CN115426264A - 无线ecu配置更新 - Google Patents

Abstract

本申请公开了用于无线更新发动机控制单元(ECU)配置的系统、装置和方法。所述方法包括：确定在装备的发动机控制单元上要改变的参数、生成包括要改变的参数的写入包，以及通过云连接的应用系统将所述写入包无线传送到所述装备。

Description

无线ECU配置更新

本申请是申请日为2018年1月9日、申请号为“201810018984.4”、名称为“无线ECU配置更新”的专利的分案申请。

技术领域

本公开涉及用于通过云连接的应用系统来无线(over the air)更新发动机控制单元(ECU)的配置的系统和方法。

背景技术

发动机控制单元(ECU)的配置不时更新，以提高燃料效率、调整功率、符合法规等。传统上，载有ECU的运输工具被实体带到服务中心，服务人员将ECU连接到经授权的电子服务工具以更新配置。或者，例如在固定装备的情况下，服务人员前往装备处连接电子服务工具以更新配置。因为直到运输工具在具有该工具的授权人员的手中才进行更新，运输工具停机时间增加。而且，如果运输工具在使用中，没有授权的工具和/或知识的驾驶员或操作者不能对于任务进行必要的改变。需要一种更新ECU配置的更有效和更方便的方式。

发明内容

一个实施例涉及一种装置，该装置包括被构造为通过云连接的应用系统传送和接收数据的通信接口，以及通信地联接到所述通信接口的控制器。所述控制器被构造为确定在装备的发动机控制单元上要改变的参数、生成包括所述要改变的参数的写入包，并且使所述通信接口通过所述云连接的应用系统将所述写入包传送到所述装备。

另一个实施例涉及一种由计算系统执行的方法。所述方法包括：确定在装备的发动机控制单元上要改变的参数、生成包括所述要改变的参数的写入包，并且通过云连接的应用系统将所述写入包无线传送到所述装备。

又一个实施例涉及一种发动机控制单元，该发动机控制单元包括：第一存储器、第二存储器，以及通信地连接到所述第一存储器和所述第二存储器的控制器。所述控制器被构造为将写入包缓存在第二存储器中。所述写入包通过云连接的应用系统被接收，并且包括在发动机控制单元上要改变的参数。所述控制器还被构造为确定用于连接到所述发动机控制单元的发动机的密钥开关被关闭、响应于确定所述密钥开关被关闭而将所述要改变的参数提交到所述第一存储器，以及响应于所述密钥开关被打开而使用在所述第一存储器中提交的参数来运行所述发动机。

又一个实施例涉及一种方法，该方法包括：将写入包缓存在第二存储器中。所述写入包通过云连接的应用系统被接收，并且包括在发动机控制单元上要改变的参数的列表。所述方法还包括：确定连接到所述发动机控制单元的发动机的密钥开关被关闭、响应于确定所述密钥开关被关闭而将所述要改变的参数提交到所述第一存储器，以及响应于所述密钥开关被打开而使用在所述第一存储器中提交的参数来运行连接到所述发动机控制单元的所述发动机。

结合附图，通过以下详细描述，这些和其他特征及其组织和操作方式将变得显而易见。

附图说明

图1是根据一个示例实施例的用于无线更新发动机控制单元(ECU)的配置的计算环境的框图。

图2是根据一个示例实施例的用于无线更新ECU配置的服务器侧的控制器的框图。

图3是根据一个示例实施例的用于无线更新ECU配置的在服务器侧执行的方法的流程图。

图4是根据一个示例实施例的要对其配置进行更新的ECU的框图。

图5是根据一个示例实施例的用于更新图4的ECU配置的方法的流程图。

具体实施方式

为了促进对本公开的原理的理解，现在将参考在附图中示出的实施例，并且将使用特定的语言来描述这些实施例。然而，应当理解的是，由此不意欲对本公开的范围进行限制，在本文中考虑到了本公开涉及的本领域技术人员通常会想到的所示实施例中的任何改变和进一步修改，以及本公开的原理的任何进一步应用。

总体参考附图，本文公开的各种实施例涉及用于无线更新发动机控制单元(ECU)的配置的系统和方法。如本文所使用的，“无线”是指将更新后的配置无线传送给ECU。具体地，机群管理者或任何其他授权用户登录进入由制造商或第三方操作的门户网站。授权用户查看运输工具或静止装备上的ECU的当前配置，并改变ECU的(多个)可调整参数的值，以提高燃料效率、调整功率、符合法规或适应来自门户网站的运输工具任务。运行该门户网站的服务器检查这些改变是否适用于运输工具。不正确的和/或超出范围的参数值是不被接受的。然后，服务器生成一个写入包，其中包括要为ECU改变的参数，并通过远程信息处理云以安全的方式将写入包发送到载有ECU的运输工具。机载远程信息处理设备(例如，远程信息处理盒)接收写入包，其在运输工具运行时不中断地被缓存到ECU的RAM存储器中。当运输工具的密钥开关被关闭时，ECU验证存储在RAM缓存器中的写入包，并且将要改变的参数提交到ECU的主闪存。当密钥开关被再次打开时，基于改变的参数值操作该运输工具。本文公开的系统和方法可以使用行业标准通信模式通过经批准且兼容的远程信息处理环境来改变ECU参数。无线更新ECU配置可以提高过程的效率和便利性。

现在参考图1，根据一个示例实施例示出了用于推荐运输工具的(多个)服务站点的计算环境100的框图。计算环境100包括经由网络104相互通信的装备102、远程信息处理云150和服务器160。

装备102可以是固定装备(例如发电机)或运输工具。运输工具可以是道路车辆(例如卡车、公共汽车)、越野车辆(例如四轮车和沙滩车、拖拉机、割草机、雪地摩托车)、海洋船舶(例如船舶、潜艇、船只、游艇、游轮)、建筑设备(例如混凝土卡车、手动工具、装载机、吊臂吊车)、采矿设备(例如移动式采矿破碎机、推土机、装载机)、石油和天然气设备(例如钻井装置、推土机、装载机、钻机)，或任何其他类型的运输工具。装备102通常可以包括燃料箱、发动机、动力系统和轮子(在本图中未示出)。装备102显示为包括发动机控制单元(ECU)110、远程信息处理设备120、传感器130、电池135、密钥开关140和操作界面145。装备102的各部件可以通过任何数量的有线或无线连接相互通信。例如，有线连接可以包括串行电缆、光纤电缆、CAT5电缆，或任何其他形式的有线连接。相比之下，无线连接可以包括蓝牙、Wi-Fi、蜂窝、无线电等。在一个实施例中，装备102的各部件连接到诸如控制局域网(CAN)或制造商专有网络的运输工具网络。

ECU 110包括处理器112和存储器114。存储器114存储当由处理器112执行时控制该装备102的发动机的运行的各种指令(和参数)。处理器112可以被实施为通用处理器、专用集成电路(ASIC)、一个或多个现场可编程门阵列(FPGA)、数字信号处理器(DSP)、一组处理组件，或其他合适的电子处理组件。存储器114可以包括一个或多个有形的、非瞬态易失性存储器或非易失性存储器，例如NVRAM、RAM、ROM、闪存、硬盘存储器等)。此外，存储器114可以包括数据库组件、目标代码组件、脚本组件，或任何其他类型的信息结构。

在运行中，ECU 110从位于整个装备102中的传感器130接收数据、检索存储在存储器114中的发动机的性能参数和/或性能限制，并基于传感器数据和参数配置输出发动机各个部件的控制信号。传感器130监测发动机的运行状态和状况，例如发动机转速、发动机温度、发动机负荷、再处理废气成分等。存储在存储器114中的ECU参数可以包括发动机制动参数、减速保护参数、怠速控制参数、动力输出参数等。ECU 110可以基于传感器数据和ECU参数设置来控制，例如，每个发动机循环发送到(多个)发动机气缸的空气和/或燃料量、点火时机、可变气门时机，以及其他发动机部件的运行。用户可能希望不时地改变ECU参数，以提高燃料效率、调整功率、符合法规或适应装备102的任务。

安装在装备102上的远程信息处理设备120被构造为从远程信息处理云150接收ECU 110的更新参数，并且经由网络104将机载获得的与装备102有关的信息传送到远程信息处理云150。在一些实施例中，远程信息处理设备120是嵌入在装备102中的OEM设备。在其他实施例中，远程信息处理设备120是售后独立设备，例如通过机载诊断系统(OBD)的诊断端口(未在本图中示出)联接到装备102的远程信息处理盒。远程信息处理设备120可以访问ECU 110以读取和写入数据。在一些实施例中，远程信息处理设备120可以集成某些电信功能。例如，装备102内的导航系统可以被包括在远程信息处理设备120中。

远程信息处理设备120包括GPS设备122和电信设备124。GPS设备122跟踪装备102的位置(例如，纬度和经度数据、高程数据等)。电信设备124通过网络104与远程信息处理云150通信。尽管未在图1中示出，但是电信设备124可以包括天线、射频(RF)收发器和用户标识模块(SIM)。电信设备124可以遵循任何类型的移动通信协议，例如但不限于蜂窝、卫星、无线电、Wi-Fi、WiMax、蓝牙、Zigbee、GSM、GPRS、LTE等。

在密钥开关140被关闭之后，电池135可以维持ECU 110的电力，使得处理器112可以起作用，并且存储在存储器114中的数据不会丢失。当运输工具密钥开关140被关闭时，ECU 110关闭发动机。存储器114(例如，RAM、闪存)的非易失性存储器组件会需要一些电力来维持状态，这可以包括来自电池135的少量电力。电池135可以包括任何类型的可再充电电池，并且具有任何合适的尺寸。也就是说，电池135可以被实施为任何类型的电能存储和提供设备，诸如一个或多个电容器(例如，超级电容器)、锂离子电池、镍氢电池、铅酸电池等。

操作界面145使得装备102的操作者能够读取装备102的状态和状况并且确认ECU110的更新参数。例如，操作界面145可以包括但不限于，交互式显示器(例如，触摸屏等)、仪表盘、控制面板等。例如，当发动机发生故障时，仪表盘上的检查发动机灯可以被打开。当轮胎气压在正常运行范围之外时，轮胎气压灯可以被打开。当更新的发动机参数准备好被部署时，操作界面145可以显示请求装备102的操作者批准使用更新参数的通知。在操作者批准之后，远程信息处理设备120将把更新参数发送到ECU 110。可选地或附加地，操作界面145可以显示告知装备102的操作者参数已经在ECU 110中被更新的通知。

远程信息处理云150可以是经由网络104与机载远程信息处理设备120进行通信的云连接的应用系统。远程信息处理云150可以包括由远程信息处理服务提供商和/或第三方操作的一个或多个服务器、计算机、处理系统等。在一些实施例中，远程信息处理云150中继远程信息处理设备120和服务器160之间的通信。例如，远程信息处理云150将从远程信息处理设备120上机载获得的运输工具相关信息中继到服务器160，并从服务器160将ECU 110的更新配置中继到远程信息处理设备120。

服务器160可以经由网络104与远程信息处理云150通信，接收运输工具相关信息并传送ECU 110的更新参数。在一些实施例中，服务器160还可以分析运输工具相关信息和/或确定ECU 110的更新配置。在一些实施例中，服务器160被实施为由部件制造商、运输工具制造商、OEM或多方托管的中央计算系统。在一些实施例中，远程信息处理服务器160被实施为包括多个计算系统的云网络，其可以共享和传输运输工具信息和数据存储，并且协调处理接收到的数据。

服务器160包括处理器162、存储器164、网络接口166和数据库168。存储器164存储当由处理器162执行时控制该服务器160的运行的各种指令。网络接口166允许服务器160经由网络104向外部设备发送数据和从外部设备接收数据。网络接口166可以是使用无线通信协议(例如，802.11a/b/g/n、

CDMA、GSM、LTE、WiMax等)或有线通信协议(例如，以太网、USB、

等)进行通信的无线网络接口。数据库168被构造为接收和存储、保持并且另外用作运输工具信息、机群信息和其他信息(例如，保修信息)的存储库。在一些实施例中，数据库168可以是相对于远程信息处理服务器160的单独组件。例如，由于数据库168存储的潜在高容量或高数量的数据，数据库168可以由存储在两个或更多个远程地理位置上的两个或更多个基于服务器的存储组件形成或构建。在其他实施例中，数据库168还可以包括一个或多个分级和/或分类功能(例如，逻辑处理等)。分级功能可以根据各种参数对每条信息进行排序、归类或者以其他方式进行分级。

网络104可以包括专用网络、公共网络或其组合。在一些实施例中，网络104包括因特网。网络104可以是无线和有线网络的组合。无线网络可以是任何类型的无线网络，例如，使用诸如全球移动通信系统(GSM)、码分多址(CDMA)、通用分组无线业务(GPRS)、长期演进(LTE)、高速分组数据(HRPD)、Wi-Fi、个人通信服务(PCS)等协议的卫星或蜂窝网络。有线网络可以是任何类型的有线网络，例如，以太网、本地通话、光纤分布式数据接口(FDDI)等。

现在参考图2，根据一个示例实施例示出了用于无线更新ECU配置的服务器侧的控制器200的示意图。控制器200可以在服务器160上实施。控制器200包括处理器201、存储器202以及各种电路203至205。处理器201可以被实施为任何类型的处理器，包括专用集成电路(ASIC)、一个或多个现场可编程门阵列(FPGA)、数字信号处理器(DSP)、一组处理组件或其他合适的电子处理组件。存储器202可以包括一个或多个有形的、非瞬态易失性存储器或非易失性存储器，例如NVRAM、RAM、ROM、闪存、硬盘存储器等)。而且，存储器202可以包括数据库组件、目标代码组件、脚本组件，或任何其他类型的信息结构。

控制器200包括用于完成本文描述的各活动的各种电路203至205。在一个实施例中，控制器200的各电路可以使用处理器201和/或存储器202来实现、执行或以其他方式实施本文描述的关于每个特定电路的各种动作。在该实施例中，处理器201和/或存储器202可以被认为是每个电路的共享组件。在另一个实施例中，电路(或至少一个电路)可以包括它们自己的具有处理器和存储器设备的专用处理电路。在后一个实施例中，电路可以被构造为集成电路或者以其他方式集成的处理组件。在又一个实施例中，电路的活动和功能可以在存储器202中实施，或者在多个电路中组合实施，或者作为单个电路实施。就这一点而言，尽管在图2中示出了具有特定功能的各种电路，但是应当理解的是，控制器200可以包括用于完成本文描述的功能和活动的任何数量的电路。例如，多个电路的活动可以组合为单个电路、具有附加功能的(多个)附加电路等。进一步地，应当理解，控制器200还可以控制超过本公开范围的其他活动。

本文描述的控制器200的某些操作包括解释和/或确定一个或多个参数的操作。本文使用的解释或确定包括通过本领域已知的任何方法接收值，其包括至少接收来自数据链路或网络通信的值、接收指示所述值的电子信号(例如，电压、频率、电流或PWM信号)、接收指示所述值的计算机生成参数、从非瞬态计算机可读存储介质上的存储器位置读取该值、通过本领域已知的任何方式接收该值作为运行时间参数，和/或通过接收可以对解释参数进行计算的值，和/或通过参考被解释为参数值的默认值。

控制器200包括ECU参数配置电路203、写入包生成电路204，和安全通信电路205。通过电路203-205，控制器200被构造为确定在装备102载有的ECU 110上要改变的参数、生成包括要改变的参数的写入包，并且使网络接口166通过远程信息处理云150将写入包传送到装备102。

ECU参数配置电路203被构造为确定在ECU 110上要改变的参数。如上所述，ECU110基于存储在存储器114中的配置参数来控制发动机各个部件的运行。参数可以定义为可调整的，其可以由用户改变；或者不可调整的，其不可由用户改变。可调整参数可以包括各种运输工具设置参数、发动机制动参数、发动机保护参数、减速保护参数、怠速控制参数、基于负载的速度控制参数、动力输出参数、道路调速器参数、巡航控制参数等。

运输工具设置参数包括，例如，指定运输工具的适当应用类型的运输工具设置应用类型参数。该参数可以是“在高速公路上”或“上/下高速公路”。如果运输工具主要用于长途/高速公路的情况，则可以作出在高速公路上的选择。该参数帮助ECU了解运输工具是如何使用的。

发动机制动参数包括，例如，发动机制动最小运输工具速度参数，其只有当运输工具行驶速度快于可调整的最小速度时才允许激活发动机压缩制动器。因此，通过设置发动机制动最小运输工具速度参数，可以在噪声可能会成为问题的城市地区防止发动机制动运行。该参数可以在，例如，0英里/小时(MPH)到35MPH的范围内选择。

发动机保护参数包括，例如，可以被“启用”或“禁用”的发动机保护关闭参数。如果启用该参数，则当某些运行限制(例如，发动机油温限制、发动机冷却剂液位)已经被超过并且继续运行会导致发动机损坏时，ECU可以启动发动机关闭。在一些实施例中，如果期望自动发动机保护关闭的安全性，则启用该参数。

减速保护参数包括，例如，减速保护重载运输工具速度参数和减速保护轻载运输工具速度参数。重载运输工具速度指定变速器为从最高档下降一档并在重载条件下运行时的最大运输工具速度。轻载运输工具速度指定变速器为从最高档下降一档并在轻载条件下运行时的最大运输工具速度。在一些实施例中，用户将上述参数设置在例如，30MPH和120MPH之间的范围内。在一些实施例中，用户可以选择让ECU计算上述参数。

怠速控制参数包括，例如，怠速发动机转速参数、怠速关闭参数和怠速关闭定时器。怠速发动机转速参数指定所需的怠速，并且可以在例如，500RPM到800RPM的范围内进行选择。怠速关闭参数可以被“启用”或“禁用”。如果启用该参数，则发动机在怠速运转指定时间量后会自动关闭。怠速关闭定时器指定在发生发动机关闭之前允许的最大怠速时间。

基于负载的速度控制参数包括，例如，高发动机转速断点以及低发动机转速断点，该高发动机转速断点指定当在较低的变速器档位中和高功率需求下运行时在正常运行条件期间的最大发动机转速，该低发动机转速断点指定当在较低的变速器档位中和低功率需求下运行时在正常运行条件期间的最大发动机转速。

动力输出参数包括，例如，可以被“启用”或“禁用”的动力输出(PTO)参数。如果启用该参数，则准确的动力输出速度控制将被执行。在其他实施例中，PTO最大运输工具速度参数指定在其之上PTO不能被激活的运输工具速度。如果PTO处于激活状态且运输工具速度超过此值，PTO将被自动停用。该参数可以在，例如，0MPH至15MPH的范围内选择。在使用PTO时，PTO最大发动机转速用于限制最大发动机转速。在使用PTO时，PTO最小发动机转速用于限制发动机转速。PTO最小发动机转速必须被设置为低于PTO最大发动机转速值的值。

道路调速器参数包括，例如全局最大运输工具速度，其指定运输工具可以达到的最大速度。在其他实施例中，加速器最大运输工具速度指定当在水平道路上使用脚踏加速器时运输工具可以运行的最大速度。该参数可以在，例如，30MPH至120MPH的范围内选择。加速器下偏差(lower droop)指定运输工具在下坡情况下能够行驶的设置运输工具速度以上的速度增加。该参数可以在，例如，0MPH至3MPH的范围内选择。设置为3MPH在限制加油之前允许运输工具超过设置运输工具速度3MPH。加速器上偏差(upper droop)指定在上坡情况下设置运输工具速度的减少。该参数可以在，例如，0MPH至3MPH的范围内选择。将该上偏差设置为3MPH可以提供最佳的燃料经济效益。

巡航控制参数包括，例如巡航控制启用参数，如果选择则启用巡航控制特征。在其他实施例中，巡航控制最大运输工具速度参数指定当巡航控制特征有效时的最大运输工具速度。该参数可以在，例如，30MPH至100MPH的范围内选择。巡航控制自动恢复参数在被启用时允许巡航控制在运输工具的操作者进行离合器换挡后自动恢复所设置的速度。

应当理解，本文讨论的参数是为了说明而不是限制。可以有更多、更少，或不同的用于配置ECU的可调整参数。

在一些实施例中，参数由授权用户改变，例如机群管理者。授权用户登录到由服务器160操作的或以其他方式连接到服务器160的门户网站，并且查看ECU的当前配置。当用户决定需要进行一个或多个改变以提高燃油效率、调整功率、符合法规或适应运输工具的任务时，用户可以从门户网站更新ECU的可调整参数，ECU参数配置电路203可以接收上述参数。例如，当运输工具曾经是但不再参与长途/高速公路任务时，用户可以将运输工具设置应用类型参数从“在高速公路上”切换到“上/下高速公路”。在一些实施例中，ECU参数配置电路203可以基于运输工具的运行条件来确定改变一个或多个参数。例如，控制器200可以运行分析过程，该分析过程可以确定对于燃料效率等的最优参数设置，并且命令进行参数改变。可选地或附加地，控制器200可以将当前参数设置与一组预定的参数值进行比较，并且命令进行参数改变。

在一些实施例中，ECU参数配置电路203还被构造为检查要改变的参数是否可以适用于运输工具。这确保不正确的和/或超出范围的参数值将不被写入ECU 110以导致意外的行为。例如，如上所述，发动机制动最小运输工具速度参数可以在0MPH至35MPH的范围内选择。如果用户将参数设置为45MPH，则ECU参数配置电路203将不接受该配置，并告知用户(例如，在门户网站上显示通知)所设置的发动机制动最小运输工具速度超出范围。在另一个示例中，怠速关闭定时器只有当怠速关闭参数启用时才被执行。如果用户在怠速关闭参数被禁用的情况下设置怠速关闭定时器，则ECU参数配置电路203将不接受该怠速关闭定时器。在又一个示例中，PTO最小发动机转速应当被设置为低于PTO最大发动机转速值的值。ECU参数配置电路203将不接受PTO最小发动机转速被用户设置为高于PTO最大发动机转速的配置。

写入包生成电路204被构造为一旦ECU参数配置电路203接受改变，就生成包括要更新的参数的“写入包”。在一些实施例中，写入包包括要改变的参数的计数和要改变的参数的列表。例如，授权用户更新全局最大运输工具速度参数、加速器最大运输工具速度参数、加速器下偏差参数和加速器上偏差参数。写入包包括具有更新值的四个参数的列表，以及为“四”的计数。当接收到该写入包时，ECU 110将检查写入包中的计数是否与列表中的参数的数目匹配。另外，写入包的内容可以被加密。因此，可以防止数据的损坏、篡改或错误处理。在一些实施例中，写入包包括用于访问ECU 110的认证密码。例如，机群管理者或OEM可能已经设置了密码，以锁定ECU 110的参数而不被未经授权的人修改。当接收到写入包时，ECU 110将检查写入包中的认证密码是否与存储在存储器114中的预设密码匹配。最后，整个写入包可以被数字签名。这些措施可以防止未经授权用户的改变，以及在网络104中或在机载网络中由任何非法设备实施的破坏、篡改或中继攻击。

安全通信电路205被构造为使网络接口166通过远程信息处理云150将写入包传送到装备102。传送可以使用与软件开发工具包(SDK)兼容的无线传输方法。SDK包括应用编程接口(例如，REST API)和数据链路协议，以实现服务器160、远程信息处理云150和远程信息处理设备120之间的通信信道。SDK可以被提供给愿意实施上述框架以实现本文所描述的功能的远程信息处理提供商。在获得SDK之前，远程信息处理提供商可以被要求签署数据共享协议文件。在一些实施例中，写入包通过安全通信信道传送。例如，机载远程信息处理设备120将从ECU 110获得的种子发送到服务器160(例如，使用远程信息处理云150上的RESTAPI)。响应于接收该种子，服务器160通过远程信息处理云150将唯一访问密钥发送到远程信息处理设备120。远程信息处理设备120然后使用该唯一访问密钥来建立安全加密会话。有利的是，安全通信信道通过将数据安全传输到ECU 110来减少安全漏洞。用于请求种子并建立安全通信信道的一些示例实施例在2016年9月26日提交的、名称为“用于安全远程信息处理通信的系统、方法和装置(system,method,and apparatus for secure telematicscommunication)”、申请号为PCT/US16/53755的PCT申请中被描述，其全部内容通过引用并入本文。

现在参考图3，根据一个示例实施例示出了用于在服务器侧无线更新ECU配置的方法300的流程图。方法300可以由服务器160执行。

在步骤302中，确定装备(例如运输工具或固定装备)的ECU上要改变的参数。参数可以包括各种可调整参数，例如运输工具设置参数、发动机制动参数、发动机保护参数、减速保护参数、怠速控制参数、基于负载的速度控制参数、动力输出参数、道路调速器参数、巡航控制参数等。在一些实施例中，参数由授权用户(例如，机群管理者)从用户界面(例如，门户网站)改变。在一些实施例中，基于运输工具的运行状况自动确定要改变的参数。例如，ECU可以运行分析过程，该分析过程可以确定对于燃料效率等的最佳参数设置，并且命令进行参数改变。可选地或附加地，ECU可以将当前参数设置与一组预定的参数值进行比较，并且命令进行参数改变。在一些实施例中，检查要改变的参数是否可以适用于运输工具。这确保不正确的和/或超出范围的参数值将不被写入ECU以导致意外的行为。

在步骤304中，生成包括要改变的参数的写入包。在一些实施例中，写入包包括要改变的参数的计数和要改变的参数的列表。当接收到写入包时，ECU可以检查写入包中的计数是否与列表中参数的数目匹配。在一些实施例中，写入包包括用于访问运输工具的发动机控制单元的认证密码。当接收到写入包时，ECU可以检查写入包中的认证密码是否与存储在存储器中的预设密码匹配。写入包可以被数字签名。这些措施可以防止未经授权用户的改变，以及在网络104中或在机载网络中由任何非法设备实施的破坏、篡改或中继攻击。

在步骤306中，通过云连接的应用系统(例如，远程信息处理云150)将写入包传送到运输工具。传送可以使用与SDK兼容的无线传输方法。SDK包括应用编程接口(例如，RESTAPI)和数据链路协议，以实现服务器、远程信息处理云和运输工具中的机载远程信息处理设备之间的通信信道。在一些实施例中，写入包通过安全通信信道传送。例如，机载远程信息处理设备将从ECU获得的种子(seed)发送到服务器(例如，使用远程信息处理云上的RESTAPI)。响应于接收该种子，服务器通过该远程信息处理云将唯一访问密钥发送到该远程信息处理设备。该远程信息处理设备然后使用该唯一访问密钥来建立安全加密会话。

