CN116700224A - 车辆的功能安全机制故障的检测方法及装置 - Google Patents
车辆的功能安全机制故障的检测方法及装置 Download PDFInfo
- Publication number
- CN116700224A CN116700224A CN202310881009.7A CN202310881009A CN116700224A CN 116700224 A CN116700224 A CN 116700224A CN 202310881009 A CN202310881009 A CN 202310881009A CN 116700224 A CN116700224 A CN 116700224A
- Authority
- CN
- China
- Prior art keywords
- microprocessor
- failure
- fault
- current
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 230000007246 mechanism Effects 0.000 title claims abstract description 50
- 238000012544 monitoring process Methods 0.000 claims abstract description 66
- 238000012795 verification Methods 0.000 claims abstract description 61
- 238000012545 processing Methods 0.000 claims abstract description 46
- 238000012360 testing method Methods 0.000 claims abstract description 35
- 230000008569 process Effects 0.000 claims abstract description 32
- 238000002347 injection Methods 0.000 claims description 24
- 239000007924 injection Substances 0.000 claims description 24
- 238000001514 detection method Methods 0.000 claims description 22
- 230000007257 malfunction Effects 0.000 claims description 21
- 230000009897 systematic effect Effects 0.000 claims description 17
- 238000013500 data storage Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 7
- 230000009471 action Effects 0.000 claims description 5
- 238000003745 diagnosis Methods 0.000 description 15
- 238000011282 treatment Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000013461 design Methods 0.000 description 6
- 230000000737 periodic effect Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000011269 treatment regimen Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及一种车辆的功能安全机制故障的检测方法及装置,其中,方法包括:检测微处理器的当前运行阶段;如果当前运行阶段为初始化监控阶段,则对微处理器进行BIST校验,并在校验结果为微处理器失效时,利用预设失效再确认策略验证校验结果,并基于校验结果得到微处理器的故障信息;基于故障信息中断微处理器的当前运行进程,并识别微处理器的当前故障类型,并基于当前故障类型匹配对应的故障处理策略,以对微处理器执行故障处理策略。本申请实施例可以针对微处理器的运行阶段进行差异性监控,并匹配相应的故障处理策略,以降低车辆运行过程中动力中断的风险,提高车辆的行车安全。
Description
技术领域
本申请涉及车辆技术领域,特别涉及一种车辆的功能安全机制故障的检测方法及装置。
背景技术
控制器的功能安全故障诊断可以简单分为两类:第一类控制器级故障诊断,第二类微处理器级故障诊断。控制器级故障诊断可简单概括为功能级诊断,这类故障的检测及管理目前都已比较成熟,AUTOSAR模型中的DEM模块对这部分的操作都有详细具体的定义。第二类微处理器级故障诊断,主要指的是微处理器硬件潜在故障检测,包括常见的CPU(Central-Processing-Unit,中央处理器)核锁步监测、BIST(Built-in Self Test,内侧自检)自检、ECC(Error Checking and Correcting,错误检查和纠正)校验、时钟监测等。
