CN108009069B - 基于功能安全的操作系统和com模块监控装置及方法 - Google Patents
基于功能安全的操作系统和com模块监控装置及方法 Download PDFInfo
- Publication number
- CN108009069B CN108009069B CN201711247443.0A CN201711247443A CN108009069B CN 108009069 B CN108009069 B CN 108009069B CN 201711247443 A CN201711247443 A CN 201711247443A CN 108009069 B CN108009069 B CN 108009069B
- Authority
- CN
- China
- Prior art keywords
- function
- module
- data
- com
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于功能安全的操作系统和COM模块监控装置,包括COM模块、OS模块、PDU路由器和功能安全监控模块;COM模块用于接收到的应用软件数据发送至PDU路由器,并进行检测信号传递有效性和信号发送失败诊断;OS模块用于提供数据更新任务和定时发送任务以调用COM模块的指定功能函数,并对这两个任务进行时间诊断和服务诊断;功能安全监控模块用于监控OS模块中的数据更新任务、定时发送任务和诊断功能和COM模块中的接收数据功能、发送数据功能、诊断功能和其它功能是否失效,若失效,则进入到相应的安全状态。大大降低了COM和OS模块发生安全问题的可能性,提高了失效覆盖率,能够实现更高的功能安全ASILD等级要求。
Description
技术领域
本发明应用于纯电动汽车的软件架构,涉及一种基于功能安全的操作系统和COM模块监控方法,具体涉及通过OS和COM模块的应用软件数据的传递失效。
背景技术
随着现代汽车电子的科学技术的高速发展,在汽车领域中引入大量电器电子设备,对于电动汽车驱动系统中的控制单元数量也在不断上升。控制单元数量的增加,对于其间的信息交互所产生的的失效也逐步上升。在软件架构中,无论COM模块或OS发生失效,均会影响应用软件数据的传输,从而会引起系统信号传输异常,进而影响整车安全行驶。因此基于汽车功能安全标准ISO 26262的要求,对于软件架构中操作系统和COM模块的监控是十分必要的。如图1所示,目前现有的软件架构中仅有对OS和COM模块的部分诊断功能,但是汽车中对于某些系统需要达到安全目标ASIL D的设计要求。所以如何减少失效,提高失效覆盖率,使该两个模块符合并达到ASIL D等级,成为一项较困难的问题。
发明内容
为解决上述技术问题,实现功能安全ASIL D等级,本发明提供了一种基于功能安全的操作系统和COM模块监控装置,包括COM模块、OS模块、PDU路由器和功能安全监控模块;所述COM模块用于接收来自于上层RTE服务层信号端口发送的应用软件数据,将接收到的数据发送至PDU路由器,并进行检测信号传递有效性和信号发送失败诊断;所述应用软件数据包括应用软件层的传感器软件组件数据、通过控制算法软件组件计算出的数据或控制信号;所述OS模块用于提供数据更新任务和定时发送任务以调用COM模块的指定功能函数,并对数据更新任务和定时发送任务进行时间诊断和服务诊断;所述功能安全监控模块用于监控OS模块中的数据更新任务、定时发送任务和诊断功能和COM模块中的接收数据功能、发送数据功能和诊断功能是否失效,若失效,则进入到相应的安全状态;同时所述功能安全监控模块还包括对RAM、ROM、指令集和程序流功能的监控;所述PDU路由器用于接收从COM模块发送来的数据,并继续传送。
本发明中提出的一种基于功能安全的操作系统和COM模块监控方法,包括以下步骤:
步骤1)由OS模块的数据更新任务发送调用COM模块中接收数据功能的指令;
步骤2)COM模块中的接收数据功能接收到步骤1)的指令,接收通过API端口发送来的应用软件数据;
步骤3)由OS模块的定时发送任务发送调用COM模块中发送数据功能的指令;
步骤4)COM模块中的发送数据功能接收步骤3)的指令,通过调用PDU路由器中的函数,将步骤2)的应用软件数据传递给PDU路由器;
步骤5)OS模块的诊断功能将诊断OS模块中的数据更新任务和定时发送任务的时序和服务是否正确,至少包括任务间的时间顺序和状态、中断时间、错误上下文和无效操作,如果诊断到失效,OS模块发送错误码;
步骤6)COM模块的诊断功能将诊断COM模块中的接收数据功能和发送数据功能的信号传递有效性、信号发送是否失败,至少包括诊断是否成功发送报文、成功接收报文及报文是否超时;如果诊断到失效,数据将不会向下一层发送请求;
步骤7)功能安全监控模块将对上述步骤1)至步骤6)中的所有功能和RAM、ROM、指令集、程序流功能的监控;如在监控过程中监控到功能失效,则进入到相应的安全状态;各功能发生失效对应的安全状态如下:
与现有技术相比,本发明的有益效果是:
本发明的基于功能安全的设计要求,提出了一种基于功能安全的操作系统和COM模块监控方法。通过OS和COM模块的基本功能、诊断功能和对前两种功能的监控,大大降低了该两个模块发生安全问题的可能性,提高了失效覆盖率,能够实现更高的功能安全ASILD等级要求。
附图说明
图1是现有一种OS和COM的应用软件数据传递方法;
图2是本发明基于功能安全的操作系统和COM模块监控装置框图;
图3是本发明基于功能安全的操作系统和COM模块监控方法流程;
图4是本发明实施例中电机状态信号的OS和COM模块监控方法实施图。
具体实施方式
下面结合附图和具体实施例对本发明技术方案作进一步详细描述,所描述的具体实施例仅对本发明进行解释说明,并不用以限制本发明。
如图2所示,本发明提出的一种基于功能安全的操作系统和COM模块监控装置,包括的功能模块有COM模块、OS(Operating System)模块、PDU路由器和功能安全监控模块。
所述COM模块用于接收来自于上层RTE服务层信号端口发送的应用软件数据,将接收到的数据发送至下一模块,即PDU路由器(PDU Router)。另有诊断功能能够对前两个任务提供诊断功能,即包括检测信号传递有效性和信号发送失败诊断功能。所述应用软件数据即为各应用计算或获取得到发送至COM模块的数据,包括诸如应用软件层的传感器软件组件数据、通过控制算法软件组件计算出的数据或控制信号。应用软件数据发送到COM模块,并继续传递到PDU Router模块。
所述OS模块用于提供数据更新任务和定时发送任务以调用COM模块的指定功能函数。另有诊断功能能够对前两个任务提供诊断功能,即对数据更新任务和定时发送任务进行时间诊断和服务诊断。
所述功能安全监控模块用于监控OS模块中的数据更新任务、定时发送任务和诊断功能和COM模块中的接收数据功能、发送数据功能和诊断功能是否失效,若失效,则采取相应安全机制以进入到安全状态;同时,所述功能安全监控模块还包括对RAM、ROM、指令集和程序流功能的监控。
所述PDU路由器用于接收从COM模块发送来的数据,并继续传送。
如图3和图4所示,本发明提出的一种基于功能安全的操作系统和COM模块监控方法,包括以下步骤:
步骤1)由OS模块的数据更新任务OS_Task_DataUpdate发送调用COM模块中接收数据功能COM_Fun_DataReceive的指令;
步骤2)COM模块中的接收数据功能COM_Fun_DataReceive接收到步骤1)的指令,将通过API端口发送来的应用软件数据进行接收;
步骤3)由OS模块的定时发送任务OS_Task_TimingSend发送调用COM模块中发送数据功能COM_Fun_DataSend的指令;
步骤4)COM模块中的发送数据功能COM_Fun_DataSend接收步骤3)的指令,将通过调用下一模块PDU Router中的函数,将步骤2)的应用软件数据传递给PDURouter;
步骤5)OS模块的诊断功能OS_Fun_Diagnosis将诊断OS模块中的数据更新任务和定时发送任务的时序、服务等是否正确,至少包括任务间的时间顺序和状态、中断时间、错误上下文和无效操作问题。如果诊断到失效,OS将会发送错误码;
步骤6)COM模块的诊断功能COM_Fun_Diagnosis将诊断COM中的接收数据功能和发送数据功能的信号传递有效性及信号发送是否失败,至少包括诊断是否成功发送报文、成功接收报文及报文是否超时。如果诊断到失效,数据将不会向下一层发送请求;
步骤7)功能安全监控模块Functional Safety Monitoring Module将对上述步骤1)至步骤6)中的所有功能和RAM、ROM、指令集、程序流功能进行监控;如在监控过程中监控到功能失效,则会根据安全机制立即进入到相应安全状态。各功能发生失效对应的安全状态如表1所示。
表1.各功能失效对应的安全状态
下面将结合附图,对本发明中的技术方案进行清楚、完整的描述,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。
在MCU中,将转角位置、定子电流电机温度等信号通过控制算法计算出电机控制信号,并通过CAN总线将电机控制、当前电机状态等信号传递给VCU,VCU对MCU发出控制指令以控制电机。以MCU中电机状态信号为例,通过OS模块和COM模块进行信号传递,如图4所示,图4中:
Motor Status Signal:电机状态信号;
OS_Task_DataUpdate:OS数据更新任务;
COM_Fun_DataReceive:COM数据接收功能;
OS_Task_TimingSend:OS定时发送任务;
COM_Fun_DataSend:COM数据发送功能;
OS_Fun_Diagnosis:OS诊断功能;
COM_Fun_Diagnosis:COM诊断功能;
Functional Safety Monitoring Module:功能安全监控模块;
COM_Fun_Others:COM其它功能;
VCU:整车控制器。
在本实施例中,出现失效的功能是OS诊断功能的服务发送失效,即在OS定时发送任务是本应调用COM模块的发送数据功能,实际却意外地调用另外一个功能。这个失效有可能是由于外界的干扰导致,如电磁干扰。按照本发明的内容,在发生这类失效时所应对的安全状态是终止任务并重新启动操作系统,若仍失效,终止功能。
下面为具体过程:
MCU的电机状态信号Motor Status Signal通过CAN总线传递给VCU。传递过程中将通过OS和COM模块。OS通过数据更新任务OS_Task_DataUpdate将调用COM端口的数据接收功能COM_Fun_DataReceive来接收电机状态信号。随后OS通过定时发送任务OS_Task_TimingSend调用COM模块的数据发送功能COM_Fun_DataSend,然后其调用PDU的数据接收功能将信号传递给PDU。
在此过程中,OS的诊断功能OS_Fun_Diagnosis和COM的诊断功能COM_Fun_Diagnosis一直在对OS和COM模块的功能进行诊断。同时功能安全监控模块FunctionalSafety Monitoring Module一直对OS和COM的功能进行监控。
在OS模块的定时发送任务没有调用COM模块的数据发送功能,而是调用其它功能COM_Fun_Others。此时OS诊断功能的服务诊断出现失效,则不会发现此错误,可能会导致电机状态信号不会通过CAN总线传递到VCU,从而引发安全问题。功能安全监控模块能够对OS诊断功能的失效进行监控,从而发现问题并加以解决,达到安全状态。按照上述安全状态,OS模块应立即终止任务并重新启动操作系统,若重启后定时发送任务能够正常调用数据发送任务则继续正常运行;若仍失效,终止功能。
尽管上面结合附图对本发明进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨的情况下,还可以做出很多变形,这些均属于本发明的保护之内。
Claims (2)
1.一种基于功能安全的对操作系统和COM模块进行监控的装置,包括COM模块、OS模块和PDU路由器,其特征在于,还包括有功能安全监控模块;
所述COM模块,用于接收来自于上层RTE服务层信号端口发送的应用软件数据,将接收到的数据发送至PDU路由器,并进行信号传递有效性和信号发送是否失败的检测和诊断;所述应用软件数据包括应用软件层的传感器软件组件数据、通过控制算法软件组件计算出的数据或控制信号;
所述OS模块,用于提供数据更新任务和定时发送任务以调用COM模块的指定功能函数,并对数据更新任务和定时发送任务进行时间诊断和服务诊断;
所述功能安全监控模块,用于监控OS模块中的数据更新任务、定时发送任务和诊断功能和COM模块中的接收数据功能、发送数据功能和诊断功能是否失效,若失效,则进入到相应的安全状态;同时所述功能安全监控模块还包括对RAM、ROM、指令集和程序流功能的监控;
所述PDU路由器,用于接收从COM模块发送来的数据,并继续传送。
2.一种基于功能安全的对操作系统和COM模块进行监控的方法,其特征在于,包括以下步骤:
步骤1)由OS模块的数据更新任务发送调用COM模块中接收数据功能的指令;
步骤2)COM模块中的接收数据功能接收到步骤1)的指令,接收通过API端口发送来的应用软件数据;
步骤3)由OS模块的定时发送任务发送调用COM模块中发送数据功能的指令;
步骤4)COM模块中的发送数据功能接收步骤3)的指令,通过调用PDU路由器中的函数,将步骤2)的应用软件数据传递给PDU路由器;
步骤5)OS模块的诊断功能将诊断OS模块中的数据更新任务和定时发送任务的时序和服务是否正确,至少包括任务间的时间顺序和状态、中断时间、错误上下文和无效操作,如果诊断到失效,OS模块发送错误码;
步骤6)COM模块的诊断功能将诊断COM模块中的接收数据功能和发送数据功能的信号传递有效性、信号发送是否失败,至少包括诊断是否成功发送报文、是否成功接收报文及报文是否超时;如果诊断到失效,数据将不会向下一层发送请求;
步骤7)功能安全监控模块将对上述步骤1)至步骤6)中的所有功能和RAM、ROM、指令集、程序流功能进行监控;如在监控过程中监控到功能失效,则进入到相应的安全状态;各功能发生失效对应的安全状态如下:
OS数据更新任务功能失效时,安全状态是重新激活数据更新任务;
OS定时发送任务功能失效时,安全状态是重新激活定时发送任务;
OS诊断功能失效时,安全状态是:
1.时序发生错误,终止任务并重新启动操作系统,若仍失效,终止功能;
2.服务发生错误,终止任务并重新启动操作系统,若仍失效,终止功能;
COM接收数据功能失效时,安全状态是重新等待调度接收数据功能;
COM发送数据功能失效时,安全状态是重新等待调度发送数据功能;
COM诊断功能失效时,安全状态是COM模块重新启动并初始化,若仍失效,终止功能;
RAM、ROM、指令集、程序流功能失效时,安全状态是终止功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711247443.0A CN108009069B (zh) | 2017-11-30 | 2017-11-30 | 基于功能安全的操作系统和com模块监控装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711247443.0A CN108009069B (zh) | 2017-11-30 | 2017-11-30 | 基于功能安全的操作系统和com模块监控装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108009069A CN108009069A (zh) | 2018-05-08 |
CN108009069B true CN108009069B (zh) | 2020-11-27 |
Family
ID=62055834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711247443.0A Expired - Fee Related CN108009069B (zh) | 2017-11-30 | 2017-11-30 | 基于功能安全的操作系统和com模块监控装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108009069B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111740874B (zh) * | 2020-05-21 | 2021-12-07 | 中国汽车技术研究中心有限公司 | 智能驾驶汽车软件架构通信链的功能安全监控装置及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1606733A (zh) * | 2001-12-21 | 2005-04-13 | 罗伯特-博希股份公司 | 用于控制一个汽车功能单元的方法和装置 |
CN105866569A (zh) * | 2016-03-24 | 2016-08-17 | 吴继春 | 智能设备云测试系统 |
CN107272669A (zh) * | 2017-08-14 | 2017-10-20 | 中国航空无线电电子研究所 | 一种机载故障管理系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9952992B2 (en) * | 2015-07-30 | 2018-04-24 | Dell Products L.P. | Transaction request optimization for redirected USB devices over a network |
-
2017
- 2017-11-30 CN CN201711247443.0A patent/CN108009069B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1606733A (zh) * | 2001-12-21 | 2005-04-13 | 罗伯特-博希股份公司 | 用于控制一个汽车功能单元的方法和装置 |
CN105866569A (zh) * | 2016-03-24 | 2016-08-17 | 吴继春 | 智能设备云测试系统 |
CN107272669A (zh) * | 2017-08-14 | 2017-10-20 | 中国航空无线电电子研究所 | 一种机载故障管理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108009069A (zh) | 2018-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112004730B (zh) | 车辆控制装置 | |
JP2006191338A (ja) | バス内のデバイスの故障診断を行うゲートウエイ装置 | |
US9725054B2 (en) | Method for monitoring a component in a motor vehicle | |
CN109743242B (zh) | Can总线报文控制系统及其控制方法 | |
US8018867B2 (en) | Network system for monitoring operation of monitored node | |
CN108009069B (zh) | 基于功能安全的操作系统和com模块监控装置及方法 | |
JP2011198205A (ja) | 二重系制御システム | |
US20150180754A1 (en) | Fault diagnostic system, fault diagnostic device, and fault diagnostic method | |
JPH08163151A (ja) | シリアル通信装置 | |
CN114064234A (zh) | 修复wmi服务的方法和装置 | |
WO2018018853A1 (zh) | 外设总线的控制装置及方法 | |
KR20130064500A (ko) | 캔통신 시스템에서 메시지 송수신 시의 오류 복구 방법 | |
CN112533173B (zh) | 用于确保数据完整性以保证操作安全的方法以及车对外界信息交互的装置 | |
CN116266803A (zh) | 用于控制器局域网的设备 | |
CN109479064A (zh) | 机动车接口端口 | |
CN111740874B (zh) | 智能驾驶汽车软件架构通信链的功能安全监控装置及方法 | |
US20230001939A1 (en) | Vehicle mounted electronic control apparatus | |
CN114090309B (zh) | 修复wmi服务的方法和装置 | |
KR20190026414A (ko) | Lin 통신 오류 발생에 따른 ecu 자동 재시작 방법 | |
JPS60247760A (ja) | デ−タ通信システム | |
CN112291128B (zh) | 基于总线的通信系统、片上系统和用于其的方法 | |
JPH05201294A (ja) | 車輌の故障診断方法 | |
JP2002529963A (ja) | ネットワークコンポーネントの伝送阻止装置の阻止機能の検査のための方法及び装置 | |
JP4315096B2 (ja) | ネットワークシステム | |
JP2023152461A (ja) | 車載ゲートウェイ装置及びインジェクション攻撃の検出方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201127 Termination date: 20211130 |