WO2022095896A1

WO2022095896A1 - 一种车辆上的ecu管理方法、ecu以及可读存储介质

Info

Publication number: WO2022095896A1
Application number: PCT/CN2021/128411
Authority: WO
Inventors: 李翠; 车忠辉; 孙晓宇
Original assignee: 中兴通讯股份有限公司
Priority date: 2020-11-09
Filing date: 2021-11-03
Publication date: 2022-05-12
Also published as: JP2023547782A; CN114460913A; EP4206839A1; CA3193979A1; EP4206839A4; US20230367664A1

Abstract

一种车辆上的ECU管理方法、ECU以及可读存储介质，该方法包括：对车辆上的至少一个电子控制单元ECU的工作状态进行监测(S201)；以及，当监测到工作状态异常的异常ECU时，向所述异常ECU发送控制指令，其中所述控制指令用于触发所述异常ECU执行对应的恢复动作(S202)。

Description

一种车辆上的ECU管理方法、ECU以及可读存储介质

相关申请的交叉引用

本申请基于申请号为202011240019.5、申请日为2020年11月09日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请实施例涉及但不限于汽车技术领域，具体而言，涉及但不限于一种车辆上的ECU管理方法、ECU以及可读存储介质。

背景技术

随着智能化和信息化的发展，汽车电气系统变得日益复杂，当前汽车普遍拥有数十个电子控制单元(ECU)。ECU的增多代表着功能的复杂度和稳定性难度，ECU节点都是由硬件+软件组成的。而对于汽车ECU产品，这些ECU都是黑盒子，用户甚至都不知道ECU的存在。若有ECU出现了异常，这个时候用户就必须把车开到4S店进行检查维修，这个过程对于车主来说是非常麻烦和反感的。

目前没有整车的方案来通过其他ECU纠正错误ECU节点工作状态的方案，都只是各个ECU做自己的异常保护机制，所以对于整车功能的稳定性来说存在一定的风险，它依赖于各个ECU的运行状态,风险较大。

对于熄火状态下的汽车如果某个ECU工作异常，未能按照约定的电源管理模式进入休眠，还可能引起整车电瓶馈电，这对于用户来说是不可接受的。

发明内容

本申请实施例提供的一种车辆上的ECU管理方法、ECU以及可读存储介质，实现对整车的ECU进行状态监测，并在监测到异常ECU的情况下，向其发送控制指令，从而让异常ECU根据控制指令执行对应的恢复动作，从而避免车辆熄火后异常ECU引起电瓶馈电。

为至少部分解决上述技术问题，本申请实施例提供一种车辆上的电子控制单元管理方法，包括对车辆上的至少一个电子控制单元ECU的工作状态进行监测，以及当监测到工作状态异常的异常ECU时，向异常ECU发送控制指令，其中该控制指令用于触发所述异常ECU执行对应的恢复动作。

本申请实施例还提供一种电子控制单元，其包括处理器、存储器及通信总线。通信总线用于实现处理器和存储器之间的连接通信，处理器用于执行存储器中存储的一个或者多个计算机程序，以实现前述的车辆上的电子控制单元管理方法的步骤。

本申请实施例还提供一种计算机可读存储介质，其存储有一个或者多个计算机程序。该一个或者多个计算机程序可被一个或者多个处理器执行，以实现前述的车辆上的电子控制单元管理方法的步骤。

本申请其他特征和相应的有益效果在说明书的后面部分进行阐述说明，且应当理解，至少部分有益效果从本申请说明书中的记载变的显而易见。

附图说明

图1为本申请实施例一的整车ECU的连接示意图；

图2为本申请实施例一的流程图；

图3为本申请实施例二的流程图；

图4为本申请实施例二的熄火状态下方法流程图；

图5为本申请实施例三的流程图；以及

图6为本申请实施例三的点火状态下方法流程图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，下面通过具体实施方式结合附图对本申请实施例作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

实施例一

为了提高整车ECU运行的稳定性和可靠性，本申请第一实施例提出一种车辆上的电子控制单元管理方法，图1为整车ECU的连接示意图，各个ECU通过CAN总线连接，互相收发网络报文、APP报文和诊断报文,整车通过TBOX和CSP服务器交互。

电子控制单元(Electronic Control Unit,ECU)，整个的功能就是由各个ECU来协同完成的，在此发明中，特定ECU节点既作为稽查节点监督其他ECU的工作状态，普通节点作为被监督的对象。

车载移动通信终端TBOX：也属于ECU节点，包含通过无线3GPP网络与外界网络进行交互的通信系统，同时也支持通过CAN与车内其他ECU进行信息交互。也可以用于与服务器CSP进行交互，同步各个ECU的业务参数和工作状态，进行整车ECU控制。

车载云服务器CSP：相当于车联网的应用系统，是一个云架构的车辆运行信息平台，由车厂维护，对车主提供应用服务和对车辆在使用过程的状态进行跟踪，在此发明中由车厂通过它对整车的ECU业务参数进行维护和控制。

CAN：Controller Area Network控制器局域网络，是目前车辆使用最广泛的现场总线，各个ECU之间通过CAN进行信息交互，在此发明中稽查节点通过从CAN上收集其他节点的信息，从而进行状态判断，以及异常时的控制。

本实施例中提出一种车辆上的电子控制单元管理方法，请参见图2，包括：

S201、对车辆上的至少一个电子控制单元ECU的工作状态进行监测；

S202、当监测到工作状态异常的异常ECU时，向所述异常ECU发送控制指令，所述控制指令用于触发所述异常ECU执行对应的恢复动作。

在具体实施过程中，对车辆上的至少一个电子控制单元ECU的工作状态进行监测可以通过在所述车辆上配置的稽查节点对所述ECU的工作状态进行监测。可以选作稽查节点的可以包括车载移动通信终端TBOX和目标ECU，当然也可以仅选择其中之一，也可以将TBOX和目标ECU结合起来选择，例如选择TBOX和多个目标ECU。本实施例中所述的目标ECU可以是根据ECU的实际工作表现或者ECU的功能复杂度，选取工作相对稳定或者功能复杂度低的ECU作为稽查节点，然后通过稽查节点ECU来对车辆上的至少一个电子控制单元ECU的工作状态进行监测。

具体的监测手段可以为每个ECU分配对应的物理地址，由此根据对应的物理地址对ECU的工作状态进行监测。当然也可以根据对应的物理地址向所述异常ECU发送控制指令。本实施例通过当监测到工作状态异常的异常ECU时，向所述异常ECU发送控制指令，在某些实施过程中异常ECU可以根据控制指令执行对应的恢复动作，从而提高整车ECU的运行稳定性，避免因ECU异常而引起车辆电瓶馈电，提高用户体验。

可选的，所述控制指令至少包括如下中的一种：用于触发所述异常ECU执行重启的ECU重启指令；用于触发所述异常ECU执行关机的ECU关机指令；用于触发所述异常ECU执行固件更新的ECU固件更新指令。

在本申请的一种可选的实施方式中，当监测到工作状态异常的异常ECU时，向所述异常ECU发送控制指令。

具体的控制指令可以是ECU重启指令，异常ECU在收到ECU重启指令后即可执行重启。

也可以是ECU关机指令，异常ECU在收到ECU关机指令后即可执行关机。

也可以是ECU固件更新指令，异常ECU在收到ECU固件更新指令后即可执行固件更新。

在一种可选的实施方式中，向所述异常ECU发送控制指令可以直接向所述ECU发送对应控制动作的指令代码，例如发送ID为对应ECU的物理地址的UDS重启指令0x11，然后等待0x11的回复。也可以是向异常ECU发送自定义的UDS控制指令，异常ECU通过自定义的UDS控制指令知晓自身状态异常，由此配合对应的控制指令执行重启动作或者关机动作或者固件更新动作。当然本实例中所述的ECU固件更新指令可以是仅用于触发异常ECU进行固件更新的指令，也即ECU固件更新指令可以不包含对应的固件。异常ECU在接收到ECU固件更新指令之后，可以向本地存储，或者服务器，或者是本地外接存储设备中获取需要更新的固件信息。其中，本实施例中所述的固件更新可以是更新为最新版本的固件，也可以平行升级，也即保持固件版本号不变，也可以是更新至旧的固件版本，例如在本地存储，或者服务器，或者是本地外接存储设备中存储有对应ECU性能相对稳定的旧版本固件，则也可以通过ECU固件更新指令指示异常ECU进行固件更新。在向所述异常ECU发送控制指令之后，可以通过CAN总线将该异常ECU执行恢复动作的消息广播给TBOX，然后利用TBOX上报到CSP服务器。

可选的，监测工作状态异常的异常ECU，包括：

接收ECU发送的网络管理报文，所述网络管理报文包含对应ECU的业务状态参数；

根据所述业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定所述ECU的状态异常。

具体的说，例如在TBOX开机后，可以收集CSP服务器下发的携带每个ECU业务参数的通知消息，并进行解析保存，通过CAN广播给CAN总线的其他稽查节点。由此所有的稽查节点均知晓各个ECU的正常运行状态下的业务参数。本实施例中，CSP服务器记录的各个ECU业务参数的格式可以根据整车每个ECU的网络管理报文ID是唯一的来设置，例如以ECU的网络管理报文ID作为此条记录的标志，网络管理报文ID代表一个具体ECU节点。整车包含两个关键的状态KL15off熄火状态和KL15on点火状态，可以记录这两个关键状态下，以及对应的ECU的业务参数。由此本实施例中可以根据从ECU发送的网络管理报文中解析获得当前ECU的业务状态参数，从而通过业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定ECU的状态是否异常。

可选的，接收ECU上传的网络管理报文之前，还包括：

在确定无法正常接收ECU发送的网络管理报文的情况下，确定所述ECU工作状态异常。

在另一种可选的实施方式中，若ECU处于无法发送网络管理报文的状态，可以直接根据无法正常接收ECU发送的网络管理报文的情况来确定ECU的状态异常。例如在点火状态下，服务器下发的正常的网络管理报文发送间隔是t1，而在经过t1时间后，稽查节点未能收到该ECU的网络管理报文，则可以直接认定该ECU的状态异常。

可选的，根据所述业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定所述ECU的状态异常的方式至少包括如下之一：

当所述业务状态参数与正常行驶的业务状态参数不一致时，确定所述ECU的状态异常；

当从所述网络管理报文提取到准备休眠状态RSS信息，超过正常处于RSS的维持时间，确定所述ECU的状态异常。

具体的，例如在KL15on点火状态下，可以通过对比点火状态下的业务状态参数，正常行驶的业务状态参数不一致时，直接确定所述ECU的状态异常。其中正常行驶的业务状态参数可以通过开机时服务器下发获得，也可以通过读取本地存储获得。

对于KL15off熄火状态，可以从所述网络管理报文中提取该ECU对应的准备休眠状态RSS信息，根据提取到的RSS信息正常处于RSS的维持时间进行对比，若超过正常处于RSS的维持时间，则确定所述ECU的状态异常。由于在熄火状态下，正常RSS的时间业务进行完成后就会退出，不会一直维持在RSS，如果一直维持在RSS状态，代表有ECU发生了异常，异常ECU即为一直异常发送网络管理报文的ECU。对应的各个ECU的最大业务维持时间均可以通过服务器下发获得。

在所述车辆处于熄火状态下，所述向所述异常ECU发送控制指令至少包括如下中的一种：

直接向所述异常ECU发送所述ECU重启指令；

确定所述异常ECU的故障代码，若根据所述故障代码确定能通过重启恢复时，向所述异常ECU发送所述ECU重启指令；

直接向所述异常ECU发送所述ECU关机指令；

确定所述异常ECU的故障代码，若根据所述故障代码确定不能通过重启恢复时，向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令；

直接向所述异常ECU发送所述ECU固件更新指令；

按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令；

按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU固件更新指令，若所述异常ECU固件更新后仍异常，向所述异常ECU发送所述ECU关机指令。

在具体实施的过程中，在通过前述方法确定ECU状态异常后，进一步可以通过稽查节点向异常ECU发送控制指令，可以是直接向所述异常ECU发送所述ECU重启指令，异常ECU收到指令后进行重启。

或者确定异常ECU的故障代码，若根据所述故障代码确定能通过重启恢复时，向所述异常ECU发送所述ECU重启指令。具体的根据所述故障代码确定能通过重启恢复可以通过如下方式完成，例如通过预设的代码对比表或者代码数据库，在确定异常ECU的故障代码之后与预设的代码对比表或者代码数据库进行对比，若通过对比确定，可以通过重启恢复，则向所述异常ECU发送所述ECU重启指令。若代码记录表中未有相应的故障代码记载，则可以尝试向异常ECU发送所述ECU重启指令，若重启恢复成功，则可以更新对应的记录表或者数据库，将对应的代码记录为可通过重启恢复。若重启恢复失败，则可以更新对应的记录表或者数据库，将对应的代码记录为不可通过重启恢复。

或者直接向所述异常ECU发送所述ECU关机指令。在监测到工作状态异常的异常ECU后，为了克服只要有一个ECU节点在发送网络管理报文，那么所有的ECU节点都不会进入CAN bus sleep，即不会进入低功耗状态，所以一旦有一个节点发生异常则整车异常不休眠，导致电瓶馈电的问题。本实施例中在车辆处于熄火状态下，直接向对应的异常ECU发送关机指令，由此可以解决有一个节点发生异常则整车异常不休眠，导致电瓶馈电的问题。

或者确定所述异常ECU的故障代码，若根据所述故障代码确定不能通过重启恢复时，向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令，具体的故障代码确定方式参见前述。本实施例中在车辆处于熄火状态下，直接向对应的异常ECU发送关机指令或固件更新指令，由此可以解决有一个节点发生异常则整车异常不休眠，导致电瓶馈电的问题。

或者直接向所述异常ECU发送所述ECU固件更新指令。类似于重启指令的方案，本实施例中，直接通过固件更新来恢复故障ECU。

或者按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令。本实施例中所指的预设重启控制规则可以是重启次数，例如循环执行重启指令三次，又或者循环执行重启指令三次中间间隔指定时间在进行重启等，在类似重启控制规则执行后若所述ECU的状态仍然异常，则可以向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令。由于重启控制无法恢复异常的ECU，因此可以对ECU进行固件更新或者直接关机。

或者按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU固件更新指令，若所述异常ECU固件更新后仍异常，向所述异常ECU发送所述ECU关机指令。与前述过程不同的是，本实施中，对于极端情况，在重启控制规则无法恢复异常ECU且固件更新也无法恢复故障ECU的情况下，本实例中可以在上述重启和更新均执行完毕后，对该ECU进行关机控制，从而避免ECU故障引起的电平馈电。

可选的在所述车辆处于点火状态下，所述向所述异常ECU发送控制指令至少包括如下中的一种：

直接向所述异常ECU发送ECU重启指令；

确定所述异常ECU的故障代码，若根据所述故障代码确定不能通过重启恢复时，向所述异常ECU发送所述ECU固件更新指令；

直接向所述异常ECU发送所述ECU固件更新指令；

按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU固件更新指令。

具体的，对应于车辆处于点火状态下，向所述异常ECU发送控制指令包括直接向所述异常ECU发送ECU重启指令。由于车辆行驶过程中某些ECU是不能直接进行重启的，因此在向所述异常ECU发送控制指令之前，还可以确定所述异常ECU是否设置有对应的配置项，在确定所述异常ECU设置有对应的配置项的情况下，向所述异常ECU发送控制指令。例如一种可选的实施方式可以是，在TBOX开机后，通过接收服务器下发的携带每个ECU业务参数的通知消息，解析该通知消息，从而获每个ECU是否设置有重启开关，在设置有重启开关的情况下，则代表该ECU在点火状态下是可以重启或者执行更新动作的。本实施例中，在确定异常ECU设置有对应的配置项的情况下，直接向异常ECU发送ECU重启指令或更新指令，由此可以在点火状态下，控制ECU进行状态恢复。

或者确定所述异常ECU的故障代码，若根据所述故障代码确定能通过重启恢复时，向所述异常ECU发送所述ECU重启指令。具体的故障代码对比方式参见前述内容，本实施例中，对应于点火状态下，根据所述故障代码确定能通过重启恢复时，向所述异常ECU发送所述ECU重启指令，由此恢复车辆行驶过程中的ECU故障。

或者确定所述异常ECU的故障代码，若根据所述故障代码确定不能通过重启恢复时，向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令。也即对应于点火状态下，若根据所述故障代码确定不能通过重启恢复，则可以向所述异常ECU发送所述ECU固件更新指令。若固件更新后，ECU仍然异常，则可以向用户发出警告，向用户提示当前车辆的某个ECU 处于异常状态。当然也可以在固件更新后，ECU仍然异常，可以将对应的ECU的异常情况发送至服务器侧，通过服务器侧的专业人员进行人工判定对应的解决方案，例如重写代码等，从服务器侧来解决ECU的异常状态。

当然类似的也可以直接向所述异常ECU发送所述ECU固件更新指令；或者，按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU固件更新指令。具体的执行方式与熄火状态下的执行方式相同，在此不再赘述。

可选的，在所述目标ECU包括多个，且多个所述目标ECU状态异常的情况下,向所述目标ECU发送所述ECU重启指令,包括：

在不同的时间点向多个所述目标ECU发送所述ECU重启指令，使多个所述目标ECU在不同的时间点执行重启；

或者，

在处于异常状态的所述目标ECU的占比超过设定占比阈值的情况下，按照重启顺序向所述目标ECU发送所述ECU重启指令。

对于车辆配置有多个稽查节点的情况，本实施例中各个稽查节点会监测除自身之外的所有ECU的工作状态。虽然稽查节点ECU选择的是功能相对简单，但也可能出现故障，极限情况下稽查节点的ECU可能会在一段时间内同时发生故障。针对这种情况，本实施例中，可以在不同的时间点向多个所述目标ECU发送所述ECU重启指令，使多个所述目标ECU在不同的时间点执行重启。也即通过在不同的时间节点对稽查点ECU发送重启指令，由此保证在多个稽查节点均故障的情况下，所有的稽查节点不会同时重启。当然也可以通过设置不同的稽查节点重启时延，也即即时同时发出重启指令，但稽查节点可以在极限情况下，按照设置的不同的重启时延完成重启，保证ECU网络中至少有一个稽查节点处于工作状态。

当然还可以监测处于异常状态的所述目标ECU的占比是否超过设定占比阈值，例如车辆内配置有4个稽查节点，若两个稽查节点发生异常，则可以直接让两个稽查节点的ECU进行重启，若除当前稽查节点外的三个稽查节点均异常，则可以按照不同的重启优先级确定重启顺序，然后顺序重启。每个ECU重启间隔一定的时间，例如某ECU的重启完成时间为2min，则设置的顺序重启间隔时间可以是2min。

综上，本实施例可以在整车的ECU节点中选择多个功能相对稳定的节点作为稽查节点，通过检测CAN总线监测其他ECU节点的工作状态，通过车载移动通信终端TBOX,接收来自服务器CSP侧下发的通知消息，设置每个ECU的业务最长持续时间，以及ECU的业务工作逻辑，TBOX再将此消息广播给其他稽查节点。当稽查节点检测到某个ECU工作异常，并且查询到已经超过其业务最长持续时间，则认为该节点异常，则判断整车状态，如果认为是严重故障且满足其重启条件则发送CAN重启的诊断指令给该ECU，使该ECU重启恢复初始状态，进而恢复正常，否则发送异常到服务器，由服务器侧的进行人为的判断和操作，进行问题初步分析，如果重启可以解决的问题，可以从服务器侧重启某个ECU，就没有必要再进4S店。这样保证了异常节点不长时间处于异常工作状态。当然在车辆处于熄火状态下，本实施例方法还能够避免因为ECU异常而造成的电瓶馈电，提高用户的用车体验。

实施例二

本实施例中提出一种车辆上的电子控制单元管理方法，如图3所示，包括如下步骤：

S301、通过TBOX接收CSP服务器下发的携带每个ECU业务参数的通知消息，并广播给其他车辆上配置的稽查节点ECU；

S302、稽查节点对车辆上的至少一个电子控制单元ECU的工作状态进行监测；

S303、当监测到工作状态异常的异常ECU时，稽查节点向所述异常ECU发送控制指令，所述控制指令用于触发所述异常ECU执行对应的恢复动作。

具体的可以选作稽查节点的可以包括车载移动通信终端TBOX和目标ECU，当然也可以仅选择其中之一，也可以将TBOX和目标ECU结合起来选择，例如本实施例中选择TBOX和多个目标ECU。本实施例中所述的目标ECU可以是根据ECU的实际工作表现或者ECU的功能复杂度，选取工作相对稳定或者功能复杂度低的ECU作为稽查节点，然后通过稽查节点ECU来对车辆上的至少一个电子控制单元ECU的工作状态进行监测。

在TBOX开机后，可以收集CSP服务器下发的携带每个ECU业务参数的通知消息，并进行解析保存，通过CAN广播给CAN总线的其他稽查节点。由此所有的稽查节点均知晓各个ECU的正常运行状态下的业务参数。本实施例中，CSP服务器记录的各个ECU业务参数的格式可以根据整车每个ECU的网络管理报文ID是唯一的来设置，例如以ECU的网络管理报文ID作为此条记录的标志，网络管理报文ID代表一个具体ECU节点。在ECU向稽查节点发送的网络管理报文中可以包含两个关键的状态KL15off熄火状态和KL15on点火状态，稽查节点可以记录这两个关键状态下，网络管理报文还可以包含对应的ECU的业务参数。由此本实施例中还可以根据从ECU发送的网络管理报文中解析获得当前ECU的业务状态参数，从而通过业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定ECU的状态是否异常。

本实施例中以熄火状态下，控制ECU重启为例进行举例说明，如图4所示，本实施例方法包括如下步骤：

S401、接收ECU发送的网络管理报文，所述网络管理报文包含对应ECU的业务状态参数；

S402、判断车辆处于熄火状态；

S403、根据所述业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定所述ECU的状态异常；

S404、当监测到工作状态异常的异常ECU时，稽查节点向所述异常ECU发送ECU重启指令，所述ECU重启指令用于触发所述异常ECU执行对应的重启动作。

在具体实现过程中，本申请方法稽查节点根据收到的ECU网络管理报文的ID，此ID代表着某个ECU，即意味着此ECU处于非准备休眠状态RSS状态，此ECU可能是导致网络异常维持的原因，继而进行下一步判定。

判断KL15状态，如果KL15是处于需要CAN网络正常工作的状态，则此时不需要继续此异常监控流程，也即可以认为此时ECU工作状态是正常的，不做处理。如果KL15是处于不需要CAN网络正常工作的状态，则继续下一步。

判断网络管理报文对应的ECU是否处于准备休眠状态RSS状态，如果不是处于RSS状态，则此时不需要启动异常监控流程；说明ECU自身认为是需要维持CAN网络的。如果此稽查ECU异常维护了CAN网络，那么会在其他稽查ECU节点监控到这个异常，进入启动异常保护流程，这个异常判断依据可以根据AutoSar的网络管理协议得出。

本实施例中，在熄火状态下，根据所述业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定所述ECU的状态异常，包括：当从所述网络管理报文提取到准备休眠状态RSS信息，超过正常处于RSS的维持时间，确定所述ECU的状态异常。

一种可选的实现方式可以是计算网络管理报文此次处于RSS的时间，根据网络管理报文提供的状态计算此次网络管理进入RSS状态的时间，用于判断此次RSS维持的时间，正常RSS的时间业务进行完成后就会退出，不会一直维持在RSS，如果一直维持在RSS状态，代表有ECU发生了异常，异常ECU即为一直异常发送网络管理报文的ECU。

确定此次处于RSS的时间是否超过对应ECU业务的最大时间，整车中每个ECU的和CAN 网络相关的业务都有其最大持续时间，具体可以通过服务器下发的通知消息中解析获得。如果RSS的维持时间已经超过收到的此报文ID的ECU的最大业务时间，则认为此ECU业务异常，继续异常保护流程。

如果确定了ECU状态异常，则稽查节点发送重启指令给对应的ECU。可以通过发送UDS服务0x11重启指令。当然也可以自定义一个UDS指令异常指令，ECU收到此指令的ECU得知自己的CAN网络异常，然后自行动作恢复CAN网络，重置所有CAN相关的状态。

最后稽查节点将此ECU的异常重启消息通过CAN消息广播给TBOX，TBOX会上报到CSP服务器。

若重启无法解决问题，则可以从服务器侧通过人工进行判定，由此确定异常状态的解决方案。其他熄火状态下的指令操作类似于上述流程，本实施例中不在赘述。

综上，本申请实施例通过控制熄火状态下异常ECU重启保证了异常节点不长时间处于异常工作状态。当然在车辆处于熄火状态下，本实施例方法还能够避免因为ECU异常而造成的电瓶馈电，提高用户的用车体验。

实施例三

本申请第三实施例提出一种车辆上的电子控制单元管理方法，如图5所示，包括如下步骤：

S501、通过TBOX接收CSP服务器下发的携带每个ECU业务参数的通知消息，并广播给其他车辆上配置的稽查节点ECU；

S502、稽查节点对车辆上的至少一个电子控制单元ECU的工作状态进行监测；

S503、当监测到工作状态异常的异常ECU时，稽查节点向所述异常ECU发送控制指令，所述控制指令用于触发所述异常ECU执行对应的恢复动作。

具体的可以选作稽查节点的可以包括车载移动通信终端TBOX和目标ECU，当然也可以仅选择其中之一，也可以将TBOX和目标ECU结合起来选择，例如本实施例中选择TBOX和三个目标ECU。本实施例中所述的目标ECU可以是根据ECU的实际工作表现或者ECU的功能复杂度，选取工作相对稳定或者功能复杂度低的ECU作为稽查节点，然后通过稽查节点ECU来对车辆上的至少一个电子控制单元ECU的工作状态进行监测。

本实施例中以点火状态下，控制ECU重启为例进行举例说明，如图6所示，本实施例方法包括如下步骤：

S601、接收ECU发送的网络管理报文，所述网络管理报文包含对应ECU的业务状态参数；

S602、判断车辆处于点火状态；

S603、根据所述业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定所述ECU的状态异常；

S604、当监测到工作状态异常的异常ECU时，确定异常ECU是否设置有对应的配置项；

S605、在确认异常ECU设置有对应的配置项之后，稽查节点向所述异常ECU发送ECU重启指令，所述ECU重启指令用于触发所述异常ECU执行对应的重启动作。

S606、在确认异常ECU未设置有对应的配置项之后，稽查节点向服务器上报异常ECU，并接收服务器下发的重启指令解析后发送给异常ECU。

本实施例中对应于点火行驶状态下的电子控制单元管理方法，在点火状态下，稽查节点利用CAN总线上接收其他ECU的APP报文，其中携带了ECU的业务状态。

然后根据报文判断KL15状态，如果KL15是ON，则继续本流程，若不是，则流程结束。

本实施例中在点火状态下确定ECU异常可以包括如下两种方式：

在一种可选的实施方式中，若ECU处于无法发送网络管理报文的状态，可以直接根据无法正常接收ECU发送的网络管理报文的情况来确定ECU的状态异常。例如在点火状态下，服务器下发的正常的网络管理报文发送间隔是t1，而在经过t1时间后，稽查节点未能收到该ECU的网络管理报文，则可以直接认定该ECU的状态异常。

根据服务器下发的对应的ECU的业务状态对报文中的ECU的业务状态进行对比，确定当前报文中的业务状态是否与记录的业务状态一致。

在另一种方式中，例如在KL15on点火状态下，可以通过对比点火状态下的业务状态参数，服务器下发的正常行驶的业务状态参数不一致时，直接确定所述ECU的状态异常。其中正常行驶的业务状态参数可以通过开机时服务器下发获得，也可以通过读取本地存储获得。

在确定ECU异常之后，本实施例中可以以确认异常为起始时间节点进行异常时间累加，当然相对的，在确定ECU正常，则可以对异常时间清零。在异常时间累加之后，进一步确定异常时间的累计值是否超过设置的最大异常时间。在超过最大异常之间后，再确定异常ECU是否设置有对应的配置项。对于配置项，一种可选的实施方式可以是，在TBOX开机后，通过接收服务器下发的携带每个ECU业务参数的通知消息，解析该通知消息，从而获每个ECU是否设置有重启开关，在设置有重启开关的情况下，则代表该ECU在点火状态下是可以重启动作的。本实施例中，在确定异常ECU设置有对应的配置项的情况下，直接向异常ECU发送ECU重启指令，由此可以在点火状态下，控制ECU进行状态恢复。

在确定异常ECU未设置有对应的配置项之后，稽查节点上报ECU业务状态异常的紧急事件给TBOX，进而由TBOX上报给CSP服务器，由CSP服务器判断是否要重启设备。若服务器侧确定需要重启该ECU，则TBOX接收服务器下发的重启指令，并解析后发送给对应的ECU。

综上，本申请实施例通过控制点火状态下异常ECU重启保证了异常节点不长时间处于异常工作状态，保证车辆的稳定运行，有效减少用户去4S店的次数，提高用户的用车体验。

实施例四

本申请实施例还提供一种电子控制单元，包括：所述电子控制单元包括处理器、存储器及通信总线；

所述通信总线用于实现处理器和存储器之间的连接通信；

所述处理器用于执行存储器中存储的一个或者多个计算机程序，以实现第一、第二以及第三实施例的车辆上的电子控制单元管理方法的步骤。

本申请实施例还提供一种汽车，所述汽车包含前述的电子控制单元。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个计算机程序，所述一个或者多个计算机程序可被一个或者多个处理器执行，以实现第一、第二以及第三实施例的车辆上的电子控制单元管理方法的步骤。

根据本申请实施例提供的车辆上的ECU管理方法、ECU、汽车以及可读存储介质，通过当监测到工作状态异常的异常ECU时，向所述异常ECU发送控制指令，在某些实施过程中异常ECU可以根据控制指令执行对应的恢复动作，从而提高整车ECU的运行稳定性，避免因ECU异常而引起车辆电瓶馈电，提高用户体验。

可见，本领域的技术人员应该明白，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。

此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。所以，本申请不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本申请实施例所作的进一步详细说明，不能认定本申请的具体实施只局限于这些说明。对于本申请所属技术领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本申请的保护范围。

Claims

一种车辆上的电子控制单元管理方法，包括：

对车辆上的至少一个电子控制单元ECU的工作状态进行监测；以及

当监测到工作状态异常的异常ECU时，向所述异常ECU发送控制指令，其中所述控制指令用于触发所述异常ECU执行对应的恢复动作。
如权利要求1所述的车辆上的电子控制单元管理方法，其中，在所述车辆处于熄火状态下，所述向所述异常ECU发送控制指令至少包括如下中的一种：

直接向所述异常ECU发送所述ECU重启指令；

确定所述异常ECU的故障代码，若根据所述故障代码确定能通过重启恢复时，向所述异常ECU发送所述ECU重启指令；

直接向所述异常ECU发送所述ECU关机指令；

确定所述异常ECU的故障代码，若根据所述故障代码确定不能通过重启恢复时，向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令；

直接向所述异常ECU发送所述ECU固件更新指令；

按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU关机指令或所述ECU固件更新指令；

按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU固件更新指令，若所述异常ECU固件更新后仍异常，向所述异常ECU发送所述ECU关机指令。
如权利要求1所述的车辆上的电子控制单元管理方法，其中，在所述车辆处于点火状态下，所述向所述异常ECU发送控制指令至少包括如下中的一种：

直接向所述异常ECU发送ECU重启指令；

确定所述异常ECU的故障代码，若根据所述故障代码确定能通过重启恢复时，向所述异常ECU发送所述ECU重启指令；

确定所述异常ECU的故障代码，若根据所述故障代码确定不能通过重启恢复时，向所述异常ECU发送所述ECU固件更新指令；

直接向所述异常ECU发送所述ECU固件更新指令；

按预设重启控制规则向所述异常ECU发送所述ECU重启指令，在监测到所述异常ECU根据所述ECU重启指令重启后仍异常后，向所述异常ECU发送所述ECU固件更新指令。
如权利要求3所述的车辆上的电子控制单元管理方法，在发送所述ECU重启指令或所述ECU固件更新指令之前，还包括：确定所述异常ECU设置有对应的配置项。
如权利要求1-4任一项所述的车辆上的电子控制单元管理方法，其中，监测工作状态异常的异常ECU，包括：

接收ECU发送的网络管理报文，所述网络管理报文包含对应ECU的业务状态参数；以及

根据所述业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定所述ECU的状态异常。
如权利要求5所述的车辆上的电子控制单元管理方法，其中，根据所述业务状态参数与所述ECU对应的正常业务状态参数进行对比，确定所述ECU的状态异常的方式至少包括如下之一：

当所述业务状态参数与正常行驶的业务状态参数不一致时，确定所述ECU的状态异常；

当从所述网络管理报文提取到准备休眠状态RSS信息，超过正常处于RSS的维持时间，确定所述ECU的状态异常。
如权利要求2-4任一项所述的车辆上的电子控制单元管理方法，其中，对车辆上的至少一个电子控制单元ECU的工作状态进行监测，包括：

通过在所述车辆上配置的稽查节点对所述ECU的工作状态进行监测；

其中所述稽查节点包括车载移动通信终端和目标ECU中的至少之一。
如权利要求7所述的车辆上的电子控制单元管理方法，其中，在所述目标ECU包括多个，且多个所述目标ECU状态异常的情况下,向所述目标ECU发送所述ECU重启指令,包括：

在不同的时间点向多个所述目标ECU发送所述ECU重启指令，使多个所述目标ECU在不同的时间点执行重启；

或者，

在处于异常状态的所述目标ECU的占比超过设定占比阈值的情况下，按照重启顺序向所述目标ECU发送所述ECU重启指令。
一种电子控制单元，包括处理器、存储器及通信总线，其中，

所述通信总线用于实现处理器和存储器之间的连接通信；以及

所述处理器用于执行存储器中存储的一个或者多个计算机程序，以实现如权利要求1至8中任一项所述的车辆上的电子控制单元管理方法的步骤。
一种计算机可读存储介质，存储有一个或者多个计算机程序，所述一个或者多个计算机程序可被一个或者多个处理器执行，以实现如权利要求1至8中任一项所述的车辆上的电子控制单元管理方法的步骤。