CN117234121A - 用于运行控制器的方法 - Google Patents
用于运行控制器的方法 Download PDFInfo
- Publication number
- CN117234121A CN117234121A CN202310708190.1A CN202310708190A CN117234121A CN 117234121 A CN117234121 A CN 117234121A CN 202310708190 A CN202310708190 A CN 202310708190A CN 117234121 A CN117234121 A CN 117234121A
- Authority
- CN
- China
- Prior art keywords
- monolithic
- degradation mechanism
- controller
- reduction
- systems
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000007246 mechanism Effects 0.000 claims abstract description 27
- 230000015556 catabolic process Effects 0.000 claims abstract description 23
- 238000006731 degradation reaction Methods 0.000 claims abstract description 23
- 230000009467 reduction Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 3
- 238000002604 ultrasonography Methods 0.000 claims description 2
- 101150114085 soc-2 gene Proteins 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2035—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2033—Failover techniques switching over of hardware resources
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明涉及一种用于运行控制器(10)的方法,其中,所述控制器(10)包括:多个单片系统(12,14),其中,所述单片系统(12,14)设立用于获得相同的传感器数据,和至少一个降级机制,所述降级机制设立用于,在另一单片系统(12,14)上执行停止运转的单片系统(12,14)的功能,其中,在所述方法中,当检测到所述单片系统(12,14)中的至少一个单片系统停止运转时,切换到另一所述单片系统(12,14),用以实施配属于所述停止运转的单片系统(12,14)的功能,其中,附加地,执行所述降级机制。
Description
技术领域
本发明涉及一种用于运行控制器的方法和一种这样的控制器,所述控制器尤其是设立用于在机动车中使用的控制器。
背景技术
在汽车控制器(ECU:Electronic Control Unit,电子控制单元)中已知的是,结合监控计算机使用主计算机,例如单片系统(Ein-Chip-System)(英:SoC:System-on-Chip,片上系统)或者微控制器。主计算机的任务在于,计算控制器的算法或功能。监控计算机的任务是,监控主计算机的例如在电压供给、温度、看门狗等方面的正确运行,并且在故障情况下实现关断或者复位或重置。SoC应理解为结构块或芯片,即半导体衬底上的集成电路,在该集成电路中集成有电子系统的所有功能或者功能中的大部分。
越来越多地在中央控制器的领域中使用的控制器,使用多个主计算机(Multi-SoC,多SoC)。在此,每个主计算机计算附接在相应的计算机上的传感器的数据。所述主计算机,如已经知道的那样,被监控计算机监控并且在故障情况下被关断或者复位。然而,在此应注意,如果主计算机中的一个主计算机停止运转,则不再能够分析处理附接的传感器的数据。
此外应考虑,例如在视频控制器中如今已经实现直到等级2的与安全相关的功能,例如紧急制动功能(AEB:Autonomous Emergency Braking,自动紧急制动)。除此之外,目前在开发用于自主驾驶或用于等级3、等级4和等级5的控制器。
但是,单个的部件、主计算机或SoC的停止运转和因此相连接的传感器的停止运转对该系统的功能具有显著影响。对于这样的情况,必须依赖于车辆的负责的驾驶员。然而,在具有等级3至等级5的系统中,后备解决方案、即驾驶员不再是可能的或者只是有限地可能的。
因此,为了开发具有更大故障容忍度的系统,已经寄希望于完全冗余的架构。然而,冗余的架构也意味着结构元件和电路板上的空间需求的加倍。此外,在故障情况下需要完全从一个芯片切换到另一个等效的芯片上,在根据ISO26262的分解的意义上。
该方案在广泛适用的ADAS(Advanced Driver Assistance Systems,高级驾驶辅助系统)控制器的框架中只能够很困难地实现,因为ADAS控制器是成本驱动的并且是特定于应用地开发的。这方面的原因例如是:成本,在车辆、尤其是电路板/壳体中的空间需求,热学、即损耗功率等。由于特定于应用的开发,所使用的主计算机被强烈地全负荷利用,因此,在主计算机上几乎不能够实现另外的功能或者甚至不能够实现另外的功能。
文献DE 10 2017 117 297 A1描述一种用于机动车的控制系统,该控制系统具有用于控制机动车的第一功能的第一控制器和用于控制机动车的第二功能的第二控制器,其中,对于两个控制器中的一个控制器是有故障的情况,该控制器的功能能够通过另一个控制器控制。
发明内容
在该背景下,提出一种根据本发明的一种用于运行控制器的方法和一种根据本发明的控制器。以下说明实施方式。
所提出的方法用于运行控制器,其中,该控制器具有多个单片系统和至少一个降级机制(Degradationsmechanismus),其中,所述单片系统设立用于获得相同的传感器数据,所述降级机制设立用于,在另一单片系统上执行停止运转的单片系统的功能。在所述方法中,当检测到单片系统中的至少一个单片系统停止运转时,切换到另一单片系统,用以实施配属于停止运转的单片系统的功能,其中,附加地,执行降级机制。
在该上下文中,切换意味着,该功能在另一单片系统上部分地被满足或者附加地同时被满足。
所提出的控制器设立用于执行在此提出的方法,并且因此是具有故障容忍度的系统,该系统具有多个单片系统(SoC),借助所述单片系统可以执行降级机制。
在构型中,控制器使用多SoC架构,以便借助降级机制实现具有故障容忍度的系统。为此,该控制器包括多个SoC,所述SoC获得相同的传感器数据,并且该控制器包括降级机制,以便可以在另一SoC中计算停止运转的SoC的功能。另外,可以设置有用于使SoC短暂地过载、尤其是热过载的机制,以便可以实施应急响应。
降级机制基于多个SoC的存在,所述SoC在故障情况下部分地或者附加地计算相应的另一SoC的的数据或功能。
降级机制可以在中央控制器中实现。但是,该降级机制一方面取决于系统的配置,例如许多摄像机、用于算法的必要的颜色深度等,另一方面取决于用于安全状态的必需的最小功能。
此外,可以舍弃较不重要的传感器,以便可以分析处理主传感器数据。除此之外,可以关断SoC中的较不相关的功能,以便维持最重要的功能。
在另外的实施方式中可以设置:
可以使用多个SoC,所述多个SoC可以分别只处理传感器数据的一部分。由此能够实现成本有利且紧凑的设计。
降级机制可以进行帧率(Bildwiederholrate)的降低,例如降低为50%,以便可以处理所有传感器。此外,可以进行分辨率的降低,例如降低为50%,以便可以处理所有传感器。
此外,可以减小视场(Field of View),因此,例如摄像机只还能够分析处理总图像的子集(Untermenge或Submenge)。除此之外,可以降低颜色深度,例如降低为50%,以便可以处理所有传感器。
在非基于视频的传感器的情况下,例如雷达或者超声波或激光雷达,也能够实现所述降级或者相似的降级。
可以设置有用于短暂的热负载的机制,以便可以运行(abfahren)应急响应,例如行驶到道路边缘上并停车。
可以舍弃较不重要的传感器数据,其中,尤其是丢弃近场摄像机的摄像机流并且继续使用远场摄像机。
在不同的应用情况中,可以进行SoC中的功能的关断:
在高速公路上可以例如关断用于超车动作的功能。
在城市中,丢弃远场摄像机,并且只还继续使用近场摄像机的摄像机流。
可以关断视频功能的冗余的计算,所述冗余的计算用于可信度检验和采取防故障的或防停止运转的反应。
如果一个SoC的诊断数据不能够到达,尽管如此,另一SoC的备用数据或替代诊断仍然可以是可用的。
通过降级能够实现,可以开发较紧凑的并且在热功率方面降低的控制器。与完全冗余的设计相比,如下可能性带来显著的成本优点:可以短暂地在一个SoC上计算故障反应,但是不必完全冗余地在控制器中的另一个SoC上实施该故障反应。
尤其是,可以通过这种方式避免已知的控制器的如下缺点:要么不获得具有故障容忍度的系统,要么构造完全的硬件冗余度。
由说明书和所附附图得出本发明的其他优点和构型方案。
显而易见的是,上文提到的和下文待阐述的特征不仅能够按相应给出的组合使用,还能够按其他的组合来使用或者单独使用,而不偏离本发明的框架。
附图说明
图1在方框图示出所提出的控制器的实施方式。
图2示出在故障情况下的、图1中的控制器。
图3在流程图中示出用于执行降级机制的方法的可能的流程。
具体实施方式
根据实施方式在附图中示意性示出本发明,并且在下文中参考附图详细描述本发明。
在图1在示意图中示出控制器,该控制器整体上用附图标记10表示。控制器10具有第一单片系统SoC 1 12和第二单片系统SoC 2 14。另外,示例性地示出八个传感器16,所述传感器分组为两个方框18和20,所述传感器经由第一连接22附接到所有SoC12、14上。传感器数据存在于单片系统SoC 1 12和SoC 2 14中。
在正常运行状态中,SoC 1 12处理第一方框18中的相应配属的传感器16,SoC 214处理第二方框20中的相应配属的传感器16。经由第二连接24将检测到的数据提供给输出部26。
如果在SoC12或14中的一个SoC上出现故障30,在图2中在SoC 2 14上出现故障30,则相应的另一个SoC12或14(在这种情况下是SoC 1 12)接管在有故障的SoC12或14(在这种情况下是SoC 2 14)上配属的传感器16(在这种情况下是第二方框20中的传感器16),并且通过使用上文描述的机制来处理数据。
通过共同连接的输出部26来保证,数据可以保持获得,或可以由相应有功能能力SoC12或14来实现。
在图3中在流程图中示出用于执行这里提出的一种用于运行控制器的方法的可能的流程。该控制器包括多个单片系统和至少一个降级机制。这典型地以硬件形式和/或以软件形式实现。
在第一步骤50中确定单片系统中的一个单片系统的停止运转。然后,在步骤52中,该停止运转的单片系统的功能转移到另一单片系统上。另外,在步骤54中,执行降级机制,以便支持或确保控制器的继续运行。
重要的是,控制器设立用于,检测单片系统中的一个单片系统的停止运转并且然后选择适合的另一单片系统,该另一单片系统可以实施配属于停止运转的单片系统的(一个或者多个)功能。
Claims (13)
1.一种用于运行控制器(10)的方法,其中,所述控制器(10)包括:
多个单片系统(12,14),其中,所述单片系统(12,14)设立用于获得相同的传感器数据,
至少一个降级机制,所述降级机制设立用于,在另一单片系统(12,14)上执行停止运转的单片系统(12,14)的功能,其中,
在所述方法中,当检测到所述单片系统(12,14)中的至少一个单片系统停止运转时,切换到另一单片系统(12,14),用以实施配属于所述停止运转的单片系统(12,14)的功能,其中,附加地执行所述降级机制。
2.根据权利要求1所述的方法,其中,所述降级机制实现帧率的降低。
3.根据权利要求1所述的方法,其中,所述降级机制实现数据吞吐量的降低。
4.根据权利要求1至3中任一项所述的方法,其中,所述降级机制实现分辨率的降低。
5.根据权利要求1至4中任一项所述的方法,其中,所述降级机制实现视场的减小。
6.根据权利要求1至5中任一项所述的方法,其中,所述降级机制实现颜色深度的降低。
7.根据权利要求1至6中任一项所述的方法,其中,实现所述单片系统(12,14)中的至少一个单片系统的短暂过载,以便能够实施应急响应。
8.根据权利要求1至7中任一项所述的方法,其中,丢弃近场摄像机的摄像机流,并且继续使用远场摄像机的摄像机流。
9.根据权利要求1至7中任一项所述的方法,其中,丢弃远场摄像机的摄像机流,并且继续使用近场摄像机的摄像机流。
10.根据权利要求1至9中任一项所述的方法,其中,关断用于超车动作的功能。
11.根据权利要求1至10中任一项所述的方法,其中,关断视频功能的冗余计算。
12.根据权利要求1至11中任一项所述的方法,其中,将所提到的降级机制应用到非基于视频的传感器上,例如雷达、超声波或者激光雷达。
13.一种控制器,所述控制器具有多个单片系统和至少一个降级机制,所述控制器设立用于执行根据权利要求1至12中任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102022206080.6A DE102022206080A1 (de) | 2022-06-15 | 2022-06-15 | Verfahren zum Betreiben einer Rechenanordnung |
| DE102022206080.6 | 2022-06-15 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117234121A true CN117234121A (zh) | 2023-12-15 |
Family
ID=88975106
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310708190.1A Pending CN117234121A (zh) | 2022-06-15 | 2023-06-14 | 用于运行控制器的方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230409449A1 (zh) |
| CN (1) | CN117234121A (zh) |
| DE (1) | DE102022206080A1 (zh) |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017117297A1 (de) | 2017-07-31 | 2019-01-31 | HELLA GmbH & Co. KGaA | Kontrollsystem für ein Kraftfahrzeug, Kraftfahrzeug, Verfahren zur Kontrolle eines Kraftfahrzeugs, Computerprogrammprodukt und computerlesbares Medium |
-
2022
- 2022-06-15 DE DE102022206080.6A patent/DE102022206080A1/de active Pending
-
2023
- 2023-06-09 US US18/332,317 patent/US20230409449A1/en active Pending
- 2023-06-14 CN CN202310708190.1A patent/CN117234121A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230409449A1 (en) | 2023-12-21 |
| DE102022206080A1 (de) | 2023-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110077420B (zh) | 一种自动驾驶控制系统和方法 | |
| US10800449B2 (en) | Computer architecture and functional architecture for increasing the fail-safety of auxiliary power steering | |
| JP4458119B2 (ja) | マルチプロセッサシステム及びその制御方法 | |
| EP2381322B1 (en) | Redundant actuator control system | |
| US9563523B2 (en) | Architecture for scalable fault tolerance in integrated fail-silent and fail-operational systems | |
| US20210146938A1 (en) | Device and method for controlling a vehicle module depending on a status signal | |
| US20210206427A1 (en) | Method for providing steering assistance for an electromechanical steering system of a motor vehicle comprising a redundantly designed control device | |
| CN107531250A (zh) | 车辆安全电子控制系统 | |
| KR20210073705A (ko) | 자율주행차량의 고장에 따른 차량 제어 시스템 및 방법 | |
| US20220089179A1 (en) | Vehicle control device and electronic control system | |
| JP2006240612A (ja) | アクチュエータ制御装置 | |
| US20110235527A1 (en) | Multichannel controller module | |
| US11281547B2 (en) | Redundant processor architecture | |
| US20230100164A1 (en) | Steering control device and method | |
| KR20200022674A (ko) | 차량 고장 처리 제어 장치 및 그 방법 | |
| US20140214277A1 (en) | Method for operating an electrical power steering mechanism | |
| JP5541246B2 (ja) | 電子制御ユニット | |
| US7182296B2 (en) | Methods and apparatus for error-tolerant wrap-back ACE monitor | |
| CN113618744A (zh) | 机器人的安全控制方法、装置、电子设备和可读存储介质 | |
| CN112889212B (zh) | 电磁制动器控制装置和控制装置 | |
| Hammett et al. | Achieving 10⁻ ⁹ Dependability with Drive-by-Wire Systems | |
| CN117234121A (zh) | 用于运行控制器的方法 | |
| CN113119994A (zh) | 用于运行自动驾驶车辆的方法和设备 | |
| JP7155763B2 (ja) | 車両制御装置 | |
| JP7163576B2 (ja) | 車両制御システムおよび車両制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |