CN116158027A - 确定实际接收的时间戳的正确性 - Google Patents
确定实际接收的时间戳的正确性 Download PDFInfo
- Publication number
- CN116158027A CN116158027A CN202180063602.XA CN202180063602A CN116158027A CN 116158027 A CN116158027 A CN 116158027A CN 202180063602 A CN202180063602 A CN 202180063602A CN 116158027 A CN116158027 A CN 116158027A
- Authority
- CN
- China
- Prior art keywords
- ecu
- time
- verifier
- timestamp
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0638—Clock or time synchronisation among nodes; Internode synchronisation
- H04J3/0652—Synchronisation among time division multiple access [TDMA] nodes, e.g. time triggered protocol [TTP]
- H04J3/0655—Synchronisation among time division multiple access [TDMA] nodes, e.g. time triggered protocol [TTP] using timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/14—Monitoring arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/149—Network analysis or design for prediction of maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Synchronisation In Digital Transmission Systems (AREA)
- Small-Scale Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
提供了一种用于使用验证器确定由通信网络的第一ECU提供的实际接收的时间戳的正确性的方法。通信网络包括主时钟;第一ECU,具有第一从时钟;验证器,具有第二从时钟;以及第一通信总线,将第一ECU、验证器和主时钟彼此连接。第一ECU使用具有确定性方案的第一通信标准。用于使用验证器来确定由通信网络的第一ECU提供的实际接收的时间戳的正确性的方法包括:在第一ECU处,将第一从时钟的时间同步到主时钟的全局时间;在验证器处,将第二从时钟的时间同步到主时钟的全局时间;在验证器处,基于由第一ECU使用的通信标准的确定性方案来预测要在实际通信周期中从第一ECU接收的时间戳;以及在验证器处,将预测的时间戳与来自第一ECU的实际接收的时间戳进行比较。
Description
技术领域
本发明涉及一种用于使用验证器确定由通信网络的第一ECU提供的实际接收的时间戳的正确性的方法、以及被配置为执行该方法的验证器。
背景技术
随着自主车辆或自动车辆的复杂性增加,不同的电子控制单元(ECU)使用多个通信总线来确保自主驾驶功能或自动驾驶功能满足安全要求,例如,满足所谓的汽车安全完整性等级(ASIL)所需的要求。
汽车安全完整性等级是由道路车辆的ISO 26262-功能安全定义的风险分类方案。ASIL分类包括从具有最低安全要求的QM到具有最高安全要求的ASIL D的五个安全等级。
例如,在自主车辆以太网或自动车辆以太网中,CAN-FD(控制器区域网络灵活数据速率)可以与Flexray一起使用。
以太网是在局域网(LAN)、城域网(MAN)和广域网(WAN)中普遍使用的一系列计算机网络技术。它在1980年以商业方式被引入、并且是在1983年被标准化为IEEE(电气和电子工程师协会)802.3的第一通信。Flexray是由Flexray联盟开发的用于管控车载汽车计算的汽车网络通信协议。它被设计为比CAN(控制器区域网络)和TTP(时间触发协议)更快和更可靠。Flexray标准现在是一组ISO标准,ISO 17458-1至17458-5。CAN FD是典型地用于在电子仪器的不同部分与控制系统之间传递传感器数据和控制信息的数据通信协议。该协议用于现代高性能车辆。CAN FD是ISO 11898-1中规定的原始CAN总线协议的扩展。
在现有技术中,根据用于TSN(时间敏感网络)的IEEE 802.1As和针对PTP(精确时间协议)的IEEE1588,实现以太网总线的时间同步。然而,对于经由PTP的时间同步,除了相应标准之外,还可以采取若干措施,从而可以确保同步过程的完整性,因此确保分布式时基的完整性。
然而,Flexray总线内部挂钟没有任何安全完整性,并且是QM。QM准则意味着,在这种情况下,正常质量管理系统(ISO/TS 16949)所需的措施是足够的。Flexray消息需要与来自以太网和CAN-FD的相应消息一起使用。如果具有QM时间戳的Flexray消息与以太网(和/或CAN FD)的相应ASIL B或ASIL D时间戳一起使用,则根据ASIL D,可能导致不满足用于高度自动化车辆的“免于干扰的能力(Freedom from Interference)”功能安全要求(ISO26262)。
通过ISO 26262“免于干扰的能力”,可以证明具有较不关键的ASIL等级(例如,ASILA)的(子)系统不会影响具有更为关键的ASIL等级(例如,ASIL C)的系统。目标是防止具有较高误差率(例如,ASIL A)的系统驱动其中需要较低误差率(例如,ASIL C)的系统。
因此,对于自主车辆和自动车辆,最为复杂和困难的任务之一是多个所连接的通信总线和它们各自的ECU需要彼此同步以满足这些要求。
发明内容
鉴于现有技术,本发明的目的是提供一种用于评估多个所连接的通信总线与它们各自的ECU彼此之间的同步的方法,该方法提供高安全等级(例如,满足ASIL D要求的安全等级),并且满足根据ISO26262的“免于干扰的能力”功能安全要求。
该目的通过独立权利要求的特征来解决。从属权利要求包含本发明的其他优选开发
更具体地,该目的通过如下的一种方法来解决:用于使用验证器确定由通信网络的第一ECU提供的实际接收的时间戳的正确性的方法。
通信网络包括主时钟;第一ECU,具有第一从时钟;验证器,具有第二从时钟;以及第一通信总线;将第一ECU、验证器和主时钟彼此连接。
第一ECU使用具有确定性方案的第一通信标准。也就是说,如果仅第一ECU与验证器之间的连接具有确定性传输方案,则就已足够。而且,第一标准具有带有确定性方案的时间周期的静态分段是可能且足够的。
用于在验证器处确定的实际接收的时间戳(该时间戳由通信网络的第一ECU提供)的正确性的方法包括:在第一ECU处,将第一从时钟的时间同步到主时钟的全局时间;在验证器处,将第二从时钟的时间同步到主时钟的全局时间;在验证器处,基于由第一ECU使用的通信标准的确定性方案,预测要在实际通信周期中从第一ECU接收的时间戳;以及在验证器处,将预测的时间戳与从第一ECU实际接收的时间戳进行比较。
在验证器处,将预测的时间戳与由通信网络的第一ECU提供的实际接收的时间戳进行比较可以包括:在验证器处,确定预测的时间戳与实际接收的时间戳之间的差;将差与预定阈值进行比较;并且如果差小于预定阈值,优选地,如果差在一定范围内,则确定实际接收的时间戳的正确性。
可以考虑第一ECU的数据获取任务和数据发送任务之间的固定延迟,从而确定在验证器处的预测的时间戳的全局时间与实际接收的时间戳的全局时间之间的差,其中在验证器处的实际接收的时间戳由第一ECU在数据获取任务期间提供。
更具体地,预测的时间戳与实际接收的时间戳之间的差可以使用以下公式被确定:
GT2-GT1-Δ+δ
GT2是由第一ECU提供实际接收的时间戳的全局时间。GT1是第一ECU的实际通信周期开始时的全局参考时间。Δ是通过将由第一ECU使用的第一通信标准的确定性方案的时隙的预定数目与时隙的固定持续时间相乘而接收的结果。δ是第一ECU的数据获取任务和数据发送任务之间的固定延迟。实际接收的时间戳在数据获取任务期间由第一ECU提供。由于连接第一ECU和验证器的通信总线的确定性行为,所以Δ和δ均具有确定性,并且可以在预编译时被确定。
附加地或可替代地,预测的时间戳与实际接收的时间戳之间的差可以使用以下公式被确定:
GT_Current-(GT2+δ)
GT2是由第一ECU提供实际接收的时间戳的全局时间。δ是第一ECU的数据获取任务和数据发送任务之间的固定延迟。实际接收的时间戳在数据获取任务期间由第一ECU提供。GT_Current是在验证器处接收实际接收的时间戳的全局时间。
一般而言,在接收到携带需要验证的时间戳的PDU时,由于查询当前全局时间(即,GT_Current)时的软件中断等待时间ε,所以该方法不提供与先前过程相同的准确度等级。另外,该解决方案通常需要更多的计算资源。然而,由于仅必须提供一个确定性参数δ的事实,该解决方案更为简单。
实际接收的时间戳的全局时间可以在第一ECU处使用以下公式被确定:
GT2=GT1+lt2-lt1
GT2是由第一ECU提供实际接收的时间戳的全局时间。GT1是第一ECU的实际通信周期开始时的全局参考时间。1t1是在实际通信周期开始时第一ECU的第一从时钟的本地时间。1t2是在由第一ECU提供实际接收的时间戳时第一ECU的第一从时钟的本地时间。
通信网络还可以包括第二ECU,具有第三从时钟;网关ECU,包括验证器;以及第二通信总线,经由网关ECU和第一通信总线将第二ECU连接到第一ECU。
第二ECU使用的第二通信标准的安全完整性等级可能高于第一ECU所使用的第一通信标准的安全完整性等级,或该第二ECU可以通过其他手段被验证。
主时钟的完整性可以足以满足具有比第一通信标准高的安全完整性等级的第二通信标准的安全要求。
验证器可以根据第二通信标准的安全要求确定由第一ECU提供的实际接收的时间戳的正确性。
在第一ECU处将第一从时钟的时间同步到主时钟的全局时间可以包括:在第一ECU处,从主时钟接收同步消息,使得第一ECU的第一从时钟的时间基于所接收的同步消息而被同步到主时钟的全局时间。
更进一步地,可以提供验证器。验证器可以被配置为确定由通信网络的第一ECU提供的实际接收的时间戳的正确性。
通信网络可以包括:主时钟;第一ECU,具有第一从时钟;以及第一通信总线,被配置为将第一ECU、验证器和主时钟彼此连接。
第一ECU可以使用具有确定性方案的第一通信标准。第一从时钟的时间可以被同步到主时钟的全局时间。
验证器可以包括第二从时钟,其中第二从时钟的时间被同步到主时钟的全局时间。
验证器可以被配置为:基于由第一ECU使用的通信标准的确定性方案,预测要在实际通信周期中从第一ECU接收的时间戳,并且将预测的时间戳与来自第一ECU的实际接收的时间戳进行比较。
参考该方法的上述描述也适用于设备,即,验证器,反之亦然。
而且,验证器可以被配置为执行上述方法中的一种方法。
简而言之,通过比较和预测第一ECU的时间戳,验证器确保:第一ECU的时间同步可以根据验证器的安全完整性而实现最高可能的安全完整性等级。更进一步地,确保第二ECU和第二通信总线的安全完整性等级将由验证器继承,并且确保具有第一通信总线的第一ECU的安全完整性等级、具有网关ECU的验证器的安全完整性等级和具有第二通信总线的第二ECU的安全完整性等级实现类似的和/或最高可能的安全完整性等级。
附图说明
在下文中,参考图1至图3给出对本发明的实施例的描述。
图1示意性地描绘了用于车辆的具有多个通信总线的通信网络。
图2示意性地描绘了用于使用验证器确定由图1的通信网络的第一ECU提供的实际接收的时间戳的正确性的方法的流程图。
图3示意性地描绘了图1的第一ECU和验证器的通信方案。
具体实施方式
图1所示的通信网络1是用于在自主车辆或自动车辆(例如,汽车)中传输数据的网络。
网络1包括两个ECU 2、3,其使用第一通信标准;两个ECU 4、5,其使用第二通信标准;网关ECU 6;互连7;主时钟8;第一总线系统(即,第一通信总线)9,其使用第一通信标准;以及第二总线系统(即,第二通信总线)10,其使用第二通信标准。
更具体地,网络1包括第一ECU 2和第二ECU 3,其使用第一确定性通信标准,例如,如说明书的条目部分中定义的Flexray标准;第三ECU 4和第四ECU 5,其使用第二通信标准,例如,如说明书的条目部分中定义的以太网标准(或CAN FD,在下文中以太网将用作第二通信标准的示例,其中还可以使用CAN FD);以及网关ECU 6。
第一ECU 2和第二ECU 3分别通过第一总线系统9连接到主时钟8。而且,第一ECU 2和第二ECU 3还分别经由第一总线系统9连接到网关ECU 6。第一总线系统9使用第一通信标准。在上述示例中,第一总线系统9可能是确定性的Flexray总线系统。
第三ECU 4和第四ECU 5分别经由第二总线系统10连接到互连7,其中第二总线系统10使用第二通信标准。在上述示例中,第二总线系统10可能为以太网总线系统。而且,第三ECU 4和第四ECU 5还分别通过第二总线系统10经由互连7连接到网关ECU 6。
互连7可能为在上述示例中的以太网互连(例如,交换机),该互连7被配置为通过使用分组交换分别将网络1的第三ECU 4和第四ECU 5连接到网关ECU 6,以从网关ECU 6接收数据和/或将数据转发到网关ECU 6。
主时钟8经由互连7连接到第一总线系统9和第二总线系统10。主时钟8被配置为向如下项提供全局时间或主时间:各自包括从时钟21、31、41、51的ECU 2、3、4、5,以及也包括从时钟61的网关ECU 6。因此,主时钟8被配置为提供定时信号以对网络1的使用第一通信标准的设备2、3、6和使用第二通信标准的设备4、5、6的从时钟21、31、41、51、61进行同步。
网关ECU6可以是在述示例中的Flexray-以太网网关ECU,该网关ECU6被配置为在如下两项之间提供互操作性:使用第一通信标准(本文中为Flexray标准)的第一ECU 2和第二ECU 3,与使用第二通信标准(本文中为以太网标准)的第三ECU 4和第四ECU 5。因此,网关ECU 6被配置为在第一通信标准与第二通信标准之间进行单向协议转换或双向协议转换。
在当前情况下,第二通信标准的安全完整性等级高于第一通信标准的安全完整性等级。例如,第三ECU 4和第四ECU 5所使用的以太网标准可以是合格的ASIL D,而第一ECU2和第二ECU 3所使用的Flexray标准仅是QM。
如上文所解释的,第一ECU 2和第二ECU 3以及第三ECU 4和第四ECU 5可以经由网关ECU 6彼此通信。然而,由于它们使用具有不同安全完整性等级的通信标准,所以根据“免于干扰的能力”功能安全要求(ISO 26262)(其用于根据ASIL D的高度自动化车辆),这是不可能的。
如说明书的条目部分中所解释的,通过ISO 26262“免于干扰的能力”准则,可以证明具有不太关键的ASIL等级的(子)系统(本文中为具有第一ECU 2和第二ECU 3的第一总线系统9)不会影响具有更为关键的ASI等级的系统(本文中为具有第三ECU 4和第四ECU 5和互连7的第二总线系统10)。目标是防止具有较高误差率的系统驱动其中需要较低误差率的系统。
因此,提供了用于确定由通信网络1的第一ECU 2和第二ECU 3提供的实际接收的时间戳的正确性的方法。也就是说,由第一ECU 2和第二ECU 3提供的时间戳通过网关ECU 6能够胜任更高的安全等级,本文中为ASIL D。
因此,网关ECU 6包括验证器62,在当前情况下,为中央验证器,该验证器被配置为执行该方法。
以下参考图2和图3对该方法进行详细描述。图2示出了描绘该方法的步骤的流程图。图3示意性地描绘了第一ECU 2使用第一通信标准与网关ECU 6上的验证器62进行通信的通信方案、以及用于确定实际接收的时间戳的正确性的第一可能性和第二可能性。
如上文所解释的,通信网络1包括主时钟8;ECU 2、3、4、5,分别具有从时钟21、31、41、51;验证器6,具有从时钟61和验证器62;以及第一通信总线系统9,将第一ECU 2和第二ECU 3、验证器62和主时钟8彼此连接。
由第一ECU 2和第二ECU 3使用的第一通信标准具有确定性方案。也就是说,基础通信协议总是在预定且固定的时间穿过相同的状态序列。因此,可以预测使用第一通信标准从第一ECU 2或第二ECU3发送的数据分组何时会到达接收器,本文中到达网关ECU 6的验证器62。
在使用Flexray标准的情况下,第一总线系统9上的通信按周期运行。这些周期中的每个周期被分成包括静态分段和动态分段的不同分段。
在静态分段中,使用第一通信标准的每个ECU 2、3具有其中其可以发送消息的特定时隙(即,时间窗口)。它必须不超过其时隙的长度。如果消息太长,则必须使用指派给相应ECU或动态分段的另一周期来继续该消息。
这是协议的确定性部分,即,第一通信标准的确定性部分,其确保在已知时间内传输重要消息,例如,转向、制动等。
为了预测数据分组何时会到达验证器62,在方法的第一步骤S1中,ECU 2、3、4、5和网关ECU 6的从时钟21、31、41、51、61的时间分别被同步到主时钟8的全局时间。
在第一ECU 2和第二ECU 3处将相应从时钟21、31的时间同步到主时钟8的全局时间可以包括:在第一ECU 2和第二ECU 3处分别从主时钟8接收同步消息,使得第一ECU 2和第二ECU 3的相应从时钟21、31的本地时间基于所接收的同步消息而同步到主时钟8的全局时间。
在第二步骤S2中,验证器62基于由第一ECU 2和第二ECU 3使用的第一通信标准的确定性方案来预测要在实际通信周期中从第一ECU 2和/或第二ECU 3接收的时间戳。
然后,在第三步骤S3中,验证器62将预测的时间戳与从第一ECU 2和/或第二ECU 3实际接收的时间戳进行比较。
现在,参考图3对步骤S1至S3进行详细解释。
如上所述,图3中示出了用于确定实际接收的时间戳的正确性的两种可能性。确定时间戳的正确性的两种可能性可以交替或组合使用。
然而,根据这两种可能性,将在验证器62处预测的时间戳与实际接收的时间戳进行比较的第三步骤S3包括:确定在验证器62处预测的时间戳与实际接收的时间戳之间的差;将差与预定阈值进行比较;并且如果差小于预定阈值,优选地,如果差在一特定范围内,则通过其中设置完整性标志的验证标记或对信息的接收方透明的任何其他手段来确定实际接收的时间戳的正确性。
更具体地,图3中示出了两个时间线。图3的左侧示出了第一ECU1的时间线,在该时间线上描绘了第一ECU 1的从时钟21的本地时间lt;而图3的右侧示出了验证器62的时间线,在该时间线上描绘了网关ECU 6的从时钟61的本地时间LT。
每个经同步的ECU 2、3、4、5、6在同步之后具有相同的可用全局时间,该可用全局时间通常是指全局时间的本地实例,即,从其基础本地硬件计数器(例如,振荡器)导出的本地时钟,该本地时钟分别维持经同步的时间或全局时间。这意味着经同步的从时钟21、31、41、51、61受限于主时钟8的全局时间。
在同步时,生成参考元组lt1、GT1、LT1、GT1,其包含本地时间It1、LT1和对应同步时间GT1。该参考元组lt1、GT1、LT1、GT1用于在任何期望时间点导出当前经同步的时间。
因此,在当前情况下,对从时钟21、31、41、51、61进行同步的第一步骤S1仅生成参考,该参考可以用于从本地时间It、LT转换到经同步的时间或全局时间GT。
对于第一ECU 2,其中在lt2>lt1的情况下,在当前本地时间lt2处的当前经同步的时间GT2由下式给出:
GT2=GT1+lt2–lt1
GT2可以是全局时间,其向所测量的数据提供由第一ECU 2从本地从时钟21读取的实际接收的时间戳。GT1可以是第一ECU 2的实际通信周期开始时的全局时间。lt1可以是在实际通信周期开始时第一ECU 2的从时钟21的本地时间。lt2可以是在由第一ECU2提供实际接收的时间戳时第一ECU 2的从时钟21的本地时间。
类似地,对于网关ECU 6,因此对于验证器62,其中在LT2>LT1的情况下,在当前本地时间LT2处的当前经同步的时间GT2由下式给出:
GT2=GT1+LT2-LT1
而且,如上所述,第一通信标准的通信方案包括确定性部分或静态部分和非确定性部分或动态部分11,该确定性部分或静态部分包括时隙s1至sn,其中每个时隙具有固定且预定的持续时间。
在第一ECU 2的数据获取任务期间,将时间戳(即,源自全局时间的本地实例的实际接收的时间戳)附加到在数据获取任务的静态部分中所发送的数据,然后在数据发送任务期间经由第一总线系统9从第一ECU 2发送到网关ECU 6。
在数据发送任务与数据获取任务之间,根据第一通信标准提供固定延迟δ。
因此,考虑第一ECU 2的数据获取任务和数据发送任务之间的固定延迟δ,可以确定预测的时间戳的全局时间与实际接收的时间戳的全局时间之间的差,其中在第一ECU 2的数据获取任务期间,提供由验证器62实际接收的用于验证目的的时间戳。这对于确定所实际提供的时间戳的正确性的两种可能性均成立。
更具体地,根据第一可能性,预测的时间戳与实际接收的时间戳之间的差可以使用以下公式进行确定:
GT2-GT1-Δ+δ
GT2是由第一ECU 2提供实际接收的时间戳的全局时间。GT1是全局参考时间。在本实施例中,GT1是第一ECU 2的实际通信周期开始时的全局时间。Δ是通过将如下两项相乘而接收的结果:由第一ECU 2使用的第一通信标准的确定性方案的时隙的预定数目n与时隙的固定持续时间lSlot。考虑消息的调度,使得GT1+Δ与当消息被调度以通过第一ECU 2进行传输时的全局时间的实例相对应。如上所述,δ是第一ECU 2的数据获取任务和数据发送任务之间的固定延迟。实际接收的时间戳在数据获取任务期间由第一ECU 2提供。因此,GT2-δ与当消息被调度以通过第一ECU 2进行传输时的全局时间的实例相对应。该公式通过在时间上相互比较两个实例来利用这个事实。由此,可以检查时间戳的完整性。
在数据获取任务期间,第一ECU 2可以从外部单元(例如,传感器)获取数据,并且将实际接收的时间戳添加到所获取的数据。时间戳基本上是从第一ECU 2获取数据时的全局时间。
在数据发送任务期间,在数据获取任务期间获取的数据加上所添加的实际接收的时间戳被从第一ECU 2发送到验证器62。
然后,验证器使用上述公式计算差,并且将差与预定阈值进行比较。如果差小于预定阈值,即,第一ECU 2的抖动小于该阈值,则验证器62将第一ECU 2实际提供的时间戳确定为正确的,即,满足第二通信标准的安全要求。因此,验证器62被配置为认可实际接收的时间戳满足第二通信标准的安全等级,本文中为ASIL D。
附加地或可替代地,根据第二可能性,预测的时间戳与实际接收的时间戳之间的差可以使用以下公式进行确定:
GT_Current-(GT2+δ)
如上所述,GT2是由第一ECU 2提供实际接收的时间戳的全局时间,而δ是第一ECU2的数据获取任务和数据发送任务之间的固定延迟。在数据采集任务期间,提供实际接收的时间戳。GT_Current是在验证器62处接收实际接收的时间戳的全局时间。从概念的观点来看,这两种解决方案相同,然而,它们可能在实施特定准确度等级的努力并且实现特定准确度等级的可靠性方面不同。
类似于第一可能性,验证器62将由此接收的差与预定阈值(本文中为不确定性ε)进行比较,并且如果差小于阈值,即,第一ECU 2的抖动小于阈值,则验证器62将第一ECU 2的所实际提供的时间戳确定为正确的,即,满足第二通信标准的安全要求。因此,验证器62被配置为认可实际接收的时间戳满足第二通信标准的安全等级,本文中为ASIL D。
由于主时钟8的完整性足以满足具有比第一通信标准高的安全等级的第二通信标准的安全要求,因此验证器62可以根据第二通信标准的安全要求来确定实际接收的时间戳的正确性。
上文关于图3所给出的关于第一ECU 2的解释对于第二ECU 3也同样有效;并且如果提供多于两个使用第一通信标准的ECU 2、3,则对于这些ECU也同样有效。
总之,根据上文所描述的实施例,Flexray总线9从主时钟8接收同步消息。Flexray总线9基于给定同步消息在内部被同步。以太网通信总线10经由IEEE802.1 AS或具有ASILD的类似协议为中央验证器62提供同步。网关ECU 6上的中央验证器62用作以太网通信总线10与Flexray通信总线9之间的比较器,该比较器将所接收的时间戳与这些时间戳的预期值进行比较。中央验证器62一方面确保根据ASIL D来验证以太网通信,另一方面从Flexray总线9取得QM输入并且使用以太网的时钟来对其进行验证。由于Flexray总线9本质上具有确定性,所以中央验证器62使用Flexray消息的确定性调度来对作为QM而提供的Flexray时间戳的正确性进行验证,并且认可给定时间戳满足ASIL D。网关ECU 6(本文中为验证器62)可以预测可能来自Flexray总线9的下一周期的时间戳。基于包括Flexray标准的数据获取任务与数据发送任务之间的固定延迟的确定性静态消息数据来进行对时间戳的预测。因此,将预测的时间戳与所接收的时间戳进行比较以确保Flexray通信总线9中的抖动不大于高度自动化车辆的时间同步阈值,即,1ms。
附图标记列表
1 通信网络
2、3 使用第一通信标准的ECU
4、5 使用第二通信标准的ECU
6 具有验证器的网关ECU
7 互连,例如,开关
8 时间总主时钟/主时钟
9 使用第一通信标准的第一总线系统
10 使用第二通信标准的第二总线系统
11 第一通信标准的不确定部分
21 第一ECU的从时钟
31 第二ECU的从时钟
41 第三ECU的从时钟
51 第四ECU的从时钟
61 验证器的从时钟
62 验证器
GT 全局时间
GT1 周期开始时的全局时间
GT2 提供/添加所实际接收时间戳时的全局时间
GT_Current 在验证器处接收实际接收的时间戳的全局时间
1t 第一ECU处的本地时间
1t1 第一ECU处周期开始时的本地时间
1t2 在第一ECU处提供/添加实际接收的时间戳时的本地时间
LT 网关ECU处的本地时间
LT1 网关ECU处周期开始时的本地时间
LT2 在验证器处接收时间戳的网关ECU的本地时间
lSlot 第一通信标准的一个时隙的持续时间
N 时隙的数目
Δ 通过将n乘以lSlot所接收的结果
δ 数据采集任务与数据发送任务之间的固定延迟
S1-S3 方法的步骤
Claims (10)
1.一种用于使用验证器(62)来确定由通信网络(1)的第一ECU(2)提供的实际接收的时间戳的正确性的方法,
-其中所述通信网络(1)包括:
-主时钟(8);所述第一ECU(2),具有第一从时钟(21);
所述验证器(62),具有第二从时钟(61);以及第一通信总线(9),
将所述第一ECU(2)、所述验证器(62)和所述主时钟(8)彼此连接,
-其中所述第一ECU(2)使用具有确定性方案的第一通信标准,
-用于在所述验证器(62)处确定由所述通信网络(1)的所述第一ECU(2)提供的所述实际接收的时间戳的所述正确性的所述方法包括:
-在所述第一ECU(2)处,将所述第一从时钟(21)的时间同步(S1)到所述主时钟(8)的全局时间(GT),
-在所述验证器(62)处,将所述第二从时钟(61)的时间同步(S1)到所述主时钟(8)的所述全局时间(GT),
-在所述验证器(62)处,基于由所述第一ECU(2)使用的所述通信标准的所述确定性方案,预测(S2)要在实际通信周期中从所述第一ECU(2)接收的时间戳,以及
-在所述验证器(62)处,将所述预测的时间戳与来自所述第一ECU(2)的所述实际接收的时间戳进行比较(S3)。
2.根据权利要求1所述的方法,其中在所述验证器(62)处,将所述预测的时间戳与由所述通信网络(1)的所述第一ECU(2)提供的所述实际接收的时间戳进行比较包括:
-在所述验证器(62)处,确定所述预测的时间戳与所述实际接收的时间戳之间的差,
-将所述差与预定阈值进行比较,以及
-如果所述差小于所述预定阈值,优选地,如果所述差在一定范围内,则确定所述实际接收的时间戳的所述正确性。
3.根据权利要求2所述的方法,
-其中考虑所述第一ECU(2)的数据获取任务和数据发送任务之间的固定延迟(δ),从而确定在验证器(62)处的所述预测的时间戳的所述全局时间(GT)与所述实际接收的时间戳的所述全局时间(GT)之间的所述差,其中在所述验证器(62)处的所述实际接收的时间戳由所述第一ECU(2)在所述数据获取任务期间提供。
4.根据权利要求3所述的方法,
-其中所述预测的时间戳与所述实际接收的时间戳之间的所述差使用以下公式被确定:
GT2-GT1-Δ+δ
-其中:
-GT2是由所述第一ECU(2)提供所述实际接收的时间戳的全局时间,
-GT1是所述第一ECU(2)的所述实际通信周期开始时的全局参考时间,
-Δ是通过将由所述第一ECU(2)使用的所述第一通信标准的所述确定性方案的时隙的预定数目(n)与所述时隙的固定持续时间(lSlot)相乘而接收的结果,以及
-δ是所述第一ECU(2)的所述数据获取任务和所述数据发送任务之间的所述固定延迟,其中所述实际接收的时间戳在所述数据获取任务期间由所述第一ECU(2)提供。
5.根据权利要求3或4所述的方法,其中所述预测的时间戳与所述实际接收的时间戳之间的所述差使用以下公式被确定:
GT_Current-(GT2+δ)
-其中:
-GT2是由所述第一ECU(2)提供所述实际接收的时间戳的全局时间,
-δ是所述第一ECU(2)的所述数据获取任务和所述数据发送任务之间的所述固定延迟,其中所述实际接收的时间戳在所述数据获取任务期间由所述第一ECU(2)提供,以及
-GT_Current是在所述验证器(62)处接收所述实际接收的时间戳的全局时间。
6.根据权利要求3至5中任一项所述的方法,其中所述实际接收的时间戳的所述全局时间在所述第一ECU(2)处使用以下公式被确定:
GT2=GT1+lt2-lt1
-其中:
-GT2是由所述第一ECU(2)提供所述实际接收的时间戳的所述全局时间,
-GT1是所述第一ECU(2)的所述实际通信周期开始时的全局参考时间,
-lt1是在所述实际通信周期开始时所述第一从时钟(21)的本地时间,以及
-lt2是在由所述第一ECU(2)提供所述实际接收的时间戳时所述第一从时钟(21)的本地时间。
7.根据权利要求1至6中任一项所述的方法,
-所述通信网络(1)还包括:
-第二ECU(4、5),具有第三从时钟(41、45);网关ECU(6),包括所述验证器(62);以及第二通信总线(10),经由所述网关ECU(6)和所述第一通信总线(9)将所述第二ECU(4、5)连接到所述第一ECU(2),
-其中所述第二ECU(4、5)使用的第二通信标准的安全完整性等级高于所述第一ECU(2)所使用的所述第一通信标准的安全完整性等级,
-其中根据所述验证器(62)的所述主时钟(8)的完整性足以满足具有比所述第一通信标准高的所述安全完整性等级的所述第二通信标准的安全要求,
-其中所述验证器(62)根据所述第二通信标准的所述安全要求确定由所述第一ECU(2)提供的所述实际接收的时间戳的所述正确性。
8.根据权利要求7所述的方法,
-其中在所述第一ECU(2)处,将所述第一从时钟(21)的所述时间同步(S1)到所述主时钟(8)的所述全局时间(GT)包括:
-在所述第一ECU(2)处,从所述主时钟(8)接收同步消息,使得所述第一ECU(2)的所述第一从时钟(21)的所述时间基于所述接收的同步消息而被同步到所述主时钟(8)的所述全局时间(GT)。
9.一种验证器(62),被配置为确定由通信网络(1)的第一ECU(2)提供的实际接收的时间戳的正确性,
-其中所述通信网络(1)包括:
-主时钟(8);所述第一ECU(2),具有第一从时钟(21);
以及第一通信总线(9),被配置为将所述第一ECU(2)、所述验证器(62)和所述主时钟(8)彼此连接,
-其中所述第一ECU(2)使用具有确定性方案的第一通信标准,
-其中所述第一从时钟(21)的时间被同步到所述主时钟(8)的全局时间(GT),
-其中所述验证器(62)包括第二从时钟(61),
-其中所述第二从时钟(62)的时间被同步到所述主时钟(8)的所述全局时间(GT),
-其中所述验证器(62)被配置为:
-基于所述第一ECU(2)所使用的所述通信标准的所述确定性方案,预测要在实际通信周期中从所述第一ECU(2)接收的时间戳,并且
-将所述预测的时间戳与来自所述第一ECU(2)的所述实际接收的时间戳进行比较。
10.根据权利要求9所述的验证器(62),
-其中所述验证器(62)被配置为执行根据权利要求2至8中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP20197698.2A EP3975455B1 (en) | 2020-09-23 | 2020-09-23 | Determining correctness of actually received timestamp |
| EP20197698.2 | 2020-09-23 | ||
| PCT/EP2021/073566 WO2022063514A1 (en) | 2020-09-23 | 2021-08-26 | Determining correctness of actually received timestamp |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116158027A true CN116158027A (zh) | 2023-05-23 |
Family
ID=72615726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180063602.XA Pending CN116158027A (zh) | 2020-09-23 | 2021-08-26 | 确定实际接收的时间戳的正确性 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11968107B2 (zh) |
| EP (2) | EP4142189B1 (zh) |
| JP (1) | JP2023542477A (zh) |
| KR (1) | KR102826575B1 (zh) |
| CN (1) | CN116158027A (zh) |
| WO (1) | WO2022063514A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021138779A1 (zh) * | 2020-01-06 | 2021-07-15 | 华为技术有限公司 | 一种时钟切换方法、设备及存储介质 |
| US12199746B2 (en) * | 2022-10-19 | 2025-01-14 | Google Llc | Mechanism for precise time synchronization in a datacenter network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102547969A (zh) * | 2012-02-24 | 2012-07-04 | 电子科技大学 | 一种面向电力系统的高精度无线时钟同步系统 |
| WO2018234006A1 (de) * | 2017-06-01 | 2018-12-27 | Volkswagen Aktiengesellschaft | Vorrichtung und verfahren zur synchronisation von uhren in steuergeräten und steuergerät |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101843048B (zh) * | 2007-08-28 | 2014-06-11 | Tttech电脑技术股份公司 | 在网络中从分布式原理转换到主从原理的方法 |
| US9042366B2 (en) * | 2010-09-30 | 2015-05-26 | Vitesse Semiconductor Corporation | Timestamp predictor for packets over a synchronous protocol |
| US8887022B2 (en) * | 2011-03-04 | 2014-11-11 | Infineon Technologies Austria Ag | Reliable data transmission with reduced bit error rate |
| DE102012204586B4 (de) * | 2012-03-22 | 2025-02-27 | Bayerische Motoren Werke Aktiengesellschaft | Gateway, Knoten und Verfahren für ein Fahrzeug |
| CN105612089B (zh) * | 2013-10-17 | 2018-06-19 | 罗伯特·博世有限公司 | 确认汽车的安全功能的方法 |
| KR101542016B1 (ko) * | 2014-09-17 | 2015-08-05 | 성균관대학교산학협력단 | 차량 내 이종 네트워크 도메인들 간의 동기화 게이트웨이 장치 및 동기화 방법 |
| DE102015213845A1 (de) * | 2015-07-22 | 2017-01-26 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Validierung eines Zeitstempels einer Datenübertragung |
| US10101747B2 (en) * | 2015-12-11 | 2018-10-16 | Uber Technologies, Inc. | Formatting sensor data for use in autonomous vehicle communications platform |
| JP6864992B2 (ja) * | 2016-04-28 | 2021-04-28 | 日立Astemo株式会社 | 車両制御システム検証装置及び車両制御システム |
| WO2018047510A1 (ja) * | 2016-09-07 | 2018-03-15 | 日立オートモティブシステムズ株式会社 | 車載用処理装置 |
| WO2018057322A1 (en) * | 2016-09-23 | 2018-03-29 | Kwourz Research Llc | Network timing synchronization |
| DE102017103418B4 (de) * | 2017-02-20 | 2019-01-24 | Infineon Technologies Ag | Verfahren zum Bestimmen von Informationen über eine Integrität von Signalverarbeitungskomponenten innerhalb eines Signalpfades, Signalverarbeitungsschaltung und elektronische Steuerungseinheit |
| DE102017210895A1 (de) * | 2017-06-28 | 2019-01-03 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Computer-lesbares Medium, System, und Fahrzeug umfassend das System zum Validieren einer Zeitfunktion eines Masters und der Clients in einem Netzwerk eines Fahrzeugs |
| US11917018B2 (en) * | 2018-02-27 | 2024-02-27 | Excelfore Corporation | Broker-based bus protocol and multi-client architecture |
| IT201800003980A1 (it) * | 2018-03-26 | 2019-09-26 | Stmicroelectronics Application Gmbh | Procedimento di comunicazione, sistema, dispositivi, segnale e veicolo corrispondenti |
| EP3572939A1 (en) * | 2018-05-25 | 2019-11-27 | TTTech Auto AG | Method, device and real-time network for highly-integrated automotive systems |
| US11200128B2 (en) * | 2018-08-28 | 2021-12-14 | Nxp B.V. | Network interface device and method for operating a network interface device |
| JP6962301B2 (ja) * | 2018-09-25 | 2021-11-05 | 株式会社オートネットワーク技術研究所 | 中継装置 |
| JP7156257B2 (ja) * | 2019-11-21 | 2022-10-19 | トヨタ自動車株式会社 | 車両通信装置、通信異常の判定方法及びプログラム |
| DE102019220495A1 (de) * | 2019-12-20 | 2021-06-24 | Continental Automotive Gmbh | Verfahren zur Prüfung der Gültigkeit von Sensordaten eines Ethernet-Bordnetzes |
| JP7375597B2 (ja) * | 2020-02-13 | 2023-11-08 | 株式会社オートネットワーク技術研究所 | 車載ecu、情報処理方法及び車載システム |
| EP3883235A1 (en) * | 2020-03-17 | 2021-09-22 | Aptiv Technologies Limited | Camera control modules and methods |
| US12289200B2 (en) * | 2020-09-08 | 2025-04-29 | Amazon Technologies, Inc. | Virtual vehicle domain control unit (DCU) service and orchestration environments |
| US11968639B2 (en) * | 2020-11-11 | 2024-04-23 | Magna Electronics Inc. | Vehicular control system with synchronized communication between control units |
| US12095805B2 (en) * | 2021-07-15 | 2024-09-17 | Waymo Llc | Autonomous vehicle security measures in response to an attack on an in-vehicle communication network |
-
2020
- 2020-09-23 EP EP22202751.8A patent/EP4142189B1/en active Active
- 2020-09-23 EP EP20197698.2A patent/EP3975455B1/en active Active
-
2021
- 2021-08-26 KR KR1020237013519A patent/KR102826575B1/ko active Active
- 2021-08-26 CN CN202180063602.XA patent/CN116158027A/zh active Pending
- 2021-08-26 US US18/027,762 patent/US11968107B2/en active Active
- 2021-08-26 JP JP2023512723A patent/JP2023542477A/ja active Pending
- 2021-08-26 WO PCT/EP2021/073566 patent/WO2022063514A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102547969A (zh) * | 2012-02-24 | 2012-07-04 | 电子科技大学 | 一种面向电力系统的高精度无线时钟同步系统 |
| WO2018234006A1 (de) * | 2017-06-01 | 2018-12-27 | Volkswagen Aktiengesellschaft | Vorrichtung und verfahren zur synchronisation von uhren in steuergeräten und steuergerät |
Non-Patent Citations (1)
| Title |
|---|
| SHANKER SHREEJITH 等: "Extensible FlexRay Communication Controller for FPGA-Based Automotive Systems", IEEE TRANSACTIONS ON VEHICULAR TECHNOLOGY, vol. 64, no. 2, 1 February 2015 (2015-02-01), pages 453 - 465, XP011572786, DOI: 10.1109/TVT.2014.2324532 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4142189A2 (en) | 2023-03-01 |
| KR102826575B1 (ko) | 2025-06-27 |
| WO2022063514A1 (en) | 2022-03-31 |
| KR20230073288A (ko) | 2023-05-25 |
| US11968107B2 (en) | 2024-04-23 |
| EP4142189A3 (en) | 2023-03-15 |
| JP2023542477A (ja) | 2023-10-10 |
| EP4142189B1 (en) | 2024-03-27 |
| EP4142189C0 (en) | 2024-03-27 |
| EP3975455A1 (en) | 2022-03-30 |
| US20230353469A1 (en) | 2023-11-02 |
| EP3975455B1 (en) | 2025-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ashjaei et al. | Time-Sensitive Networking in automotive embedded systems: State of the art and research opportunities | |
| EP2418806B1 (en) | Data relay device and data relay method used in the device | |
| CN104272664B (zh) | 用于车辆的网关、节点和方法 | |
| US20190363815A1 (en) | Method, Computer-Readable Medium, System, and Vehicle Comprising the System for Validating a Time Function of a Master and the Clients in a Network of a Vehicle | |
| US7171579B2 (en) | Method and device for exchanging data between at least two stations connected via a bus system | |
| Reimann et al. | Timing analysis of Ethernet AVB-based automotive E/E architectures | |
| CN110050419B (zh) | 用于跨通信网络同步处理器操作的系统和方法 | |
| Herpel et al. | Stochastic and deterministic performance evaluation of automotive CAN communication | |
| CN116158027A (zh) | 确定实际接收的时间戳的正确性 | |
| CN105340223A (zh) | 确定can总线连接单元的内部延迟时间的设备和测量方法 | |
| US11477746B2 (en) | Method and apparatus for synchronization of communication nodes using multiple domains in vehicle network | |
| Chaine et al. | Comparative study of Ethernet technologies for next-generation satellite on-board networks | |
| US20240007325A1 (en) | Method for determining components of a sensor network within an in-vehicle ethernet network in a motor vehicle | |
| KR102019234B1 (ko) | 차량 네트워크 시간 동기화 평가 방법 | |
| Herber et al. | A network virtualization approach for performance isolation in controller area network (CAN) | |
| Obermaisser | Reuse of CAN-based legacy applications in time-triggered architectures | |
| Kurachi et al. | DDCAN: Delay-time deliverable CAN network | |
| Rahim et al. | Comparison of CAN, TTP and Flexray Communication Protocols | |
| Herpel et al. | A simulation approach for the design of safety-relevant automotive multi-ECU systems | |
| Zeng et al. | Networked real-time embedded systems | |
| US20250047401A1 (en) | Connector for Integration of Ethernet Time Synchronization Stacks | |
| Park | Optimization of In-Vehicle Network Design | |
| Raja | Flexible and Fault-Tolerant Communication for Safety Critical Real-Time Systems | |
| Wang et al. | Application of CAN message timing analysis to system-level fault diagnostics and networked control in vehicles | |
| Latha | An New Methodology on Fault Clearance Technique for Intra-Vehicular Networks [articol] |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |