CN113721447B - 一种基于多余度可重构的车控系统及控制方法 - Google Patents

Abstract

本发明涉及一种基于多余度可重构的车控系统及控制方法，属于车载设备通信和控制技术领域，解决现有车控系统存在的单点失效风险，系统的综合处理机设备发送的控制指令和查询指令，经过网关控制器设备、网桥设备输出到终端控制器设备；综合处理机设备包括相互备份的第一处理机和第二处理机；网关控制器设备包括相互备份的第一网关控制器和第二网关控制器；网桥设备包括相互备份的第一网桥和第二网桥；其中，第一处理机、第二处理机、第二网关控制器、第二网桥第一网桥和第一网关控制器分别作为网络节点顺序连接组成双向环形网络。本发明增加系统余度，提高整体可靠性，并提升整车通信网络速率和带宽。

Description

一种基于多余度可重构的车控系统及控制方法

技术领域

本发明涉及车载设备通信和控制技术领域，尤其是一种基于多余度可重构的车控系统及控制方法。

背景技术

当前，特种车辆在信息化、智能化方面不断涌现出新需求，分系统之间、系统内部各设备之间信息交互更加紧密，通信和控制更加复杂，对车辆的使用性和可靠性提出更高要求。

目前，大部分车控系统仍然存在单点环节，为避免出现单点失效，有些系统直接对所有单点环节作双冗余、甚至三模冗余配置。这样虽然能够解决问题，但也会带来硬件规模和成本成倍增加。

可重构是在部分硬件冗余配置基础上，通过故障诊断定位、资源动态规划和调度，对故障系统内部架构或信息链路进行重新组织，使其重构为原系统的功能等价系统，将故障环节及其对外影响完全隔离和屏蔽，确保系统可以正常工作。

发明内容

鉴于上述的分析，本发明旨在提供一种基于多余度可重构的车控系统及控制方法，解决现有车控系统存在的单点失效风险，增加系统余度，提高整体可靠性，并提升整车通信网络速率和带宽。

本发明公开了一种基于多余度可重构的车控系统，综合处理机设备发送的控制指令和查询指令，经过网关控制器设备、网桥设备输出到终端控制器设备；终端控制器设备上报的执行信息和应答信息，经过网桥设备、网关控制器设备输出到综合处理机设备；

所述综合处理机设备包括相互备份的第一处理机和第二处理机；所述网关控制器设备包括相互备份的第一网关控制器和第二网关控制器；所述网桥设备包括相互备份的第一网桥和第二网桥；

所述第一处理机、第二处理机、第二网关控制器、第二网桥第一网桥和第一网关控制器分别作为网络节点顺序连接组成双向环形网络。

进一步地，所述双向环形网络中的网络节点都按照统一时间基准进行调度，位流在环网中同时以顺时针和逆时针两个方向传递，形成互为冗余通道，各网络节点根据组态信息确定发送偏移时刻，接收方进行冗余仲裁，只给应用层提取一份有效数据。

进一步地，所述双向环形网络中的所有设备采用安全实时总线SRB双通道连接。

进一步地，所述第一处理机和第二处理机对处理任务进行分工和相互备份，第一处理机执行车辆综合管理主任务和健康管理机主任务；第二处理机执行底盘控制器主任务和机车控网关主任务；第一处理机和第二处理机在执行自己的主任务的同时，还对对方执行任务进行备份；第一处理机和第二处理机相互监测通过双向环形网络传输的对方的心跳信息以及工作状态信息，当其中一个处理机连续N个通讯周期监测到的另一个处理机的信息均不正确，则，发出接管信息，接管所述另一个处理机的全部任务。

进一步地，所述第一网关控制器和第二网关控制器中一个作为主网关，另一个作为从网关；所述第一网桥和第二网桥中一个作为主网桥，另一个作为从网桥；

所述第一处理机或第二处理机通过双向环形网络实时监测主网关和从网关的心跳信息或工作状态信息，当任何一个处理机连续M个通讯周期监测到的主网关信息均不正确时，所述第一处理机或第二处理机停止向主网关发送指令信息，并将指令信息发给从网关；从网关接替主网关，执行网关控制主任务；

所述第一处理机或第二处理机通过双向环形网络实时监测主网桥和从网桥的心跳信息或工作状态信息，当任何一个处理机连续M个通讯周期监测到的主网桥信息均不正确时，所述第一处理机或第二处理机停止向主网桥发送指令信息，并将指令信息发给从网桥；从网桥接替主网桥，执行网桥控制主任务。

进一步地，所述终端控制器设备包括相互备份的第一通用控制器和第二通用控制器；所述第一通用控制器与第一网桥建立通信连接，所述第二通用控制器与第二网桥建立通信连接；所述第一通用控制器和第二通用控制器之间建立通信连接；当第一通用控制器和第二通用控制器中的一个通用控制器因自检异常或通信异常停止工作后，另一个通用控制器接替停止工作的通用控制器接收指令，并通过输入输出接口控制由原通用控制器控制的执行器和传感器。

进一步地，所述第一通用控制器与第一网桥之间，所述第二通用控制器与第二网桥之间，以及所述第一通用控制器和第二通用控制器之间都通过相互备份的CAN总线通信和电力载波通信连接。

进一步地，所述CAN总线通信为主通信方式，电力载波通信为从通信方式；通信过程中，网关控制器设备检测所述CAN总线的收发数据故障或误码率信息，当CAN总线收发数据故障或误码率过高时，网关控制器设备出发控制指令，使用电力载波通信代替CAN总线进行通信。

进一步地，所述第一通用控制器和第二通用控制器与包括执行器和传感器在内的控制执行设备之间通过柔性I/O连接，在所述第一通用控制器和第二通用控制器内部进行接口与I/O资源可编程映射，用于实现输入输出接口冗余，当某一种类接口自检出现异常，将故障接口重新映射到相同类型的空闲接口，使出现异常的端口重新恢复特定功能。

本发明还公开了一种基于所述车控系统的控制方法，包括以下步骤：

步骤S1、综合处理机设备通过网关控制器设备、网桥设备向终端控制器设备发送控制指令和查询指令，接收终端控制器设备上报的执行信息和应答信息；

步骤S2、综合处理机设备中相互备份的处理机相互监测心跳信息以及工作状态信息；

当其中一个处理机出现故障时，相互备份的另一个处理机在执行本处理机的主任务的同时，接管故障处理机的任务；

步骤S3、综合处理机设备监测网关控制器设备的主网关和主网桥的心跳信息或工作状态信息；

主网关工作不正常时，综合处理机设备停止向主网关发送指令信息，并将指令信息发给从网关，从网关接替主网关，执行网关控制主任务；

主网桥工作不正常时，综合处理机设备停止向主网桥发送指令信息，并将指令信息发给从网桥，从网桥接替主网桥，执行网桥控制主任务；

步骤S4、所述终端控制器设备相互监测自检结果和通信状态；

当其中一个通用控制器因自检异常或通信异常停止工作后，另一个通用控制器接替停止工作的通用控制器接收指令，并通过输入输出接口控制由原通用控制器控制的执行设备。

本发明的有益效果如下：

建立的多余度可重构车载网络架构，改变原有车控系统(网络)设计思路和架构形式；提升车控系统通信速率和带宽，同时保证通信确定性和实时性；

消除车控网络链路上单点失效环节，且具备快速诊断定位、自愈自恢复能力；

与原上下层级接口兼容，为后续推广奠定基础。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。

图1为本发明实施例中的多余度可重构的车控系统原理示意图；

图2为本发明实施例中的车控系统控制方法流程图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理。

本实施例公开了一种基于多余度可重构的车控系统，如图1所示，包括综合处理机设备、网关控制器设备、网桥设备、终端控制器设备和执行设备；

所述综合处理机设备，用于执行车辆的控制和管理任务；具体包括车辆综合管理任务、车控网关任务、车辆底盘控制任务和车辆健康管理任务；

所述网关控制器设备，用于连接所述终端管理设备和网桥设备，为整车网络的数据提供交互枢纽；

所述网桥设备，用于为异构网络的不同种类的链路提供通信接口；

所述网桥设备为多链路网桥，由于本实施例的车控系统采用异构网络，包括多种不同的总线形式，例如SRB总线(安全实时总线Secure Realtime Bus)，CAN总线，车控以太网总线，电力线等，通过多链路网桥提供的网络通信接口，使不同总线之间实现数据通信。

终端控制器设备，用于向执行设备发送控制指令和查询指令，接收执行设备上报的执行信息和应答信息；

执行设备包括电机启动器、电动缸、液压阀、液压缸、油源等在内的执行器和包括位移传传感器、压力传感器、流量传感器、倾角传感器在内的传感器。接收、执行终端控制器的控制指令和查询指令，并上报执行信息和应答信息。

综合处理机设备、网关控制器设备、网桥设备、终端控制器设备和执行设备连接构成异构网络后，综合处理机设备发送控制指令和查询指令，经过网关控制器设备、网桥设备输出到终端控制器设备；终端控制器设备向对应的执行设备发送控制指令和查询指令，并收集执行设备的执行信息和应答信息，经过网桥设备、网关控制器设备上报给综合处理机设备。

为解决现有车控系统存在的因单点失效而使系统功能失效的问题，本实施例一方面增加系统余度，另一方面建立重构机制，剔除单点失效设备，重新组织设备、通讯总线和接口，构建新的控制关系，维持系统的正常功能，提高整体可靠性。

具体的，综合处理机设备包括第一处理机和第二处理机，所述第一处理机和第二处理机对处理任务进行分工和相互备份，第一处理机执行车辆综合管理(含显控)主任务和健康管理机主任务；第二处理机执行底盘控制器主任务和机车控网关主任务；第一处理机和第二处理机在执行自己的主任务的同时，还对对方执行任务进行备份。

网关控制器设备包括相互备份的第一网关控制器和第二网关控制器；网桥设备包括相互备份的第一网桥和第二网桥。

为了实现在部分硬件冗余配置基础上，通过故障诊断定位、资源动态规划和调度，对故障系统内部架构或信息链路进行重新组织，使其重构为原系统的功能等价系统；本实施例将第一处理机、第二处理机、第二网关控制器、第一网关控制器、第一网桥和第二网桥作为网络节点组成双向环形网络。

在双向环形网络中的网络节点都按照统一时间基准进行调度，位流在环网中同时从顺时针和逆时针两个方向传递，形成互为冗余通道，各网络节点根据组态信息确定发送偏移时刻，接收方进行冗余仲裁，只给应用层提取一份有效数据。

所述各网络节点的组态形式具体可以为：

1)将各网络节点进行编号；

2)在每一个信息发送周期内，为每一个网络节点划分相应的信息发送时间片，每个网络节点的时间片的长度根据网络节点发送信息量的大小和信息的重要性确定，发送信息量大的、信息重要性高的网络节点，时间片的划分长度更长；

3)根据网络节点的编号，确定信息发送的顺序；

4)各网络节点在除发送时间片外的其他时间内，监听网络内所有节点的发送信息；将监听到需接收的信息时，作为接收方接收信息；

5)当接收方接收的信息为冗余信息时，接收方进行冗余仲裁，对冗余信息进行校验和剔除，如果冗余的两份都为有效信息，则取其中一份有效信息供应用层提取，如果只收到一份有效信息，则直接扔掉无效信息。

优选的，所述双向环形网络中的所有设备采用安全实时总线SRB双通道连接。

SRB总线(安全实时总线Secure Realtime Bus)为基于EPA总线技术，包括EPA所有的功能与技术特点外，还具有自适应网络拓扑功能，支持性星型、线型、环型、网格型及其多级混合拓扑组网，支持自适应拓扑变换；具有动态带宽调整功能，支持自适应节点带宽调整，通信速率可达100M，甚至1G、10G，满足节点突发大数据传输需求；具有故障自诊断与自愈功能，专有的并行链路故障自检测、自诊断、自定位与自愈，可实现无盲区通信。SRB总线的物理层采用成熟的以太网物理层IEEE802.3技术，其支持的传输介质可以是以太网双绞线和光纤通信。

为提高车控系统任务可靠性，解决系统中单点故障造成系统功能失效的问题。从三个方面考虑系统的重构方式：设备重构、通讯总线重构、接口重构。通过以上三种重构方式规划车控系统控制方法，可有效提高车控系统可靠性，避免车控系统任务可靠性的提高。

设备重构具体包括以下内容：

所述第一处理机和第二处理机相互监测通过双向环形网络传输的对方的心跳信息以及工作状态信息，当其中一个处理机连续N个通讯周期监测到的另一个处理机的信息均不正确，则，发出接管信息，接管所述另一个处理机的全部任务。N可根据实际情况选择3-5个通讯周期。

所述第一网关控制器和第二网关控制器中一个作为主网关，另一个作为从网关；所述第一网桥和第二网桥中一个作为主网桥，另一个作为从网桥；

所述第一处理机或第二处理机通过双向环形网络实时监测主网关和从网关的心跳信息或工作状态信息，当任何一个处理机连续M个通讯周期监测到的主网关信息均不正确时，所述第一处理机或第二处理机停止向主网关发送指令信息，并将指令信息发给从网关；从网关接替主网关，执行网关控制主任务；

所述第一处理机或第二处理机通过双向环形网络实时监测主网桥和从网桥的心跳信息或工作状态信息，当任何一个处理机连续M个通讯周期监测到的主网桥信息均不正确时，所述第一处理机或第二处理机停止向主网桥发送指令信息，并将指令信息发给从网桥；从网桥接替主网桥，执行网桥控制主任务。

M同样可根据实际情况选择3-5个通讯周期。

所述终端控制器设备包括相互备份的第一通用控制器和第二通用控制器；所述第一通用控制器与第一网桥建立通信连接，所述第二通用控制器与第二网桥建立通信连接；所述第一通用控制器和第二通用控制器建立通信连接；当第一通用控制器和第二通用控制器中的一个通用控制器因自检异常或通讯异常停止工作后，另一个通用控制器接替停止工作的通用控制器接收指令，并通过输入输出接口控制由原通用控制器控制的执行设备。

通讯总线重构包括以下内容：

双向环形网络中的所有设备采用安全实时总线SRB双通道连接，利用SRB网络链路故障探测和实时协同调度机制，各网络节点可在线监视通信链路运行状态，并进行快速故障自诊断定位、拓扑链路热切换。

第一处理机和第一网关控制器之间SRB总线单路出现断线或节点状态故障，可通过另外一路继续完成通信功能，若两路均出现故障，第一处理机和第二网关控制器之间的通信可通过另一侧SRB总线建立链路。同理，第一网关控制器和第一网桥之间的通信异常采用相同的总线重构方式。

鉴于第一通用控制器和第二通用控制器对通信速率要求不高，一般不配备高成本的SRB接口，且在特种车辆中通用控制器应用数量较多，从经济性考虑，所述第一通用控制器与第一网桥之间，所述第二通用控制器与第二网桥之间，以及所述第一通用控制器和第二通用控制器之间都通过相互备份的CAN总线通信连接，同时对第一网桥和第二网桥供电接口进行改造，增加电力载波通信模块，使第一网桥和第二网桥也具有冗余的电力载波通信通信链路连接。

所述CAN总线通信为主通信方式，电力载波通信为从通信方式；通信过程中，所述网关控制器设备检测所述CAN总线的收发数据故障或误码率信息，当CAN总线收发数据故障或误码率过高时，所述网关控制器设备出发控制指令，使用电力载波通信代替CAN总线进行通信。由于电力载波通讯速率要低于CAN总线，因此会延长任务的完成时间，但可保证在CAN总线异常情况下，系统重要功能不会受影响。

接口重构包括以下内容：

针对车控系统对象接口如第一通用控制器和第二通用控制器等冗余措施较难实现的问题，使用柔性I/O技术，

所述第一通用控制器和第二通用控制器与包括执行器和传感器在内的执行设备之间通过柔性I/O连接，在所述第一通用控制器和第二通用控制器内部进行接口与I/O资源可编程映射，用于实现输入输出接口冗余，当某一种类接口自检出现异常，将故障接口重新映射到相同类型的空闲接口，使出现异常的端口重新恢复特定功能。

另外，第一通用控制器和第二通用控制器对外接口进行了互为备份冗余，即第一通用控制器和第二通用控制器对外接口也进行了物理连接，当第二通用控制器因自检异常或通讯异常后，第二通用控制器停止工作，第一通用控制器可接收原传给第二通用控制器的指令，并通过输入输出接口控制原来由第二通用控制器控制的执行器和传感器等。

更具体的，为实现安全实时总线SRB双通道通信，所述双向环形网络中的网络节点中均包括，SRB协议栈模块、参数配置模块、故障监听模块、数据生成模块、冗余过滤模块；在网桥设备中还包括CAN接口模块和电力载波通信接口模块；

所述SRB协议栈模块，主要实现基于SRB协议的实时、确定性网络通信，模块中包括主时钟竞争、时钟同步、宏周期生成、集成网管等功能，直接与数据通信相关的包括确定性调度、冗余处理、端口驱动等模块；SRB协议栈模块根据PHY监测模块提供的网络状态信息以及参数管理模块提供的通信参数和控制信息，实现SRB周期调度；

所述SRB协议栈模块具体包括以下子模块：

MAC接收子模块，负责将PHY发送过来数据进行CRC校验，并提取SRB报文的特征信息。MAC发送模块将仲裁模块发送过来的数据进行MAC层的封装，并发送给PHY。

冗余过滤子模块，对MAC传递过来的数据进行进一步分析，将那些非SRB报文和重复收到的数据过滤。

发送仲裁子模块，用于管理发送数据的总线，根据竞争报文、同步报文、实时数据报文、网管报文的优先顺序进行仲裁发送通道的使用权。

确定性调度子模块，根据参数及状态管理模块提供的信息，对冗余模块发送过来的数据进行筛选，提取目标数据发送给网关通信数据管理模块缓存。从网关通信数据管理模块中提取待发送的数据在被规定时间片内发送给发送仲裁模块。

主时钟竞争子模块，用于和网络中其他SRB设备竞争主时钟状态，一旦竞争成功该设备变成为系统中主时钟，其他设备都会和该设备保持同步，如果竞争失败，该设备会作为从去同主设备同步。

时钟同步子模块，设备处于从状态时这个模块负责与主时钟设备取得联系，计算出线路延时并与主时钟保持同步。

宏周期生成子模块，用于生成系统时间信息，为确定、实时性提供时间基准。

参数配置模块，用于接收PHY输入进来的配置报文和配置查询报文，并将更新的配置传入SRB协议栈模块。

故障监听模块，用于接收SRB协议栈输出的网络信息，根据相关信息发送指令对数据生成模块进行控制。当监听到与当前设备的重构设备出现故障时，该模块将拉高重构使能标记，数据生成模块接收到该使能后，将在本地生成重构设备的数据。

数据生成模块，用于按照指示，构建发送数据，当重构使能标记为低时，其生成本地设备的数据，当重构使能标记为高时，其间隔生成本地设备数据和重构设备数据。

CAN接口模块，适用于转移环形网络内的数据到CAN网络中。结合原有的SRB协议栈，SRB协议数据根据规定好的格式存储在dpram中，该驱动模块可以把这些数据重新组成CAN的帧发出去，或者将收到的CAN帧数据提取出来供环形网络使用。

电力载波通信接口模块，适用于转移环形网络内的数据到电力载波线中。结合原有的SRB协议栈，SRB协议数据根据规定好的格式存储在dpram中，该驱动模块可以把这些数据重新组成电力载波的帧发出去，或者将收到的电力载波帧数据提取出来供环形网络使用。

冗余过滤模块，用于接收来自SRB协议栈模块的输出数据或和CAN接口模块/电力载波通信接口模块的输出数据，两个数据分别来自SRB环形网络和CAN接口模块/电力载波通信接口模块，因为两个网络延时不同，所以到达有先后之分。数据报文中有源设备信息字段和序列字段，分别表示数据来源和报文序列。当SRB报文数据率先到达时，其保留SRB报文数据而丢弃后到达的CAN数据/电力载波通信数据报文，反之，其保留CAN数据/电力载波通信数据而丢弃SRB报文数据。

综上所述，本实施例的车控系统可消除单点失效风险，达到了带故工作能力，从整体上提高系统余度和可靠性，可容忍包括SRB总线单线故障、双线故障、处理机故障、网关故障、网桥故障、CAN总线故障和接口故障等多达7度故障。因采用的SRB总线可达到千兆的通信速率，使得整车网络通信速率和带宽都得到大幅提升，为车辆信息化水平提升奠定坚实的基础。

基于多余度可重构车控系统通过故障诊断定位、资源动态规划和调度，对车控系统内部设备、通信链路和对外端口进行重新组织，使其重构为原系统的功能等价系统，将故障环节及其对外影响完全隔离和屏蔽，确保系统仍可正常工作。

本实施例还公开了一种应用上述车控系统的控制方法，如图2所示，包括以下步骤：

步骤S1、综合处理机设备通过网关控制器设备、网桥设备向终端控制器设备发送控制指令和查询指令，接收终端控制器设备上报的执行信息和应答信息；

步骤S2、综合处理机设备中相互备份的处理机相互监测心跳信息以及工作状态信息；

当其中一个处理机出现故障时，相互备份的另一个处理机在执行本处理机的主任务的同时，接管故障处理机的任务；

步骤S3、综合处理机设备监测网关控制器设备的主网关和主网桥的心跳信息或工作状态信息；

主网关工作不正常时，综合处理机设备停止向主网关发送指令信息，并将指令信息发给从网关，从网关接替主网关，执行网关控制主任务；

主网桥工作不正常时，综合处理机设备停止向主网桥发送指令信息，并将指令信息发给从网桥，从网桥接替主网桥，执行网桥控制主任务；

步骤S4、所述终端控制器设备相互监测自检结果和通信状态；

当其中一个通用控制器因自检异常或通信异常停止工作后，另一个通用控制器接替停止工作的通用控制器接收指令，并通过输入输出接口控制由原通用控制器控制的执行设备。

在各步骤具体的控制方法中应用到设备重构、通讯总线重构、接口重构的具体内容，在介绍车控系统时已具体论述，在此就不在一一赘述。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种基于多余度可重构的车控系统，其特征在于，综合处理机设备发送的控制指令和查询指令，经过网关控制器设备、网桥设备输出到终端控制器设备；终端控制器设备上报的执行信息和应答信息，经过网桥设备、网关控制器设备输出到综合处理机设备；

所述综合处理机设备包括相互备份的第一处理机和第二处理机；所述网关控制器设备包括相互备份的第一网关控制器和第二网关控制器；所述网桥设备包括相互备份的第一网桥和第二网桥；

所述第一处理机、第二处理机、第二网关控制器、第二网桥第一网桥和第一网关控制器分别作为网络节点顺序连接组成双向环形网络；

所述双向环形网络中的网络节点都按照统一时间基准进行调度，位流在环网中同时以顺时针和逆时针两个方向传递，形成互为冗余通道，各网络节点根据组态信息确定发送偏移时刻，接收方进行冗余仲裁，只给应用层提取一份有效数据；

所述第一处理机和第二处理机对处理任务进行分工和相互备份，第一处理机执行车辆综合管理主任务和健康管理机主任务；第二处理机执行底盘控制器主任务和机车控网关主任务；第一处理机和第二处理机在执行自己的主任务的同时，还对对方执行任务进行备份；第一处理机和第二处理机相互监测通过双向环形网络传输的对方的心跳信息以及工作状态信息，当其中一个处理机连续N个通讯周期监测到的另一个处理机的信息均不正确，则，发出接管信息，接管所述另一个处理机的全部任务。

2.根据权利要求1所述的车控系统，其特征在于，所述双向环形网络中的所有设备采用安全实时总线SRB双通道连接。

3.根据权利要求1所述的车控系统，其特征在于，所述第一网关控制器和第二网关控制器中一个作为主网关，另一个作为从网关；所述第一网桥和第二网桥中一个作为主网桥，另一个作为从网桥；

所述第一处理机或第二处理机通过双向环形网络实时监测主网关和从网关的心跳信息或工作状态信息，当任何一个处理机连续M个通讯周期监测到的主网关信息均不正确时，所述第一处理机或第二处理机停止向主网关发送指令信息，并将指令信息发给从网关；从网关接替主网关，执行网关控制主任务；

所述第一处理机或第二处理机通过双向环形网络实时监测主网桥和从网桥的心跳信息或工作状态信息，当任何一个处理机连续M个通讯周期监测到的主网桥信息均不正确时，所述第一处理机或第二处理机停止向主网桥发送指令信息，并将指令信息发给从网桥；从网桥接替主网桥，执行网桥控制主任务。

4.根据权利要求1-3任一所述的车控系统，其特征在于，所述终端控制器设备包括相互备份的第一通用控制器和第二通用控制器；所述第一通用控制器与第一网桥建立通信连接，所述第二通用控制器与第二网桥建立通信连接；所述第一通用控制器和第二通用控制器之间建立通信连接；当第一通用控制器和第二通用控制器中的一个通用控制器因自检异常或通信异常停止工作后，另一个通用控制器接替停止工作的通用控制器接收指令，并通过输入输出接口控制由原通用控制器控制的执行器和传感器。

5.根据权利要求4所述的车控系统，其特征在于，所述第一通用控制器与第一网桥之间，所述第二通用控制器与第二网桥之间，以及所述第一通用控制器和第二通用控制器之间都通过相互备份的CAN总线通信和电力载波通信连接。

6.根据权利要求5所述的车控系统，其特征在于，所述CAN总线通信为主通信方式，电力载波通信为从通信方式；通信过程中，网关控制器设备检测所述CAN总线的收发数据故障或误码率信息，当CAN总线收发数据故障或误码率过高时，网关控制器设备出发控制指令，使用电力载波通信代替CAN总线进行通信。

7.根据权利要求4所述的车控系统，其特征在于，所述第一通用控制器和第二通用控制器与包括执行器和传感器在内的控制执行设备之间通过柔性I/O连接，在所述第一通用控制器和第二通用控制器内部进行接口与I/O资源可编程映射，用于实现输入输出接口冗余，当某一种类接口自检出现异常，将故障接口重新映射到相同类型的空闲接口，使出现异常的端口重新恢复功能。

8.一种基于权利要求4-7任一项所述的基于多余度可重构的车控系统的控制方法，其特征在于，包括以下步骤：

步骤S1、综合处理机设备通过网关控制器设备、网桥设备向终端控制器设备发送控制指令和查询指令，接收终端控制器设备上报的执行信息和应答信息；

步骤S2、综合处理机设备中相互备份的处理机相互监测心跳信息以及工作状态信息；

当其中一个处理机出现故障时，相互备份的另一个处理机在执行本处理机的主任务的同时，接管故障处理机的任务；

步骤S3、综合处理机设备监测网关控制器设备的主网关和主网桥的心跳信息或工作状态信息；

主网关工作不正常时，综合处理机设备停止向主网关发送指令信息，并将指令信息发给从网关，从网关接替主网关，执行网关控制主任务；

主网桥工作不正常时，综合处理机设备停止向主网桥发送指令信息，并将指令信息发给从网桥，从网桥接替主网桥，执行网桥控制主任务；

步骤S4、所述终端控制器设备相互监测自检结果和通信状态；

当其中一个通用控制器因自检异常或通信异常停止工作后，另一个通用控制器接替停止工作的通用控制器接收指令，并通过输入输出接口控制由原通用控制器控制的执行设备。