CN116198523A - 用于实施行驶任务的方法和分散式控制单元系统 - Google Patents

用于实施行驶任务的方法和分散式控制单元系统 Download PDF

Info

Publication number
CN116198523A
CN116198523A CN202211511853.2A CN202211511853A CN116198523A CN 116198523 A CN116198523 A CN 116198523A CN 202211511853 A CN202211511853 A CN 202211511853A CN 116198523 A CN116198523 A CN 116198523A
Authority
CN
China
Prior art keywords
receiver
transmitters
state
activity
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211511853.2A
Other languages
English (en)
Inventor
A·布劳
B·席尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN116198523A publication Critical patent/CN116198523A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/02Registering or indicating driving, working, idle, or waiting time only
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Safety Devices In Control Systems (AREA)
  • Traffic Control Systems (AREA)

Abstract

本发明涉及一种用于在分散式控制单元系统中实施行驶任务的方法(100)以及一种分散式控制单元系统。控制单元系统具有构造为发送器的至少两个控制单元和构造为接收器的至少一个控制单元。所述至少两个发送器和所述至少一个接收器分别具有活动状态和运行状态。在第一步骤(105)中,分别通过两个发送器和接收器检验自身活动状态。在第二步骤(110)中,将两个发送器的活动状态分别与接收器的自身活动状态进行比较。在第三步骤(115)中,如果两个发送器和接收器的自身活动状态分别是无错误的,则执行对运行状态的评估。在第四步骤(120)中,如果两个发送器中的一个和接收器分别具有动态运行状态,则实施行驶任务。

Description

用于实施行驶任务的方法和分散式控制单元系统
技术领域
本发明涉及一种用于在分散式控制单元系统中实施行驶任务的方法。此外,本发明还涉及一种分散式控制单元系统,在该控制单元系统中实施所述方法。
发明内容
本发明的任务是,改进用于在分散式控制单元系统中实施行驶任务的方法。此外,本发明的任务是说明一种改进的分散式控制单元系统,在该控制单元系统中实施所述方法。
提出一种用于在分散式控制单元系统中实施行驶任务的方法以及一种分散式控制单元系统。为了执行行驶任务,分散式控制单元系统具有构造为发送器的至少两个控制单元和构造为接收器的至少一个控制单元。此外,构造为发送器的控制单元同样可以彼此间形成发送器和接收器形式的连接。所述至少两个发送器和所述至少一个接收器分别以通信方式彼此连接。所述至少两个发送器和所述至少一个接收器分别具有活动状态和运行状态。所提出的方法包括以下步骤:
在第一步骤中,分别通过所述至少两个发送器和所述至少一个接收器检验自身活动状态;
在第二步骤中,通过所述至少一个接收器将所述至少两个发送器的自身活动状态分别与所述至少一个接收器的自身活动状态进行比较;
如果所述至少两个发送器的自身活动状态和所述至少一个接收器的自身活动状态分别是无错误的,则在第三步骤中通过至少一个接收器执行对运行状态的评估,以及
如果所述至少两个发送器中的一个和所述至少一个接收器分别具有动态运行状态,则在第四步骤中通过所述至少一个接收器实施行驶任务。
驾驶员辅助系统的领域中的增加的复杂性导致车辆中参与的控制单元的数量提高。控制单元在此大多用作车辆中用于行驶任务的实施单元,所述实施单元在此与此相关地执行计算任务或计算、评估、信息的调整/补偿/平衡(Abgleiche)、可信度检验等,即分别是信息源或通信源并且可以用作发送器和/或接收器。随着汽车中控制单元的数量增加,控制单元之间通信接口的数量也增加,同样需要正确地确定信息源的品质和/或状态(有效状态)。作为状态例如可以考虑活动状态和运行状态。在此,活动状态可反映各个控制单元的当前的自身状态估计,并且运行状态可相应于在正在进行的车辆运行中基于获得的其他控制单元的活动状态和/或获得的传感器信息及其解释关于自身状态的改变的动态评估。
原则上可以区分,计算任务、计算、处理步骤等是分布地(分散式地)还是集中地由控制单元系统实施。这两种方案的共同点是,在计算链中的确定的点必须将来自不同源的信息(例如关于各个控制单元的上述状态)汇总。在此,参与的信息源的数量越多,所需的调整计算的数量也越多。在控制单元上要求不同信息源的汇总,所述控制单元构造为接收器并且使用这些分别构造为发送器的控制单元的信息,但是本身不是这些信息的来源,或者是结果的融合、信息的调整,或者是进入的信息与内部信息的可信度测试。
所提出的方法在此有利地适用于分散式控制单元系统,其中,构造为接收器的控制单元需要来自构造为发送器的控制单元的如下信息:发送器本身已检验(也就是发送器的自身活动状态是无错误的),然后接收器可以信任发送器的数据。控制单元例如可以包括控制器和/或传感器单元。在分散式控制单元系统中,必须识别并且传输各个控制单元的有错误的活动状态(和/或偏差,通常是显著的偏差),以便提高系统的可信度和可靠性并且对于涉及车辆中的人员的安全性的行驶任务没有危险。这以有利的方式确保所提出的方法连同所提出的分散式控制单元系统。
在此,上述第一步骤可以意味着,接收器检验自身活动状态,并且至少两个发送器同样分别检验自身活动状态。对于第二步骤,至少两个发送器可分别通过通信连接将经检验的自身活动状态传输给接收器,并且该接收器可随后执行对活动状态的比较。如果至少两个发送器的自身活动状态分别是无错误的,也就是发送器的所有数据可以信任,并且接收器的自身活动状态是无错误的,则接收器评估至少两个发送器和接收器的各个运行状态。因为运行状态可以是不同的并且例如可以表示初始化(静态运行状态)以及已经完全的运行准备就绪(动态运行状态),所以接收器在第三步骤中的评估对于正确地解释结果和状态估计的形式的正确反应和基于这些结果实施反应是必要的。只有在存在动态运行状态的情况下,接收器才在第四步骤中实施行驶任务。因此,在运行中对这种总体动态准备状态存在的明确和正确识别是非常重要的。行驶任务例如可以是距离调节功能/距离调节速度控制器ACC(ACC:Adaptive Cruise Control,自适应巡航控制)或者构造为替代的驾驶员辅助系统,例如构造为自动车道保持辅助LKAS(LKAS:Lane Keeping Assistant,车道保持辅助系统)等等。此外,第四步骤可以包括,求取发送器对于总计算结果的动态值贡献(dynamischer Wertbeitrag)。对于每个发送器例如可以限定用于行驶任务的贡献参量。该贡献可以中央地由控制单元来检查,该控制单元构造为接收器或者ECU,例如可以融合数据或者也可以调整数据。因为实施行驶任务例如可以包括对各个发送器或接收器的数据的融合和/或调整和/或可信度检验。
在另一实施方式中,所述至少两个发送器和/或所述至少一个接收器设计为用于分别在第一步骤中检验自身活动状态时检验在所述至少两个发送器上和/或在所述至少一个接收器上是否存在电压降和/或偏差。如果在所述至少两个发送器上和/或在所述至少一个接收器上存在电压降和/或偏差,则所述至少两个发送器和/或所述至少一个接收器的自身活动状态分别是有错误的。如果在至少两个发送器上和/或在所述至少一个接收器上不存在电压降和/或偏差,则所述至少两个发送器和/或所述至少一个接收器的自身活动状态分别是无错误的。
以这种方式,接收器可以信任所述至少两个发送器的数据,因为所述至少两个发送器向接收器传输如下信息:它们本身已经检验了活动状态,并且相应地也无错误地向接收器传输了该活动状态。计算控制单元的有错误的自身状态(或者例如过大的偏差)同样可能导致计算结果不能被信任,所述计算控制单元接收不同的其他控制器的信息、即例如构造为接收器。例如,自身活动状态可以是无错误的,或者替代于此构造为是正确的、健康的或“在规范内(in spec)”(即处于规范内)或者是可信任的等等。因此,有利地改善了系统的可靠性,并且可以优化在分散地在车辆的控制单元上实施的、全面的行驶任务(例如上述距离调节功能)的情况下的安全性。尤其是可以通过所提出的方式立即识别出控制单元或传感器单元的数据是否有错误,并且采取快速的应对措施、例如发出错误报告,或者不信任有错误的控制单元或传感器单元,或者通过相应的标记降低信任水平。
在另一实施方式中,如果所述至少两个发送器和/或所述至少一个接收器将自身活动状态识别为有错误的,则所述至少一个接收器在第二步骤中分别对于所涉及的发送器和/或对于所涉及的接收器触发错误反应。错误反应以替代反应的形式和/或以错误报告的形式构造。替代反应包括:对于第三步骤,保持不考虑所涉及的发送器和/或所涉及的接收器,并且仅评估所述至少两个发送器中的一个和/或所述至少一个接收器的运行状态,其自身活动状态分别在第一步骤中识别为是无错误的。
有利地,与各个控制单元上的通常仅仅静态的硬件状态估计器相比,可以借助所提出的方法和系统来观察控制单元的状态在动态运行中彼此如何表现,并且此外可以提早采取合适的措施,如错误反应等。因为在运行期间,控制单元的活动状态或运行状态(例如由于低电压、行驶状态、外部的温度影响、线缆的不良接触、短路等等)与其他控制单元的活动或运行状态导致不同的组合,其必须被考虑用于在具有不同源的分布式/分散式控制单元系统中的状态估计。因此,考虑是重要的,由此求取计算结果的接收器上的计算结果也是有效的,因为活动状态、即自身状态是正确的(即是功能正常的或“健康的”)。在触发错误反应之前,例如可以首先执行该信号的去抖(Entprellung)和可能的反应,即当前条件的分类:例如没有信号,或者信号或该信息比偏差和/或存在的电压降明显更晚地才被传输给接收器,等等。
如果作为发送器的摄像机具有有错误的活动状态(例如由于存在的色差)而作为发送器的另一传感器包括无错误的活动状态,则例如可以立即执行替代反应。然后,接收器可以在对所述单元的运行状态进行评估之前例如作为替代反应信任所述另一传感器(其所传输的活动状态是无错误的),而不是信任摄像机的数据。运行状态的评估于是可以基于接收器以及另一传感器的运行状态。
在另一实施方式中,所述至少两个发送器和/或所述至少一个接收器的运行状态分别相应于以下状态中的至少一个和/或组合:可操作(Operational)、不可操作(Non-operational)、初始化、延迟、预处理、关停、动态、静态。动态运行状态尤其相应于状态“动态”。可以设想其它的动态运行状态,例如“可操作”等。基于对各个运行状态的考虑,可以在正在进行的运行中正确地解释对数据或信息的进一步处理,并且因此改善安全性、可靠性和可信性。此外,所提出的方法可以简单地但一致地在接收器和发送器控制器上实现。
在另一实施方式中,在第一和第二步骤中周期性地重复对自身活动状态的检验和比较。对自身活动状态的检验和比较的周期性重复例如可以实现为持续或连续的监测。在此,例如可以区分以下情况:所有控制单元都不具有有错误的活动状态,或者一个或多个控制单元、例如发送器具有有错误的活动状态。如果在连续的监测中已经求得自身活动状态是无错误的,也就是说例如对于数据的进一步处理是“在规范内(in spec)”的,则在下一个步骤中求取各个控制单元(关于运行状态)彼此处于哪种状态组合中。该方法有利地允许计算的正确解释,能够快速、简单并且成本有利地实施并且因此提高车辆中的安全性。此外,基于连续的监测或者各个步骤的上述周期性的重复可以提供持久的信任基础。
在另一实施方式中,第一和第二步骤中对自身活动状态的检验和比较可以借助于矩阵来实现。该构型进一步简化了所提出的方法的实施,为控制单元的各个状态组合提供了可能的场景的更好的清晰性并且提供了更快的反应可能性的优点。
此外,根据本发明提出一种计算机程序产品以及一种机器可读的存储介质。计算机程序产品包括指令,当计算机程序由计算机实施时,这些指令促使计算机实施所提出的方法。在机器可读的存储介质上存储了所提出的计算机程序产品。有利地,以这种方式能够借助于常规方法实现所提出的方法的不复杂的保险以及实施。因此不产生附加的耗费。
本发明的前述的有利构造和改进方案(除了例如在明确的依赖性或不可兼用的替代方案的情况下)可以单独地或也可以相互任意组合地使用。
附图说明
本发明的上面描述的特性、特征和优点以及如何实现这些特性、特征和优点的方式和方法结合实施例的下面的描述变得更清楚并且更明白地可理解,所述实施例结合示意性附图来详细阐述。附图示出:
图1根据第一实施方式的用于实施行驶任务的所提出的方法的示意图;
图2图1中所提出的方法的另一示意图;
图3根据第二实施方式的用于实施行驶任务的所提出的方法的示意图;
图4根据第三实施方式的用于实施行驶任务的所提出的方法的示意图;
图5a根据第一实施方式的分散式控制单元系统的示意图;
图5b用于图1至4中所提出的方法和图5a中的分散式控制单元系统的矩阵的实现的示意图;
图6根据第二实施方式的分散式控制单元系统的示意图;和
图7计算机和机器可读存储介质的示意图。
应当注意,附图仅仅是示意性的并且不是按比例绘制的。因此,为了便于理解,附图中示出的部件和元件可能被夸大或缩小。此外还要指出,在附图中的附图标记在涉及相同构造的元件和/或部件时不变地选择。
具体实施方式
图1示出根据第一实施方式的用于在分散式控制单元系统400中实施行驶任务的方法100的示意图。分散式控制单元系统400例如可以具有如图5a中的简化结构。此外,分散式控制单元系统500还可以具有如图6所示的更复杂的结构。为了便于阐述,图1中的方法100关于图5a中的分散式控制单元系统400的结构进行阐述,但是并不限于此。为了实施行驶任务,例如距离调节功能ACC或用于车辆中的驾驶员辅助系统的替代的行驶任务,图5a中的分散式控制单元系统400具有构造为发送器405、410的至少两个控制单元和构造为接收器420的至少一个控制单元。还可设想,发送器405、410可以同时是接收器,并且接收器420可以同时是发送器。控制单元例如可以以控制器和/或传感器单元的形式构成。至少两个发送器405、410和至少一个接收器420分别以通信方式彼此连接。通信连接由箭头415标明并且在此仅单向地示出,然而也可以以替代的方式双向地实施。至少两个发送器405、410和至少一个接收器420分别具有活动状态和运行状态。
活动状态例如可以反映各个控制单元的当前的自身状态估计,并且运行状态可以分别相应于在正在进行的车辆运行中基于其他控制单元的所获得的活动状态和/或所获得的传感器信息和其解释对自身状态的变化的动态评估。可能的运行状态的示例尤其是:可操作、不可操作、初始化、延迟、预处理、关停、动态和静态。动态运行状态例如尤其可以相应于状态“动态”。可以设想其它的动态运行状态,例如“可操作”等。至少两个发送器405、410和/或接收器420可以分别具有所述运行状态中的一个和/或不同所述运行状态的组合。尤其在不同运行状态的组合中需要执行评估,以便能够正确地解释数据并且导出适当的措施、例如产生等待指令,如果发送器405首先具有运行状态“初始化”(即显然还没有准备好数据交换或诸如此类)并且接收器420已经包括状态“动态”、即动态运行状态(基于该运行状态能够实施行驶任务)。
图1中的方法100的第一步骤105包括分别通过至少两个发送器405、410和至少一个接收器420检验自身活动状态。在此,上述第一步骤105可以意味着,接收器420检验自身活动状态,并且至少两个发送器405、410同样分别检验自身活动状态。在第二步骤110中,将至少两个发送器405、410的自身活动状态分别与至少一个接收器420的自身活动状态进行比较。对于第二步骤,至少两个发送器405、410可以分别通过通信连接415将经检验的自身活动状态传输给接收器420,并且然后该接收器可以在第二步骤110中执行活动状态的比较。如果至少两个发送器405、410的自身活动状态分别是无错误的,也就是说发送器405、410的所有数据可以信任,并且接收器420的自身活动状态是无错误的,则接收器420在第三步骤115中评估至少两个发送器405、410和接收器420的各个运行状态。
因为运行状态可能是不同的(如上所述)并且例如可能表示初始化(静态运行状态)以及已经完全的运行准备(动态运行状态),所以通过接收器420的评估对于正确地解释结果是必要的。只有在存在动态运行状态的情况下,接收器420才在第四步骤120中执行行驶任务。为此,通常至少两个发送器405、410中的一个(或者最好是两个发送器405、410)以及接收器420分别具有动态运行状态。第四步骤120还可以包括求取发送器405、410对总计算结果的动态值贡献。例如可以为每个发送器405、410限定用于行驶任务的贡献参量。该贡献可以中央地由接收器420检验,例如一旦可以融合数据,或者也可以调整数据。因为行驶任务的实施可以例如包括各个发送器405、410或接收器420的数据的融合和/或调整和/或可信度检验。
图2示出图1中所提出的方法100的另一示意图。例如,第一步骤105可以包括分支125,借助于该分支在检验自身活动状态时检验在至少两个发送器405、410上和/或在至少一个接收器420上是否探测到电压降和/或偏差。因此,对自身活动状态的检验包括对发送器405、410上和/或接收器420上的当前电压降和/或当前偏差的检验。例如,借助于分支125的检验的结果130在分支125的n支路(“否”支路)中表示。结果130包括:如果在发送器405、410和/或接收器420上探测到没有电压降和/或偏差,则发送器405、410和/或接收器420的自身活动状态分别是无错误的。用于分支125的y支路(“是”支路)的另外的结果135例如包括:在发送器405、410上和/或在接收器420上分别存在电压降和/或偏差,并且相关的发送器405、410和/或相关的接收器420的自身活动状态因此分别是有错误的。根据是否由驾驶员激活点火或例如门是否打开等等而定,发送器405、410和接收器420可以作为控制器例如分别具有不同的电流供给/电压供给。在此,外部环境影响(和/或其他影响),例如线缆由于水侵入到车辆下侧而形成的不良接触(Wackelkontakt)、由于车辆上的侵害(Marderbefalls)而切断的线缆导致短路,导致发送器405、410在时间点t=0还求得自身的无错误的活动状态并且已经传输给接收器420,在时间点t=1(其比第一次提到的时间点更晚)不再将信号传输给接收器420,因为例如存在断路、电压降等。偏差也可能意味着不再传输信号。因此,接收器420可以快速地识别出信号缺失或者自身活动状态是有错误的并且例如不能信任所涉及的发送器405、410用于进一步的处理步骤。
图3示出根据第二实施方式300的用于实施行驶任务的所提出的方法的示意图。各个步骤305、310、315和320在此可以类似于图1中的步骤105、110、115和120或者图2中的步骤105构造,因此省去重复并且参考上面的阐述。方法300例如包括第一和第二步骤305、310、即检验和比较自身活动状态的周期性重复313。所述步骤的周期性重复313可以例如实施为所谓的连续监测,也就是说,至少两个发送器405、410和/或接收器420分别在几ms(例如5ms)的时间窗内重新检查自身活动状态,因此有规律地执行对存在的电压降和/或存在的偏差的检查,并且接收器420同样有规律地比较发送器405、410的所传输的活动状态和自身活动状态,并且然后可以相应于该比较实施另外的步骤315、320。
图4示出根据第三实施方式200的用于实施行驶任务的所提出的方法的示意图。在此,第一步骤205、另外的分支225、结果230和另外的结果235相应于图2中的第一步骤105、分支125、结果130和另外的结果135。因此,在这方面参考关于图2的阐述。与图2不同,图4中的方法200可以包括用于另外的分支225的y支路的错误反应240。错误反应240可以以错误报告250的形式和/或以替代反应245的形式构造。尤其是,当发送器405、410和/或接收器420的自身活动状态识别为有错误时,可以使用错误反应240。可以设想,接收器420向所涉及的发送器405、410发出错误报告250和/或实施替代反应245,其例如可以意味着,对于第三步骤、即评估运行状态的执行保持不考虑所涉及的发送器405、410,并且取而代之地仅考虑另一发送器405、410和接收器420的运行状态,其自身活动状态识别为是无错误的,其活动状态例如同样构造为无错误的或者“健康的”。
图5b示出用于图1至4中所提出的方法100、200、300和图5a中的分散式控制单元系统的矩阵403的实现的示意图。尤其是,在作为连续监测的第一和第二步骤105、110、205、210、305、310中对自身活动状态的检验和比较可以借助于矩阵403来实现。此外,可以设想借助于矩阵403来实现对运行状态的评估。矩阵403在列中分别具有用于接收器420的条目(
Figure BDA0003969443230000091
),并且在第一行中具有例如用于第一发送器405的条目并且在第二行中具有用于第二发送器410的条目。例如,在用于第一发送器405和接收器420的第一条目中,第一发送器405和接收器420分别具有第一状态425。该第一状态425能够根据矩阵的实现而定例如分别相应于在所提到的方法100、200、300的另外的步骤的过程中的有错误的活动状态或者静态运行状态。例如,在用于第一发送器405和接收器420的第二条目中,可以存在第二状态430和第一状态425的组合。然后,第二状态430例如可以相应于无错误的活动状态或动态运行状态并且第一状态425类似于上面的阐述构造。例如,在用于第二发送器410和接收器420的第一条目中,可以存在第一状态425和第二状态430的组合。它们可以如所述那样构造。例如,在用于第二发送器410和接收器420的第二条目中,可以存在第二状态430和第二状态430的组合。如果矩阵403作为状态的实现包括运行状态,那么所述组合尤其可以导致,分别存在动态运行状态并且接收器420因此可以实施行驶任务。
图6示出了根据第二实施方式500的分散式控制单元系统的示意图。在分散式控制单元系统500中,同样可以应用图1至4中的方法100、200、300以及图5b中的矩阵403。控制单元系统500例如具有多个控制单元,所述控制单元分别构造为发送器和接收器。第一接收器505、第二接收器510以及第n接收器520(其间可布置有另外的接收器515)分别通信连接。例如,所述接收器505、510、515、520能够分别构造为中央控制单元或中央控制器(中央计算机或中央计算单元或中央ECU)并且从不同的构造为发送器的控制单元获得数据,以便实施行驶任务。所述接收器505、510、515、520的数量可以为了执行行驶任务从1到n变化。
第一发送器525例如能够是制动单元(“制动器”或“制动功能”),第二发送器530能够是转向单元(“转向装置”或“转向功能”),并且第三发送器535能够是驱动单元(“驱动器”或“驱动功能”)。第三发送器535作为驱动单元例如具有第一至第三传感器单元540、545、550,第二发送器530作为转向单元例如具有第四至第六传感器单元555、560、565,并且第一发送器525作为制动单元例如具有第七至第九传感器单元570、575、580。各个传感器单元可以分别是用于驱动单元、转向单元和制动单元的典型的传感器单元或传感器。此外,第一至第三发送器525、530、535能够针对所提到的传感器单元分别构造为接收器,这借助于箭头标出,所述箭头表示信息交互或者相应于通信连接。在此,除了所示的单向通信之外,双向通信也是可能的。这适用于图6中所示出的部件之间的所有交互作用。
控制单元系统500还包括第十至第十四传感器单元581、583、585、587、589,其中,例如第十传感器单元581可以构造为超声传感器单元或超声传感器,第十一传感器单元583可以构造为例如视频传感器单元或视频传感器或摄像机等,其可以拍摄视频序列,第十二传感器单元585可以构造为例如包括基于云的信息的基于云的传感器单元(或基于云的信息源),第十三传感器单元587可以构造为例如激光雷达传感器单元或激光雷达传感器,并且第十四传感器单元589可以构造为例如雷达传感器单元或雷达传感器。所述第十至第十四传感器单元581、583、585、587、589例如可以分别作为发送器向第一接收器505传递信息,例如上述的自身活动状态等。根据上述方法步骤,第一至第n接收器505、510、515、520分别检验自身活动状态并且相互交换这些信息。
同时,例如第十一传感器单元581、第十二传感器单元583和第十四传感器单元589也可以分别是用于第七传感器单元570的信息(例如用于作为相应的发送器的第十一传感器单元583和第十四传感器单元589)以及用于第三传感器单元550的信息(例如用于作为发送器的第十二传感器单元583)的接收器。例如,由于在朝向自主车辆的途径上增加的ADAS(ADAS:Advanced Driver Assistance System,高级驾驶辅助系统)水平或ADAS等级的冗余,多个传感器单元对于控制单元系统500来说是必要的。对于每个通信交互或信息交互,可以首先分别检验自身活动状态并且进行比较,只要自身活动状态分别是无错误的,则继续进行计算,即,对各个运行状态、尤其是对不同运行状态的各个组合进行评估,如上所述。
图7示出了计算机600和机器可读存储介质605的示意图。计算机600例如也可以如上所述构造为用于实施行驶任务的中央计算单元ECU。机器可读存储介质605可以例如如所示出地构造为外部存储介质,或者替代地集成在计算机600本身中。计算机程序产品610存储在机器可读存储介质605上。计算机程序产品605包括指令,所述指令在通过计算机(或用于执行行驶任务的中央计算单元)实施计算机程序605时促使所述计算机实施用于在例如在车辆中使用的分散式控制单元系统400、500中实施行驶任务的所提出的方法100、200、300。
所提出的方法100、200、300的实现例如可以借助于以下伪码实现,所述伪码包括用于具有两个不同反应可能性的场景的语句(Auszüge),所述语句可以借助于任意的编程语言来实现。其他方案也是可以考虑的。优选地,编程可以以C或C++进行。
场景1
接收器==活动状态无错误(通过连续监测“activity(活动)”/“in spec(在规范内)”)&&
发送器1-n==活动状态无错误/“in spec”(连续监测)&&
发送器1-(n-1)==活动状态无错误/“in spec”(连续监测)
案例1::
接收器==活动状态无错误(activity/in spec)&&运行状态“动态”&&
发送器1==活动状态无错误(activity/in spec)&&运行状态“初始化”
结果::
发送器1等待运行,系统可以操作,但内容尚未完全可用。
(Sender 1wait to proceed,system can be operational,but content notyet fully available)
案例2::
接收器==活动状态无错误(activity/in spec)&&运行状态“动态”&&
发送器1==活动状态无错误(activity/in spec)&&运行状态“动态”
结果::
发送器1可以运行,系统可操作并且“健康”。
(Sender 1can proceed,system is operational and“healthy”)
场景2
接收器==活动状态无错误(通过连续监测“activity/in spec”)&&
发送器1-n==活动状态无错误(“activity/in spec”连续监测)&&
发送器1-(n-1)==活动状态有错误/(“not activ(不活动)”/“not in spec(不在规范内)”连续监测)
案例1::
接收器==活动状态无错误(activity/in spec)&&运行状态“动态”&&
发送器1==活动状态有错误/(“not activ”/“not in spec”)&&运行状态“动态”
结果::
发送器1去抖和错误反应(替代反应和/或错误报告)
伪码例如可以扩展到在图5b中的矩阵403中示出的所有组合,并且根据行驶任务分布到任意多个控制单元n上。在此,在第二场景中的去抖可以相应于抖动(Jitter)或阶跃。在此,不是每个阶跃都作为错误/偏差被转发用于发出错误反应。例如,为此可以考虑信号的值域,其中,可以进行作为发送周期时间的倍数的评价(Wertung),以便识别当前的错误并且触发错误反应。
换言之,伪码可以如下表示为:如果在连续监测中(分别通过两个发送器和接收器)为数据的进一步处理求得无错误的活动状态,则可以在动态运行中进一步求取控制单元、即两个发送器和接收器彼此处于何种动态状态组合中。以这种方式可以正确地解释计算的进一步处理。在动态运行期间,重要的是,活动状态估计以动态特定状态(上述运行状态)充分扩展。
检查必须能够区分在运行状态之间存在不同的组合。由于在车辆中用于控制单元系统的不同的电接口,发送器可以具有运行状态=“初始化”,而接收器已经可以具有运行状态=“动态”或“可操作”。该组合必然导致在接收器或执行控制单元上的“等待”操作,因为虽然不存在有错误的活动状态并且因此不能信任发送器的数据,但是由于发送器的运行状态“初始化”而在功能上还不能实施行驶任务。
然后,针对结果的处理,可以求取发送器对总计算结果的动态值贡献。为每个发送器例如可以限定用于动态行驶任务的贡献参量。中央控制单元例如作为接收器505、510、515、520在中央检查该贡献,一旦例如融合数据,或者也可以调整数据(如果分别无错误地识别了活动状态并且进行了适合的动态状态估计,即发送器和接收器处于动态运行状态)。
本发明通过优选的实施例详细描述。代替所述实施例,可以考虑其他实施例,这些实施例可以具有所述特征的其他修改或组合。因此,本发明不受所公开的实施例的限制,因为本领域技术人员可以从中得出其它变型而不脱离本发明的范围。

Claims (11)

1.一种用于在分散式控制单元系统(400、500)中实施行驶任务的方法(100、200、300),其中,为了实施行驶任务,所述分散式控制单元系统(400、500)具有造为发送器(405、410、525、530、535)的至少两个控制单元和构造为接收器(420、505、510、515、520)的至少一个控制单元,
其中,所述至少两个发送器(405、410、525、530、535)和所述至少一个接收器(420、505、510、515、520)分别具有活动状态和运行状态,其中,所述方法(100、200、300)包括以下步骤:
在第一步骤(105、205、305)中分别通过所述至少两个发送器(405、410、525、530、535)和所述至少一个接收器(420、505、510、515、520)检验自身活动状态;
在第二步骤(110、210、310)中,分别将所述至少两个发送器(405、410、525、530、535)的自身活动状态与所述至少一个接收器(420、505、510、515、520)的自身活动状态进行比较;
如果所述至少两个发送器(405、410、525、530、535)的自身活动状态和所述至少一个接收器(420、505、510、515、520)的自身活动状态分别是无错误的,则在第三步骤(115、315)中执行对运行状态的评估;以及
如果所述至少两个发送器(405、410、525、530、535)中的一个和所述至少一个接收器(420、505、510、515、520)分别具有动态运行状态,则在第四步骤(120、315)中实施行驶任务。
2.根据权利要求1所述的方法(100,200),
其中,在所述第一步骤(105、205)中检验自身活动状态时,分别检验在所述至少两个发送器(405、410、525、530、535)上和/或在所述至少一个接收器(420、505、510、515、520)上是否探测到电压降和/或偏差,
其中,如果在所述至少两个发送器(405、410、525、530、535)上和/或在所述至少一个接收器(420、505、510、515、520)上探测到电压降和/或偏差,则所述至少两个发送器(405、410、525、530、535)和/或所述至少一个接收器(420、505、510、515、520)的自身活动状态分别是有错误的,并且
其中,如果在所述至少两个发送器(405、410、525、530、535)上和/或在所述至少一个接收器(420、505、510、515、520)上探测到没有电压降和/或偏差,则所述至少两个发送器(405、410、525、530、535)和/或所述至少一个接收器(420、505、510、515、520)的自身活动状态分别是无错误的。
3.根据权利要求2所述的方法(100,200),
其中,如果所述至少两个发送器(405、410、525、530、535)和/或所述至少一个接收器(420、505、510、515、520)的自身活动状态识别为是有错误的,则在所述第二步骤(110、210)中分别针对所涉及的发送器(405、410、525、530、535)和/或针对所涉及的接收器(420、505、510、515、520)触发错误反应(240),
其中,所述错误反应(240)以替代反应(245)的形式和/或以错误报告(250)的形式构造,
其中,替代反应(245)包括:对于所述第三步骤(115),保持不考虑所涉及的发送器(405、410、525、530、535)和/或所涉及的接收器(420、505、510、515、520),并且仅评估所述至少两个发送器(405、410、525、530、535)中的一个和/或所述至少一个接收器(420、505、510、515、520)的运行状态,该发送器和/或该接收器的自身活动状态分别在所述第一步骤(105、205)中识别为是无错误的。
4.根据权利要求1至3中任一项所述的方法(100、200、300),
其中,所述至少两个发送器和/或所述至少一个接收器的运行状态分别相应于以下状态中的至少一个和/或组合:可操作、不可操作、初始化、延迟、预处理、关停、动态、静态,以及
其中,动态运行状态尤其相应于状态“动态”。
5.根据权利要求1至4中任一项所述的方法(100、200、300),
其中,在所述第一步骤和所述第二步骤(305、310)中周期性地重复(313)对自身活动状态的检验和比较。
6.根据权利要求5所述的方法(100、200、300),
其中,在所述第一步骤和所述第二步骤(305、310)中对自身活动状态的检验和比较能够借助于矩阵(403)来实现。
7.一种分散式控制单元系统(400、500),
其中,为了实施行驶任务,所述分散式控制单元系统(400、500)具有造为发送器(405、410、525、530、535)的至少两个控制单元和构造为接收器(420、505、510、515、520)的至少一个控制单元,
其中,所述至少两个发送器(405、410、525、530、535)和所述至少一个接收器(420、505、510、515、520)分别以通信方式彼此连接,
其中,所述至少两个发送器(405、410、525、530、535)和所述至少一个接收器(420、505、510、515、520)分别具有活动状态和运行状态,
其中,所述至少两个发送器(405、410、525、530、535)和所述至少一个接收器(420、505、510、515、520)设计为用于分别检验自身活动状态,
其中,所述至少一个接收器(420、505、510、515、520)设计为用于分别将所述至少一个接收器(420、505、510、515、520)的自身活动状态与所述至少两个发送器(405、410、525、530、535)的自身活动状态进行比较,
其中,所述至少一个接收器(420、505、510、515、520)设计为用于,如果所述至少两个发送器(405、410、525、530、535)的自身活动状态和所述至少一个接收器(420、505、510、515、520)的自身活动状态分别是无错误的,则执行对运行状态的评估,并且
其中,所述至少一个接收器(420、505、510、515、520)设计为用于,如果所述至少两个发送器(405、410、525、530、535)中的一个和所述至少一个接收器(420、505、510、515、520)分别具有动态运行状态,则执行行驶任务。
8.根据权利要求7所述的分散式控制单元系统(400、500),
其中,所述至少两个发送器(405、410、525、530、535)和/或所述至少一个接收器(420、505、510、515、520)设计为用于,分别在检验自身活动状态时检查在所述至少两个发送器(405、410、525、530、535)上和/或在所述至少一个接收器(420、505、510、515、520)上是否存在电压降和/或偏差,
其中,如果在所述至少两个发送器(405、410、525、530、535)上和/或在所述至少一个接收器(420、505、510、515、520)上存在电压降和/或偏差,则所述至少两个发送器(405、410、525、530、535)和/或所述至少一个接收器(420、505、510、515、520)的自身活动状态分别是有错误的,并且
其中,如果在所述至少两个发送器(405、410、525、530、535)上和/或在所述至少一个接收器(420、505、510、515、520)上不存在电压降和/或偏差,则所述至少两个发送器(405、410、525、530、535)和/或所述至少一个接收器(420、505、510、515、520)的自身活动状态分别是无错误的。
9.根据权利要求8所述的分散式控制单元系统,
其中,如果所述至少两个发送器(405、410、525、530、535)和/或所述至少一个接收器(420、505、510、515、520)分别将自身活动状态识别为是有错误的,则所述至少一个接收器(420、505、510、515、520)分别针对所涉及的发送器(405、410、525、530、535)和/或针对所涉及的接收器(420、505、510、515、520)触发错误反应,
其中,所述错误反应以替代反应的形式和/或以错误报告的形式构造,
其中,替代反应包括:保持不考虑所涉及的发送器(405、410、525、530、535)和/或所涉及的接收器(420、505、510、515、520),并且仅评估所述至少两个发送器(405、410、525、530、535)中的一个和/或所述至少一个接收器(420、505、510、515、520)的运行状态,该发送器和/或该接收器的自身活动状态分别识别为是无错误的。
10.一种计算机程序产品(610),其包括指令,所述指令在由计算机(600)实施所述计算机程序产品(610)时促使所述计算机程序产品(610)实施根据权利要求1至6中任一项所述的方法(100、200、300)。
11.一种机器可读的存储介质(605),在所述存储介质上存储有根据权利要求10所述的计算机程序产品(610)。
CN202211511853.2A 2021-11-30 2022-11-29 用于实施行驶任务的方法和分散式控制单元系统 Pending CN116198523A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021213472.6 2021-11-30
DE102021213472.6A DE102021213472A1 (de) 2021-11-30 2021-11-30 Verfahren zur Ausführung einer Fahraufgabe in einem dezentralen Steuereinheitensystem und dezentrales Steuereinheitensystem

Publications (1)

Publication Number Publication Date
CN116198523A true CN116198523A (zh) 2023-06-02

Family

ID=86317363

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211511853.2A Pending CN116198523A (zh) 2021-11-30 2022-11-29 用于实施行驶任务的方法和分散式控制单元系统

Country Status (3)

Country Link
US (1) US20230166747A1 (zh)
CN (1) CN116198523A (zh)
DE (1) DE102021213472A1 (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0890110B1 (de) 1996-03-26 2001-09-19 DaimlerChrysler AG Verfahren zum prüfen der massekontaktierung von teilen eines vernetzten systems
DE10223368A1 (de) 2002-05-25 2003-12-04 Bosch Gmbh Robert Verfahren zur Verarbeitung von Zuständen eines Steuergeräts
DE10332194B4 (de) 2003-07-15 2012-03-29 Volkswagen Ag Verfahren und Vorrichtung zur Fehlerlokalisierung bei vernetzten Steuergeräten

Also Published As

Publication number Publication date
US20230166747A1 (en) 2023-06-01
DE102021213472A1 (de) 2023-06-01

Similar Documents

Publication Publication Date Title
US10268557B2 (en) Network monitoring device, network system, and computer program product
US10901862B2 (en) High-reliability non-volatile memory using a voting mechanism
US10836402B2 (en) Determination of reliability of vehicle control commands via redundancy
US20230339481A1 (en) Determination of reliability of vehicle control commands using a voting mechanism
US20210146939A1 (en) Device and method for controlling a vehicle module
CN110785742A (zh) 用以依赖于状态信号驱控车辆模块的设备和方法
US20210070321A1 (en) Abnormality diagnosis system and abnormality diagnosis method
US10384689B2 (en) Method for operating a control unit
US11500382B2 (en) Configuration of a control system for an at least partially autonomous transportation vehicle
US11281547B2 (en) Redundant processor architecture
US11650585B1 (en) Fault tolerant autonomous vehicle platform
US11893412B2 (en) Device initialization by an access-restricted virtual machine
Heckemann et al. Safe automotive software
US20180321669A1 (en) Method for operating a control unit of a motor vehicle
KR101601074B1 (ko) Ecu 업데이트 장치, ecu 업데이트 방법 및 이를 이용한 ecu 업데이트 네트워크
CN116198523A (zh) 用于实施行驶任务的方法和分散式控制单元系统
US12047398B2 (en) Security reporting via message tagging
KR102498328B1 (ko) 차량 상태 기반 모델을 기초로 차량의 상태전이를 학습시키는 방법 및 장치
US8326553B2 (en) Fault detection in a system under control
US20160011932A1 (en) Method for Monitoring Software in a Road Vehicle
US10836400B2 (en) Implementing safety measures in applications
US20230382419A1 (en) Protocol-level verification of aberrant driving decisions
KR20220062168A (ko) Adas 및 자율주행 차량을 위한 제어 시스템 및 방법
US20240059301A1 (en) Device and method for computing driving parameters
US20230171293A1 (en) Architecture for monitoring, analyzing, and reacting to safety and cybersecurity events

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication