用于ecu任务重构的系统和方法

用于ecu任务重构的系统和方法
【专利摘要】本发明涉及用于ECU任务重构的系统和方法。所述系统和方法用于确保在任务或ECU失效的情况下车辆是可操作的。由车辆的车载单元产生并执行第一车载重构策略以将车辆置于安全状态，并且由远程中心单元产生第二离线重构策略并接着由车载单元来执行。
【专利说明】用于ECU任务重构的系统和方法
【技术领域】
[0001]总体上的【技术领域】是车辆控制和维护。
【背景技术】
[0002]车辆包括具有电子控制单元(ECU)的电气系统，所述ECU基于来自部件(例如，传感器)的输入来控制诸如致动器之类的部件。ECU执行任务以控制电气系统部件。在ECU失效或执行安全关键任务失效的情况下，重构失效的任务是维持车辆的安全操作的一种方式。然而，车辆具有受限的资源可用于执行这种重构。

【发明内容】

[0003]本文所述的各个实施方式提供了用于重构(或重新配置)ECU任务的系统和方法。所述系统和方法是成本有效的，并且在ECU失效或执行安全关键任务失效的情况下保持车辆可操作。通常，由车载单元产生并执行第一车载重构策略以将车辆置于安全状态，并且由诸如指令中心单元的远程单元产生第二离线重构策略并接着由车载单元来执行。车载重构策略的产生关注快速地找到能够将车辆置于安全状态的可行方案。离线重构策略的产生是更复杂的，并且根据试探法、故障模型和系统模型来优化车辆的操作。
[0004]根据示例性实施方式，用于重构车辆的ECU的任务的方法包括由与车辆相关联的车载单元执行的步骤以及由与指令中心相关联的远程单元(例如，指令中心单元)执行的步骤。由车载单元执行的步骤包括:检测一个或多个任务或者一个或多个ECU的失效；根据失效的任务或ECU来产生第一重构策略；执行第一重构策略；收集与ECU相关联的健康数据；以及将所述健康数据发送到远程单元。例如，重构策略被产生以:(1)重构在运行的ECU上失效(例如，由于资源限制)的任务，以在另一 ECU上被执行；或(2)重构被分配给所述失效E⑶的一个或多个任务的集合，以在一个或多个运行的E⑶上被执行。
[0005]由远程单元执行的步骤包括:根据所述健康数据、故障模型和系统模型来产生第二重构策略；以及，发送所述第二重构策略给所述车载单元。然后，所述车载单元执行所述第二重构策略。
[0006]本发明还包括以下方案:
1.一种用于重构最初被分配给车辆的第一电子控制单元ECU的任务的方法，所述方法包括:
在车载单元处与所述E⑶通信:
检测所述任务的失效;
响应于检测到所述失效产生第一重构策略，所述第一重构策略包括将所述任务再分配给所述车辆的第二 ECU ；
执行所述第一重构策略；
收集至少与所述第一 ECU相关联的健康数据；
将所述健康数据发送到远程单元； 从所述远程单元接收第二重构策略，所述第二重构策略根据所述健康数据、故障模型和系统模型被产生；以及执行所述第二重构策略。
[0007]2.根据方案I所述的方法，其中，产生所述第一重构策略包括:从预定任务重构策略集合中进行选择。
[0008]3.根据方案2所述的方法，其中，检测所述任务的失效通过检测所述第一 ECU的失效来完成，并且从所述预定任务重构策略集合中进行选择是根据所述第一 ECU来执行的。
[0009]4.根据方案I所述的方法，其中，所述第一重构策略根据如下被产生:i)涉及所述第一 ECU和所述第二 ECU中的至少一个的使用数据；以及ii)涉及所述失效任务的使用数据。
[0010]5.根据方案I所述的方法，其中，检测所述任务的失效是通过检测所述第一 ECU的失效来完成的。
[0011]6.根据方案I所述的方法，其中，所述第二重构策略包括由可靠性和可用性中的至少一者排定顺序的重构选项。
[0012]7.一种重构系统的车载单元，所述车载单元包括:
处理器；以及
与所述处理器通信的计算机可读介质，所述计算机可读介质包括当由所述处理器执行时使得所述处理器执行包括如下的动作的应用:
检测最初被分配给车辆的第一电子控制单元ECU的任务的失效；
响应于检测到所述失效产生第一重构策略，所述第一重构策略包括将所述任务再分配给所述车辆的第二 ECU ；
执行所述第一重构策略；
收集至少与所述第一 ECU相关联的健康数据；
将所述健康数据发送到远程单元；
从所述远程单元接收第二重构策略，所述第二重构策略根据所述健康数据、故障模型和系统模型被产生；以及执行所述第二重构策略。
[0013]8.根据方案7所述的车载单元，其中，产生所述第一重构策略包括:从预定任务重构策略集合中进行选择。
[0014]9.根据方案8所述的车载单元，其中，检测所述任务的失效通过检测所述第一 ECU的失效来完成，并且从所述预定任务重构策略集合中进行选择是根据所述第一 ECU来执行的。
[0015]10.根据方案9所述的车载单元，其中，任务的第一副本构造成在正常操作期间在所述第一 ECU上被执行，并且所述任务的第二副本被映射在所述第二 ECU上以供备用。
[0016]11.根据方案10所述的车载单元，其中，重构策略的选择调用了在所述第二E⑶上的所述任务的第二副本。
[0017]12.根据方案7所述的车载单元，其中，所述第一重构策略根据如下被产生:i)涉及所述第一 E⑶和所述第二 E⑶中的至少一个的使用数据；以及，ii)涉及所述失效任务的使用数据。[0018]13.根据方案7所述的车载单元，其中，检测所述任务的失效是通过检测所述第一E⑶的失效来完成的。
[0019]14.根据方案7所述的车载单元，其中，所述第二重构策略包括由可靠性和可用性中的至少一者排定顺序的重构选项。
[0020]15.一种重构系统，所述重构系统包括:
车载单元,所述车载单元包括:
处理器；以及
计算机可读介质，所述计算机可读介质包括当由所述处理器执行时使得所述处理器执行包括如下的动作的应用:
检测最初被分配给车辆的第一电子控制单元ECU的任务的失效；
响应于检测到所述失效产生第一重构策略，所述第一重构策略包括将所述任务再分配给所述车辆的第二 ECU ；
执行所述第一重构策略；
收集至少与所述第一 ECU相关联的健康数据；
将所述健康数据发送到远程单元；
从所述远程单元接收第二重构策略；以及 执行所述第二重构策略；以及 远程单元，所述远程单元包括:
处理器；以及
计算机可读介质，所述计算机可读介质包括当由所述处理器执行时使得所述处理器执行包括如下的动作的应用:
根据所述健康数据、故障模型和系统模型来产生所述第二重构策略。
[0021]16.根据方案15所述的重构系统，其中，产生所述第一重构策略包括:从预定任务重构策略集合中进行选择。
[0022]17.根据方案16所述的重构系统，其中，检测所述任务的失效通过检测所述第一ECU的失效来完成，并且从所述预定任务重构策略集合中进行选择是根据所述第一 ECU来执行的。
[0023]18.根据方案15所述的重构系统，其中，所述第一重构策略根据如下被产生:i)涉及所述第一 E⑶和所述第二 E⑶中的至少一个的使用数据；以及，ii)涉及所述失效任务的使用数据。
[0024]19.根据方案15所述的重构系统，其中，所述第二重构策略包括由可靠性和可用性中的至少一者排定顺序的重构选项。
[0025]20.根据方案15所述的重构系统，其中，产生所述第二重构策略包括:
根据所述健康数据和所述故障模型来确定失效的根本原因；以及
根据所述系统模型以及失效的根本原因来产生所述第二重构策略。
[0026]前文已经宽泛地概述各个实施方式的一些方面和特征，这些实施方式应当被认为仅描述了各种潜在的应用。通过以不同的方式应用所公开的信息或者通过结合所公开实施方式的各个方面，可获得其他有益结果。除了由权利要求书限定的范围之外，通过参考结合附图对示例性实施方式的详细说明，可获得其他方面以及更完整的理解。【专利附图】

【附图说明】
[0027]图1是与车辆和指令中心相关联的重构系统的示意图。
[0028]图2是图1的重构系统的车载单元的示意图。
[0029]图3是图1的重构系统的远程单元的示意图。
[0030]图4是图2的车载单元的软件应用的预定重构策略集合的示意图。
[0031]图5是图2的车载单元的另一软件应用的重构策略的运行时间确定的示意图。
[0032]图6是与图1的重构系统相关联的示例性重构方法的示意图。
[0033]图7是与图6的重构方法相关联的图1的重构系统的元件的示意图。
【具体实施方式】
[0034]根据需要，本文公开了详细的实施方式。必须理解的是，所公开的实施方式仅是其示例性的实施方式，并且可以各种以及另选形式及其组合来实施。如本文所使用的，词语“示例性”被宽泛地用于指代用作描述、范例、模型或样式的实施方式。附图不必按比例绘制，并且一些特征可能被放大或最小化以示出具体部件的细节。在其他情况下，本领域技术人员公知的已知部件、系统、材料或方法未被详细地描述，以便避免使得本发明晦涩。因此，本文所公开的具体结构和功能细节并不被解释为限制性的，而仅仅是作为权利要求书的基础以及作为用于教导本领域技术人员的代表性基础。
[0035]系统和方法在本文以机动车辆的背景进行描述。但是，本文所公开的系统和方法可应用于各种类型的交通工具，包括机动车辆、汽车、卡车、其他陆地交通工具、船舶、飞行器、远程操作交通工具，等等。
[0036]车辆
参考图1和图2，车辆100包括电气系统102，所述电气系统包括电子控制单元(EOT)104、电气部件105、配线线束、数据链路140以及通信总线106。电气部件105包括传感器、致动器、子系统、以及它们的组合等。示例性子系统包括发动机系统、动力系系统、变速器系统、制动系统、定时系统(或计时系统)、悬架系统等。
[0037]为了简明起见，在图1中仅示出了一个电气部件105和一个E⑶104。E⑶104和电气部件105的更详细布置在图2中被示出。E⑶104构造成借助通信总线106与电气部件105通信。
[0038]参考图2，E⑶104包括在下文更详细描述的处理器400、本地存储器402以及软件应用。每个ECU 104构造成根据来自一个或多个电气部件105的输入来控制车辆100的一个或多个电气部件105。示例性ECU包括电子/发动机控制模块、动力系控制模块、变速器控制模块、制动控制模块、中央控制模块、中央定时模块、通用电子模块、车身控制模块、悬架控制模块、转向控制模块以及其他类似控制单元和控制模块。
[0039]为了教导的目的，根据示例性实施方式，E⑶104和电气部件105两者中的某一些与安全关键任务相关联，而ECU 104和电气部件105两者中的某一些与非安全关键任务相关联。在其他实施方式中，一些ECU 104和电气部件105与安全关键任务和非安全关键任务两者都相关联，这在本文被称为混合关键程度任务。与混合关键程度任务相关联的ECU104可执行中间设备(例如，AUT0SAR)来空间地并且临时地隔离具有不同关键程度的任务。安全关键任务被如下所述地考虑，以确定由具有全部安全关键任务的ECU 104来执行还是由具有混合关键程度的E⑶104来执行。
[0040]为了描述目的，参考图2，安全关键E⑶104和电气部件105用实线示出，而非安全关键ECU 104和电气部件105用虚线示出。例如，安全关键任务控制车辆100在其自由度中的一个或多个中的运动(例如，由动力系实现的纵向加速、由制动实现的纵向减速、由转向实现侧向控制、以及由悬架实现竖直控制)。非安全关键任务例如控制驾驶员或乘员舱室的环境，例如HVAC (加热、通风和空气调节)、内部灯光、电动车窗、电动门锁、诸如无线电和CD (光盘)播放器之类的娱乐系统、导航系统，等等。
[0041]重构系统
参考图1-3，重构系统110构造成在一个或多个任务或者一个或多个E⑶104失效的情况下重构E⑶104的任务。此外，重构系统110构造成处理传感器、致动器、配线线束、通信总线中的故障、软件错误、以及它们的组合，等等。
[0042]重构系统110根据两部分重构策略来重构(或重新配置)所述任务。通常，第一重构策略利用车辆100的资源在车辆100上产生并执行，以便将车辆100置于安全状态下，而第二离线重构策略利用指令中心116的资源在指令中心116被产生，传送到车辆100并接着在车辆100上被执行。
[0043]指令中心资源的那些资源大于车辆的资源，并且可提供改善的重构。车载重构策略的产生关注的是快速地找到能够将车辆100置于安全状态下的可行方案，例如通过对一个或多个安全关键任务的重构来实现。离线重构策略的产生是更复杂的，并且根据试探法、故障模型和系统架构来优化车辆的操作，并且可包括任务(例如，安全关键和非安全关键的)以及电气部件的重构。
[0044]重构系统110包括车载单元112和远程单元114。车载单元112与车辆100相关联，并且远程单元114与指令中心116相关联。指令中心116是通常定位在遥远位置处的基础设施。示例性车载单元和远程单元包括以OnStar System?、车辆对基础设施(V2I)通信系统等进行操作的单元(OnStar是通用汽车公司的子公司OnStar，LLC的注册商标)。车载单元112和远程单元114构造成借助远程通信信道彼此通信，所述远程通信信道例如是通常用于远程信息服务的卫星通信系统或蜂窝通信系统。在示例性实施方式中，车载单元112和远程单元114中的每一个都包括收发器118、120，以有利于通信。收发器118构造成使得由车载单元112产生的信号可由收发器118来发送。由收发器118接收的信号可被传送到车载单元112、被车载单元112存储并处理，如下面将更详细地描述的那样。
[0045]以类似的方式，收发器120构造成将在远程单元114处产生的信号传送到例如车辆100的收发器118。并且收发器120构造成接收信号(例如，由车辆的收发器118发送的信号)以及将相关数据传送到远程单元114以用于存储和/或处理。
[0046]参考图2，车载单元112是在电气系统102中的一个失效的情况下将继续操作的单元。车载单元112构造成检测E⑶104的失效和单独任务失效，产生和执行稳健的车载重构策略，将车辆100置于安全状态下，发送健康数据至远程单元114，并且执行优化重构策略，所述优化重构策略由远程单元114产生并从远程单元114接收。
[0047]继续参考图2，车载单元112包括:重构管理器130 ;共享存储器132或其他有形非易失性计算机可读介质；以及存储器控制器134。共享存储器132包括全部安全关键任务410的代码图像。
[0048]重构管理器130是中央监管控制器，其构造成:监测健康数据412和检验点任务状态414 ;检测故障、单个任务失效和来自故障信号416及活动消息418的ECU失效；确定车载重构策略420 (如图7所示)；执行车载重构策略420，并且将车辆置于安全状态下；有利于并且执行离线重构策略422 (如图7所示)；确认离线重构策略422的执行；以及重新起动车辆100。例如，重构策略是可执行脚本。重构管理器130包括将在下文更详细描述的处理器430、本地存储器432和软件应用。
[0049]存储器控制器134构造成管理共享存储器132和E⑶104的本地存储器之间以及共享存储器132和重构管理器130之间的数据流。存储器控制器134包括将在下文更详细描述的处理器434、本地存储器436和软件应用。存储器控制器134借助数据链路140被连接到安全关键E⑶104，以有利于从E⑶104传送数据，以存储在共享存储器132中。重构管理器130借助通信总线106连接到E⑶104，以有利于触发E⑶104重构，如在下文更详细地描述的那样。
[0050]参考图3，远程单元114构造成产生离线重构策略422(见图7)。远程单元114包括将在下文更详细描述的处理器440、存储器442和软件应用。存储器442包括故障模型154的数据库以及系统模型(车辆架构)156的数据库。故障模型154包含:关于可能的软件或硬件部件失效的信息(例如，在一个或多个传感器、致动器、ECU处理器、ECU存储器、配线线束、通信总线和/或软件应用处的故障或错误)，这些失效发生的相对概率、及它们的依赖关系。系统模型156 (车辆架构)包含:关于实际上存在于具体车辆上的具体传感器、致动器、E⑶、配线线束、通信总线和软件应用的信息，以及它们连接所用的方式(即，其连接技术)。
[0051]软件应用
现将更详细地描述各种软件应用。通常，本文所述的软件应用被存储在本地存储器402、432、436、442中，并且包括计算机可执行指令，所述计算机可执行指令在由处理器400、430、434、440执行时实施本文所述的方法步骤。
[0052]虽然本文所述的方法有时可能以计算机可执行指令的一般背景来描述，但是本发明的方法还可结合其他程序模块和/或作为软件和硬件的组合被实施。术语“应用”及其变形在本文被宽泛地用于包括例程、程序模块、程序、组成部分、数据结构、算法，等等。应用可在各种系统构造上被实施，这些系统构造包括服务器、联网系统、单处理器或多处理器系统、微型计算机、大型计算机、个人计算机、手持式计算装置、移动装置、基于微处理器的可编程消费电子装置、以及它们的组合等等。每个软件应用可包括至少一个有形非易失性硬件部件。
[0053]计算机可读介质例如包括易失性介质、非易失性介质、可移除介质、和不可移除介质。术语“计算机可读介质”及其变形在本说明书和权利要求书中被用于指代有形非暂态存储介质。在一些实施方式中，存储介质包括易失性和/或非易失性、可移除和/或不可移除的介质，例如，随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPR0M)、固态存储器或其他存储技术、CD ROM、DVD、BLU-RAY或其他光盘存储装置、磁带、磁盘存储装置或其他磁存储装置。
[0054]参考图2，为了清楚起见，现将描述与ECU 104中的一个相关联的示例性软件应用。应当理解的是，这些描述可被应用到每个其他E⑶104。E⑶104包括任务应用202、任务状态应用204、ECU故障应用206、重构状态应用208、新任务应用210和健康数据应用212。
[0055]任务应用202包括与基于来自电气部件105中相应电气部件(例如，传感器)的输入来控制电气部件105中相应电气部件(例如，致动器)相关联的任务。
[0056]状态检查应用204包括用于将每个任务的检查点任务状态定期地发送到存储器控制器134的指令。该状态是任务状况，并且检查点状态是在检查点时刻的状态。例如，如果(sl，s2,…，sn)是在时间?时在E⑶上执行的/?个任务(tl，t2,…，tn)的单独状态，那么检查点状态414是在检查点时间?时的单个状态(sl，s2,…，sn)的集合。从故障中恢复的任务(例如，tl)可使用被包含在检查点状态414中的其对应的状态(例如，Si)。状态信息可包含涉及全局存储器、任务状态、被传送的消息等等的信息。检查点任务状态414被存储器控制器134存储在共享存储器132中，以用于取回，使得与从任务的开始点启动相反，能够以检查点任务状态414来重启任务。
[0057]故障应用206包括用于发送任务和硬件故障信号416以及活动信息418至重构管理器130的指令。故障信号416是事件触发的信号，其表明具体检测到故障的发生(例如，失效的传感器、受损的存储器或有故障的处理器)。活动消息418是表明具体资源(例如，处理器或通信总线)的连续可用性的周期性消息。如将在下文更详细地描述的那样，故障信号416或活动消息418可被用于检测失效事件。
[0058]重构状态应用208包括用于发送重构状态至重构管理器130的指令。
[0059]新任务应用210包括用于执行重构策略420 (包括新计划安排的任务)的指令，并且确保该重构策略的完成。新任务应用210执行任务的第二副本。为了开始其中任务的第一副本被停止的任务的第二副本，新任务应用210包括将检查点任务状态414从共享存储器132复制到相应E⑶104的本地存储器402中的指令。新任务应用210还构造成确认所执行的任务的第二副本的成功完成，或`通知重构管理器130执行不同的重构策略420或重构策略选项。
[0060]健康数据应用212包括用于使得E⑶104将健康数据412发送到存储器控制器134以被存储在共享存储器132中的指令。健康数据412被收集以用于诊断目的，并且包括任务、状态、时间、失效任务、失效ECU、任务的执行历史、检查点任务状态414、故障信号416、活动消息418、以及它们的概要，等等。
[0061 ] 现将描述与存储器控制器134相关联的示例性软件应用。状态保存应用220构造成将检查点任务状态414存储在共享存储器132中。健康数据保存应用222构造成将健康数据412存储在共享存储器132中。
[0062]现将描述与重构管理器130相关联的软件应用。重构管理器130包括故障检测应用230、车载重构应用232、安全状态应用234、健康数据236应用、车外重构应用238和重构状态应用240。
[0063]失效检测应用230包括用于根据从E⑶104接收或未接收到的故障信号416或活动消息418来检测失效的指令。如果接收到故障信号416，则检测到失效。另选地，如果未接收到活动消息418，则检测到失效。
[0064]车载重构应用232包括在检测到E⑶104或任务失效时产生并执行车载重构策略420的指令。参考图4和图5，更详细地描述了用于产生示例性车载重构策略420的指令。参考图4，用于产生第一示例性车载重构策略420的指令包括从已经先前被限定的不同重构策略中进行选择。在该实施方式中，多个ECU 104包括在本地存储器402中的任务副本。每个任务的第一副本构造成在正常操作期间在其中一个ECU 104上被执行。任务的第二副本被映射在其他E⑶104上备用。车载重构应用232选择这些重构策略中的一个，所述重构策略指令重构管理器130在任务的第一副本失效或者在其上执行第一副本的ECU 104失效的情况下将调用哪个任务的第二副本。任务的第二副本被映射到其他ECU 104上，以这样的方式使得全部任务的第一副本都具有可在其他ECU 104上被调用的第二副本。
[0065]图4示出了示例性预定映射策略，所述预定映射策略有利于由车载重构应用232根据ECU 104中失效的ECU来选择车载重构策略420。第一列450示出了在正常操作期间分别在三个ECU 104’、104’’、104’’’上运行的任务1、2、3、4、5、6、7、8、9的示例性第一副本(用实线表示)，以及被映射到ECU 104，、104”、104”，上并保持备用的任务1、2、3、4、5、6、
7、8、9的示例性第二副本(用虚线表示)。
[0066]第二、第三和第四列452、454、456中的每一个均对应于三个E⑶104’、104’’、104’’’中失效的一个 ECU。失效 ECU 104’、104’’、104’’’用在 ECU 104’、104’’、104’’ ’ 上的“X”表示。在每列452、454、456中，来自第一列452的任务1、2、3、4、5、6、7、8、9的第一
副本继续在其余两个操作的E⑶104上运行，并且在失效E⑶104上具有第一副本的任务
1、2、3、4、5、6、7、8、9的一些第二副本也在保持操作的E⑶104上被调用。例如，如果E⑶104’失效，那么车载重构应用232包括使用列452来通知E⑶104’ ’执行任务1、2的第二副本并且通知E⑶104’ ’ ’执行任务3的第二副本的指令。
[0067]根据如图5所示的第二实施方式，任务的第二副本未被存储在E⑶104上。而是，车载重构应用232 (重构管理器130在图5中被简化)包括用于产生第二示例性车载重构策略420的指令，所述第二示例性车载重构策略420根据搜集的ECU 104的使用状况以及失效的关键任务的所需使用来优化一个或多个失效ECU 104的任务的映射。更具体地，车载重构应用232包括通过下述情况来产生车载重构策略420的指令，所述情况为:以一定间隔查询每个ECU 104以获得当前和/或预期的处理器和/或资源的使用情况，并且根据所搜集的ECU 104的使用状况和失效关键任务的所需使用来将失效关键任务映射到操作的ECU104 上。
[0068]车载重构232包括用于执行车载重构策略420以实施映射策略的指令。通过发送请求以向ECU 104中操作的ECU 104计划安排一个或多个任务来实施映射策略。在接收请求之后，E⑶104构造成从共享存储器132复制相应任务410和所需检查点任务状态414两者的代码图像。
[0069]再次参考图2，重构管理器130包括安全状态应用234，所述安全状态应用包括如下指令:在成功完成未能在ECU上执行或被映射到失效ECU上的任务之后，所述指令禁用(或向驾驶员发送信号以禁用)最初在失效ECU 104上被执行的特征、功能或电气部件105，以将车辆系统(电气系统102)置于安全模式中。
[0070]重构管理器130还包括健康数据应用236，所述健康数据应用包括从共享存储器132收集健康数据412并且利用收发器118将健康数据412发送到指令中心116的指令。
[0071]重构管理器130还包括重构应用238，所述重构应用构造成执行从指令中心116接收的离线重构策略422。被执行的离线重构策略422安装新软件、更新网络构造，等等。离线重构策略422包括被排序的多个重构选项。例如，离线重构策略422在一个实施方式中根据可靠性、可用性或其他偏好来排序。
[0072]重构应用238包括这样的指令，所述指令:按顺序执行离线重构策略422的重构选项，直到找到改进的重构并且车辆100被带回到优化运行状况中。
[0073]重构管理器130包括重构状况应用240,所述重构状况应用被构造成确定离线重构策略422的重构选项是否成功。如果重构选项未成功，那么重构应用238执行离线重构策略422的下一顺序的重构选项。
[0074]再次参考图3和图7，远程单元114包括原因应用250和重构应用252。原因应用250构造成根据健康数据412和/或故障模型154来确定失效的根本原因424。重构应用252构造成根据系统架构156以及失效的根本原因424来产生重构策略422。
[0075]方法
参考图6和图7，现将更详细地描述由重构系统110执行的示例性方法300。如所述的，在正常操作期间，根据任务应用202的指令，ECU 104执行其相应任务以根据来自电气部件105中的一些(例如，传感器)的输入来控制电气部件105中的另一些(例如，致动器)。
[0076]根据任务状态应用204的指令，E⑶104快照其任务的状态414并且发送检查点任务状态414，以便被存储在共享存储器132中以供取用。根据状态保存应用220的指令，检查点任务状态414由存储器控制器134 (分割或分配地)存储在共享存储器132的指定位置中。根据健康数据应用212的指令，ECU 104发送健康数据412以被存储在共享存储器132中以供取用。根据健康数据保存应用222的指令，健康数据412由存储器控制器134保存在存储器132中。根据故障应用206的指令，E⑶104定期地发送活动消息418至重构管理器130，并且在指示发生了具体检测故障(例如，失效的传感器、受损的存储器或有故障的处理器)的情况下，E⑶104发送故障信号416。
[0077]在重构方法300的失效检测步骤302中，根据失效检测应用230的指令，重构管理器130接收或监测E⑶104的活动消息418和故障信号416。当活动消息418在一定时间段内未被接收到时或在接收到故障信号416的情况下，失效检测应用230检测ECU 104的失效。
[0078]在车载重构步骤304中，根据车载重构应用232的指令，在检测到一个或多个任务或者一个或多个E⑶104的失效之后，重构管理器130产生并执行第一车载重构策略420。重构管理器130根据上述的一种方法来产生车载重构策略420，以重构安全关键任务，所述安全关键任务需要被完成以将车辆100和电气系统102置于安全状态以规定时间段。该规定时间段是汽车保持操作所需的时间量。
[0079]车载重构策略420根据新任务应用210的指令被执行，使得E⑶104执行新分配的安全关键任务。根据重构状况应用208的指令，向重构管理器130确认安全临界任务的成功完成。
[0080]在安全状态步骤306，根据安全状态应用234的指令，重构管理器130将车辆100/电气系统102置于安全状态。重构管理器130禁用(或向驾驶员发送信号以禁用)最初在失效E⑶104上执行的任务(特征/功能)，以将车辆系统(例如，电气系统102)置于安全模式中。[0081]在数据同化步骤308中，根据健康数据应用236的指令，重构管理器130从共享存储器132收集健康数据412，并且借助收发器118将健康数据412上传到在指令中心116处的指令中心单元114。
[0082]根据原因步骤310，根据原因应用250的指令，远程单元114从车载单元112接收健康数据412，并且从存储器442或服务器数据库来访问故障模型154。远程单元114根据健康数据412和故障模型154来确定失效的根本原因424。
[0083]根据重构步骤312，根据重构应用252的指令，远程单元114从存储器442或车辆数据库访问系统架构信息/模型156。使用系统架构156，远程单元114从可用的ECU 104和电气部件105中确认可能的E⑶104或电气部件105。
[0084]远程单元114根据根本原因424以及系统架构156来产生离线重构策略422，包括用于全部失效任务的重构选项集合。重构选项按照可靠性、可用性或其他偏好排定顺序。远程单元114向车载单元112发送重构策略422。
[0085]在实施步骤314，根据实施应用238的指令，车载单元112从远程单元114接收离线重构策略422。此外，重构管理器130例如通过安装新软件、更新网络构造等来执行离线重构策略422。
[0086]离线重构策略422的重构选项由重构管理器130按顺序逐个地尝试，直到找到改善的重构并且将车辆100往回置于操作状况中(具有完全或部分恢复的功能/特征)。
[0087]在确认步骤316，根据重构状况应用240的指令，重构管理器130使用诊断检查来验证(更新的车辆构造)E⑶104是否正确地运行。
[0088]上述实施方式仅是被阐述以清楚地理解本发明原理的实施方式的示例性描述。可作出与上述实施方式相关的变化、修改和组合，而不偏离权利要求书的范围。全部这些变化、修改和组合在本文由本公开和下述权利要求书的范围包括。
【权利要求】
1.一种用于重构最初被分配给车辆的第一电子控制单元ECU的任务的方法，所述方法包括: 在车载单元处与所述E⑶通信: 检测所述任务的失效; 响应于检测到所述失效产生第一重构策略，所述第一重构策略包括将所述任务再分配给所述车辆的第二 ECU ； 执行所述第一重构策略； 收集至少与所述第一 ECU相关联的健康数据； 将所述健康数据发送到远程单元； 从所述远程单元接收第二重构策略，所述第二重构策略根据所述健康数据、故障模型和系统模型被产生；以及执行所述第二重构策略。
2.根据权利要求1所述的方法，其中，产生所述第一重构策略包括:从预定任务重构策略集合中进行选择。
3.根据权利要求2所述的方法，其中，检测所述任务的失效通过检测所述第一ECU的失效来完成，并且从所述预定任务重构策略集合中进行选择是根据所述第一 ECU来执行的。
4.根据权利要求1所述的方法，其中，所述第一重构策略根据如下被产生:i)涉及所述第一 ECU和所述第二 ECU中的至少一个的使用数据；以及ii)涉及所述失效任务的使用数据。
5.根据权利要求1所述的方法，其中，检测所述任务的失效是通过检测所述第一ECU的失效来完成的。
6.根据权利要求1所述的方法，其中，所述第二重构策略包括由可靠性和可用性中的至少一者排定顺序的重构选项。
7.—种重构系统的车载单元,所述车载单元包括: 处理器；以及 与所述处理器通信的计算机可读介质，所述计算机可读介质包括当由所述处理器执行时使得所述处理器执行包括如下的动作的应用: 检测最初被分配给车辆的第一电子控制单元ECU的任务的失效； 响应于检测到所述失效产生第一重构策略，所述第一重构策略包括将所述任务再分配给所述车辆的第二 ECU ； 执行所述第一重构策略； 收集至少与所述第一 ECU相关联的健康数据； 将所述健康数据发送到远程单元； 从所述远程单元接收第二重构策略，所述第二重构策略根据所述健康数据、故障模型和系统模型被产生；以及执行所述第二重构策略。
8.根据权利要求7所述的车载单 元，其中，产生所述第一重构策略包括:从预定任务重构策略集合中进行选择。
9.根据权利要求8所述的车载单元，其中，检测所述任务的失效通过检测所述第一ECU的失效来完成，并且从所述预定任务重构策略集合中进行选择是根据所述第一 ECU来执行的。
10.一种重构系统，所述重构系统包括: 车载单元,所述车载单元包括: 处理器；以及 计算机可读介质，所述计算机可读介质包括当由所述处理器执行时使得所述处理器执行包括如下的动作的应用: 检测最初被分配给车辆的第一电子控制单元ECU的任务的失效； 响应于检测到所述失效产生第一重构策略，所述第一重构策略包括将所述任务再分配给所述车辆的第二 ECU ； 执行所述第一重构策略； 收集至少与所述第一 ECU相关联的健康数据； 将所述健康数据发送到远程单元； 从所述远程单元接收第二重构策略；以及 执行所述第二重构策略；以及 远程单元，所述远程单元包括: 处理器；以及 计算机可读介质，所述计算机可读介质包括当由所述处理器执行时使得所述处理器执行包括如下的动作的应用: 根据所述健康数据、故障模型和系统模型来产生所述第二重构策略。
【文档编号】G05B23/02GK103488161SQ201310104267
【公开日】2014年1月1日 申请日期:2013年3月28日 优先权日:2012年3月30日
【发明者】P.辛哈, T.E.富尔曼 申请人:通用汽车环球科技运作有限责任公司