CN116635832A - 用于数据处理的数据处理网络 - Google Patents
用于数据处理的数据处理网络 Download PDFInfo
- Publication number
- CN116635832A CN116635832A CN202180087011.6A CN202180087011A CN116635832A CN 116635832 A CN116635832 A CN 116635832A CN 202180087011 A CN202180087011 A CN 202180087011A CN 116635832 A CN116635832 A CN 116635832A
- Authority
- CN
- China
- Prior art keywords
- data processing
- module
- control parameters
- data
- processing module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000001360 synchronised effect Effects 0.000 claims abstract description 25
- 238000000034 method Methods 0.000 claims description 13
- 238000012163 sequencing technique Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 description 25
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 239000003637 basic solution Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010191 image analysis Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000004148 unit process Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/023—Avoiding failures by using redundant parts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/82—Solving problems relating to consistency
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/83—Indexing scheme relating to error detection, to error correction, and to monitoring the solution involving signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Hardware Redundancy (AREA)
Abstract
一种数据处理网络(1),所述数据处理网络用于冗余地且以经验证的方式执行多个彼此相继的数据处理步骤(2),所述数据处理步骤分别用于由输入数据(3)生成输出数据(4),其中,第一数据处理步骤(2)的输出数据(3)至少部分地同时是另外的数据处理步骤(2)的输入数据(3),其中,为了执行每个数据处理步骤(2),设置有至少一个第一数据处理模块(5)和第二数据处理模块(6),其中,所述数据处理网络(1)此外具有比较器模块(7),其中,所述第一数据处理模块(5)和所述第二数据处理模块(6)设立用于,向所述比较器模块(7)传送各个数据处理步骤(2)的控制参数(8),并且所述比较器模块(7)设立用于,执行由所述第一数据处理模块(5)和所述第二数据处理模块(6)传送的彼此相应的控制参数(8)的至少一个比较,并且基于所述比较提供至少一个经同步的控制参数(9),所述经同步的控制参数包含关于所执行的至少一个数据处理步骤(2)的控制信息。
Description
背景技术
用于驾驶员辅助或者自动化驾驶的系统由许多单个的软件单元组成,所述软件单元通常在数据流方面可以借助图表来描述。所述软件单元(通常也被称为可运行线程、节点或者数据处理部件)的突出之处在于,处理输入数据的集合并且由此产生输出数据的集合。
在先前提到的系统中,在由数据处理部件组成的图表中对传感器的输入数据进行处理,该图表在静态视图中将数据流可视化,所述传感器例如是雷达或者视频。
不同的软件单元有规律地形成复杂的数据处理网络,借助该数据处理网络来处理传感器数据,以便基于传感器数据执行行动。这样的行动可以例如是在车辆的自主的驾驶操作的框架中的控制任务。在数据处理网络中的数据处理通常包括多个彼此关联(voneinander aufbauend)的数据处理步骤或者数据处理任务,所述数据处理步骤或者数据处理任务借助数据处理部件来实施。
作为对驾驶员辅助系统和(高度)自动化驾驶(HAD)的功能安全性的要求的一部分,用于系统性的和零星发生的硬件故障的概率不得大于预给定的频率,该频率与风险和系统功能的能够预期的损坏有关。由于新开发的驾驶员辅助系统有规律在大量车辆中彼此并行地使用,并且能够在整个相应配备的车队方面评估风险,因此,出现硬件故障的可接受的概率是特别低的。
与如今的高端处理器相比,常见的、可用的、符合该安全级别的微控制器的计算能力是非常有限的。所述微控制器的最大节拍为大约10%(300MHz对3GHz),并且缺少内部的优化器,所述优化器在现成的微处理器(μP)中是标准并且对其性能起着重要作用。
由此出发,应描述一种新型的用于构造用于机动车的数据处理网络的方案,该方案处理(adressieren)用于这种类型的安全级别的常见的可用的微控制器的有限的计算能力的解决方案。
发明内容
在此描述一种数据处理网络,该数据处理网络用于冗余地且以经验证的方式执行多个彼此相继的数据处理步骤,所述数据处理步骤分别用于由输入数据生成输出数据,其中,第一数据处理步骤的输出数据至少部分地同时是另外的数据处理步骤的输入数据,其中,为了执行每个数据处理步骤,设置有至少一个第一数据处理模块和第二数据处理模块,其中,该数据处理网络此外具有比较器模块,其中,第一数据处理模块和第二数据处理模块设立用于,向比较器模块传送各个数据处理步骤的控制参数,并且比较器模块设立用于,执行由第一数据处理模块和第二数据处理模块传送的彼此相应的控制参数的至少一个比较,并且基于该比较提供至少一个经同步的控制参数,该经同步的控制参数包含关于所执行的至少一个数据处理步骤的控制信息。
在所描述的数据处理网络中能够实现,基于硬件实现软件锁步,该硬件本身不满足相应的要求(例如ASIL-D相符性)。这尤其对于如下数据处理网络是成功的:所述数据处理网络的数据处理要求高计算能力,对于所述高计算能力,通常需要具有非常高效率的硬件。
基本方案是,为第一数据处理模块和第二数据处理模块分别使用彼此分开的硬件(彼此分开的核),所述硬件具有高计算能力并且均执行相同的计算。通过比较器模块进行所述计算的比较,并且只有在计算结果相同的情况下,才将该计算结果用于数据处理网络中的另外的数据处理。根据控制参数由数据处理模块监控该相同性,为了控制数据处理的控制流,在数据处理网络中使用经同步的控制参数。
如下点通常也被称为同步点:在所述点上,第一数据处理模块和第二数据处理模块提供控制参数,以便然后将这些控制参数转发给比较器模块。
如已经解释过的那样,在此描述的方法涉及所谓的软件锁步。软件锁步应与硬件锁步区分开。对于硬件锁步,需要明显更复杂的硬件。
在此不要求的硬件锁步通常如此实现,即使用硬件,该硬件将在该硬件上运行的软件程序的每个计算步骤实施两次。这意味着,软件程序本身在硬件上仅运行一次。运行系统只看到相应的软件程序的一个实例。硬件在一个运行系统层面下方将软件的每个步骤实施两次。
与此相比,在此描述的软件锁步意味着,将该程序实施两次,更确切地说在运行系统层面上实施两次。必要时,也可以运行两个彼此独立的运行系统(在具有第一硬件/核的第一数据处理模块上的第一运行系统和在具有第二硬件/核的第二数据处理模块上的第二运行系统),所述运行系统将相应的数据处理步骤分别实施(并且因此实施两次)。
软件锁步也可以在运行系统上运行,其中,然后必要时在运行系统的层面上给出如下指示:为两次实施使用不同的硬件(两个不同的核)。
如果存在两个实例,所述实例能够在没有硬件改变的情况下复制/增多,则实施两次指的是所谓的软件锁步。硬件锁步总是意味着,为了附加的冗余的实施,附加的硬件(电路、晶体管等)也必须是必要的,所述附加的硬件位于运行系统层面的下方,所述附加的硬件对于运行系统而言不能够被识别为彼此分开的,而是从运行系统的角度看像是硬件。即,通过使用硬件锁步,总是需要至少两倍数量的晶体管,以便实现与在不具有硬件锁步的情况下相同的效率。
通过所描述的数据处理网络或借助所描述的数据处理网络,锁步方案在控制器/处理器上也是可能的,所述控制器/处理器不是专门为此开发的。
然而,正常情况是,借助相同的软件来实施第一数据处理模块和第二数据处理模块,并且也就其规格而言使用相同的硬件(相同的核)。如果相应的数据处理模块或作为基础的硬件正确地正常工作,则相同的输入数据在两个数据处理模块中也产生相同的输出数据。
如果软件锁步用于(接近)实时应用,则许多已知的架构基于时间片网格,在所述时间片网格中,对计算步骤的处理在任何情况下都不得超过预给定的框架。在该背景下,通常谈到所谓的WCET(WCET=Worst Case Execution Time,最坏执行时间)。在此,先验地规定,在时间片中以何种顺序实施哪些计算步骤。由于计算步骤是预先已知的,因此,所使用的两个单元可以并行地实施计算步骤。通常,存在如下高的易变性:用于处理输入数据以产生输出数据的计算花费有多大。例子是用于求取所有可见的交通标志的图像分析的情况。例如,如果一百个交通指示牌同时可见,则用于执行这样的分析的数据处理步骤所需要的时间比在只有两个交通指示牌位于可视区域中的情况下长得非常多。在常见的软件锁步方案中,时间片必须根据WCET如此设计,使得对于所有能够考虑的相关的情况,无论如何设置足够的时间,用于执行数据处理步骤。
与此相比,数据驱动的系统更灵活,但是,在所述数据驱动的系统中,实施顺序可能与在先的计算的结果和持续时间有关。然后,计算步骤的顺序不再是先验地已知的。对于SW锁步,该性能意味着,可能的分支点始终也必须是同步点。在并行使用计算单元的情况下,在此,在下一个步骤安全地确定并且可以实施之前,计算步骤的结果才始终需要是被验证的。
因此,对于数据驱动的架构而言,可能更有效的是,不并行地计算,而是使计算单元(在没有同步的情况下预先)运行,并且——在预先规定相同的实施顺序的情况下——在别的单元上复算并且证实所实现的结果。即,在这种情况下,具有初级模块,该初级模块预给定在下级的次级模块上的计算。
如今的能够硬件锁步的微控制器不满足对计算能力的要求,所述要求是高度自动化的驾驶所需要的;同时,当前的高性能处理器不满足所要求的ASIL-D安全性分级。
为了尽管如此仍获得用于高度自动化的驾驶的计算系统,需要找到一种以相应的方式保护快速但不安全的处理器的途径。为此,在此提出,使用软件锁步。
尝试这一点的最简单的方式是,在相应的微处理器上实现软件锁步。但是,这不仅将其计算能力(至少)减半,还具有两个严重问题:一方面,当在相同的硬件上进行冗余的计算时不能够排除系统性故障,另一方面,用于比较输出数据/计算结果的必要的比较器同样会在不安全的硬件上运行,因此不能够充分信任结果。
为了解决该问题,在此提出,基于至少两个模块和比较器单元(比较器模块)实施软件锁步,所述模块具有彼此分开的硬件,其中,比较器单元/比较器模块在附加的符合ASIL-D的硬件上运行。
由于在进一步在上文描述的方案中在考虑WCET的情况下必须保持最大需要的计算时间,但是该最大需要的计算时间典型地仅在例外情况下需要,因此,在大多数步骤中,时间“剩余”,所述时间在系统的处理链上累加成不可接受的时延并且导致硬件的较差的负荷利用。即,在具有先验地规定的实施顺序的并行的软件锁步并且使用WCET的情况下的危险是,不能够达到或超过所要求的在整个系统中的最大时延。
借助数据驱动的架构能够实现明显更好的利用,如该数据驱动的架构进一步在上文例如可以借助初级模块和进行复算的次级模块构造的那样。在这样的架构中,临时地实施相应下一个数据处理步骤,其中,准确的流程不必是先验地已知的,并且因此存在高灵活性。
然而,这样的架构尤其对于在此描述的汽车应用而言具有缺点,所述缺点将在下文中简要阐述:
由初级模块预给定实施顺序。从属的次级模块在一定程度上“盲目地”复算。因此,实施的顺序——如果有的话——只能够根据不变量或一般规则来核查。由此,对于控制流产生与相应的所使用的各个硬件相同的安全性分级。借助这样的架构不能够实现高的ASIL-D级别。换言之:虽然事后可以通过借助次级模块进行的复算来确定,在初级模块中的计算可能是有误差的,然而,那时已经太晚了,因为计算的结果已经是先前所需要的。
对计算的比较可以总是在冗余的计算步骤和接下来的结果通信结束之后才发生。由原理决定地,直到发现计算时的误差为止的时间已加倍。由此导致增加的错误时延,可能还导致在常规运行中不必要的时延。
这就是说,已知的具有初级模块和(一个或者多个)次级模块的锁步的方案虽然允许更灵活的并且数据驱动的实施,但是也具有增加的时延的问题。
所提出的数据处理网络和借助其实施的数据处理方法能够为高度自主的驾驶实现足够的性能。所提出的数据处理网络能够实现组合式的时间驱动的以及数据驱动的架构。即,与具有先验地规定的实施顺序的方案相比,在软件锁步中的灵活的实施顺序是可能的。
为此,选择并行执行的、但是不基于时间片的软件锁步方案,该软件锁步方案在作为计算单元的至少两个微处理器(第一数据处理模块和第二数据处理模块)和控制部件上实现,该控制部件在附加的、值得信任的硬件(比较器模块)上运行。
相应于安全目标标准的该控制单元将计算单元上的流程同步,并且比较其结果。
与初级/次级模块锁步相比,(准)同时地处理冗余的计算步骤,因此不产生级联并且因此产生更好的时延特性(参见图3)。
替代于将完整的数据包发送至比较器地,在这里描述的数据处理网络中也可能的是,仅将数据(包)的横向和作为控制参数从数据处理模块传输至比较器模块,这可能可以明显减少通信工作量。
通过这些优化和混合的、即数据驱动和时间驱动的运行,实现硬件的良好且有效的负荷利用。
从安全架构的角度看,所描述的数据处理网络的构造相应于对安全关键的任务的分解。对于各个计算单元,由此产生降低的ASIL要求,使得借助如今存在的高性能处理器已经能够实现整个系统的ASIL-D分级。
为了可以将所描述的数据处理网络用于实施软件,存在下述前提:
所有数据控制事件和所有相关的控制事件映射到时间轴或者与此等效的结构上,例如事件队列。时间轴也可以被称为“公共逻辑时间线(Common Logical Timeline)”。
通过控制事件开始的每个计算步骤是数据确定性的。即,在相同的开始状态下,相同的输入数据也总是导致相同的输出数据。
特别有利的是,对控制参数的比较包括身份检查,并且经同步的控制参数以来自第一数据处理模块和第二数据处理模块的控制参数的身份为前提。
此外有利的是,数据处理网络设立用于,使用由比较器模块提供的经同步的控制参数,以便控制借助数据处理网络的另外的数据处理步骤进行的对输出数据的另外的数据处理。
除此之外有利的是,经同步的控制参数是有效性参数,该有效性参数包含关于所执行的至少一个数据处理步骤的有效性信息。
此外有利的是,数据处理网络具有至少一个顺序化模块,所述顺序化模块分别设立用于,对来自数据处理模块和/或数据处理步骤的控制参数进行分类和同步并且然后以具有分类的方式向比较器模块转发所述控制参数,以便比较器模块能够与如下顺序无关地求取经同步的控制参数:数据处理模块已以该顺序实施数据处理步骤。
顺序化模块尤其用于回溯,在各个数据处理模块中并且尤其在相应供使用的硬件上以何种顺序完成数据处理步骤。通过这种方式,可以确定用于执行另外的数据处理任务的硬件的可用性。顺序化模块分别配属于数据处理模块,并且将控制参数传送给比较器模块或如下(第三)硬件部件:该比较器模块在该(第三)硬件部件上运行。
附加地,优选存在同步器,该同步器将两个数据处理模块的分别属于彼此的(只要不出现误差就恰好彼此相应的)控制参数相互同步,并且可能形成控制参数元组,该控制参数元组被提供给比较器模块。同步器和比较器模块优选共同形成中央单元,该中央单元在(第三)硬件部件上运行。通过同步器实现在数据处理步骤的实施顺序方面的灵活性。相应的数据处理模块的硬件可以(当该硬件完成一个数据处理步骤的执行时)也用于执行另外的数据处理步骤。
由于在第一数据处理模块和第二数据处理模块上执行相同的数据处理步骤,在成功运行的情况下,在每个数据处理模块上产生与在另一个数据处理模块上相同的控制结果和数据结果,但是由于在所述单元上的并行处理可以以不同的顺序生成。
中央单元(由比较器模块和同步器组成)现在缓存事件(控制参数),直至匹配的事件(相应的控制参数)从所有数据处理模块到达。然后,可以比较息息相关的控制参数,并且在相同的情况下进行分析处理,或可以输出经同步的控制参数。
优选地,附加存在任务分配模块,该任务分配模块然后接下来在存在来自硬件模块的经同步的控制参数的情况下规划并且委托在相应的硬件上各个(下一个)数据处理步骤的开始,使得可以实现硬件的特别好的负荷利用。
任务分配模块优选向各个数据处理模块发送(absetzen)一种刺激物,以便激活所述数据处理模块。通过使用中央单元或第三硬件部件和比较器模块,在两个数据处理任务的执行之间虽然出现时延的轻微增加。但是,总体而言,时延的该增长是可接受的,尤其是与常见的初级/次级模块架构相比。
如果中央单元或同步器和顺序化模块和比较器模块不能够确定所接收的控制参数/事件的明确唯一的顺序,则可以确定故障情况。视应用情况而定地,这可以导致重新复算或者借助数据处理网络进行的数据处理的中断。
刺激物由中央单元以一定的方式找到。每当由比较器模块通过比较控制参数求取出正确的计算结果并且可以计算经同步的控制参数时,在一定程度上找到刺激物,该刺激物触发另外的数据处理,该另外的数据处理需要借助相应的第一数据处理模块和相应的第二数据处理模块所计算的输出数据作为输入数据。为了找到用于实施另外的计算步骤的可能的刺激物,中央单元不仅分析处理所有所获得的数据事件(控制参数),还分析处理如下事件:所述事件代表先前的计算步骤的结束(“结束样本”或“分配样本”)。
此外,可以生成时间事件作为用于时间驱动的实施的刺激物。
中央单元在一定程度上管理数据处理的进一步在上文已经描述的时间轴(公共逻辑时间线(Common Logical Timeline))。
因此,在成功情况下,在所有计算单元上产生结果相同的运行,以数据驱动以及时间驱动的方式,尽管在本地实施顺序方面存在可能的区别。
有利的是,借助第一硬件部件实现第一数据处理模块,借助第二硬件部件实现第二数据处理模块,其中,第一硬件部件和第二硬件部件在物理上彼此分开。
还有利的是,所述数据处理模块中的至少一个数据处理模块具有硬件部件,该硬件部件不符合ASIL-D。
特别有利的是,数据处理模块的两个硬件部件不符合ASIL-D。
此外有利的是,借助第三硬件部件实现比较器模块,该第三硬件部件在物理上与第一硬件部件和第二硬件部件分开。
在这种背景下有利的是,第三硬件部件符合ASIL-D。
还有利的是,比较器模块具有数据存储器,所求取的具有时间信息的控制参数保存在数据存储器中,使得存在逻辑时间轴,该逻辑时间轴映射借助数据处理网络的数据处理模块进行的数据处理步骤的执行的顺序。
在这种背景下也有利的是,数据处理模块的硬件部件与比较器模块的硬件部件相比明显功率更强。比较器模块的第三硬件部件与数据处理模块的(第一和第二)硬件部件之间的可能的功率区别取决于数据处理网络的相应的应用情况。例如,常见的是,第一和第二硬件部件的处理器节拍是第三硬件部件的处理器节拍的至少5倍、可能甚至10倍。
为了使数据处理模块与中央单元(比较器模块和可能的顺序化模块和任务分配模块)之间的通信路段减轻负担,对于作为输出数据的大的数据量,可能可以将控制参数计算为其横向和(CRC),并且只有所述横向和连同明确唯一的包标识符(又名元样本)一起作为控制参数发送给比较器模块。数据处理步骤的输出数据作为输入数据到下一个数据处理步骤的真正的流动,可以在第一硬件部件和第二硬件部件(并且可能也还在另外的硬件部件上)彼此独立地或彼此并行地发生,其中,在不同的硬件部件之间可能存在数据传输接口,所述数据传输接口也是与中央单元或比较器模块无关的。然后,中央单元或比较器模块不核查原始数据,而是例如核查所述原始数据的横向和,这导致对原始内容的逐比特的比较。在此应注意,第一硬件部件和第二硬件部件需要缓冲原始的数据包,直到所述数据包由比较器确认并且可以交付为止。
由于在此提出的对作为用于递送给比较器模块的控制参数的横向和的计算也是不可忽略的资源消耗,因此,也可能的是,视输出数据的数据量而定地判断,是直接比较输出数据,还是比较输出数据的横向和。
特别有利的是,对控制参数的比较包括检查:在数据处理时在第一数据处理模块中和/或在第二数据处理模块中出现的误差是否小于公差极限并且在这种情况下是否产生经同步的控制参数。这尤其意味着,在这样的情况下,虽然出现误差,但是该误差小于公差极限,必要时产生经同步的控制参数。
在此还将描述一种用于运行所描述的数据处理网络的方法,该方法至少具有下述步骤:
a)借助第一数据处理模块执行数据处理步骤并且产生第一控制参数,,所述第一控制参数适合用于检查借助所述第一数据处理模块对数据处理步骤的执行;
b)与步骤a)无关地,借助第二数据处理模块执行相同的数据处理步骤并且产生第二控制参数,该第二控制参数适合用于检查借助所述第二数据处理模块对数据处理步骤的执行;
c)借助比较器模块执行相应的控制参数的比较,所述控制参数是由所述第一数据处理模块和所述第二数据处理模块传送的,并且基于所述比较,提供至少一个经同步的控制参数,所述经同步的控制参数包含关于所执行的至少一个数据处理步骤的控制信息。
附图说明
下面根据附图来阐述所描述的数据处理网络以及技术环境。附图示出优选实施例,所述优选实施例不局限于该公开内容。附图只是示意性的并且附图分别说明所描述的数据处理网络的单个方面。附图示出:
图1示出所描述的数据处理网络;
图2在逻辑时间轴上示出对各个数据处理步骤的处理;
图3示出借助不同的数据处理模块对单个的数据处理步骤的处理,
图4示出所描述的方法的流程图。
具体实施方式
图1示出所描述的、在机动车23中的数据处理网络1。示例性地,在此示出,数据处理网络1用于处理传感器19的数据,并且由系统给输出数据接收器20供给数据。这样的输出数据接收器20可以例如是用于自主驾驶操作的系统或者相似的系统。数据处理网络1例如用于将传感器数据减少为与决策相关的参数,所述参数可以是数据处理网络1的输出数据4。
在此,数据处理网络1也包括硬件部件,在所述硬件部件上可以运行数据处理网络1或该数据处理网络的部件和模块。
数据处理网络1实施各个数据处理步骤2,所述数据处理步骤彼此关联。数据处理步骤2的输出数据4可以是另外的数据处理步骤2的输入数据3。在此,每个数据处理步骤2借助多个尽可能彼此独立地实施的数据处理模块5、6实现。在此,分别示出第一数据处理模块5和第二数据处理模块6。也可以设置多于两个的数据处理模块,所述数据处理模块(并行地)执行数据处理步骤2。
数据处理网络1还包括另外的部件,所述另外的部件还根据另外的附图详细地阐述。尤其是,这包括比较器模块7并且可能还包括同步器27,所述比较器模块和所述同步器在此仅示意性地一同标示。
图2选择所描述的数据处理网络1的别的示意图。在图2中上下示出三个箭头,所述箭头定义各个硬件部件,并且所述箭头同时也再现所描述的方法的各个方法步骤a)、b)和c)。箭头同时在逻辑时间轴17上提供在相应的硬件部件上的流程的示意图。上方的箭头是第一硬件部件12,在该第一硬件部件上实现第一数据处理模块5。下方的箭头是第二硬件部件13,在该第二硬件部件上实现第二数据处理模块6。中间的箭头是第三硬件部件14,在该第三硬件部件上实现比较器模块7。在第一数据处理模块5和第二数据处理模块6中,分别实施数据处理网络1的数据处理步骤2。每当数据处理步骤2完成时,向比较器模块7传送控制参数8,然后,该比较器模块通过比较控制参数8来识别,是否已正确地(即无误差地)实施数据处理步骤2。然后,比较器模块7产生经同步的控制参数9,所述经同步的控制参数用于触发另外的数据处理步骤2,然后,所述另外的数据处理步骤在此进一步处理在先的数据处理步骤2的(在此未示出的)输出数据。比较器模块8和配属的部件也可以理解为所描述的数据处理网络1的中央单元24。经同步的控制参数9可以理解为用于触发另外的数据处理步骤2的刺激物25。
在图3中还更详细地示出通过第一数据处理模块5并且通过第二数据处理步骤6对数据处理步骤2的并行处理。能够看到,第一数据处理模块5在第一硬件部件12上实现,而第二数据处理模块6在第二硬件部件13上实现。第一数据处理模块5和第二数据处理模块6分别处理相同的输入数据3,并且也应分别产生相同的输出数据4。
数据处理步骤2或数据处理模块5、6可以本身再次划分为多个单个的数据处理部件18,所述数据处理部件分别涉及数据处理的子步骤。即,视应用情况而定地,这里定义的数据处理步骤2或数据处理模块5、6已经涉及以有意义的方式选择或规定的对子步骤的预分组,所述子步骤借助数据处理部件18实施。优选地,如此选择对子步骤的预分组,使得不需要在数据处理步骤2或数据处理模块5、6内进行数据存储,并且为了进行实施,尤其不访问与输入数据不同的数据。
第一数据处理模块5和第二数据处理模块6分别产生控制参数8,所述控制参数由比较器模块7分析处理。比较器模块7在第三硬件部件14上实现,该第三硬件部件与第一硬件部件12和第二硬件部件13无关,该第三硬件部件形成中央单元并且该第三硬件部件优选提供该实施的进一步在上文已经描述的更高的安全性(更高的ASIL级别)。在优选的实施变型中,在每个数据处理模块5、6的上游分别还连接有顺序化模块11,用于从数据处理中获得控制参数8,并且在比较器模块7的上游在此还连接有同步器27。附加地,在比较器模块7的下游可以连接有任务分配模块22,该任务分配模块输出经同步的控制参数9或刺激物25,用于触发另外的数据处理步骤2。同步器27、比较器模块7和任务分配模块22可以共同地在第三硬件部件14上实现为所描述的中央单元24。优选地,如此运行所描述的数据处理网络1,使得数据处理步骤2在各自可用的且未完全负荷利用的硬件上实施。任务分配模块22可以促使将数据处理步骤2分配到可用的硬件上。除此之外,所执行的数据处理步骤2在每个硬件上的实施持续不同长度的时间。通过同步器27,实现对到达的控制参数8的分类,使得然后比较器模块7也在硬件的高负荷利用的情况下分别将正确的控制参数8相互比较,以便产生正确的经同步的控制参数9。为此,将控制参数8作为控制参数元组28从同步器27移送给比较器模块7。不需要将输入数据3和输出数据4分别通过中央单元24或比较器模块7从数据处理步骤2移送至下一个数据处理步骤2。为此目的,在数据处理模块5、6或相应的硬件部件12、13之间也可以存在附加的数据传输接口26,所述附加的数据传输接口与比较器模块7无关地存在。优选地,当借助比较器模块7已确定在两个数据处理模块5、6中对产生相应的输出数据4的数据处理步骤2的无误差的处理时,访问经由这些数据传输接口26所提供的数据。
在图4中还选择所描述的方法的别的示意图,在该示意图中,为每个数据处理步骤2分别执行方法步骤a)、b)和c)。借助第一数据处理模块5并且借助第二数据处理模块6总是彼此冗余地实施真正的数据处理步骤2。接下来,分别借助比较器模块7来检查,在开始下一个数据处理步骤2之前,是否已正确实施数据处理步骤2。
Claims (13)
1.一种数据处理网络(1),所述数据处理网络用于冗余地且以经验证的方式执行多个彼此相继的数据处理步骤(2),所述数据处理步骤分别用于由输入数据(3)生成输出数据(4),其中,第一数据处理步骤(2)的输出数据(3)至少部分地同时是另外的数据处理步骤(2)的输入数据(3),其中,为了执行每个数据处理步骤(2),设置有至少一个第一数据处理模块(5)和第二数据处理模块(6),其中,所述数据处理网络(1)此外具有比较器模块(7),其中,所述第一数据处理模块(5)和所述第二数据处理模块(6)设立用于,向所述比较器模块(7)传送各个数据处理步骤(2)的控制参数(8),并且所述比较器模块(7)设立用于,执行由所述第一数据处理模块(5)和所述第二数据处理模块(6)传送的彼此相应的控制参数(8)的至少一个比较,并且基于所述比较提供至少一个经同步的控制参数(9),所述经同步的控制参数包含关于所执行的至少一个数据处理步骤(2)的控制信息。
2.根据权利要求1所述的数据处理网络(1),其中,对所述控制参数(8)的比较(9)包括身份检查,并且经同步的控制参数(9)以来自所述第一数据处理模块(5)和所述第二数据处理模块(6)的控制参数(8)的身份为前提。
3.根据权利要求1或2所述的数据处理网络(1),所述数据处理网络设立用于,使用由所述比较器模块(7)提供的经同步的控制参数(9),以便控制借助所述数据处理网络(1)的另外的数据处理步骤(10)进行的对所述输出数据的另外的数据处理。
4.根据上述权利要求中任一项所述的数据处理网络(1),其中,所述经同步的控制参数(9)是有效性参数,所述有效性参数包含关于所执行的至少一个数据处理步骤(2)的有效性信息。
5.根据上述权利要求中任一项所述的数据处理网络(1),所述数据处理网络此外具有至少一个顺序化模块(11),所述顺序化模块设立用于,分别对来自所述数据处理模块(5,6)和/或所述数据处理步骤(2,10)的控制参数(8)进行分类和同步并且然后以具有分类的方式向所述比较器模块(7)转发所述控制参数,以便所述比较器模块(7)能够与如下顺序无关地求取经同步的控制参数(9):所述数据处理模块(5,6)已以所述顺序实施所述数据处理步骤(2,10)。
6.根据上述权利要求中任一项所述的数据处理网络(1),其中,借助第一硬件部件(12)实现第一数据处理模块(5),借助第二硬件部件(13)实现第二数据处理模块(6),其中,第一硬件部件(12)和第二硬件部件(13)在物理上彼此分开。
7.根据权利要求6所述的数据处理网络(1),其中,所述数据处理模块(5,6)中的至少一个数据处理模块具有硬件部件(12,13),所述硬件部件不符合ASIL-D。
8.根据上述权利要求中任一项所述的数据处理网络(1),其中,借助第三硬件部件(14)实现所述比较器模块(7),所述第三硬件部件在物理上与第一硬件部件(12)和第二硬件部件(13)分开。
9.根据权利要求8所述的数据处理网络(1),其中,所述第三硬件部件(14)符合ASIL-D。
10.根据上述权利要求中任一项所述的数据处理网络(1),其中,所述比较器模块(7)具有数据存储器(15),所求取的具有时间信息(16)的控制参数(8)保存在所述数据存储器中,使得存在逻辑时间轴(17),所述逻辑时间轴映射借助所述数据处理网络(1)的数据处理模块(5,6)进行的所述数据处理步骤(2)的执行的顺序。
11.根据上述权利要求中任一项所述的数据处理网络(1),其中,所述数据处理模块(5,6)的硬件部件(12,13)与所述比较器模块(7)的硬件部件(14)相比明显功率更强。
12.根据上述权利要求中任一项所述的数据处理网络(1),其中,对所述控制参数(8)的比较包括检查:在数据处理时在所述第一数据处理模块(5)中和/或在所述第二数据处理模块(6)中出现的误差是否小于公差极限并且在这种情况下是否产生经同步的控制参数(9)。
13.一种用于运行根据上述权利要求中任一项所述的数据处理网络(1)的方法,所述方法至少具有下述步骤:
a)借助第一数据处理模块(5)执行数据处理步骤(1)并且产生第一控制参数(8),所述第一控制参数适合用于检查借助所述第一数据处理模块(5)对所述数据处理步骤(2)的执行;
b)与步骤a)无关地,借助第二数据处理模块(6)执行相同的数据处理步骤(2)并且产生第二控制参数(8),所述第二控制参数适合用于检查借助所述第二数据处理模块(6)对所述数据处理步骤(2)的执行;
d)借助比较器模块(7)执行彼此相应的控制参数(8)的比较,所述控制参数是由所述第一数据处理模块(5)和所述第二数据处理模块(6)传送的,并且基于所述比较,提供至少一个经同步的控制参数(9),所述经同步的控制参数包含关于所执行的至少一个数据处理步骤(2)的控制信息。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102020213323.9A DE102020213323A1 (de) | 2020-10-22 | 2020-10-22 | Datenverarbeitungsnetzwerk zur Datenverarbeitung |
DE102020213323.9 | 2020-10-22 | ||
PCT/EP2021/078590 WO2022084176A1 (de) | 2020-10-22 | 2021-10-15 | Datenverarbeitungsnetzwerk zur datenverarbeitung |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116635832A true CN116635832A (zh) | 2023-08-22 |
Family
ID=78302755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180087011.6A Pending CN116635832A (zh) | 2020-10-22 | 2021-10-15 | 用于数据处理的数据处理网络 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20230415757A1 (zh) |
EP (1) | EP4232905A1 (zh) |
JP (1) | JP2023546475A (zh) |
CN (1) | CN116635832A (zh) |
DE (1) | DE102020213323A1 (zh) |
WO (1) | WO2022084176A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200353884A1 (en) * | 2019-05-08 | 2020-11-12 | Mobileye Vision Technologies Ltd. | System on chip |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102015218882A1 (de) * | 2015-09-30 | 2017-03-30 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Prüfen von Berechnungsergebnissen in einem System mit mehreren Recheneinheiten |
JP7042709B2 (ja) * | 2018-06-28 | 2022-03-28 | ルネサスエレクトロニクス株式会社 | 半導体装置、制御システムおよび半導体装置の制御方法 |
-
2020
- 2020-10-22 DE DE102020213323.9A patent/DE102020213323A1/de active Pending
-
2021
- 2021-10-15 JP JP2023524603A patent/JP2023546475A/ja active Pending
- 2021-10-15 EP EP21794795.1A patent/EP4232905A1/de active Pending
- 2021-10-15 WO PCT/EP2021/078590 patent/WO2022084176A1/de active Application Filing
- 2021-10-15 CN CN202180087011.6A patent/CN116635832A/zh active Pending
- 2021-10-15 US US18/249,480 patent/US20230415757A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4232905A1 (de) | 2023-08-30 |
US20230415757A1 (en) | 2023-12-28 |
WO2022084176A1 (de) | 2022-04-28 |
DE102020213323A1 (de) | 2022-04-28 |
JP2023546475A (ja) | 2023-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9823983B2 (en) | Electronic fault detection unit | |
US7797457B2 (en) | Leaderless byzantine consensus | |
US6820213B1 (en) | Fault-tolerant computer system with voter delay buffer | |
CN110784331B (zh) | 一种共识流程恢复方法及相关节点 | |
US20120210172A1 (en) | Multiprocessor switch with selective pairing | |
US20120317576A1 (en) | method for operating an arithmetic unit | |
US9491228B2 (en) | Redundancy device | |
US11500679B2 (en) | Operating a controller in a motor vehicle according to different time slots | |
CN112214350A (zh) | 一种分布式多模冗余容错系统软件表决方法 | |
CN116635832A (zh) | 用于数据处理的数据处理网络 | |
Kopetz et al. | Tolerating arbitrary node failures in the time-triggered architecture | |
CN116860463A (zh) | 一种分布式自适应星载中间件系统 | |
Loveless et al. | IGOR: Accelerating byzantine fault tolerance for real-time systems with eager execution | |
Katz et al. | Low-overhead time-triggered group membership | |
CN111045843A (zh) | 具有容错能力的分布式数据处理方法 | |
CN102508745A (zh) | 一种基于两级松散同步的三模冗余系统及其实现方法 | |
Axer et al. | Stochastic response-time guarantee for non-preemptive, fixed-priority scheduling under errors | |
JP5537140B2 (ja) | 安全制御装置、及びその安全制御プログラム | |
KR970000562B1 (ko) | 고장 내성이 있는 무선통신 시스템 제어기 | |
US20220308539A1 (en) | Method and device for controlling a driving function | |
CN113411198B (zh) | 基于双通道和rssp-i的通信方法、装置、电子设备及存储介质 | |
CN106940667B (zh) | 检验具有多个计算单元的系统中的计算结果的方法和设备 | |
US10719356B1 (en) | High integrity multicore computing environment with granular redundant multi-threading | |
JPH0326936B2 (zh) | ||
US20200089583A1 (en) | Configuration and method to guarantee high integrity data in a redundant voting data system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |