CN108628692A - 用于控制自主受控对象的容错方法 - Google Patents

用于控制自主受控对象的容错方法 Download PDF

Info

Publication number
CN108628692A
CN108628692A CN201810224455.XA CN201810224455A CN108628692A CN 108628692 A CN108628692 A CN 108628692A CN 201810224455 A CN201810224455 A CN 201810224455A CN 108628692 A CN108628692 A CN 108628692A
Authority
CN
China
Prior art keywords
dfp
track
safe
controll plant
decision package
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810224455.XA
Other languages
English (en)
Other versions
CN108628692B (zh
Inventor
赫而曼·高柏兹
斯蒂芬·波莱德纳
G·尼德里斯特
埃里克·施密特
C·何帕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tttech Auto AG
Original Assignee
Tttech Computertechnik AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tttech Computertechnik AG filed Critical Tttech Computertechnik AG
Publication of CN108628692A publication Critical patent/CN108628692A/zh
Application granted granted Critical
Publication of CN108628692B publication Critical patent/CN108628692B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/02Control of position or course in two dimensions
    • G05D1/021Control of position or course in two dimensions specially adapted to land vehicles
    • G05D1/0212Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory
    • G05D1/0214Control of position or course in two dimensions specially adapted to land vehicles with means for defining a desired trajectory in accordance with safety or protection criteria, e.g. avoiding hazardous areas
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots
    • G05D1/0055Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements
    • G05D1/0077Control of position, course, altitude or attitude of land, water, air or space vehicles, e.g. using automatic pilots with safety arrangements using redundant signals or controls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24188Redundant processors run different programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Control Of Position, Course, Altitude, Or Attitude Of Moving Bodies (AREA)
  • Safety Devices In Control Systems (AREA)
  • Traffic Control Systems (AREA)

Abstract

本发明涉及一种用于控制处于变化的环境中的某受控对象的方法,其中用传感器观测该受控对象及其环境,并且基于通过观测所获取的数据来执行至少两个独立的数据流路径DFP,并且其中第一DFP执行轨迹规划以建立一条或多条可能的轨迹,并且其中第二DFP确定所有安全轨迹必须位于其中的安全的空‑时域SRZD,第一DFP和第二DFP的结果被传递给决策单元,决策单元检验由第一DFP确定的轨迹中的至少一条轨迹是否是安全的,在至少一条轨迹是安全的情形中选择由第一DFP确定的安全轨迹之一并且将对应于所选择的轨迹的设定值传递给执行器控制装置,否则等待至少一个后续帧的结果,并且在接下来的一个或两个帧中都不存在安全轨迹的情形中由决策单元切换至紧急轨迹。

Description

用于控制自主受控对象的容错方法
技术领域
本发明涉及一种用于控制处于变化的环境中的受控对象(例如车辆)的方法,其中执行控制的电子系统包括通过实时通信系统来交换数据的传感器(特别是多个传感器)、执行器(特别是多个执行器)以及节点计算机(特别是多个节点计算机)。
此外,本发明涉及一种用于控制处于变化的环境中的受控对象(例如车辆)的电子系统(例如,计算机系统),其中该电子系统包括通过实时通信系统来交换数据的传感器(特别是多个传感器)、执行器(特别是多个执行器)以及节点计算机(特别是多个节点计算机)。
本发明属于计算机技术领域。本发明涉及用于受控对象、特别是自主受控对象、特别是车辆的容错控制的方法和电子系统。
背景技术
传感器技术和计算机技术的发展实现了自主地控制目标的技术设备和对象(例如,车辆)在很大程度上自主的控制。
根据维基百科[4],自动驾驶的分类分为六个等级:
等级0:“仅驾驶员”,驾驶员自己行驶、转向、给油、刹车等。
等级1:特定的辅助系统帮助车辆操作(主要是ACC)。
等级2:由辅助系统(例如,堵车助手)承担部分自动化(例如,自动停车、车道保持功能、一般的纵向引导、加速、刹车等)。
等级3:高度自动化。驾驶员不必持续地监控系统。车辆自主地执行诸如触发闪光器、车道变换以及车道保持之类的功能。驾驶员可以从事其他事情,但是在需要时在警告时间内被系统要求接管操纵。这种形式的自主在高速公路上技术上是可行的。法律制定者正在着手允许等级3-车辆。预期在2020年以前可以实现。
等级4:完全自动化。车辆的操纵持续地由系统承担。如果系统不再胜任驾驶任务,则要求驾驶员接管操纵。
等级5:车辆的完全自主。车辆不装备有方向盘,车辆可以在没有驾驶员的情况下运动。
目前,在市场上可获得的车辆实现了等级2。对于等级2而言,驾驶员负责连续地监控计算机系统的规定功能并且在故障情形中立即干预。在更高的自动化等级中,必须容错地执行计算机系统,以便即使在计算机中有故障的情况下也确保车辆的安全性。
在ISO 26262标准中,车辆中的电子系统(硬件加软件)被分配为四个完整性级别之一(级别ASIL A到ASIL D),其中级别ASIL D表示最高完整性等级[5]。用于完全自动化的车辆控制(等级4和等级5)的电子系统的完整性必须对应于ASIL D。虽然在ASIL B的情况下出现对于车辆的安全性而言具有严重后果的危险故障的概率必须小于每小时10-6(即,103FIT),但是在ASIL D的情况下此概率必须小于每小时10-8(即,10FIT)。
电子系统失灵的原因可能是硬件的老化故障(物理故障)或者硬件或软件中的设计错误(设计错误)。
当在其寿命开始时能够完全运作的组件由于硬件的老化过程而失灵时,会发生老化故障。在现有技术的汽车芯片中,老化故障的永久故障率<100FIT。通过使用主动的冗余(TMR或自检查组件),可以在硬件中实现ASIL D的所要求的小于10FIT的故障率。
设计错误可能包含在硬件或软件中。硬件设计错误的后果可以通过不同硬件的主动冗余来克服。
导致减小在软件中存在未发现的设计错误的概率的措施为系统性设计过程、验证和检验,这主要通过广泛的测试进行。
在软件中出现设计错误的重要原因在于软件的复杂度。根据现有技术,全面地验证复杂的软件系统以便能够实现ASIL B,但不是ASIL D,所要求的故障率是可能的。
现有技术包括控制系统(其是用于受控对象的实时控制和/或调节的系统)(例如本发明的电子系统)周期性地运行[8,第7页]。在周期性的观测时刻(采样点)观测受控对象。在此情况下获取的数据形成,优选尽可能快地,计算执行器所用的(新的)设定值(Sollwerte)的基础,该设定值影响受控对象的行为。
我们将在每次观测之后执行的可能分布式的计算序列的周期性重复执行称为帧。
必须在一帧内处理的软件过程的结果在一条或多条数据流路径(DFP)中确定。
两个时间参数与每一帧相联系:
执行历时表示采样点与帧的结果输出至待控制对象的执行器的时刻之间的时间区间。帧的执行历时越短,则控制系统的质量越好。
帧区间(采样时间)表示两个相继采样点之间的时间间隔。
发明内容
本发明的任务在于,即使在控制系统的帧中出现硬件或软件故障之后也确保受控对象的安全行为。
该任务用开头部分提及的方法和开头部分提及的电子系统(例如计算机系统)通过以下方式来解决:用传感器周期性地观测受控对象及其环境,并且在每一帧中基于通过观测受控对象及其环境所获取的数据来执行至少两条独立的数据流路径(DFP),其中例如对于每条DFP而言借助不同的传感器来进行观测,并且其中
·第一DFP借助复杂软件、根据通过观测受控对象及其环境所获取的数据来确定受控对象和受控对象的环境的模型,并且基于该模型来执行轨迹规划,以便建立在给定的环境条件下对应于被指派的预定任务的一条或多条可能的轨迹,并且其中
·第二DFP借助优选不同的复杂软件、根据通过观测受控对象及其环境所获取的数据来确定受控对象和受控对象的环境的模型,并且基于该模型来确定安全的空-时域SRZD,所有安全的轨迹必须位于该SRZD内,并且其中
将第一DFP和第二DFP的结果传递给决策单元,其中决策单元借助简单软件来实现,并且其中决策单元检验由第一DFP确定的轨迹中的至少一条轨迹是否是安全的,即位于由第二DFP确定的SRZD之内,并且其中在至少一条轨迹是安全的情形中选择由第一DFP确定的安全轨迹之一,并且其中决策单元将对应于所选择的轨迹的设定值传递给执行器控制装置,并且其中在没有一条轨迹是安全的情形中等待至少一个后续帧的结果,并且其中在接下来的一个或两个帧中都不存在安全轨迹的情形中由决策单元切换至紧急轨迹。
如果在一帧中确定由第一DFP在该帧中确定的轨迹都不安全(即,没有一条轨迹位于由第二DFP在该帧中确定的SRZD之内),则如上所述地等待至少一个跟随在所观测的帧之后的帧中的结果,并且如果在(相对于所观测的帧)接下来的一个或两个帧中都不存在安全轨迹,则由决策单元切换到紧急轨迹。
本发明公开了用于提高复杂电子系统的安全性的方法和硬件架构。通过针对性地使用硬件和软件冗余,显著提高了电子系统的可靠性。本发明允许统一地处置硬件中的老化故障和/或硬件设计和/或复杂软件设计中的错误。
例如,每条DFP可以使用所有传感器的观测。还可以规定,每条DFP仅使用特定传感器的观测,并且例如还可以规定,每条DFP仅使用专门分配给它的传感器(即,这些传感器的观测)。
传感器优选是同步的,即所有传感器同时(周期性地)执行其观测。
优选地,在一帧中每次同时执行这些DFP。这意味着,一方面,传感器的观测同时进行(参见上文)以使得这些DFP在相同时间开始,并且此外这些DFP的结果在相同时刻传递给决策单元。
在航天和航空安全技术领域中,区分简单软件和复杂软件[6]。一般将能够形式检验和/或全面测试的软件称为简单软件。如果要使用的软件是简单的并且能够形式检验和/或全面测试,则假定可以通过仔细的设计过程来达成ASIL D的所要求的故障率。
如果要使用的软件是复杂的,则假定出现设计错误的概率对应于ASIL B。通过软件冗余(即,用随后的因应用而异的结果对比来并行地执行两个或更多个不同的ASIL B软件系统)可以显著提高软件的可靠性。在[7]中描述了用于通过主动冗余(借助不同的软件)来提高软件可靠性的方法。然而,当不同的软件版本不能重复确定性地表现时,不可使用这种方法。
当在软件中存在非确定性设计构造(NDDC)[8,第128页]时,不同软件不是重复确定性的。NDDC在两个正确的、但是不兼容的情景之间作出决定。一般而言,不能假定具有NDDC的软件的两个不同版本会得到相当的结果。
如果例如在街道上存在石头并且要作出车辆应当从左边还是右边绕过这块石头的决定,则一般而言不能假定两个不同的软件版本会得到相同的结果。尽管两个结果都是正确的,但是它们不是重复确定性的。由此丢失了容错性。
车辆的自主操纵需要用于图像识别、环境模型建立以及轨迹规划的软件系统。该软件系统不是简单的,而是复杂的并且通常包含NDDC。
优选建议,将整个软件系统划分成两个部分。一个部分包含复杂软件。第二部分包含优选具有NDDC的简单软件。
复杂软件的可靠性通过复杂软件的在独立的故障包容单元(FCU)上执行的两个或更多个不同版本的功能性冗余来显著提高。简单软件的可靠性通过详尽测试和形式分析来实现。
为了达成复杂软件的广泛的软件相异性,一个软件版本在空-时域中计算一个或多个合适的轨迹,而另一独立的软件版本在时-空域中确定每条安全轨迹都必须位于其内的结构。独立的第三软件版本确定车辆在安全状态中行驶的紧急轨迹。
在简单软件中在没有软件冗余的情况下实现并且优选包含NDDC的决策单元检验由复杂软件提供的替换结果并且决定选择哪个替换结果。该简单软件优选在容错的硬件中执行,以掩蔽出现的硬件故障。
本发明描述了一种创新的方法,其说明了可以如何实现用于控制受控对象、特别是对于安全关键性的受控对象的复杂电子系统(例如,对自主车辆的控制)。在简单软件与复杂软件之间进行区分,其中简单软件优选在容错的硬件上执行,并且其中例如复杂软件的多个不同版本同时在独立的故障包容单元(FCU)上执行,并且其中由借助简单软件来实现的决策单元根据复杂软件的结果来选择要传递给执行器的结果。
以下描述根据本发明的方法或系统的有利设计:
决策单元的计算可以在TMR硬件上执行。
决策单元的计算可以同时在两个独立的自检查硬件组件上执行。
独立的第三DFP可以计算发送给决策单元的紧急轨迹。
决策单元在确定由第一DFP计算的轨迹是安全的之后检验紧急轨迹是否是安全的,并且在不存在紧急轨迹或者紧急轨迹不安全的情形中例如向受控对象的用户(例如,车辆的驾驶员)发出警报信号。
附图说明
以下根据附图中示出的实施例来描述本发明。在附图中示出:
图1示出了用于控制车辆形式的受控对象的复杂电子系统的数据流图,
图2示出了具有用于执行NDDC的TMR硬件的用于实现图1的复杂电子系统的可能硬件架构,以及
图3示出了具有用于执行NDDC的自检查硬件的用于实现图1的复杂电子系统的可能硬件架构。
具体实施方式
以下对实现的具体描述是以自主车辆控制系统为例,关于新颖方法的许多可能实施方法之一。该描述使用的术语如下所述。这些术语不仅在附图描述的框架中,而且在整个公开内容的上下文中均适用。
受控对象(“受控对象”,缩写CO)是一种技术设备,该技术设备以随时间在给定环境条件下实现被指派的预定任务为目标来由电子系统(例如,计算机系统)和/或人控制。CO的示例为:车辆、飞机、农业机械、机器人、或者无人机。
无人机被指派的任务可以例如在于:在被封锁的空域的情况下或者在达到一定的最小飞行高度的情况下飞抵特定的目标等。
环境模型是一种数字数据结构,其在给定时刻表示环境的、特别是CO的环境的对于预定任务而言重要的特性的图像。环境模型的示例为:对街道的描述以及在所选时刻位于街道上的静态和动态对象。
轨迹是空-时域中的路径,CO可以随时间执行该路径以实现预定任务。CO的轨迹的特性取决于CO的构造、被指派的预定任务以及当前的环境条件。例如,将车辆可能在给定环境条件下执行或经过以便达到目的地的可能路径称为轨迹。一条或多条轨迹的特性可以例如是行驶经过轨迹的速度。
软件过程被理解为程序系统在一个或多个计算机上的执行。
故障包容单元(FCU)是将故障原因的直接后果隔离的组件。
概念“容错的硬件”被理解为按照存在的故障假设来掩蔽出现的硬件故障的硬件架构。此类硬件架构的示例为三重模块冗余(TMR)或软件在自检查组件上的并行执行,如在(6,第156页)中描述的。现有技术包括冗余的FCU通过至少两个独立的通信信道来接收其输入数据并且通过至少两个独立的通信信道来传递其输出数据。
数据流路径(DFP)是一系列分布式软件过程,其中第一软件过程读取输入数据并且位于前面的软件过程的输出数据是后续软件过程的输入数据。最后软件过程的输出数据是DFP的结果数据。在实时数据处理的许多应用情形中,DFP的第一软件过程接受传感器数据,并且DFP的最后软件过程产生执行器的设定值。
在实时数据处理的大多数应用情形中,循环地执行DFP。两个循环之间的时间间隔称为帧。在DFP的两个相继帧之间可以存储软件过程的内部状态[8,第84页]。
如果两个DFP跟踪相同的目标设置、但是这两个DFP的软件过程使用不同算法(算法相异性)和/或不同输入数据(数据相异性),则这两个DFP是不同的。
环境建模是一种软件过程,其基于环境的静态数据和由不同传感器获取的环境的动态数据来建立环境模型。
轨迹规划是一种软件过程,其基于给定的环境模型和给定的目的来确定解决预定任务或被指派的任务的一个或多个可能的轨迹。
时刻的不久的将来是一时间区间,该时间区间开始的一刻直至进程(例如,车辆)处于安全的状态结束的时刻。
例如,当需要10秒以使车辆静止(安全状态)并且设置每秒30帧的采样率时,不久的将来包含300个时间上等距的时刻的序列。
安全轨迹是时-空域中的轨迹,该轨迹描述进程(例如,车辆)在不久的将来的道路,其中该道路没有障碍物并且已考虑到所有在不久的将来相关(例如,行驶动态)的边界。
例如,如果车道是潮湿的,则必须设置不同于车道干燥时的行驶动态边界。
紧急轨迹是将进程(例如,车辆)引导到安全状态中的安全轨迹。
安全的空-时域(SRZD)是空-时域中的管状结构,其中包含了不久的将来的所有安全轨迹。
决策单元是因应用而异的软件过程,其包含接收作为输入数据的多条建议、分析这些建议并且具有作出选择哪条建议的决定的自由,该建议可能是一变更了的建议。在许多情形中,决策单元包含NDDC。
正常操作的特征在于,由轨迹规划计算出的轨迹位于安全的空-时域(SRZD)中。
例如,决策单元包含作为输入的车辆的可能的轨迹的多条建议并且决定要执行的可能改变的一条轨迹。
图1示出了用于车辆的自主控制的复杂电子系统的数据流图。图1的方框的竖直连接线100示出了从上到下的数据流。
在图1中示出了三个不同的DFP 110、120和130。每个DFP具有自己的用于观测车辆环境的传感器。这些传感器被循环地读取。第一DFP 110具有传感器111,第二DFP 120具有传感器121,并且第三DPF 130具有传感器131。车辆的传感器的示例为相机、雷达传感器、激光雷达传感器和超声传感器。在DFP的第一处理级中,读取并且预处理原始传感器数据。这在DFP 110中是软件过程112、在DFP 120中是软件过程122、并且在DFP 130中是软件过程132。
有利地,软件过程112、122和132使用不同算法(算法相异性),该些算法被供有不同输入数据(数据相异性)。
有利地,传感器111、121和131同时观测环境。同时观测可以用从容错的全局时间推导出的分布式触发信号来达成。
在DFP的第二处理级中,基于所接收到的传感器数据以及关于环境的静态参数的信息(例如,来自导航系统的存在的地图材料)来执行环境建模。这在DFP 110中是软件过程113、在DFP 120中是软件过程123、并且在DFP 130中是软件过程133。
有利地,软件过程113、123和133使用不同算法(算法相异性),该些算法被供有不同输入数据(数据相异性)。
在第一DFP 110的第三处理级(即,软件过程114)中,基于第二处理级113的所建立的环境模型来执行轨迹规划。
在第二DFP 120的第三处理级(即,软件过程124)中,基于第二处理级123的所建立的环境模型来确定所有安全轨迹必须位于其中的安全的空-时域(SRZD)。
在DFP 130的第三处理级(即,软件过程134)中,基于第二处理级133的所建立的环境模型来计算紧急轨迹,该紧急轨迹可以在不久的将来之内将车辆引导到安全状态中。
第一DFP 110的第三处理级的轨迹规划114生成一条或多条用于抵达目的地的替换轨迹,这些轨迹被提供给后续软件过程(决策单元150)。所建议的轨迹可以由轨迹规划114从安全性的角度以及是否有效地抵达目的地或完成被指派的任务的角度被评价。
在简单软件中实现的决策单元150检验轨迹规划114的所选轨迹是否在由第二DFP120的软件过程124确定的安全的空-时域(SRZD)之内。如果是这种情形,则相应的设定值被传递给执行器。
如果轨迹规划114的任何轨迹都不位于由软件过程124确定的SRZD之内,则决策单元不向执行器输出新的设定值,而是等待下一帧。
如果在下一帧中轨迹规划114的任何轨迹也不位于由软件过程124确定的SRZD之内,则决策单元选择由软件过程134提供的紧急轨迹并且使车辆进入安全状态。
图2示出了用于执行图1的DFP的可能的硬件结构。图2的方框表示组件。图2的组件的连接线200示出了存在的用于传递数据的通信信道。
DFP 110包含传感器111和组件210。DFP 120包含传感器121和组件220。DFP 130包含传感器131和组件230。组件210形成故障包容单元(FCU),该FCU包含用于执行DFP 110的软件过程112、113和114的硬件组件(节点计算机、数据导线、存储器)。组件220形成故障包容单元(FCU),该FCU包含用于执行DFP 120的软件过程122、123和124的硬件组件(节点计算机、数据导线、存储器)。组件230形成故障包容单元(FCU),该FCU包含用于执行DFP 130的软件过程132、133和134的硬件组件(节点计算机、数据导线、存储器)。
图1的决策单元150同时重复确定性地在三个节点计算机251、252和253上执行,以便能够掩蔽硬件故障。三个节点计算机251、252和253的结果被传递给优选为智能的执行器控制装置260,该执行器控制装置260进行三选二投票。
图3示出了用于执行图1的DFP的另一硬件结构。图2的方框表示组件。图3和图2中相同的附图标记表示相同的元件。
组件的连接线300示出了存在的用于传递数据的通信信道。与图2不同,在图3中,决策单元150在两个自检查的组件351和352上执行。优选为智能的执行器控制装置360接受351或352的结果之一。由于在组件351和352上运行的软件过程是重复确定性的并且组件351和352的硬件自己检验,因而组件351和352的结果必须是相同的。
在正常操作中,特别是在每一帧中,至少一个由第一DFP计算出的轨迹位于由第二DFP计算出的安全的空-时域(SRZD)之内。为了能够识别执行紧急轨迹计算的第三DFP中的停机或故障,优选规定在正常操作中、特别是在每一帧中检验紧急轨迹是否位于SRZD之内。如果不位于SRZD之内,则向驾驶员发送警报信号,以便向驾驶员通知紧急轨迹计算失灵了。
在故障情形中,由第一DFP计算出的轨迹不在由第二DFP计算出的安全的空-时域(SRZD)之内。在故障情形中,不能决定第一DFP还是第二DFP有故障。优选在故障情形中规定,由决策单元选择紧急轨迹,而不检验紧急轨迹是否位于SRZD之内。
在连续的操作中,决定由于硬件中的老化故障还是软件故障而引起DFP的结果中所确定的错误是非常困难的。然而,此区别在出现故障的时候是不重要的,因为所建议的架构掩蔽了这两种故障类型。
所引用的文献:
[1]2016年2月4日公布的题为“Device and Method for the AutonomousControl of Vehicles(用于车辆的自主控制的设备和方法)”的美国专利申请20160033965
[2]PCT申请PCT/AT2015/050212。用于安全关键应用的计算机系统和方法。在奥地利专利局提交的FTS计算机技术的专利申请。2015年9月3日。
[3]奥地利专利申请A 5073/2016。用于借助不同的轨迹规划来控制自主技术设备的容错的方法和装置。在奥地利专利局提交的FTS计算机技术的专利申请。2016年8月16日
[4]在2016年8月11日调用的维基百科“自动驾驶”
[5]在2016年8月11日调用的维基百科“汽车安全完整性等级ISO 26262”
[6]FAA。针对部分23架飞机的咨询性循环系统安全评估。URL:http://www.faa.gov/documentLibrary/media/Advisory_Circular/AC%2023.1309-1E.pdf,在2016年8月11日调用
[7]Avizienis,A的“用于容错软件的N版本办法”,IEEE软件工程期刊,第11卷,第1491-1501页,1985年12月
[8]Kopetz,H.的“实时系统,用于分布式嵌入式应用的设计原理”,施普林格出版社,2011年。

Claims (10)

1.一种用于控制处于变化的环境中的某受控对象、例如车辆的方法,其中执行控制的电子系统包括通过实时通信系统来交换数据的传感器、特别是多个传感器、执行器、特别是多个执行器、以及节点计算机、特别是多个节点计算机,
其特征在于,
用传感器来周期性地观测所述受控对象及其环境,并且在每一帧中基于通过观测所述受控对象及其环境所获取的数据来执行至少两个独立的数据流路径DFP,其中例如对于每个DFP借助不同的传感器来进行观测,并且其中
·第一DFP借助复杂软件、根据通过观测所述受控对象及其环境所获取的数据来确定所述受控对象和所述受控对象的环境的模型,并且基于该模型来执行轨迹规划,以便建立在给定的环境条件下对应于被指派的预定任务的一条或多条可能的轨迹,并且其中
·第二DFP借助优选为不同的复杂软件、根据通过观测所述受控对象及其环境所获取的数据来确定所述受控对象和所述受控对象的环境的模型,并且基于该模型来确定安全的空-时域SRZD,所有安全的轨迹必须位于所述SRZD内,并且其中
将所述第一DFP和第二DFP的结果传递给决策单元,其中所述决策单元借助简单软件来实现,并且其中所述决策单元检验由所述第一DFP确定的轨迹中的至少一条轨迹是否是安全的,即是否位于由所述第二DFP确定的所述SRZD之内,并且其中在至少一条轨迹是安全的情形中选择由所述第一DFP确定的安全轨迹之一,并且其中所述决策单元将对应于所选择的轨迹的设定值传递给执行器控制装置,并且其中在没有一条轨迹是安全的情形中等待至少一个后续帧的结果,并且其中在接下来的一个或两个帧中都不存在安全轨迹的情形中由所述决策单元切换至紧急轨迹。
2.如权利要求1所述的方法,其特征在于,所述决策单元的计算是在TMR硬件上执行的。
3.如权利要求1或2所述的方法,其特征在于,所述决策单元的计算同时在两个独立的自检查硬件组件上执行。
4.如权利要求1到3中的任一项所述的方法,其特征在于,由独立的第三DFP计算紧急轨迹并且所述紧急轨迹被发送给所述决策单元。
5.如权利要求1到4中的任一项所述的方法,其特征在于,所述决策单元在确定由所述第一DFP计算出的轨迹是安全的之后检验所述紧急轨迹是否是安全的,并且在不存在所述紧急轨迹或者所述紧急轨迹不安全的情形中输出警报信号,例如向所述受控对象的用户、例如车辆的驾驶员传送警报信号。
6.一种用于控制处于变化的环境中的某受控对象、例如车辆的电子系统,其中所述电子系统包括通过实时通信系统来交换数据的传感器、特别是多个传感器、执行器、特别是多个执行器、以及节点计算机、特别是多个节点计算机,
其特征在于,
所述电子系统用传感器来周期性地观测所述受控对象及其环境,并且在每一帧中基于通过观测所述受控对象及其环境所获取的数据来执行至少两个独立的数据流路径DFP,其中例如对于每个DFP借助不同的传感器来进行观测,并且其中
·第一DFP借助复杂软件、根据通过观测所述受控对象及其环境所获取的数据来确定所述受控对象和所述受控对象的环境的模型,并且基于该模型来执行轨迹规划,以便建立在给定的环境条件下对应于被指派的预定任务的一条或多条可能的轨迹,并且其中
·第二DFP借助优选为不同的复杂软件、根据通过观测所述受控对象及其环境所获取的数据来确定所述受控对象和所述受控对象的环境的模型,并且基于该模型来确定安全的空-时域SRZD,所有安全的轨迹必须位于所述SRZD内,并且其中
将所述第一DFP和第二DFP的结果传递给决策单元,其中所述决策单元借助简单软件来实现,并且其中所述决策单元检验由所述第一DFP确定的轨迹中的至少一条轨迹是否是安全的,即是否位于由所述第二DFP确定的所述SRZD之内,并且其中在至少一条轨迹是安全的情形中选择由所述第一DFP确定的安全轨迹之一,并且其中所述决策单元将对应于所选择的轨迹的设定值传递给执行器控制装置,并且其中在没有一条轨迹是安全的情形中等待至少一个后续帧的结果,并且其中在接下来的一个或两个帧中都不存在安全轨迹的情形中由所述决策单元切换至紧急轨迹。
7.如权利要求6所述的系统,其特征在于,所述决策单元的计算是在TMR硬件上执行的。
8.如权利要求6或7所述的系统,其特征在于,所述决策单元的计算同时在两个独立的自检查硬件组件上执行。
9.如权利要求6到8中的任一项所述的系统,其特征在于,由独立的第三DFP计算紧急轨迹并且所述紧急轨迹被发送给所述决策单元。
10.如权利要求6到9中的任一项所述的系统,其特征在于,所述决策单元在确定由所述第一DFP计算出的轨迹是安全的之后检验所述紧急轨迹是否是安全的,并且在不存在所述紧急轨迹或者所述紧急轨迹不安全的情形中输出警报信号,例如向所述受控对象的用户、例如车辆的驾驶员传送警报信号。
CN201810224455.XA 2017-03-17 2018-03-19 用于控制自主受控对象的容错方法 Active CN108628692B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP17161533.9 2017-03-17
EP17161533.9A EP3376390B1 (de) 2017-03-17 2017-03-17 Fehlertolerantes verfahren zur steuerung eines autonomen kontrollierten objektes

Publications (2)

Publication Number Publication Date
CN108628692A true CN108628692A (zh) 2018-10-09
CN108628692B CN108628692B (zh) 2023-09-22

Family

ID=58387685

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810224455.XA Active CN108628692B (zh) 2017-03-17 2018-03-19 用于控制自主受控对象的容错方法

Country Status (3)

Country Link
US (1) US10782700B2 (zh)
EP (1) EP3376390B1 (zh)
CN (1) CN108628692B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112180908A (zh) * 2019-07-04 2021-01-05 Tttech汽车股份公司 针对自主车辆的安全轨迹选择
CN112230572A (zh) * 2019-06-30 2021-01-15 比亚迪股份有限公司 集成控制芯片及其控制方法,存储介质,车辆
CN112740122A (zh) * 2018-08-21 2021-04-30 皮尔茨公司 用于监视安全关键过程的自动化系统

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018206712B4 (de) * 2018-05-02 2022-02-03 Audi Ag Betriebsverfahren für eine autonom betreibbare Vorrichtung und autonom betreibbare Vorrichtung
CN110505583B (zh) * 2019-07-23 2021-01-22 中山大学 一种基于卡口数据与信令数据的轨迹匹配方法
EP3816741B1 (en) * 2019-10-31 2023-11-29 TTTech Auto AG Safety monitor for advanced driver assistance systems
DE102020210468A1 (de) 2020-08-18 2022-02-24 Zf Friedrichshafen Ag Computerimplementiertes Verfahren, Computersystem und Computerprogramm zum Ausführen einer Notfalltrajektorie für ein automatisiertes Fahrsystem und automatisiertes Fahrsystem
DE102021206379A1 (de) * 2021-06-22 2022-12-22 Continental Autonomous Mobility Germany GmbH Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug
WO2023049015A1 (en) * 2021-09-23 2023-03-30 Apple Inc. Fault tolerant system with minimal hardware
DE102021210600A1 (de) * 2021-09-23 2023-03-23 Robert Bosch Gesellschaft mit beschränkter Haftung System zum Bereitstellen eines Ausgangssignals basierend auf einem generierten Umfeldmodell eines Umfelds einer mobilen Plattform

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6393362B1 (en) * 2000-03-07 2002-05-21 Modular Mining Systems, Inc. Dynamic safety envelope for autonomous-vehicle collision avoidance system
US20110035103A1 (en) * 2007-10-26 2011-02-10 Volkswagen Aktiengesellschaft Method and system for manipulating the movement of a vehicle body of a motor vehicle controllable or adjustable with respect to its movement processes and vehicle
CN104021519A (zh) * 2014-06-17 2014-09-03 电子科技大学 基于gpu架构的密集杂波条件下机动多目标跟踪算法
WO2014138765A1 (de) * 2013-03-14 2014-09-18 Fts Computertechnik Gmbh Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
CN104103200A (zh) * 2013-04-04 2014-10-15 波音公司 飞行指挥仪拉平引导
US20150012166A1 (en) * 2013-07-04 2015-01-08 Robert Bosch Gmbh Method and apparatus for operating a motor vehicle in an automated driving mode
EP2858060A2 (de) * 2013-10-02 2015-04-08 Audi Ag Kraftfahrzeug und Verfahren zur Steuerung eines Kraftfahrzeugs
WO2016021340A1 (ja) * 2014-08-07 2016-02-11 日立オートモティブシステムズ株式会社 車両制御システム、およびこれを備えた行動計画システム
CN105358396A (zh) * 2013-07-04 2016-02-24 罗伯特·博世有限公司 用于使机动车在自动行驶中运行的方法和装置
CN105573323A (zh) * 2016-01-12 2016-05-11 福州华鹰重工机械有限公司 自动驾驶轨迹生成方法及装置
EP3118703A1 (en) * 2015-07-13 2017-01-18 Volvo Car Corporation Safety stoppage device and method for safety stoppage of an autonomous vehicle

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ITMI20111332A1 (it) * 2011-07-18 2013-01-19 Orbit S R L D Dispositivo per la deorbitazione di satelliti artificiali.
US9523984B1 (en) * 2013-07-12 2016-12-20 Google Inc. Methods and systems for determining instructions for pulling over an autonomous vehicle
EP3180515B1 (en) * 2014-08-15 2019-12-04 Vestas Wind Systems A/S Control of a wind turbine based on operational trajectory validation
US10241858B2 (en) * 2014-09-05 2019-03-26 Tttech Computertechnik Ag Computer system and method for safety-critical applications
CN107567606B (zh) * 2015-02-19 2021-01-08 弗朗西斯科·瑞奇 用于远程交通工具引导的集中式系统和用于远程地自动和手动引导交通工具的方法
AT519165A3 (de) * 2016-08-16 2018-10-15 Fts Computertechnik Gmbh Fehlertolerantes Verfahren und Vorrichtung zur Steuerung einer autonomen technischen Anlage mittels diversitärer Trajektorenplanung
EP3376330B1 (de) * 2017-03-17 2020-11-04 TTTech Auto AG Fehlertolerantes verfahren zur erkennung von fehlern in einem elektronischen system zur steuerung eines kontrollierten objektes

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6393362B1 (en) * 2000-03-07 2002-05-21 Modular Mining Systems, Inc. Dynamic safety envelope for autonomous-vehicle collision avoidance system
US20110035103A1 (en) * 2007-10-26 2011-02-10 Volkswagen Aktiengesellschaft Method and system for manipulating the movement of a vehicle body of a motor vehicle controllable or adjustable with respect to its movement processes and vehicle
WO2014138765A1 (de) * 2013-03-14 2014-09-18 Fts Computertechnik Gmbh Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen
CN105191222A (zh) * 2013-03-14 2015-12-23 Fts电脑技术有限公司 用于机动车辆的自动控制的装置与方法
CN104103200A (zh) * 2013-04-04 2014-10-15 波音公司 飞行指挥仪拉平引导
US20150012166A1 (en) * 2013-07-04 2015-01-08 Robert Bosch Gmbh Method and apparatus for operating a motor vehicle in an automated driving mode
CN105358396A (zh) * 2013-07-04 2016-02-24 罗伯特·博世有限公司 用于使机动车在自动行驶中运行的方法和装置
EP2858060A2 (de) * 2013-10-02 2015-04-08 Audi Ag Kraftfahrzeug und Verfahren zur Steuerung eines Kraftfahrzeugs
CN104021519A (zh) * 2014-06-17 2014-09-03 电子科技大学 基于gpu架构的密集杂波条件下机动多目标跟踪算法
WO2016021340A1 (ja) * 2014-08-07 2016-02-11 日立オートモティブシステムズ株式会社 車両制御システム、およびこれを備えた行動計画システム
EP3118703A1 (en) * 2015-07-13 2017-01-18 Volvo Car Corporation Safety stoppage device and method for safety stoppage of an autonomous vehicle
CN105573323A (zh) * 2016-01-12 2016-05-11 福州华鹰重工机械有限公司 自动驾驶轨迹生成方法及装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112740122A (zh) * 2018-08-21 2021-04-30 皮尔茨公司 用于监视安全关键过程的自动化系统
CN112740122B (zh) * 2018-08-21 2024-03-15 皮尔茨公司 用于监视安全关键过程的自动化系统
CN112230572A (zh) * 2019-06-30 2021-01-15 比亚迪股份有限公司 集成控制芯片及其控制方法,存储介质,车辆
CN112230572B (zh) * 2019-06-30 2021-09-03 比亚迪股份有限公司 集成控制芯片及其控制方法,存储介质,车辆
CN112180908A (zh) * 2019-07-04 2021-01-05 Tttech汽车股份公司 针对自主车辆的安全轨迹选择

Also Published As

Publication number Publication date
EP3376390A1 (de) 2018-09-19
US20180267549A1 (en) 2018-09-20
CN108628692B (zh) 2023-09-22
EP3376390B1 (de) 2019-10-30
US10782700B2 (en) 2020-09-22

Similar Documents

Publication Publication Date Title
CN108628284A (zh) 用于识别用于控制受控对象的电子系统中的故障的容错方法
CN108628692A (zh) 用于控制自主受控对象的容错方法
US10902165B2 (en) Deployable development platform for autonomous vehicle (DDPAV)
US10359772B2 (en) Fault-tolerant method and device for controlling an autonomous technical system through diversified trajectory planning
Huang et al. Autonomous vehicles testing methods review
US10710602B2 (en) Systems and methods for a vehicle controller safety monitor
CN104950740B (zh) 具有冗余计算机的用于交通工具的系统
US11257309B2 (en) Systems and methods to test an autonomous vehicle
EP3232285B1 (en) Method and arrangement for monitoring and adapting the performance of a fusion system of an autonomous vehicle
CN107406073B (zh) 用于在无碰撞性方面监视要由车辆驶过的额定轨迹的方法和设备
CN111613091A (zh) 利用外部驾驶员数据增强移动设备操作
US20180052465A1 (en) Fault-tolerant method and device for controlling an autonomous technical system based on a consolidated model of the environment
CN107953884A (zh) 用于自主车辆的行驶控制设备和方法
CN105191222A (zh) 用于机动车辆的自动控制的装置与方法
WO2017118670A2 (en) Fusion of aviation-related data for comprehensive aircraft system health monitoring
EP2270618A2 (en) Method and system for fault determination for aircraft
WO2021063486A1 (en) Automatic root cause analysis of failures in autonomous vehicle
CN109421629A (zh) 用于自主车辆的自动维护安排的方法和设备
US20230044889A1 (en) Training Neural Networks Using a Neural Network
WO2021126940A1 (en) Systems and methods for injecting faults into an autonomy system
CN114056351B (zh) 自动驾驶方法及装置
WO2023028274A1 (en) System and method of large-scale autonomous driving validation
EP4327227A1 (en) Performance testing for mobile robot trajectory planners
CN114930429A (zh) 用于飞机监控软件的安全测试的模拟架构
US20220402512A1 (en) Method and system for operating an at least partially automated vehicle

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
TA01 Transfer of patent application right

Effective date of registration: 20190705

Address after: Austria Vienna

Applicant after: TTTech Auto AG

Address before: Austria Vienna

Applicant before: TTTECH Computertechnik AG

TA01 Transfer of patent application right
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant