[发明专利]基于功能安全的操作系统和COM模块监控装置及方法

权利要求书

1.一种基于功能安全的对操作系统和COM模块进行监控的装置，包括COM模块、OS模块和PDU路由器，其特征在于，还包括有功能安全监控模块；

所述COM模块，用于接收来自于上层RTE服务层信号端口发送的应用软件数据，将接收到的数据发送至PDU路由器，并进行信号传递有效性和信号发送是否失败的检测和诊断；所述应用软件数据包括应用软件层的传感器软件组件数据、通过控制算法软件组件计算出的数据或控制信号；

所述OS模块，用于提供数据更新任务和定时发送任务以调用COM模块的指定功能函数，并对数据更新任务和定时发送任务进行时间诊断和服务诊断；

所述功能安全监控模块，用于监控OS模块中的数据更新任务、定时发送任务和诊断功能和COM模块中的接收数据功能、发送数据功能和诊断功能是否失效，若失效，则进入到相应的安全状态；同时所述功能安全监控模块还包括对RAM、ROM、指令集和程序流功能的监控；

所述PDU路由器，用于接收从COM模块发送来的数据，并继续传送。

2.一种基于功能安全的对操作系统和COM模块进行监控的方法，其特征在于，包括以下步骤：

步骤1)由OS模块的数据更新任务发送调用COM模块中接收数据功能的指令；

步骤2)COM模块中的接收数据功能接收到步骤1)的指令，接收通过API端口发送来的应用软件数据；

步骤3)由OS模块的定时发送任务发送调用COM模块中发送数据功能的指令；

步骤4)COM模块中的发送数据功能接收步骤3)的指令，通过调用PDU路由器中的函数，将步骤2)的应用软件数据传递给PDU路由器；

步骤5)OS模块的诊断功能将诊断OS模块中的数据更新任务和定时发送任务的时序和服务是否正确，至少包括任务间的时间顺序和状态、中断时间、错误上下文和无效操作，如果诊断到失效，OS模块发送错误码；

步骤6)COM模块的诊断功能将诊断COM模块中的接收数据功能和发送数据功能的信号传递有效性、信号发送是否失败，至少包括诊断是否成功发送报文、是否成功接收报文及报文是否超时；如果诊断到失效，数据将不会向下一层发送请求；

步骤7)功能安全监控模块将对上述步骤1)至步骤6)中的所有功能和RAM、ROM、指令集、程序流功能进行监控；如在监控过程中监控到功能失效，则进入到相应的安全状态；各功能发生失效对应的安全状态如下：

OS数据更新任务功能失效时，安全状态是重新激活数据更新任务；

OS定时发送任务功能失效时，安全状态是重新激活定时发送任务；

OS诊断功能失效时，安全状态是：

1.时序发生错误，终止任务并重新启动操作系统，若仍失效，终止功能；

2.服务发生错误，终止任务并重新启动操作系统，若仍失效，终止功能；

COM接收数据功能失效时，安全状态是重新等待调度接收数据功能；

COM发送数据功能失效时，安全状态是重新等待调度发送数据功能；

COM诊断功能失效时，安全状态是COM模块重新启动并初始化，若仍失效，终止功能；

RAM、ROM、指令集、程序流功能失效时，安全状态是终止功能。