CN102221834B - 确保汽车应用分布式网络上微处理器的安全完整性的方法 - Google Patents
确保汽车应用分布式网络上微处理器的安全完整性的方法 Download PDFInfo
- Publication number
- CN102221834B CN102221834B CN201110097866.5A CN201110097866A CN102221834B CN 102221834 B CN102221834 B CN 102221834B CN 201110097866 A CN201110097866 A CN 201110097866A CN 102221834 B CN102221834 B CN 102221834B
- Authority
- CN
- China
- Prior art keywords
- module
- main processor
- processor modules
- inquiry
- answer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明涉及车辆中的处理器完整性系统,其包括m个主处理器模块,所述m个主处理器模块控制所述车辆的至少m个相应功能,其中,m是大于等于1的整数。监测处理器模块,所述监测处理器模块控制所述车辆的至少一个功能,通过分布式车辆网络与所述m个主处理器模块通信,选择性地通过所述分布式车辆网络将询问传递至所述m个主处理器模块中的至少一个,通过所述分布式车辆网络从所述m个主处理器模块中的至少一个接收回答,以及基于所述回答来验证所述m个主处理器模块中的至少一个的完整性。
Description
本申请要求于2010年4月19日提交的美国临时申请No.61/325,588的权益。上述申请的全部内容通过引用并入本申请。
技术领域
本公开涉及确保在汽车应用中的微处理器安全完整性。
背景技术
此处提供的背景技术的描述的目的是总体地给出本公开的背景。当前署名的发明人的工作,在该背景技术部分所描述的程度,以及在提交时可能不构成现有技术的本发明的方面并非明示或暗示地接受为本公开的现有技术。
用于车辆的汽车电子控制系统控制车辆的功能,包括但不限于,车辆推进、制动、转向和传动操作。一个或多个主微处理器执行软件和/或执行与这些车辆功能的控制相关的计算。因此,车辆性能取决于主微处理器的完整性。车辆可实现诊断以检测主微处理器的完整性。
例如,车辆可包括专用的副微处理器来监测主微处理器。副微处理器可通过例如与主微处理器交换种子和密钥来检测主微处理器的完整性。
发明内容
一种车辆中的处理器完整性系统,其包括m个主处理器模块,所述m个主处理器模块控制所述车辆的至少m个相应功能,其中,m是大于等于1的整数。监测处理器模块,所述监测处理器模块控制所述车辆的至少一个功能,通过分布式车辆网络与所述m个主处理器模块通信,选择性地通过所述分布式车辆网络将询问传递至所述m个主处理器模块中的至少一个,通过所述分布式车辆网络从所述m个主处理器模块中的至少一个接收回答,以及基于所述回答来验证所述m个主处理器模块中的至少一个的完整性。
此外,本发明还涉及以下技术方案。
1. 一种车辆中的处理器完整性系统,所述系统包括:
m个主处理器模块,所述m个主处理器模块控制所述车辆的至少m个相应功能,其中,m是大于等于1的整数;以及
监测处理器模块,所述监测处理器模块控制所述车辆的至少一个功能,通过分布式车辆网络与所述m个主处理器模块通信,选择性地通过所述分布式车辆网络将询问传递至所述m个主处理器模块中的至少一个,通过所述分布式车辆网络从所述m个主处理器模块中的所述至少一个接收回答,以及基于所述回答来验证所述m个主处理器模块中的所述至少一个的完整性。
2. 如技术方案1所述的系统,其中,所述监测处理器模块将所述回答与基于所述询问的期望回答进行比较,以验证所述m个主处理器模块中的所述至少一个的完整性。
3. 如技术方案2所述的系统,其中,如果所述回答与所述期望回答不匹配,则所述监测处理器模块使计数器增加。
4. 如技术方案3所述的系统,其中,如果所述回答与所述期望回答匹配,则所述监测处理器模块使所述计数器减小。
5. 如技术方案4所述的系统,其中,如果所述计数器超过预先确定的值,则所述监测处理器模块启动补救措施。
6. 如技术方案1所述的系统,其中,所述监测处理器模块通过所述分布式车辆网络从所述m个主处理器模块中的所述至少一个接收询问。
7. 如技术方案1所述的系统,其中,所述监测处理器模块在验证所述m个主处理器模块中的所述至少一个的完整性之后调整所述询问。
8. 如技术方案1所述的系统,其中,所述监测处理器模块在验证所述m个主处理器模块中的所述至少一个的完整性之后再次将询问传递给所述m个主处理器模块中的所述至少一个。
9. 如技术方案1所述的系统,其中,所述监测处理器模块将所述询问传递给所述m个主处理器模块中的至少两个。
10. 如技术方案1所述的系统,其中,所述监测处理器模块将不同询问传递给所述m个主处理器模块中的每一个。
11. 一种车辆中的处理器完整性方法,所述方法包括:
使用m个相应的主处理器模块控制所述车辆的至少m个相应功能,其中,m是大于等于1的整数;
使用监测处理器模块控制所述车辆的至少一个功能;
使用所述监测处理器模块通过分布式车辆网络与所述m个主处理器模块通信;
通过所述分布式车辆网络选择性地将询问从所述监测处理器模块传递到所述m个主处理器模块中的至少一个;
在所述监测处理器模块通过所述分布式车辆网络接收来自所述m个主处理器模块中的所述至少一个的回答;以及
使用所述监测处理器模块基于所述回答验证所述m个主处理器模块中的所述至少一个的完整性。
12. 如技术方案11所述的方法,其中,还包括使用所述监测处理器模块将所述回答与基于所述询问的期望回答进行比较,以验证所述m个主处理器模块中的所述至少一个的完整性。
13. 如技术方案12所述的方法,其中,还包括如果所述回答与所述期望回答不匹配,则使用所述监测处理器模块使计数器增加。
14. 如技术方案13所述的方法,其中,还包括如果所述回答与所述期望回答匹配,则使用所述监测处理器模块使所述计数器减小。
15. 如技术方案14所述的方法,其中,还包括如果所述计数器超过预先确定的值,则使用所述监测处理器模块启动补救措施。
16. 如技术方案11所述的方法,其中,还包括在所述监测处理器模块通过所述分布式车辆网络从所述m个主处理器模块中的所述至少一个接收询问。
17. 如技术方案11所述的方法,其中,还包括在验证所述m个主处理器模块中的所述至少一个的完整性之后使用所述监测处理器模块调整所述询问。
18. 如技术方案11所述的方法,其中,还包括在验证所述m个主处理器模块中的所述至少一个的完整性之后使用所述监测处理器模块再次将询问传递给所述m个主处理器模块中的所述至少一个。
19. 如技术方案11所述的方法,其中,还包括使用监测处理器模块将所述询问传递给所述m个主处理器模块中的至少两个。
20. 如技术方案11所述的方法,其中,还包括使用所述监测处理器模块将不同询问传递给所述m个主处理器模块中的每一个。
在其它特征中,上述描述的系统和方法通过由一个或者多个处理器执行的计算机程序来实施。该计算机程序可以驻留在有形的计算机可读介质上,例如但是不限于存储器、非易失性数据存储器和/或其它合适的有形存储介质。
本公开的可应用的其它领域将从以下提供的详细说明变得清楚。应该理解,详细说明和具体实例仅是用于说明的目的,并且不限定本公开的范围。
附图说明
从详细说明及附图,本公开将被更完全地理解,附图中:
图1是根据本公开原理的发动机系统的功能框图;
图2是根据本公开原理的用于车辆的第一分布式网络的功能框图;
图3是根据本公开原理的用于车辆的第二分布式网络的功能框图;
图4是根据本公开原理的用于车辆的第三分布式网络的功能框图;以及
图5是示出根据本公开原理的微处理器的验证方法的步骤的流程图。
具体实施方式
以下描述在本质上仅仅是示例性的,并且绝不意图限制本公开,其应用或用途。为了清楚,在附图中使用相同的标号来表示相似的元件。如本文所用,短语A,B和C中的至少一个应被理解为表示逻辑(A或B或C),使用的是非排他的逻辑或。应该懂得,方法中的步骤可以以不同的顺序执行,而不改变本公开的原理。
如本文所用,术语模块指专用集成电路(ASIC),电子电路,执行一个或多个软件或固件程序的处理器(共用的,专用的,或成组的)和存储器,组合逻辑电路,和/或提供所需功能的其它合适的构件。
现在参考图1,示出了示例发动机系统100的功能框图。发动机系统100包括发动机102,基于来自驾驶员输入模块104的驾驶员输入燃烧空气/燃料混合物以产生用于车辆的驱动扭矩。例如,驾驶员输入可以包括加速踏板位置(APP)传感器(未示出)测量的一个或多个APP,制动踏板位置(BPP)传感器(未示出)测量的一个或多个BPP以及巡航控制系统(未示出)提供的巡航扭矩请求。在各种实施方式中,巡航控制系统可以包括自适应巡航控制系统,该系统保持预先确定的跟随距离。
空气经过节气门112被吸入进气歧管110。仅作为示例,节气门112可包括具有可旋转叶片的蝶形阀。发动机控制模块(ECM)114控制节气门致动器模块116,节气门致动器模块116调节节气门112的开度以控制吸入进气岐管110的空气量。
来自进气歧管110的空气被吸入到发动机102的一个或多个气缸中。虽然发动机102可包括多于一个的气缸,但为了说明目的,仅示出一个代表性气缸118。仅作为示例,发动机102可包括2、3、4、5、6、8、10和/或12个气缸。ECM 114可以指示气缸致动器模块120选择性地停用部分气缸,这在某些情况下可以改善燃料经济性。
发动机102可以使用四冲程发动机循环操作。下面描述的四冲程可以被称为进气冲程、压缩冲程、燃烧冲程和排气冲程。在曲轴(未示出)的每一次旋转期间,在气缸118内发生所述四个冲程中的两个。因此,对于气缸118需要曲轴转两周以经历一个发动机循环的全部4个冲程。
在进气冲程期间,来自进气歧管110的空气通过进气门122被吸入到气缸118中。ECM 114控制燃料致动器模块124,该燃料致动器模块124调节燃料的喷射以实现期望的空气/燃料比。可以在中心位置或多个位置,诸如每个气缸的一个或多个进气门附近,将燃料注入进气歧管110。在各种实施方式(未示出)中,可将燃料直接喷入气缸中或喷入与气缸相关联的混合室中。燃料致动器模块124可停止向停用的气缸喷射燃料。
注入的燃料与空气混合并产生空气/燃料混合物。在压缩冲程期间,气缸118内的活塞(未示出)压缩空气/燃料混合物。基于来自ECM 114的信号,火花致动器模块126激发气缸118中的火花塞128,火花塞128点燃空气/燃料混合物。可相对于活塞处于其最高位置(称为上止点,TDC)的时间来规定火花的正时。
火花致动器模块126可由指示在TDC之前或之后多远来产生火花的正时信号来控制。因为活塞位置与曲轴旋转直接相关,所以火花致动器模块126的操作可以用曲轴角同步。在各种实施方式中,火花致动器模块126可停止向停用的气缸供应火花。
气缸内空气/燃料混合物的燃烧可以被称为点火事件。火花致动器模块126能够为每次点火事件改变火花正时。另外,火花致动器模块126能够即使在给定点火事件的前一个气缸点火事件之后收到了正时信号的改变,也能改变该给定点火事件的火花正时。
在燃烧冲程期间,空气/燃料混合物的燃烧驱动活塞远离TDC位置,从而驱动曲轴的旋转。燃烧冲程可以被定义为活塞到达TDC与活塞到达最底端位置(可以被称为下止点(BDC))之间的时间。
在排气冲程期间,活塞开始再次向TDC位置移动,且通过排气门130排出燃烧的副产物。燃烧副产物经由排气系统134从车辆排出。
进气门122可由进气凸轮轴140控制,而排气门130可由排气凸轮轴142控制。在各种实施方式中,多个进气凸轮轴(包括进气凸轮轴140)可控制气缸118的多个进气门(包括进气门122)和/或可控制多个气缸(包括气缸118)组的进气门(包括进气门122)。相似地,多个排气凸轮轴(包括排气凸轮轴142)可控制气缸118的多个排气门和/或可控制多组气缸(包括气缸118)的排气门(包括排气门130)。
气缸致动器模块120可通过禁止进气门122和/或排气门130的打开来停用气缸118。在各种其它实施方式中,进气门122和/或排气门130可由凸轮轴以外的装置例如电磁致动器来控制。
进气门122打开的时间可以通过进气凸轮相位器148相对于TDC位置而改变。排气门130打开的时间可以通过排气凸轮相位器150相对于TDC位置而改变。相位器致动器模块158可基于来自ECM 114的信号控制进气凸轮相位器148和排气凸轮相位器150。当具体实施时,还可以通过相位器致动器模块158控制可变气门致动(VVA)技术(未示出)。
发动机系统100可包括增压装置,该增压装置向进气歧管110提供加压空气。例如,图1显示了包括热涡轮机160-1的涡轮增压器,通过流经排气系统134的热的排出气体向热涡轮机160-1提供动力。涡轮增压器还包括由涡轮机160-1驱动的将导引到节气门112的空气进行压缩的冷空气压缩机160-2。在各种实施方式中,由曲轴驱动的增压器(未示出)可压缩来自节气门112的空气并将压缩空气传送到进气歧管110。
废气门162(例如,涡轮旁路阀)可以允许排气绕过涡轮机160-1,从而减小涡轮增压器提供的增压。例如,增压可以包括进气歧管110内的压力与相同操作条件下自然吸气发动机的进气歧管内的压力之间的差。
ECM 114可通过增压致动器模块164控制涡轮增压器。增压致动器模块164可以通过控制废气门162的位置调节涡轮增压器的增压。在各种实施方式中,可通过增压致动器模块164控制多个涡轮增压器。涡轮增压器可具有可由增压致动器模块164控制的可变几何结构。
中冷器(未示出)可耗散包含在压缩空气充气中的一些热量,其在空气被压缩时产生。压缩空气充气还可具有从排气系统134的组件吸收的热。尽管为了说明目的单独示出,但是涡轮机160-1和压缩机160-2可以在涡轮机160-1的位置附近彼此附接,从而使进气紧邻热排气。
发动机系统100可包括排气再循环(EGR)阀170,其选择性地将排气再引导回进气岐管110。EGR阀170可以位于涡轮机160-1的上游。EGR阀170可由EGR致动器模块172控制。
发动机系统100可以使用RPM传感器178以每分钟转数(RPM)为单位测量曲轴的旋转速度。发动机系统100可以使用车辆速度传感器180测量车辆的速度。例如,可以基于变速器输出轴转速(TOSS)、一个或多个车轮速度或其它适合的车辆速度的度量来确定车轮速度。发动机冷却剂的温度可使用发动机冷却剂温度(ECT)传感器182测量。ECT传感器182可位于发动机102内或者位于冷却剂所循环的其它位置,例如散热器(未示出)。
可以使用歧管绝对压力(MAP)传感器184测量进气歧管110内的压力。在各种实施方式中,可以测量发动机真空度,其中发动机真空度包括周围空气压力与进气歧管110内压力之间的差。可以使用质量空气流量(MAF)传感器186测量进入进气歧管110的质量空气流率。在各种实施方式中,MAF传感器186可位于壳体内,该壳体还包括节气门112。
节气门致动器模块116可使用一个或多个节气门位置传感器(TPS)190来监测节气门112的位置。可使用进气温度(IAT)传感器192测量被吸入发动机102的空气的环境温度。ECM 114可使用来自这些传感器的信号来做出用于发动机系统100的控制决策。
ECM 114可以与变速器控制模块194进行通信,以协调发动机102与变速器(未示出)的操作。例如,ECM 114可以在换档期间减小发动机输出扭矩。发动机102可以通过扭矩传递设备(未示出)(诸如扭矩变换器和/或一个或多个离合器)向变速器输出扭矩。变速器控制模块194还可以与ECM 114共享数据,诸如一个或多个档位传感器(未示出)指示的变速器内当前接合的传动比以及扭矩传递设备的状态。仅举例而言,对于扭矩变换器的情况,所述状态可以包括扭矩变换器离合器(TCC)(未示出)的锁定状态或非锁定状态。
ECM 114可与混合动力控制模块196通信以协调发动机102和电动马达198的操作。电动马达198也可充当发电机,并且可用于产生电能以供车辆电力系统使用和/或储存在电池中。在各种实施方式中,ECM 114、变速器控制模块194以及混合动力控制模块196的各种功能可集成到一个或多个模块中。
发动机致动器通过控制相关致动器值改变一个或多个发动机参数。仅举例而言,节气门致动器模块116可以被称为发动机致动器,节气门开度面积可以被称为相关致动器值。在图1的示例中,节气门致动器模块116通过调节节气门112的叶片的角度实现节气门开度面积。
类似地,火花致动器模块126可以被称为发动机致动器,相关致动器值可以是指相对于气缸TDC的火花提前量。其它发动机致动器可以包括气缸致动器模块120、燃料致动器模块124、相位器致动器模块158、增压致动器模块164和EGR致动器模块172。对于这些发动机致动器,相关的致动器值可以分别包括被激活的气缸的个数、给燃料速率、进气和排气凸轮相位器角度、增压压力和EGR阀开度面积。ECM 114可以控制致动器值以使发动机102产生期望的发动机输出扭矩和实现期望的发动机参数。
发动机系统100的各种控制模块(包括但不限于发动机控制模块114)可包括一个或多个微处理器并且通过车辆总线200通信。例如,诸如控制器局域网络(CAN)的分布式通信网络可以有利于微处理器之间通过车辆总线200的通信。
现在参见图2,示出了示例性分布式网络300。尽管显示的分布式网络300包括微处理器模块302和304,但本领域技术人员将认识到分布式网络300可包括与车辆的控制模块对应的任意合适数量的微处理器模块。仅举例而言,微处理器模块302(即,主处理器模块302)可对应于发动机控制模块114。微处理器模块304(即,监测处理器模块304)可以具有独立于发动机控制模块114之外的微处理器的高度完整性,其监测主处理器模块302和分布式网络300上的其它车辆微处理器。仅举例而言,监测处理器模块304可以与变速器控制模块194或其它车辆模块相关联。换句话说,监测处理器模块304不是用于监测主处理器模块302的专用处理器。监测处理器模块304可以监测自身(例如,通过车载监测硬件)来确保其自身的完整性。
监测处理器模块304可周期性地和/或有条件地检测主处理器模块302的完整性。例如,监测处理器模块304可询问主处理器模块302并检测从主处理器模块302接收到的响应(例如,使用种子/密钥交换)。监测处理器模块304基于该响应确定主处理器模块302是否正常工作。如果主处理器模块302没有正常工作,则监测处理器模块304可启动补救措施。例如,监测处理器模块304可指示主处理器模块302处于失效模式,包括但不限于,不能执行、不完整执行、不正确的正时和/或错误的执行。
监测处理器模块304包括询问模块310和验证模块312。询问模块310确定传递给主处理器模块302的询问(例如,种子)。仅举例而言,询问可包括通过总线200传递给主处理器模块302的0到15(即,0000到1111)之间的4比特数字。监测处理器模块304可将顺序地从0000到1111的多个(16个)询问传递到主处理器模块302。如果受到(例如,验证模块312的)指令,则监测处理器模块304可重复传递其中的一个询问,之后接着进行询问的顺序传递。
验证模块312接收传递给主处理器模块302的询问的回答(例如,密钥)。验证模块312还可从主处理器模块302接收询问。验证模块312确定对询问的回答是否正确。例如,每个询问可具有相应的期望的回答。验证模块将各接收到的回答与基于从主处理器模块302接收到的询问的相对应的期望回答进行比较。如果接收到的回答与期望回答匹配,则所接收到的回答被验证。因此,不需要进行补救措施,因为认定主处理器模块302正常工作。从询问0000到1111的每个询问可具有独特的相对应的回答。例如,每个回答也可以是在0到15之间的4比特数字。
如果接收到的回答与期望的回答不匹配,则接收到的回答不被验证,验证模块312可命令询问模块310重复传递对应的询问。如果接下来接收到的回答与期望回答不匹配(例如,如果在预先确定的一段时间内无效的接收到的回答的数量超过阈值),则验证模块312可请求通过补救措施模块314进行补救措施。在每次接收到的回答与期望回答不匹配时,验证模块312可使计数器316增加,并且当计数器316超过阈值时请求补救措施。相反地,每次接收到的回答与期望回答匹配时,验证模块312可使计数器316减小。
例如,当验证模块312请求补救措施时:补救措施模块314可指令监测处理器模块304或其它模块来承担主处理器模块302的处理功能;补救措施模块314可指令监测处理器模块304忽略从主处理器模块302接收到的输入并将主处理器模块302的故障状态通知其它模块;补救措施模块314可停用主处理器模块302的输出;和/或补救措施模块314可指令其它模块忽略从主处理器模块302接收到的输入。
验证模块312可检测影响回答验证的其它故障。例如,验证模块312可接受对总线200上的通信丢失(即,通信丢失故障)的指示、通信数据故障(例如,滚动计数错误)和/或“卡住”询问故障。卡住询问故障指的是在预先确定的一段时间内的连续询问中不改变的询问值。例如,传递的询问可能卡住于0000,而不是在0000和1111之间顺序地增加。当没有检测到其它故障,或只检测到卡住询问时,无效的回答指示主处理器模块302没有正常工作。相反地,当仅有的故障是卡住询问故障时,验证模块312可能不能够诊断出故障源。通信丢失或通信数据故障指示监测处理器模块304不再能够监测主处理器模块302。
主处理器模块302可包括功能模块320-1、320-2、320-3、…、320-n,它们统一称为功能模块320。每个功能模块320可执行主处理器模块302的不同功能。例如,每个功能模块320可对应于与主处理器模块302相关联的车辆的专用功能。
功能模块320-1通过总线200从监测处理器模块304接收询问。功能模块320-1基于询问生成第一部分回答,并将询问和第一部分回答传递给功能模块320-2。功能模块320-2基于询问和第一部分回答生成第二部分回答,并将询问和第二部分回答传递给功能模块320-3。功能模块320-3基于询问和第二部分回答生成第三部分回答,并将询问和第三部分回答传递给功能模块320-n。功能模块320-n基于询问和第三部分回答生成最终回答,并将询问和最终回答通过总线200传递给验证模块312。如果功能模块320中的任意一个没有正常工作,那么传递给验证模块312的最终回答将与期望回答不匹配。因此,最终回答验证主处理器模块302的接收询问和部分回答的每个单独功能的完整性。
现在参照图3,用于车辆的示例性分布式网络400包括监测处理器模块402和主处理器模块404-1、404-2、…、404-n,这些主处理器模块统称为主处理器模块404。监测处理器模块402通过车辆总线406与主处理器模块404通信。在分布式网络400中,监测处理器模块402将单个的询问(即,种子)408传递到每个主处理器模块404。因此,每个主处理器模块404接收到相同的询问408。每个主处理器模块404将回答(即,密钥)410传递回监测处理器模块402。在该实施方式中,每个主处理器模块404的期望的回答是相同的。
现在参照图4,监测处理器模块402将询问420-1、420-2、…、420-n(统称为询问420)分别传递给主处理器模块404-1、404-2、…、404-n。换句话说,每个主处理器模块404接收到不同的询问420。主处理器模块404将回答422-1、422-2、…、422-n传递回监测处理器模块402。在该实施方式中,每个主处理器模块404的期望的回答是不同的。
现参照图5,微处理器验证方法500从步骤502开始。在步骤504,方法500确定传递给一个或多个主处理器模块的询问。例如,如果方法500传递初始询问,则询问可以是0000或另一初始序列值。在步骤506,方法500将询问传递给一个或多个主处理器模块。在步骤508,一个或多个主处理器模块基于询问生成回答并传递该回答。在步骤510,方法500确定回答是否匹配期望回答。如果是,那么方法500继续至步骤512。如果否,则方法500继续到步骤514。在步骤512中,方法500使计数器增加。在步骤516,方法500确定新的询问(例如,使询问从0000增加到0001),并返回至步骤506。
在步骤514中,方法500使计数器增加。在步骤518,方法500确定计数器是否超过预先确定的值。如果是,那么方法500继续至步骤520。如果否,则方法500继续到步骤522。在步骤520,方法500开始一个或多个补救措施。
在步骤522,方法500重复传递询问。在步骤524,方法500接收基于询问的新回答。在步骤526,方法500确定新的回答是否匹配期望回答。如果是,那么方法500继续至步骤512。如果否,那么方法500继续至步骤514。在步骤528该方法结束。
本公开的宽泛的教导可以多种形式来实施。因此,尽管本公开包括具体的实例,但本公开的真实范围不应受到此限制,因为在研究了附图、说明书和权利要求后,本领域技术人员将清楚其它的改型。
Claims (18)
1.一种验证车辆中的处理器完整性的系统,所述系统包括:
m个主处理器模块,所述m个主处理器模块控制所述车辆的至少m个相应功能,其中,m是大于等于1的整数;以及
监测处理器模块,所述监测处理器模块控制所述车辆的至少一个功能,通过分布式车辆网络与所述m个主处理器模块通信,选择性地通过所述分布式车辆网络将询问传递至所述m个主处理器模块中的至少一个,通过所述分布式车辆网络从所述m个主处理器模块中的所述至少一个接收回答,以及基于所述回答与期望回答是否匹配来验证所述m个主处理器模块中的所述至少一个的完整性,
其中,所述主处理器模块包括n个功能模块,所述功能模块中的第一功能模块基于所述询问生成第一部分回答,所述功能模块中的其它模块中的每一个基于所述询问和前一个功能模块的部分回答生成部分回答,所述n个功能模块的各个部分回答构成所述回答,其中,n是大于等于1的整数。
2.如权利要求1所述的系统,其中,如果所述回答与所述期望回答不匹配,则所述监测处理器模块使计数器增加。
3.如权利要求2所述的系统,其中,如果所述回答与所述期望回答匹配,则所述监测处理器模块使所述计数器减小。
4.如权利要求3所述的系统,其中,如果所述计数器超过预先确定的值,则所述监测处理器模块启动补救措施。
5.如权利要求1所述的系统,其中,所述监测处理器模块通过所述分布式车辆网络从所述m个主处理器模块中的所述至少一个接收询问。
6.如权利要求1所述的系统,其中,所述监测处理器模块在验证所述m个主处理器模块中的所述至少一个的完整性之后调整所述询问。
7.如权利要求1所述的系统,其中,所述监测处理器模块在验证所述m个主处理器模块中的所述至少一个的完整性之后再次将询问传递给所述m个主处理器模块中的所述至少一个。
8.如权利要求1所述的系统,其中,所述监测处理器模块将所述询问传递给所述m个主处理器模块中的至少两个。
9.如权利要求1所述的系统,其中,所述监测处理器模块将不同询问传递给所述m个主处理器模块中的每一个。
10.一种验证车辆中的处理器完整性的方法,所述方法包括:
使用m个相应的主处理器模块控制所述车辆的至少m个相应功能,其中,m是大于等于1的整数;
使用监测处理器模块控制所述车辆的至少一个功能;
使用所述监测处理器模块通过分布式车辆网络与所述m个主处理器模块通信;
通过所述分布式车辆网络选择性地将询问从所述监测处理器模块传递到所述m个主处理器模块中的至少一个;
在所述监测处理器模块通过所述分布式车辆网络接收来自所述m个主处理器模块中的所述至少一个的回答;以及
使用所述监测处理器模块基于所述回答与期望回答是否匹配来验证所述m个主处理器模块中的所述至少一个的完整性,
其中,所述主处理器模块包括n个功能模块,所述功能模块中的第一功能模块基于所述询问生成第一部分回答,所述功能模块中的其它模块中的每一个基于所述询问和前一个功能模块的部分回答生成部分回答,所述n个功能模块的各个部分回答构成所述回答,其中,n是大于等于1的整数。
11.如权利要求10所述的方法,其中,还包括如果所述回答与所述期望回答不匹配,则使用所述监测处理器模块使计数器增加。
12.如权利要求11所述的方法,其中,还包括如果所述回答与所述期望回答匹配,则使用所述监测处理器模块使所述计数器减小。
13.如权利要求12所述的方法,其中,还包括如果所述计数器超过预先确定的值,则使用所述监测处理器模块启动补救措施。
14.如权利要求10所述的方法,其中,还包括在所述监测处理器模块通过所述分布式车辆网络从所述m个主处理器模块中的所述至少一个接收询问。
15.如权利要求10所述的方法,其中,还包括在验证所述m个主处理器模块中的所述至少一个的完整性之后使用所述监测处理器模块调整所述询问。
16.如权利要求10所述的方法,其中,还包括在验证所述m个主处理器模块中的所述至少一个的完整性之后使用所述监测处理器模块再次将询问传递给所述m个主处理器模块中的所述至少一个。
17.如权利要求10所述的方法,其中,还包括使用监测处理器模块将所述询问传递给所述m个主处理器模块中的至少两个。
18.如权利要求10所述的方法,其中,还包括使用所述监测处理器模块将不同询问传递给所述m个主处理器模块中的每一个。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US32558810P | 2010-04-19 | 2010-04-19 | |
| US61/325588 | 2010-04-19 | ||
| US12/832310 | 2010-07-08 | ||
| US12/832,310 US8380392B2 (en) | 2010-04-19 | 2010-07-08 | Method to ensure safety integrity of a microprocessor over a distributed network for automotive applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102221834A CN102221834A (zh) | 2011-10-19 |
| CN102221834B true CN102221834B (zh) | 2016-09-14 |
Family
ID=44778407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110097866.5A Expired - Fee Related CN102221834B (zh) | 2010-04-19 | 2011-04-19 | 确保汽车应用分布式网络上微处理器的安全完整性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102221834B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102497647B (zh) * | 2011-12-14 | 2014-07-09 | 华南理工大学 | 一种物联网监测系统的完整性验证评估方法 |
| US9058419B2 (en) * | 2012-03-14 | 2015-06-16 | GM Global Technology Operations LLC | System and method for verifying the integrity of a safety-critical vehicle control system |
| DE102013224695A1 (de) * | 2013-12-03 | 2015-06-03 | Robert Bosch Gmbh | Verfahren zum Überwachen eines Mikrocontrollers |
| CN113608951B (zh) * | 2021-07-27 | 2023-10-03 | 际络科技(上海)有限公司 | 芯片状态检测方法和系统、电子设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4885676A (en) * | 1988-03-09 | 1989-12-05 | Storage Technology Corporation | Control loop instability detection and correction apparatus |
| US6424900B2 (en) * | 2000-02-01 | 2002-07-23 | Delphi Technologies, Inc. | Multi-module control-by-wire architecture |
| CN101446830A (zh) * | 2008-12-25 | 2009-06-03 | 奇瑞汽车股份有限公司 | 一种汽车诊断仪和诊断方法 |
-
2011
- 2011-04-19 CN CN201110097866.5A patent/CN102221834B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4885676A (en) * | 1988-03-09 | 1989-12-05 | Storage Technology Corporation | Control loop instability detection and correction apparatus |
| US6424900B2 (en) * | 2000-02-01 | 2002-07-23 | Delphi Technologies, Inc. | Multi-module control-by-wire architecture |
| CN101446830A (zh) * | 2008-12-25 | 2009-06-03 | 奇瑞汽车股份有限公司 | 一种汽车诊断仪和诊断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102221834A (zh) | 2011-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8380392B2 (en) | Method to ensure safety integrity of a microprocessor over a distributed network for automotive applications | |
| US9458778B2 (en) | Cylinder activation and deactivation control systems and methods | |
| CN101586504B (zh) | 用于发动机转矩输入每缸空气计算的安全性 | |
| CN104121105B (zh) | 使用模型预测控制的空气流控制系统和方法 | |
| CN104343571B (zh) | 用于模型预测控制器的标定系统和方法 | |
| CN101915170B (zh) | 用于协调扭矩控制系统的排气再循环诊断 | |
| CN102383959B (zh) | 提高的燃料经济性模式控制系统和方法 | |
| CN103670763B (zh) | 用于车辆起动的发动机控制系统和方法 | |
| CN107762584B (zh) | 用于调节凸轮轴的方法和系统 | |
| US8041478B2 (en) | Securing and diagnosing the vehicle speed input and direction for torque control systems | |
| CN101713342B (zh) | 基于扭矩的离合器燃料切断 | |
| CN105083261B (zh) | 用于控制车辆加速度的系统和方法 | |
| CN101531192B (zh) | 合理控制变速器转矩请求高于驾驶员指令的ecm安全策略 | |
| CN102700550B (zh) | 用于换挡辅助的扭矩控制系统和方法 | |
| CN102235252B (zh) | 用于根据系统能量减小动力系扰动的系统和方法 | |
| CN105201672A (zh) | 发动机速度控制系统和方法 | |
| US9074537B2 (en) | Adaptive engine speed control to prevent engine from roll and stall | |
| RU2718388C2 (ru) | Вторичная система и способ управления двигателем | |
| US7593806B2 (en) | Secured count of cylinders fueled in a coordinated torque control system | |
| US20090005216A1 (en) | Methods and systems to feedback coordinated torque control system information | |
| CN102194265A (zh) | 事件数据记录器系统和方法 | |
| CN102400807B (zh) | 发动机扭矩估计系统和方法 | |
| CN102678340B (zh) | 预节气门压力控制系统和方法 | |
| CN102200062A (zh) | 估计均质充量压缩点火发动机的扭矩输出的系统和方法 | |
| US9090245B2 (en) | System and method for controlling the amount of torque provided to wheels of a vehicle to prevent unintended acceleration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160914 Termination date: 20200419 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |