CN106970550B - 车辆子系统通信仲裁 - Google Patents
车辆子系统通信仲裁 Download PDFInfo
- Publication number
- CN106970550B CN106970550B CN201710009643.6A CN201710009643A CN106970550B CN 106970550 B CN106970550 B CN 106970550B CN 201710009643 A CN201710009643 A CN 201710009643A CN 106970550 B CN106970550 B CN 106970550B
- Authority
- CN
- China
- Prior art keywords
- fail
- signal
- bus
- primary
- safe device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 37
- 238000000034 method Methods 0.000 claims description 27
- 230000007246 mechanism Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
- G06F13/4027—Coupling between buses using bus bridges
- G06F13/4031—Coupling between buses using bus bridges with arbitration
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/36—Handling requests for interconnection or transfer for access to common bus or bus system
- G06F13/362—Handling requests for interconnection or transfer for access to common bus or bus system with centralised access control
- G06F13/364—Handling requests for interconnection or transfer for access to common bus or bus system with centralised access control using independent requests or grants, e.g. using separated request and grant lines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
- H04L12/4135—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25257—Microcontroller
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Hardware Redundancy (AREA)
- Small-Scale Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
一种车辆子系统包括第一信号,第一信号包括第一主值,第一信号是从第一故障安全装置传输到第三故障安全装置。第一信号通过主总线传输。包括第二主值的第二信号从第二故障安全装置被传输到第四故障安全装置。第一和第二主值表明在主总线、第二总线、或两者上的第一和第二信号是否是可信的,或两者上的第一和第二信号是否都不可信。
Description
技术领域
本发明总体涉及车辆子系统通信仲裁。
背景技术
自主车辆——即,其中在没有操作者干预的情况下由车辆内的部件来控制和实施常规地由人类操作者控制的一些或全部操作的车辆——在故障事件中依靠保持和协调关键子系统功能。
发明内容
根据本发明,提供一种车辆子系统,包含:
第一故障安全装置和第二故障安全装置,其具有处理器和存储器,存储器存储可由处理器执行的用于传输信息的指令;以及
第一仲裁总线,第一仲裁总线连接第一故障安全装置和第二故障安全装置,其中第一仲裁总线在第一故障安全装置和第二故障安全装置之间传输信息;
其中第一故障安全装置被编程为通过主总线与第三故障安全装置通信并且其中第二故障安全装置被编程为通过第二总线与第四故障安全装置通信;
其中第一故障安全装置被编程为通过主总线向第三故障安全装置传输包括第一主值的第一信号,并且第二故障安全装置被编程为通过第二总线向第四故障安全装置传输包括第二主值的第二信号;
其中第一主值和第二主值各自表明下列中的一个:
主总线上的第一信号可信,
第二总线上的第二信号可信,
主总线和第二总线两者上各自的第一信号和第二信号都可信,以及
主总线和第二总线两者上各自的第一信号和第二信号都不可信。
根据本发明的一个实施例,该系统进一步包含第二仲裁总线,第二仲裁总线通信地连接第三故障安全装置和第四故障安全装置,其中第三故障安全装置被编程为通过第二仲裁总线向第四故障安全装置传输第一信号,并且第四故障安全装置被编程为通过第二仲裁总线向第三故障安全装置传输第二信号。
根据本发明的一个实施例,其中第一故障安全装置被编程为通过主总线从第三故障安全装置接收具有第三主值的第三信号,并且第二故障安全装置被编程为通过第二总线接收具有第四主值的第四信号,其中第三主值和第四主值各自表明下列中的一个:
主总线上的第三信号可信,
第二总线上的第四信号可信,
主总线和第二总线两者上各自的第三信号和第四信号都可信,以及
主总线和第二总线两者上各自的第三信号和第四信号都不可信。
根据本发明的一个实施例,其中第一故障安全装置由第一电源提供电能并且第二故障安全装置由第二电源提供电能。
根据本发明的一个实施例,其中子系统是自主车辆控制子系统、动力传动子系统、制动子系统、转向子系统和照明子系统中的一个。
根据本发明的一个实施例,其中第三故障安全装置和第四故障安全装置被包括在第二车辆子系统中。
根据本发明的一个实施例,其中第三故障安全装置被编程用于确定第一信号是否过时并且第四故障安全装置被编程用于确定第二信号是否过时。
根据本发明的一个实施例,其中第三故障安全装置被编程为在第一信号过时时表明在主总线上的第一信号不可信,并且第四故障安全装置被编程为在第二信号过时时表明在第二总线上的第二信号不可信。
根据本发明的一个实施例,其中第三故障安全装置和第四故障安全装置被编程为在第一主值或第二主值表明在主总线和第二总线中的一个上的第一信号和第二信号之一不可信时声明故障。
根据本发明的一个实施例,其中第一故障安全装置和第二故障安全装置各自被编程用于仲裁第一主值和第二主值两者。
根据本发明,提供一种方法,包含:
通过主总线将包括第一主值的第一信号从第一故障安全装置传输到第三故障安全装置,并且通过第二总线将包括第二主值的第二信号从第二故障安全装置传输到第四故障安全装置,
其中第一主值和第二主值各自表明下列中的一个:
在主总线上的第一信号可信,
在第二总线上的第二信号可信,
在主总线和第二总线两者上各自的第一信号和第二信号都可信,以及
在主总线和第二总线两者上各自的第一信号和第二信号都不可信。
根据本发明的一个实施例,该方法进一步包含将第二仲裁总线通信地连接第三故障安全装置和第四故障安全装置,其中第三故障安全装置通过第二仲裁总线将第一信号传输到第四故障安全装置并且第四故障安全装置通过第二仲裁总线将第二信号传输到第三故障安全装置。
根据本发明的一个实施例,该方法进一步包含:
接收具有第三主值的第三信号,第三信号通过第三网络路径和第四网络路径从第三故障安全装置传输到第一故障安全装置,第三网络路径包括主总线,第四网络路径包括第一仲裁总线和第二仲裁总线和第二总线,其中第三主值表明下列中的一个:
主总线上的第三信号可信,
第二总线上的第四信号可信,
主总线和第二总线两者上各自的第三信号和第四信号都可信,以及
主总线和第二总线两者上各自的第三信号和第四信号都不可信。
根据本发明的一个实施例,其中第一故障安全装置由第一电源提供电能并且第二故障安全装置由第二电源提供电能。
根据本发明的一个实施例,其中子系统是自主车辆控制子系统、动力传动子系统、制动子系统、转向子系统和照明子系统中的一个。
根据本发明的一个实施例,其中第三故障安全装置和第四故障安全装置被包括在第二车辆子系统中。
根据本发明的一个实施例,该方法进一步包含利用第三故障安全装置确定第一信号是否过时以及利用第四故障安全装置确定第二信号是否过时。
根据本发明的一个实施例,该方法进一步包含在第一信号过时时利用第三故障安全装置表明在主总线上的第一信号不可信,以及在第二信号过时时利用第四故障安全装置表明在第二总线上的第二信号不可信。
根据本发明的一个实施例,该方法进一步包含在第一主值或第二主值表明在主总线和第二总线中的一个上的第一信号和第二信号之一不可信时利用第三故障安全装置和第四故障安全装置中的一个声明故障。
根据本发明的一个实施例,该方法进一步包含利用第一故障安全装置和第二故障安全装置中的一个仲裁第一主值和第二主值两者。
附图说明
图1示出了包括示例车辆仲裁系统的示例车辆;
图2是示例车辆仲裁系统的框图;
图3是故障安全装置(FS装置)中用于仲裁信号的示例程序的程序流程示意图;
图4是图2中的程序所使用的仲裁逻辑表。
具体实施方式
自主和非自主车辆的故障可以包括动力故障、通信故障和逻辑装置的故障。目前缺乏尤其是在自主车辆背景下在故障期间处理子系统故障以及协调冗余逻辑和通信的机构。
在自主车辆或非自主车辆内,故障功能特性有助于减轻由故障所引起的问题。在传统车辆内,支持驾驶员控制车辆故障安全的大多数电子控制系统降低对于驾驶员控制的支持,但这样做确保该系统不会干扰驾驶员控制。然而,在自主车辆内,电子控制系统提供车辆的主要控制。当发生故障时,没有驾驶员控制车辆,因此电子控制系统必须保持显著水平的功能,至少直到驾驶员采取手动控制。
克服该问题的一种方法是利用车辆子系统通信仲裁。车辆内的系统可以包括与车辆内其它系统中的对应装置通信的多个逻辑装置。用于仲裁这种通信的系统包括第一故障安全装置和第二故障安全装置,每个故障安全装置具有处理器和存储器。存储器存储可由处理器执行的用于传输信息的指令。该系统进一步包括连接第一故障安全装置和第二故障安全装置的第一仲裁总线。第一仲裁总线在第一故障安全装置和第二故障安全装置之间传输信息。第一故障安全装置被编程为通过主总线与第三故障安全装置通信。第二故障安全装置被编程为通过第二总线与第四故障安全装置通信。第一故障安全装置被编程为通过第一网络路径向第二故障安全装置传输第一信号,第一信号包括第一主值。第一网络路径包括第一仲裁总线。第一故障安全装置被编程为通过第二网络路径传输包括第一主值的第一信号。第二网络路径包括主总线和第二总线以及第二仲裁总线,第二仲裁总线连接第三和第四故障安全装置并且在第三和第四故障安全装置之间传输信息。第一主值表明以下之一:在主总线上的第一信号是否可信、第二总线上的第一信号是否可信、或主总线和第二总线两者上的第一信号是否可信、或主总线和第二总线两者上的第一信号都不可信。术语“可信”可以指代来自特定总线的信号是否被故障安全装置认为是可靠的,即,如果主值表明位于主总线上的信号可信的,那么故障安全装置认为在主总线上接收的信号是准确的,并且如果主值表明第二总线上的信号不可信,那么故障安全装置会认为从第二总线接收的信号潜在地不准确,直至故障安全装置接收到第二总线上的信号可信的指示,例如另一主值。换言之,术语“可信”可以表明该信号是否应该被接收该信号的故障安全装置信任。
参照附图,所示的元件可以采用诸多不同的形式并且包括多种和/或可选的部件和设施。示出的示例部件并非意在限制。事实上,可以使用另外或可选的部件和/或实施方式。进一步地,所述的元件不一定按照比例绘制,除非明确说明如此。
图1示出了车辆101。车辆101包括多个子系统,子系统包括自主子系统105、动力传动子系统110、制动子系统115和转向子系统120。车辆101可以是如轿车、货车和/或任何其它合适的车辆。如自主操作子系统105的子系统可以结合用于实施各种操作的软件和硬件的组合,自主子系统105包括第一故障安全装置106和第二故障安全装置107。例如,故障安全装置106、107中的每一个可以被编程用于接收和处理传感器数据、接收和处理来自各种车辆101部件的数据以及用于向各种车辆101部件提供消息和指令以支持各种自主动作,即在没有人类操作者干预或控制的情况下实施的车辆101操作。相应地,故障安全装置106、107中的每一个总体包括多个处理器和存储器,存储器包括一种或多种形式的计算机可读介质并且存储可由处理器执行的用于实施包括这里公开的各种操作的指令,在该情况下,子系统105包括用于实施各种操作的程序设计。进一步地,故障安全装置106、107中的每一个构造有冗余部件、监测功能件以及程序设计,该程序设计使其能够检测它自身内的故障并且在检测到故障的情况下完全禁止或大大减少它的功能。
自主子系统105可以被编程为在具有受限或没有人类操作者输入的情况下操作车辆101。自主子系统105可以包括第一故障安全装置106和第二故障安全装置107。自主子系统105可以通过通信总线130、131可通信地连接到其它子系统110、115、120。
故障安全装置106、107可以被编程为针对内部错误或故障、彼此中的错误或故障以及在其它子系统中的错误或故障作出反应。故障安全装置106、107中的每一个可以包括内部故障处理机构,如多个微处理器或用于单独执行实施各其它故障安全装置106、107的操作的程序设计的其它机构。例如,故障安全装置106或107内的第一或第二微处理器可以产生结果并且将它们的结果彼此比较。如果结果不匹配,装置106或107可以声明故障并且停止操作、向另一装置106、107发送关于故障的通知等。
车辆101可以包括动力传动子系统110。动力传动子系统110可以被编程用于从自主子系统105接收用于控制车辆101的动力传动系统的指令。动力传动子系统110可以包括故障安全装置111、112。动力传动子系统110可以通过通信总线130、131通信地连接到自主子系统105和其它子系统115、120。
车辆101可以包括制动子系统115。制动子系统115可以被编程用于从自主子系统105接收用于控制车辆101制动器的指令。制动子系统115可以包括故障安全装置116、117。制动子系统115可以通过通信总线130、131通信地连接到自主子系统105、动力传动子系统110和其它子系统120。
车辆101可以包括转向子系统120。转向子系统120可被编程用于从自主子系统105接收用于使车辆101转向的指令。转向子系统120可以包括故障安全装置121、122。转向子系统120可以通过通信总线130、131通信地连接到自主子系统105、动力传动子系统110和制动子系统115。
子系统105、110、115、120可以由电源125、126提供电能。电源125、126向子系统105、110、115、120提供电能,子系统包括故障安全装置106、107、111、112、116、117、121、122。电源125通过电源连接件127连接到子系统105、110、115、120,并且电源126通过电源连接件128连接到子系统105、110、115、120。
车辆101可以包括通信总线130、131。总线可以是车辆101内用于网络通信的一种或多种机构,如控制器局域网络(CAN)总线,以示例而并非限制的方式,总线可以针对通信配置为控制器局域网络(CAN)总线等和/或可以使用在子系统105、110、115、120之间提供包括数据的各种通信的其它通信机构和/或协议。
车辆101可以包括仲裁总线135。为了本发明的目的而将仲裁总线限定为在车辆101子系统内的两个故障安全装置之间的通信连接或链接,以及位于至少一个该装置内和/或总线135自身的微处理器的程序设计,其用于实施确定动作的逻辑。例如,仲裁总线可以实施用于确定动作的逻辑,该动作是在检测到错误或故障时所采取的动作。“仲裁”限定为用于确定动作的实施逻辑,例如图4的示例逻辑。
图2是自主主车辆101内的示例车辆仲裁系统100的框图。自主子系统105被连接到第一电源125和第二电源126以及第一通信总线130和第二通信总线131。通过总线130、131和/或其它有线和/或无线机构,子系统105可以向车辆101内的各种装置或子系统传输消息,和/或从各种装置接收消息,装置是如控制器、致动器、传感器等。
自主子系统105通过总线130、131与各种车辆部件通信,车辆部件包括动力传动子系统110、制动子系统115或转向子系统120和/或如车辆101照明控制子系统(未示出)的其它子系统。类似于自主操作子系统105,子系统110、115和120中的每一个包括各自的故障安全装置111、112、116、117、121和122,每个故障安全装置包括软件和硬件的组合,即处理器和存储由处理器执行的用于执行包括这里所描述的那些操作以及其它操作的指令的存储器。例如,动力传动子系统110包括总体被编程用于执行控制车辆101动力传动系统的操作的装置111、112,制动子系统115包括被编程用于实施控制车辆101制动器的操作的装置115,转向子系统120包括被编程用于实施控制车辆101转向操作的装置121、122等。由于具有上述装置106、107,装置111、112、116、117、121和122中的每一个总体构造有冗余部件、监测功能件以及程序设计,该程序设计使其能够检测自身内的故障并且在检测到故障的情况下完全禁止或大大降低其功能。
故障安全装置106、107各自被编程为针对其它子系统提供的信息作出反应。而且,故障安全装置106、107中的每一个可以产生向其它子系统中的故障安全装置发送的消息。例如,故障安全装置106或107中的第一和第二微处理器可以各自产生主值并且通过通信总线130、131向其它故障安全装置111、112、116、117、121和122发送主值。“主值”被限定为表明总线130、131两者或两者都不或仅一个上的信号是否可信的信息。主值可以与故障安全装置106、107、111、112、116、117、121、122的输出分开。
如上文提到的,虽然故障安全装置106、107中的一个或两个没有实施子系统105的所有操作和/或没有如子系统105如此快速和高效地实施子系统105的操作,但每个故障安全装置106、107进一步被编程为独立地实施子系统105的操作。故障安全装置106、107中的每一个被连接到通信总线130、131中的一个,例如,参见图1,故障安全装置106被连接到第一通信总线130,并且第二故障安全装置107被连接到第二通信总线131。
子系统110、115和120中的每一个具有与刚才关于子系统105描述的相似的结构。例如,动力传动子系统110包括或通信地连接到第一和第二故障安全装置111、112,装置111、112分别连接到总线130、131。制动子系统115包括或通信地连接到故障安全装置116、117,故障安全装置116、117分别连接到总线130、131。转向子系统120包括或通信地连接到故障安全装置121、122,故障安全装置121、122分别连接到总线130、131。故障安全装置111、112、116、117、121、122进一步总体包括内部故障处理机构,如上文与装置106、107相关说明的。而且,在各个成对的装置111和112、116和117以及121和122中其中一个中的每一个故障安全装置可以连接到相同和/或不同的致动器,如用于提供实施子系统110、115或120的操作指令的致动器,例如控制车辆101动力传动系统、制动转向等。
进一步地,除图2所示的那些以外,子系统110、115和/或120可以包括其它故障安全装置、电连接件和通信连接件。例如,动力传动子系统110尤其可以保证进一步的冗余和/或提供可选或另外的故障切换选项,如在动力传动子系统110故障情况下的“滑行”模式。而且,自主操作子系统105可以包括除这里所示出的那些之外的另外的故障安全装置、电连接件和通信连接件。
子系统105、110、115、120进一步包括位于故障安全装置之间的至少一个仲裁总线135。在图2的示例中,仲裁总线135被设置在自主子系统105的故障安全装置106、107内或两者之间。在每个子系统中的每对故障安全装置类似地包括它自身的仲裁总线135。例如,动力传动子系统110包括位于故障安全装置111、112之间的仲裁总线135,制动子系统115包括位于故障安全装置116、117之间的仲裁总线135,并且转向子系统120包括位于故障安全装置121、122之间的仲裁总线135。仲裁总线135包括确定使用两个通信总线130、131中的哪一个与各种车辆101子系统105、110、115、120等通信的程序设计。
各种故障安全装置106、107、111、112、116、117、121、122所采用的仲裁技术可以以各种方式检测总线130、131其中一个内或与之相关的主值。例如,在一个场景中,总线130可以是主通信总线,并且总线131可以是备用或第二通信总线。在该场景中,装置106可以通过其中一个总线130从其中一个子系统110、115或120接收主值等。装置106之后通过仲裁总线135向配对装置107指示总线130中的主值。类似地,装置107可以通过总线130和连接到如故障安全装置111、112的另一对故障安全装置的第二仲裁总线135从第二总线131接收另一主值。如果从总线130接收到的主值与从总线131接收到的主值不同,那么自主操作子系统105可以实施仲裁逻辑,如下文所述,从而确定主值的可信性。
总体上,如图2中示出的自主子系统105内的仲裁总线135依靠程序设计装置106、107来处理表明来自各种子系统110、115、120等的主值的通信。这样的程序设计依靠通信知识以及各种子系统110、115、120等内实施的程序设计逻辑。例如,装置106、107可以识别由各种子系统110、115、120提供的主值等。
图3示出了用于仲裁由故障安全装置接收的值的程序200。程序200开始于框205,在框205中,如故障安全装置106的第一故障安全装置可以沿第一网络路径向如故障安全装置107的第二故障安全装置传输第一信号。第一信号可以包括第一主值,第一主值表明是否在通信总线130、131两者、或仅其中一个上的第一信号是可信的,或是否两者都不可信。第一网络路径包括第一仲裁总线135。
接下来,在框210中,第一故障安全装置106可以沿第二网络路径传输第一信号。第二网络路径包括主总线(例如将如故障安全装置111的第三故障安全装置连接到第一故障安全装置106的总线130)、第四故障安全装置(例如被连接到第三故障安全装置111的故障安全装置112)、连接第三和第四故障安全装置111、112的第二仲裁总线135以及第二总线(例如将第四故障安全装置112连接到第二故障安全装置107的总线131)。
接下来,在框215中,子系统105可以仲裁来自沿着第一和第二网络路径发送的第一信号的主值。如果其中一个故障安全装置和/或其中一个通信总线有故障,那么主值会不同,或者其中一个主值是“过时的(aged)”,即在比例如10ms的特定时间段更久之前发送。第二故障安全装置107因此仲裁两个主值以确定是否在主总线130和第二总线131两者上或仅其中一个上的第一信号是可信的,或者是否两者都不可信。根据下文图4所述的仲裁逻辑来仲裁主值。
接下来,在框220中,子系统105根据可信的主值操作。例如,如果仲裁确定仅在主总线130上的第一信号可信,那么子系统105可以基于仅从主总线130上收集的信息操作。在另一示例中,如果来自主总线130的主值是“过时的”,那么子系统105基于来自第二总线131的信息操作。
在另一示例中,包括第二主值的第二信号通过第一网络路径和第二网络路径从第二故障安全装置107发送到第一故障安全装置106,第一网络路径包括仲裁总线135,第二网络路径包括第二总线131、第四故障安全装置112、第二仲裁总线135、第三故障安全装置111以及主总线130。在又一示例中,第一故障安全装置106可以从第三故障安全装置通过第一网络路径和第二网络路径接收包括第三主值的第三信号,第一网络路径包括主总线130,第二网络路径包括第一和第二仲裁总线135、第二总线131以及第二和第四故障安全装置106、112。第二和第三主值可以分别表明主总线130、第二总线131、总线130和131两者上的第二和第三信号是否是可信的、或是否任一总线上的上的第二和第三信号都不可信。因此,子系统105可以仲裁来自任何其它子系统110、115、120的信号。
图4基于主值中的可信信息以及任何一个或两个第一信号中的数据是否过时示出了第一主值和第二主值的示例仲裁逻辑。在子系统105四个状态中的一个的逻辑得出:在通信总线130、131两者上的第一信号都是可信的(“两者”)、在主通信总线130上的第一信号是可信的(“主”)、在第二通信总线131上的第一信号是可信的(“第二”)以及在任何一个通信总线上的第一信号都不可信(“都不”)。图4的表列出了关于故障安全装置的仲裁状态的可能性。
在一个示例中,主值可以表明在主总线130和第二总线131上的第一信号都是可信的。如果来自主网络路径和第二网络路径两者的第一信号都是未过时的,那么仲裁状态是“两者”,即在主总线130和第二总线131两者上的第一信号都是可信的。
在另一示例中,在主总线和第二总线131两者上的第一信号都是可信的。然而,如果来自第二网络路径的第一信号是过时的,那么仲裁状态是“主”,即仅在主总线130上的第一信号是可信的。可选地,如果第一网络路径上的第一信号表明总线130、131两者上都是可信的,并且第二网络路径上的第一信号表明仅在主总线130上是可信的,那么仲裁状态仍是“主”。也就是,如果主值表明仅在总线130、131其中一个上的第一信号是可信的,那么仲裁状态会反映该总线。
在又一示例中,第一信号可以在主总线130和第二总线131两者上都是可信的,而来自第一网络路径的第一信号是过时的。此处,仲裁状态是“第二”,即仅在第二总线131上的第一信号是可信的。可选地,如果在其中一个网络路径上的主值表明在总线130、131两者上是可信的并且在其它网络路径上的主值表明仅在第二总线131上是可信的,那么仲裁状态仍是“第二”。
在又一示例中,如果第一网络路径上的主值表明在主总线130上是可信的,并且在第二网络路径上的主值表明在第二总线131上是可信的,那么仲裁状态是“都不”,即在总线130、131上的第一信号都不可信。也就是说,如果沿网络路径的主值表明仅总线130、131其中一个可信并且各自表明总线130、131中不同的一个,那么仲裁状态是“都不”。可选地,如果第一网络路径上的主值表明在第二总线131上的第一信号是可信的,并且第二网络路径上的主值是过时的,那么仲裁状态是“都不”。
如这里所使用的,修饰形容词的副词“大体上”意味着形状、结构、尺寸、测量、数值、计算等可能由于材料、加工、制造、传感器测量、计算、处理时间、通信时间等的缺陷而偏离精确描述的几何形状、距离、测量、数值、计算等。
计算装置总体各自包括可由一个或多个计算装置执行的指令,如上文所标识的那些并且该指令用于实施上文所述的程序框或步骤。计算机可执行指令可以由计算机程序编译或解释,该计算机程序使用多种编程语言和/或技术创建,这些编程语言和/或技术包括但并不限于单独的或组合的JavaTM、C、C++、Visual Basic、Java Script、Perl、HTML等。通常,处理器(例如微处理器)例如从存储器、计算机可读介质等接收指令,并且执行这些指令,由此执行一个或多个程序,包括这里所描述的一个或多个程序。这样的指令以及其它数据可以使用各种计算机可读介质存储和传输。计算装置内的文件总体上是存储在例如存储介质、随机存取存储器等计算机可读介质上的数据的集合。
计算机可读介质包括参与提供数据(例如指令)的任何介质,该数据可以由计算机读取。这样的介质可以采用多种形式,包括但不限于非易失性介质、易失性介质等。非易失性介质包括例如光盘或磁盘以及其它永久性存储器。易失性介质包括典型地构成主存储器的动态随机存取存储器(DRAM)。计算机可读介质的常规形式包括,如软盘、柔性盘、硬盘、磁带、任何其它磁性介质、CD-ROM(只读光盘存储器)、DVD(数字化视频光盘)、任何其它光学介质、穿孔卡片、纸带、任何带有孔图案的其它物理介质、RAM(随机存取存储器)、PROM(可编程只读存储器)、EPROM(可擦除可编程只读存储器)、FLASH-EEPROM(闪速电可擦除可编程只读存储器)、任何其它存储器芯片或内存盒,或者任何其它计算机可读取的介质。
关于这里所述的介质、程序、系统、方法等,应理解的是,虽然这样的程序等的步骤描述为按照一定的顺序排列发生,但这样的程序可以采用以这里描述的顺序之外的顺序完成的描述的步骤实施操作。进一步应该理解的是,某些步骤可以同时执行,可以添加其它步骤,或者可以省略这里所述的某些步骤。例如,在程序200中,可以省略一个或多个步骤,或者可以以不同的顺序执行该步骤。换言之,提供这里的系统和/或程序的说明用于说明某些实施例的目的,并且不应该以任何方式解释为限制所公开的主题。
相应地,应理解的是,包括上文说明和附图以及下文权利要求的本发明意在说明而不是限制。在阅读上面的描述时,除了提供的示例外许多实施例和应用对于本领域技术人员而言都是显而易见的。本发明的范围应参照这里所附的和/或包括在基于此处的非临时专利申请内的权利要求以及与权利要求所要求的权利等效的全部范围而确定,而不是参照上面的说明而确定。可以预期的是,这里所讨论的领域将出现进一步的发展,并且所公开的系统和方法将可以结合到这样的未来的实施例中。总之,应理解的是,本发明所公开的主题能够进行修正和变化。
Claims (18)
1.一种车辆子系统,包含:
第一故障安全装置和第二故障安全装置,所述第一故障安全装置和所述第二故障安全装置具有处理器和存储器,所述存储器存储可由所述处理器执行的用于传输信息的指令;以及
第一仲裁总线,所述第一仲裁总线连接所述第一故障安全装置和所述第二故障安全装置,其中所述第一仲裁总线在所述第一故障安全装置和所述第二故障安全装置之间传输信息;
其中所述第一故障安全装置被编程为通过主总线与第三故障安全装置通信,并且其中所述第二故障安全装置被编程为通过第二总线与第四故障安全装置通信;
其中所述第一故障安全装置被编程为通过所述主总线向所述第三故障安全装置传输包括第一主值的第一信号,并且所述第二故障安全装置被编程为通过所述第二总线向所述第四故障安全装置传输包括第二主值的第二信号;
其中所述第一主值和所述第二主值各自表明下列中的一个:
所述主总线上的所述第一信号可信,
所述第二总线上的所述第二信号可信,
所述主总线和所述第二总线两者上各自的所述第一信号和所述第二信号可信,以及
所述主总线和所述第二总线两者上各自的所述第一信号和所述第二信号都不可信;
其中,所述第三故障安全装置被编程用于确定所述第一信号是否过时,并且所述第四故障安全装置被编程用于确定所述第二信号是否过时;
其中,基于所述第一主值和第二主值中的可信信息以及所述第一信号和所述第二信号是否过时来确定所述第一信号和所述第二信号是否可信的仲裁状态。
2.根据权利要求1所述的系统,进一步包含第二仲裁总线,所述第二仲裁总线通信地连接所述第三故障安全装置和所述第四故障安全装置,其中所述第三故障安全装置被编程为通过所述第二仲裁总线向所述第四故障安全装置传输所述第一信号,并且所述第四故障安全装置被编程为通过所述第二仲裁总线向所述第三故障安全装置传输所述第二信号。
3.根据权利要求1所述的系统,其中所述第一故障安全装置被编程为通过所述主总线从所述第三故障安全装置接收具有第三主值的第三信号,并且所述第二故障安全装置被编程为通过所述第二总线接收具有第四主值的第四信号,其中所述第三主值和所述第四主值各自表明下列中的一个:
所述主总线上的所述第三信号可信,
所述第二总线上的所述第四信号可信,
所述主总线和所述第二总线两者上各自的所述第三信号和所述第四信号都可信,以及
所述主总线和所述第二总线两者上各自的所述第三信号和所述第四信号都不可信。
4.根据权利要求1所述的系统,其中所述第一故障安全装置由第一电源提供电能,并且所述第二故障安全装置由第二电源提供电能。
5.根据权利要求1所述的系统,其中所述子系统是自主车辆控制子系统、动力传动子系统、制动子系统、转向子系统和照明子系统中的一个。
6.根据权利要求1所述的系统,其中所述第三故障安全装置和所述第四故障安全装置被包括在第二车辆子系统中。
7.根据权利要求1所述的系统,其中所述第三故障安全装置被编程为在所述第一信号过时时表明所述在所述主总线上的所述第一信号不可信,并且所述第四故障安全装置被编程为在所述第二信号过时时表明在所述第二总线上的所述第二信号不可信。
8.根据权利要求1所述的系统,其中所述第三故障安全装置和所述第四故障安全装置被编程为在所述第一主值或所述第二主值表明在所述主总线和所述第二总线中的一个上的所述第一信号和所述第二信号之一不可信时声明故障。
9.根据权利要求1所述的系统,其中所述第一故障安全装置和所述第二故障安全装置各自被编程用于仲裁所述第一主值和所述第二主值两者。
10.一种车辆子系统通信仲裁方法,包含:
通过主总线将包括第一主值的第一信号从第一故障安全装置传输到第三故障安全装置,并且通过第二总线将包括第二主值的第二信号从第二故障安全装置传输到第四故障安全装置,
其中所述第一主值和所述第二主值各自表明下列中的一个:
在所述主总线上的所述第一信号可信,
在所述第二总线上的所述第二信号可信,
在所述主总线和所述第二总线两者上各自的所述第一信号和所述第二信号都可信,以及
在所述主总线和所述第二总线两者上各自的所述第一信号和所述第二信号都不可信;
其中,所述第三故障安全装置被编程用于确定所述第一信号是否过时,并且所述第四故障安全装置被编程用于确定所述第二信号是否过时;
其中,基于所述第一主值和第二主值中的可信信息以及所述第一信号和所述第二信号是否过时来确定所述第一信号和所述第二信号是否可信的仲裁状态。
11.根据权利要求10所述的方法,进一步包含将第二仲裁总线通信地连接所述第三故障安全装置和所述第四故障安全装置,其中所述第三故障安全装置通过所述第二仲裁总线将所述第一信号传输到所述第四故障安全装置,并且所述第四故障安全装置通过所述第二仲裁总线将所述第二信号传输到所述第三故障安全装置。
12.根据权利要求10所述的方法,进一步包含:
接收从所述第三故障安全装置传输到所述第一故障安全装置的具有第三主值的第三信号,接收从所述第四故障安全装置传输到所述第一故障安全装置的具有第四主值的第四信号,其中所述第三主值和所述第四主值各自表明下列中的一个:
所述主总线上的所述第三信号可信,
所述第二总线上的所述第四信号可信,
所述主总线和所述第二总线两者上各自的所述第三信号和所述第四信号都可信,以及
所述主总线和所述第二总线两者上各自的所述第三信号和所述第四信号都不可信。
13.根据权利要求10所述的方法,其中所述第一故障安全装置由第一电源提供电能,并且所述第二故障安全装置由第二电源提供电能。
14.根据权利要求10所述的方法,其中所述子系统是自主车辆控制子系统、动力传动子系统、制动子系统、转向子系统和照明子系统中的一个。
15.根据权利要求10所述的方法,其中所述第三故障安全装置和所述第四故障安全装置被包括在第二车辆子系统中。
16.根据权利要求10所述的方法,进一步包含在所述第一信号过时时利用所述第三故障安全装置表明在所述主总线上的所述第一信号不可信,以及在所述第二信号过时时利用所述第四故障安全装置表明在所述第二总线上的所述第二信号不可信。
17.根据权利要求10所述的方法,进一步包含在所述第一主值或所述第二主值表明在所述主总线和所述第二总线中的一个上的所述第一信号和所述第二信号之一不可信时利用所述第三故障安全装置和所述第四故障安全装置中的一个声明故障。
18.根据权利要求10所述的方法,进一步包含利用所述第一故障安全装置和所述第二故障安全装置中的一个仲裁所述第一主值和所述第二主值两者。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/994,448 US20170199834A1 (en) | 2016-01-13 | 2016-01-13 | Vehicle subsystem communication arbitration |
US14/994,448 | 2016-01-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106970550A CN106970550A (zh) | 2017-07-21 |
CN106970550B true CN106970550B (zh) | 2021-12-28 |
Family
ID=58463885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710009643.6A Active CN106970550B (zh) | 2016-01-13 | 2017-01-06 | 车辆子系统通信仲裁 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20170199834A1 (zh) |
CN (1) | CN106970550B (zh) |
DE (1) | DE102017100384A1 (zh) |
GB (1) | GB2547985A (zh) |
MX (1) | MX2017000577A (zh) |
RU (1) | RU2016151393A (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3071800B1 (fr) * | 2017-09-29 | 2021-04-02 | Psa Automobiles Sa | Procede d’assistance a la conduite d’un vehicule lors d’une defaillance d’un reseau et systeme associe |
US20190168805A1 (en) * | 2017-12-04 | 2019-06-06 | GM Global Technology Operations LLC | Autonomous vehicle emergency steering profile during failed communication modes |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1136250A (zh) * | 1995-03-16 | 1996-11-20 | Abb.专利有限公司 | 在严格实时条件下容错通讯方法 |
US6260079B1 (en) * | 1998-11-15 | 2001-07-10 | Hewlett-Packard Company | Method and system for enhancing fibre channel loop resiliency for a mass storage enclosure by increasing component redundancy and using shunt elements and intelligent bypass management |
CN102075922A (zh) * | 2009-11-20 | 2011-05-25 | 通用汽车有限责任公司 | 延时的特定地理移动号码分配 |
CN202003218U (zh) * | 2011-04-13 | 2011-10-05 | 郑州新能动力科技有限公司 | 电动车多总线整车控制器 |
CN104638735A (zh) * | 2013-11-06 | 2015-05-20 | Abb技术有限公司 | 用于具有分布式功率转换器仲裁的电动车辆的充电器 |
CN204965181U (zh) * | 2015-09-25 | 2016-01-13 | 中国矿业大学 | 一种基于异构网络的汽车远程故障诊断系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9101227D0 (en) * | 1991-01-19 | 1991-02-27 | Lucas Ind Plc | Method of and apparatus for arbitrating between a plurality of controllers,and control system |
US5274554A (en) * | 1991-02-01 | 1993-12-28 | The Boeing Company | Multiple-voting fault detection system for flight critical actuation control systems |
US6035416A (en) * | 1997-10-15 | 2000-03-07 | International Business Machines Corp. | Method and apparatus for interface dual modular redundancy |
EP1763454B1 (de) * | 2004-07-06 | 2008-07-09 | Daimler AG | Redundantes datenbussystem |
CN104714439B (zh) * | 2013-12-16 | 2018-03-27 | 雅特生嵌入式计算有限公司 | 安全继电器箱系统 |
CA2948914C (en) * | 2014-07-01 | 2017-09-05 | Sas Institute Inc. | Systems and methods for fault tolerant communications |
-
2016
- 2016-01-13 US US14/994,448 patent/US20170199834A1/en not_active Abandoned
- 2016-12-27 RU RU2016151393A patent/RU2016151393A/ru not_active Application Discontinuation
-
2017
- 2017-01-06 CN CN201710009643.6A patent/CN106970550B/zh active Active
- 2017-01-10 DE DE102017100384.3A patent/DE102017100384A1/de not_active Withdrawn
- 2017-01-11 GB GB1700474.8A patent/GB2547985A/en not_active Withdrawn
- 2017-01-13 MX MX2017000577A patent/MX2017000577A/es unknown
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1136250A (zh) * | 1995-03-16 | 1996-11-20 | Abb.专利有限公司 | 在严格实时条件下容错通讯方法 |
US6260079B1 (en) * | 1998-11-15 | 2001-07-10 | Hewlett-Packard Company | Method and system for enhancing fibre channel loop resiliency for a mass storage enclosure by increasing component redundancy and using shunt elements and intelligent bypass management |
CN102075922A (zh) * | 2009-11-20 | 2011-05-25 | 通用汽车有限责任公司 | 延时的特定地理移动号码分配 |
CN202003218U (zh) * | 2011-04-13 | 2011-10-05 | 郑州新能动力科技有限公司 | 电动车多总线整车控制器 |
CN104638735A (zh) * | 2013-11-06 | 2015-05-20 | Abb技术有限公司 | 用于具有分布式功率转换器仲裁的电动车辆的充电器 |
CN204965181U (zh) * | 2015-09-25 | 2016-01-13 | 中国矿业大学 | 一种基于异构网络的汽车远程故障诊断系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106970550A (zh) | 2017-07-21 |
GB2547985A (en) | 2017-09-06 |
DE102017100384A1 (de) | 2017-07-13 |
US20170199834A1 (en) | 2017-07-13 |
MX2017000577A (es) | 2017-10-23 |
RU2016151393A (ru) | 2018-06-28 |
GB201700474D0 (en) | 2017-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9604585B2 (en) | Failure management in a vehicle | |
US9527489B2 (en) | Failure tolerant vehicle speed | |
CN105270364B (zh) | 车辆驻车系统故障管理 | |
CN105515739B (zh) | 具有第一计算单元和第二计算单元的系统和运行系统的方法 | |
US20210031792A1 (en) | Vehicle control device | |
KR102586265B1 (ko) | 중복 휠 속도 감지를 위한 시스템들 및 방법들 | |
CN106054852B (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
US9372774B2 (en) | Redundant computing architecture | |
CN110116752B (zh) | 基于冗余结构控制车辆的装置和方法 | |
US20190193746A1 (en) | Determination of Reliability of Vehicle Control Commands via Redundancy | |
US9207661B2 (en) | Dual core architecture of a control module of an engine | |
CN111665849B (zh) | 一种自动驾驶系统 | |
CN110785742A (zh) | 用以依赖于状态信号驱控车辆模块的设备和方法 | |
US11281547B2 (en) | Redundant processor architecture | |
US10007570B2 (en) | Monitoring unit, control system, and computer readable medium | |
CN106970550B (zh) | 车辆子系统通信仲裁 | |
JP2022500311A (ja) | 車両制御システム | |
JP5766360B2 (ja) | 車載通信システムおよび車載通信方法 | |
CN112740121A (zh) | 用于车辆的控制架构 | |
JP7163576B2 (ja) | 車両制御システムおよび車両制御装置 | |
JP6441380B2 (ja) | 車載用変速機制御装置 | |
JP2018010362A (ja) | 電子制御装置 | |
US20240140448A1 (en) | Electronic Control Device, On-Vehicle Control System, and Redundant Function Control Method | |
CN117031920A (zh) | 主冗切换控制方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20221104 Address after: Dearborn, Michigan, USA Patentee after: Ford Global Technologies, LLC Patentee after: Ford Electric Mach Technology (Nanjing) Co.,Ltd. Address before: Room 330, 800 downtown Avenue, Michigan, Dearborn, USA Patentee before: Ford Global Technologies, LLC |
|
TR01 | Transfer of patent right |