确定实际接收的时间戳的正确性的制作方法

本发明涉及一种用于使用验证器确定由通信网络的第一ecu提供的实际接收的时间戳的正确性的方法、以及被配置为执行该方法的验证器。

背景技术：

1、随着自主车辆或自动车辆的复杂性增加，不同的电子控制单元(ecu)使用多个通信总线来确保自主驾驶功能或自动驾驶功能满足安全要求，例如，满足所谓的汽车安全完整性等级(asil)所需的要求。

2、汽车安全完整性等级是由道路车辆的iso 26262-功能安全定义的风险分类方案。asil分类包括从具有最低安全要求的qm到具有最高安全要求的asil d的五个安全等级。

3、例如，在自主车辆以太网或自动车辆以太网中，can-fd(控制器区域网络灵活数据速率)可以与flexray一起使用。

4、以太网是在局域网(lan)、城域网(man)和广域网(wan)中普遍使用的一系列计算机网络技术。它在1980年以商业方式被引入、并且是在1983年被标准化为ieee(电气和电子工程师协会)802.3的第一通信。flexray是由flexray联盟开发的用于管控车载汽车计算的汽车网络通信协议。它被设计为比can(控制器区域网络)和ttp(时间触发协议)更快和更可靠。flexray标准现在是一组iso标准，iso 17458-1至17458-5。can fd是典型地用于在电子仪器的不同部分与控制系统之间传递传感器数据和控制信息的数据通信协议。该协议用于现代高性能车辆。can fd是iso 11898-1中规定的原始can总线协议的扩展。

5、在现有技术中，根据用于tsn(时间敏感网络)的ieee 802.1as和针对ptp(精确时间协议)的ieee1588，实现以太网总线的时间同步。然而，对于经由ptp的时间同步，除了相应标准之外，还可以采取若干措施，从而可以确保同步过程的完整性，因此确保分布式时基的完整性。

6、然而，flexray总线内部挂钟没有任何安全完整性，并且是qm。qm准则意味着，在这种情况下，正常质量管理系统(iso/ts 16949)所需的措施是足够的。flexray消息需要与来自以太网和can-fd的相应消息一起使用。如果具有qm时间戳的flexray消息与以太网(和/或can fd)的相应asil b或asil d时间戳一起使用，则根据asil d，可能导致不满足用于高度自动化车辆的“免于干扰的能力(freedom from interference)”功能安全要求(iso26262)。

7、通过iso 26262“免于干扰的能力”，可以证明具有较不关键的asil等级(例如，asila)的(子)系统不会影响具有更为关键的asil等级(例如，asil c)的系统。目标是防止具有较高误差率(例如，asil a)的系统驱动其中需要较低误差率(例如，asil c)的系统。

8、因此，对于自主车辆和自动车辆，最为复杂和困难的任务之一是多个所连接的通信总线和它们各自的ecu需要彼此同步以满足这些要求。

技术实现思路

1、鉴于现有技术，本发明的目的是提供一种用于评估多个所连接的通信总线与它们各自的ecu彼此之间的同步的方法，该方法提供高安全等级(例如，满足asil d要求的安全等级)，并且满足根据iso26262的“免于干扰的能力”功能安全要求。

2、该目的通过独立权利要求的特征来解决。从属权利要求包含本发明的其他优选开发

3、更具体地，该目的通过如下的一种方法来解决：用于使用验证器确定由通信网络的第一ecu提供的实际接收的时间戳的正确性的方法。

4、通信网络包括主时钟；第一ecu，具有第一从时钟；验证器，具有第二从时钟；以及第一通信总线；将第一ecu、验证器和主时钟彼此连接。

5、第一ecu使用具有确定性方案的第一通信标准。也就是说，如果仅第一ecu与验证器之间的连接具有确定性传输方案，则就已足够。而且，第一标准具有带有确定性方案的时间周期的静态分段是可能且足够的。

6、用于在验证器处确定的实际接收的时间戳(该时间戳由通信网络的第一ecu提供)的正确性的方法包括：在第一ecu处，将第一从时钟的时间同步到主时钟的全局时间；在验证器处，将第二从时钟的时间同步到主时钟的全局时间；在验证器处，基于由第一ecu使用的通信标准的确定性方案，预测要在实际通信周期中从第一ecu接收的时间戳；以及在验证器处，将预测的时间戳与从第一ecu实际接收的时间戳进行比较。

7、在验证器处，将预测的时间戳与由通信网络的第一ecu提供的实际接收的时间戳进行比较可以包括：在验证器处，确定预测的时间戳与实际接收的时间戳之间的差；将差与预定阈值进行比较；并且如果差小于预定阈值，优选地，如果差在一定范围内，则确定实际接收的时间戳的正确性。

8、可以考虑第一ecu的数据获取任务和数据发送任务之间的固定延迟，从而确定在验证器处的预测的时间戳的全局时间与实际接收的时间戳的全局时间之间的差，其中在验证器处的实际接收的时间戳由第一ecu在数据获取任务期间提供。

9、更具体地，预测的时间戳与实际接收的时间戳之间的差可以使用以下公式被确定：

10、gt2-gt1-δ+δ

11、gt2是由第一ecu提供实际接收的时间戳的全局时间。gt1是第一ecu的实际通信周期开始时的全局参考时间。δ是通过将由第一ecu使用的第一通信标准的确定性方案的时隙的预定数目与时隙的固定持续时间相乘而接收的结果。δ是第一ecu的数据获取任务和数据发送任务之间的固定延迟。实际接收的时间戳在数据获取任务期间由第一ecu提供。由于连接第一ecu和验证器的通信总线的确定性行为，所以δ和δ均具有确定性，并且可以在预编译时被确定。

12、附加地或可替代地，预测的时间戳与实际接收的时间戳之间的差可以使用以下公式被确定：

13、gt_current-(gt2+δ)

14、gt2是由第一ecu提供实际接收的时间戳的全局时间。δ是第一ecu的数据获取任务和数据发送任务之间的固定延迟。实际接收的时间戳在数据获取任务期间由第一ecu提供。gt_current是在验证器处接收实际接收的时间戳的全局时间。

15、一般而言，在接收到携带需要验证的时间戳的pdu时，由于查询当前全局时间(即，gt_current)时的软件中断等待时间ε，所以该方法不提供与先前过程相同的准确度等级。另外，该解决方案通常需要更多的计算资源。然而，由于仅必须提供一个确定性参数δ的事实，该解决方案更为简单。

16、实际接收的时间戳的全局时间可以在第一ecu处使用以下公式被确定：

17、gt2＝gt1+lt2-lt1

18、gt2是由第一ecu提供实际接收的时间戳的全局时间。gt1是第一ecu的实际通信周期开始时的全局参考时间。1t1是在实际通信周期开始时第一ecu的第一从时钟的本地时间。1t2是在由第一ecu提供实际接收的时间戳时第一ecu的第一从时钟的本地时间。

19、通信网络还可以包括第二ecu，具有第三从时钟；网关ecu，包括验证器；以及第二通信总线，经由网关ecu和第一通信总线将第二ecu连接到第一ecu。

20、第二ecu使用的第二通信标准的安全完整性等级可能高于第一ecu所使用的第一通信标准的安全完整性等级，或该第二ecu可以通过其他手段被验证。

21、主时钟的完整性可以足以满足具有比第一通信标准高的安全完整性等级的第二通信标准的安全要求。

22、验证器可以根据第二通信标准的安全要求确定由第一ecu提供的实际接收的时间戳的正确性。

23、在第一ecu处将第一从时钟的时间同步到主时钟的全局时间可以包括：在第一ecu处，从主时钟接收同步消息，使得第一ecu的第一从时钟的时间基于所接收的同步消息而被同步到主时钟的全局时间。

24、更进一步地，可以提供验证器。验证器可以被配置为确定由通信网络的第一ecu提供的实际接收的时间戳的正确性。

25、通信网络可以包括：主时钟；第一ecu，具有第一从时钟；以及第一通信总线，被配置为将第一ecu、验证器和主时钟彼此连接。

26、第一ecu可以使用具有确定性方案的第一通信标准。第一从时钟的时间可以被同步到主时钟的全局时间。

27、验证器可以包括第二从时钟，其中第二从时钟的时间被同步到主时钟的全局时间。

28、验证器可以被配置为：基于由第一ecu使用的通信标准的确定性方案，预测要在实际通信周期中从第一ecu接收的时间戳，并且将预测的时间戳与来自第一ecu的实际接收的时间戳进行比较。

29、参考该方法的上述描述也适用于设备，即，验证器，反之亦然。

30、而且，验证器可以被配置为执行上述方法中的一种方法。

31、简而言之，通过比较和预测第一ecu的时间戳，验证器确保：第一ecu的时间同步可以根据验证器的安全完整性而实现最高可能的安全完整性等级。更进一步地，确保第二ecu和第二通信总线的安全完整性等级将由验证器继承，并且确保具有第一通信总线的第一ecu的安全完整性等级、具有网关ecu的验证器的安全完整性等级和具有第二通信总线的第二ecu的安全完整性等级实现类似的和/或最高可能的安全完整性等级。