车辆安全电子控制系统的制作方法

本发明涉及电子控制系统，更具体地，涉及车辆安全电子控制系统。

背景技术：

如今，电子安全系统非常广泛地用于机动车辆中。这种安全系统可以包括，例如：盲点监测系统；主动巡航控制系统；预安全制动系统；防碰撞系统；车道偏离防止系统；和后碰撞缓解系统。

现代车辆安全系统的复杂性质非常重视提供和管理安全系统所需的电子控制系统的性能和可靠性。这种控制系统通常包括集成硬件和软件以存储(host)和运行所谓的高级驾驶辅助系统(ADAS)算法。

这种系统需要满足非常严格的安全要求，例如，ISO 26262用于道路车辆的功能安全(Functional Safety for Road Vehicles)标准，其限定所谓的汽车安全完整性等级(Automotive Safety Integrity Level，ASIL)风险分类方案。ASIL-D表示该标准下的最高完整性要求，并且适用于与安全相关的处理任务。

该功能安全标准的要求是，控制系统必须能够识别出其算法、逻辑和存储单元中的与安全相关的错误，该要求仅仅在使用锁步(lockstep)处理器架构时对于ASIL-D电子控制单元是可能的。然而，这种类型的具有锁步架构的处理器仅仅具有相对较低的处理能力，这不足以处理现代应用，例如具有一套合适的传感器(例如，雷达、光学雷达和/或摄像机)的ADAS。因此，已经提出使用包括至少两个微控制器的电子控制单元(ECU)，使得称为“安全”微控制器的第一微控制器能够处理重要的与安全相关的任务并且监控称为“性能”微控制器的第二微控制器，其中，“性能”微控制器具有较高的处理能力并且由此被配置为在安全微控制器的监管下处理系统的主要处理任务。在这些类型的布置中，安全微控制器由此通常被配置为用作所谓的“主”微控制器，以及性能微控制器通常被配置为用作所谓的“从”微控制器。

如将要被领会的，典型的现代ADAS系统将被配置为执行各种不同的功能(例如，盲点监测；主动巡航控制；预安全制动；防碰撞；车道偏离防止等)，因此系统架构将通常包括多个多核芯微控制器。此外，ADAS系统将包括若干通信总线以使系统的各个部件(包括多个传感器和微控制器)互相连接。这些通信总线可以包括FlexRay串行总线、控制器区域网络(Controller Area Network，“CAN”)总线、和以太网总线。

通常，ADAS系统被配置为根据用于通道访问的时分多址(Time Division Multiple Access，“TDMA”)协议操作，其中，系统网络的节点分配有各自的时隙，在该时隙中节点将独占地访问相关通信总线。因此，任务在系统的不同节点内的执行与相应的总线(例如，FlexRay总线)同步是必要的。因此，系统网络具有传递总线上的同步信号的一个或多个同步节点。在接收到每一个同步信号时，网络上的每一个其他节点将其自己的时钟与同步节点时钟的时钟作比较并且作出需要的任何改变以保持同步。

AUTOSAR(AUTomotive Open System ARchictecture，汽车开放系统架构)是已经由机动车辆制造商和供应商联合开发的开放和标准的汽车系统架构，并且其使用由于其电子产品变得越来越复杂和集成而在现代机动车辆中变得越来越常见。在机动车辆中的功能安全的背景下，需要静态调度(statically scheduled)的任务和警报，因此在这种系统中使用基于处理的调度表是有益的。符合AUTOSAR的操作系统使用调度表处理概念。

AUTOSAR操作系统使用具有调度表概念的报警器和计数器。报警器和计数器允许处理反复发生的现象，例如，计时器滴答、或来自机动车辆的机械部件的信号。当与计时器相关时，系统允许管理周期性任务。设置计数器以计数来自源的“滴答”的数量。每一个计数器将具有最大数值，并且当达到该数值时计数器将归零。报警器链接计数器和任务。在计数器达到预定数值时报警器将终止，在该点处采取静态定义的动作，该动作可以是相关任务的激活。

调度表延伸报警器的概念。如同报警器一样，调度表链接到计数器。调度表包括一组终止点，该终止点的对应计数器数值与调度表的激活相关。当达到终止点时，采取一个或多个动作(例如，任务激活)。调度表将定义系统中所有任务的激活点。

在汽车安全系统中利用符合AUTOSAR操作系统的所有微处理器必须与TDMA总线同步，因此在每一个微处理器上的调度表必须与总线同步。之前在(例如ECU内的)多微控制器的情形中以可靠且简单的方式实现上述同步是不可能的。

技术实现要素：

本发明的目的是提供改善的车辆安全电子控制系统。

根据本发明，提供一种车辆安全电子控制系统，其包括：主微控制器和从微控制器；所述主微控制器连接到TDMA网络总线，所述从微控制器通过通用输入/输出连接连接到所述主微控制器；所述微控制器两者配置为基于调度表来操作，并且每一个所述微控制器具有各自的同步计数器，其中，所述主微控制器配置为响应于接收到来自所述网络总线的初级同步信号更新其同步计数器，以及通过所述通用输入/输出连接向所述从微控制器发出相应的次级同步信号，所述从微控制器配置为响应于来自所述主微控制器的所述次级同步信号更新其同步计数器，使得所述微控制器两者的所述调度表与所述网络总线同步。

可选地，该控制系统包括多个所述从微控制器，其中，每一个所述从微控制器通过各自的通用输入/输出连接而连接到所述主微控制器，以及所述主微控制器配置为通过所述从微控制器各自的通用输入/输出连接向每一个所述从微控制器发出相应的所述次级同步信号。

优选地，所述主微控制器配置为发出中断服务程序形式的所述次级同步信号或每一个所述次级同步信号。

有益地，所述微控制器的所述同步计数器具有相同的分辨率。

方便地，所述从微控制器或每一个所述从微控制器不直接地连接到所述网络总线。

优选地，所述微控制器设置在单个集成电子控制单元内。

有益地，所述网络总线是FlexRay总线。

方便地，所述网络总线是控制器区域网络总线。

优选地，每一个所述微控制器配置为运行符合AUTOSAR的操作系统。

可选地，每一个所述微控制器包括多个处理核芯。

根据本发明的第二方面，提供一种包括根据第一方面的控制系统的机动车辆电子安全系统。

附图说明

为了更容易地理解本发明，以及为了理解本发明的另外特征，现在将参照附图通过示例描述本发明的实施例，其中：

图1是示出可以包括根据本发明的电子控制系统的典型机动车辆安全系统的概况的示意图；

图2是示出设置为电子控制单元形式的根据本发明的第一实施例的电子控制系统的概况的示意图；

图3示出一系列示意性时间线图；以及

图4是与图2中的示意图类似的示意图，但是示出根据本发明的第二实施例的电子控制系统。

具体实施方式

现在更详细地考虑图1，示出安装在机动车辆2(在图1中示意性地表示出车辆的仅仅一个侧板以表示车辆的方向)中的示例性电子安全系统1的示意图。安全系统1包括安装在机动车辆2的合适位置处的若干不同类型的传感器。具体地，示出的系统1包括：安装在车辆2的各个前角处的一对分开的向外的中距雷达(“MRR”)传感器3、安装在车辆的各个后角处的类似的一对分开的向外的多用途雷达(“MRR”)传感器4、安装在车辆2的前方的中心处的向前的长距雷达(“LRR”)传感器5和形成立体视觉系统(“SVS”)7(可以安装在例如车辆的挡风玻璃的上边缘的区域中)的一部分的一对基本向前的光学传感器6。各个传感器3-6可操作地连接到中央电子控制系统(其可以设置为安装在车辆内的方便位置处的集成式电子控制单元8的形式)。在示出的具体布置中，前MRR传感器3和后MRR传感器4通过常规的控制器区域网络(Controller Area Network，“CAN”)总线9连接到中央控制单元8，以及LRR传感器5和SVS 7的传感器6通过本身类型已知的较快的FlexRay串行总线10连接到中央控制单元8。然而，应当领会还可以使用其他方便的总线配置，例如，以太网总线。

在控制单元8的控制下各个传感器3-6可以共同地用于提供各种不同类型的驾驶辅助系统，例如：盲点监测；主动巡航控制；预安全制动；防碰撞；车道偏离防止；和后碰撞缓解。因此，控制单元8将被配置为运行用于每一个这种驾驶系统的合适的软件算法。

图2示意性地示出根据本发明的控制系统11的主要元件，应当领会该控制系统可以设置为集成式控制单元8(在图2中示为虚线)的形式。控制系统11包括第一微控制器12和第二微控制器13。第一微控制器12可以配置为运行安全软件以满足系统的最严格(ASIL-D)的安全完整性要求，其要求处理错误的识别，而第二微控制器13可以具有较高的处理能力以及由此配置为处理系统的主要处理任务和与安全相关的一些处理任务从而减轻第一微控制器12的负荷。由于第一微控制器12配置为满足系统的严格的安全完整性要求，因此其可以认为是表示所谓的“安全微控制器”并且可以具有锁步架构。由于第二微控制器13配置为具有比主微控制器12更高的处理能力，所以其可以认为是表示所谓的“性能微控制器”并且不需要锁步架构。尽管如此，应当领会微控制器12、13两者可以包括多个处理核芯。

微控制器12、13两者配置为允许符合AUTOSAR的操作系统，并且由此两者配置为根据调度表处理概念操作。每一个微控制器12、13具有各自的与其调度表相关的同步计数器(未示出)，并且两个同步计数器具有相同的分辨率。

第一微控制器12直接地连接到用于数据传递的网络总线，例如图2中示意性地示出的FlexRay总线10。然而应当理解，在其他实施例中，第一微控制器12可以转而连接到控制器区域网络总线9。无论可能提供何种具体配置的网络，能够想到总线将是时分多址(TDMA)总线。

第一微控制器12和第二微控制器13通过通用输入/输出连接14(其设置在第一微控制器12上的通用输入/输出(GPIO)引脚15和第二微控制器13上的相应的GPIO引脚16之间)而互相连接。如将由图2指出的，第二微控制器13仅仅连接到第一微控制器并且不直接地连接到网络总线10。尽管如此，能够想到两个微控制器可以通过除了GPIO连接14之外的处理器间通信路径17而彼此连接，从而允许与各个驾驶辅助和安全系统的操作相关的数据交换。如以下将更详细地阐释，GPIO连接14仅仅设置为用于允许第二微控制器13与网络总线10同步的目的。

还在图2中示意性地示出示例性收发器18，其设置在网络总线10上并且配置为用作同步节点。收发器18配置为传递网络总线10上的周期性初级同步信号(在图2中由箭头19示意性地表示)。初级同步信号19具有预定周期(表示为T_sync)并且可以采取中断服务程序(Interrupt Service Routine，ISR)的形式。如将要领会的，第一微控制器12将通过其直接地连接到网络总线10接收初级同步信号19的每一个脉冲。

第一微控制器12配置为响应于接收到来自网络总线10的初级同步信号19而更新其同步计数器。

应当指出，每一个微控制器12、13的调度表将具有周期(表示为T_sch)，该周期等于初级同步信号的多个周期(T_sync)。调度表周期两者相等，使得T_sch＝K·T_sync。每一个微控制器11、12的AUTOSAR操作系统的滴答分辨率(表示为T_tick)也相同，并且小于初级同步信号的周期(T_sync)。这在图3中示意性地示出，其中，顶部时间线(图3a)表示应用循环的长度，中间时间线(图3b)表示初级同步信号19的脉冲，以及底部时间线(图3c)表示每一个微控制器的操作系统的滴答。

因此，第一微控制器12的同步计数器在接收到初级同步信号19时根据以下表达式更新：

Sync_count＝Sync_count+(T_sync/T_tick)

以另外的方式考虑，第一微控制器12的同步计数器将由此增加操作系统的在初级同步信号19的两个先前脉冲之间记录的滴答的数量的差值：

Sync_count＝Sync_count+(Tick Count[T_sync]-Tick Count[T_sync-1])

其中，Tick Count[T_sync]表示直到在接收到初级同步信号19的最后脉冲时才发生的操作系统滴答的数量，以及Tick Count[T_sync-1]表示直到在接收到初级同步信号19的前次脉冲时才发生的操作系统滴答的数量。

由于操作系统滴答是非常准确的，因此该原理允许系统确定ECU的调度和整个车辆网络之间的偏移，并且在必要的时候作出调整。

除了响应于接收到来自网络总线10的初级同步信号19而更新自己的同步计数器，第一微控制器12还通过GPIO连接14向第二微控制器13发出相应的次级同步信号(在图2中由箭头20示意性地表示)。次级同步信号20也可以采用中断服务程序的形式。第二微控制器13类似地配置为响应于接收到来自第一微控制器12的次级同步信号20而更新其同步计数器，使得微控制器12、13两者的调度表与网络总线10同步。

由此将领会，微控制器12、13两者的调度表的每一者与网络总线10同步，并且第一微控制器12的同步计数器每次级响应于接收到来自总线10的初级同步信号19而更新。

此外，应当指出系统配置为使得第一微控制器12的同步计数器直接响应于接收到来自网络总线的初级同步信号19而更新，而第二微控制器13的同步计数器响应于第一微控制器12发出的次级同步信号20而更新。因此，第一微控制器12用作同步主微控制器，而第二微控制器13用作同步从微控制器。

现在考虑图4，示出根据本发明的控制系统11的替换实施例。应当注意到图3中示出的实施例与图2中示出的实施例在很多方面是相同的，因此相同的附图标记用于表示相同或相似的部件和信号。

具体地，应当注意到图4中示出的实施例也是包括直接地连接到网络总线10的单个主微控制器12，以及通过GPIO连接14连接到主微控制器12的(第一)从微控制器13。然而，图3中不同于在图2中以上描述和阐释的布置是图3中示出的布置包括第二从微控制器13′。第二从微控制器13′可以等同于第一从微控制器13，但是在一些方面还可以是不同的。尽管如此，第二从微控制器13′还配置为运行符合AUTOSAR的操作系统，并且由此配置为根据调度表处理概念操作。第二从微控制器13′具有相应的与其调度表相关的同步计数器(未示出)，并且同步计数器具有与主微控制器12和第一从微控制器13各自的同步计数器相同的分辨率。

主微控制器12和第二从微控制器13′通过第二GPIO连接14′(其设置在主微控制器12上的第二通用输入/输出(GPIO)引脚15′和第二从微控制器13′上的相应的GPIO引脚16′之间)而互相连接。第二GPIO连接14′等同于设置在主微控制器12和第一从微控制器13之间的第一GPIO连接14。如同第一从微控制器，第二从微控制器13′仅仅连接到主微控制器12并且不直接地连接到网络总线10。尽管如此，能够想到主微控制器12和第二从微控制器13′还可以通过除了GPIO连接14′之外的第二处理器间通信路径17′而彼此连接，从而允许与各个驾驶辅助和安全系统的操作相关的数据交换。以与设置在主微控制器12和第一从微控制器13之间的GPIO连接14相同的方式，第二GPIO连接14′仅仅设置为用于允许第二从微控制器13′与网络总线10同步的目的。

以与图2中实施例相关的以上描述的方式完全相同的方式，在主微控制器12接收到来自网络总线10的初级同步信号19时发生图3中实施例的主微控制器12和第一从微控制器13与网络总线10的同步。此外，还以类似的方式发生第二从微控制器13′与网络总线10的同步，如下文将要进行的详细描述。

除了响应于接收到来自网络总线10的初级同步信号19更新自己的同步计数器以及通过第一GPIO连接14向第一从微控制器13发出(第一)相应的次级同步信号20，主微控制器12还配置为通过第二GPIO连接14′向第二从微控制器13′发出相应的第二次级同步信号(在图3中由箭头20′表示)。第二次级同步信号20′等同于与其同步发出的、向第一从微控制器13发出的第一次级同步信号20。类似地，第二从微控制器13′配置为响应于接收到来自主微控制器12的第二次级同步信号20′而更新其同步计数器，使得全部三个微控制器12、13、13′的调度表将与网络总线10同步。

应当理解尽管图2中示出的实施例具有控制单个从微控制器13与网络总线10的同步的单个主微控制器12，并且图4中示出的实施例具有控制两个从微控制器13、13′与网络总线10的同步的单个主微控制器12，但是能够想到单个主微控制器12可以控制更多数量的从微控制器与网络总线10的同步的实施例。在这种布置中，可以想到每一个从微控制器通过各自的GPIO连接而连接到主微控制器12，并且主微控制器12将被配置为向每一个从微控制器发出相应的次级同步信号。

在所有以上描述的实施例中，应当指出网络总线10上的初级同步信号19将用于增加主微控制器12的同步计数器并且使该(或每一个)从微控制器13(13、13′)的调度表与网络总线10的调度同步。主微控制器12和该(或每一个)从微控制器13(13、13′)的调度表也彼此同步。因此，除了将要与总线循环的开始同步的该(或每一个)次级同步信号20(20、20′)之外，所有处理器间通信(例如，通过处理器间通信路径17、17′或在给定外设总线上)将相对于该(或每一个)次级同步信号20(20、20′)具有恒定的延迟，并且随着网络总线10上的任何跳动而跳动。

相对于现有方案，本文介绍的基于来自网络总线10的外部同步脉冲19的用于多个微控制器12、13、13′的同步的方案提供显著优势。具体地，本发明提供微控制器之间的非常简单的硬件连接，已经发现该硬件连接适合于各种不同类型/族的微控制器并且能够容易地延伸到在单个主微控制器12的控制下应用于较大数量的各个从微控制器13、13′。

此外，本发明的方案提供同步方法，其通过访问操作系统调度表而非各个任务而独立于微控制器12、13、13′上运行的软件应用。这允许：多个微控制器的调度表的跨微控制器的静态调度、相对偏置和扩张；独立于电子控制单元的硬件布局来开发软件应用；通过整个任务调度与网络总线的连续同步来移除同步总线和软件应用任务之间的内部调度跳动；在所有微控制器以及其中的处理核芯上的电子控制单元的同步的连续状态；以及任务调度的同步提前或迟滞。

当在本说明书和权利要求中使用时，术语“包括”及其变形是指包括说明的特征、步骤和整体。该术语不应当解释为排除存在其他特征、步骤和整体。

在上述描述中、或在以下权利要求中、或在附图中公开的以其特定形式或以用于执行公开功能的装置或用于获得公开结果的方法或步骤进行表述的特征在合适的时候，可以单独地或以这种特征的任何组合以与其不同的方式用于实现本发明。

尽管已经结合上述示例性实施例描述本发明，但是在给予本公开时本领域技术人员将清楚许多等同修改和变型。因此，本发明描述的上述示例性实施例应当考虑为是阐释性的而非限制性的。在不脱离本发明的精神和范围的情形下可以对描述的实施例作出各种变化。