CN106054852B - 集成式故障沉默和故障运转系统中的可量容错的构造 - Google Patents
集成式故障沉默和故障运转系统中的可量容错的构造 Download PDFInfo
- Publication number
- CN106054852B CN106054852B CN201610233246.2A CN201610233246A CN106054852B CN 106054852 B CN106054852 B CN 106054852B CN 201610233246 A CN201610233246 A CN 201610233246A CN 106054852 B CN106054852 B CN 106054852B
- Authority
- CN
- China
- Prior art keywords
- failure
- tracer
- fault
- control
- judging device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0286—Modifications to the monitored process, e.g. stopping operation or adapting control
- G05B23/0291—Switching into safety or degraded mode, e.g. protection and supervision after failure
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24048—Remote test, monitoring, diagnostic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1637—Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/805—Real-time
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
Abstract
本发明涉及集成式故障沉默和故障运转系统中的可量容错的构造。一种集成式故障沉默和故障运转控制系统,包括主控制器,控制在非故障运转状态下运转时的装置的零件。副控制器包括监测主控制器中故障的故障检测器/判定器模块。故障检测器/判定器模块确定主控制器中的故障是否关联故障沉默需求或故障运转需求。如果故障检测器/判定器模块确定故障是故障沉默需求,则故障检测器/判定器模块给主控制器启动停机指令,关闭受故障影响而变得不可运转的零件。如果故障检测器/判定器模块确定与故障相关联的零件是故障运转需求,则故障检测器/判定器模块给主控制信号以撤回零件的控制给副控制器。副控制器用作高确信度系统,控制故障运转模式中的零件。
Description
技术领域
一个实施例涉及容错控制系统。
背景技术
提供安全功能的系统通常采用冗余的控制器以确保安全性,通过关闭已经经受故障或失效的功能。 这样的系统被称为故障沉默系统。 如果检测到故障,就关闭该零件的控制器,并且该零件在该系统中将不再可操作。
一些系统设法采用故障运转系统实现控制系统,其中,附加的控制器被用来确保安全运转能够继续一段时间,例如双联控制器。 如果第一控制器失效并且进入沉默,第二控制器将被启用并且所有致动器将转换成依赖来自第二控制器的请求。 双联结构的问题是,由于控制器基本上是完全相同的这个事实,它们携带相同的缺陷,尤其是软件缺陷。 因为软件是完全相同的,所以这两个控制器将固有地具有相同的问题,如果出现软件相关缺陷。 因此,在使用对称实现控制器的系统中,它们基本上是每个功能的精确复制,这类系统几乎不提供与软件故障相关的帮助。
采用非对称实现控制器的其它类型的系统可以避免复制的硬件和软件故障;然而,采用含有用于控制受到第一非对称控制器控制的所有零件的必要软件和硬件的第二非对称控制器是高成本的。
发明内容
实施例的一个优点是可量容错构造系统(scalable fault-tolerantarchitecture system),其支持在单个构造模式中故障沉默和故障运转零件需求的任意组合。 该构造设计降低成本并且增大软件设计故障的覆盖率。 该系统继承了错误检测和故障确定到单个模块中,其能够监测系统的故障沉默和故障运转零件两者。 该模块确定故障是否与关联了故障沉默需求或故障运转需求的零件有关。 如果该故障与故障沉默需求相关联,那么,与该故障关联的零件在该系统中变成非运转的;然而,主控制器仍然能够继续控制未受该故障影响的其它零件。 如果该故障与故障运转需求相关联,那么对该零件的控制被主控制模块撤回给副控制器,用于监测和控制该零件。 该系统的另一个优点是只有确定为故障运转零件的那些零件的软件存储在副控制器上。 因此,由于降低的复杂性和计算需求,能够减少处理器和存储器。
一个实施例构思一种故障控制策略,用于集成式故障沉默和故障运转控制系统。提供主控制器,控制在非故障运转状态下运转时的装置的零件。 提供副控制器,其包括故障检测器/判定器模块。 故障检测器/判定器模块监测主控制器和副控制器中的故障。 该故障检测器/判定器模块确定主控制器中的故障是否是故障沉默需求或是故障运转需求。通过故障沉默检测器/判定器, 给主控制器启动停机指令,以关闭受到该故障影响的零件,此时,响应于故障检测器/判定器模块确定故障是故障沉默需求,该零件变得不可运转。 响应于故障检测器/判定器模块确定与故障相关联的零件是故障运转需求,零件的控制被撤回给副控制器。 副控制器用作高确信度系统,用于控制故障运转模式中的零件。
一个实施例构思一种集成式故障沉默和故障运转控制系统。 主控制器控制在非故障运转状态下运转时的装置的零件。 副控制器包括故障检测器/判定器模块。 故障检测器/判定器模块监测主控制器和副控制器中的故障。 该故障检测器/判定器模块确定主控制器中的故障是否与故障沉默需求还是故障运转需求相关联。 如果故障检测器/判定器模块确定故障是故障沉默需求,那么故障沉默检测器/判定器启动停机指令给主控制器,以关闭受到该故障影响的零件,此时,该零件变得不可运转。 如果该故障检测器/判定器模块确定与该故障相关联的零件是故障运转需求,那么该故障检测器/判定器模块给主控制器信号以撤回零件的控制给该副控制器。 副控制器用作高确信度系统,用于控制故障运转模式中的零件。
本发明提供下列技术方案。
技术方案1. 一种集成式故障沉默和故障运转控制系统,包括:
主控制器,其控制在非故障运转状态下运转时的装置的零件;
副控制器,其包括故障检测器/判定器模块,该故障检测器/判定器模块监测主控制器和副控制器中的故障,该故障检测器/判定器模块确定主控制器中的故障是否关联故障沉默需求还是故障运转需求,其中,如果故障检测器/判定器模块确定该故障是故障沉默需求,那么故障沉默检测器/判定器给主控制器启动停机指令,关闭受到该故障影响的零件,其中该零件变得不可运转,并且其中,如果故障检测器/判定器模块确定与故障相关联的零件是故障运转需求,那么,故障检测器/判定器模块给主控制器信号以撤回该零件的控制给该副控制器,其中,副控制器用作高确信度系统,用于控制故障运转模式中的零件。
技术方案2. 如技术方案1所述的集成式故障沉默和故障运转控制系统,其中,该系统的每个零件被分类为故障沉默零件或故障运转零件。
技术方案3. 如技术方案2所述的集成式故障沉默和故障运转控制系统,其中,故障沉默检测器/判定器监测并且检测主控制器中的故障。
技术方案4. 如技术方案3所述的集成式故障沉默和故障运转控制系统,其中,故障检测器/判定器模块检测主控制器内的错误的或危险的状态。
技术方案5. 如技术方案4所述的集成式故障沉默和故障运转控制系统,其中,主控制器中的故障的故障检测器/判定器模块检测是故障沉默零件与故障运转零件之间共用的。
技术方案6. 如技术方案2所述的集成式故障沉默和故障运转控制系统,其中,故障沉默检测器/判定器确定与故障相关联的零件被分类为故障沉默零件或故障运转零件。
技术方案7. 如技术方案1所述的集成式故障沉默和故障运转控制系统,进一步地包括故障运转控制模块,用于控制分类为故障运转零件的零件,该故障运转控制模块响应于故障检测器/判定器模块确定故障是故障运转故障来控制故障运转零件。
技术方案8. 如技术方案7所述的集成式故障沉默和故障运转控制系统,其中,响应于从故障检测器/判定器模块确定故障是故障运转故障的通信,主控制器撤回与故障运转状态相关联的零件的控制。
技术方案9. 如技术方案1所述的集成式故障沉默和故障运转控制系统,其中,用于仅仅控制分类为故障运转零件的软件存储在副控制器的故障运转控制模块中。
技术方案10. 如技术方案9所述的集成式故障沉默和故障运转控制系统,其中,故障运转控制模块包括软件,用于控制更少功能的故障运转零件。
技术方案11. 一种用于集成式故障沉默和故障运转控制系统的故障控制策略,包括的步骤是:
提供主控制器,控制在非故障运转状态下运转时的装置的零件;
提供副控制器,其包括故障检测器/判定器模块,该故障检测器/判定器模块监测主控制器和副控制器中的故障;
由故障检测器/判定器模块确定主控制器中的故障是故障沉默需求还是故障运转需求;
响应于故障检测器/判定器模块确定故障是故障沉默需求,通过故障沉默检测器/判定器,给主控制器启动停机指令,以关闭受到该故障影响的零件,此时,该零件变得不可运转;以及
响应于故障检测器/判定器模块确定与故障相关联的零件是故障运转需求,撤回零件的控制给副控制器,其中,副控制器用作高确信度系统,用于控制故障运转模式中的零件。
技术方案12. 如技术方案11所述的故障控制策略,其中,该系统的每个零件被分类为故障沉默零件或故障运转零件。
技术方案13. 如技术方案12所述的故障控制策略,其中,在故障检测器/判定器模块中监测并检测主控制器中的故障。
技术方案14. 如技术方案13所述的故障控制策略,其中,由故障检测器/判定器模块确定主控制器内的错误的或危险的状态。
技术方案15. 如技术方案14所述的故障控制策略,其中,主控制器中的故障的故障检测器/判定器模块检测是故障沉默状态与故障运转状态之间共用的。
技术方案16. 如技术方案12所述的故障控制策略,其中,故障沉默检测器/判定器确定与故障相关联的零件被分类为故障沉默零件或故障运转零件。
技术方案17. 如技术方案11所述的故障控制策略,进一步地包括的步骤是,由故障运转控制模块控制分类为故障运转零件的零件,该故障运转控制模块响应于故障检测器/判定器模块确定故障是故障运转故障来控制故障运转零件。
技术方案18. 如技术方案17所述的故障控制策略,其中,响应于从故障检测器/判定器模块确定故障是故障运转故障的通信,主控制器撤回与故障运转状态相关联的零件的控制。
技术方案19. 如技术方案11所述的故障控制策略,其中,用于仅仅控制分类为故障运转零件的零件的软件存储在副控制器的故障运转控制模块中。
技术方案20. 如技术方案19所述的故障控制策略,其中,故障运转控制模块包括软件,用于控制功能减少的故障运转零件。
附图说明
图1是集成式故障沉默和故障运转控制系统的结构框图。
图2是主控制器和副控制器的放大框图。
图3示出用于检测和启用故障沉默或故障运转模式的流程图。
具体实施方式
在图1中示出的是集成式故障沉默和故障运转控制系统的结构框图。 控制系统,包括但不限于采用安全关键系统或自控系统的车辆、飞机和船,需要容错对策,误差应当出现在控制系统内。这样的控制系统将通常采用两个控制器,从而如果主控制器出现误差(由故障引起的),那么,备用控制器可以容易地实现对控制系统零件的控制或者提供对错误的零件的有限功能的控制。 然而,如果副控制器与主控制器完全相同,那么作为软件的结果的主控制器中的故障将固有地具有副控制器的软件中的相同的缺陷,因为软件是完全相同的。 因此,本文采用并描述集成式高性能系统和高确信度系统。
在图1中,系统被示为包括主控制器12和副控制器14。 本文描述的示范性系统是基于车辆的,但是,如前文描述的,该构造能够适用非车辆系统。
通信总线16提供主控制器12与副控制器14之间的通信。 致动器18包括用于启动系统的零件的装置。 致动器18可以包括仅仅由主控制器控制的零件,并且在主控制器内出现与该零件相关联的故障的故障沉默状态下,相应零件的运转被停。 致动器18可以进一步地包括在故障运转状态下运转的零件,此时,装置受到主控制器12和副控制器14两者的控制。在故障运转状态下,零件不再受到主控制器的监测和控制;然而,如果该零件已经在设计阶段预先被确定是对车辆是关键的,该零件不能完全停止,那么装置以受限的方式保持可运转以维持零件的部分运转。 通常,这样的零件要么是关键的,要么是车辆为维持车辆的至少一些安全运转所需要的。
主控制器12包括处理器,其包含主控制20。 主控制器12在非故障运转状态下运转(本文称作正常运转状态)并且将产生并发送控制信号,关于控制车辆装置18的零件。
副控制器14包括处理器,其包含故障运转控制24,用于在故障运转状态期间控制所选致动器的运转。 以故障运转的运转模式运转的副控制器14产生控制信号,用于启动系统的某些零件,以维持运转来确保系统能够运转,即使仅仅以有限的方式。 这样的控制装置通常是关键的装置,包括但不限于制动控制和转向控制。 在故障运转状态下,关键装置的功能,即使受到限制,也能够允许驾驶员安全地驾驶车辆,直到车辆能够被开到进行检查的地方。
副控制器14进一步地包括故障沉默解码器/判定器模块26,用于监测主控制器12和副控制器14中的错误状态。不像其他的已知系统,其中每个控制器包括监测系统,本文描述的构造采用单个故障沉默解码器/判定器模块26,其监测主控制器12和副控制器14这两者的故障状况并且产生用于关闭和/或切换控制器的控制信号。
图2是主控制器12和副控制器14的放大框图。 主控制器12的主控制20接收来自遍布车辆的各个装置或传感器的输入信号/数据30。 控制动作32由主控制20确定,基于在正常运转状态期间由各个装置和传感器获得的接收到的输入信号/数据30。 输出信号/指令34被主控制20传送给车辆致动器或系统,用于在正常运转状态期间控制零件的运转。
副控制器14包括故障检测器/判定器模块26,用于监测主控制器12内的故障状况。故障检测器/判定器模块26的责任是检测主控制器12内的错误的危险状态并且确定该危险状态是否将引起故障沉默状态或故障运转状态。 要理解的是,故障检测器/判定器模块26的错误检测部是故障沉默和故障运转状态共用的。 故障沉默与故障运转零件之间的唯一差别是,一旦检测到错误,主控制器12和副控制器14所要采取的动作。 对于故障沉默零件,必需动作是关闭与错误相关联的零件,而对于故障运转零件,所要采取的必需动作是把控制从主控制器12切换到副控制器14。
副控制器14用作高确信度系统,基于充当故障运转控制的单一模式。 该高确信度系统仅仅是在故障运转零件的情形中需要的。 结合在副控制器14中的用于执行故障运转零件的数据和相关联软件相比于主控制器12来说可以是非常小的,因为副控制器14仅仅实施最少的故障运转形为,这可以是低性能的需求或相比于主控制器12所需的功能降低功能。另外,副控制器14仅仅实施实现在主控制器12中的零件的一小部分。例如,如果相应的系统包括90%的故障沉默零件和仅仅10%的故障运转零件,那么仅仅需要存储10%的故障运转零件在副控制器14中。 基本原理是只要该系统没有错误地以正常运转模式运转,主控制器12就维持车辆零件的控制。 副控制器14仅仅在主控制器12产生系统错误并且确定该零件不可靠的时候被启用。 因此,副控制器14仅仅需要最少数量的软件,这是维持那些被认为是运转系统零件所必须的各个零件的受限运转所需要的。
响应于故障沉默检测器/判定器26作出的控制应当切换到副控制器14的高确信度模式的确定,故障运转控制此后被副控制器14的微处理器执行。副控制器14的微处理器从遍布车辆的各个装置或传感器接收输入信号/数据40。 控制动作42由故障运转控制24确定,基于在故障运转状态期间由各个装置和传感器获得的接收到的输入信号/数据40。 输出信号/指令44被故障运转控制24传送给车辆致动器,用于在该故障运转模式期间控制故障运转零件。 如先前描述的,因为故障运转零件相比于故障沉默零件来说是小的,所以可以在副控制器14中采用更小尺寸的微处理器和存储器。
图3示出副控制器内的控制策略的流程图,用于检测错误并确定是启用故障沉默零件还是故障运转零件。
在块50,副控制器的故障沉默解码器/判定器模块监测故障状况。 故障沉默检测器/判定器确定与主控制器相关联的故障的类型和故障的严重程度。
在块51,故障检测器/判定器模块以反复循环评估主控制器的每个控制的正确性和安全性。 不管主控制是故障沉默还是故障运转,都执行所述评估。 如果作出的确定是主控制器输出的控制是正确的,那么,返回步骤50以继续分析输出和故障。 在这个状态下,启用主控制器并且维持对零件的控制。 如果块51中作出的确定是控制是不正确或不安全的,那么例程前进到步骤52。
在步骤52,故障沉默检测器/判定器模块确定与故障相关联的零件是故障沉默需求还是故障运转需求。 如果作出的确定是零件被分类为故障沉默需求,那么,例程前进到步骤53;否则,例程前进到步骤54。
在步骤53,响应于确定出现故障沉默状态,关于该零件的控制运转,主控制器进入故障沉默模式。 在故障沉默模式中,用于装置/系统的相应零件变得不可运转并且没有与相应零件相关的控制信号被传送。 主控制器和副控制器都不能启用故障零件。 应当理解的是,在设计状态期间被确定为故障沉默的零件通常不是对车辆功能关键的零件或者是车辆运行所不依赖的零件。 因此,副控制器内没有维持零件运转的控制策略。
还理解的是,主控制器可以控制系统或车辆内的各个零件。 因此,如果关于受到主控制器控制的零件在主控制器内出现故障,那么,仅仅是那个零件的运转变得不可运转。主控制器可以继续监测和控制不受故障影响的其它零件。
在步骤54,响应于步骤52作出的零件被分类为故障运转需求的确定,主控制器撤回故障零件的控制给副控制器。 在故障运转状态中,副控制器维持各个零件的运转。 该零件可以具有在设计阶段期间预编程的功能的变化度。 通常,副控制器将用作高确信度系统,其允许设计比主控器更轻量的控制器。 本文使用的措辞"轻量"指的是相比较于主控制器计算不那么密集的系统。 此外,根据做出其确定所利用的数据,副控制器维持增加确信度的数据完整性和精度。 因此,仅仅是软件和相关运转被编程到控制器中,其提供更高的确信度,零件能够被运转以维持可能对系统是关键的零件的一些运转,但是,该零件以减少的方式运转。 虽然副控制器维持与故障相关联的各个零件的运转,但是,主控制器将不再具有关于这个零件的任何关联或控制;然而,主控制器将维持对未受故障影响的其它零件的分析和控制。
尽管已经详细描述了本发明的某些实施例,但是本领域技术人员将认识到各种替代结构和实施例,以按照下列权利要求限定的那样实施本发明。
Claims (20)
1.一种集成式故障沉默和故障运转控制系统,包括:
主控制器,其控制在非故障运转状态下运转时的装置的零件;
副控制器,其包括故障检测器/判定器模块,该故障检测器/判定器模块监测主控制器和副控制器中的故障,该故障检测器/判定器模块确定主控制器中的故障是否关联故障沉默需求还是故障运转需求,其中,如果故障检测器/判定器模块确定该故障是故障沉默需求,那么故障检测器/判定器给主控制器启动停机指令,关闭受到该故障影响的零件,其中该零件变得不可运转,并且其中,如果故障检测器/判定器模块确定与故障相关联的零件是故障运转需求,那么,故障检测器/判定器模块给主控制器信号以撤回该零件的控制给该副控制器,其中,副控制器用作高确信度系统,用于控制故障运转模式中的零件。
2.如权利要求1所述的集成式故障沉默和故障运转控制系统,其中,该系统的每个零件被分类为故障沉默零件或故障运转零件。
3.如权利要求2所述的集成式故障沉默和故障运转控制系统,其中,故障检测器/判定器监测并且检测主控制器中的故障。
4.如权利要求3所述的集成式故障沉默和故障运转控制系统,其中,故障检测器/判定器模块检测主控制器内的错误的或危险的状态。
5.如权利要求4所述的集成式故障沉默和故障运转控制系统,其中,主控制器中的故障的故障检测器/判定器模块检测是故障沉默零件与故障运转零件之间共用的。
6.如权利要求2所述的集成式故障沉默和故障运转控制系统,其中,故障检测器/判定器确定与故障相关联的零件被分类为故障沉默零件或故障运转零件。
7.如权利要求1所述的集成式故障沉默和故障运转控制系统,进一步地包括故障运转控制模块,用于控制分类为故障运转零件的零件,该故障运转控制模块响应于故障检测器/判定器模块确定故障是故障运转故障来控制故障运转零件。
8.如权利要求7所述的集成式故障沉默和故障运转控制系统,其中,响应于从故障检测器/判定器模块确定故障是故障运转故障的通信,主控制器撤回与故障运转状态相关联的零件的控制。
9.如权利要求1所述的集成式故障沉默和故障运转控制系统,其中,用于仅仅控制分类为故障运转零件的零件的软件存储在副控制器的故障运转控制模块中。
10.如权利要求9所述的集成式故障沉默和故障运转控制系统,其中,故障运转控制模块包括软件,用于控制更少功能的故障运转零件。
11.一种用于集成式故障沉默和故障运转控制系统的故障控制方法,包括的步骤是:
提供主控制器,控制在非故障运转状态下运转时的装置的零件;
提供副控制器,其包括故障检测器/判定器模块,该故障检测器/判定器模块监测主控制器和副控制器中的故障;
由故障检测器/判定器模块确定主控制器中的故障是故障沉默需求还是故障运转需求;
响应于故障检测器/判定器模块确定故障是故障沉默需求,通过故障检测器/判定器,给主控制器启动停机指令,以关闭受到该故障影响的零件,此时,该零件变得不可运转;以及
响应于故障检测器/判定器模块确定与故障相关联的零件是故障运转需求,撤回零件的控制给副控制器,其中,副控制器用作高确信度系统,用于控制故障运转模式中的零件。
12.如权利要求11所述的故障控制方法,其中,该系统的每个零件被分类为故障沉默零件或故障运转零件。
13.如权利要求12所述的故障控制方法,其中,在故障检测器/判定器模块中监测并检测主控制器中的故障。
14.如权利要求13所述的故障控制方法,其中,由故障检测器/判定器模块确定主控制器内的错误的或危险的状态。
15.如权利要求14所述的故障控制方法,其中,主控制器中的故障的故障检测器/判定器模块检测是故障沉默状态与故障运转状态之间共用的。
16.如权利要求12所述的故障控制方法,其中,故障检测器/判定器确定与故障相关联的零件被分类为故障沉默零件或故障运转零件。
17.如权利要求11所述的故障控制方法,进一步地包括的步骤是,由故障运转控制模块控制分类为故障运转零件的零件,该故障运转控制模块响应于故障检测器/判定器模块确定故障是故障运转故障来控制故障运转零件。
18.如权利要求17所述的故障控制方法,其中,响应于从故障检测器/判定器模块确定故障是故障运转故障的通信,主控制器撤回与故障运转状态相关联的零件的控制。
19.如权利要求11所述的故障控制方法,其中,用于仅仅控制分类为故障运转零件的零件的软件存储在副控制器的故障运转控制模块中。
20.如权利要求19所述的故障控制方法,其中,故障运转控制模块包括软件,用于控制功能减少的故障运转零件。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/688,083 US9563523B2 (en) | 2015-04-16 | 2015-04-16 | Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems |
| US14/688083 | 2015-04-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106054852A CN106054852A (zh) | 2016-10-26 |
| CN106054852B true CN106054852B (zh) | 2019-03-01 |
Family
ID=57043253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610233246.2A Active CN106054852B (zh) | 2015-04-16 | 2016-04-15 | 集成式故障沉默和故障运转系统中的可量容错的构造 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9563523B2 (zh) |
| CN (1) | CN106054852B (zh) |
| DE (1) | DE102016107015B4 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016011469A1 (de) * | 2014-07-22 | 2016-01-28 | Fts Computertechnik Gmbh | Fehlertolerantes, wartbares automatisierungssystem |
| CN106354141B (zh) * | 2016-11-02 | 2019-09-13 | 北京汽车集团有限公司 | 一种驾驶控制系统和方法 |
| US10459436B2 (en) | 2017-06-01 | 2019-10-29 | GM Global Technology Operations LLC | Asymmetric system architecture for fail-operational functions with limited availability requirements |
| DE102017218898A1 (de) * | 2017-10-23 | 2019-04-25 | Volkswagen Aktiengesellschaft | Kontrollsystem für ein Batteriesystem |
| KR102066219B1 (ko) | 2018-02-05 | 2020-01-14 | 주식회사 만도 | 리던던트 구조 기반의 차량 제어 장치 및 방법 |
| US20200183661A1 (en) * | 2018-12-11 | 2020-06-11 | GM Global Technology Operations LLC | Method and apparatus for cross-execution of binary embedded software |
| US11101632B2 (en) | 2019-11-12 | 2021-08-24 | Saudi Arabian Oil Company | High current detection and field loop isolation circuit |
| CN112947375B (zh) * | 2021-02-09 | 2023-08-25 | 大连海事大学 | 一种考虑未知死区的复合自适应容错控制器设计方法 |
| US11214271B1 (en) * | 2021-03-10 | 2022-01-04 | Aurora Operations, Inc. | Control system interface for autonomous vehicle |
| JP2022188500A (ja) * | 2021-06-09 | 2022-12-21 | 日立Astemo株式会社 | 車両制御装置および車両制御システム |
| US20240124026A1 (en) * | 2022-10-17 | 2024-04-18 | Argo AI, LLC | Asymmetrical Autonomous Vehicle Computing Architecture |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN88102523A (zh) * | 1987-04-23 | 1988-11-02 | 波音公司 | 采用三个控制器操纵一个申列式致动器的飞行控制系统 |
| CN1550988A (zh) * | 2003-01-23 | 2004-12-01 | ��������ϵͳ�����ɷ�����˾ | 容错计算机控制系统 |
| CN102854874A (zh) * | 2012-06-18 | 2013-01-02 | 南京航空航天大学 | 一种基于联合多观测器的故障诊断与容错控制装置及方法 |
| CN104049530A (zh) * | 2013-03-14 | 2014-09-17 | 通用汽车环球科技运作有限责任公司 | 容错控制系统 |
| CN104269813A (zh) * | 2014-09-03 | 2015-01-07 | 浙江大学 | 一种电控汽车执行器故障诊断与容错控制的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6389559B1 (en) * | 2000-05-24 | 2002-05-14 | Mti Technology Corporation | Controller fail-over without device bring-up |
| US7069468B1 (en) * | 2001-11-15 | 2006-06-27 | Xiotech Corporation | System and method for re-allocating storage area network resources |
| US8340793B2 (en) * | 2009-10-09 | 2012-12-25 | Hamilton Sundstrand Corporation | Architecture using integrated backup control and protection hardware |
| US8935015B2 (en) * | 2011-05-09 | 2015-01-13 | Parker-Hannifin Corporation | Flight control system with alternate control path |
| US9195232B1 (en) * | 2014-02-05 | 2015-11-24 | Google Inc. | Methods and systems for compensating for common failures in fail operational systems |
-
2015
- 2015-04-16 US US14/688,083 patent/US9563523B2/en active Active
-
2016
- 2016-04-15 DE DE102016107015.7A patent/DE102016107015B4/de active Active
- 2016-04-15 CN CN201610233246.2A patent/CN106054852B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN88102523A (zh) * | 1987-04-23 | 1988-11-02 | 波音公司 | 采用三个控制器操纵一个申列式致动器的飞行控制系统 |
| CN1550988A (zh) * | 2003-01-23 | 2004-12-01 | ��������ϵͳ�����ɷ�����˾ | 容错计算机控制系统 |
| CN102854874A (zh) * | 2012-06-18 | 2013-01-02 | 南京航空航天大学 | 一种基于联合多观测器的故障诊断与容错控制装置及方法 |
| CN104049530A (zh) * | 2013-03-14 | 2014-09-17 | 通用汽车环球科技运作有限责任公司 | 容错控制系统 |
| CN104269813A (zh) * | 2014-09-03 | 2015-01-07 | 浙江大学 | 一种电控汽车执行器故障诊断与容错控制的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160306720A1 (en) | 2016-10-20 |
| US9563523B2 (en) | 2017-02-07 |
| CN106054852A (zh) | 2016-10-26 |
| DE102016107015B4 (de) | 2021-04-29 |
| DE102016107015A1 (de) | 2016-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106054852B (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
| CN105515739B (zh) | 具有第一计算单元和第二计算单元的系统和运行系统的方法 | |
| CN108639054B (zh) | 一种线控驱动系统的驱动方法和线控驱动系统 | |
| CN111665849B (zh) | 一种自动驾驶系统 | |
| JP5319534B2 (ja) | 障害管理方法、および障害管理のための装置 | |
| WO2019142563A1 (ja) | 電子制御装置 | |
| US10338585B2 (en) | Abnormal aircraft response monitor | |
| CN110650878A (zh) | 异常判定装置、异常判定方法以及异常判定程序 | |
| JP2008505012A (ja) | 冗長データバスシステム | |
| CA2336045C (en) | Controller or engine controller, engine and method for adjusting a control or drive system or an engine | |
| US10241858B2 (en) | Computer system and method for safety-critical applications | |
| US11531330B2 (en) | Blockchain-based failsafe mechanisms for autonomous systems | |
| Heckemann et al. | Safe automotive software | |
| KR20100071554A (ko) | 적응 미지입력 관측기를 이용한 무인항공기의 조종면 구동기 고장진단방법 | |
| US6901350B2 (en) | Method and device for monitoring the functioning of a system | |
| US20160171897A1 (en) | Flight management system and method for monitoring flight guidance instructions | |
| CN109460313A (zh) | 自动驾驶安全控制方法 | |
| CN112740121B (zh) | 用于车辆的控制架构 | |
| CN106970550B (zh) | 车辆子系统通信仲裁 | |
| CN108083188B (zh) | 臂架控制装置和方法、高空作业平台以及计算机可读存储介质 | |
| US11836057B2 (en) | Fault location in a redundant acquisition system | |
| WO2020246031A1 (ja) | 車載制御装置および車載制御システム | |
| US20240140448A1 (en) | Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method | |
| JPWO2019244366A1 (ja) | 自動運転支援システム及びその動作方法 | |
| JP2019121043A (ja) | 車両制御システムおよび車両制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |