CN111740874B - 智能驾驶汽车软件架构通信链的功能安全监控装置及方法 - Google Patents

Abstract

本发明提供了一种用于智能驾驶汽车软件架构通信链的功能安全监控装置及方法，功能安全监控装置包括功能安全监控模块，所述功能安全监控模块包括服务层诊断功能模块、ECU抽象层诊断功能模块、MCU抽象层诊断功能模块、第一失效处理模块、第二失效处理模块、第三失效处理模块、以及紧急操作模块；本发明通过对软件架构BSW层通信链路的监控，大大降低了因信息传递失效发生安全问题的可能性，并且能够知道导致失效的模块，为后续纠错和完善通信链路提供了必不可少的支持，且本发明能够实现功能安全ASIL D等级要求。

Description

智能驾驶汽车软件架构通信链的功能安全监控装置及方法

技术领域

本发明属于智能驾驶汽车的Autosar软件架构技术领域，尤其是涉及一种用于智能驾驶汽车软件架构通信链的功能安全监控装置。

背景技术

随着汽车技术行业的高速发展，汽车通信网络化的趋势越发凸显，尤其是智能驾驶领域，软件复杂度越来越高，软件组件之间的信息交互造成的功能失效日益受到各方关注。在通信链路中(COM模块、OS模块、PDUR模块、接口层、驱动层)，无论哪个模块失效均会影响应用层数据传递，从而会引起系统信号传输异常，进而影响整车安全行驶。因此，基于汽车功能安全技术要求，对于软件架构中的通信链路的监控是十分必要的。

发明内容

有鉴于此，本发明旨在提出一种用于智能驾驶汽车软件架构通信链的功能安全监控装置及方法，本发明主要针对软件架构中BSW层的通信链路，用于实现智能驾驶汽车通信系统功能安全ASIL D等级的能力，降低失效概率和危害。当系统通信链路发生失效时，功能安全监控模块检测到失效，识别具体失效模块并报错，进入安全状态。本发明减少失效产生的危害，为后续纠错和完善通信链路并提高其可靠性提供了必不可少的支持。

为达到上述目的，本发明的技术方案是这样实现的：

一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，包括功能安全监控模块，所述功能安全监控模块包括服务层诊断功能模块、ECU抽象层诊断功能模块、MCU抽象层诊断功能模块、第一失效处理模块、第二失效处理模块、第三失效处理模块、以及紧急操作模块；

所述服务层诊断功能模块用于对服务层各模块提供诊断；

所述ECU抽象层诊断功能模块用于对接口层各模块提供诊断；

所述MCU抽象层诊断功能模块用于对驱动层各模块提供诊断；

所述第一失效处理模块用于对服务层各模块、服务层诊断功能模块和第三失效处理模块进行失效监控；

所述第二失效处理模块用于对接口层各模块、ECU抽象层诊断功能模块和第一失效处理模块进行失效监控；

所述第三失效处理模块用于对驱动层各模块、MCU抽象层诊断功能模块、和第二失效处理模块进行失效监控；

所述紧急操作模块用于接收第一失效处理模块、第二失效处理模块、第三失效处理模块的信息。

进一步的，所述功能安全监控模块用于监控通信链路中各个相关模块的功能是否失效，若失效，采取相应安全机制以达到安全状态，并提示报警；

进一步的，所述功能安全监控模块的诊断功能包括检验信号传递有效性，包括诊断出信号的损坏、延迟、丢失、重复、顺序错误、信息插入和伪消息。

进一步的，所述第一失效处理模块对服务层各模块、服务层诊断功能模块和第三失效处理模块进行失效监控，当服务层诊断功能模块输入信号与第一失效处理模块不一致，优先信任第一失效处理模块。

进一步的，所述第二失效处理模块对接口层各模块、ECU抽象层诊断功能模块和第一失效处理模块进行失效监控，当ECU抽象层诊断功能模块输入信号与第二失效处理模块不一致，优先信任第二失效处理模块。

进一步的，所述第三失效处理模块对驱动层各模块、MCU抽象层诊断功能模块和第二失效处理模块进行失效监控，当MCU抽象层诊断功能模块输入信号与第三失效处理模块不一致，优先信任第三失效处理模块。

进一步的，当第一失效处理模块失效，由第二失效处理模块代替实现第一失效处理模块功能；当第二失效处理模块失效，由第三失效处理模块代替实现第二失效处理模块功能；当第三失效处理模块失效，由第一失效处理模块代替实现第三失效处理模块功能。

进一步的，当紧急操作模块接收到两个及以上失效处理模块错误或者服务层、接口层、驱动层其中之一失效无法恢复，通过紧急操作模块给车辆降功率降速，并报警提示驾驶员接管车辆靠边停车。

本发明还提供一种用于智能驾驶汽车软件架构通信链的功能安全监控方法，包括如下步骤：

(1)服务层接收应用层软件数据信号，若服务层失效，则服务层重新启动，若仍失效，则终止任务，进入紧急操作模块，并提示服务层失效报警；

(2)服务层诊断功能模块对服务层进行失效诊断，若服务层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警；

(3)第一失效处理模块对服务层、服务层诊断功能模块和第三失效处理模块进行监控，若第一失效处理模块失效，则停止第一失效处理模块，由第二失效处理模块接管监控服务层和服务层诊断功能模块，同时发送失效信息给紧急操作模块；

(4)接口层接收服务层的数据并将数据发送给驱动层，若接口层失效，则重新接收发送数据；若仍失效，则终止任务，进入紧急操作模块，并提示接口层失效报警；

(5)ECU抽象层诊断功能模块对接口层进行失效诊断，若ECU抽象层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警；

(6)第二失效处理模块对接口层、ECU抽象层诊断功能模块和第一失效处理模块进行监控，若第二失效处理模块失效，则停止第二失效处理模块，由第三失效处理模块接管监控接口层和ECU抽象层诊断功能模块，同时发送失效信息给紧急操作模块；

(7)驱动层接收来自接口层的数据并将数据发送给硬件层，若驱动层失效，则重新接收发送数据；若仍失效，则终止任务，进入紧急操作模块，并提示驱动层失效报警；

(8)MCU抽象层诊断功能模块对驱动层进行失效诊断，若MCU抽象层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警；

(9)第三失效处理模块对驱动层、MCU抽象层诊断功能模块和第二失效处理模块进行监控，若第三失效处理模块失效，则停止第三失效处理模块，由第一失效处理模块接管监控驱动层和MCU抽象层诊断功能模块，同时发送失效信息给紧急操作模块；

(10)最终将正确的应用层软件数据信息发送至硬件层。

相对于现有技术，本发明所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置及方法具有以下优势：

本发明基于功能安全的设计要求，提出了一种用于智能驾驶汽车软件架构通信链的功能安全监控方法。通过对软件架构BSW层通信链路的监控，大大降低了因信息传递失效发生安全问题的可能性，并且能够知道导致失效的模块，为后续纠错和完善通信链路提供了必不可少的支持，且本发明能够实现功能安全ASIL D等级要求。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是现有的一种通信链路数据传递方法示意图；

图2是本发明的一种用于智能驾驶汽车软件架构通信链的功能安全监控方法示意图；

图3是本发明的通信链路监控策略示意图；

图4是CAN数据通信监控方法实施示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。

下面将参考附图并结合实施例来详细说明本发明。

为降低通信链路的失效，实现智能驾驶通信系统的功能安全ASIL D等级的能力，本发明提供了一种基于功能安全的软件架构通信链监控装置及方法，具体装置如下：

AUTOSAR基本通讯模块包括操作系统(Operating System)模块、通信(COM)模块、协议数据单元路由器(PDUR)模块、接口层、驱动层。所述监控方法的功能安全监控模块包括服务层诊断功能模块、ECU抽象层诊断功能模块、MCU抽象层诊断功能模块、第一失效处理模块、第二失效处理模块、第三失效处理模块、紧急操作模块。

所述AUTOSAR基本通讯模块，OS模块用于提供数据更新任务调用RTE接口，通过RTE接口将数据传递给COM模块，并提供定时发送任务以调用COM模块的指定功能函数进行数据发送。COM模块接收来自RTE的数据，并通过函数调用PDUR模块进行数据发送。PDUR模块接收来自COM模块的数据，并通过函数调用接口层进行数据发送。接口层接收来自PDUR模块的数据，并通过函数调用驱动层进行数据发送。驱动层接收来自接口层的数据，并将数据发送至硬件层。

所述功能安全监控模块，用于监控通信链路中各个相关模块的功能是否失效，若失效，采取相应安全机制以达到安全状态，并提示报警。服务层诊断功能模块对OS模块、COM模块、PDUR模块提供诊断；ECU抽象层诊断功能模块对接口层提供诊断；MCU抽象层诊断功能模块对驱动层提供诊断。其中诊断功能包括检验信号传递有效性，包括诊断出信号的损坏、延迟、丢失、重复、顺序错误、信息插入和伪消息等。

第一失效处理模块对OS模块、COM模块、PDUR模块、服务层诊断功能模块和第三失效处理模块进行失效监控，当服务层诊断功能模块输入信号与第一失效处理模块不一致，优先信任第一失效处理模块；第二处理模块对接口层、ECU抽象层诊断功能模块和第一失效处理模块进行失效监控，当ECU抽象层诊断功能模块输入信号与第二失效处理模块不一致，优先信任第二失效处理模块；第三失效处理模块对驱动层、MCU抽象层诊断功能模块和第二失效处理模块进行失效监控，当MCU抽象层诊断功能模块输入信号与第三失效处理模块不一致，优先信任第三失效处理模块。当第一失效处理模块失效，由第二失效处理模块代替实现第一失效处理模块功能；当第二失效处理模块失效，由第三失效处理模块代替实现第二失效处理模块功能；当第三失效处理模块失效，由第一失效处理模块代替实现第三失效处理模块功能。

所述紧急操作模块接收第一失效处理模块、第二失效处理模块、第三失效处理模块信息，当接收到两个及以上失效处理模块错误或者OS模块、COM模块、PDUR模块、接口层、驱动层其中之一失效无法恢复，通过紧急操作模块给车辆降功率降速，并报警提示驾驶员接管车辆靠边停车。

具体步骤如下：

1.服务层接收应用层软件数据信号，若服务层失效(OS模块失效或COM模块失效或PDUR模块失效)，则OS模块任务重新调用或COM模块重新接收发送数据或PDUR模块重新接收发送数据，若仍失效，则终止任务，进入紧急操作模块，并提示服务层失效报警。

2.服务层诊断功能模块对服务层进行失效诊断，若服务层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警。

3.第一失效处理模块对服务层、服务层诊断功能模块和第三失效处理模块进行监控，若第一失效处理模块失效，则停止第一失效处理模块，由第二失效处理模块接管监控服务层和服务层诊断功能模块，同时发送失效信息给紧急操作模块。

4.接口层接收来自PDUR模块的数据并将数据发送给驱动层，若接口层失效，则重新接收发送数据；若仍失效，则终止任务，进入紧急操作模块，并提示接口层失效报警。

5.ECU抽象层诊断功能模块对接口层进行失效诊断，若ECU抽象层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警。

6.第二失效处理模块对接口层、ECU抽象层诊断功能模块和第一失效处理模块进行监控，若第二失效处理模块失效，则停止第二失效处理模块，由第三失效处理模块接管监控接口层和ECU抽象层诊断功能模块，同时发送失效信息给紧急操作模块。

7.驱动层接收来自接口层的数据并将数据发送给硬件层，若驱动层失效，则重新接收发送数据；若仍失效，则终止任务，进入紧急操作模块，并提示驱动层失效报警。

8.MCU抽象层诊断功能模块对驱动层进行失效诊断，若MCU抽象层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警。

9.第三失效处理模块对驱动层、MCU抽象层诊断功能模块和第二失效处理模块进行监控，若第三失效处理模块失效，则停止第三失效处理模块，由第一失效处理模块接管监控驱动层和MCU抽象层诊断功能模块，同时发送失效信息给紧急操作模块。

10.最终将正确的应用层软件数据信息发送至硬件层。

各失效模块对应的安全状态如表1所示。

表1

下面以CAN数据传输为例进行说明，如图4所示：

当数据正常发送，未发生失效时，OS模块的数据更新任务OS_Task_SetOutputData调用RTE的Rte_Write_TxData接口进行数据/信号发送，COM模块的COM_SendSignal接口接收来自RTE接口的数据，OS模块的定时发送任务OS_Task_TimingSend调用COM模块的COM_MainFunction进行数据发送，由COM模块中的COM_Transmit函数调用PDUR模块的PDUR_ComTransmit进行数据发送，通过PDUR模块中的PDUR_ComTransmit函数接收到Pdu数据，PDUR模块再调用接口层CANIf_Transmit函数进行数据发送，CAN If接收到来自PDUR模块的数据并将数据发送给CAN驱动模块，CAN驱动层接收到来自CAN If的数据并将数据发送给CAN总线。

在此过程中，服务层诊断功能模块、ECU抽象层诊断功能模块、MCU抽象层诊断功能模块一直对OS模块、COM模块、PDUR模块、CAN If模块、CAN驱动模块的功能进行失效诊断，第一失效处理模块、第二失效处理模块、第三失效处理模块一直对OS模块、COM模块、PDUR模块、CAN If模块、CAN驱动模块的功能进行失效监控；当OS模块、COM模块、PDUR模块、CAN If模块、CAN驱动模块失效无法恢复或失效处理模块失效数目大于2时，开启紧急操作模块。

Rte_WriteCanTxData：RTE接口函数；

OS_Task_SetOutputData：OS调用RTE接口功能；

COM_SendSignal：COM接口函数；

OS_Task_Timing_CanSend：OS调用COM功能；

COM_MainFunction：COM数据接收功能；

COM_Transmit：COM数据发送功能；

PDUR_ComTransmit：PDUR数据传递功能；

CANIf_Transmit：CANIf数据传递功能；

CAN_Write：CAN数据发送功能；

Service_Fun_Diagnosis：服务层诊断功能；

Ecual_Fun_Diagnosis：ECU抽象层诊断功能；

Mcual_Fun_Diagnosis：MCU抽象层诊断功能；

Failure_Handle_M1：失效处理模块1；

Failure_Handle_M2：失效处理模块2；

Failure_Handle_M3：失效处理模块3；

Emergency_operation：紧急操作功能；

在本实施例中，假定COM数据发送失效，即COM模块中的COM_Transmit函数调用PDUR模块的PDUR_ComTransmit进行数据发送失效，COM模块本应该调用PDUR模块的PDUR_ComTransmit，实际却意外地调用另外一个功能。这个失效有可能是由于外界的干扰导致，如电磁干扰。

下面为具体过程：

步骤1)服务层诊断功能模块诊断到COM模块数据发送失效，数据将不会向下一层发送，服务层诊断功能模块将失效信号发送给第一失效处理模块；

步骤2)第一失效处理模块同时监测到COM模块数据发送失效，数据将不会向下一层发送，第一失效处理模块将监测到的失效数据与服务层诊断功能模块失效数据进行对比，确认COM模块失效；

步骤3)第一失效处理模块发送“COM模块重新调用数据发送”命令给COM模块；

步骤4)COM模块接收到第一失效处理模块发送过来的命令，执行COM_Transmit函数重新调用PDUR模块的PDUR_ComTransmit进行数据发送失效；

步骤5)服务层诊断功能模块和第一失效处理模块未诊断或监测到COM模块失效，数据正常往下接收发送；

步骤6)第一失效处理模块再次监测到COM模块数据发送失效，第一失效处理模块发送报警提示信号，并发送紧急操作指令给紧急操作模块；

步骤7)紧急操作模块接收到失效处理模块1的紧急操作指令，给车辆降功率降速，报警提示驾驶员接管车辆靠边停车。

综上，本发明基于功能安全的设计要求，考虑到软件架构通讯的安全监控，通过对BSW(服务层/ECU抽象层/MCU抽象层)各个层级的监控实现了智能驾驶通信系统的功能安全ASIL D等级的能力，提高了智能驾驶通信系统的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：包括功能安全监控模块，所述功能安全监控模块包括服务层诊断功能模块、ECU抽象层诊断功能模块、MCU抽象层诊断功能模块、第一失效处理模块、第二失效处理模块、第三失效处理模块、以及紧急操作模块；

所述服务层诊断功能模块用于对服务层各模块提供诊断,服务层包括OS模块、COM模块和PDUR模块；

所述ECU抽象层诊断功能模块用于对接口层各模块提供诊断；

所述MCU抽象层诊断功能模块用于对驱动层各模块提供诊断；

所述第一失效处理模块用于对服务层各模块、服务层诊断功能模块和第三失效处理模块进行失效监控；

所述第二失效处理模块用于对接口层各模块、ECU抽象层诊断功能模块和第一失效处理模块进行失效监控；

所述第三失效处理模块用于对驱动层各模块、MCU抽象层诊断功能模块、和第二失效处理模块进行失效监控；

所述紧急操作模块用于接收第一失效处理模块、第二失效处理模块、第三失效处理模块的信息。

2.根据权利要求1所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：所述功能安全监控模块用于监控通信链路中各个相关模块的功能是否失效，若失效，采取相应安全机制以达到安全状态，并提示报警。

3.根据权利要求1所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：所述功能安全监控模块的诊断功能包括检验信号传递有效性，包括诊断出信号的损坏、延迟、丢失、重复、顺序错误、信息插入和伪消息。

4.根据权利要求1所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：所述第一失效处理模块对服务层各模块、服务层诊断功能模块和第三失效处理模块进行失效监控，当服务层诊断功能模块输入信号与第一失效处理模块不一致，优先信任第一失效处理模块；

服务层包括OS模块、COM模块和PDUR模块。

5.根据权利要求1所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：所述第二失效处理模块对接口层各模块、ECU抽象层诊断功能模块和第一失效处理模块进行失效监控，当ECU抽象层诊断功能模块输入信号与第二失效处理模块不一致，优先信任第二失效处理模块。

6.根据权利要求1所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：所述第三失效处理模块对驱动层各模块、MCU抽象层诊断功能模块和第二失效处理模块进行失效监控，当MCU抽象层诊断功能模块输入信号与第三失效处理模块不一致，优先信任第三失效处理模块。

7.根据权利要求1所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：当第一失效处理模块失效，由第二失效处理模块代替实现第一失效处理模块功能；当第二失效处理模块失效，由第三失效处理模块代替实现第二失效处理模块功能；当第三失效处理模块失效，由第一失效处理模块代替实现第三失效处理模块功能。

8.根据权利要求1所述的一种用于智能驾驶汽车软件架构通信链的功能安全监控装置，其特征在于：当紧急操作模块接收到两个及以上失效处理模块错误或者服务层、接口层、驱动层其中之一失效无法恢复，通过紧急操作模块给车辆降功率降速，并报警提示驾驶员接管车辆靠边停车；

服务层包括OS模块、COM模块和PDUR模块。

9.一种用于智能驾驶汽车软件架构通信链的功能安全监控方法，其特征在于：包括如下步骤：

(1)服务层接收应用层软件数据信号，若服务层失效，则服务层重新启动，若仍失效，则终止任务，进入紧急操作模块，并提示服务层失效报警；

服务层包括OS模块、COM模块和PDUR模块；

(2)服务层诊断功能模块对服务层进行失效诊断，若服务层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警；

(3)第一失效处理模块对服务层、服务层诊断功能模块和第三失效处理模块进行监控，若第一失效处理模块失效，则停止第一失效处理模块，由第二失效处理模块接管监控服务层和服务层诊断功能模块，同时发送失效信息给紧急操作模块；

(4)接口层接收服务层的数据并将数据发送给驱动层，若接口层失效，则重新接收发送数据；若仍失效，则终止任务，进入紧急操作模块，并提示接口层失效报警；

(5)ECU抽象层诊断功能模块对接口层进行失效诊断，若ECU抽象层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警；

(6)第二失效处理模块对接口层、ECU抽象层诊断功能模块和第一失效处理模块进行监控，若第二失效处理模块失效，则停止第二失效处理模块，由第三失效处理模块接管监控接口层和ECU抽象层诊断功能模块，同时发送失效信息给紧急操作模块；

(7)驱动层接收来自接口层的数据并将数据发送给硬件层，若驱动层失效，则重新接收发送数据；若仍失效，则终止任务，进入紧急操作模块，并提示驱动层失效报警；

(8)MCU抽象层诊断功能模块对驱动层进行失效诊断，若MCU抽象层诊断功能模块失效，则重新启动并初始化，若仍失效，则提示诊断模块失效报警；

(9)第三失效处理模块对驱动层、MCU抽象层诊断功能模块和第二失效处理模块进行监控，若第三失效处理模块失效，则停止第三失效处理模块，由第一失效处理模块接管监控驱动层和MCU抽象层诊断功能模块，同时发送失效信息给紧急操作模块；

(10)最终将正确的应用层软件数据信息发送至硬件层。

Images