参考图4，根据一个示例实施例的配置要更新的ECU 400的框图。ECU 400可以对应于图1中的ECU 110。ECU 400包括处理器401、包括第一存储器403和第二存储器404的存储器402、写入包缓存电路405、密钥开关状态确定电路406，以及参数提交电路407。通过各电路405-407，ECU 400被构造为将通过云连接的应用系统接收到的写入包(包括要更新的ECU参数)缓存在第二存储器404中、确定连接到ECU 400的发动机的密钥开关被关闭、响应于确定密钥开关被关闭而将参数提交到第一存储器，并且响应于密钥开关被再次打开而使用在第一存储器中提交的参数来运行发动机。在一些实施例中，第一存储器403和第二存储器404被实施为单独的物理芯片。在其他实施例中，第一存储器403和第二存储器404在同一物理存储器芯片的分离区域上实施。

如上所述，ECU 400的存储器402可以包括一个或多个有形的、非瞬态易失性存储器或非易失性存储器，例如NVRAM、RAM、ROM、闪存、硬盘存储器等)。在一些实施例中，第一存储器403采用闪存的形式，而第二存储器404采用RAM的形式。如下所述，接收到的用于更新ECU参数的写入包在发动机处于活动状态(例如，发动机开启时)期间被缓存在第二存储器404中，并且当发动机关闭时被提交到第一存储器403中。有利的是，由于当前ECU参数、传感器数据、程序代码，和/或应用程序经由第一存储器403(例如，主存储器)继续执行，运输工具的运行不会被写入包中断。

写入包缓存电路405被构造为将通过远程信息处理云150接收到的写入包缓存到第二存储器404中。写入包可以通过安全通信信道接收。在一些实施例中，写入包包括要改变的参数的计数和要改变的参数的列表。写入包缓存电路405将该计数与列表中的参数的数目进行比较。如果计数和数目不匹配，写入包缓存电路405则丢弃该写入包。因此，可以防止数据的损坏、篡改或错误处理。在一些实施例中，写入包装包括用于访问ECU 400的认证密码。例如，机群管理者或OEM可以已设置密码以锁定ECU 400的参数而不被未经授权的人修改。该密码可以存储在存储器402中。写入包缓存电路405将写入包中的认证密码与存储在存储器402中的密码进行比较。如果这两个密码不匹配，写入包缓存电路405则丢弃该写入包。在一些实施例中，写入包缓存电路405被构造为响应于在第二存储器404中缓存写入包而设置标志，以指示更新的参数已准备好提交。因为提交发生在发动机被关闭之后，这可能在写入包被缓存在第二存储器404中之后的几小时，因此该标志是有用的。

密钥开关状态确定电路406被构造为确定密钥开关140被关闭或打开。当钥匙开关130被关闭/打开时，指示密钥开关关闭事件的消息通过例如传感器被产生，并且被传送到密钥开关状态确定电路406，密钥开关状态确定电路406然后确定密钥开关被关闭/打开。

参数提交电路407被构造为响应于确定密钥开关140被关闭而将要改变的参数提交到第一存储器403。因为发动机关闭，ECU 400从电池135中获得少量电力来执行该提交并且维持非易失性存储器403和404的状态。在一些实施例中，参数提交电路407将写入包中的计数与列表中参数的数目进行比较，就像写入包缓存电路405已经完成的那样。如果计数和数目不匹配，参数提交电路407则不提交上述参数到第一存储器403中，而是丢弃该写入包。在一些实施例中，当写入包被缓存在第二存储器404中时设置标志，参数提交电路407响应于提交参数到第一存储器403中而清除该标志。

当发动机被打开时(例如，密钥开关140被打开)，ECU 400根据存储在第一存储器403中的更新参数来控制发动机的运行。在一些实施例中，当更新的发动机参数准备好被部署时，操作界面145可以显示请求装备102的操作者批准使用更新参数的通知。在操作者批准之后，ECU 400将执行更新参数。可选地或附加地，操作界面145可以显示告知操作者参数已经在ECU 400中被更新的通知。当密钥开关130被打开时，指示密钥开关打开事件的消息通过例如传感器被产生，并且被传送到ECU 400。ECU 400从第一存储器403中检索各种运行参数，并且在各种运行算法中使用更新参数。ECU 400从位于整个装备102中的传感器130接收数据，并且基于传感器数据和更新参数配置输出控制发动机各个部件的信号。例如，ECU400可以基于传感器数据和更新的ECU参数来控制，例如，每个发动机循环发送到(多个)发动机气缸的空气和/或燃料量、点火时机、可变气门时机，以及其他发动机部件的运行。

参考图5，根据一个示例实施例的用于更新ECU配置的方法500的流程图。该方法可以由ECU 110(和ECU 400)执行。

在步骤502中，将写入包缓存在ECU的第二存储器中。该第二存储器可以是RAM缓存器。通过远程信息处理云从服务器接收写入包。写入包可以通过安全通信信道接收。在一些实施例中，写入包包括要改变的参数的计数和要改变的参数的列表。如果计数和数目不匹配，则该写入包被丢弃。在一些实施例中，写入包包括用于访问ECU的认证密码。如果该认证密码与存储在ECU的存储器中的预设密码不匹配，则该写入包被丢弃。在一些实施例中，响应于在第二存储器中缓存该写入包而设置标志，以指示更新参数已准备好提交。

在步骤504中，确定与ECU连接的发动机的密钥开关被关闭。当密钥开关被关闭时，指示密钥开关关闭事件的消息通过例如传感器被产生，并且被传送到ECU，然后ECU确定密钥开关被关闭。

在步骤506中，响应于确定密钥开关被关闭而将要改变的参数提交到ECU的第一存储器。第一存储器可以是闪存。在一些实施例中，写入包中的计数再次与列表中的参数的数目进行比较。如果计数和数目不匹配，则参数不被提交到第一存储器中，而是被丢弃。在一些实施例中，当写入包被缓存在第二存储器404中时设置标志，响应于提交上述参数到第一存储器中，该标志被清除。

在步骤508中，响应于密钥开关被打开而使用存储在第一存储器中的更新参数来运行连接到ECU的发动机。当发动机被再次打开时，ECU根据存储在第一存储器中的更新参数来控制发动机的运行。在一些实施例中，当更新的发动机参数准备好被部署时，请求运输工具的操作者批准使用更新参数的通知被显示在运输工具的操作界面上。在操作者批准之后，ECU将执行更新参数。可选地或附加地，操作界面可以显示告知操作者参数已经在ECU中被更新的通知。

应当理解，本文中的权利要求元素不应根据35 U.S.C.§112(f)的法规被解释，除非使用短语“用于...的手段”来明确叙述该要素。上面描述的流程示意图和方法示意图通常被阐述为逻辑流程图。因此，所描述的顺序和标记的步骤指示代表性实施例。其他步骤、顺序和方法可以被设想为在功能、逻辑或效果上等同于示意图中所示方法的一个或多个步骤，或其部分。此外，整个说明书中对“一个实施例”、“实施例”、“示例实施例”，或类似语言的引用意味着结合该实施例描述的特定特征、结构或特性被包括在本发明的至少一个实施例中。因此，整个说明书中出现的短语“在一个实施例中”、“在实施例中”、“在示例实施例中”，以及类似的语言可以但不一定都指同一个实施例。

另外，所采用的格式和符号被提供来解释示意图的逻辑步骤，并且被理解为不限制由附图所示的方法的范围。尽管在示意图中可以使用各种箭头类型和线型，但是应理解为不限制相应方法的范围。实际上，可以使用一些箭头或其他连接符号来仅指示方法的逻辑流程。例如，箭头可以指示所描述的方法列举的各步骤之间的非特定持续时间的等待或监视周期。另外，特定方法发生的顺序可以严格遵守或不严格遵守所示相应步骤的顺序。还将注意到，框图和/或流程图中的每个框，以及框图和/或流程图中的各框的组合，可以由执行指定功能或动作的专用硬件系统，或专用硬件和程序代码的组合来实施。

本说明书中描述的许多功能单元已被标记为电路，以便更具体地强调它们的实施独立性。例如，电路可作为硬件电路实施，硬件电路包括定制的超大规模集成(VLSI)电路或门阵列、诸如逻辑芯片、晶体管的现成半导体，或其他分立组件。电路也可以在诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等的可编程硬件设备中实施。

如上所述，电路也可以在机器可读介质中实施，以供各种类型的处理器执行，例如图2的控制器和图4的ECU。例如，可执行代码的识别电路可以包括计算机指令的一个或多个物理块或逻辑块，其可以例如被组织为对象、程序或功能。然而，识别电路的可执行文件不需要在物理上位于一起，而是可包括存储在不同位置的不同指令，这些指令当在逻辑上连接在一起时构成该电路并且实现该电路的所述目的。实际上，计算机可读程序代码的电路可以是单个指令，或许多指令，并且甚至可以分布在几个不同的代码段、不同的程序之间，以及几个存储器设备上。类似地，运行数据可以在本文中在电路内被识别和示出，并且可以以任何合适的形式来体现并且被组织在任何合适类型的数据结构内。运行数据可以被收集为单个数据集，或者可以分布在包括不同存储设备的不同位置上，并且可以至少部分地仅作为系统或网络上的电子信号而存在。

计算机可读介质(本文也称为机器可读介质或机器可读内容)可以是存储计算机可读程序代码的有形计算机可读存储介质。计算机可读存储介质可以是，例如但不限于，电子的、磁的、光学的、电磁的、红外线的、全息的、微机械，或半导体系统、装置或设备，或前述的任何合适组合。如上所述，计算机可读存储介质的示例可以包括但不限于便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、便携式光盘只读存储器(CD-ROM)、数字多功能盘(DVD)、光存储设备、磁存储设备、全息存储介质、微机械存储设备或任何合适的前述的组合。在本文的上下文中，计算机可读存储介质可以是可以包含和/或存储计算机可读程序代码以供和/或连接指令执行系统、装置或设备使用的任何有形介质。

用于执行本发明的各个方面的操作的计算机可读程序代码可以以一种或多种编程语言的任意组合来编写，包括面向对象的编程语言，例如Java、Smalltalk、C++等，以及常规的程序编程语言，例如“C”编程语言或类似的编程语言。

程序代码还可以存储在可以引导计算机、其他可编程数据处理装置或其他设备以特定方式运行的计算机可读介质中，使得存储在计算机可读介质中的指令产生包括执行流程示意图和/或示意框图的一个或多个框中指定的功能/动作的指令的制品。

因此，本公开可以以其他具体形式来实施，而不脱离本发明的精神或基本特征。所描述的实施例在所有方面仅被认为是说明性的而非限制性的。因此，本公开的范围由所附权利要求而不是由前面的描述来指示。在权利要求的等同的含义和范围内的所有变化都将被包括在其范围内。

Claims (20)

1.一种装置，其特征在于，包括：

控制器，所述控制器包括存储器和处理器，所述控制器被构造为：

确定装备的电子控制单元的要改变的至少一个运行参数，其中所述至少一个运行参数控制所述装备的部件；

生成写入包，所述写入包包括要改变的所述至少一个运行参数的至少一个新值、所述至少一个运行参数的计数、以及包括要改变的所述至少一个运行参数的列表；和

将所述写入包传输到所述装备，所述写入包使所述电子控制单元：

在(i)验证所述至少一个运行参数的所述至少一个新值适用于所述装备和(ii)验证所述计数与所述列表中的运行参数的总数量匹配时改变所述至少一个运行参数；和

响应于确定所述至少一个运行参数的所述至少一个新值不适用于所述装备或所述计数与所述列表中的所述运行参数的总数量不匹配，丢弃所述写入包。

2.根据权利要求1所述的装置，其特征在于，所述写入包包括用于访问所述装备的所述电子控制单元的认证密码。

3.根据权利要求1所述的装置，其特征在于，所述控制器被构造为基于来自用户的输入接收要改变的所述至少一个运行参数。

4.根据权利要求1所述的装置，其特征在于，在验证所述至少一个运行参数的至少一个新值适用于所述装备时，所述控制器进一步被构造为：

验证第一运行参数的值是否在预定范围内；或者

验证是否启用第二运行参数。

5.根据权利要求1所述的装置，其特征在于，所述写入包通过安全信道传输。

6.根据权利要求1所述的装置，其特征在于，所述控制器进一步被构造为加密所述写入包。

7.根据权利要求1所述的装置，其特征在于，所述控制器进一步被构造为用数字签名来签署所述写入包。

8.一种方法，其特征在于，包括：

通过计算系统确定装备的电子控制单元的要改变的至少一个运行参数，其中所述至少一个运行参数控制所述装备的部件；

通过所述计算系统生成写入包，所述写入包包括要改变的所述至少一个运行参数的至少一个新值、所述至少一个运行参数的计数、以及包括要改变的所述至少一个运行参数的列表；和

通过所述计算系统将所述写入包传输到所述装备，所述写入包使所述电子控制单元：

在(i)验证所述至少一个运行参数的所述至少一个新值适用于所述装备和(ii)验证所述计数与所述列表中的运行参数的总数量匹配时改变所述至少一个运行参数；和

响应于确定所述至少一个运行参数的所述至少一个新值不适用于所述装备或所述计数与所述列表中运行参数的总数量不匹配，丢弃所述写入包。

9.根据权利要求8所述的方法，其特征在于，所述写入包还包括用于访问所述装备的所述电子控制单元的认证密码。

10.根据权利要求8所述的方法，其特征在于，还包括基于来自用户的输入接收要改变的所述至少一个运行参数。

11.根据权利要求8所述的方法，其特征在于，验证要改变的所述至少一个运行参数的至少一个新值适用于所述装备包括以下至少一项：

验证第一运行参数的值是否在预定范围内；或者

验证是否启用第二运行参数。

12.根据权利要求8所述的方法，其特征在于，传输所述写入包包括通过安全信道传输所述写入包。

13.根据权利要求8所述的方法，其特征在于，还包括加密所述写入包。

14.根据权利要求8所述的方法，其特征在于，还包括用数字签名来签署所述写入包。

15.一种装备的电子控制单元，其特征在于，所述电子控制单元包括：

第一存储器；

第二存储器；以及

处理器，所述处理器连接到所述第一存储器和所述第二存储器，所述处理器被构造为：

将从远程服务器接收到的写入包缓存在所述第二存储器中，所述写入包包括所述电子控制单元的要改变的至少一个运行参数的至少一个新值、所述至少一个运行参数的计数、以及包括要改变的所述至少一个运行参数的列表；其中所述至少一个运行参数控制所述装备的部件；

检查所述至少一个运行参数的所述至少一个新值是否适用于所述装备，以及所述计数是否与所述列表中的运行参数总数量匹配；

响应于确定(i)所述至少一个运行参数的所述至少一个新值适用于所述装备和(ii)所述计数与所述列表中的所述运行参数的总数量匹配：

确定所述装备关闭；

响应于确定所述装备关闭，将要改变的所述至少一个运行参数提交到所述第一存储器；和

响应于所述装备开启，使用被提交到所述第一存储器的所述至少一个运行参数来运行所述装备；和

响应于确定所述至少一个运行参数的所述至少一个新值不适用于所述装备或所述计数与所述列表中的所述运行参数的总数量不匹配，丢弃所述写入包。

16.根据权利要求15所述的电子控制单元，其特征在于，所述第一存储器存储第一认证密码，其中所述写入包进一步包括用于访问所述电子控制单元的第二认证密码，所述处理器进一步被构造为：

比较所述第一认证密码和所述第二认证密码；以及

如果所述第一认证密码和所述第二认证密码不匹配，则丢弃所述写入包。

17.根据权利要求15所述的电子控制单元，其特征在于，所述处理器进一步被构造为：

响应于在所述第二存储器中缓存所述写入包而设置标志；以及

响应于提交所述至少一个运行参数到所述第一存储器而清除所述标志。

18.根据权利要求15所述的电子控制单元，其特征在于，所述写入包通过安全通信信道从远程服务器被接收。

19.根据权利要求15所述的电子控制单元，其特征在于，所述写入包是加密的。

20.根据权利要求15所述的电子控制单元，其特征在于，所述写入包包括数字签名。

Images