CN103309344B - 验证安全关键的交通工具控制系统的完整性的系统和方法 - Google Patents
验证安全关键的交通工具控制系统的完整性的系统和方法 Download PDFInfo
- Publication number
- CN103309344B CN103309344B CN201310081522.4A CN201310081522A CN103309344B CN 103309344 B CN103309344 B CN 103309344B CN 201310081522 A CN201310081522 A CN 201310081522A CN 103309344 B CN103309344 B CN 103309344B
- Authority
- CN
- China
- Prior art keywords
- module
- control module
- operation control
- test
- watchdog timer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000012360 testing method Methods 0.000 claims abstract description 62
- 230000000246 remedial effect Effects 0.000 claims abstract description 54
- 238000001514 detection method Methods 0.000 claims abstract description 28
- 238000004891 communication Methods 0.000 claims abstract description 27
- 238000012423 maintenance Methods 0.000 claims description 15
- 230000008439 repair process Effects 0.000 claims description 12
- 230000003213 activating effect Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/24—Resetting means
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0062—Adapting control system settings
- B60W2050/0075—Automatic parameter input, automatic initialising or calibrating means
- B60W2050/0083—Setting, resetting, calibration
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/029—Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
- B60W2050/0292—Fail-safe or redundant systems, e.g. limp-home or backup systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W2050/041—Built in Test Equipment [BITE]
Abstract
本发明涉及验证安全关键的交通工具控制系统的完整性的系统和方法。根据本发明原理的控制系统包括操作控制模块、故障检测模块、补救措施模块和重置模块。操作控制模块控制交通工具系统的操作。当操作控制模块未通过完整性测试时,故障检测模块检测操作控制模块中的故障。补救措施模块在检测到故障时采取补救措施。当检测到故障并且未采取补救措施时,重置模块重置操作控制模块。
Description
相关申请的交叉引用
本申请要求提交于2012年3月14日的美国临时申请No. 61/610,696的权益。以上申请的公开内容全文以引用方式并入本文中。
技术领域
本发明涉及用于验证安全关键的交通工具控制系统(safety-critical vehicle control system)的完整性的系统和方法。
背景技术
在此提供的背景技术描述用于总体上介绍本发明的背景。目前署名的发明人的工作就其在该背景部分中描述的程度以及在其描述在提交时不会以其它方式被认为现有技术的方面,既不明确地也不隐含地认为是破坏本发明的现有技术。
控制模块在多种系统中实现以处理数据和生成控制信号。控制模块越来越多地在轿车、卡车、飞行器和其它交通工具中使用数字处理器来控制诸如制动和发动机扭矩输出的安全关键功能。主处理器基于从各种传感器和监测诸如发动机速度、温度、压力和齿轮齿数比的操作特性的其它装置接收的信号而生成控制信号。主处理器使用算法逻辑单元(ALU)处理信号信息。如果控制信号由于ALU缺陷而被破坏,则主处理器会命令系统采取不正确的动作。
被破环的控制信号可由与主处理器和/或控制模块的其它部件相关联的其它故障和/或错误引起。故障和/或错误可包括随机存取存储器(RAM)硬件故障、RAM数据存储崩溃、只读存储器(ROM)故障、编译器错误和/或程序计数器错误。常规系统常常使用包括在控制模块中的次处理器来检测主处理器中的故障。次处理器使用ALU来执行其故障检测,该检测独立于由主处理器使用的ALU。
发明内容
根据本发明原理的控制系统包括操作控制模块、故障检测模块、补救措施模块和重置模块。操作控制模块控制交通工具系统的操作。当操作控制模块未通过完整性测试时,故障检测模块检测操作控制模块中的故障。补救措施模块在检测到故障时采取补救措施。当检测到故障并且未采取补救措施时,重置模块重置操作控制模块。
本发明提供下列技术方案。
技术方案1:一种控制系统,包括:
操作控制模块,其控制交通工具系统的操作;
故障检测模块,其在所述操作控制模块未通过完整性测试时检测操作控制模块中的故障;
补救措施模块,其在检测到所述故障时采取补救措施;以及
重置模块,其在检测到所述故障并且未采取所述补救措施时重置所述操作控制模块。
技术方案2:根据技术方案1所述的控制系统,还包括看门狗定时器模块,当所述操作控制模块在预定间隔时不维修所述看门狗定时器模块时,所述看门狗定时器模块重置所述操作控制模块。
技术方案3:根据技术方案2所述的控制系统,其中所述操作控制模块、所述故障检测模块、所述补救措施模块、所述重置模块和看门狗定时器模块被集成到第一芯片中。
技术方案4:根据技术方案3所述的控制系统,其中所述看门狗定时器模块包括第一看门狗定时器模块和第二看门狗定时器模块,所述第一看门狗定时器模块被集成到所述第一芯片中,并且所述第二看门狗定时器模块被集成到与所述第一芯片分开的第二芯片中。
技术方案5:根据技术方案2所述的控制系统,其中所述重置模块通过指示所述操作控制模块停止维修所述看门狗定时器模块而重置所述操作控制模块。
技术方案6:根据技术方案2所述的控制系统,其中所述重置模块通过执行内部重置而重置所述操作控制模块。
技术方案7:根据技术方案1所述的控制系统,其中所述补救措施包括禁用所述交通工具系统。
技术方案8:根据技术方案1所述的控制系统,其中所述补救措施包括致动维修指示器。
技术方案9:根据技术方案1所述的控制系统,其中所述完整性测试包括程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元测试和配置寄存器测试。
技术方案10:根据技术方案1所述的控制系统,其中所述操作控制模块通过执行第一例程而控制所述交通工具系统,并且所述故障检测模块通过并行于所述第一例程执行第二例程而执行所述完整性测试。
技术方案11:根据技术方案10所述的控制系统,其中所述重置模块通过并行于所述第一例程执行第三例程而确定是否重置所述操作控制模块。
技术方案12:一种方法,包括:
使用操作控制模块控制交通工具系统的操作;
当所述操作控制模块未通过完整性测试时检测所述操作控制模块中的故障;
当检测到所述故障时采取补救措施;以及
当检测到所述故障并且未采取所述补救措施时重置所述操作控制模块。
技术方案13:根据技术方案12所述的方法,还包括当所述操作控制模块在预定间隔时不维修看门狗定时器模块时重置所述操作控制模块。
技术方案14:根据技术方案12所述的方法,还包括通过指示所述操作控制模块停止维修看门狗定时器模块而重置所述操作控制模块。
技术方案15:根据技术方案12所述的方法,还包括通过执行内部重置而重置所述操作控制模块。
技术方案16:根据技术方案12所述的方法,其中所述补救措施包括禁用所述交通工具系统。
技术方案17:根据技术方案12所述的方法,其中所述补救措施包括致动维修指示器。
技术方案18:根据技术方案12所述的方法,其中所述完整性测试包括程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元测试和配置寄存器测试。
技术方案19:根据技术方案12所述的方法,还包括通过执行第一例程而控制所述交通工具系统以及通过并行于所述第一例程执行第二例程而执行所述完整性测试。
技术方案20:根据技术方案19所述的方法,还包括通过并行于所述第一例程执行第三例程而确定是否重置所述操作控制模块。
本发明进一步的适用范围将通过下文提供的详细描述而变得显而易见。应当理解,详细描述和具体示例仅意图用于举例说明,而并非意图限制本方面的范围。
附图说明
通过详细描述和附图将会更全面地理解本发明,附图中:
图1是根据本发明原理的示例性交通工具系统的功能框图;
图2是根据本发明原理的示例性控制系统的功能框图;以及
图3是示出根据本发明原理的示例性控制方法的流程图。
具体实施方式
控制诸如发动机或交通工具制动器的交通工具系统的控制系统可以被评级为汽车安全完整性等级(ASIL) D系统。ASIL D控制系统可包括控制交通工具系统的主处理器和验证主处理器的完整性的次处理器。次处理器可以向主处理器发送信号,并且主处理器可以向次处理器发送对应的信号。如果主处理器由于故障而不向次处理器发送对应的信号,则次处理器可以采取补救措施,例如重置主处理器和/或将主处理器转变到安全状态。
控制诸如电子限滑差速器或拖车制动器的交通工具系统的控制系统可以被评级为ASIL
B控制系统。ASIL B控制系统可包括控制交通工具系统的处理器和看门狗定时器,该看门狗定时器通过验证某些过程在时间窗口内完成而验证处理器的完整性。使用看门狗定时器代替次处理器来验证处理器的完整性可以降低成本。处理器可以在预定间隔维修看门狗定时器。如果处理器由于诸如暂停的故障而在预定间隔不维修看门狗定时器,则看门狗定时器重置处理器。当处理器被重置时,交通工具系统处于安全状态。
在某些情况下,处理器可以继续维修看门狗定时器,即使故障阻止系统转变至安全状态。例如,故障可能造成处理器跳过包含用于补救措施的指令的例程,并且因此处理器可能不采取补救措施。这个问题可以通过一旦确定故障就重置处理器来避免。然而,这可能造成处理器连续重置,这会阻止刷新处理器、从处理器检索故障码和/或调试处理器。
根据本发明原理的系统和方法可以仅当检测到故障且未采取补救措施时重置处理器。可以检测故障,同时执行诸如程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元测试或配置寄存器测试的完整性测试。补救措施可包括转变到安全状态和/或致动维修指示器。在安全状态下,处理器可以限制交通工具系统的致动或禁用交通工具系统。可通过直接强制重置或指示处理器停止维修看门狗定时器而重置处理器。
根据本发明原理的系统和方法可以使用看门狗定时器验证处理器的完整性,同时避免诸如以上讨论那些的通常与看门狗定时器相关联的问题。在检测到故障且未采取补救措施时重置处理器确保在故障阻止处理器转变到安全状态时将处理器转变到安全状态。允许处理器在重置处理器之前采取补救措施防止连续重置处理器。
现在参看图1,交通工具系统100包括发动机102、变速器104、电子限滑差速器(eLSD) 106和拖车制动器108。发动机控制模块110控制发动机102,变速器控制模块112控制变速器104,eLSD控制模块114控制eLSD 106,并且拖车制动器控制模块116控制拖车制动器108。发动机控制模块110、变速器控制模块112、eLSD控制模块114和拖车制动器控制模块116使用诸如控制器局域网(CAN)总线的交通工具总线118彼此通信。
发动机控制模块110、变速器控制模块112、eLSD控制模块114或拖车制动器控制模块116可以使用例如交通工具总线118致动维修指示器120。维修指示器120传送指示交通工具系统100需要维修的视觉消息(如文本)、听觉消息和/或触觉消息(如振动)。维修指示器120可以在交通工具系统100中检测到故障时致动。
现在参看图2,进一步详细示出了拖车制动器控制模块116的示例。虽然图2示出了拖车制动器控制模块116,但拖车制动器控制模块116的特征可包括在图1的发动机控制模块110、变速器控制模块112和/或eLSD控制模块114中。此外,图1的交通工具系统100可包括控制诸如转向器、悬挂或燃料系统的其它交通工具子系统的控制模块,并且这些控制模块可包括拖车制动器控制模块116的特征。
如图2所示,拖车制动器控制模块116包括操作控制模块202、故障检测模块204、补救措施模块206、重置模块208和看门狗定时器系统210。看门狗定时器系统210包括看门狗定时器模块212和看门狗定时器模块214,它们中的一者或两者可以执行由看门狗定时器系统210执行的任务。看门狗定时器模块212与操作控制模块202、故障检测模块204、补救措施模块206和重置模块208集成到第一芯片216中。看门狗定时器模块214被集成到第二芯片218中,第二芯片218与第一芯片216分开,以使得芯片216、218之一中的故障不影响看门狗定时器模块212、214两者。
操作控制模块202存储、检索和执行指令,以执行在控制拖车制动器108过程中所涉及的基本算术、逻辑和输入/输出操作。故障检测模块204执行多个完整性测试以验证操作控制模块202的完整性。完整性测试可包括程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元(ALU)测试和/或配置寄存器测试。故障检测模块204在操作控制模块202未通过完整性测试中的一个时检测故障。另外,故障检测模块204可以在看门狗定时器系统210连续重置操作控制模块202时检测故障。故障检测模块204输出指示是否检测到故障的信号。
程序序列观察测试确保某些操作以某种顺序执行。校验和测试使用校验和来确保存储在存储器中的数据未改变。栈溢出测试确定在调用栈中使用的存储器的量是否大于预期,从而造成栈溢出。ALU测试检测操作控制模块202中破坏算术和逻辑操作的故障。配置寄存器测试评价操作控制模块202内的输入/输出(I/O)配置寄存器。
补救措施模块206在故障检测模块204检测到故障时采取补救措施。补救措施可包括将操作控制模块202转变到安全状态和/或致动维修指示器120。在安全状态下,操作控制模块202可以限制拖车制动器108的致动或禁用拖车制动器108。其它控制模块在处于安全状态时可以限制或禁用其它交通工具系统。例如,当发动机控制模块110处于安全状态时,发动机控制模块110可以限制火花生成、节流面积和/或加燃料速率。补救措施模块206输出指示是否采取了补救措施的信号。
当故障检测模块204检测到处理器完整性故障并且补救措施模块206不采取补救措施时,重置模块208重置操作控制模块202。当未采取补救措施并且在检测到处理器完整性故障之后经过预定时间时,重置模块208可以重置操作控制模块202。重置模块208可执行运行重置以在存储器中保存重置之前采取的措施。重置模块208可通过向操作控制模块202发送重置信号或切换内部复位线而主动重置操作控制模块202。备选地,重置模块208可通过指示操作控制模块202停止维修看门狗定时器系统210而被动地重置操作控制模块202。
操作控制模块202在预定间隔时维修看门狗定时器系统210(例如,看门狗定时器模块212和/或看门狗定时器模块214)。如果操作控制模块202在预定间隔时不维修看门狗定时器系统210,则看门狗定时器系统210通过例如切换复位线而重置操作控制模块202。因此,如果重置模块208指示操作控制模块202停止维修看门狗定时器系统210并且经过了预定间隔,则看门狗定时器系统210重置操作控制模块202。看门狗定时器模块212可以切换内部复位线,而看门狗定时器模块214可以切换外部复位线。如果看门狗定时器模块212、214对于是否重置操作控制模块202冲突,则重置模块可能占优。
操作控制模块202、故障检测模块204、补救措施模块206、重置模块208和看门狗定时器系统210可以彼此并行地执行单独的例程。继而,操作控制模块202中的故障可不阻止故障检测模块204、补救措施模块206、重置模块208和看门狗定时器系统210执行它们相应的任务。例如,操作控制模块202中的故障可以不阻止故障检测模块204检测处理器完整性故障或阻止补救措施模块206采取补救措施。
操作控制模块202可以以第一循环速率(如12.5毫秒)执行第一例程以控制拖车制动器108。故障检测模块204可以以第二循环速率(如50毫秒)执行第二例程以执行完整性测试。故障检测模块204可以与第一例程并行地执行第二例程。重置模块208可以以第三循环速率(如6.25毫秒)执行第三例程以确定是否重置操作控制模块202。重置模块208可以与第一例程并行地执行第三例程。
现在参看图3,用于验证控制交通工具系统的控制系统的完整性的方法始于302。控制系统可包括处理器和看门狗定时器。在304中,该方法在处理器上执行多个完整性测试。完整性测试可包括程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元(ALU)测试和/或配置寄存器测试。
在306中,该方法确定是否检测到处理器完整性故障。该方法可以在执行完整性测试之一的同时检测处理器完整性故障。如果检测到处理器完整性故障,则该方法在308中继续。否则,该方法在304中继续。在308中,该方法采取补救措施。补救措施可包括将控制系统转变到安全状态和/或致动维修指示器。在安全状态下,控制系统可以限制交通工具系统的致动或禁用交通工具系统。
在310中,该方法确定是否采取补救措施。该方法可确定在检测到处理器完整性故障之后在预定时间内是否采取补救措施。如果例如在预定时间内采取补救措施,则该方法在304中继续。否则,该方法在312中继续。在312中,该方法重置处理器。该方法可以主动地重置处理器。备选地,该方法可以通过确保处理器停止维修看门狗定时器而被动地重置处理器。
上面的描述本质上仅是示例性的并且决不是要限制本发明、其应用或用途。本发明的广义教导可以以各种形式实施。因此,虽然本发明包括具体示例,但本发明的真正范围不应局限于此,因为在研究附图、说明书和随附权利要求书的基础上其它修改将变得显而易见。为了清楚起见,在附图中将使用相同的附图标记标识相似的元件。如本文所用,短语A、B和C中的至少一个应当被解释为是指使用非排他逻辑“或”的逻辑(A或B或C)。应当理解,在不改变本发明的原理的情况下,可以以不同的顺序(或同时地)执行方法内的一个或多个步骤。
如本文所用,术语模块可以指属于或包括:专用集成电路(ASIC);电子电路;组合逻辑电路;现场可编程门阵列(FPGA);执行代码的处理器(共享、专用或成组);提供所描述功能的其它合适的硬件部件;或以上的一些或全部的组合,例如在片上系统中。术语模块可包括存储由处理器执行的代码的存储器(共享、专用或成组)。
如在上面所使用的术语代码可包括软件、固件和/或微代码并可指程序、例程、函数、类和/或对象。如在上面所使用的术语“共享”意味着来自多个模块的一些或全部代码可使用单个(共享)处理器来执行。此外,来自多个模块的一些或全部代码可由单个(共享)存储器来存储。如在上面所使用的术语“成组”意味着来自单个模块的一些或全部代码可使用一组处理器来执行。此外,来自单个模块的一些或全部代码可使用一组存储器来存储。
本文所述设备和方法可通过由一个或多个处理器执行的一个或多个计算机程序来实现。计算机程序包括存储在非暂时的有形计算机可读介质上的处理器可执行指令。计算机程序还可包括存储的数据。非暂时的有形计算机可读介质的非限制性示例是非易失性存储器、磁存储器和光存储器。
Claims (18)
1.一种控制系统,包括:
操作控制模块,其控制交通工具系统的操作;
故障检测模块,其在所述操作控制模块未通过完整性测试时检测操作控制模块中的故障;
补救措施模块,其在检测到所述故障时采取补救措施;以及
重置模块,其在检测到所述故障并且未采取所述补救措施时重置所述操作控制模块,其中所述补救措施包括禁用所述交通工具系统。
2.根据权利要求1所述的控制系统,还包括看门狗定时器模块,当所述操作控制模块在预定间隔时不维修所述看门狗定时器模块时,所述看门狗定时器模块重置所述操作控制模块。
3.根据权利要求2所述的控制系统,其中所述操作控制模块、所述故障检测模块、所述补救措施模块、所述重置模块和看门狗定时器模块被集成到第一芯片中。
4.根据权利要求3所述的控制系统,其中所述看门狗定时器模块包括第一看门狗定时器模块和第二看门狗定时器模块,所述第一看门狗定时器模块被集成到所述第一芯片中,并且所述第二看门狗定时器模块被集成到与所述第一芯片分开的第二芯片中。
5.根据权利要求2所述的控制系统,其中所述重置模块通过指示所述操作控制模块停止维修所述看门狗定时器模块而重置所述操作控制模块。
6.根据权利要求2所述的控制系统,其中所述重置模块通过执行内部重置而重置所述操作控制模块。
7.根据权利要求1所述的控制系统,其中所述补救措施还包括致动维修指示器。
8.根据权利要求1所述的控制系统,其中所述完整性测试包括程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元测试和配置寄存器测试。
9.根据权利要求1所述的控制系统,其中所述操作控制模块通过执行第一例程而控制所述交通工具系统,并且所述故障检测模块通过并行于所述第一例程执行第二例程而执行所述完整性测试。
10.根据权利要求9所述的控制系统,其中所述重置模块通过并行于所述第一例程执行第三例程而确定是否重置所述操作控制模块。
11.一种控制方法,包括:
使用操作控制模块控制交通工具系统的操作;
当所述操作控制模块未通过完整性测试时检测所述操作控制模块中的故障;
当检测到所述故障时采取补救措施;以及
当检测到所述故障并且未采取所述补救措施时重置所述操作控制模块,
其中所述补救措施包括禁用所述交通工具系统。
12.根据权利要求11所述的控制方法,还包括当所述操作控制模块在预定间隔时不维修看门狗定时器模块时重置所述操作控制模块。
13.根据权利要求11所述的控制方法,还包括通过指示所述操作控制模块停止维修看门狗定时器模块而重置所述操作控制模块。
14.根据权利要求11所述的控制方法,还包括通过执行内部重置而重置所述操作控制模块。
15.根据权利要求11所述的控制方法,其中所述补救措施还包括致动维修指示器。
16.根据权利要求11所述的控制方法,其中所述完整性测试包括程序序列观察测试、校验和测试、栈溢出测试、算术逻辑单元测试和配置寄存器测试。
17.根据权利要求11所述的控制方法,还包括通过执行第一例程而控制所述交通工具系统以及通过并行于所述第一例程执行第二例程而执行所述完整性测试。
18.根据权利要求17所述的控制方法,还包括通过并行于所述第一例程执行第三例程而确定是否重置所述操作控制模块。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261610696P | 2012-03-14 | 2012-03-14 | |
| US61/610696 | 2012-03-14 | ||
| US61/610,696 | 2012-03-14 | ||
| US13/461,056 | 2012-05-01 | ||
| US13/461,056 US9058419B2 (en) | 2012-03-14 | 2012-05-01 | System and method for verifying the integrity of a safety-critical vehicle control system |
| US13/461056 | 2012-05-01 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103309344A CN103309344A (zh) | 2013-09-18 |
| CN103309344B true CN103309344B (zh) | 2016-12-28 |
Family
ID=49044147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310081522.4A Expired - Fee Related CN103309344B (zh) | 2012-03-14 | 2013-03-14 | 验证安全关键的交通工具控制系统的完整性的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9058419B2 (zh) |
| CN (1) | CN103309344B (zh) |
| DE (1) | DE102013203358A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9207661B2 (en) * | 2007-07-20 | 2015-12-08 | GM Global Technology Operations LLC | Dual core architecture of a control module of an engine |
| KR101470162B1 (ko) * | 2013-05-30 | 2014-12-05 | 현대자동차주식회사 | 메모리 스택 사이즈 모니터링 방법 |
| US9238465B1 (en) * | 2014-10-13 | 2016-01-19 | Ford Global Technologies, Llc | Road emergency activation |
| DE102015202326A1 (de) * | 2015-02-10 | 2016-08-11 | Robert Bosch Gmbh | Verfahren zum Betreiben einer Datenverarbeitungseinheit eines Fahrerassistenzsystems und Datenverarbeitungseinheit |
| US9672095B2 (en) * | 2015-09-21 | 2017-06-06 | Nxp Usa, Inc. | Safety level specific error response scheme for mixed criticality systems |
| US9805526B2 (en) * | 2015-12-11 | 2017-10-31 | The Boeing Company | Fault monitoring for vehicles |
| US10018267B2 (en) | 2016-03-11 | 2018-07-10 | Ford Global Technologies, Llc | Vehicle transmission control module reset detection and mitigation |
| JP6864992B2 (ja) * | 2016-04-28 | 2021-04-28 | 日立Astemo株式会社 | 車両制御システム検証装置及び車両制御システム |
| JP6736980B2 (ja) * | 2016-05-27 | 2020-08-05 | オムロン株式会社 | システムおよび半導体装置 |
| JP6812737B2 (ja) * | 2016-10-07 | 2021-01-13 | オムロン株式会社 | 演算装置および制御装置 |
| JP2020517028A (ja) * | 2017-04-17 | 2020-06-11 | モービルアイ ヴィジョン テクノロジーズ リミテッド | 運転関連システムを含む安全なシステム |
| JP6762281B2 (ja) * | 2017-08-22 | 2020-09-30 | 日立オートモティブシステムズ株式会社 | スタックオーバーフロー検知装置及び車両制御システム |
| EP3816741B1 (en) * | 2019-10-31 | 2023-11-29 | TTTech Auto AG | Safety monitor for advanced driver assistance systems |
| CN114936047A (zh) * | 2022-04-21 | 2022-08-23 | 江铃汽车股份有限公司 | Ivi系统恢复出厂设置方法、系统、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6892129B2 (en) * | 2002-01-28 | 2005-05-10 | Denso Corporation | Vehicle electronic control system and method having fail-safe function |
| US7251551B2 (en) * | 2003-09-24 | 2007-07-31 | Mitsubishi Denki Kabushiki Kaisha | On-vehicle electronic control device |
| CN101523038A (zh) * | 2006-10-10 | 2009-09-02 | 罗伯特·博世有限公司 | 用于对内燃机的发动机控制系统的功能能力进行监控的方法和装置 |
| CN102221834A (zh) * | 2010-04-19 | 2011-10-19 | 通用汽车环球科技运作有限责任公司 | 确保汽车应用分布式网络上微处理器的安全完整性的方法 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5815730A (ja) * | 1981-07-21 | 1983-01-29 | Nippon Denso Co Ltd | 車両用速度制御装置 |
| JP2692497B2 (ja) * | 1992-06-29 | 1997-12-17 | 株式会社デンソー | 車両用乗員保護システムの故障検出装置 |
| JP3135772B2 (ja) * | 1993-12-27 | 2001-02-19 | アスコ株式会社 | 車両用安全装置 |
| JP3752022B2 (ja) | 1995-08-25 | 2006-03-08 | 株式会社デンソー | 故障診断機能付き電子制御装置 |
| JPH11294252A (ja) * | 1998-04-13 | 1999-10-26 | Denso Corp | 電子制御装置 |
| US6625688B1 (en) | 1999-05-10 | 2003-09-23 | Delphi Technologies, Inc. | Method and circuit for analysis of the operation of a microcontroller using signature analysis of memory |
| US6330499B1 (en) * | 1999-07-21 | 2001-12-11 | International Business Machines Corporation | System and method for vehicle diagnostics and health monitoring |
| US20020045952A1 (en) | 2000-10-12 | 2002-04-18 | Blemel Kenneth G. | High performance hybrid micro-computer |
| JP4391724B2 (ja) * | 2001-06-08 | 2009-12-24 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | 車両の駆動シーケンス制御の監視方法及びその装置 |
| US6775609B2 (en) * | 2001-09-27 | 2004-08-10 | Denso Corporation | Electronic control unit for vehicle having operation monitoring function and fail-safe function |
| US7055060B2 (en) | 2002-12-19 | 2006-05-30 | Intel Corporation | On-die mechanism for high-reliability processor |
| JP4080980B2 (ja) * | 2003-09-26 | 2008-04-23 | 三菱電機株式会社 | 電子制御装置 |
| WO2005036285A1 (de) | 2003-10-08 | 2005-04-21 | Continental Teves Ag & Co. Ohg | Integriertes mikroprozessorsystem für sicherheitskritische regelungen |
| DE102005037246A1 (de) | 2005-08-08 | 2007-02-15 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Steuerung eines Rechnersystems mit wenigstens zwei Ausführungseinheiten und einer Vergleichseinheit |
| US7631245B2 (en) | 2005-09-26 | 2009-12-08 | Sandisk Il Ltd. | NAND flash memory controller exporting a NAND interface |
| US7747897B2 (en) | 2005-11-18 | 2010-06-29 | Intel Corporation | Method and apparatus for lockstep processing on a fixed-latency interconnect |
| DE102005055067A1 (de) | 2005-11-18 | 2007-05-24 | Robert Bosch Gmbh | Vorrichtung und Verfahren zum Beheben von Fehlern bei einem wenigstens zwei Ausführungseinheiten mit Registern aufweisenden System |
| US7671482B2 (en) * | 2007-02-02 | 2010-03-02 | Gm Global Technology Operations, Inc. | Hydrogen powered vehicle refueling strategy |
| JP4433006B2 (ja) | 2007-07-04 | 2010-03-17 | 株式会社デンソー | マルチコアの異常監視装置 |
| US9207661B2 (en) | 2007-07-20 | 2015-12-08 | GM Global Technology Operations LLC | Dual core architecture of a control module of an engine |
| JP4776610B2 (ja) * | 2007-11-26 | 2011-09-21 | 三菱電機株式会社 | 監視制御回路を有する車載電子制御装置 |
| JP4525762B2 (ja) * | 2008-02-04 | 2010-08-18 | 株式会社デンソー | 車両用電子制御装置 |
| JP4454672B2 (ja) * | 2008-06-13 | 2010-04-21 | 三菱電機株式会社 | 監視制御回路を有する車載電子制御装置 |
| JP4959818B2 (ja) * | 2010-02-04 | 2012-06-27 | 三菱電機株式会社 | 電子制御装置 |
| JP2014035730A (ja) * | 2012-08-10 | 2014-02-24 | Hitachi Automotive Systems Ltd | 車両用制御装置 |
-
2012
- 2012-05-01 US US13/461,056 patent/US9058419B2/en not_active Expired - Fee Related
-
2013
- 2013-02-28 DE DE201310203358 patent/DE102013203358A1/de not_active Withdrawn
- 2013-03-14 CN CN201310081522.4A patent/CN103309344B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6892129B2 (en) * | 2002-01-28 | 2005-05-10 | Denso Corporation | Vehicle electronic control system and method having fail-safe function |
| US7251551B2 (en) * | 2003-09-24 | 2007-07-31 | Mitsubishi Denki Kabushiki Kaisha | On-vehicle electronic control device |
| CN101523038A (zh) * | 2006-10-10 | 2009-09-02 | 罗伯特·博世有限公司 | 用于对内燃机的发动机控制系统的功能能力进行监控的方法和装置 |
| CN102221834A (zh) * | 2010-04-19 | 2011-10-19 | 通用汽车环球科技运作有限责任公司 | 确保汽车应用分布式网络上微处理器的安全完整性的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103309344A (zh) | 2013-09-18 |
| US20130246866A1 (en) | 2013-09-19 |
| US9058419B2 (en) | 2015-06-16 |
| DE102013203358A1 (de) | 2013-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103309344B (zh) | 验证安全关键的交通工具控制系统的完整性的系统和方法 | |
| US8527139B1 (en) | Security systems and methods with random and multiple change-response testing | |
| KR20190079809A (ko) | 결함 주입 테스트 장치 및 그 방법 | |
| CN103661378B (zh) | 具有图形微处理器的车辆的主动安全系统 | |
| US10127161B2 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
| CN101896943A (zh) | 车辆信息存储设备 | |
| CN105034808B (zh) | 一种双系统全虚拟汽车仪表系统、工作方法及汽车 | |
| CN103576545B (zh) | 有效保障控制设备的安全临界功能的方法和控制设备 | |
| US11001211B2 (en) | Method and system for secure signal manipulation for testing integrated safety functionalities | |
| EP2113087B1 (en) | System and computer program product for testing a logic circuit | |
| US20100174448A1 (en) | Method and device for operating a control unit | |
| US9830751B2 (en) | System and method for clearing a readiness bit when a control module of a vehicle is reprogrammed | |
| Munir | Safety Assessment and Design of Dependable Cybercars: For today and the future | |
| CN105868060B (zh) | 用于运行驾驶员辅助系统的数据处理单元的方法和数据处理单元 | |
| JP2015022622A (ja) | 自動車用電子制御装置 | |
| US9214045B1 (en) | Flash memory express erase and program | |
| CN105015346B (zh) | 带有语音提示功能的虚拟汽车仪表系统、工作方法及汽车 | |
| US11040715B2 (en) | Activity monitor | |
| US20180060147A1 (en) | Processor system and method for monitoring processors | |
| JP5733429B2 (ja) | 情報処理装置及び情報処理方法 | |
| JP6741353B2 (ja) | 制御装置および制御装置の故障時処理方法 | |
| CN105015345B (zh) | 整体式汽车虚拟仪表系统、工作方法及安装该系统的汽车 | |
| JP2001350735A (ja) | 複数データ処理装置間相互監視方法 | |
| US20170199834A1 (en) | Vehicle subsystem communication arbitration | |
| US20220222135A1 (en) | Electronic control device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161228 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |