车载控制系统以及车辆控制方法与流程

本发明涉及车辆控制，更具体地，涉及一种车载控制系统以及车辆控制方法。

背景技术：

1、汽车电子电气架构(eea，electrical/electronic architecture)，是指对汽车的传感器、执行器、电子控制单元、线束、操作系统等整车软硬件进行设计，进而实现车内高效的信号传输、线束布置等效果。电子电气架构设计需要综合考虑客户功能需求，安装、配置、维护等方面的简易程度和成本，并且需要具备适度的超前性。在功能车时代，汽车一旦出厂，用户体验就基本固化，而在智能车时代，汽车可以不断升级以满足日益提高的用户需求，电子电气架构从分布式向集中式演进是这一转变的前提，也是软件定义汽车的前提。

2、在过去的电子控制单元分布式架构中，单车电子控制单元数量巨大、软硬件深度耦合，从而导致汽车升级困难。在当下，汽车的电子电气架构正从电子控制单元分布式架构向域控制器集中式架构演进，在域控制器集中式结构中，电子控制单元的软件被转移到算力更强的域控制器，由域控制器统一处理数据并控制各个电子控制单元，从而实现算力的高效利用以及整车功能的协同。另外，由于电子控制单元的软硬件被解耦，电子控制单元可以采用标准件，汽车的升级可以通过域控制器中的软件升级来轻松实现，由此实现了软件定义汽车。然而，在现有的域控制器集中式结构中，域控制器无法运行有效策略，以确保电子控制单元的硬件和软件的一致性，从而导致汽车的可靠性和安全性可能因电子控制单元的硬件和软件的不匹配而受到影响。

3、因此，在本领域中，亟需一种能够确保电子控制单元的硬件与软件匹配从而确保汽车的可靠性和安全性的技术方案。

技术实现思路

1、为了解决上述现有技术中的问题，本发明提出了一种改进的车载控制系统，其包括至少一个域控制器和与所述域控制器信号连接的至少一个电子控制单元，所述域控制器存储有用于控制电子控制单元的软件，并被配置成执行以下操作：

2、向电子控制单元发送安全种子；

3、根据安全种子计算安全密钥，并控制电子控制单元根据安全种子计算安全密钥；

4、将自身计算出的安全密钥与电子控制单元计算出的安全密钥进行比较；

5、如果两个安全密钥一致，则确定电子控制单元为匹配电子控制单元，并通过所存储的软件控制电子控制单元；以及

6、如果两个安全密钥不一致，则确定电子控制单元并非匹配电子控制单元，并将电子控制单元锁定。

7、根据本发明的一种可选实施方式，所述域控制器和所述匹配电子控制单元存储有相同的密码算法，并被配置成通过密码算法根据安全种子计算安全密钥。

8、根据本发明的一种可选实施方式，所述域控制器和所述匹配电子控制单元都结合有硬件安全模块，所述安全种子和所述密码算法都来自所述硬件安全模块。

9、根据本发明的一种可选实施方式，所述域控制器还被配置成：如果确定电子控制单元为匹配电子控制单元，则向驾驶员告知电子控制单元启动成功，和/或，向电子控制单元发送启动成功信号。

10、根据本发明的一种可选实施方式，所述域控制器还被配置成：如果确定电子控制单元并非匹配电子控制单元，则向驾驶员告知电子控制单元启动失败，和/或，向电子控制单元发送启动失败信号。

11、根据本发明的一种可选实施方式，所述域控制器还被配置成：如果在车辆启动后的预定时长内接收到来自电子控制单元的启动请求，则向电子控制单元发送安全种子；如果在车辆启动后的预定时长内并未接收到来自电子控制单元的启动请求，则确定电子控制单元并非匹配电子控制单元；并且其中，所述匹配电子控制单元还被配置成：在车辆启动后向域控制器发送启动请求。

12、根据本发明的一种可选实施方式，所述域控制器还被配置成：如果接收到来自电子控制单元的启动请求，则向电子控制单元发送安全种子；如果安全种子的发送次数达到预定次数并且两个安全密钥不一致，则确定电子控制单元并非匹配电子控制单元；并且其中，所述匹配电子控制单元还被配置成：在车辆启动后向域控制器发送启动请求。

13、根据本发明的一种可选实施方式，所述域控制器还被配置成：如果确定电子控制单元并非匹配电子控制单元，则向驾驶员告知电子控制单元的启动尝试次数超过限制。

14、根据本发明的一种可选实施方式，所述域控制器还被配置成：如果安全种子的发送次数小于预定次数并且两个安全密钥不一致，则向电子控制单元发送启动失败信号；并且其中，所述匹配电子控制单元还被配置成：如果接收到启动失败信号，则再次向域控制器发送启动请求。

15、根据本发明的一种可选实施方式，所述域控制器还被配置成：检测电子控制单元的连接状态，如果检测到电子控制单元被断开连接并重新连接，则执行所述操作。

16、根据本发明的一种可选实施方式，所述车载控制系统包括多个域控制器，每个域控制器与多个电子控制单元信号连接，并且被配置成针对每个电子控制单元执行所述操作。

17、根据本发明的一种可选实施方式，所述车载控制系统包括底盘域控制器，所述底盘域控制器与制动电子控制单元信号连接，并且被配置成针对所述制动电子控制单元执行所述操作。

18、同样为了解决上述现有技术中的问题，本发明还提出了一种改进的车辆控制方法，其由如本文所述的车载控制系统执行，并且包括以下步骤：

19、s10：域控制器向电子控制单元发送安全种子；

20、s20：域控制器根据安全种子计算安全密钥，并控制电子控制单元根据安全种子计算安全密钥；

21、s30：域控制器将自身计算出的安全密钥与电子控制单元计算出的安全密钥进行比较，如果两个安全密钥一致，则执行s40；如果两个安全密钥不一致，则执行s50；

22、s40：域控制器确定电子控制单元为匹配电子控制单元，并通过所存储的软件控制电子控制单元；以及

23、s50：域控制器确定电子控制单元并非匹配电子控制单元，并将电子控制单元锁定。

24、根据本发明的一种可选实施方式，所述车辆控制方法还包括以下步骤：

25、s01：在车辆启动后开始计时；以及

26、s02：如果域控制器在车辆启动后的预定时长内接收到来自电子控制单元的启动请求，则执行s10；如果域控制器在车辆启动后的预定时长内并未接收到来自电子控制单元的启动请求，则执行s50；并且

27、其中，所述匹配电子控制单元还被配置成：在车辆启动后向域控制器发送启动请求。

28、根据本发明的一种可选实施方式，s30在于：域控制器将自身计算出的安全密钥与电子控制单元计算出的安全密钥进行比较，如果两个安全密钥一致，则执行s40；如果尝试次数小于预定次数并且两个安全密钥不一致，则执行s03；如果尝试次数达到预定次数并且两个安全密钥不一致，则执行s50；

29、s40和s50都还在于：使尝试次数清零；并且

30、其中，车辆控制方法还包括以下步骤：

31、s03：使尝试次数增1；以及

32、s04：如果域控制器接收到来自电子控制单元的启动请求，则返回s10；如果域控制器并未接收到来自电子控制单元的启动请求，则执行s50；并且其中，所述匹配电子控制单元还被配置成：在车辆启动后向域控制器发送启动请求。

33、根据本发明的一种可选实施方式，s03还在于：向电子控制单元发送启动失败信号；并且

34、其中，所述匹配电子控制单元还被配置成：如果接收到启动失败信号，则再次向域控制器发送启动请求。

35、根据本发明的一种可选实施方式，所述车辆控制方法还包括以下步骤：

36、s05：域控制器检测电子控制单元的连接状态；以及

37、s06：如果域控制器检测到电子控制单元被断开连接并重新连接，则执行s10；否则，返回s05。

38、本发明可以体现为附图中的示意性的实施例。然而，应注意的是，附图仅仅是示意性的，任何在本发明的教导下所设想到的变化都应被视为包括在本发明的范围内。