CN114594992A - 用于控制技术装置的方法 - Google Patents

用于控制技术装置的方法 Download PDF

Info

Publication number
CN114594992A
CN114594992A CN202111482757.5A CN202111482757A CN114594992A CN 114594992 A CN114594992 A CN 114594992A CN 202111482757 A CN202111482757 A CN 202111482757A CN 114594992 A CN114594992 A CN 114594992A
Authority
CN
China
Prior art keywords
subsystem
time
subsystems
mss
time slice
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111482757.5A
Other languages
English (en)
Inventor
H·科佩茨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tttech Auto AG
Original Assignee
Tttech Auto AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tttech Auto AG filed Critical Tttech Auto AG
Publication of CN114594992A publication Critical patent/CN114594992A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30076Arrangements for executing specific machine instructions to perform miscellaneous control operations, e.g. NOP
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/04Generating or distributing clock signals or signals derived directly therefrom
    • G06F1/08Clock generators with changeable or programmable clock frequency
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0772Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30094Condition code generation, e.g. Carry, Zero flag

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

本发明处于计算机技术领域。本发明描述安全自动化系统的架构和用于安全地自主地运行技术装置的方法。架构解决问题:每种可能的拜占庭差错无论该差错是否由硬件的意外失灵、软件中的设计差错或入侵引起必须被识别和克制,使得不发生安全相关的事件。架构由四个很大程度上独立的子系统组成,所述子系统分层次地布置,并且分别形成封装的故障包容单元。在层级结构的最上面的位置处是安全子系统、即容错决策子系统,所述安全子系统在容错硬件上执行简单软件。因为其他三个子系统包含复杂软件,所以是不安全的。根据经验难以在复杂软件系统中找到所有设计差错并且防止入侵。由于冗余和多样性,不安全子系统的每个差错被屏蔽,使得不出现安全关键故障。

Description

用于控制技术装置的方法
技术领域
本发明涉及一种用于利用分布式实时计算机系统控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的方法,其中实时计算机系统
- 包括子系统、尤其是大量子系统,其中例如子系统分层次地布置,
- 并且其中子系统在全局时间上同步,例如其方式是存在时间服务器,所述时间服务器优选地处于子系统的层级结构之外,其中时间服务器周期性地向每个子系统、例如向每个子系统的时钟发送同步消息,用于使子系统或子系统时钟同步以建立全局时间,以及其中
- 在使用该全局时间的情况下,将时间轴划分成一系列同步的时间片。
本发明此外涉及用于控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的实时计算机系统、尤其是分布式实时计算机系统,其中实时计算机系统
- 包括子系统、尤其是大量子系统,其中例如子系统分层次地布置,
- 并且其中子系统在全局时间上同步,例如其方式是存在时间服务器,所述时间服务器优选地处于子系统的层级结构之外,其中时间服务器被设立用于周期性地向每个子系统、例如向每个子系统的时钟发送同步消息,用于使子系统或子系统的时钟同步以建立全局时间,以及其中
- 在使用该全局时间的情况下,将时间轴划分成一系列同步的时间片。
背景技术
本发明处于计算机技术的领域。所述本发明描述一种用于安全地自主地运行技术装置、诸如机器人或车辆、尤其是机动车辆的方法以及一种安全自动化系统或这样的安全自动化系统的架构。在文献中,由技术装置和控制该装置的实时计算机系统组成的系统也被称为信息物理系统(Cyber-Physical System,CPS)。
技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的自主运行需要实时计算机系统,所述实时计算机系统利用传感器观测技术装置、例如设备的环境,借助于在实时计算机系统上运行的进程模型来评估传感器数据并且将所计算的额定值转交给执行器,所述执行器影响物理过程的流程。可以例如利用光学传感器(摄像机)、激光雷达(LIDAR)、雷达传感器和各种不同的其他传感器来观测环境。传感器数据的评估、传感器数据的数据融合和所需要的环境模型的创建以及轨迹的规划需要具有数百万指令的复杂软件组件。
在许多信息物理系统中,例如在自主地控制车辆时,实时计算机系统中的出现的差错可能具有严重的影响。这样的差错可能由子系统的硬件的瞬时或永久故障或由软件中的缺陷(设计差错)触发。在安全关键应用中需要系统层面上的灾难性故障的修复前平均时间(Mean-Time to Fail,MTTF)必须为处于108至109小时的数量级(Größenordnung)中。
但是,系统的错误行为(Fehlverhalten)也可能由入侵(Intrusion)触发。在入侵(侵入到系统中)时,入侵者(闯入者)绕开入侵检测机制并且接管对系统的完全控制。然后入侵者可以产生受损的(kompromittierten)子系统的拜占庭差错。“在信息技术中将其中系统任意错误地表现(sich…verhalten)的差错称为拜占庭差错(byzantinischeFehler)”[WikIb]。因此,拜占庭差错是在系统中可能出现的最恶意的差错。
安全实时计算机系统的架构必须保证,无论实时计算机系统的复杂子系统之一中的每种可能的拜占庭差错是否由硬件的意外失灵、软件中的设计差错或入侵引起,所述拜占庭差错都被识别和克制(beherrschen),使得不发生安全相关的事件。
发明内容
本发明的任务是说明针对该问题的解决方案。
该任务利用开头提到的方法通过以下方式解决,即根据本发明
- 每个子系统和,如果存着时间服务器的话,还有时间服务器分别形成自身的故障包容单元,以及其中
- 所述子系统之一是决策子系统、即所谓的容错决策子系统FTDSS,所述决策子系统优选地放置在层级结构的最高层面中,其中所述FTDSS被设立用于借助于消息在每个时间片中将额定值转交给执行器,其中所述容错决策子系统FTDSS是安全子系统,也即包含简单软件,所述简单软件在容错硬件上被执行,并且其中
- 设置至少或正好三个数据处理子系统,即正常处理子系统NPSS、监视子系统MSS和关键事件处理子系统CEHSS,所述数据处理子系统优选地放置在下一较低的层级结构层面上,其中所述至少或正好三个数据处理子系统被设立用于利用传感器检测利用所述传感器观测的周围环境的传感器数据,并且彼此独立地评估所述传感器数据,其中
- 分别在时间片开始时由所述数据处理子系统观测所述周围环境,并且在该时间片期间利用通过在所述时间片开始时执行的对周围环境的观测获取的传感器数据来执行计算,
- 所述正常处理子系统NPSS被设立用于在每个时间片中、优选地在所述时间片结束时将针对正常运行的一组额定值在消息中发送给所述容错决策子系统FTDSS并且在消息中发送给所述监视子系统MSS,以及其中
- 所述关键事件处理子系统CEHSS被设立用于在每个时间片中、优选地在所述时间片结束时在消息中将针对异常运行的一组额定值发送给所述容错决策子系统FTDSS,以及其中
- 所述容错决策子系统FTDSS被设立用于在每个时间片中在消息中将针对所述正常运行和所述异常运行的所接收的两组额定值发送给所述监视子系统MSS,以及其中
- 所述监视子系统MSS被设立用于在每个时间片中执行检验:所述监视子系统在所述消息中从所述正常处理子系统NPSS中已获得的针对所述正常运行的该组额定值是否能与由所述MSS基于所述MSS的传感器数据计算的环境模型协调一致,并且保证所述技术装置在正常条件下的安全引导,以及所述监视子系统MSS此外被设立用于在每个时间片中执行检验:所述监视子系统从所述正常处理子系统NPSS在所述消息中已获得的针对所述正常运行的该组额定值是否与由所述正常处理子系统NPSS经由所述容错决策子系统FTDSS发送给所述监视子系统MSS的相应组的额定值相同,和
- 如果两个检验是肯定的,则将正确性指示符、即正确性指示符-1设置为值TRUE,并且如果两个检验之一是否定的或者两个检验是否定的,则将所述正确性指示符-1设置为值FALSE并且将所述正确性指示符-1或所述正确性指示符-1的值在每个时间片中在消息中发送给所述容错决策子系统FTDSS,并且其中
- 所述容错决策子系统FTDSS在每个时间片中如下作出决策:在所述正确性指示符-1具有值TRUE的情况下,针对所述正常运行的该组额定值例如在消息中被转交给所述执行器,在所述正确性指示符-1具有值FALSE或由所述FTDSS预期的具有正确性指示符-1的消息未到的情况下,针对所述异常运行的该组额定值例如在消息中被转发给所述执行器,其中在这种情况下自该时间点起在后续的时间片中将针对所述异常运行的额定值转发给所述执行器,直至所述技术装置达到安全状态为止。
此外,该任务利用开头提到的实时计算机系统解决,其中根据本发明
- 每个子系统和,如果存着时间服务器的话,还有时间服务器分别形成自身的故障包容单元,以及其中
- 所述子系统之一是决策子系统、即所谓的容错决策子系统FTDSS,所述决策子系统优选地放置在层级结构的最高层面中,其中所述FTDSS被设立用于借助于消息在每个时间片中将额定值转交给执行器,其中所述容错决策子系统FTDSS是安全子系统,也即包含简单软件,所述简单软件在容错硬件上被执行,并且其中
- 设置至少或正好三个数据处理子系统,即正常处理子系统NPSS、监视子系统MSS和关键事件处理子系统CEHSS,所述数据处理子系统优选地放置在下一较低的层级结构层面上,其中所述至少或正好三个数据处理子系统被设立用于利用传感器检测利用所述传感器观测的周围环境的传感器数据,并且彼此独立地评估所述传感器数据,其中
- 分别在时间片开始时由所述数据处理子系统观测所述周围环境,并且在该时间片期间利用通过在所述时间片开始时执行的对周围环境的观测获取的传感器数据来执行计算,
- 所述正常处理子系统NPSS被设立用于在每个时间片中、优选地在所述时间片结束时将针对正常运行的一组额定值在消息中发送给所述容错决策子系统FTDSS并且在消息中发送给所述监视子系统MSS,以及其中
- 所述关键事件处理子系统CEHSS被设立用于在每个时间片中、优选地在所述时间片结束时在消息中将针对异常运行的一组额定值发送给所述容错决策子系统FTDSS,以及其中
- 所述容错决策子系统FTDSS被设立用于在每个时间片中在消息中将针对所述正常运行和所述异常运行的所接收的两组额定值发送给所述监视子系统MSS,以及其中
- 所述监视子系统MSS被设立用于在每个时间片中执行检验:所述监视子系统在所述消息中从所述正常处理子系统NPSS中已获得的针对所述正常运行的该组额定值是否能与由所述MSS基于所述MSS的传感器数据计算的环境模型协调一致,并且保证所述技术装置在正常条件下的安全引导,以及所述监视子系统MSS此外被设立用于在每个时间片中执行检验:所述监视子系统从所述正常处理子系统NPSS在所述消息中已获得的或获得的针对所述正常运行的该组额定值是否与由所述正常处理子系统NPSS经由所述容错决策子系统FTDSS发送给所述监视子系统MSS的相应组的额定值相同,和
- 如果两个检验是肯定的,则将正确性指示符、即正确性指示符-1设置为值TRUE,并且如果两个检验之一是否定的或者两个检验是否定的,则将所述正确性指示符-1设置为值FALSE并且将所述正确性指示符-1或所述正确性指示符-1的值在每个时间片中在消息中发送给所述容错决策子系统FTDSS,并且其中
- 所述容错决策子系统FTDSS在每个时间片中如下作出决策:在所述正确性指示符-1具有值TRUE的情况下,针对所述正常运行的该组额定值例如在消息中被转交给所述执行器,在所述正确性指示符-1具有值FALSE或由所述FTDSS预期的具有正确性指示符-1的消息未到的情况下,针对所述异常运行的该组额定值例如在消息中被转发给所述执行器,其中在这种情况下自该时间点起在后续的时间片中将针对所述异常运行的额定值转发给所述执行器,直至所述技术装置达到安全状态为止。
关于用于在汽车工业的安全相关应用中开发、检验和认证软件的功能安全性的ISO标准ISO 26262引入四个ASIL(汽车安全完整性等级)安全等级,即ASIL A(最低安全等级)、ASIL B、ASIL C和ASIL D(最高安全等级)。ASIL D描述非常昂贵的软件开发进程,该软件开发进程应该导致无差错的软件。NASA的经验已经表明[Dvo09]实际上不可能消除在复杂软件系统中存在的所有设计差错,所述复杂软件系统是具有超过10000个指令的系统。
因此,将包括少于10000个指令并且按照ASIL D开发以消除所有设计差错的软件系统或软件称为简单软件系统/简单软件。假设,按照ASIL D开发的简单软件系统/简单软件是无设计差错的。
如果软件系统或软件不是简单软件系统或不是简单软件,则将所述软件系统或软件称为复杂软件系统或复杂软件。复杂软件系统或复杂软件可能包含未识别到的设计差错,例如也为如由入侵触发的拜占庭差错。
根据本发明,在这里公开的实时计算机系统由至少四个很大程度上独立的子系统组成,所述子系统优选地分层次地布置并且所述子系统的设计是多样化的(diversitär),使得子系统在很大程度上彼此独立地发生故障(ausfallen)并且可以相互检验。
术语“在很大程度上独立的(weitgehend unabhängig)”应该表达:完全独立性将会需要排除所有可能同时对子系统产生影响的影响因素、诸如温度、SEU(单粒子翻转(single event upset))可能触发的宇宙辐射、在事故、供电时的延迟等。由于实现完全独立的子系统在技术上是不可能的,因此引入该术语在很大程度上独立的。
如果给定的任务要求由独立的开发团队利用不同的开发工具在使用不同的算法的情况下解决,则两个冗余的软件系统是多样化的。多样化软件最小化在两个冗余的软件系统中在两个系统中同时出现软件差错的概率[Avi85]。
如果至少在子系统中使用的软件是多样化的,则将两个冗余的子系统称为多样化的。如果所使用的硬件也不同,则实现更高程度的多样性。
此外,在架构中存在第五子系统、即时间服务器,所述第五子系统优选地处于层级结构之外,周期性地向其他子系统发送时间信号,以便使子系统的时钟同步并且维持全局时间。在使用所述全局时间的情况下,将时间轴划分为一系列同步的时间片。通常在时间片开始时,由子系统利用存在的传感器观测周围环境。在时间片期间执行所设置的计算。在时间片结束时,计算的结果借助于消息被提供给其他子系统。
子系统优选地形成独立的故障包容单元(Fault-Containment Unit,FCU)[Kop12,第136-138页]。如果所有内部差错原因的直接后果都被封装并且在表面(Oberfläche)处给出输出消息的所定义的错误行为,则子系统是FCU。通过封装(Abkapselung)实现两个FCU在最大程度上彼此独立地发生故障。
设置决策子系统(容错决策子系统(Fault-Tolerant Decision Subsystem)-FTDSS),所述决策子系统优选地位于层级结构的最上面的位置处。FTDSS包含在容错硬件上被执行的简单软件。如在[Kop12,第155-157页]中描述的容错硬件屏蔽在硬件中出现的差错。
优选地规定,为了防止通过互联网入侵到FTDSS中,FTDSS不具有至互联网技术装置的任何接入(Zugang)。由于在FTDSS中简单软件在容错硬件上被执行,并且如果至互联网的接入不可用,则可以假设FTDSS是安全子系统,所述安全子系统正确地起作用并且实现低于10-8故障/小时的所需要的可靠性。证明如此高的可靠性需要在由形式(formale)方法的支持下按照ASIL D的严格的系统开发,并且如果软件系统是复杂的,则实际上将会几乎不可执行。
此外,设置三个子系统,所述子系统优选地位于层级结构的下一层面上:
• 在正常运行中控制技术设备、例如车辆的子系统——正常处理子系统(NormalProcessing Subsystem)NPSS。当在NPSS的系统设计中作出的关于实时计算机系统及其周围环境的功能、即关于技术装置的机械结构和技术装置所处于的环境的所有假设都得到满足时,存在正常运行。将对这些假设之一的违反称为关键事件。不被NPSS克制的关键事件导致异常运行。
• 在异常运行中、即在出现了不被NPSS克制的事件之后接管对进程(例如车辆)的控制并且将进程(车辆)引导到安全状态的子系统——所谓的关键事件处理子系统(Critical Event Handling Subsystem)CEHSS;和
• 监视子系统(Monitor Subsystem),即监控NPSS和CEHSS的功能的子系统。
这三个子系统中的每一个是被封装的并且是自主的,并且利用多样化软件评估传感器数据。由于这三个子系统中的每一个或者在这些子系统上被执行的软件包含远超过10000个指令,所以这三个子系统是复杂的。假设,复杂软件系统按照ASIL B被开发和验证,并且在运行中直至出现差错的平均时间(MTTF)处于10-4小时处。
最坏的情况、即在任意时间点在复杂子系统之一中出现拜占庭差错,可以由所描述的架构来克制。尤其是因为复杂子系统形成故障包容单元,所以这种拜占庭差错——无论差错原因是硬件差错、软件差错还是入侵——都由所提出的架构识别和克制。
在从属权利要求中说明根据本发明的方法和根据本发明的实时计算机系统的有利扩展方案。尤其是,可以在根据本发明的方法和/或根据本发明的实时计算机系统的情况下每个本身单独地或以任意组合的方式实现以下特征:
• 所述监视子系统MSS在每个时间片中检验:所述监视子系统从所述关键事件处理子系统CEHSS经由FTDSS尤其是借助于消息获得的针对所述异常运行的该组额定值是否能与由所述MSS基于所述MSS的传感器数据计算的环境模型协调一致,并且保证所述技术装置在所述异常运行中的安全引导,并且如果这是这种情况,则将另一正确性指示符、即正确性指示符-2设置为值TRUE,而如果这不是这种情况,或者如果在时间片中从CEHSS未接收到针对所述异常运行的一组额定值,则将所述正确性指示符-2设置为值FALSE,并且其中所述监视子系统MSS将所述正确性指示符-2随后发送给所述正常处理子系统NPSS,并且其中所述正常处理子系统NPSS在每个时间片中检验:从所述监视子系统MSS获得的正确性指示符-2是否采取值FALSE,并且如果这是这种情况,则中止所述技术装置的正常引导并且将所述技术装置引导到安全状态。
• 所述正常处理子系统NPSS在每个时间片中除了针对所述正常运行的该组额定值之外,还例如在消息中传送针对所述正常运行的所规划的轨迹,在所述消息中所述正常处理子系统将针对正常运行的该组额定值发送给所述监视子系统MSS。
• 所述时间服务器是容错的。
• 所述数据处理子系统是不安全子系统,即所述数据处理子系统包含复杂软件,所述复杂软件在非容错硬件上被执行。
• 所述数据处理子系统包含多样化软件,例如用于计算或检验用于所述执行器的额定值和/或用于计算一个环境模型或多个环境模型。
• 所述数据处理子系统中的每一个均拥有自身的传感器组。
• 所述子系统中的每一个均拥有自身的能量供应装置。
发明内容
在下面,根据附图示例性地更详细地阐述本发明。其中
图1示出关于分布式实时计算机系统的架构的概览,
图2示出借助于容错时间服务器实现时钟同步,以及
图3示出借助于实时计算机系统的子系统实现时钟同步。
在下面,首先解释所使用的术语:
在下面解释在本文件中使用的重要术语:
Figure 514242DEST_PATH_IMAGE001
Figure 768505DEST_PATH_IMAGE002
Figure 379615DEST_PATH_IMAGE003
具体实施方式
图1示出用于控制技术装置、例如技术设备或机器、诸如机器人或车辆、尤其是机动车辆的分布式实时计算机系统的结构。
如图1中所示,实时计算机系统包括子系统100、110、120、130,其中每个子系统均是故障包容单元,并且所述子系统优选地以层级结构布置。此外,在该示例中,实时计算机系统包括时间服务器210,所述时间服务器处于必要时实现的层级结构之外。
在实时计算机系统中,以已知的方式或借助于时间服务器210实现全局时间,借助于所述全局时间使子系统100、110、120、130在时间上同步。时间轴被划分为时间片,所述时间片是相同持续时间的时间切片,所述时间切片优选地彼此直接邻接,其中这些时间片在全局时间上对于所有子系统彼此同步,使得分别观察的时间片对于子系统中的每一个子系统在相同的时间点开始和结束。
子系统之一、即所谓的决策子系统、即容错决策子系统(FTDSS)100可以在每个时间片中借助于消息101将额定值转交给执行器150,所述决策子系统优选地位于层级结构的尖端。
此外,子系统中的三个子系统被构造为所谓的数据处理子系统,所述数据处理子系统优选地相对于FTDSS位于下一较低层级结构层面。具体而言,这些数据处理子系统是正常处理子系统(NPSS)110、监视子系统(MSS)120和关键事件处理子系统(CEHSS)130。这三个数据处理子系统利用传感器160检测周围环境的传感器数据并且彼此独立地优选地利用多样化的软件来评估这些传感器数据。
容错决策子系统(FTDSS)100是安全子系统,即所述容错决策子系统包含简单软件,所述简单软件在容错硬件上被执行。假设安全子系统根据具体应用如开头所描述的那样满足给定的可靠性要求。
数据处理子系统110、120、130可以是不安全子系统,也就是说,所述数据处理子系统可以包含复杂软件,所述复杂软件在非容错硬件上被执行。假设复杂软件系统根据ASILB被开发和验证,并且在运行中直至出现差错为止的平均时间(MTTF)处于10-4小时处。不能排除在不安全子系统中出现拜占庭差错。
正常处理子系统(NPSS)110在每个时间片开始时利用优选地自身的传感器160观测周围环境,构建环境模型并且计算在正常运行中针对执行器150的一组额定值。子系统110已经计算的额定值在消息111中被发送给容错决策子系统(FTDSS)100并且在消息112中被发送给监视子系统(MSS)120。在子系统110识别出违反了关于正常运行的假设的情况下,该子系统中止正在进行的进程并且将技术装置引导到安全状态。附加地,操作员、例如机动车辆的驾驶员可以被告知这一点,并且必要时可以将控制(Kontrolle)转交给所述操作员。
关键事件处理子系统(CEHSS)130在每个时间片开始时利用优选地自身的传感器160观测周围环境,利用多样化软件构建自身的环境模型并且计算在异常运行中针对执行器150的一组额定值。所述关键事件处理子系统在消息131中将所述额定值发送给容错决策子系统(FTDSS)100。
容错决策子系统(FTDSS)100在每个时间片中接收具有针对正常和异常运行的额定值的消息111、131,并且将这些额定值在消息102中发送给监视子系统(MSS)120。
监视子系统(MSS)120在每个时间片中检验该监视子系统在消息112中已经直接从正常处理子系统(NPSS)110已获得的针对正常运行的该组额定值是否能与由MSS 120基于利用传感器160确定的传感器数据利用多样化软件计算的环境模型协调一致,并且保证技术装置在正常条件下的安全引导(Führung)。
例如,环境模型是数字数据结构,所述数字数据结构在给定的时间点表示技术装置的环境的对预先给定的任务重要的特征的映像(Abbild)。环境模型的示例是对道路和在选择的时间点位于道路上的对象的描述。
监视子系统(MSS)120此外检验该监视子系统在消息112中直接从正常处理子系统(NPSS)110获得的该组额定值是否与从正常处理子系统(NPSS)110经由容错决策子系统(FTDSS)100在消息102中发送给监视子系统(MSS)120的相应组的额定值相同。
该第二检验是需要的,因为必须识别正常处理子系统(NPSS)110的以下恶意拜占庭差错:有差错的正常处理子系统(NPSS)110向监视子系统(MSS)120发送正确的额定值,并且向容错决策子系统(FTDSS)100发送有差错的额定值。
如果监视子系统(MSS)120已经执行的两个检验都是肯定的,则正确性指示符-1被设置为值TRUE(真)。如果两个检验之一是否定的,则正确性指示符-1被设置为值FALSE(假)。在检验之后,监视子系统(MSS)120在消息121中向容错决策子系统(FTDSS)100发送正确性指示符-1。
容错决策子系统(FTDSS)100在每个时间片中如下作出决策:在正确性指示符-1包含值TRUE(真)的情况下,在消息101中将针对正常运行的该组额定值发送给执行器150,在正确性指示符-1包含值FALSE(假)或具有正确性指示符-1的预期的消息121未到的情况下,在消息101中将针对异常运行的该组额定值转发给执行器150,并且从该时间点起在后续的时间片中仅仍将针对异常运行的额定值转发给执行器150,直至技术装置已经达到安全状态为止。具有正确性指示符-1的预期的消息121未到是用于监视子系统(MSS)120的失效静默故障(Ausfall)的指示符。
容错决策子系统(FTDSS)100包括在无操作系统支持的情况下可以实现的尤其是非常简单的软件。这如下是有利的,因为根据经验操作系统是复杂的,并且不是无设计差错的[Cho01]。
监视子系统(MSS)120还必须在每个时间片中检验所述监视子系统借助于消息131、102从关键事件处理子系统(CEHSS)130获得的针对异常运行的该组额定值是否能与基于MSS的传感器160的传感器数据已经由MSS计算的环境模型协调一致,并且保证在异常运行中对进程的安全引导。如果这是这种情况,则由监视子系统(MSS)120将另一正确性指示符、即正确性指示符-2设置为值TRUE,而如果这不是这种情况,或者如果由MSS 120在时间片中未从CEHSS 130接收到消息,则正确性指示符-2被设置为值FALSE。
需要经由FTDSS 100通过具有消息131、102的迂回路线(Umweg)传输针对异常运行的额定值,以便排除关键事件处理子系统(CEHSS)130的拜占庭差错。
监视子系统(MSS)120利用消息122向正常处理子系统(NPSS)110发送正确性指示符-2的值或正确性指示符-2,使得可以向正常处理子系统(NPSS)110通知:是否在关键事件处理子系统(CEHSS)130中出现了差错,或者该子系统是否由于失效静默差错而发生了故障。正常处理子系统(NPSS)110在每个时间片中检验从监视子系统(MSS)120获得的正确性指示符-2是否采取值FALSE,并且如果这是这种情况,则由正常处理子系统(NPSS)将技术装置110引导到安全状态。
如果数据处理子系统110、120、130中的每一个均借助于各种不同软件执行传感器数据的分析、传感器160的传感器数据的融合和/或轨迹的规定,则是有利的。由此降低在多个子系统中出现相同软件差错的概率。
例如,轨迹是技术装置随着时间的推移可以实行来履行预先给定的任务的路径。装置的轨迹的特征取决于装置的构造、预先给定的任务要求和当前的环境条件。例如,将车辆在给定的环境条件下可以实行以便到达其目的地的可能通路(Weg)称为轨迹。
轨迹也可以被描述为额定值的时间序列。
如果数据处理子系统110、120、130中的每一个均拥有自身的传感器160的组,则是有利的。由此防止传感器中的差错可能导致多个子系统的相关故障。
正常处理子系统(NPSS)110在每个时间片中除了该组额定值之外,还可以在消息112中将针对正常运行的所规划的轨迹发送给监视子系统(MSS)120,以便给予监视子系统(MSS)120对所规划的轨迹进行检验的可能性。
图2示出如在图1的实时计算机系统中示例性地可以设置的时间服务器210,所述时间服务器周期性地向子系统100、110、120、130发送同步消息211用于使子系统的时钟同步。如果时间服务器210被实施为容错的,则是有利的。
由于四个子系统100、110、120、130是具有独立的振荡器/时钟的自主FCU,因此也可能的是,借助于所述四个子系统本身来实现容错时钟同步以形成全局时间。图3示出消息交换,需要所述消息交换,以便与四个子系统100、110、120、130执行容错时钟同步,如在[Kop12,第69-74页]中所描述的。为此,必须在每个同步周期中交换以下同步消息:
·从子系统100到子系统110的同步消息301
·从子系统110到子系统100的同步消息310
·从子系统100到子系统120的同步消息302
·从子系统120到子系统100的同步消息320
·从子系统100到子系统130的同步消息303
·从子系统130到子系统100的同步消息330
·从子系统110到子系统120的同步消息312
·从子系统120到子系统110的同步消息321
·从子系统120到子系统130的同步消息323
·从子系统130到子系统120的同步消息332
·从子系统110到子系统130的同步消息313
·从子系统130到子系统110的同步消息331
通常适用的是,为了能够防止中央供电装置的故障导致所有子系统100、110、120、130、210的故障,如果子系统100、110、120、130、210中的每一个均具有独立的能量供应装置(例如通过自身的电池),则是有利的。
以下概览最终示出如何识别和处置在子系统中出现的差错或入侵:
差错分析
有差错的子系统或入侵进入 差错识别 差错处置
<i>正常处理子系统</i> 监视子系统识别差错并且将差错报告给容错决策系统 容错决策系统将设备置于安全状态
<i>关键事件处理子系统</i> 监视子系统识别差错并且将差错报告给正常处理子系统 正常处理子系统将设备置于安全状态
监视子系统 容错决策子系统识别差错 容错决策系统将设备置于安全状态
<i>容错决策子系统</i> 不设置差错识别,因为容错硬件上的简单软件无差错 不设置差错处置
所引用的文献:
Figure 733236DEST_PATH_IMAGE004
Figure 531428DEST_PATH_IMAGE005

Claims (16)

1.一种用于利用分布式实时计算机系统控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的方法,其中所述实时计算机系统
- 包括子系统、尤其是大量子系统,其中例如所述子系统分层次地布置,
- 并且其中所述子系统在全局时间上同步,例如其方式是存在时间服务器(210),所述时间服务器优选地处于所述子系统的层级结构之外,其中所述时间服务器(210)周期性地向每个子系统、例如向每个子系统的时钟发送同步消息(211),以便使所述子系统或所述子系统的时钟同步来构建所述全局时间,以及其中
- 在使用所述全局时间的情况下将时间轴划分成一系列同步的时间片,
其特征在于,
- 每个子系统(100、110、120、130)和,如果存着的话,所述时间服务器(210)分别形成自身的故障包容单元,以及其中
- 所述子系统之一是决策子系统、即所谓的容错决策子系统FTDSS(100),所述决策子系统优选地放置在层级结构的最高层面中,其中所述FTDSS(100)借助于消息(101)在每个时间片中能够将额定值转交给执行器(150),其中所述容错决策子系统FTDSS(100)是安全子系统,也即包含简单软件,所述简单软件在容错硬件上被执行,并且其中
- 设置至少或正好三个数据处理子系统,即正常处理子系统NPSS(110)、监视子系统MSS(120)和关键事件处理子系统CEHSS(130),所述数据处理子系统优选地放置在下一较低的层级结构层面上,其中所述至少或正好三个数据处理子系统利用传感器(160)检测利用所述传感器(160)观测的周围环境的传感器数据,并且彼此独立地评估所述传感器数据,其中
- 分别在时间片开始时由所述数据处理子系统(110、120、130)观测所述周围环境,并且在该时间片期间利用通过在所述时间片开始时执行的对周围环境的观测获取的传感器数据来执行计算,
- 所述正常处理子系统NPSS(110)在每个时间片中、优选地在所述时间片结束时将针对正常运行的一组额定值在消息(111)中发送给所述容错决策子系统FTDSS(100)并且在消息(112)中发送给所述监视子系统MSS(120),以及其中
- 所述关键事件处理子系统CEHSS(130)在每个时间片中、优选地在所述时间片结束时在消息(131)中将针对异常运行的一组额定值发送给所述容错决策子系统FTDSS(100),以及其中
- 所述容错决策子系统FTDSS(100)在每个时间片中、优选地在时间片结束时在消息(102)中将针对所述正常运行和所述异常运行的所接收的两组额定值发送给所述监视子系统MSS(120),以及其中
- 所述监视子系统MSS(120)在每个时间片中执行检验:所述监视子系统在所述消息(112)中从所述正常处理子系统NPSS(110)中已获得的针对所述正常运行的该组额定值是否能与由所述MSS(120)基于所述MSS(120)的传感器数据(160)计算的环境模型协调一致,并且保证所述技术装置在正常条件下的安全引导,以及所述监视子系统MSS(120)此外在每个时间片中执行检验:所述监视子系统从所述正常处理子系统NPSS(110)在所述消息(112)中已获得的针对所述正常运行的该组额定值是否与由所述正常处理子系统NPSS(110)经由所述容错决策子系统FTDSS(100)发送给所述监视子系统MSS(120)的相应组的额定值相同,和
- 如果两个检验是肯定的,则将正确性指示符、即正确性指示符-1设置为值TRUE,并且如果两个检验之一是否定的或者两个检验是否定的,则将所述正确性指示符-1设置为值FALSE并且将所述正确性指示符-1或所述正确性指示符-1的值在每个时间片中在消息(121)中发送给所述容错决策子系统FTDSS(100),并且其中
- 所述容错决策子系统FTDSS(100)在每个时间片中如下作出决策:在所述正确性指示符-1具有值TRUE的情况下,针对所述正常运行的该组额定值例如在消息(101)中被转交给所述执行器(150),在所述正确性指示符-1具有值FALSE或由所述FTDSS(100)预期的具有正确性指示符-1的消息(121)未到的情况下,针对所述异常运行的该组额定值例如在消息(101)中被转发给所述执行器(150),其中在这种情况下自该时间点起在后续的时间片中将针对所述异常运行的额定值转发给所述执行器(150),直至所述技术装置达到安全状态为止。
2.根据权利要求1所述的方法,其中所述监视子系统MSS(120)在每个时间片中检验:所述监视子系统从所述关键事件处理子系统CEHSS(130)经由FTDSS(100)尤其是借助于消息(131、102)获得的针对所述异常运行的该组额定值是否能与由所述MSS基于所述MSS的传感器数据计算的环境模型协调一致,并且保证技术装置在所述异常运行中的安全引导,并且如果这是这种情况,则将另一正确性指示符、即正确性指示符-2设置为值TRUE,而如果这不是这种情况,或者如果在时间片中从CEHSS(130)未接收到针对所述异常运行的一组额定值,则将所述正确性指示符-2设置为值FALSE,并且其中所述监视子系统MSS(120)将所述正确性指示符-2随后发送给所述正常处理子系统NPSS(110),并且其中所述正常处理子系统NPSS(110)在每个时间片中检验:从所述监视子系统MSS获得的正确性指示符-2是否采取值FALSE,并且如果这是这种情况,则中止所述技术装置的正常引导并且将所述技术装置引导到安全状态。
3.根据权利要求1或2所述的方法,其中所述正常处理子系统NPSS(110)在每个时间片中除了针对所述正常运行的该组额定值之外,还例如在消息(112)中传送针对所述正常运行的所规划的轨迹,在所述消息中所述正常处理子系统将针对所述正常运行的该组额定值发送给所述监视子系统MSS(120)。
4.根据权利要求1至3中任一项所述的方法,其中所述时间服务器是容错的。
5.根据权利要求1至4中任一项所述的方法,其中所述数据处理子系统(110、120、130)是不安全子系统,也即所述数据处理子系统包含复杂软件,所述复杂软件在非容错硬件上被执行。
6.根据权利要求1至5中任一项所述的方法,其中所述数据处理子系统(110、120、130)包含多样化软件,例如用于计算用于所述执行器(150)的额定值和/或环境模型。
7.根据权利要求1至6中任一项所述的方法,其中所述数据处理子系统(110、120、130)中的每一个均拥有自身的传感器组。
8.根据权利要求1至7中任一项所述的方法,其中所述子系统(100、110、120、130、210)中的每一个均拥有自身的能量供应装置。
9.一种用于控制技术装置、例如技术设备、诸如机器人或车辆、尤其是机动车辆的实时计算机系统、尤其是分布式实时计算机系统,其中所述实时计算机系统
- 包括子系统、尤其是大量子系统,其中例如所述子系统分层次地布置,
- 并且其中所述子系统在全局时间上同步,例如其方式是存在时间服务器(210),所述时间服务器优选地处于所述子系统的层级结构之外,其中所述时间服务器(210)被设立用于周期性地向每个子系统、例如向每个子系统的时钟发送同步消息(211),以便使所述子系统或所述子系统的时钟同步来构建所述全局时间,以及其中
- 在使用所述全局时间的情况下将时间轴划分成一系列同步的时间片,
其特征在于,
- 每个子系统(100、110、120、130)和,如果存着的话,所述时间服务器(210)分别形成自身的故障包容单元,以及其中
- 所述子系统之一是决策子系统、即所谓的容错决策子系统FTDSS(100),所述决策子系统优选地放置在层级结构的最高层面中,其中所述FTDSS(100)被设立用于借助于消息(101)在每个时间片中将额定值转交给执行器(150),其中所述容错决策子系统FTDSS(100)是安全子系统,也即包含简单软件,所述简单软件在容错硬件上被执行,并且其中
- 设置至少或正好三个数据处理子系统,即正常处理子系统NPSS(110)、监视子系统MSS(120)和关键事件处理子系统CEHSS(130),所述数据处理子系统优选地放置在下一较低的层级结构层面上,其中所述至少或正好三个数据处理子系统被设立用于利用传感器(160)检测利用所述传感器(160)观测的周围环境的传感器数据,并且彼此独立地评估所述传感器数据,其中
- 分别在时间片开始时由所述数据处理子系统(110、120、130)观测所述周围环境,并且在该时间片期间利用通过在所述时间片开始时执行的对周围环境的观测获取的传感器数据来执行计算,
- 所述正常处理子系统NPSS(110)被设立用于在每个时间片中、优选地在所述时间片结束时将针对正常运行的一组额定值在消息(111)中发送给所述容错决策子系统FTDSS(100)并且在消息(112)中发送给所述监视子系统MSS(120),以及其中
- 所述关键事件处理子系统CEHSS(130)被设立用于在每个时间片中、优选地在所述时间片结束时在消息(131)中将针对异常运行的一组额定值发送给所述容错决策子系统FTDSS(100),以及其中
- 所述容错决策子系统FTDSS(100)被设立用于在每个时间片中在消息(102)中将针对所述正常运行和所述异常运行的所接收的两组额定值发送给所述监视子系统MSS(120),以及其中
- 所述监视子系统MSS(120)被设立用于在每个时间片中执行检验:所述监视子系统在所述消息(112)中从所述正常处理子系统NPSS(110)中已获得的针对所述正常运行的该组额定值是否能与由所述MSS(120)基于所述MSS(120)的传感器数据(160)计算的环境模型协调一致,并且保证所述技术装置在正常条件下的安全引导,以及所述监视子系统MSS(120)此外被设立用于在每个时间片中执行检验:所述监视子系统从所述正常处理子系统NPSS(110)在所述消息(112)中已获得的针对所述正常运行的该组额定值是否与由所述正常处理子系统NPSS(110)经由所述容错决策子系统FTDSS(100)发送给所述监视子系统MSS(120)的相应组的额定值相同,和
- 如果两个检验是肯定的,则将正确性指示符、即正确性指示符-1设置为值TRUE,并且如果两个检验之一是否定的或者两个检验是否定的,则将所述正确性指示符-1设置为值FALSE并且将所述正确性指示符-1或所述正确性指示符-1的值在每个时间片中在消息(121)中发送给所述容错决策子系统FTDSS(100),并且其中
- 所述容错决策子系统FTDSS(100)在每个时间片中如下作出决策:在所述正确性指示符-1具有值TRUE的情况下,针对所述正常运行的该组额定值例如在消息(101)中被转交给所述执行器(150),在所述正确性指示符-1具有值FALSE或由所述FTDSS(100)预期的具有正确性指示符-1的消息(121)未到的情况下,针对所述异常运行的该组额定值例如在消息(101)中被转发给所述执行器(150),其中在这种情况下自该时间点起在后续的时间片中将针对所述异常运行的额定值转发给所述执行器(150),直至所述技术装置达到安全状态为止。
10.根据权利要求9所述的实时计算机系统,其中所述监视子系统MSS(120)被设立用于在每个时间片中检验:所述监视子系统从所述关键事件处理子系统CEHSS(130)经由FTDSS(100)尤其是借助于消息(131、102)获得的针对所述异常运行的该组额定值是否能与由所述MSS基于所述MSS的传感器数据计算的环境模型协调一致,并且保证在所述异常运行中对进程的安全引导,并且被设立用于如果这是这种情况,则将另一正确性指示符、即正确性指示符-2设置为值TRUE,而如果这不是这种情况,或者如果在时间片中从CEHSS(130)未接收到针对所述异常运行的一组额定值,则将所述正确性指示符-2设置为值FALSE,并且其中所述监视子系统MSS(120)被设立用于将所述正确性指示符-2随后发送给所述正常处理子系统NPSS(110),并且其中所述正常处理子系统NPSS(110)被设立用于在每个时间片中检验:从所述监视子系统MSS获得的正确性指示符-2是否采取值FALSE,并且如果这是这种情况,则中止所述技术装置的正常引导并且将所述技术装置引导到安全状态。
11.根据权利要求9或10所述的实时计算机系统,其中所述正常处理子系统NPSS(110)在每个时间片中除了针对所述正常运行的该组额定值之外,还例如在消息(112)中传送针对所述正常运行的所规划的轨迹,在所述消息中所述正常处理子系统将针对所述正常运行的该组额定值发送给所述监视子系统MSS(120)。
12.根据权利要求9至11中任一项所述的实时计算机系统,其中所述时间服务器是容错的。
13.根据权利要求9至12中任一项所述的实时计算机系统,其中所述数据处理子系统(110、120、130)是不安全子系统,也即所述数据处理子系统包含复杂软件,所述复杂软件在非容错硬件上被执行。
14.根据权利要求9至13中任一项所述的实时计算机系统,其中所述数据处理子系统(110、120、130)包含多样化软件,例如用于计算用于所述执行器(150)的额定值和/或环境模型。
15.根据权利要求9至14中任一项所述的实时计算机系统,其中所述数据处理子系统(110、120、130)中的每一个均拥有自身的传感器组。
16.根据权利要求9至15中任一项所述的实时计算机系统,其中所述子系统(100、110、120、130、210)中的每一个均拥有自身的能量供应装置。
CN202111482757.5A 2020-12-07 2021-12-07 用于控制技术装置的方法 Pending CN114594992A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP20212183.6 2020-12-07
EP20212183.6A EP4009121B1 (de) 2020-12-07 2020-12-07 Verfahren zur steuerung einer technischen vorrichtung

Publications (1)

Publication Number Publication Date
CN114594992A true CN114594992A (zh) 2022-06-07

Family

ID=73740268

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111482757.5A Pending CN114594992A (zh) 2020-12-07 2021-12-07 用于控制技术装置的方法

Country Status (3)

Country Link
US (1) US11687398B2 (zh)
EP (1) EP4009121B1 (zh)
CN (1) CN114594992A (zh)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7689721B2 (en) * 1998-05-29 2010-03-30 Research In Motion Limited System and method for pushing information from a host system to a mobile data communication device
AT519164A3 (de) * 2016-08-16 2018-10-15 Fts Computertechnik Gmbh Fehlertolerantes Verfahren und Vorrichtung zur Steuerung einer autonomen technischen Anlage auf der Basis eines konsolidierten Umweltmodells
AT519165A3 (de) * 2016-08-16 2018-10-15 Fts Computertechnik Gmbh Fehlertolerantes Verfahren und Vorrichtung zur Steuerung einer autonomen technischen Anlage mittels diversitärer Trajektorenplanung
US10114374B2 (en) * 2016-11-16 2018-10-30 Baidu Usa Llc Emergency handling system for an autonomous driving vehicle (ADV)
WO2018220663A1 (ja) * 2017-05-29 2018-12-06 三菱電機株式会社 異常判定装置、異常判定方法及び異常判定プログラム
JP6719433B2 (ja) * 2017-09-22 2020-07-08 株式会社日立製作所 移動体の制御システムおよび移動体の制御方法
EP3557356A1 (de) * 2018-04-16 2019-10-23 TTTech Auto AG Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs

Also Published As

Publication number Publication date
EP4009121B1 (de) 2024-04-03
EP4009121A1 (de) 2022-06-08
US11687398B2 (en) 2023-06-27
US20220179725A1 (en) 2022-06-09

Similar Documents

Publication Publication Date Title
US8260492B2 (en) Method and system for redundancy management of distributed and recoverable digital control system
CN109976141B (zh) Uav传感器信号余度表决系统
US7725215B2 (en) Distributed and recoverable digital control system
US9880911B2 (en) Method for handling faults in a central control device, and control device
US7765427B2 (en) Monitoring system and methods for a distributed and recoverable digital control system
CN110058972A (zh) 用于实现至少一个关键功能的电子计算机及相关电子装置
EP1921546B1 (en) Monitor processor authentication key for critical data
EP3979527A1 (en) System and method of network synchronized time in safety applications
US8374734B2 (en) Method of controlling an aircraft, the method implementing a vote system
US11936767B2 (en) Real-time computer system and method for controlling a system or a vehicle
CN114594992A (zh) 用于控制技术装置的方法
US7328235B2 (en) Multiple processing method
US20230076205A1 (en) Cloud computer for executing at least a partly automated driving function of a motor vehicle, and method for operating a cloud computer
CN114791830B (zh) 用于控制和自动重启技术装置的方法
Obermaisser et al. A fault hypothesis for integrated architectures
Grunske Transformational patterns for the improvement of safety properties in architectural specification
CN115129110A (zh) 用于控制驾驶功能的方法和设备
CN115136517A (zh) 用于执行时间同步的方法和系统
US11755436B2 (en) Computer system installed on board a carrier implementing at least one service critical for the operating safety of the carrier
Zhang Vehicle health monitoring for AVCS malfunction management
Yadav et al. Functional Safety for Braking System through ISO 26262, Operating System Security and DO 254
Jacobson et al. Safety of distributed machine control systems.
Patel et al. Diversity for Safety and Security of Autonomous Vehicles against Accidental and Deliberate Faults
Jakovljevic et al. Protocol-level system health monitoring and redundancy management for integrated vehicle health management
Körner Development of a Monitoring and Switchover System for Redundant Computers in a Fault-Tolerant Navigation System for Space Transportation Applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination