一个监控请求,并将所述监控应用返回的监控结果转发至所述SBC芯片进行校验。
在上述车辆控制器***的一实施例中,可选的,所述第一控制器包括多个第一子控制器,所述第二控制器的所述监控应用包括多个监控子应用,各所述第一子控制器与各所述监控子应用一一对应,各所述第一子控制器发送的各监控请求分别对应与之对应的监控子应用所对应的功能应用。
在上述车辆控制器***的一实施例中,可选的,所述第二控制器包括第二主控制器和至少一个第二副控制器,所述第二主控制器上设置有所述监控应用,各所述第二副控制器与所述第二主控制器之间支持面向服务的通信,其中所述第一控制器还向所述第二主控制器上的所述监控应用发送对应各所述第二副控制器上的各功能应用的至少一个监控请求,以基于所述第二主控制器与各所述第二副控制器之间的通信监控各第二副控制器上的各功能应用。
本发明的另一方面还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如本发明任意一项实施例所描述的功能应用的监控方法。
根据本发明所提供的功能应用的监控方法及车辆控制器***,在无需硬件支持的情况下,充分利用面向服务架构(SOA)下的服务化软件,通过高安全等级的控制器来监控车载计算机中运行的各APP是否在正确地执行,及其使用的硬件资源和基础软件是否安全可靠,可支持最高功能安全ASIL-D等级,本发明可以实现整车层面的监控软件复用,以节省软硬件开发成本。
附图说明
在结合以下附图阅读本公开的实施例的详细描述之后,能够更好地理解本发明的上述特征和优点。在附图中,各组件不一定是按比例绘制,并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。
图1示出了现有技术中汽车电子电气架构EEA的演进趋势的示意图。
图2示出了以区域为导向的中央集中式的电子电气构架EEA的结构示意图。
图3示出了本发明一方面所提供的车辆控制器***一实施例的示意图。
图4示出了本发明一方面所提供的车辆控制器***另一实施例的示意图。
图5示出了本发明一方面所提供的车辆控制器***另一实施例的示意图。
图6示出了本发明一方面所提供的车辆控制器***另一实施例的示意图。
图7示出了本发明一方面所提供的车辆控制器***另一实施例的示意图。
图8示出了本发明一方面所提供的车辆控制器***另一实施例的示意图。
图9示出了本发明一方面所提供的功能应用的监控方法的流程示意图。
图10示出了本发明中各车辆控制器的通用结构示意图。
具体实施方式
以下结合附图和具体实施例对本发明作详细描述。注意,以下结合附图和具体实施例描述的诸方面仅是示例性的,而不应被理解为对本发明的保护范围进行任何限制。
给出以下描述以使得本领域技术人员能够实施和使用本发明并将其结合到具体应用背景中。各种变型、以及在不同应用中的各种使用对于本领域技术人员将是容易显见的,并且本文定义的一般性原理可适用于较宽范围的实施例。由此,本发明并不限于本文中给出的实施例,而是应被授予与本文中公开的原理和新颖性特征相一致的最广义的范围。
在以下详细描述中,阐述了许多特定细节以提供对本发明的更透彻理解。然而,对于本领域技术人员显而易见的是,本发明的实践可不必局限于这些具体细节。换言之,公知的结构和器件以框图形式示出而没有详细显示,以避免模糊本发明。
请读者注意与本说明书同时提交的且对公众查阅本说明书开放的所有文件及文献,且所有这样的文件及文献的内容以参考方式并入本文。除非另有直接说明,否则本说明书(包含任何所附权利要求、摘要和附图)中所揭示的所有特征皆可由用于达到相同、等效或类似目的的可替代特征来替换。因此,除非另有明确说明,否则所公开的每一个特征仅是一组等效或类似特征的一个示例。
注意,在使用到的情况下,标志左、右、前、后、顶、底、正、反、顺时针和逆时针仅仅是出于方便的目的所使用的,而并不暗示任何具体的固定方向。事实上,它们被用于反映对象的各个部分之间的相对位置和/或方向。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
注意,在使用到的情况下,进一步地、较优地、更进一步地和更优地是在前述实施例基础上进行另一实施例阐述的简单起头,该进一步地、较优地、更进一步地或更优地后带的内容与前述实施例的结合作为另一实施例的完整构成。在同一实施例后带的若干个进一步地、较优地、更进一步地或更优地设置之间可任意组合的组成又一实施例。
如上文所描述的,为了现有技术中,在车载计算机中缺乏完善的功能安全监控的问题,本发明提供了一种功能应用的监控方法及车辆控制器***。
首先,请结合图3和图9来理解本发明所提供的功能应用的监控方法及车辆控制器***的一具体实现方法。如图9所示出的,本发明的一方面所提供的功能应用的监控方法包括步骤:
S100:第一控制器发送至少一个分别与功能应用对应的监控请求至第二控制器的监控应用;
S200:监控应用将各功能应用的监控结果发送至第一控制器;以及
S300:第一控制器检验监控结果,以判断第二控制器上的各功能应用是否正常运行。
请结合图3示出的车辆控制器***,本发明中的第一控制器指向ASIL等级较高的控制器,例如图3中的嵌入式控制器,第二控制器的ASIL等级低于第一控制器的ASIL等级,即图3中的车载计算机。
进一步的,第二控制器为面向服务架构的控制器,从图3中可以看出,软件是应用(Application,APP)的形式部署在车载计算机中。第一控制器于第二控制器之间具有通信连接。
在本发明中,第一控制器和第二控制器亦可以根据不同的车载硬件结构分为不同的表现形式,并且根据不同的硬件分布情况,上述通信连接可以分为不同的情况,后文将结合附图进行描述,在此不再赘述。
在本发明所提供的功能应用的监控方法的一实施例中,为了保证第二控制器(车载计算机)中“功能APPn”(n=1,2,3,4……),下文简称“功能APP”的正确执行,采取了问/答(Question/Answer)的机制,即由高ASIL等级的第一控制器(嵌入式控制器)向低ASIL等级的第二控制器(车载计算机)发送Question(步骤S100),在第二控制器上的、本发明中特别设置的“安全监控APP”收到Question后将其转化为服务,供其他需要被监控的“功能APP”调用(步骤S110)。
由于第二控制器上的各“功能APP”为了实现各自的功能,会向真实的服务提供模块发送请求,以调用相关的服务,当第二控制器上的“安全监控APP”将Question转化为服务后,相当于提供了“虚拟服务”供“功能APP”调用。而在正常的情况下,即不出现异常的情况下,“功能APP”调用“虚拟服务”后会反馈调用结果,而根据Question转化的“虚拟服务”,亦能够得到一个Answer值。各“功能APP”将Answer反馈给“安全监控APP”,“安全监控APP”将各“功能APP”反馈的结果发送给高ASIL等级的第一控制器(嵌入式控制器)(步骤S200),以使第一控制器对监控结果(即反馈的调用结果)进行校验(步骤S300),如果校验不通过则根据具体应用对应的安全目标(Safety Goal,SG)进行安全响应。
为了提高诊断覆盖度,高ASIL等级的嵌入式控制器发送的Question(监控请求)可以是动态变化的,即对于同一个功能应用,多次发送的多个监控请求各不相同,例如:0x0,0x1,0x2,0x3…0xF等随机出现,从而避免“功能APP”预测调用结果。其次,“功能APP”中基于Question得到Answer的方法也可根据诊断覆盖率需求选择,可以是直接查表得到,也可以基于线性反馈移位寄存器(Linear Feedback Shift Register,LFSR)等运算得到。更进一步的,若要进一步提升诊断覆盖率,上述的运算还可将各种软硬件资源的监控结果都融合进来,例如:如果将“功能APP”所用到的CPU指令集参与到Answer的计算,且Answer在“功能APP”所用的存储区域进行先写后读的操作,则为了得到Answer的运算可以覆盖“功能APP”所用的芯片资源(CPU、存储等)。
其次,如果对于“功能APP”的执行时间、运行周期等时间相关的参数有限制要求,则可以在高ASIL等级的嵌入式控制器中对其进行时间相关的监控。例如,可以调整嵌入式控制器发送监控请求的频率,以检验“功能APP”调用服务的频率(运行周期)是否合理。为了保证频率的调整是能够合理地反映出“功能APP”的运行周期,需要设置使得第一控制器发送监控请求的频率小于各功能应用调取服务的第二频率。
同时,可以设定监控应用响应于接收到监控请求且经过一预设时间段后,将至少一个监控请求对应的各功能应用的监控结果发送至第一控制器。在预设时间段内,若监控应用接收到功能应用调用所述测试服务后的反馈,将反馈调用结果(说明“功能APP”的执行时间合理)。若在预设时间段内,监控应用未接收到所述功能应用的反馈,将表征失败的结果作为调用结果反馈给第一控制器,即认为“功能APP”的执行时间异常。
进一步的,为了使监控结果能够更加合理表征“功能APP”的实际调用结果,上述的预设时间段需要综合考虑监控应用转化监控请求的时间、考虑各功能应用调用测试服务的时间。同时,为了保证安全性请,还需要考虑满足功能安全故障容错时间间隔(FaultTolerant Time Interval,FTTI)等要求。
在一实施例中,响应于所述第一控制器发送了与多个功能应用分别对应的多个监控请求,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述多个监控请求对应的所述多个功能应用的多个监控结果融合为一综合监控结果发送至所述第一控制器,所述第一控制器对所述综合监控结果进行校验,以判断所述多个功能应用是否均正常运行。
举例来说,在上述的实施例中,若第一控制器向监控应用发送了对应“功能APP1”、“功能APP3”、“功能APP6”的三个监控请求,监控应用将三个监控请求转化为对应的测试服务后,并在预设时间段内接收“功能APP1”、“功能APP3”、“功能APP6”反馈的结果,在经过了预设时间段后,无论有没有接收到“功能APP1”、“功能APP3”、“功能APP6”分别反馈的结果,均会将对应三个“功能APP”的监控结果融合为一条综合监控结果,发送至第一控制器进行检验。在这个过程中,若“功能APP1”、“功能APP3”、“功能APP6”均反馈的正确的结果,则综合监控结果亦是正确的,第一控制器能够检测出“功能APP1”、“功能APP3”、“功能APP6”均正常运行。
一旦“功能APP1”、“功能APP3”、“功能APP6”中有任意一个反馈了错误的结果,或者没有反馈结果,融合后的综合监控结果均是错误的,第一控制器能够检测出“功能APP1”、“功能APP3”、“功能APP6”发生异常。
在上述的实施例中,通过融合后的综合监控结果,虽然对发生异常后的异常定位不利,但能够降低反馈结果的数据传输量、检验量,从而能够在“功能APP”均正常时减低数据处理量、提高处理速度,在任意“功能APP”发生异常时快速(只需要处理一个数据)、准确地检测到异常。
如前文所描述的,在本发明中,第一控制器和第二控制器可以根据不同的车载硬件结构分为不同的表现形式,并且根据不同的硬件分布情况,上述通信连接可以分为不同的情况,例如,在如图3所示出的实施例中,第一控制器与第二控制器均为独立的控制器,则在该实施例中,第一控制器(嵌入式控制器)与第二控制器(车载计算机)之间为板间通信。
在如图4所示出的实施例中,第一控制器和第二控制器可以为在同一个控制器中的两块独立芯片,例如高ASIL等级的MCU芯片与低ASIL等级的MPU芯片,则在该实施例中,MCU芯片与MPU芯片之间为板内通信。
在如图5所示出的实施例中,第一控制器和第二控制器可以为在同一个片上***(System On Chip,SoC)中的两个独立内核,即,高ASIL等级的MCU内核与低ASIL等级的MPU内核,则在该实施例中,MCU内核与MPU内核之间为芯片内通信。
在本发明的另一实施例中,如图6所示出的,产生Question的机制还可以通过***基础芯片(System Basis Chip,SBC)内部的智能看门狗来产生。***基础芯片和嵌入式控制器的MCU之间通过串行外设接口(Serial Peripheral Interface,SPI)、微秒通道(MicroSecond Channel,MSC)等进行通信。目前,主流的SBC均具备智能看门狗功能。在一定配置下,SBC会定期发送Question,MCU需要在一定时间窗内反馈Answer,如果反馈的Answer错误,则将触发故障响应。
在上述的实施例中,由于SBC产生的Question是通过马尔可夫链(Markov Chain,MC)等机制产生的,具备一定随机性,可有效防止卡滞(Stuck)等失效模式。并且,通过一定数学转化,可将“安全监控APP”汇总得到的Answer由嵌入式控制器转发给SBC进行校验,这样不但可以检测功能APP,由于检验是由SBC芯片进行的,还会对嵌入式控制器是否正常做出检验,使得整个方案的诊断覆盖率进一步提升,能够进一步的保证整个***的安全性。
在本发明的另一实施例中,如图7所示出的,本方案中还可根据“功能APP”对应的高ASIL等级的控制器的不同,在车载计算机中设计多个“安全监控APP”(如图7中的安全监控APP1-APP3),每一个“安全监控APP”对应一个高ASIL等级的第一控制器,每个第一子控制器发送的各监控请求分别对应与之对应的监控子应用所对应的功能应用,以实现前述Question/Answer机制。
举例来说,如图7所示。高ASIL等级的嵌入式控制器1提供的Question用于“安全监控APP1”,“功能APP1”和“功能APP2”调用“安全监控APP1”提供的服务,最终得到的Answer反馈给嵌入式控制器1进行校验。高ASIL等级的嵌入式控制器3提供的Question用于“安全监控APP2”,“功能APP3”调用“安全监控APP2”提供的服务,最终得到的Answer反馈给嵌入式控制器3进行校验。高ASIL等级的区域控制器n提供的Question用于“安全监控APP3”,“功能APPn”调用“安全监控APP3”提供的监控服务,最终得到的Answer反馈给区域控制器n进行校验。若图7中的嵌入式控制器3所覆盖的路径更长,即可覆盖更多硬件资源和软件的失效。
在另一实施例中,基于车载以太网(Ethernet)的SOME/IP(Scalable service-Oriented MiddlewarE over IP)等面向服务(Service-Oriented)的通信,若车内不同控制器内的服务是可被动态发现的,即“安全监控APP”可在整车内复用,如图8所示出的。在图8中,第二控制器包括基于MPU支持面向服务架构的控制器1(第二主控制器,其上设置由安全监控APP)以及基于MPU支持面向服务架构的控制器2(第二副控制器),第二主控制器和第二副控制器之间支持面向服务的通信,也就是说,第二副控制器的功能APP可以向第二主控制器发送调用服务的请求,从而能够调用到第二主控制器的安全监控APP提供的测试服务。
至此,已经描述了本发明所提供的功能应用的监控方法和具有功能应用监控的车辆控制器***。根据本发明,不但可以覆盖各“功能APP”所使用的硬件资源,如供电、时钟、指令集、存储器等,还可以涉及基础软件资源,如操作***等,更可覆盖车载计算机与嵌入式控制器之间通信链路的失效。
本方案最大的特点是在无需硬件支持的情况下,充分利用面向服务架构(SOA)下的服务化软件,通过现有的高安全等级的嵌入式控制器来监控车载计算机中运行的各APP是否在正确地执行,及其使用的硬件资源和基础软件是否安全可靠,可支持最高功能安全ASIL-D等级,该方案还可实现整车层面的监控软件复用,以节省软硬件开发成本。
如上文所描述的,在本发明中,第一控制器和第二控制器可以根据不同的车载硬件结构分为不同的表现形式,并且根据不同的硬件分布情况,上述通信连接可以分为不同的情况,但不论怎样,不论是独立的控制器、芯片还是核心,都可以认为第一控制器和第二控制器具有通用处理器所具备的能力。
图10示出了通用处理器一实施例的具体结构。通用处理器1000的组件可以包括一个或者多个存储器1001,一个或多个处理器1002,以及连接不同***组件(包括存储器1001和处理器1002)的总线1003。
总线1003包括数据总线、地址总线以及控制总线。数据总线的位数与工作频率的乘积正比于数据传输率,地址总线的位数决定了可寻址的最大内存空间,控制总线(读/写)指出总线周期的类型和本次输入/输出操作完成的时刻。处理器1002通过总线1003连接存储器1001,并配置用于实施上述任意一个实施例所提供的功能应用的监控方法。
处理器1002作为通用处理器1000的运算和控制核心,是信息处理、程序运行的最终执行单元。计算机***中所有软件层的操作,最终都将通过指令集映射为处理器1002的操作。处理器1002的功效主要为处理指令、执行操作、控制时间、处理数据。
存储器1001是指计算机中由存放程序和数据的各种存储设备。存储器1001可以包括存储易失性存储器形式的计算机***可读介质。例如随机存取存储器(RAM)1004和/或高速缓存存储器1005。
随机存取存储器(RAM)1004是与处理器1002直接交换数据的内部存储器。它可以随时读写(刷新时除外),而且速度很快,通常作为操作***或其他正在运行中的程序的临时数据存储介质,一旦断电其中所存储的数据将随之丢失。高速缓存存储器(Cache)1005是存在于主存与处理器1002之间的一级存储器,其容量比较小但速度比主存高得多,接近于处理器1002的速度。
需要注意的是,在通用处理器1000包括多个存储器1001和多个处理器1002的情况下,多个存储器1001之间和多个处理器1002之间都可以具有分布式的结构,由多个功能***的控制器共同实现上述的功能应用的监控方法。更进一步的,在采用分布式结构的实施例中,各个步骤可以根据实际情况调整具体的执行终端,各个步骤在特定终端实现的具体方案不应不当地限制本发明的保护范围。
通用处理器1000还可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机***存储介质。本实施例中,存储***1006可以用于读写不可移动的、非易失性磁介质。
存储器1001还可以包括至少一组程序模块1007。程序模块1007可以存储在存储器1001中。程序模块1007包括但不限于操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块1007通常执行本发明所描述的实施例中的功能和/或方法。
通用处理器1000也可以与一个或多个外部设备1008通信。本实施例中的外部设备1008包括上文所描述的其他控制器等。
通用处理器1000也可与一个或者多个使得用户能与该通用处理器1000交互的设备通信,和/或与使得该通用处理器1000能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1009进行。
通用处理器1000还可以通过网络适配器1010与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,如因特网)通信。如图10所示,网络适配器1010通过总线1003与通用处理器1000的其它模块通信。应当明白,尽管图中未示出,可以结合通用处理器1000使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
本发明的另一方面还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现如上文任意一项实施例所描述的功能应用的监控方法,具体请参考上文的描述,在此不再赘述。另外,可以理解的是,上述的计算机可读存储介质可以是***形式,即包括有多个计算机可读存储子介质,通过多个计算机可读存储介质共同实现上文所描述的功能应用的监控方法的步骤。
结合本文所公开的实施例描述的各种解说性逻辑模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。
结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。
在一个或多个示例性实施例中,所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟,其中盘(disk)往往以磁的方式再现数据,而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。
提供之前的描述是为了使本领域中的任何技术人员均能够实践本文中所描述的各种方面。但是应该理解,本发明的保护范围应当以所附权利要求书为准,而不应被限定于以上所解说实施例的具体结构和组件。本领域技术人员在本发明的精神和范围内,可以对各实施例进行各种变动和修改,这些变动和修改也落在本发明的保护范围之内。
Claims (19)
1.一种功能应用的监控方法,应用于车辆的多个控制器,其特征在于,包括:
第一控制器发送至少一个分别与功能应用对应的监控请求至第二控制器的监控应用,以基于所述监控应用监控所述第二控制器上的至少一个功能应用;
所述监控应用将各所述功能应用的监控结果发送至所述第一控制器;以及
所述第一控制器检验所述监控结果,以判断所述第二控制器上的各所述功能应用是否正常运行;其中
所述第一控制器的ASIL等级高于所述第二控制器的ASIL等级,所述第二控制器为面向服务架构的控制器。
2.如权利要求1所述的监控方法,其特征在于,还包括:
所述监控应用将至少一个所述监控请求转化为至少一个测试服务,以供对应于各所述监控请求的各所述功能应用进行调用;其中
各所述功能应用的监控结果为各所述功能应用的调用结果。
3.如权利要求2所述的监控方法,其特征在于,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述至少一个监控请求对应的各功能应用的监控结果发送至所述第一控制器;其中
响应于在所述预设时间段内,所述监控应用接收到所述功能应用调用所述测试服务后的反馈,将所述反馈作为所述调用结果;
响应于在所述预设时间段内,所述监控应用未接收到所述功能应用的反馈,将表征失败的结果作为所述调用结果;
所述预设时间段的长度关联于所述监控应用转化监控请求的时间,关联于各功能应用调用测试服务的时间,且关联于功能安全故障容错时间。
4.如权利要求3所述监控方法,其特征在于,响应于所述第一控制器发送了与多个功能应用分别对应的多个监控请求,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述多个监控请求对应的所述多个功能应用的多个监控结果融合为一综合监控结果发送至所述第一控制器,所述第一控制器对所述综合监控结果进行校验,以判断所述多个功能应用是否均正常运行。
5.如权利要求1所述的监控方法,其特征在于,所述第一控制器根据预设第一频率多次发送至少一个所述监控请求至所述第二控制器的监控应用;其中
对于同一所述功能应用,多次发送的多个监控请求各不相同。
6.如权利要求5所述的监控方法,其特征在于,所述第一频率小于各所述功能应用调取服务的第二频率。
7.如权利要求1所述的监控方法,其特征在于,所述第一控制器转发SBC芯片的看门狗模块产生的至少一个监控请求,并将所述监控应用返回的监控结果转发至所述SBC芯片进行校验。
8.如权利要求1所述的监控方法,其特征在于,所述第一控制器包括多个第一子控制器,所述第二控制器的所述监控应用包括多个监控子应用,各所述第一子控制器与各所述监控子应用一一对应,各所述第一子控制器发送的各监控请求分别对应与之对应的监控子应用所对应的至少一个功能应用。
9.如权利要求1所述的监控方法,其特征在于,所述第二控制器包括第二主控制器和至少一个第二副控制器,所述第二主控制器上设置有所述监控应用,各所述第二副控制器与所述第二主控制器之间支持面向服务的通信,其中
所述第一控制器还向所述第二主控制器上的所述监控应用发送对应各所述第二副控制器上的各功能应用的至少一个监控请求,以基于所述第二主控制器与各所述第二副控制器之间的通信监控各第二副控制器上的各功能应用。
10.一种具有功能应用监控的车辆控制器***,其特征在于,至少包括第一控制器和第二控制器,所述第一控制器的ASIL等级高于所述第二控制器的ASIL等级,所述第二控制器为面向服务架构的控制器;其中
第一控制器发送至少一个分别与功能应用对应的监控请求至所述第二控制器的监控应用,以基于所述监控应用监控所述第二控制器上的至少一个功能应用;
所述监控应用将各所述功能应用的监控结果发送至所述第一控制器;以及
所述第一控制器检验所述监控结果,以判断所述第二控制器上的各所述功能应用是否正常运行。
11.如权利要求10所述的车辆控制器***,其特征在于,所述第二控制器的所述监控应用还将至少一个所述监控请求转化为至少一个测试服务,以供对应于各所述监控请求的各所述功能应用进行调用;其中
各所述功能应用的监控结果为各所述功能应用的调用结果。
12.如权利要求11所述的车辆控制器***,其特征在于,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述至少一个监控请求对应的各功能应用的监控结果发送至所述第一控制器;其中
响应于在所述预设时间段内,所述监控应用接收到所述功能应用调用所述测试服务后的反馈,将所述反馈作为所述调用结果;
响应于在所述预设时间段内,所述监控应用未接收到所述功能应用的反馈,将表征失败的结果作为所述调用结果;
所述预设时间段的长度关联于所述监控应用转化监控请求的时间,关联于各功能应用调用测试服务的时间,且关联于功能安全故障容错时间。
13.如权利要求12所述的车辆控制器***,其特征在于,响应于所述第一控制器发送了与多个功能应用分别对应的多个监控请求,所述监控应用响应于接收到所述监控请求且经过一预设时间段后,将所述多个监控请求对应的所述多个功能应用的多个监控结果融合为一综合监控结果发送至所述第一控制器,所述第一控制器对所述综合监控结果进行校验,以判断所述多个功能应用是否均正常运行。
14.如权利要求10所述的车辆控制器***,其特征在于,所述第一控制器根据预设第一频率多次发送至少一个所述监控请求至所述第二控制器的监控应用;其中
对于同一所述功能应用,多次发送的多个监控请求各不相同。
15.如权利要求14所述的车辆控制器***,其特征在于,所述第一频率小于各所述功能应用调取服务的第二频率。
16.如权利要求10所述的车辆控制器***,其特征在于,所述车辆控制器***还包括与所述第一控制器具有通信的SBC芯片,其中
所述第一控制器转发所述SBC芯片的看门狗模块产生的至少一个监控请求,并将所述监控应用返回的监控结果转发至所述SBC芯片进行校验。
17.如权利要求10所述的车辆控制器***,其特征在于,所述第一控制器包括多个第一子控制器,所述第二控制器的所述监控应用包括多个监控子应用,各所述第一子控制器与各所述监控子应用一一对应,各所述第一子控制器发送的各监控请求分别对应与之对应的监控子应用所对应的至少一个功能应用。
18.如权利要求10所述的车辆控制器***,其特征在于,所述第二控制器包括第二主控制器和至少一个第二副控制器,所述第二主控制器上设置有所述监控应用,各所述第二副控制器与所述第二主控制器之间支持面向服务的通信,其中
所述第一控制器还向所述第二主控制器上的所述监控应用发送对应各所述第二副控制器上的各功能应用的至少一个监控请求,以基于所述第二主控制器与各所述第二副控制器之间的通信监控各第二副控制器上的各功能应用。
19.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-9中任一项所述的功能应用的监控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210857810.3A CN115291497A (zh) | 2022-07-20 | 2022-07-20 | 一种功能应用的监控方法及车辆控制器*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210857810.3A CN115291497A (zh) | 2022-07-20 | 2022-07-20 | 一种功能应用的监控方法及车辆控制器*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115291497A true CN115291497A (zh) | 2022-11-04 |
Family
ID=83824073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210857810.3A Pending CN115291497A (zh) | 2022-07-20 | 2022-07-20 | 一种功能应用的监控方法及车辆控制器*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115291497A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116566790A (zh) * | 2023-04-26 | 2023-08-08 | 深圳市佳合丰汽车电子科技有限公司 | 车载分布式服务调用***及方法 |
| CN116737494A (zh) * | 2023-06-08 | 2023-09-12 | 中国第一汽车股份有限公司 | 车辆的功能安全监控方法、装置、电子设备以及存储介质 |
| CN116800383A (zh) * | 2023-08-21 | 2023-09-22 | 北京紫光芯能科技有限公司 | 一种多通道的通信方法、装置、设备及介质 |
-
2022
- 2022-07-20 CN CN202210857810.3A patent/CN115291497A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116566790A (zh) * | 2023-04-26 | 2023-08-08 | 深圳市佳合丰汽车电子科技有限公司 | 车载分布式服务调用***及方法 |
| CN116566790B (zh) * | 2023-04-26 | 2024-05-03 | 坤联数字技术(深圳)有限公司 | 车载分布式服务调用***及方法 |
| CN116737494A (zh) * | 2023-06-08 | 2023-09-12 | 中国第一汽车股份有限公司 | 车辆的功能安全监控方法、装置、电子设备以及存储介质 |
| CN116737494B (zh) * | 2023-06-08 | 2024-05-03 | 中国第一汽车股份有限公司 | 车辆的功能安全监控方法、装置、电子设备以及存储介质 |
| CN116800383A (zh) * | 2023-08-21 | 2023-09-22 | 北京紫光芯能科技有限公司 | 一种多通道的通信方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115291497A (zh) | 一种功能应用的监控方法及车辆控制器*** | |
| US10789121B2 (en) | Assembling data deltas in controllers and managing interdependencies between software versions in controllers using tool chain | |
| US10175973B2 (en) | Microcode upgrade in a storage system | |
| CN109508295B (zh) | 区块链共识算法测试方法、装置、计算装置和存储介质 | |
| CN104572517A (zh) | 提供被请求数据的方法、控制器以及计算机*** | |
| CN110515673A (zh) | 插件化***及其方法 | |
| CN109542781B (zh) | 区块链共识算法测试方法、装置、计算装置和存储介质 | |
| US20200293306A1 (en) | Off-board flash memory | |
| CN112069511B (zh) | 数据保护方法、装置、电子控制单元、设备及存储介质 | |
| US10853213B2 (en) | Validation of installation of removeable computer hardware components | |
| CN102984268A (zh) | 用于高可用集群的scsi共享存储资源访问方法及装置 | |
| CN110291505A (zh) | 减少应用的恢复时间 | |
| CN105379192A (zh) | 硬件管理通信协议 | |
| US7484116B2 (en) | Apparatus, system, and method for accessing redundant data | |
| US9092396B2 (en) | Standby system device, a control method, and a program thereof | |
| US8601215B2 (en) | Processor, server system, and method for adding a processor | |
| US8499080B2 (en) | Cluster control apparatus, control system, control method, and control program | |
| CN116702149A (zh) | 一种可信度量方法、服务器以及芯片 | |
| WO2024022212A1 (zh) | 配置信息的管理方法、装置及服务器 | |
| CN102904946B (zh) | 集群内节点管理方法和装置 | |
| US8812916B2 (en) | Failure data management for a distributed computer system | |
| CN115080191B (zh) | 一种管理i2c链路的方法、装置、设备及可读介质 | |
| CN111198832A (zh) | 一种处理方法和电子设备 | |
| CN112769634B (zh) | 一种基于Zookeeper的可横向扩展的分布式***及开发方法 | |
| JP2007334668A (ja) | メモリダンプ方法、クラスタシステム、それを構成するノードおよびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |