车辆控制器及其错误管理方法与流程

1.本发明涉及一种车辆控制器及其的错误管理方法。


背景技术：

2.一般，智能电子控制单元(ecu，electronic control unit)和技术驱动程序的环境需要大量的计算性能。功率及成本效益是重要的部分，但安全领域的高性能计算(hpc，high performance computing)面临着各种难题。为了解决这个问题，需要采用ecu没有利用的技术，并尽量利用创新技术。汽车开放系统架构(autosar，automotive open system architecture)自适应平台(adaptive platform)动态管理资源和通信，减少用于开发和集成软件所需的努力，同时，执行应用程序的分发，并允许系统集成商慎重集成，消除故障危险以确保安全。应用程序的动态运行根据应用程序清单中规定的约束条件进行限制。在执行期间，资源和通信路径的动态分配只能以在配置范围内定义的方式进行。autosar自适应平台的实现，在软件配置上将动态功能除了程序的预先确定、向启动阶段的动态内存限制、基于优先顺序的调度以外，还由调度策略、对中央处理器(cpu，central processing unit)的进程的固定分配、对现有文件的访问、自适应平台(ap，adaptive platform)、应用程序接口(api，application programming interface)使用限制、验证代码执行来限制。
3.在先技术文件
4.专利文件
5.专利文件1：韩国专利公开：10-2016-0076270，公开日：2016年6月30日，发明名称：车辆多核系统
6.专利文件2：韩国授权专利：10-1584213，授权日：2016年1月5日，发明名称：autsar平台中的数据通信流设置装置及方法。


技术实现要素：

7.本发明的目的在于，提供一种主动处理错误的车辆控制器及其的错误管理方法。
8.根据本发明实施例的车辆控制器的错误管理方法，其中，包括：收集错误的步骤；将所述收集的错误数据库化为诊断和调试所需的形式的步骤；以及与平台健康管理集群(phm)、状态管理集群(sm)、以及执行管理集群(em)联动执行恢复机制的步骤，所述收集错误的步骤，可以包括：收集在车辆应用发生的用户错误的步骤；收集在所述平台健康管理集群(phm)、所述状态管理集群(sm)及所述执行管理集群(em)中的至少一个发生的平台错误的步骤；或者根据网络管理集群(nm)、时间同步集群(ts)及持久性集群(per)是否正常运行来收集集成错误的步骤。
9.在实施例中，还可以包括周期性地监控所述错误的步骤。
10.在实施例中，可以利用ara:com的本地主机(local host)方式收集所述错误。
11.在实施例中，所述错误通过轮询(polling)方式收集。
12.在实施例中，所述收集集成错误的步骤，可以包括：调用应用程序编程接口(api，
application programming interface)以确认所述网络管理集群(nm)、所述时间同步集群(ts)或所述持久性集群(per)是否正常运行的步骤；以及确认对所述调用的响应的步骤。
13.在实施例中，所述数据库化的步骤，可以包括：将所述收集的错误分类为诊断用错误、调试用错误或日志用错误的步骤；以及将所述分类的错误分别数据库化的步骤。
14.在实施例中，执行所述恢复机制的步骤，可以包括：监控与是否依赖平台有关的配置的步骤；以及根据所述监控结果重新启动或停止应用的步骤。
15.在实施例中，所述恢复机制是使用所述收集的错误和客户规范回调信息来执行。
16.根据本发明实施例的车辆控制器，其中，包括：通信装置，与外部装置进行通信；存储器，用于存储错误管理器；以及微控制单元，控制所述通信装置和所述存储器，并驱动所述错误管理器，所述错误管理器，收集在车辆应用发生的用户错误，或收集在平台健康管理集群(phm)、状态管理集群(sm)及执行管理集群(em)中的至少一个发生的平台错误，或根据网络管理集群(nm)、时间同步集群(ts)及持久性集群(per)是否正常运行来收集集成错误；将所述收集的错误数据库化为诊断和调试所需的形式，与所述平台健康管理集群(phm)、所述状态管理集群(sm)、及所述执行管理集群(em)联动执行恢复机制。
17.在实施例中，所述错误管理器通过autosar自适应平台实现。
18.在实施例中，所述错误管理器周期性地监控所述网络管理集群(nm)、时间同步集群(ts)及持久性集群(per)。
19.在实施例中，所述错误管理器通过ara:api周期性地监控功能集群中的至少一个是否有错误。
20.在实施例中，所述错误管理器将客户规范回调信息传输至车辆应用的用户故障-安全逻辑。
21.发明效果
22.根据本发明实施例的车辆控制器及其的错误管理方法，通过具备收集/管理平台的错误的错误管理器，从而，能主动处理平台的错误。
附图说明
23.以下附图用于帮助理解本实施例，与详细说明一起提供实施例。本实施例的技术特征不限于特定附图，可以互相组合各图中公开的特征构成新的实施例。
24.图1是示出一般的autosar自适应平台的架构图。
25.图2是通过some/ip通信的面向proxy-skeleton服务通信的示例图。
26.图3是用于说明一般的autosar自适应平台的操作的图。
27.图4是用于说明根据本发明实施例的autosar自适应平台的操作的图。
28.图5是根据本发明实施例的autosar自适应平台的应用的错误管理器的操作方法的示例流程图。
29.图6是根据本发明实施例的车辆控制器1000的示例图。
30.100：自适应autosar功能集群，200：自适应autosar应用，210：错误管理器，211：错误收集单元，212：错误后处理单元，213：用户自定义系统恢复单元，310：车辆应用，1000：ecu
具体实施方式
31.下面参照附图明确及详细地记载本发明的内容以使本发明所属领域的技术人员容易实施。
32.本发明可以进行各种变更，并可以具有各种形态，对特定实施例示于图中并在本文中详细说明。但是，应理解本发明并不局限于特定公开形态，包含本发明的精神及基数范围中所包含的所有变更、均等物乃至代替物。第一、第二等术语可用于说明各种构成要素，但所述构成要素并不局限于这些术语。
33.所述术语用来区别一个构成要素和其他的构成要素，例如，在不脱离本发明的权利范围的情况下，第一构成要素可以命名为第二构成要素，同样地，第二构成要素可以命名为第一构成要素。当被提及某种构成要素与另一构成要素“连接”或“联接”时，应当理解为可以直接与其他构成要素相连接或相联接，但也可在中间存在其他构成要素。相反，当提及某种构成要素与另一构成要素“直接连接”或“直接联接”时，应当理解为中间不存在其他构成要素。
34.用于说明构成要素之间的关系的其他表达，即，“～之间”和“直接在～之间”或“与～相邻”和“与～直接相邻”等的表达也应以相同的方式进行解释。本说明书中所使用的术语仅仅用于说明特定实施例，而并非限定本发明。除非在文脉上明确表示不同的含义，单数的表达包括复数的表达。
35.在本说明书中，“包括”或“具有”等术语所要指定实施的特征、数字、步骤、动作、构成要素、部件或这些组合的存在，而不得理解为排除一个或一个以上的其他特征或数字、步骤、动作、构成要素、部件或这些组合的存在或附加可能性。除非另有定义，包含技术术语及科学术语在内的使用于本说明书中的所有术语具有与本发明所属技术领域的技术人员普遍理解的含义相同的含义。在普遍使用的词典中所定义的术语应解释为具有与相关技术的文脉上所具有的含义一致的含义，并且，除非在本说明书中明确定义，则不应以理想性或过于公式化的含义来进行解释。
36.图1是一般的autosar自适应平台的架构图。参见图1，自适应平台提供功能集群和基础服务。
37.通过对bsw(basic software，基本软件)的接口形式化定义的swc(software component，软件组件)是autosar架构的组件。bsw模块提供基本的标准服务，例如总线通信、内存管理、io访问、系统及诊断服务。autosar的其他组件是运行时环境(rte，runtime environment)，控制swc之间的连接或从swc到bsw的连接。autosar定义的虚拟功能总线(vfb，virtual functional bus)为swc之间的通信和bsw服务的使用提供概念基础。swc的所有通信基于vfb，因此，swc独立于ecu硬件。藉此，swc可以在项目和平台重用。vfb通过提供特别设定的rte而执行，在rte连接为每个ecu适当设定的bsw。
38.自适应应用(adaptive applications；aa)基于ara(autosar runtime for adaptive application)运行。ara由提供属于foundation或services的功能集群的api(application programming interface)组成。foundation提供ap(adaptive platform)和service的基本功能。所有自适应应用程序都可以为其他自适应应用提供服务。
39.自适应平台包括功能集群，以提供更好的服务。功能集群包括时间管理集群、操作系统集群、执行管理集群、持久性集群、平台健康管理集群、日志和跟踪集群、硬件加速集
群、及通信管理集群。功能集群通过各自的api(application programming interface)与其他应用通信。由于仅定义了api实现，因此，自适应平台的功能集群的实现自由度比构成现有经典平台的bsw(basic software)协议栈的实现高得多。
40.基本服务包括软件(sw，software)配置管理服务、安全管理服务及诊断服务。可以通过中间件(middleware)性质的ara::com(autosar runtime for adaptive applications)调用基本服务。
41.自适应平台考虑由机器执行的硬件。硬件使用各种技术进行虚拟化。硬件包括一台或多台机器。ap实例只运行一个。在该硬件上具有托管机器的单个芯片/多个芯片。
42.图2是通过some/ip通信面向proxy-skeleton服务的通信的示例图。autosar自适应平台与经典平台的最大的区别在于通信方式。大多数现有的经典平台都是基于传统的面向信号(signal-oriented)的通信。另一方面，自适应平台基于面向服务的通信(service-oriented communication；soc)。这是一种提供服务的服务器即skeleton与消费服务的客户即proxy之间所需的服务通过服务发现(service discovery)和some/ip(scalable service-oriented middleware over ip)动态连接的通信方式。车载应用服务器是搭载autosar自适应平台的系统，可通过some/ip根据车载应用的目的自如地监测和控制智能传感器和智能执行器。
43.图3是用于说明一般的autosar自适应平台的操作的图。
44.自适应autosar应用20包括错误管理器21。
45.错误管理器21周期性地监控nm(network management)、per、etc中是否存在错误。错误管理器21在每个监控周期通过每个集群的ara:api检查自适应autosar功能集群10是否存在错误。
46.当发现异常症状时，错误管理器21将phm(platform health management：平台健康管理)、sm(state management：状态管理)和em(execution management：执行管理)联动使自适应autosar应用30执行恢复操作(recovery action)。由此完成错误操作。
47.phm(platform health management)执行监控功能。phm(平台健康管理)执行控制流监控、外部监控。alive supervision周期性地监控周期性-swc是否正常运行。deadline supervision监控非周期性-swc在两个给定点之间是否正常运行。logical supervision监控swc单元的顺序是否按预定顺序执行。health channel supervision监控与健康相关的外部因素。
48.phm(platform health management：平台健康管理)和em(execution management：执行管理)执行错误读取功能。看门狗控制(watchdog control)支持硬件看门狗(hardware watchdog)。错误处理(error handling)在发生错误后进行处理。phm的操作(action)包括应用的结束或重新启动、重置平台实例、硬件看门狗和通知功能。应用的结束或重新启动意味着swc的停止和重新启动。重置平台实例可由控制器本身重置。硬件看门狗支持硬件看门狗。通知功能在执行安全作用的swc中出现相应问题时执行通知。
49.sm(state management，状态管理)，管理ecu自身的状态，接收来自自适应平台和swc的事件，控制nm(网络管理)开启/关闭网络，控制系统关闭(shutdawn)和重新启动(restart)。
50.em(execution management，执行管理)负责系统执行管理，包括平台初始化、应用
程序的启动和结束。em(执行管理)与操作系统一起运行，并执行应用程序的运行时调度。在实施例中，可以设定监控周期。例如，监控周期为1ms、10ms、100ms等。
51.em(执行管理)执行系统启动(startup)和关闭(shutdown)，控制启动后自适应平台和应用的进程创建，执行swc(软件组件)的启动和关闭，应根据sm(状态管理)控制应用。
52.通用自适应autosar平台通过phm(平台健康管理)、sm(状态管理)、em(执行管理)等的内部模块监控系统异常，当出现异常时，执行重新执行/停止相应应用的操作。但是，这些是每个模块的功能，不包括将这些组合起来以从实际发生错误的时间点开始执行恢复操作的过程。
53.另一方面，根据本发明实施例的自适应autosar平台在自适应autosar os上补充该未实现的部分。
54.图4是用于说明根据本发明实施例的autosar自适应平台的操作的图。参考图4，自适应autosar应用200，可以包括错误管理器210。错误管理器210，可以包括：错误收集单元211、错误后处理单元212、以及用户自定义系统恢复单元212。
55.错误收集单元211可以收集用户错误、集成错误及平台错误。在实施例中，用户错误可以从车辆应用310传输。在实施例中，集成误差可以从自适应autosar功能集群100的nm(网络管理)110、ts(时间同步管理)120、per(连续性管理)130传输。在实施例中，平台错误可以从自适应autosar功能集群100的phm(平台健康管理)140、sm(状态管理)150、em(执行管理)160传输。
56.错误后处理单元212可以包括调试db(database，数据库)、日志用db及诊断db。在实施例中，调试db可以被传输到per130。在实施例中，日志db可以被传输到车辆应用310。在实施例中，诊断db可以被传输到诊断模块(diag)170。
57.用户自定义系统恢复单元213可以包括客户规范回调(callback)。在实施例中，客户规范回调可以被传输到用户故障-安全(fail-safe)逻辑312。
58.错误管理器210对应于自适应autosar的应用。此应用可以执行以下功能。
59.第一，错误管理器210可以通过ara api分别访问phm(平台健康管理)140、sm(状态管理)150及em(执行管理)160。
60.第二，错误管理器210可以访问对nm(网络管理)110、ts(时间同步管理)120及per(持久性管理)130能够读取是否存在错误的api。
61.第三，错误管理器210可以作为自适应autosar应用始终在处理单元中执行运行(run)。
62.第四，错误管理器210可以在设定的周期期间内通过所述定义的api监控是否发生错误。在实施例中，周期可以为1s、1us、1ms、1ns等。
63.当发生错误时，错误管理器210可以通过sm150将当前运行中的应用切换到关闭状态(shutdown state)，通过em160请求对当前运行中的应用的关闭(shutdown)操作，并通过phm(平台健康管理)140在相应应用执行恢复操作(recovery action)。
64.如上所述，根据本发明实施例的自适应autosar平台可以通过错误管理器210基于自适应autosar os来处理错误。
65.一般情况下，自适应autosar提供可以处理错误的sw功能，但是os规格中不包含能主动处理实际错误的技术。通过将这些部件内部化并将它们分配到tier，可以批量生产稳
定且高质量的软件(sw)。尤其，是在tier的开发领域中，错误处理是必不可少的。因此，可以从tier和客户收集各种需求，其应用范围广泛。
66.在实施例中，错误管理器210可以周期性地监控是否存在错误。例如，错误管理器210可以通过每个集群的ara:api在每个监控周期检查自适应autosar功能集群模块中是否存在错误。在实施例中，错误监控周期可以由用户设定。
67.错误收集单元211可以使用ara:com的本地主机(local host)方式进行发送和接收(类似于posix os的ipc方式的通信，通常构建共享内存(shared memory))。在实施例中，通信可以以轮询方式操作。这可以减少系统的负载。
68.在实施例中，错误收集单元211可以收集在车辆应用300发生的用户错误(user error)。
69.在实施例中，错误收集单元211可以收集在自适应autosar的fc(functional cluster)发生的平台错误(platform error)。
70.在实施例中，错误收集单元211可以收集综合错误。例如，错误收集单元211调用可以对nm(网络管理)110、ts(时间同步管理)120和per130确认是否正常操作的api，并确认对其的响应，当其响应不合适时，可以判断为集成错误(integrated error)。
71.错误后处理单元212可以基于收集到的错误数据库化为如下诊断和调试所需的形式。
72.诊断用错误db是基于要传输至诊断设备的错误代码(error code)和描述(description)以及诊断参数的数据库。输出格式可以包括诊断规格。
73.系统分析用错误db是用于调试目的的错误数据库。例如，调试db可以通过per130存储错误日志(error log)。输出格式可以为dlt格式。
74.日志用db是日志(log)格式的数据库，以便车辆应用可以处理适当的异常。输出格式可以为printf格式。
75.用户自定义系统恢复单元213可以包括与phm(平台健康管理)140、sm(状态管理)150和em(执行管理)160联动执行的自适应autosar的恢复机制。这种恢复机制只监控完全依赖于平台而被控制的元素，并且可以执行响应(例如重新启动、应用中断等的恢复功能)。
76.在实施例中，用户自定义系统恢复单元213可以将客户定义的回调函数的主体(body)区域以函数指针的形式回调连接至本“用户自定义系统恢复”区域。在实施例中，客户可以根据收集到的错误和客户确定的策略，直接重新定义恢复操作而使用。
77.例如，需要用于监控pci express接口是否有故障-安全的逻辑。当客户因为在自适应autosar的phm(平台健康管理)140的用户配置(user configuration)中没有体现而无法设定该功能时，无法观察到pci express接口的正常运行。通过以上部分，可以进一步增加当发生收集到的错误时，客户直接监控pci express的功能。以经典autosar的cdd形式构建故障-安全区域控制逻辑。
78.图5是示出根据本发明实施例的autosar自适应平台的应用的错误管理器的操作方法的示例流程图。参照图3至图5，错误管理器210(参照图3)可以如下操作。
79.错误管理器210可以从至少一个功能集群或其他的自适应应用收集错误(s110)。例如，错误管理器210可以周期性地监控功能集群的网络管理(nm)、时间同步管理(ts)及持久性管理(per)以收集集成错误、或者从车辆应用收集用户错误、或收集从平台健康管理
(phm)、状态管理(sm)及执行管理(em)输出的平台错误。
80.错误管理器210可以将收集的用户错误、集成错误、平台错误等数据库化(s120)。例如，错误管理器210将出于调试目的的错误创建数据库，或将要发送至诊断设备的错误代码、描述和诊断参数创建数据库，或者将收集的错误创建为日志形式的数据库以在车辆应用异常处理。
81.错误管理器210可以与至少一个功能集群的平台健康管理(phm)、状态管理(sm)、执行管理(em)联动来执行自适应autosar应用的用户自定义恢复机制(s130)。
82.如本领域技术人员可以理解的，根据本发明的步骤以及/或者操作可以以其他顺序、或者并列、或者为了其他特定的时间(epoch)等，在其他实施例中同时进行。根据实施例，步骤以及/或者操作中的一部分或者全部可以利用存储在一个以上的非暂时性计算机可读介质中的指令、程序、交互式数据结构(interactive data structure)、驱动客户端以及/或者服务器的一个以上的处理器，至少完成或者执行一部分。一个以上的非暂时性计算机可读介质作为示例，可以是软件、固件、硬件以及/或者其任意组合。另外，本说明书中论述的“模块”的功能可以由软件、固件、硬件以及/或者其任意组合构成。
83.图6是根据本发明实施例的车辆控制器1000的示例图。参照图6，车辆控制器(ecu)1000可以包括mcu1100、存储器1200及通信装置1300。
84.微控制单元(micro control unit，mcu)1100可以被实现为执行车辆控制器100的整体操作。mcu1100通过执行至少一个指令，可以驱动至少一个程序。例如，至少一个程序可以包括参照图3至图5描述的自适应autosar应用。
85.mcu1100可以包括多个核。多个核可包括至少一个主核及至少一个子核。
86.存储器1200可以被实现为存储至少一个程序。存储器1200可以包括易失性存储器或非易失性存储器。例如，存储器1200可以包括随机存取存储器(ram，random access memory)、静态随机存取存储器(sram，static random access memory)、只读存储器(rom，read-only memory)、可编程只读存储器(prom，programmable read-only memory)和电可擦写可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、nand闪存，nor闪存等的存储介质。
87.通信装置1300可以执行接口作用以与车辆控制器1000的外部进行通信。通常，为了与车辆控制器1000和车辆控制器1000外部设备通信，可以使用控制器域网(can，controller area network)通信、内部互联网络(lin，local interconnect network)通信和以太网(ethernet)通信。
88.用于实现/执行本发明的实施例的一个以上的操作/步骤/模块的一个以上的非暂时性计算机可读介质以及/或者手段可以包括专用集成电路(asics；application-specific integrated circuits)、标准集成电路、微控制器、执行适当指令的控制器以及/或者嵌入式控制器、现场可编程门阵列(fpgas；field-programmable gate arrays)、复杂可编程逻辑器件(cplds；complex programmable logic devices)以及等同物，但并不局限于此。
89.另外，上述本发明的内容仅是用于实施发明的具体实施例。本发明不仅包括具体且可实际利用的手段本身，还可以包括将来可以作为技术使用的抽象且概念性想法的技术思想。