相关技术中,如CN113043969A《一种车辆功能安全监控方法及***》中,可以监视车辆功能运行状态,并在故障发生时向故障去抖模块上报故障通知;故障去抖模块确认故障类型;故障管理模块启动超时定时器跟踪故障的处理流程,并根据故障表对应信息,通知对应的应用软件层进行故障预处理;预处理结束后,故障管理模块关闭超时定时器,并触发故障状态通知模块通知故障处理的对应模块,进行功能安全处理的流程。
然而,相关技术中仅涉及控制器级故障诊断,而对于微处理器级故障诊断和处理涉及较少,且故障处理时存在一定安全隐患,例如在微处理器复位时存在中断风险,亟待改进。
发明内容
本申请提供一种车辆的功能安全机制故障的检测方法及装置,以解决相关技术中,对于微处理器级故障诊断和处理涉及较少,且故障处理时存在一定安全隐患,不利于保障车辆的行车安全的技术问题。
本申请第一方面实施例提供一种车辆的功能安全机制故障的检测方法,包括以下步骤:检测微处理器的当前运行阶段;如果所述当前运行阶段为初始化监控阶段,则对所述微处理器进行内建自测试BIST校验,并在校验结果为微处理器失效时,利用预设失效再确认策略验证所述校验结果,并基于所述校验结果得到所述微处理器的故障信息;基于所述故障信息中断所述微处理器的当前运行进程,并识别所述微处理器的当前故障类型,并基于所述当前故障类型匹配对应的故障处理策略,以对所述微处理器执行所述故障处理策略。
根据上述技术手段,本申请实施例可以针对微处理器的初始化监控阶段进行差异性监控,并匹配相应的故障处理策略,以降低车辆运行过程中动力中断的风险,提高车辆的行车安全。
可选地,在本申请的一个实施例中,所述利用预设失效再确认策略验证所述校验结果,包括:根据所述校验结果确定所述微处理器的失效类型;在所述失效类型为逻辑自测试失效类型的情况下,向所述微处理器注入预设故障,并根据寄存器的注入后状态得到所述预设故障的注入结果;在所述失效类型为内存自测试失效类型的情况下,读取内建自测试BIST对应的失效内存块,并确定所述失效内存块的故障是否为永久故障,并在所述失效内存块的故障为永久故障时,记录所述失效内存块的故障数据。
根据上述技术手段,本申请实施例可以通过失效再确认保证校验结果的准确性。
可选地,在本申请的一个实施例中,在获取微处理器的当前运行阶段之后,还包括:如果所述当前运行阶段为执行监控阶段,则检测所述微处理器是否满足预设随机性硬件失效条件和/或预设***性软件故障条件;若所述微处理器满足所述预设随机性硬件失效条件和/或所述预设***性软件故障条件,则生成所述微处理器对应的故障信息,以基于所述故障信息中断所述微处理器的当前运行进程。
根据上述技术手段,本申请实施例可以针对微处理器的执行监控阶段进行差异性监控,并匹配相应的故障处理策略,以降低车辆运行过程中动力中断的风险,提高车辆的行车安全。
可选地,在本申请的一个实施例中,在获取微处理器的当前运行阶段之后,还包括:如果所述当前运行阶段为下电监控阶段,则关闭所述微处理器的定时器,以禁止打断所述微处理器在所述下电监控阶段的数据存储动作。
根据上述技术手段,本申请实施例可以针对下电监控阶段,关闭定时器,避免因数据存储过程中而产生预期之外的定时器故障,保障程序的正常执行。
可选地,在本申请的一个实施例中,所述基于所述故障信息中断所述微处理器的当前运行进程的同时,获取所述微处理器的当前故障类型,包括:基于所述微处理器的中断时刻和所述故障信息,得到所述微处理器中断时的冻结帧和对应的故障码,并存储所述冻结帧和所述故障码,以生成故障记录表。
根据上述技术手段,本申请实施例可以存储冻结帧和故障码,以生成故障记录表,以便技术人员快速定位故障原因。
可选地,在本申请的一个实施例中,所述基于所述当前故障类型匹配对应的故障处理策略,包括:在所述当前故障类型满足预设提醒条件的情况下,推送风险预警信号至驾驶员;在所述当前故障类型不满足预设提醒条件的情况下,发送接管信号至辅助微处理器,以利用所述辅助微处理器代替所述微处理器控制所述车辆执行预设安全策略。
根据上述技术手段,本申请实施例可以基于不同故障风险确定不同的故障处理策略,以降低动力中断概率,保障车辆的正常行驶。
本申请第二方面实施例提供一种车辆的功能安全机制故障的检测装置,包括:检测模块,用于检测微处理器的当前运行阶段;校验模块,用于在所述当前运行阶段为初始化监控阶段时,对所述微处理器进行内建自测试BIST校验,并在校验结果为微处理器失效时,利用预设失效再确认策略验证所述校验结果,并基于所述校验结果得到所述微处理器的故障信息;处理模块,用于基于所述故障信息中断所述微处理器的当前运行进程,并识别所述微处理器的当前故障类型,并基于所述当前故障类型匹配对应的故障处理策略,以对所述微处理器执行所述故障处理策略。
可选地,在本申请的一个实施例中,所述校验模块包括:确定单元,用于根据所述校验结果确定所述微处理器的失效类型;注入单元,用于在所述失效类型为逻辑自测试失效类型的情况下,向所述微处理器注入预设故障,并根据寄存器的注入后状态得到所述预设故障的注入结果;记录单元,用于在所述失效类型为内存自测试失效类型的情况下,读取内建自测试BIST对应的失效内存块,并确定所述失效内存块的故障是否为永久故障,并在所述失效内存块的故障为永久故障时,记录所述失效内存块的故障数据。
可选地,在本申请的一个实施例中,还包括:第二检测模块,用于在所述当前运行阶段为执行监控阶段时,检测所述微处理器是否满足预设随机性硬件失效条件和/或预设***性软件故障条件;生成模块,用于在所述微处理器满足所述预设随机性硬件失效条件和/或所述预设***性软件故障条件时,生成所述微处理器对应的故障信息,以基于所述故障信息中断所述微处理器的当前运行进程。
可选地,在本申请的一个实施例中,还包括:关闭模块,用于在所述当前运行阶段为下电监控阶段时,关闭所述微处理器的定时器,以禁止打断所述微处理器在所述下电监控阶段的数据存储动作。
可选地,在本申请的一个实施例中,所述处理模块包括:存储单元,用于基于所述微处理器的中断时刻和所述故障信息,得到所述微处理器中断时的冻结帧和对应的故障码,并存储所述冻结帧和所述故障码,以生成故障记录表。
可选地,在本申请的一个实施例中,所述处理模块包括:提醒单元,用于在所述当前故障类型满足预设提醒条件的情况下,推送风险预警信号至驾驶员;辅助单元,用于在所述当前故障类型不满足预设提醒条件的情况下,发送接管信号至辅助微处理器,以利用所述辅助微处理器代替所述微处理器控制所述车辆执行预设安全策略。
本申请第三方面实施例提供一种车辆,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如上述实施例所述的车辆的功能安全机制故障的检测方法。
本申请第四方面实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,该程序被处理器执行时实现如上的车辆的功能安全机制故障的检测方法。
本申请实施例的有益效果:
(1)本申请实施例可以针对微处理器的运行阶段进行差异性监控,保证监控范围的同时,不影响程序的正常运行。
(2)本申请实施例可以利用冻结帧和故障码生成故障记录表,以便技术人员快速定位故障原因。
(3)本申请实施例可以基于不同故障风险确定不同的故障处理策略,以降低动力中断概率,保障车辆的正常行驶,并通过增加的辅助微处理器避免因复位而产生的动力中断等危险情况。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本申请实施例提供的一种车辆的功能安全机制故障的检测方法的流程图;
图2为根据本申请一个实施例的车辆的功能安全机制故障的检测方法的原理示意图;
图3为根据本申请另一个实施例的车辆的功能安全机制故障的检测方法的原理示意图;
图4为根据本申请再一个实施例的车辆的功能安全机制故障的检测方法的原理示意图;
图5为根据本申请实施例提供的一种车辆的功能安全机制故障的检测装置的结构示意图;
图6为根据本申请实施例提供的车辆的结构示意图。
其中,10-车辆的功能安全机制故障的检测装置、100-检测模块、200-校验模块和300-处理模块;601-存储器、602-处理器和603-通信接口。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的车辆的功能安全机制故障的检测方法及装置。针对上述背景技术中提到的相关技术中,对于微处理器级故障诊断和处理涉及较少,且故障处理时存在一定安全隐患,不利于保障车辆的行车安全的技术问题,本申请提供了一种车辆的功能安全机制故障的检测方法,在该方法中,可以根据微处理器的当前运行阶段,进行相应的功能安全机制监控,在微处理器的当前运行阶段为初始化监控阶段时,对微处理器进行BIST校验,并通过预设失效再确认策略验证校验结果,从而得到微处理器的故障信息,进而根据故障信息中断微处理器的当前运行进程,并根据微处理器的当前故障类型匹配对应的故障处理策略,更具针对性的进行故障处理,避免微处理器在故障处理时中断车辆的动力,以针对微处理器的运行阶段进行差异性监控,并匹配相应的故障处理策略,提高车辆的行车安全。由此,解决了相关技术中,对于微处理器级故障诊断和处理涉及较少,且故障处理时存在一定安全隐患,不利于保障车辆的行车安全的技术问题。
具体而言,图1为本申请实施例所提供的一种车辆的功能安全机制故障的检测方法的流程示意图。
如图1所示,该车辆的功能安全机制故障的检测方法,应用于模型构建阶段,其中,方法包括以下步骤:
在步骤S101中,检测微处理器的当前运行阶段。
在实际执行过程中,本申请实施例可以检测微处理器的当前运行阶段,从而根据不同的运行阶段进行有差异的监控,即保证了监控的范围又保证了不影响程序的正常运行,其中,微处理器的当前运行阶段可以包括初始化监控阶段、执行监控阶段和下电监控阶段。
在步骤S102中,如果当前运行阶段为初始化监控阶段,则对微处理器进行内建自测试BIST校验,并在校验结果为微处理器失效时,利用预设失效再确认策略验证校验结果,并基于校验结果得到微处理器的故障信息。
作为一种可能实现的方式,当微处理器的当前运行阶段为初始化监控阶段时,本申请实施例可以利用微处理器自带的BIST模块完成微处理器的初步监控及诊断,校验完成后,可通过BIST寄存器对校验结果进行判断,如校验结果正常则跳过失效再确认步骤,否则需要进入失效再确认步骤,以对功能安全相应机制及内存正确度和可信性进行再确认。
需要注意的是,由于微处理器的部分功能可能会在测试时影响程序执行,因此在该阶段,本申请实施例可以先对这一部分的功能模块进行测试,如看门狗的监控测试、部分flash、Ram等内存存储区的测试,从而避免潜在故障。
可选地,在本申请的一个实施例中,利用预设失效再确认策略验证校验结果,包括:根据校验结果确定微处理器的失效类型;在失效类型为逻辑自测试失效类型的情况下,向微处理器注入预设故障,并根据寄存器的注入后状态得到预设故障的注入结果;在失效类型为内存自测试失效类型的情况下,读取内建自测试BIST对应的失效内存块,并确定失效内存块的故障是否为永久故障,并在失效内存块的故障为永久故障时,记录失效内存块的故障数据。
可以理解的是,BIST包括LBIST(Logic BIST,逻辑BIST)和MBIST(Memory BIST,内存BIST),可以对微处理器中的功能安全机制模块进行***地、较为完整的校验。
如图2所示,本申请实施例可以根据BIST校验结果寄存器确认失效的是LBIST还是MBIST,如果失效的是LBIST,则表示在安全机制检测出故障,需要通过故障注入(通常包括看门狗的故障注入等),再根据注入故障后的寄存器状态判断注入故障结果是否成功,如所有安全机制都检测通过,则表示安全机制是可靠的,可以进入下一步;
如果失效的是MBIST,则表示存在内存块检测错误,读取BIST对应的失效的内存块,确认该失效的内存块是发生了临时故障还是永久故障,如果确认发生了永久故障,则记录故障。
可选地,在本申请的一个实施例中,在获取微处理器的当前运行阶段之后,还包括:如果当前运行阶段为执行监控阶段,则检测微处理器是否满足预设随机性硬件失效条件和/或预设***性软件故障条件;若微处理器满足预设随机性硬件失效条件和/或预设***性软件故障条件,则生成微处理器对应的故障信息,以基于故障信息中断微处理器的当前运行进程。
在一些实施例中,在执行监控阶段时,主要监控微处理器是否存在随机性硬件失效及***性软件故障,在实现上,本申请实施例可以通过如开启锁步核校验、时钟校验、电源监控、存储器ECC校验、中断保护、软硬件看门狗等机制进行实时监控,并将监控结果关联到ECM模块(故障控制模块),对于部分未关联到ECM的模块,则采用周期性回读监控,确保监控的实时性。
进一步地,本申请实施例可以在监控时,检测微处理器是否满足预设随机性硬件失效条件和/或预设***性软件故障条件,并确定是否发生随机性硬件失效及***性软件故障,从而在确定发生随机性硬件失效及***性软件故障时,生成相应的故障信息,并在确认故障后,中断微处理器的当前运行进程。
其中,预设随机性硬件失效条件和/或预设***性软件故障条件可以由本领域技术人员根据实际情况进行相应设置,在此不做具体限制。
可选地,在本申请的一个实施例中,在获取微处理器的当前运行阶段之后,还包括:如果当前运行阶段为下电监控阶段,则关闭微处理器的定时器,以禁止打断微处理器在下电监控阶段的数据存储动作。
在另一些实施例中,在下电监控阶段时,为避免因数据存储过程中而产生预期之外的定时器,如软硬件看门狗故障,此阶段在数据存储过程中,关闭定时器,保障程序的正常执行。
在步骤S103中,基于故障信息中断微处理器的当前运行进程,并识别微处理器的当前故障类型,并基于当前故障类型匹配对应的故障处理策略,以对微处理器执行故障处理策略。
在实际执行过程中,本申请实施例可以基于故障信息中断微处理器的当前运行进程,从而通过中断触发记录故障,部分故障可以通过周期性判断进行辅助处理,对所有可以关联到ECM(故障控制模块)的模块,即故障发生后,统一进入中断处理,在中断中对故障进行确认并记录;对于部分未关联到ECM的模块,则采用周期性判断确认并记录。
本申请实施例还可以识别当前故障类型,确定故障的严重程度,从而基于当前故障类型匹配对应的故障处理策略。
可选地,在本申请的一个实施例中,基于故障信息中断微处理器的当前运行进程的同时,获取微处理器的当前故障类型,包括:基于微处理器的中断时刻和故障信息,得到微处理器中断时的冻结帧和对应的故障码,并存储冻结帧和故障码,以生成故障记录表。
举例而言,本申请实施例中的故障码的设计参照14229-1格式,对于故障的存储及清除遵循UDS及OBD(On-Board Diagnostics,车载自动诊断***)的相关规范。
在冻结帧的设计上,本申请实施例可以按照不同的故障分类设计,比如,存储器ECC相关的故障,冻结帧需包括发生ECC错误时的具体错误地址,任务超时故障,冻结帧需包括超时任务的任务名等,按照不同的故障分类设计冻结帧,在出现错误时可以帮助人员快速定位问题原因。
此外,为方便定位问题原因,除以上故障码及冻结帧的存储,再增加一张故障码的附表,附表中故障的记录按发生的先后顺序记录,并记录每个故障发生的***时间。
可选地,在本申请的一个实施例中,基于当前故障类型匹配对应的故障处理策略,包括:在当前故障类型满足预设提醒条件的情况下,推送风险预警信号至驾驶员;在当前故障类型不满足预设提醒条件的情况下,发送接管信号至辅助微处理器,以利用辅助微处理器代替微处理器控制车辆执行预设安全策略。
作为一种可能实现的方式,本申请实施例可以确定当前故障类型,其中,当前故障类型可以根据严重程度分为严重故障类型、一般故障类型和轻微故障类型,严重故障即微处理器处于不能正常工作状态,可能会产生复位等情况;一般故障即提示的故障有一定的风险性,但微处理器还可以维持基本工作;轻微故障即微处理器可以正常工作,但提示的故障有一定的风险性。
在当前故障类型为一般故障类型或轻微故障类型时,本申请实施例可以判断当前故障类型满足预设提醒条件,从而推送风险预警信号至驾驶员,提醒驾驶员进行风险处理。
在当前故障类型为严重故障类型时,本申请实施例可以判断当前故障类型不满足预设提醒条件,从而为增强上报故障的可信度和稳健性,秉持重要故障核间交叉处理的原则,即如核0(CPU0)发生了故障,此时由核1(CPU1)来进行故障的处理,如核1(CPU1)发生了故障,此时由核0(CPU0)来进行故障的处理。本申请实施例可以如图3所示,在硬件设计上,做微处理器冗余设计,除主微处理器外,增加一个低成本辅助微处理器,辅助微处理器与主微处理器通过CAN(Controller Area Network,控制器局域网总线)通信进行实时信息交互,并将主微处理器的功能安全输出管脚连接到辅助微处理器。
因此,当发生严重故障时,为避免控制器发生预期以外的状况,此时,由辅助微处理器接管主微处理器的主要工作,保证基本功能,当发生一般故障及轻微故障时,上报到应用层,由应用层统一进行故障降功率管控。
结合图2至图4所示,以一个实施例对本申请实施例的车辆的功能安全机制故障的检测方法的工作原理进行详细阐述。
本申请实施例在实际执行过程中,可以包括微处理器监控和故障处理两个部分。
一、在微处理器监控部分,本申请实施例可以根据不同阶段对故障进行有差异的监控:
1、初始化监控阶段,主要监控微处理器是否存在随机性硬件失效及功能安全机制是否可靠,在实现上,一方面利用微处理器自带的BIST(内建自测试)模块完成微处理器的初步监控及诊断,另一方面在此阶段对一些可能在测试时会影响程序执行的模块进行测试,以避免潜在故障,比如看门狗的监控测试、部分flash、Ram等内存存储区的测试等都在初始化监控阶段完成。
如图2所示,可以包括以下步骤:
步骤S201:在微处理器上电复位后进行BIST(内建自测试)校验,BIST包括LBIST(逻辑BIST)和MBIST(内存BIST),可对微处理器中的功能安全机制模块进行***地、较为完整的校验。
步骤S202:校验完成后,可通过BIST寄存器对校验结果进行判断,如校验结果正常则跳过失效再确认步骤,否则需要进入失效再确认步骤。
步骤S203:失效再确认步骤主要是对功能安全相应机制及内存正确度和可信性进行再确认。
步骤S204:根据BIST校验结果寄存器,确认失效的是LBIST(逻辑BIST)还是MBIST(内存BIST)。
步骤S205:如果失效的是LBIST,则表示在安全机制检测出故障,需要通过故障注入(通常包括看门狗的故障注入等)。
步骤S206:再根据注入故障后的寄存器状态判断注入故障结果是否成功,如所有安全机制都检测通过,则表示安全机制是可靠的,可以进入下一步。
步骤S207:如果失效的是MBIST,则表示存在内存块检测错误。
步骤S208:读取BIST对应的失效的内存块,确认该失效的内存块是发生了临时故障还是永久故障,如果确认发生了永久故障,则记录故障。
步骤S209:故障记录及处理。
2、执行监控阶段,主要监控微处理器是否存在随机性硬件失效及***性软件故障,在实现上,通过开启锁步核校验、时钟校验、电源监控、存储器ECC校验、中断保护、软硬件看门狗等机制进行实时监控,并将监控结果关联到ECM模块(故障控制模块),对于部分未关联到ECM的模块,则采用周期性回读监控,确保监控的实时性。
3、下电监控阶段,为避免因数据存储过程中而产生预期之外的定时器,如软硬件看门狗故障,此阶段在数据存储过程中,关闭软硬件看门狗,保障程序的正常执行。
二、在故障处理部分,可以如图4所示,包括以下步骤:
步骤S401:故障是否关联到ECM。对于故障的确认及记录,本申请实施例可以通过中断触发记录故障,部分故障通过周期性判断进行辅助处理。
步骤S402:对所有可以关联到ECM(故障控制模块)的模块,故障发生后,统一进入中断处理,在中断中对故障进行确认并记录。
步骤S403:对于部分未关联到ECM的模块,则采用周期性判断确认并记录。
步骤S404:故障记录。在冻结帧的设计上按照不同的故障分类设计,比如,存储器ECC相关的故障,冻结帧需包括发生ECC错误时的具体错误地址,任务超时故障,冻结帧需包括超时任务的任务名等,按照不同的故障分类设计冻结帧,在出现错误时可以帮助人员快速定位问题原因。
此外,为方便定位问题原因,除以上故障码及冻结帧的存储,再增加一张故障码的附表,附表中故障的记录按发生的先后顺序记录,并记录每个故障发生的***时间。
步骤S405:判断当前故障类型,即确认是否为严重故障。本申请实施例可以确定当前故障类型,其中,当前故障类型可以根据严重程度分为严重故障类型、一般故障类型和轻微故障类型,严重故障即微处理器处于不能正常工作状态,可能会产生复位等情况;一般故障即提示的故障有一定的风险性,但微处理器还可以维持基本工作;轻微故障即微处理器可以正常工作,但提示的故障有一定的风险性。
步骤S406:在当前故障类型为严重故障类型时,本申请实施例可以判断当前故障类型不满足预设提醒条件,从而为增强上报故障的可信度和稳健性,秉持重要故障核间交叉处理的原则,即如核0(CPU0)发生了故障,此时由核1(CPU1)来进行故障的处理,如核1(CPU1)发生了故障,此时由核0(CPU0)来进行故障的处理。本申请实施例可以如图3所示,在硬件设计上,做微处理器冗余设计,除主微处理器外,增加一个低成本辅助微处理器,辅助微处理器与主微处理器通过CAN通信进行实时信息交互,并将主微处理器的功能安全输出管脚连接到辅助微处理器。
因此,当发生严重故障时,为避免控制器发生预期以外的状况,此时,由辅助微处理器接管主微处理器的主要工作,保证基本功能,当发生一般故障及轻微故障时,上报到应用层,由应用层统一进行故障降功率管控。
步骤S407:推送提示信息至驾驶员,提示立即靠边停车。
步骤S408:在当前故障类型为一般故障类型或轻微故障类型时,本申请实施例可以判断当前故障类型满足预设提醒条件,从而推送风险预警信号至驾驶员,提醒驾驶员进行风险处理。
步骤S409:进入降功率跛行模式。
根据本申请实施例提出的车辆的功能安全机制故障的检测方法,可以根据微处理器的当前运行阶段,进行相应的功能安全机制监控,在微处理器的当前运行阶段为初始化监控阶段时,对微处理器进行BIST校验,并通过预设失效再确认策略验证校验结果,从而得到微处理器的故障信息,进而根据故障信息中断微处理器的当前运行进程,并根据微处理器的当前故障类型匹配对应的故障处理策略,更具针对性的进行故障处理,避免微处理器在故障处理时中断车辆的动力,以针对微处理器的运行阶段进行差异性监控,并匹配相应的故障处理策略,提高车辆的行车安全。由此,解决了相关技术中,对于微处理器级故障诊断和处理涉及较少,且故障处理时存在一定安全隐患,不利于保障车辆的行车安全的技术问题。
其次参照附图描述根据本申请实施例提出的车辆的功能安全机制故障的检测装置。
图5是本申请实施例的车辆的功能安全机制故障的检测装置的方框示意图。
如图5所示,该车辆的功能安全机制故障的检测装置10,包括:检测模块100、校验模块200和处理模块300。
具体地,检测模块100,用于检测微处理器的当前运行阶段。
校验模块200,用于在当前运行阶段为初始化监控阶段时,对微处理器进行内建自测试BIST校验,并在校验结果为微处理器失效时,利用预设失效再确认策略验证校验结果,并基于校验结果得到微处理器的故障信息。
处理模块300,用于基于故障信息中断微处理器的当前运行进程,并识别微处理器的当前故障类型,并基于当前故障类型匹配对应的故障处理策略,以对微处理器执行故障处理策略。
可选地,在本申请的一个实施例中,校验模块200包括:确定单元、注入单元和记录单元。
其中,确定单元,用于根据校验结果确定微处理器的失效类型。
注入单元,用于在失效类型为逻辑自测试失效类型的情况下,向微处理器注入预设故障,并根据寄存器的注入后状态得到预设故障的注入结果。
记录单元,用于在失效类型为内存自测试失效类型的情况下,读取内建自测试BIST对应的失效内存块,并确定失效内存块的故障是否为永久故障,并在失效内存块的故障为永久故障时,记录失效内存块的故障数据。
可选地,在本申请的一个实施例中,车辆的功能安全机制故障的检测装置10还包括:第二检测模块和生成模块。
其中,第二检测模块,用于在当前运行阶段为执行监控阶段时,检测微处理器是否满足预设随机性硬件失效条件和/或预设***性软件故障条件。
生成模块,用于在微处理器满足预设随机性硬件失效条件和/或预设***性软件故障条件时,生成微处理器对应的故障信息,以基于故障信息中断微处理器的当前运行进程。
可选地,在本申请的一个实施例中,车辆的功能安全机制故障的检测装置10还包括:关闭模块。
其中,关闭模块,用于在当前运行阶段为下电监控阶段时,关闭微处理器的定时器,以禁止打断微处理器在下电监控阶段的数据存储动作。
可选地,在本申请的一个实施例中,处理模块300包括:存储单元。
其中,存储单元,用于基于微处理器的中断时刻和故障信息,得到微处理器中断时的冻结帧和对应的故障码,并存储冻结帧和故障码,以生成故障记录表。
可选地,在本申请的一个实施例中,处理模块300包括:提醒单元和辅助单元。
其中,提醒单元,用于在当前故障类型满足预设提醒条件的情况下,推送风险预警信号至驾驶员。
辅助单元,用于在当前故障类型不满足预设提醒条件的情况下,发送接管信号至辅助微处理器,以利用辅助微处理器代替微处理器控制车辆执行预设安全策略。
需要说明的是,前述对车辆的功能安全机制故障的检测方法实施例的解释说明也适用于该实施例的车辆的功能安全机制故障的检测装置,此处不再赘述。
根据本申请实施例提出的车辆的功能安全机制故障的检测装置,可以根据微处理器的当前运行阶段,进行相应的功能安全机制监控,在微处理器的当前运行阶段为初始化监控阶段时,对微处理器进行BIST校验,并通过预设失效再确认策略验证校验结果,从而得到微处理器的故障信息,进而根据故障信息中断微处理器的当前运行进程,并根据微处理器的当前故障类型匹配对应的故障处理策略,更具针对性的进行故障处理,避免微处理器在故障处理时中断车辆的动力,以针对微处理器的运行阶段进行差异性监控,并匹配相应的故障处理策略,提高车辆的行车安全。由此,解决了相关技术中,对于微处理器级故障诊断和处理涉及较少,且故障处理时存在一定安全隐患,不利于保障车辆的行车安全的技术问题。
图6为本申请实施例提供的车辆的结构示意图。该车辆可以包括:
存储器601、处理器602及存储在存储器601上并可在处理器602上运行的计算机程序。
处理器602执行程序时实现上述实施例中提供的车辆的功能安全机制故障的检测方法。
进一步地,车辆还包括:
通信接口603,用于存储器601和处理器602之间的通信。
存储器601,用于存放可在处理器602上运行的计算机程序。
存储器601可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
如果存储器601、处理器602和通信接口603独立实现,则通信接口603、存储器601和处理器602可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构(Industry Standard Architecture,简称为ISA)总线、外部设备互连(PeripheralComponent,简称为PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,简称为EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选地,在具体实现上,如果存储器601、处理器602及通信接口603,集成在一块芯片上实现,则存储器601、处理器602及通信接口603可以通过内部接口完成相互间的通信。
处理器602可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。
本实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上的车辆的功能安全机制故障的检测方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或N个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“N个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或N个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行***、装置或设备(如基于计算机的***、包括处理器的***或其他可以从指令执行***、装置或设备取指令并执行指令的***)使用,或结合这些指令执行***、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行***、装置或设备或结合这些指令执行***、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或N个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,N个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种车辆的功能安全机制故障的检测方法,其特征在于,包括以下步骤:
检测微处理器的当前运行阶段;
如果所述当前运行阶段为初始化监控阶段,则对所述微处理器进行内建自测试BIST校验,并在校验结果为微处理器失效时,利用预设失效再确认策略验证所述校验结果,并基于所述校验结果得到所述微处理器的故障信息;
基于所述故障信息中断所述微处理器的当前运行进程,并识别所述微处理器的当前故障类型,并基于所述当前故障类型匹配对应的故障处理策略,以对所述微处理器执行所述故障处理策略。
2.根据权利要求1所述的方法,其特征在于,所述利用预设失效再确认策略验证所述校验结果,包括:
根据所述校验结果确定所述微处理器的失效类型;
在所述失效类型为逻辑自测试失效类型的情况下,向所述微处理器注入预设故障,并根据寄存器的注入后状态得到所述预设故障的注入结果;
在所述失效类型为内存自测试失效类型的情况下,读取内建自测试BIST对应的失效内存块,并确定所述失效内存块的故障是否为永久故障,并在所述失效内存块的故障为永久故障时,记录所述失效内存块的故障数据。
3.根据权利要求1所述的方法,其特征在于,在获取微处理器的当前运行阶段之后,还包括:
如果所述当前运行阶段为执行监控阶段,则检测所述微处理器是否满足预设随机性硬件失效条件和/或预设***性软件故障条件;
若所述微处理器满足所述预设随机性硬件失效条件和/或所述预设***性软件故障条件,则生成所述微处理器对应的故障信息,以基于所述故障信息中断所述微处理器的当前运行进程。
4.根据权利要求1所述的方法,其特征在于,在获取微处理器的当前运行阶段之后,还包括:
如果所述当前运行阶段为下电监控阶段,则关闭所述微处理器的定时器,以禁止打断所述微处理器在所述下电监控阶段的数据存储动作。
5.根据权利要求1所述的方法,其特征在于,所述基于所述故障信息中断所述微处理器的当前运行进程的同时,获取所述微处理器的当前故障类型,包括:
基于所述微处理器的中断时刻和所述故障信息,得到所述微处理器中断时的冻结帧和对应的故障码,并存储所述冻结帧和所述故障码,以生成故障记录表。
6.根据权利要求1所述的方法,其特征在于,所述基于所述当前故障类型匹配对应的故障处理策略,包括:
在所述当前故障类型满足预设提醒条件的情况下,推送风险预警信号至驾驶员;
在所述当前故障类型不满足预设提醒条件的情况下,发送接管信号至辅助微处理器,以利用所述辅助微处理器代替所述微处理器控制所述车辆执行预设安全策略。
7.一种车辆的功能安全机制故障的检测装置,其特征在于,包括:
检测模块,用于检测微处理器的当前运行阶段;
校验模块,用于在所述当前运行阶段为初始化监控阶段时,对所述微处理器进行内建自测试BIST校验,并在校验结果为微处理器失效时,利用预设失效再确认策略验证所述校验结果,并基于所述校验结果得到所述微处理器的故障信息;
处理模块,用于基于所述故障信息中断所述微处理器的当前运行进程,并识别所述微处理器的当前故障类型,并基于所述当前故障类型匹配对应的故障处理策略,以对所述微处理器执行所述故障处理策略。
8.根据权利要求7所述的装置,其特征在于,所述校验模块包括:
确定单元,用于根据所述校验结果确定所述微处理器的失效类型;
注入单元,用于在所述失效类型为逻辑自测试失效类型的情况下,向所述微处理器注入预设故障,并根据寄存器的注入后状态得到所述预设故障的注入结果;
记录单元,用于在所述失效类型为内存自测试失效类型的情况下,读取内建自测试BIST对应的失效内存块,并确定所述失效内存块的故障是否为永久故障,并在所述失效内存块的故障为永久故障时,记录所述失效内存块的故障数据。
9.一种车辆,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如权利要求1-6任一项所述的车辆的功能安全机制故障的检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行,以用于实现如权利要求1-6任一项所述的车辆的功能安全机制故障的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310881009.7A CN116700224A (zh) | 2023-07-18 | 2023-07-18 | 车辆的功能安全机制故障的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310881009.7A CN116700224A (zh) | 2023-07-18 | 2023-07-18 | 车辆的功能安全机制故障的检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116700224A true CN116700224A (zh) | 2023-09-05 |
Family
ID=87824098
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310881009.7A Pending CN116700224A (zh) | 2023-07-18 | 2023-07-18 | 车辆的功能安全机制故障的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116700224A (zh) |
-
2023
- 2023-07-18 CN CN202310881009.7A patent/CN116700224A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102822807B (zh) | 控制计算机***及其控制方法和使用 | |
CN111527477B (zh) | 使用投票机制确定车辆控制命令的可靠性 | |
CN110650878B (zh) | 异常判定装置、异常判定方法以及计算机可读存储介质 | |
KR101744226B1 (ko) | 진단 고장 정보를 제공하기 위한 시스템 및 방법 | |
US9728276B2 (en) | Integrated circuits with built-in self test mechanism | |
TW201015293A (en) | Micro controller unit including an error indicator module | |
CN101349905A (zh) | 引擎控制模块的双核体系结构 | |
CN100446129C (zh) | 一种内存故障测试的方法及*** | |
JPH09230929A (ja) | 車載コントローラの故障診断方法及び装置 | |
GB2497636A (en) | Vehicle fault diagnosis system | |
CN116700224A (zh) | 车辆的功能安全机制故障的检测方法及装置 | |
US20230177894A1 (en) | Information processing apparatus and information processing method | |
US11726853B2 (en) | Electronic control device | |
JP2019168835A (ja) | 電子制御装置 | |
JP4041216B2 (ja) | 異常検出方法および異常検出装置 | |
CN113917385A (zh) | 一种面向电能表的自检测方法及*** | |
Beckschulze et al. | Fault handling approaches on dual-core microcontrollers in safety-critical automotive applications | |
JPH09161493A (ja) | 書換え可能な不揮発性メモリの管理方法 | |
CN105335177A (zh) | 嵌入式***的测试方法、测试装置和测试*** | |
EP0811194B1 (en) | Diagnostic method and apparatus with pre-assembly fault recording lock-out | |
JP2002047998A (ja) | 車両用制御装置 | |
JP2009282849A (ja) | マイクロコンピュータ | |
EP2273329A1 (en) | Microcontroller protection method and apparatus comprising an on-circuit debugging module | |
JP4357373B2 (ja) | 高信頼性制御装置 | |
US20230092493A1 (en) | Apparatus for controlling to cope with failure in autonomous driving system and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |