车辆设备控制系统的控制器以及功能安全控制方法与流程

本公开涉及汽车电子领域，特别地涉及用于车辆设备控制系统的控制器、具有该控制器的车辆设备控制系统以及用于该控制器的功能安全控制的方法。

背景技术：

在开发车辆控制系统的电子控制器的控制软件过程中，为了满足道路车辆功能安全iso26262标准对乘客人身安全伤害的苛刻要求，必须实施很多复杂的功能安全措施和/或要求。

由于汽车的自动变速器自身具有针对不同性能、类型和技术上的功能控制要求，因此变速器控制单元(transmissioncontrolunit，tcu)必须在现有变速器功能控制基础上进行大量更改和特殊设计以匹配不同变速器内的各种机械机构。这种大量的功能控制要求与功能安全要求复杂交错，为tcu的控制软件设计带来巨大的挑战。

因此，存在对诸如车辆变速器控制系统的车辆设备控制系统的控制器进行功能安全控制的改进的需求。

技术实现要素：

本公开旨在提出用于车辆设备控制系统的控制器，具有该控制器的车辆设备控制系统以及用于该控制器的功能安全控制的方法，以便在对车辆设备控制系统进行功能安全控制改造过程中显著减少系统开发的复杂度，满足道路车辆功能安全标准的要求。

根据本公开的一方面，提出一种用于车辆设备控制系统的控制器，所述控制器包括：

功能控制单元，被配置为监测所述车辆的第一参数以及响应于所述第一参数控制所述车辆的设备；

功能安全单元，被配置为监测所述车辆的满足功能安全级别的第二参数，基于所述第二参数确定导致乘客安全伤害的故障，以及响应于所述导致乘客安全伤害的故障输出控制所述车辆进入安全状态的第一使能信号。

根据一个实施例，所述功能安全单元包括：

安全目标监测子单元，被配置为基于满足功能安全级别的输入确定所述导致乘客安全伤害的故障中由所述车辆的设备失效导致的第一故障，以及响应于所述第一故障输出所述第一使能信号；

控制器完整性监测子单元，被配置为基于所监测的所述第二参数，向所述安全目标监测子单元提供满足功能安全级别的运行环境以及所述输入，以及确定所述导致乘客安全伤害的故障中由所述运行环境失效导致的第二故障并且响应于所述第二故障输出所述第一使能信号。

根据本公开的另一方面，提出一种车辆设备控制系统，包括：如上所述的控制器；第一驱动器，用于驱动所述车辆的设备的执行器；外部监测单元，用于监测所述功能安全单元的故障以及在检测到故障时输出第二使能信号；以及功能安全驱动器，用于驱动所述车辆的设备的执行器以使所述车辆进入安全状态。

根据本公开的又一方面，提出一种用于车辆设备控制系统的控制器的功能安全控制的方法，包括：监测所述车辆的第一参数以及响应于所述第一参数控制所述车辆的设备；监测所述车辆的满足功能安全级别的第二参数；基于所述第二参数确定导致乘客安全伤害的故障；以及响应于所述导致乘客安全伤害的故障输出控制所述车辆进入安全状态的第一使能信号。

根据本公开的再一方面，提出一种计算机可读存储介质，其上存储有计算机程序，该计算机程序包括可执行指令，当该可执行指令被处理器执行时，实施如上所述的方法。

根据本公开的再一方面，提出一种电子设备，其特征在于，包括处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器设置为执行所述可执行指令以实施如上所述的方法。

通过采用本公开的控制器、车辆设备控制系统以及控制器的功能安全控制方法，基于适用于车辆设备控制系统的功能安全系统架构，对车辆设备控制系统中的功能安全级别的不同特性统一故障安全概念，在满足道路车辆功能安全iso26262标准的前提下实现车辆功能安全目标，保证乘客人身安全需求，并且尽可能不影响车辆设备控制系统的现有控制程序，显著减少系统开发复杂度。

附图说明

通过参照附图详细描述其示例性实施例，本公开的上述和其它特征及优点将变得更加明显。

图1为根据本公开的一个实施例的用于车辆设备控制系统的示意性框图；

图2为根据本公开的一个实施例的用于车辆设备控制系统的控制器的功能安全控制的方法的示意性流程图；

图3为图2所示的用于车辆设备控制系统的控制器的功能安全控制的方法的步骤的子步骤的示意性流程图；以及

图4为根据本公开的一个实施例的电子设备的示意性框图。

具体实施方式

现在将参考附图更全面地描述示例性实施例。然而，示例性实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施方式；相反，提供这些实施方式使得本公开将全面和完整，并将示例性实施例的构思全面地传达给本领域的技术人员。在图中，为了清晰，可能会夸大部分元件的尺寸或加以变形。在图中相同的附图标记表示相同或类似的结构，因而将省略它们的详细描述。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而没有所述特定细节中的一个或更多，或者可以采用其它的方法、元件等。在其它情况下，不详细示出或描述公知结构、方法或者操作以避免模糊本公开的各方面。

首先介绍本公开中涉及的关于车辆安全的标准相关的内容。道路车辆功能安全标准iso26262由标准iec61508派生，属于适用于量产乘用车的国际标准，最新版本发布于2018年。iso26262标准主要定位于电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准。iso26262标准仅针对安全相关的车辆电子电气系统，包含电机、电子与软件零件，一般不应用于非电子电气系统(如机械、液压器件等)。

asil(automotivesafetyintegritylevel，汽车安全完整性等级)则是iso26262标准根据安全风险程度对车辆系统或车辆系统的组成部分，例如针对车辆设备的控制系统及其控制器所确定的安全需求等级。asil被划分为由a到d依次升高的功能安全需求等级，例如高等级b的功能安全要求比低等级a的功能安全要求更苛刻，按照等级b的功能安全要求开发的车辆控制程序可以应用于等级a要求的车辆系统中，但是反之不行。asil要求符合等级要求的车辆控制系统中的每个相关部分都具有相应或更高的等级要求。但是，一定数量的低等级要求的部件和数据的组合可以达到高等级要求的标准。例如，多个满足等级b的功能安全要求的控制部件或数据的组合，有可能满足等级c的功能安全要求。

在对现有的车辆部件控制系统进行符合iso26262标准的改造升级过程中，对控制系统的现有软件进行修改的工作量巨大。以车辆的动力传输系统的控制器tcu为例，汽车的变速器具有不同的性能、类型和技术上的功能要求，则现有的tcu功能控制方案中具有复杂和成熟的控制流程。这些tcu功能控制方案中虽然也存在对车辆部件故障的相应监测、诊断和响应处理步骤，但是不一定满足iso26262标准的功能安全要求。如果对现有tcu功能控制程序进行修改和升级，则需要考虑的控制逻辑和数据参数非常多，并且在修改过程中存在对成熟的动力传输过程的性能影响，甚至产生新的程序缺陷(诸如程序bug)的可能。因此，如何在满足道路车辆功能安全标准iso26262的基本要求前提下尽可能少地修改现有的控制程序，是本申请的主要关注点之一。

本领域技术人员可以理解，本公开的描述中对动力传输系统的tcu的改进方案仅仅是示例性的，用于更清楚地阐述本公开的思路及其优点，而不用于限制本公开的应用场景。任何在车辆系统中使用控制器控制设备的车辆设备控制系统及其控制器(例如ecu)都是本公开方案的应用场景，例如车辆的制动控制系统、照明控制系统、空调控制系统及其相应的控制器(ecu)等。在本公开的示例性实施例中，主要应用于低压控制系统，但是本公开的发明构思在可适用的情况下，也可以应用于车辆的其它设备控制系统的功能安全要求的改造。

在本公开的实施例中，提出“失效-安全(fail-safe)”概念。“失效-安全”适用于各种不同类型的动力传输系统的控制器tcu。在功能安全控制中，如果检测到可能导致乘员的人身安全伤害的故障(例如最坏的故障情况下)，则tcu或者车辆设备控制系统中位于tcu外部的外部监测单元能够向设备发送用于关闭与导致该功能安全故障/失效或者能够避免或消除该功能安全故障/失效状态的相关执行器控制命令，使车辆进入一种车辆安全状态。这种“失效-安全”概念基于如下基本设定：关闭相应的执行器可以使诸如动力传输系统(变速器)的车辆设备控制系统所对应的设备在固定的容错时间间隔内进入该车辆的安全机械状态，在该安全机械状态内可以认为车辆在任何驾驶场景里都满足iso26262标准规定的安全定义。例如，tcu可以在动力传输系统出现功能安全故障时，脱开变速器的传动机构的结合以完全断开车辆发动机或电动机在驱动轴上的动力输出，使车辆滑行至停止。

基于上述概念和设定，提出用于车辆设备控制系统及其控制器的功能安全系统架构。需要注意的是，当控制器tcu在监测设备的工作状态时识别或确定出一个违反功能安全目标的设备故障或失效时，控制器tcu响应地关断相应的执行器。如果车辆设备由于该执行器的关断能够使车辆进入安全状态，例如不再存在对乘客的人身安全伤害，那么可以应用上述功能安全系统架构简化对现有车辆功能控制系统的功能安全要求改造。但是，如果上述执行器的关断导致车辆进入危险状态，则不能使用该功能安全架构简化对现有车辆功能控制系统的功能安全要求改造。

下面将参考附图1详细介绍根据本公开的实施例的车辆设备控制系统及其控制器的示例性结构。

车辆设备控制系统10包括控制器100，输入200，电源300，电源监测单元310，外部监测单元400，驱动器111，功能安全驱动器500，以及执行器600。图中的实线表示诸如电压或电流的电力连接或机械(直接或间接)连接，虚线表示信号和数据通信连接。

控制器100包括功能控制单元110和功能安全单元120。功能安全单元120包括安全目标监测子单元121和控制器完整性监测子单元122。基于本公开的功能安全系统架构在控制器100中分为三个层，分别是功能控制单元110构成的基础功能层bfl，安全目标监测子单元构成的功能安全目标监控层sgm和控制器完整性监测子单元122构成的功能安全完整性监控层fsi。每个层的控制软件可以相对独立地设计和配置，并且相互之间存在数据和状态交互。

基础功能层bfl的功能控制单元110相当于没有针对iso26262标准进行修改的控制器100的控制单元。现有的车辆功能控制系统的功能控制单元110的功能控制要求是由设备的功能要求决定的，例如取决于车辆动力传输系统的变速器的结构、类型和技术功能指标。

功能控制单元110用于监测控制器100从输入200接收的各种参数，以及响应于该参数控制车辆的设备。输入200的参数可以来自车辆的各种传感器的检测信号或来自can总线。输入200的参数可以是诸如电压或电流的电气测量数据，也可以是诸如位置、压力或流量等的物理测量数据，也可以是经处理的数据或程序代码或控制指令。从输入200接收的参数也可以是指示数据，诸如车辆各个设备或子系统的运行状态或故障标识。

功能控制单元110监测所接收的参数所指示的车辆状态，以及根据参数进行进一步处理、确定参数与预定值之间的偏差或响应于相应的参数执行相应的控制。例如，如果基于参数确定车辆的设备存在故障或偏差，可以确定故障的位置或来源，并且输出相应指令或相应以控制执行器驱动器111消除故障或偏差，或者输出故障指示或警示。基础功能层bfl的功能控制单元110主要的目的在于保证车辆设备的正常运行，也包括保证车辆安全的故障检测和响应。但是功能控制单元110的故障监测和响应的目的在于优先保证车辆设备的功能正常。功能控制单元110对于故障的监测和响应一般基于定性分析，因此其响应速度相对较快。根据本公开的实施例，功能控制单元110也可以响应于监测到的设备故障或失效进行降级模式运行。

执行器驱动器111作为一般致动路径，可以通过执行器接口向功能控制单元110传输一个或多个执行器或执行器组600的状态，以及从功能控制单元110接收控制车辆设备的对应执行器600的输出或控制指令。

虽然处于基础功能层bfl的控制功能也可以监测故障，但是一般达不到道路车辆功能安全iso26262的功能安全目标要求。功能安全单元120用于对控制器100的控制功能进行改进，其功能安全目标要求由iso26262决定，主要针对可能导致车辆的乘客的人身安全伤害的设备故障或失效。asil则对功能安全要求划分从级别a至d的逐级升高的安全级别。

功能安全单元120用于监测从输入200接收的参数中满足asil规定的功能安全级别的参数，并基于该高功能安全级别的参数确定不满足iso26262标准的功能安全目标的设备故障或失效，即可能导致乘客安全伤害的设备故障或失效，以及响应于该故障或失效输出能够控制车辆进入安全状态的使能信号c120。

输入200向控制器100提供的参数可能不满足asil规定的安全级别，因此需要对参数进行修改或调整以使其安全级别达到iso26262标准所对应的安全级别。例如，当车辆设备控制系统10需要满足iso26262标准中的asild安全级别时，来自传感器和can总线的输入数据可能是c安全级别的参数，则需要对参数进行调整。调整例如但不限于提高输入参数的采样精度、采样数量、输入来源的数量和可信度、冗余校验级别等。根据本公开的实施例，也可以采用多个低安全级别的输入数据整合为更高安全级别的输入数据，更新输入200的原始数据定义和数值以获得符合asil安全级别的参数。

安全目标监测子单元121用于基于上述满足asil功能安全级别的参数确定可能导致乘客安全伤害的故障或失效中由车辆设备故障或失效导致的故障，以及响应于该设备故障或失效导致的故障输出使能信号c120以驱动功能安全驱动器500。功能安全驱动器500则控制(例如关断)车辆的一个或多个相应的执行器或执行器组600，以使车辆处于安全状态。使能信号c120为针对车辆设备的功能安全的故障/失效指示或控制命令，例如可以采用逻辑值(真或假，即1或0)的形式以便于逻辑处理。

处于功能安全目标监控层sgm的安全目标监测子单元121用于监控车辆设备的功能安全目标是否违反iso26262标准规定的功能安全目标。功能安全目标可以是诸如阈值指标或目标函数的形式。所有的针对功能安全目标的安全逻辑运算机制都在安全目标监测子单元121实现，这些逻辑运算机制通常由故障/失效检测和故障/失效响应两部分组成。安全目标监测子单元121从控制器完整性监测子单元122接收满足asil功能安全级别的输入数据，对输入数据进行逻辑运算并且将运算的结果与功能安全目标进行比较。功能安全目标监控层sgm与基础功能层bfl对设备故障/失效的检测的区别在于，安全目标监测子单元121需要定量地分析故障/失效覆盖功能安全目标的可能，也就是说，考虑各种故障对于功能安全目标的影响。当运算结果不满足功能安全目标的要求时，确定车辆设备存在可能导致乘客安全伤害的故障或失效中由车辆设备故障或失效导致的故障，即输入数据所指示的车辆被确定存在足以影响车辆和乘客人身安全的故障/失效的指示。是否不满足(即违规)功能安全目标的判断不仅基于某个输入数据的逻辑运算或判断结果，也考虑与可能导致所检测到的故障/失效有关的其它输入数据，最终给出车辆的当前状态是否在功能安全上可靠的指示。

故障/失效响应一般是针对功能安全的故障指示或警示，输出使能微控制器的例如真值的指令或标志，如上文所述的使能信号c120。与处于基础功能层bfl的功能控制单元110不同的是，处于功能安全目标监控层sgm的安全目标监测子单元121对于故障/失效的响应优先考虑满足功能安全要求，即消除车辆乘客的人身安全伤害，而将车辆的功能正常置于次要位置。安全目标监测子单元121会使用一些系统性的策略保证失效检测的可靠性，进而使用满足asil规定的功能安全要求的独立路径控制车辆进入安全状态，即通过控制功能安全驱动器500而不是驱动器111驱动车辆设备的执行器600。

由于功能安全目标监控层sgm进行定量的逻辑运算，所以其故障检测和运算速度可能低于基础功能层bfl的速度。例如，当安全目标监测子单元121还没有基于输入数据确定故障时，功能控制单元110已经确定车辆设备的故障并控制驱动器111使执行器600调整相应设备或部件的状态，使得故障已经被消除。根据本公开的实施例，安全目标监测子单元121还可以在确定故障之前，与功能控制单元110进行数据交互，参考功能控制单元110的输出确定导致乘客安全伤害的故障中由车辆设备失效导致的故障。

功能安全目标监控层sgm保证基于正确的输入数据可以逻辑计算出正确的故障/失效检测结果，而为功能安全完整性监控层fsi的控制器完整性监测子单元122则用于基于所监测的满足asil规定的功能安全级别的参数，向安全目标监测子单元121提供满足功能安全级别的运行环境以及上述满足asil规定的功能安全级别的输入数据。此外，控制器完整性监测子单元122还确定导致乘客安全伤害的故障中由运行环境失效导致的故障，以及响应于由运行环境失效/故障导致的故障向功能安全驱动器500输出上述使能信号c120。

设置功能安全完整性监控层fsi的控制器完整性监测子单元122的目的在于保证监测控制器100的功能安全的完整性。功能安全目标监控层sgm用于正确地逻辑计算故障/失效的检测结果，而功能安全完整性监控层fsi则保证功能安全目标监控层sgm是基于正确的输入数据和正确的数据处理环境进行逻辑计算。根据本公开的实施例，控制器完整性监测子单元122不监测功能安全目标监控层sgm的逻辑计算过程的正确性。因此，功能安全目标监控层sgm和功能安全完整性监控层fsi的两个子单元121和122分别关注于由于不同故障/失效导致的乘客安全伤害的故障，并且并行运行以独立触发功能安全故障/失效的指示并输出使能信号c120。

控制器完整性监测子单元122保证输入数据和环境完整性包括但不限于：保证从输入200接收的满足asil规定的功能安全级别的参数(即功能安全监测子单元121的输入数据)，确保控制器100的微处理器uc的安全运行机制，确保控制软件的存储可靠性，监控控制程序流的运行可靠性，外部监测单元的可靠性交互以及电源监测等。控制器完整性监测子单元122关注所有可能导致功能安全目标监控层sgm的安全目标监测子单元121不能正常运行的故障。当存在输入数据和运行环境完整性的故障/失效时，例如从输入200接收的应当满足asil规定的功能安全级别的参数不满足对应功能安全级别(导致不正确的输入数据)，控制器100的处理器存在安全故障(导致不正确地运行控制程序的逻辑运算)，控制器100的存储器存在故障(导致读取或写入的数据不正确，以及由于诸如ram的运行存储器错误导致逻辑运算不正确)，控制器100的程序运行故障(程序bug)，车辆设备控制系统10的外部监测单元400的故障(导致控制器100本身出现故障)，以及控制器100的电源300的故障(导致供电波动而烧毁控制器100、控制器100无法工作或工作不可靠)，控制器完整性监测子单元122确定存在由输入数据和运行环境完整性失效导致的故障并且触发使能信号c120的输出。

由于处于功能安全目标监控层sgm的安全目标监测子单元121和处于功能安全完整性监控层fsi的控制器完整性监测子单元122相比基础功能层bfl的功能控制单元110更关注于车辆的功能安全目标，因此子单元121和122的故障响应优先级一般高于功能控制单元110。例如，当车辆的动力传输系统出现故障时，功能控制单元110的响应可能是使机械或液压部件的执行器失效来消除故障，而功能安全控制单元120的响应可能是关闭变速器来切断动力传输系统以保证车辆进入安全状态。也就是说，功能安全控制单元120在识别出违反功能安全目标的故障/失效时，可能会关断执行器600的驱动而不仅仅是关断执行器600中的一部分或驱动执行器600的一部分消除设备故障。

电源300用于向控制器100提供运行的电力。电源监测单元310监测电源300的供电状态，诸如供电电压和电流。当电源300的供电出现波动时，例如供电电压出现超过额定工作阈值的高电压、低电压或电压波动时，电源监测单元310检测到该异常变化并确定电源300出现可能导致控制器100损坏或无法正常运行的故障/失效，同时作为故障响应，向功能安全驱动器500输出使能信号c310。使能信号c310可以采用与上文的使能信号c120相同的定义和形式。

根据本公开的实施例，控制器完整性监测子单元122也可以将电源300的电力输入作为满足asil规定的功能安全级别的参数之一进行监测。这样在功能安全单元120和电源监测单元310两者进行对电源300的冗余故障监测，可以提高功能安全监测的可靠性。根据一个实施例，对电源300的电力输入的监测也可以在安全目标检测子单元121中完成。

外部监测单元400用于监测控制器100的功能安全单元120的故障/失效。根据本公开的实施例，由于功能安全单元120中的控制器完整性监测子单元122用于保证监测控制器100的功能安全的完整性，诸如包括输入数据和运行环境的正确性，所以外部监测单元400主要用于监测控制器10的完整性监测子单元122的故障/失效。外部监测单元400例如可以采用看门狗的形式，通过与完整性监测子单元122之间的交互通信验证功能安全单元120中功能安全目标监控层sgm和功能安全完整性监控层fsi的数据和程序运行环境的可靠性。这些交互通信例如但不限于数据的加密解密验证，相互询问过程中的正确和有效应答，对询问的响应时间等。当外部监测单元400确定完整性监测子单元122存在由运行环境失效导致的故障时，向功能安全驱动器500输出使能信号c400。使能信号c400可以采用与使能信号c120类似的定义和格式。

外部监测单元400与完整性监测子单元122之间的监测是双向的。完整性监测子单元122也可以通过与外部监测单元400的交互情况确定外部监测单元400是否存在故障，例如判断看门狗是否失效。如果确定外部监测单元400存在故障，则完整性监测子单元122也可以确定车辆设备控制系统10存在可能导致乘客安全伤害的故障，即将外部监测单元400也作为完整性运行环境所考虑的一部分。作为故障/失效的响应，完整性监测子单元122可以向功能安全驱动器5000输出使能信号c120。外部监测单元400与完整性监测子单元122作为运行环境完整性的冗余监测手段，可以有效保证导致乘客安全伤害的功能安全故障的监测可靠性。

功能安全驱动器500用于接收功能安全单元120输出的使能信号c120，电源监测单元310输出的使能信号c310以及外部监测单元400输出的使能信号c400中的至少一个，以及基于内部逻辑判断是否需要向执行器或执行器组600输出驱动信号或关断执行器600。

功能安全驱动器500包括逻辑单元510和开关单元520。逻辑单元510用于基于使能信号c120、c310和c400计算输出开关单元520的控制信号。根据本公开的实施例，逻辑单元510在三个使能信号中的任何一个指示存在可能导致乘客安全伤害的故障/失效时，输出开启开关单元520以驱动或关断执行器600的控制信号。在任何使能信号都指示不存在导致乘客安全伤害的故障/失效时，逻辑单元510输出关闭开关单元520的控制信号，不向执行器600输出使车辆进入安全状态的驱动信号。逻辑单元510例如可以采用或非门的简单逻辑单元或更复杂的逻辑单元的形式。

执行器600可以包括一个或多个执行器或执行器组，用于基于所接收的来自驱动器111或功能安全驱动器500的驱动或关断信号，致动车辆设备的相应元件或将相应设备关断以使车辆进入安全状态。执行器600例如可以是活塞、阀门、齿轮、杠杆、电气或机械开关等。

图2则示出根据本公开的一个实施例的用于车辆设备控制系统的控制器的功能安全控制的方法的示意性步骤。

在程序开始时，控制器100的功能控制单元110在步骤s100中检测车辆的参数以及响应于该参数控制车辆的设备。步骤s100实际上完成的是控制器100在引入道路车辆功能安全iso26262标准前由控制器100完成的基本控制功能。

与步骤s100同时，功能安全单元120的控制器完整性监测子单元122在步骤s200中监测车辆的满足asil规定的功能安全级别的参数，以及向安全目标监测子单元121提供该满足功能安全级别的参数。

接下来，在步骤s300中功能安全单元120的安全目标监测子单元121和控制器完整性监测子单元122一起基于满足功能安全级别的参数确定车辆是否存在导致乘客安全伤害的故障/失效。步骤s100与步骤s200至s400并行运行。根据本公开的实施例，步骤s100有可能在步骤s300之前已经针对车辆设备的故障完成监测并响应地完成对设备的控制，使得导致乘客安全伤害的故障已经不再存在。因此，在步骤s300中安全目标检测子单元121可以结合从步骤s100中由功能控制单元110输出的车辆参数和状态，确定车辆存在导致乘客安全伤害的故障/失效。

在确定存在导致乘客安全伤害的故障/失效后，功能安全单元120在步骤s400中响应于导致乘客安全伤害的故障输出控制车辆进入安全状态的使能信号。

图2的流程分支s100和分支s200至s400可以循环执行以连续监测车辆设备的故障。当车辆关闭后，流程结束。

图3则示例性示出图2中步骤s300的详细过程。

在步骤s310，功能安全单元120的控制器完整性监测子单元122基于所监测的满足功能安全级别的参数，向安全目标监测子单元121提供满足功能安全级别的运行环境以及满足功能安全级别的输入。

随后在步骤s320中，安全目标监测子单元121基于步骤s310中提供的输入确定导致乘客安全伤害的故障中由车辆的设备失效导致的故障，以及响应于该故障输出使能信号。

与步骤s320并列独立执行的步骤s330中，控制器完整性监测子单元122则确定导致乘客安全伤害的故障中由运行环境失效导致的故障并且响应于该故障输出使能信号。

步骤s320和s330中的至少一个完成后，继续图2中的步骤s400，将使能信号输出到例如如图1所示的功能安全驱动器500以驱动或关断执行器使车辆进入安全状态。

上文中介绍的是车辆设备控制系统10的控制单元100的功能安全控制方法的具体步骤。在车辆设备控制系统10运行时，还可以在图2所示的步骤s400之后，加入由电源监测单元310监测故障并响应地输出的使能信号以及由外部监测单元400监测故障并响应地输出的使能信号，由功能安全驱动单元500经过逻辑运算确定车辆存在导致乘客安全伤害的故障，并响应地向执行器发送驱动或关断信号，以使车辆进入安全状态。

经过本公开的实施例提出的用于车辆设备控制系统的控制器，具有该控制器的车辆设备控制系统以及用于该控制器的功能安全控制的方法，提出“失效-安全”的概念，基于适用于车辆设备控制系统的功能安全系统架构，对车辆设备控制系统中的功能安全级别的不同特性统一故障安全概念，在满足道路车辆功能安全iso26262标准的前提下实现车辆功能安全目标，保证乘客人身安全需求，并且尽可能不影响车辆设备控制系统的现有控制程序，显著减少系统开发复杂度。

应当注意，尽管在上文详细描述中提及了用于车辆设备控制系统及其控制器的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。作为模块或单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序包括可执行指令，该可执行指令被例如处理器执行时可以实现上述任意一个实施例中所述用于车辆设备控制系统的控制器的功能安全控制的方法的步骤。在一些可能的实施方式中，本公开的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书用于车辆设备控制系统的控制器的功能安全控制的方法中描述的根据本公开各种示例性实施例的步骤。

根据本公开的实施例的用于实现上述方法的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本公开的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

在本公开的示例性实施例中，还提供一种电子设备，该电子设备可以包括处理器，以及用于存储所述处理器的可执行指令的存储器。其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一个实施例中的用于车辆设备控制系统的控制器的功能安全控制的方法的步骤。

所属技术领域的技术人员能够理解，本公开的各个方面可以实现为系统、方法或程序产品。因此，本公开的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图4来描述根据本公开的这种实施方式的电子设备700。图4显示的电子设备700仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图4所示，电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于：至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元710执行，使得所述处理单元710执行本说明书用于车辆设备控制系统的控制器的功能安全控制的方法中描述的根据本公开各种示例性实施方式的步骤。例如，所述处理单元710可以执行如图2和图3中所示的步骤。

所述存储单元720可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)7201和/或高速缓存存储单元7202，还可以进一步包括只读存储单元(rom)7203。

所述存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204，这样的程序模块7205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线730可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备700也可以与一个或多个外部设备800(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备700交互的设备通信，和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口750进行。并且，电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器760可以通过总线730与电子设备700的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备700使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的用于车辆设备控制系统的控制器的功能安全控制的方法。

本领域技术人员在考虑说明书及实践这里公开的内容后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。

起点商标作为专业知识产权交易平台，可以帮助大家解决很多问题，如果大家想要了解更多知产交易信息请点击 【在线咨询】或添加微信 【19522093243】与客服一对一沟通，为大家解决相关问题。

此文章来源于网络,如有侵权,请联系删除